2991498--034-2025-0366PCTOTCiberseguridadv9_DP.pdf - Contratación del servicio de soporte, a…

PLIEGO DE CONDICIONES TÉCNICAS QUE HA DE REGIR LA CONTRATACIÓN MEDIANTE LICITACIÓN PÚBLICA (PROCEDIMIENTO ABIERTO SEGÚN EL ARTÍCULO 156 LCSP) Nº 034-2025-0366 PARA LA CONTRATACIÓN DE UN SERVICIO DE OFICINA TÉCNICA DE CIBERSEGURIDAD, PARA MUTUA UNIVERSAL. MUGENAT. MUTUA COLABORADORA CON LA SEGURIDAD SOCIAL Nº 10. ## 1. INTRODUCCIÓN Mutua Universal opera en un entorno altamente regulado, lo que, combinado con los riesgos inherentes a su actividad asistencial y los derivados de la provisión de servicios en medios electrónicos, hace imprescindible contar con una estrategia robusta de ciberseguridad, especialmente alineada con los requisitos del Esquema Nacional de Seguridad (ENS), la Directiva NIS2, el Reglamento Europeo de Inteligencia Artificial (AI Act) y la normativa de protección de datos. Para dar respuesta a este contexto, la Entidad dispone de un equipo especializado de Ciberseguridad que lidera el diseño, despliegue y evolución del Plan de Seguridad de la Información y Ciberresiliencia, instrumento estructural que recoge las líneas estratégicas y operativas necesarias para reforzar las capacidades de protección, vigilancia, resiliencia y respuesta. Este plan se encuentra alineado con el Plan Director de Seguridad actual, que establece prioridades de madurez, ámbitos de mejora y proyectos clave en curso. Entre las actuaciones más relevantes se encuentra el proceso de certificación conforme al ENS en nivel medio, actualmente aplicable al entorno web público y zonas privadas, con auditoría interna ya realizada y auditoría externa en preparación. Paralelamente, Mutua Universal trabaja en la ampliación progresiva del alcance de cumplimiento del ENS hacia un modelo de certificación global, así como en la implantación de una sistemática de gestión de la seguridad de la información, basada en marcos normativos y estándares como el ENS y la NIS2. En este contexto, el presente expediente tiene por objeto asegurar la continuidad y efectividad del desarrollo del Plan de Seguridad de la Información y Ciberresiliencia, a través de la contratación de una Oficina Técnica de Ciberseguridad (en adelante Oficina Técnica o Oficina) que proporcione las capacidades especializadas necesarias para abordar, con solvencia técnica y agilidad, los retos de un entorno normativo y tecnológico en constante evolución. Esta Oficina Técnica contribuirá activamente a la ejecución de las iniciativas estratégicas del citado plan, al desarrollo y consolidación del sistema de gestión de la seguridad de la información, y al cumplimiento sostenido de los requisitos normativos, operativos y de madurez que exige la organización. Asimismo, la Oficina prestará apoyo en labores de acompañamiento técnico a las unidades, elaboración de guías operativas y playbooks, monitorización continua del estado de la ciberseguridad con sus PKIs y cuadros de mando, y en la detección, análisis y resolución de incidentes y vulnerabilidades, siempre en coordinación con los responsables internos de seguridad y bajo el marco de gobierno de la ciberseguridad definido por la Entidad. ## 2. OBJETO DEL CONTRATO El objeto del presente contrato es la prestación de servicios especializados en materia de seguridad de la información y ciberresiliencia, a través de la puesta a disposición de una Oficina Técnica de Ciberseguridad (Oficina Técnica) que colabore con el equipo interno de Mutua Universal en el desarrollo y evolución del modelo de seguridad corporativo.  El servicio comprenderá, de forma integrada, tareas de planificación, asesoramiento, acompañamiento, seguimiento, documentación, supervisión y soporte operativo, en el marco del Plan de Seguridad de la Información y Ciberresiliencia de la Entidad. Las actuaciones se centrarán en el despliegue efectivo de medidas organizativas, técnicas, normativas y operativas que contribuyan al cumplimiento de los requisitos del Esquema Nacional de Seguridad (ENS), la Directiva NIS2, la normativa nacional aplicable en materia de protección de datos, y otras disposiciones vinculadas a la gestión segura de sistemas de información, la ciberresiliencia y el desarrollo seguro del software. La Oficina Técnica participará en el seguimiento y evaluación del ciclo de vida del desarrollo de software (SDLC) desde la fase de diseño hasta la puesta en producción, con el fin de garantizar la integración temprana de medidas necesarias de seguridad y la validación técnica de los controles asociados. Asimismo, la Oficina prestará soporte a los procesos internos de seguimiento del estado de la ciberseguridad, revisión de procedimientos, respuesta ante incidentes y tratamiento de vulnerabilidades, así como a la revisión técnica y documental del propio plan y al mantenimiento del sistema de gestión de seguridad de la información en su conjunto. Durante la vigencia del contrato, podrán incorporarse nuevas iniciativas o líneas de actuación al Plan de Seguridad de la Información y Ciberresiliencia, en función de la evolución normativa, tecnológica o estratégica de la Entidad, que deberán ser abordadas en el marco del presente servicio. Adicionalmente el contrato incluye una bolsa de jornadas de carácter especializado, sin adscripción nominal previa, que podrá ser activada por Mutua Universal para atender tareas de alta complejidad técnica, revisiones ad hoc, pruebas de concepto, auditorías técnicas, análisis avanzados de seguridad u otras necesidades extraordinarias que requieran refuerzo puntual. Esta bolsa será ejecutada con personal de perfil, conforme a las condiciones detalladas en el apartado 8.2. ## 3. DIVISIÓN EN LOTES El presente contrato no se divide en lotes, por imposibilidad de separación de los conceptos implicados, tratándose de una única unidad conceptual de servicio, que no puede segmentarse para ejecuciones independientes. El supuesto de dicha división impediría la correcta ejecución del contrato desde un punto de vista técnico, económico y organizativo. ## 4. ÁMBITO GEOGRÁFICO La prestación del servicio se realizará en modalidad híbrida, combinando trabajo presencial y remoto, en función de la planificación alineada con las necesidades de la Dirección de Ciberseguridad y las necesidades operativas de cada iniciativa. En todo caso, se requerirá la presencialidad física del personal del adjudicatario en la sede de Mutua Universal (Muntadas 11, Barcelona) un mínimo de tres días por semana, incluyendo de forma obligatoria los lunes, viernes y otro día adicional acordado previamente con la Dirección de Ciberseguridad. La franja horaria de referencia será de 8:00 a 18:00 horas, conforme a una jornada laboral media de 8 horas. En situaciones excepcionales como aquellas en las que concurran condiciones socio-sanitarias o de fuerza mayor que impidan la presencialidad, Mutua Universal podrá autorizar la realización del servicio desde las instalaciones del adjudicatario, previa aprobación por parte del responsable del contrato. ## 5. SITUACIÓN ACTUAL Mutua Universal cuenta con una Política de Seguridad de la Información, aprobada y publicada en https://www.mutuauniversal.net/export/sites/webpublica/.content/docs/Certificaciones\_politicas/Politicade-Seguridad-de-la-Informacion\_firmada\_wp.pdf, que define el marco de actuación para la protección de los activos digitales, la gestión de riesgos tecnológicos y el cumplimiento normativo. Alineada con dicha política, la Entidad ha definido y viene desplegando desde 2014 un conjunto estructurado de medidas organizativas, técnicas y normativas que conforman su modelo de seguridad de la información, articulado a través del Plan de Seguridad de la Información y Ciberresiliencia, en evolución continua para responder a los riesgos y amenazas emergentes. Este despliegue ha permitido consolidar progresivamente capacidades internas en materia de ciberseguridad, facilitando la definición de procedimientos, la gestión de riesgos y la integración de herramientas y controles específicos. Sin embargo, el volumen de iniciativas activas, la complejidad regulatoria y la necesidad de mantener un nivel de madurez homogéneo en todos los dominios de seguridad hacen necesario dotar a la organización de capacidades especializadas adicionales, que aseguren la evolución sostenida del modelo de seguridad implantado. En este contexto, se considera necesario contar con un equipo de apoyo externo que, bajo la coordinación de la Dirección de Ciberseguridad, acompañe el desarrollo de las actuaciones, incluyendo la revisión y fortalecimiento del plan vigente, la documentación de procesos, la evaluación de cumplimiento, el seguimiento de indicadores, y el soporte a iniciativas normativas, operativas y tecnológicas. ## 6. CONTEXTO DE LEGISLACIÓN Y NORMATIVA APLICABLE Mutua Universal, en su condición de Mutua Colaboradora con la Seguridad Social (MCSS), está sujeta a un conjunto de disposiciones normativas que delimitan el contexto organizativo, tecnológico y regulatorio en el que se desarrollarán los servicios objeto del presente contrato. En consecuencia, el adjudicatario deberá observar, en el desarrollo de los trabajos contratados, la normativa vigente que resulte de aplicación, sin carácter exhaustivo, entre la que se incluye la siguiente: -  Ley 39/2015 de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, 'LPAC') -  Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (en adelante, 'RJSP'). -  Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos. -  A nivel de normativa de tramitación electrónica, Orden ISM 903/2020 de 24.09, por lo que se regulan las notificaciones y comunicaciones electrónicas en el ámbito de la Administración y Seguridad Social. -  Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad (ENI). -  Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). -  Resoluciones de Instrucciones Técnicas de Seguridad (ITS) publicadas por la Secretaría de Estado de Función Pública, aplicables en el marco del ENS (conformidad, auditoría, notificación de incidentes, estado de la seguridad), incluyendo: - ITS de Conformidad - ITS de Auditoría - ITS de Notificación de Incidentes - ITS de Estado de la Seguridad - Cualquier otra ITS vigente publicada por el Centro Criptológico Nacional (CCN-CERT) -  Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes en materia de administración digital, contratación pública y telecomunicaciones.  -  Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. -  REGLAMENTO (UE) No 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior ('eIDAS'). -  Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. -  Directiva (UE) 2022/2555 (NIS2), relativa a medidas para un elevado nivel común de ciberseguridad en la Unión, en proceso de transposición al derecho español. -  Reglamento (UE) 2024/1689 (AI Act), relativo a un marco armonizado sobre inteligencia artificial, aplicable progresivamente desde 2025. -  Guías y recomendaciones técnicas del Centro Criptológico Nacional (CCN-CERT), en particular aquellas relacionadas con el cumplimiento del ENS. -  'Guía Nacional de notificación y gestión de ciberincidentes', publicada por el Ministerio del Interior. -  Reglamento (UE) 2016/679, de 27 de abril de 2016 (Reglamento General de Protección de Datos, RGPD). -  Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. -  Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. -  Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. -  Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público. -  Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. -  Buenas prácticas reconocidas en desarrollo seguro del software, incluyendo OWASP y NIST SP 800-218 (Secure Software Development Framework - SSDF). El adjudicatario se compromete a cumplir, durante toda la vigencia del contrato, con la normativa legal y reglamentaria aplicable, incluyendo aquella que entre en vigor con posterioridad a la fecha de formalización del contrato y que resulte de obligado cumplimiento en relación con el objeto del mismo. ## 7. ACTIVIDADES VINCULADAS AL CONTRATO Las actividades a desarrollar dentro del contrato serán las propias de una Oficina Técnica de Ciberseguridad, en todo lo relativo a gestión de riesgos, seguimiento sobre controles implantados, cumplimiento normativo, supervisión global del estado de la seguridad corporativa, implantación controles organizativos, propuesta de nuevos controles técnicos… El marco de trabajo de referencia será el actual de Mutua universal, basado en el Esquema Nacional de Seguridad y el contenido de la norma ISO 27001 y controles de la ISO 27002 sin requerirse de forma obligatoria para la prestación del servicio la certificación por parte de la empresa adjudicataria. La actividad principal contempla la resolución de consultas, la elaboración de informes, la preparación de propuestas para adaptación y mejora, preparación de declaración de aplicabilidad y planes de adecuación, elaboración de encuestas para valoración y seguimiento del cumplimiento, así como cualquier otra actividad relacionada con el objetivo de esta actividad. De forma no limitante/exhaustiva, a continuación se enumera un conjunto de actividades principales que se considerarán incluidas en el alcance del contrato: -  Soporte en el mantenimiento y evolución del Sistema de Gestión de la Seguridad de la Información basado en buenas prácticas controles y medidas del ENS así como los derivados de la Directiva NIS2 y su transposición española. -  Evaluación del estado de la seguridad de la Entidad, a través de una metodología Magerit para el análisis de riesgos.  -  Participación activa en la aplicación de metodología S-SDLC de Mutua Universal ('Security by Design') en el entorno de nuevas necesidades de la Entidad para el diseño de proyectos y servicios seguros -  Revisión adhoc de los criterios de seguridad sobre proyectos implantados de forma previa a la activación de este contrato. -  Soporte y acompañamiento en los análisis de riesgos. -  Colaboración en la gestión de riesgos de terceros, incluyendo evaluación, categorización y seguimiento de proveedores críticos y su integración en marcos del ENS y otros de referencia nacionales y europeos. -  Elaboración y revisión de documentación interna relativa a normas, procedimientos, protocolos, instrucciones técnicas y guías de seguridad de la información (técnicas y no técnicas). -  Desarrollo, mantenimiento y seguimiento del cuadro de mando de indicadores de ciberseguridad. Revisión de los indicadores y propuestas y ejecución de mejoras. -  Mantenimiento de las iniciativas en funcionamiento dentro del Plan de Seguridad corporativo. -  Asesoramiento y acompañamiento en la respuesta a incidentes de seguridad de los entornos de Mutua Univesal. -  Revisión, gestión, recopilación, registro (incluyendo en Redmine y JIRA) y respuesta/resolución de alertas generadas por herramientas de seguridad corporativas de la entidad (Darktrace, Endpoints Checkpoint, CASB Checkpoint, SOCradar, Qualys, y otras herramientas basadas en inteligencia artificial). -  Preclasificación, priorización y documentación de incidentes derivados y preparación de lecciones aprendidas y playbooks. -  Revisión de las plataformas de Threat Intelligence de Mutua universal (como SOC Radar) para la monitorización de exposiciones externas. Integración de esta información en cuadros de mando e informes de seguridad. -  Identificación, comunicación y propuestas de nuevas iniciativas a incorporar al Plan de Seguridad en base a la evolución del entorno o de los riesgos. -  Definición de proyectos derivados de iniciativas -  Gestión y ejecución de proyectos de ciberseguridad -  Elaboración y programación de informes estadísticos y de detalle sobre las herramientas de seguridad disponibles por (Antivirus, Antispam, Gestor de navegación segura, etc.). Sobre la enumeración de las actividades incluidas realizada en este apartado, se espera que el personal designado por el adjudicatario adopte siempre actitudes flexibles para cubrir en cualquier momento las necesidades en seguridad y cumplimiento del entorno tecnológico de Mutua Universal, por lo que se deberán abordar las actividades que surjan en el ámbito de ciberseguridad y dentro del alcance de las actividades propias de una Oficina Técnica de Ciberseguridad, aunque no estén específicamente expuestas en este pliego. Para llevar a cabo las actividades aquí identificados (listado no exhaustivo), el personal asignado al contrato por parte del adjudicatario deberá ser capaz de llevar a cabo estas actividades secundarias: -  Realizar análisis de riesgos sobre proyectos internos TI en fase de implantación o finalizados -  Retroalimentar el Plan de Seguridad de la Entidad -  Identificar y ejecutar de acciones de mejora en dicho plan o ante cualquier necesidad en materia de ciberseguridad -  Promover la adopción de metodologías y estándares de referencia en la materia -  Gobernar y gestionar proyectos de acuerdo con criterios de ciberseguridad de mercado -  Velar por la calidad de los proyectos en los que se participe -  Para la parte de ciberseguridad, y cuado proceda, ejecutar las tareas propias del proyecto -  Llevar a cabo análisis de hacking ético y pentesting a demanda -  Consultoría y asesoramiento especializado en cualquier aspecto relacionado con la seguridad de la información y la ciberseguridad, entre otros y sin que se trate de una relación exhaustiva, los siguientes: - -Continuidad de negocio - -Plan de contingencia - -Seguridad Perimetral  - -Seguridad en el puesto de trabajo (end-point). - -Seguridad en dispositivos móviles. - -Arquitecturas de seguridad y segmentación de redes. - -Seguridad en los protocolos de comunicación. - -Bastionado y hardening de sistemas, servidores y servicios. - -Seguridad en la nube (Saas, PaaS, IaaS, etc.). - -Gestión de logs y correlación de eventos de seguridad. - -Malware. - -Mecanismos de autorización, acceso y autenticación. - -Desarrollo seguro de software. -  Acreditación de sistemas. Dar soporte a la gestión del cambio en cualquier nueva funcionalidad relacionada con la seguridad tecnológica o de ciberseguridad -  Elaborar las acciones de comunicación asociadas -  Garantizar una adecuada transición de conocimientos hacia personal designado por Mutua Universal en todo aquello relativo a aplicación de ciberseguridad -  Analizar tendencias de mercado en materia de ciberseguridad -  Identificar nuevas tecnologías y soluciones de mercado en materia de ciberseguridad -  Identificar nuevas amenazas de forma proactiva. -  Garantizar en todo momento el cumplimiento de la reglamentación existente en el entorno de Mutua Universal -  Identificar la definición completa para un nuevo potencial proyecto: alcance, coste, dedicación, tiempo de implantación previstos, identificación de grupos de interés implicados, etc. -  En cuanto a los procesos de licitación pública que tengan relación con aspectos vinculados a la Ciberseguridad, colaborar y liderar la redacción de los requisitos técnicos de los correspondiente pliegos -  Coordinar acciones dentro del Programa de Concienciación corporativo (correspondiente a otra licitación) -  Coordinar acciones dentro del Servicio Gestión de Vulnerabilidades (correspondiente a otra licitación) -  Garantizar la existencia de registros asociados a los sistemas y aplicaciones que lo requieran -  Revisar aspectos de seguridad de los sistemas existentes -  Atender a auditorías internas y externas Periódicamente se establecerá el programa de tareas asignadas a la Oficina Técnica de Ciberseguridad, en función de las necesidades identificadas por Mutua Universal. La priorización y programación de dichas actividades será responsabilidad del Responsable del contrato por parte de Mutua Universal, en coordinación con el Jefe de Proyecto del adjudicatario. El Jefe de Proyecto del adjudicatario deberá presentar una propuesta justificada que incluya, para cada tarea asignada: -  La duración estimada, -  la fecha de inicio, -  la fecha prevista de finalización, y -  el porcentaje de avance actualizado durante su ejecución. Dicha propuesta se reflejará en un cronograma que servirá como base para la planificación y seguimiento de los trabajos. Esta planificación deberá actualizarse periódicamente en función del progreso real y los cambios en las necesidades de la Entidad. Para la elaboración del cronograma se parte de la premisa de que los consultores asignados cuentan con la formación, experiencia, soporte de segundo y tercer nivel en caso necesario, y los recursos adecuados para llevar a cabo las tareas con la debida diligencia. Mutua Universal proporcionará acceso controlado a sus entornos de gestión para facilitar el registro estructurado de actividades, tareas, alertas y entregables. El adjudicatario se comprometerá a utilizar herramientas compatibles con las del entorno de Mutua Universal (Teams, Sharepoint, Onedrive) y alineadas con la política de uso aceptable de lo sistemas de información de Mutua Universal.  ## 7.1 Uso de la bolsa de horas especializada Mutua Universal podrá activar de forma puntual jornadas incluidas en la bolsa de horas especializada para cubrir tareas singulares de alta especialización técnica, tales como: -  Análisis avanzados de configuraciones, código o arquitectura. -  Apoyo en certificaciones o auditorías. -  Ejecución de pruebas de concepto o despliegues urgentes. -  Consultoría en nuevas tecnologías o amenazas emergentes. El adjudicatario propondrá un recurso con el perfil requerido en un plazo máximo de 10 días laborables desde la solicitud. Mutua Universal validará cada asignación antes de su ejecución. La dedicación asociada a esta bolsa será de un mínimo de 110 jornadas anuales. El adjudicatario deberá mantener un registro actualizado del uso de la bolsa de horas especializada, incluyendo: -  Tarea ejecutada y objetivo. -  Nº jornadas/horas consumidas. -  Fecha de solicitud, fecha de ejecución y recurso asignado. -  Validación del responsable de Mutua Universal. Este registro será objeto de revisión mensual en el comité operativo. ## 8. REQUERIMIENTOS GENERALES En este apartado se detallan aquellos requerimientos de carácter general que todas las ofertas deben contemplar. ## 8.1 Metodología del proyecto Las empresas licitadoras describirán en sus ofertas, de forma detallada, la metodología de servicio que se adoptará para la ejecución de todas las actividades del contrato. Todas las actividades derivadas de lo solicitado en este pliego deberán ser abordadas desde la perspectiva del Esquema Nacional de Seguridad y los marcos nacionales y europeos de seguridad de referencia. Durante la vigencia del contrato el adjudicatario deberá atenerse a los procedimientos, procesos y metodologias aprobadas por Mutua Universal en cualquiera de sus formas. La bolsa de jornadas especializada será gestionada bajo una planificación independiente del servicio ordinario, y deberá ser incorporada a la metodología general de seguimiento, registro y validación. ## 8.2 Equipo de trabajo El equipo de trabajo aportado por la empresa adjudicataria, deberá acreditar los conocimientos funcionales y técnicos necesarios para abordar las actividades vinculadas al contrato. Las ofertas presentadas deberán detallar el equipo propuesto, detallando como mínimo, la siguiente información: -  Estructura del equipo y categorías profesionales. -  Currículum de cada persona propuesta. -  Descripción de las experiencias previas en servicios como los que se requieren en el presente expediente de contratación.  -  Compromiso de permanencia en el proyecto y posterior servicio y de reposición inmediata en caso de baja/ausencia. El licitador deberá incluir en su oferta los recursos necesarios que cubran, como mínimo, los roles aquí descritos: | Perfil | Experiencia/Funciones | Dedicación | |-----------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|--------------| | Consultor de Ciberseguridad (Perfil #1) | 1. Experiencia laboral de mínimo de 4 años en proyectos o servicios en consultoría o auditoría de ciberseguridad. 2. Experiencia en oficinas técnicas de ciberseguridad y en el ámbito de gestión de riesgos tecnológicos y la ciberseguridad en roles como: a. Auditor de TI (mínimo 6 meses) b. Consultor de riesgos tecnológicos (mínimo 6 meses) c. Técnico de seguridad informática. (mínimo 6 meses) 3. Titulación universitaria de grado en Ingenieria Informatica o Telecomunicaciones. 4. Experiencia laboral demostrable de mínimo de 2 años en oficinas técnicas de ciberseguridad y metodologia SDLC. 5. Experiencia laboral demostrable de mínimo de 1 año en oficinas técnicas de ciberseguridad y metodologia SDLC de proyectos en empresas donde se lleven a cabo prestaciones del entorno sanitario. 6. Experiencia mínima de 2 años en: a. Administración y operación de herramientas de seguridad (WAF, SIEM, MDM, DLP, Antimalware, Antispam). b. Gestión y operación de sistemas y herramientas de alerta temprana. c. Gestión de ciberincidentes. d. Seguimiento y control de tickets de operaciones, informe y soporte 7. Formación y experiencia demostrable de mínimo 3 meses sobre: a. Auditorías técnicas de Seguridad. b. Análisis y gestión de vulnerabilidades c. Bastionado de equipos y sistemas operativos Windows y Linux. d. Diseño seguro y administración de redes y hardware de comunicaciones. e. Bastionado de portales web. f. Análisis de malware y fraude electrónico. g. Análisis forense. h. Seguridad en dispositivos móviles (Android e IOS) i. Metodologia MAGERIT. 8. Experiencia mínima de 1 año en entornos SAP altamente personalizados, incluyendo sistemas On Premise y Cloud. 9. Dado el alto componente de seguridad con tecnología Check Point en Mutua Universal, experiencia laboral | 100% |  | | tecnologías conocidas para las que se aporta experiencia. 10. Experiencia mínima de 6 meses en el uso del SIEM Monica y NDR Darktrace. | | |----------------------------------------------------------------------------------------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|------------------| | Consultor de Ciberseguridad (Perfil #2) | 1. Experiencia laboral de mínima de 4 años en proyectos o servicios de soporte, consultoría o auditoría de ciberseguridad 2. Experiencia laboral mínima de 1 año en oficinas técnicas de ciberseguridad y en el ámbito de gestión de riesgos tecnológicos. 3. Titulación de grado medio en informática o Telecomunicaciones y Titulación de grado superior en ciberseguridad. 4. Experiencia laboral demostrable de mínimo de 2 años en oficinas técnicas de ciberseguridad y metodologia SDLC. 5. Experiencia laboral demostrable de más de 1 año en metodologia SDLC de proyectos en empresas donde se lleven a cabo prestaciones del entorno sanitario. 6. Experiencia demostrable de mínimo 3 meses en: a. Análisis y gestión de vulnerabilidades b. Bastionado de equipos y sistemas operativos Windows y Linux. c. Bastionado de portales web. d. Análisis de malware y fraude electrónico. e. Seguridad en dispositivos móviles (Android e IOS) f. SAP 7. Experiencia mínima de 2 años en: a. Administración y operación de herramientas de seguridad (WAF, SIEM, MDM, DLP, Antimalware, Antispam). | 100% | | Servicio de Consultores Senior Especializado - Bolsa de horas (consumos a facturar como Perfil #3) | 1. Catálogo de servicios que serán prestados por el adjudicatario a través de consultores con experiencia mínima de 1 año en tareas avanzadas de ciberseguridad, tales como: auditoría técnica, análisis de código, arquitectura segura, despliegues complejos, hacking ético, cumplimiento normativo, u otros ámbitos de seguridad. 2. El personal asignado no requiere adscripción fija al contrato, sino que será designado a demanda desde una bolsa de especialistas propuesta por el adjudicatario. | Según necesidad. |  | 3. La empresa adjudicataria deberá incluir un anexo en su oferta con un catálogo de servicios y perfiles tipo (no nominales), describiendo los servicios disponibles, ámbitos de especialización, y disponibilidad de respuesta de dichos perfiles para el servicio y los compromisos de nivel de servicio (SLAs). 4. Mutua Universal solicitará, según necesidad, activaciones puntuales de dicha bolsa y validará el recurso antes de su asignación efectiva. 5. Se exigirá trazabilidad de todas las jornadas consumidas. | |--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| Adicionalmente a los perfiles #1 y #2, el adjudicatario establecerá en el equipo de trabajo como mínimo un responsable del servicio , con sus costes incluidos durante toda la duración del servicio, con amplia experiencia demostrable de mínimo 3 años en liderazgo en oficinas técnicas de ciberseguridad y que deberá ser una persona distinta a los perfiles anteriores con, al menos, las funciones siguientes: -  Gestión del equipo, distribución de tareas, reporte y revisión de la calidad de los entregables del proyecto -  Soporte y seguimiento continuo de las necesidades -  Interlocución de Alto nivel y máximo responsables de la correcta ejecución del proyecto Si durante la ejecución del contrato se constatase inexactitud en el nivel de conocimientos del personal de los perfiles asignados y Mutua Universal considerarse que pueda impactar en el desarrollo y ejecución del servicio contratado, la empresa adjudicataria, a demanda de la persona responsable designada por Mutua Universal, deberá sustituir dicha/s persona/s en el plazo de 10 días laborables. En el caso de que la empresa adjudicataria propusiera el cambio de alguna/s persona/s del equipo, por causas justificadas, se deberá solicitar por escrito a Mutua Universal con un plazo mínimo de 10 días laborables, a excepción de casos de emergencia, exponiendo las razones que obligan a esta propuesta. En su caso, el cambio deberá ser aprobado por el responsable del contrato de Mutua Universal, en el transcurso del citado plazo. En el supuesto que se produzcan sustituciones de personal, y con objeto de garantizar la continuidad del servicio, se producirá un solapamiento del personal entrante y saliente, sin coste adicional para Mutua Universal, durante un período mínimo de 5 días laborables. El incumplimiento por parte del adjudicatario de la obligación de prestar el servicio en los plazos y con los medios humanos de la cualificación y experiencia exigidas, conllevará una penalización contractual, de acuerdo con lo previsto en el Pliego de Condiciones Particulares, y sin perjuicio de la posibilidad de resolución del contrato por esta causa. Mutua Universal podrá resolver el contrato bajo dos premisas iniciales: 1. Motivos disciplinarios. 2. Incumplimiento reiterado en los niveles de ejecución del contrato. Los costes de dietas, desplazamientos (aparcamientos, kilometraje, etc.) o cualquier otro que pudiera derivarse de la relación laboral entre el equipo de trabajo y la empresa adjudicataria, serán por cuenta de esta última, sin que pueda repercutirlos a Mutua Universal. ## 8.3 Infraestructura necesaria para llevar a cabo el servicio El adjudicatario suministrará al equipo de trabajo la infraestructura (hardware) y software para la ejecución de las actividades del contrato. Cuando se requiera, el adjudicatario utilizará la red, máquinas y software propiedad de Mutua Universal exclusivamente para el uso y beneficio de Mutua Universal.  ## 8.4 Calendario El licitador debe plantear un calendario detallado y una propuesta de fechas para el inicio del servicio. El calendario estará sujeto a las siguientes restricciones de servicio: -  La fase de toma de conocimiento e inicio del servicio se deberá realizar en periodo no superior a 15 días naturales tras la formalización del contrato. Esta fase irá a cargo del adjudicatario y sin coste adicional para Mutua Universal, sin que computen a estos efectos las jornadas de servicio regular. -  A la finalización del servicio, se deberá prever una fase de traspaso de conocimiento, dentro de la vigencia del contrato, de 3 semanas (días naturales). Dicho traspaso podrá ser realizado a personal de Mutua Universal o, en el caso de cambio de proveedor, al nuevo adjudicatario del servicio, sin que computen a estos efectos las jornadas de servicio regular. Adicionalmente el adjudicatario tendrá que detallar en la propuesta: -  Los requisitos necesarios para comenzar el servicio. -  La propuesta de inicio del servicio. ## 8.5 Fase de reversión Las empresas licitadoras deberán plantear una fase mínima de reversión del servicio a la finalización del contrato. Esta reversión se podría llevar a cabo hacia personal de Mutua Universal o hacia personal de otra empresa en caso que el cambio de proveedor resulte de la adjudicación de un nuevo contrato. Aunque las jornadas (mínimo 15 días laborables) estarían incluidas en las jornadas contempladas en el contrato para este caso, las ofertas deberán exponer qué actividades se deberían realizar, desde su punto de vista, para acometer esta fase de transición o reversión sin impacto en el servicio. La fase de reversión constituye la etapa final del contrato en caso de cambio de proveedor y está orientada a garantizar una transición estructurada y sin impactos, permitiendo que el nuevo adjudicatario o personal interno asuma la continuidad del servicio sin pérdida de información, funcionalidad o trazabilidad. Esta fase será independiente de la fase de traspaso de conocimiento (descrita en el apartado 8.4), y se activará si el servicio va a ser asumido por un tercero distinto al adjudicatario saliente. -  Tendrá una duración mínima de 15 días laborables, incluidos dentro de la duración contractual. -  Durante esta fase, el adjudicatario deberá garantizar la documentación y entrega de información operativa, técnica y organizativa clave, así como la colaboración necesaria para la transferencia efectiva del servicio, incluyendo: - o Listado y estado de tareas en curso. - o Documentación técnica pendiente de entrega. - o Accesos, inventarios, repositorios y configuraciones. - o Trazabilidad de acciones críticas. - o Asesoramiento técnico durante el arranque del nuevo adjudicatario. El licitador deberá describir en su oferta las actividades propuestas para ejecutar esta fase sin impacto en el servicio, así como su planificación detallada. ## 8.6 Coordinación operativa y responsables  Para asegurar el correcto desarrollo y seguimiento del servicio, se establecen las siguientes figuras clave: -  Responsable del contrato por parte de Mutua Universal: será la persona designada por la Entidad como interlocutor principal, con funciones de coordinación, validación técnica, programación de tareas, priorización, aceptación de entregables y validación de perfiles. Esta persona podrá delegar funciones específicas o establecer interlocutores técnicos adicionales para áreas concretas del servicio. -  Jefe de proyecto del adjudicatario: el adjudicatario deberá identificar un jefe de proyecto que asumirá la responsabilidad operativa y técnica del servicio, siendo el interlocutor principal ante Mutua Universal. Esta persona liderará la planificación, coordinación del equipo propuesto, entrega de resultados y seguimiento de hitos. Será también quien canalice las propuestas de cambio, mejoras o sustituciones de personal. -  Responsable de seguridad de la información del adjudicatario: figura requerida en el apartado 9.3, que asumirá las funciones de contacto técnico para aspectos de cumplimiento, gestión de incidentes y seguridad del entorno del adjudicatario. -  Responsable de sistemas de IA (cuando aplique): cuando el contrato implique el uso de tecnologías de inteligencia artificial, el adjudicatario deberá designar a esta persona conforme a lo establecido en el capitulo 9. Durante toda la duración del contrato se establecerá un modelo de gobernanza basado en tres niveles: -  Nivel estratégico: Responsable del contrato y jefe de proyecto del adjudicatario, para validación de desviaciones relevantes, evolución del servicio y decisiones de impacto alto. -  Nivel operativo: Comité de seguimiento mensual (presencial o virtual), donde se revisarán actividades, uso de bolsa de horas, entregables, desviaciones y riesgos. -  Nivel técnico: Interlocutores designados para canalizar consultas, incidentes, validaciones y soporte continuo. El adjudicatario deberá proponer en su oferta este modelo, con identificación de responsables, frecuencias y medios de trabajo. ## 8.7 Control del alcance y gestión de cambios Cualquier modificación sustancial del alcance, entregables, cronograma o dedicaciones requerirá validación previa por parte de Mutua Universal y se documentará formalmente mediante acta de comité operativo. No se admitirán desviaciones no autorizadas del alcance del contrato ni del uso de la bolsa de horas sin dicha validación.  ## 9. REQUISITOS PARA EL CUMPLIMIENTO EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN A efectos aclaratorios del presente capitulo se entenderá 'cadena de suministro' como aquella que está formada por todos los procesos de base tecnológica, involucrados de manera directa o indirecta en la entrega de un producto o prestación de un servicio. El adjudicatario será plenamente responsable del cumplimiento de todas las obligaciones en materia de seguridad de la información, ciberresiliencia y protección de datos, tanto por su propia actuación como por la de cualquier entidad de su cadena de suministro. Será también responsabilidad del adjudicatario asegurar que los miembros de su cadena de suministro conozcan, acepten y apliquen las medidas de seguridad requeridas en el presente pliego, supervisando su correcta ejecución, y disponiendo de mecanismos para evaluar, documentar y mitigar riesgos derivados de la relación con terceros, conforme al principio de diligencia debida y continuidad operativa. Para la cumplimentación de diversos apartados, el adjudicatario deberá indicar la parte de su cadena de suministro cuando proceda. ## 9.1 Objeto, alcance y obligaciones generales en materia de seguridad de la información Este apartado ha sido redactado con base en los controles y medidas de seguridad establecidos en el Real Decreto 311/2022, de 3 de mayo que regula el Esquema Nacional de Seguridad (ENS), la directiva NIS2 (Directiva (UE) 2022/2555 del Parlamento Europeo), y el AI Act (Reglamento Europeo de Inteligencia Artificial, Regulación 2024/1689), con el fin de asegurar el cumplimiento de las obligaciones legales de Mutua Universal en materia de seguridad de la información, ciber resiliencia y usos de la Inteligencia Artificial. El adjudicatario deberá garantizar, durante toda la duración de la relación contractual, la protección de la información a la que tenga acceso, observando en todo momento los principios de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de los datos, y aplicando controles proporcionales a la sensibilidad de la información. A tal efecto, se compromete a: -  Cumplir con las políticas de seguridad de Mutua Universal, así como con las normas y estándares aplicables. -  Comunicar su propia política de seguridad, así como las medidas de implementación y seguimiento adoptadas. -  Informar a Mutua Universal, de forma inmediata y por escrito, de cualquier riesgo real o potencial en sus sistemas o redes que pueda afectar a los servicios o a la información gestionada. -  Garantizar que la información de Mutua Universal no se almacena, copia, intercepta, reutiliza, transmite o trata de forma indebida en sus entornos tecnológicos. -  Implementar controles de acceso lógicos eficaces, asegurando el acceso exclusivo del personal autorizado. -  Velar porque su personal aplique de forma estricta las medidas de seguridad en todo momento. -  Detallar, si así se requiere, los mecanismos y protocolos criptográficos aplicados a las transmisiones de datos. Asimismo, el personal del adjudicatario que requiera acceso físico a las instalaciones de Mutua Universal deberá estar debidamente acreditado y registrado, portando en todo momento la identificación visible proporcionada por Mutua Universal. Se establecerá un control de acceso conforme a los criterios definidos en la política de seguridad de la entidad. ## 9.2 Notificaciones y Gestión de Ciberincidentes A los efectos de facilitar la notificación de cualquier aspecto de ciberseguridad y posibles incidentes con afectación a los datos o sistemas informáticos de Mutua Universal, se facilitan los siguientes datos de contacto: Equipo de ciberseguridad (en adelante, Ciberseguridad Mutua)  E-mail: ciberseguridad@mutuauniversal.net Teléfono: 935009232 (Horario: laborables 8h - 18h) Dirección: Carrer de Muntades, 11 (08820 El Prat de Llobregat, Barcelona) Independientemente del medio de comunicación empleado (teléfono, presencial, etc.), el adjudicatario deberá registrar cada incidente o notificación a través de correo electrónico, como vía oficial de trazabilidad y registro para Mutua Universal. El adjudicatario informará a Ciberseguridad Mutua, en el menor plazo de tiempo posible y con un plazo máximo de 24 horas desde su identificación, de cualquier incidente de seguridad en su entorno tecnológico que pudiera afectar o afecte a servicios proporcionados a Mutua Universal, al personal implicado en la ejecución de servicios para Mutua Universal, o al establecimiento de conexiones desde Mutua Universal de cualquier tipo con recursos publicados por el adjudicatario. En el caso de detectar un incidente de seguridad durante la prestación del servicio, el adjudicatario deberá notificarlo de inmediato al personal responsable del servicio designado por Mutua Universal y con un plazo máximo de 12 horas desde su identificación. Asimismo, habilitará un canal de comunicación y presentará un informe de situación, exigido en el caso de un incidente, y un plan de reparación o mitigación, si procede. Adicionalmente, cualquier notificación de incidente que tenga una potencial trascendencia pública irá acompañada de una propuesta de plan de comunicación a seguir por Mutua Universal. El adjudicatario colaborará en la resolución de cualquier incidente producido en el entorno de Mutua Universal con los departamentos de Ciberseguridad y Tecnología de la Entidad, proporcionando todas las evidencias requeridas que estén a su disposición por los servicios ejecutados dentro del contrato. Si el adjudicatario introduce cambios en su entorno tecnológico, después de la firma del contrato, que pudieran implicar un incumplimiento de los requisitos establecidos en este documento, deberá notificarlo a Ciberseguridad Mutua. Desde Ciberseguridad Mutua se evaluará si las nuevas medidas propuestas garantizan la seguridad e integridad de los datos, las comunicaciones y demás aspectos relacionados, asegurando el cumplimiento del objeto del contrato. En caso contrario, el adjudicatario estará obligado a restablecer las medidas requeridas. En caso de incidente que implique datos personales, el adjudicatario deberá notificarlo a Mutua Universal en el plazo máximo especificado en el 'Anexo de contrato de encargo de tratamiento de datos personales' desde su detección. Por último, el adjudicatario deberá notificar cualquier incidente relacionado con sistemas de Inteligencia Artificial (IA) que pueda afectar a los servicios proporcionados a Mutua Universal, siguiendo los mismos procedimientos y plazos establecidos para otros incidentes de seguridad.  ## 9.3 Datos de contacto del responsable de seguridad de la información del adjudicatario Para garantizar una comunicación y coordinación efectiva en materia de ciberseguridad, el adjudicatario deberá designar y proporcionar los datos de contacto de: - -Responsable de seguridad de la información: Este responsable o POC (Punto o Persona de Contacto, según art. 13 ENS) será el punto de contacto principal para todas las cuestiones relacionadas con la seguridad de la información y ciberseguridad. Tendrá la responsabilidad de gestionar consultas, incidencias y notificaciones que puedan surgir durante la vigencia del contrato, además de colaborar estrechamente con el equipo de Ciberseguridad de Mutua para asegurar el cumplimiento de las medidas de seguridad establecidas. - -Responsable de los sistemas de Inteligencia Artificial (IA): Si el objeto del contrato implica el uso o despliegue de sistemas de IA, el adjudicatario designará un responsable de los sistemas de IA. Este responsable se encargará específicamente de los sistemas de IA, asegurando su correcto funcionamiento y cumplimiento de las normativas aplicables. Ver al respecto, y específicamente, apartado 'Uso de tecnología de Inteligencia Artificial' Los datos de contacto deberán proporcionarse antes del inicio de la prestación del servicio mediante el 'Anexo ENS I' del PCP, y mantenerse actualizados durante toda la vigencia contractual. Mutua Universal podrá solicitar su revisión o modificación en cualquier momento. ## 9.4 Política y Normativas de Seguridad Los adjudicatarios aceptarán y se comprometerán a cumplir la Política de Seguridad de Mutua Universal y sus Normativas y Procedimientos de Seguridad vigentes en el momento de la firma del contrato o aquellos que se comuniquen durante su ejecución, siempre que estén relacionados con el objeto de la licitación. Están disponibles en: [https://www.mutuauniversal.net/es/mu-articulo/Politicas]. El adjudicatario podrá solicitar aclaraciones sobre la aplicabilidad o interpretación de estas normas en caso de duda. ## 9.5 Protección del entorno físico y de las instalaciones Las instalaciones del adjudicatario que manejen información de Mutua Universal deben contar con las condiciones adecuadas de seguridad física: -  Si almacena información de Mutua Universal, deben implementar medidas de protección según el Esquema Nacional de Seguridad (ENS) para evitar accesos físicos no autorizados a los repositorios de información, acorde a la sensibilidad de dicha información. -  Deben garantizar que la información de Mutua Universal no sea accesible de forma indebida desde el exterior de sus instalaciones. ## 9.6 Uso de tecnología de Inteligencia Artificial ## 9.6.1 Cumplimiento Normativo y Ético Los proveedores y entidades que mantengan relaciones contractuales con Mutua Universal y presten servicios o provean soluciones a Mutua Universal, informarán a Mutua Universal de forma previa y por escrito del uso de cualquier sistema de inteligencia artificial (IA) para la ejecución de las prestaciones incluidas en sus contratos y serán responsables de garantizar que dicho sistema de IA cumpla con estándares de seguridad y ética.  El proveedor deberá asegurar que los sistemas de IA que utilicen información de Mutua Universal o se incluyan en la prestación del servicio cumplen con todas las normativas y regulaciones aplicables, incluyendo el Reglamento Europeo de Inteligencia Artificial (AI Act). En el caso de desarrollo de modelos, el proveedor realizará una evaluación documentada del modelo para garantizar su conformidad con la regulación. Si se utiliza Inteligencia Artificial, el adjudicatario proporcionará a Mutua Universal la documentación relativa a la evaluación de impacto sobre derechos fundamentales, en base al Reglamento de Inteligencia Artificial (UE) 2024/1689 del Parlamento Europeo y del Consejo del 13 de junio de 2024. ## 9.6.2 Medidas de Seguridad Además, el prestador de servicios implementará medidas de seguridad robustas para proteger los sistemas de IA contra ciberataques, incluyendo la capacidad de detectar y responder a incidentes de seguridad en tiempo real. Se deberán aplicar técnicas para evitar la divulgación de información confidencial, especialmente si el modelo de IA ha sido entrenado o ajustado con datos sensibles. ## 9.6.3 Gestión de Permisos y Funcionalidades La funcionalidad y los permisos de los complementos y herramientas del modelo de IA deberán estar claramente definidos y limitados para evitar usos indebidos, registrando y monitoreando la actividad de estos complementos y herramientas, así como de los sistemas posteriores. ## 9.6.4 Actualización y Mantenimiento El proveedor deberá mantener una política de aplicación de parches para componentes obsoletos o vulnerables de los sistemas IA, asegurando que éstos estén siempre actualizados y protegidos contra nuevas amenazas. ## 9.6.5 Protección de la información Queda prohibido el uso de información confidencial de Mutua Universal para entrenar modelos de IA sin la aprobación previa, expresa y por escrito de Mutua Universal. Cualquier tratamiento de datos o información de Mutua Universal mediante IA deberá identificar expresamente: (i) el tipo de datos tratados, (ii) la finalidad específica, (iii) el modelo utilizado o proveedor de tecnología, y (iv) el entorno técnico donde se procesarán los datos. Este tratamiento requerirá la autorización previa y expresa de Mutua Universal. Si se utiliza IA mediante un motor externo y puede utilizarse por otros clientes distintos a Mutua Universal, el proveedor deberá garantizar que dicho motor operará en entornos separados para evitar la 'contaminación' cruzada de datos y asegurar la privacidad y seguridad de la información. ## 9.7 Deficiencias o modificaciones en las condiciones contractuales o del servicio Mutua Universal se reserva el derecho a resolver el contrato, sin penalización alguna, si fruto de una modificación en la solución tecnológica o por deficiencias en la ejecución del servicio solicitado, considera que no se está cumpliendo con la normativa vigente, especialmente la relacionada con protección de la información y la relacionada con el cumplimiento del Esquema Nacional de Seguridad o la NIS2. Mutua Universal se reserva el derecho a resolver el contrato de forma anticipada y sin penalización alguna para la entidad contratante si, como consecuencia de una modificación técnica, incumplimiento contractual o deficiencia en la ejecución del servicio, se produjera un riesgo significativo de incumplimiento de las normativas vigentes en materia de protección de la información, Esquema Nacional de Seguridad o directiva NIS2.  ## 9.8 Gestión de excepciones Cualquier excepción a los anteriores apartados no recogida en el presente documento en el momento de la contratación o que ocurra en el transcurso del servicio, deberá ser comunicada a través de los canales indicados en el presente documento para su correspondiente tratamiento y valoración. Se deberá presentar de forma clara y concisa el objeto de la excepción, así como la modificación deseada por el solicitante con su debida justificación. Si se identifican diferencias entre los requerimientos establecidos en este documento y las prácticas o procedimientos del adjudicatario, estas diferencias deben comunicarse a Mutua Universal. Mutua Universal evaluará las diferencias propuestas a través de sus responsables de Seguridad de la Información y de Tecnología, pudiendo emitir autorización expresa, condicionada o denegatoria. En ausencia de dicha autorización expresa, se entenderá que la excepción no es aplicable. ## 9.9 Responsabilidad sobre la veracidad de la información El adjudicatario responderá frente a Mutua Universal por cualquier daño, perjuicio, sanción o coste derivado de la inexactitud, incorrección, omisión o falsedad de las declaraciones, garantías o manifestaciones contenidas en el contrato, así como por el incumplimiento de las medidas de seguridad declaradas. ## 9.10 Protección de los puestos de trabajo ## 9.10.1 Lugar de trabajo vacío El adjudicatario deberá establecer una política de "mesas limpias" respecto a la documentación perteneciente a Mutua Universal, así como cualquier otro medio físico o digital que pueda contener información de Mutua Universal. Únicamente se podrá disponer del material requerido para la actividad que se está realizando en cada momento. El equipamiento informático y la documentación deberán quedar guardados en un espacio cerrado cuando no se estén utilizando. ## 9.10.2 Requerimientos mínimos de los equipos de trabajo Los equipos que contengan información de Mutua deberán disponer de: -  Bloqueo por inactividad. Se requerirá una nueva autenticación del usuario para reanudar la actividad, con un tiempo de inactividad no superior a diez minutos. Cualquier excepción deberá contar con autorización previa, documentada y expresa de Mutua Universal, que será archivada en el expediente del contrato. -  Solución antivirus actualizada a la última versión y configurada para realizar análisis regulares de los equipos, y actualizarse periódicamente -  Política de actualización que instale los últimos parches de seguridad en un tiempo inferior a dos semanas, priorizando aquellas actualizaciones que sean críticas en un plazo inferior a tres días. -  Bastionado que adapte las configuraciones a las más seguras posibles para su uso previsto. -  Firewall habilitado restringiendo el tráfico entrante al equipo al mínimo necesario. Si el equipo se conecta a un sistema de información de Mutua Universal, será requisito el utilizar una autenticación de doble factor aceptado en las guías del CNI-CCN. No se permitirá bajo ningún concepto que los equipos conserven almacenadas claves sin cifrar vinculadas a acceso remoto o a la información de Mutua Universal. Se considerarán claves de acceso remoto aquellas que habiliten un acceso a otros equipos de la organización, u otras de naturaleza análoga, como certificados digitales o sus pines. ## 9.10.3 Transporte de los dispositivos El adjudicatario garantizará que los dispositivos con información de Mutua Universal permanecen bajo control y cumplen los requisitos de seguridad del ENS (mp.si.4) adecuados a la sensibilidad de la información durante su traslado.  Se seguirá un procedimiento de transporte con registros de salida y entrada que identifiquen al transportista, y un procedimiento rutinario que cuadre las salidas con las llegadas, notificando a Ciberseguridad Mutua cualquier incidente. El adjudicatario se compromete a proteger adecuadamente los equipos con información de Mutua Universal contra accesos no autorizados en caso de pérdida o robo. El adjudicatario mantendrá permanentemente actualizado un inventario de equipos con identificación de la persona responsable. El adjudicatario debe mantener un registro de trazabilidad en caso de cambio de responsable, indicando fecha y hora del cambio. El adjudicatario deberá proporcionar a su personal un canal de comunicación ágil y seguro para notificar pérdidas o robos. Toda notificación deberá comunicarse también a Mutua Universal a través de los medios definidos en el presente pliego, en un plazo máximo de 24 horas desde su conocimiento. ## 9.11 Personal Autorizado y Protección de la Información El adjudicatario deberá designar de forma previa a aquellos miembros de su plantilla laboral responsables de la ejecución de las actividades que requieran acceso a la Información de Mutua Universal (en adelante, el "Personal Autorizado'). El acceso a la infraestructura de Mutua Universal quedará exclusivamente limitado al Personal Autorizado. Las cuentas/credenciales de acceso se solicitarán por parte del proveedor siguiendo los procedimientos y la normativa interna de Mutua Universal. Su asignación será nominal y para los permisos mínimos que se soliciten y autoricen. El proveedor limitará el acceso al Personal Autorizado mínimo necesario para la correcta ejecución de los servicios. Ante una baja, incorporación o remplazo de miembros del personal autorizado, esta situación deberá ser notificada de forma inmediata a Mutua Universal para su conocimiento. En caso de que el servicio contemple el uso de sistemas de Inteligencia Artificial o el acceso a datos que puedan emplearse para su entrenamiento, se exigirá el mismo nivel de restricción y control que el previsto para el acceso a los sistemas de información corporativos de Mutua Universal. ## 9.11.1 Acceso local Si se utiliza o accede a información de Mutua Universal, el adjudicatario deberá proteger los dispositivos informáticos facilitados al Personal Autorizado (PC, portátiles, smartphones, tablets, dispositivos IoT, etc.) y se compromete a cumplir las siguientes condiciones mínimas de acceso: -  La información de errores en el control acceso debe ser la mínima imprescindible. Los diálogos de la aplicación proporcionarán únicamente la información indispensable. -  El número de intentos de acceso permitidos estará limitado a tres fallos consecutivos, bloqueándose temporalmente el acceso por un tiempo no inferior a 1 minuto, salvo excepciones autorizadas por Mutua Universal. -  Los equipos y sesiones se bloquearán al cabo de un tiempo prudencial de inactividad máximo de 10 minutos, requiriendo una nueva autenticación del usuario para reanudar la actividad. -  Se registrarán los accesos con éxito, y los fallidos. -  El sistema informará al usuario de sus obligaciones inmediatamente después de obtener el acceso -  Se informará al usuario del último acceso efectuado con su identidad -  Los usuarios solo accederán a la información estrictamente necesaria para realizar su trabajo. ## 9.11.2 Acceso remoto El adjudicatario pondrá a disposición los medios necesarios para la conexión con los Sistemas de Información de Mutua Universal, estando incluidos los costes de conexión a cargo de la empresa adjudicataria. La conexión remota a los Sistemas de Información de Mutua Universal se realizará siguiendo las normativas y los protocolos establecidos por Mutua Universal.  El Adjudicatario será el responsable de custodiar correctamente los certificados digitales entregados para la interconexión segura de redes y de pedir su revocación una vez finalizada la prestación del servicio. Asimismo, será responsable subsidiario del uso de los certificados digitales personales individuales asignados al personal autorizado, incluyendo los derivados de pérdida, uso indebido o falta de revocación oportuna. ## 9.11.3 Transmisión por medios electrónicos La transmisión por medios electrónicos considerará los mecanismos y protocolos de encriptación de la información necesarios para evitar posibles fugas de información acorde al ENS y la sensibilidad de la información transmitida. El adjudicatario garantizará el cumplimento de los estándares de seguridad referentes a la protección de datos transmitidos (Guías del CCN-STIC, ENS y RGPD). Cualquier información de Mutua Universal que por normativa o recomendaciones de seguridad requiera ser cifrada en su ubicación de almacenamiento, incluyendo todos los dispositivos extraíbles del tipo CD, DVD, memorias USB, u otros de naturaleza análoga, deben seguir los estándares de seguridad, custodia y protección de las claves establecidas por Mutua Universal y cumpliendo la guía CCN-STIC 807, Criptología de empleo en el Esquema Nacional de Seguridad, publicada por el Centro Criptológico Nacional. El adjudicatario deberá presentar cualquier requerimiento criptográfico relacionado con la información corporativa para su validación por parte del equipo de Ciberseguridad de Mutua Universal y/o seguir los estándares y normas establecidos por Mutua Universal. El adjudicatario del servicio debe suministrar las herramientas necesarias para un intercambio seguro de información entre ambas partes, que no requiera la instalación de aplicaciones en Mutua Universal, asegurando el uso de un protocolo de cifrado robusto y de mercado. En el caso de que el protocolo criptográfico utilizado se vea comprometido o declarado obsoleto por parte de organismos de referencia (CCN, ENISA, NIST), el adjudicatario deberá adoptar una alternativa segura sin coste adicional para Mutua Universal, en un plazo máximo de 10 días hábiles desde su notificación. ## 9.11.4 Protección del correo electrónico En el caso de que el adjudicatario haga uso de su correo electrónico corporativo para gestionar información de Mutua Universal, deberá proteger frente a las amenazas que le son propias: -  La información distribuida por medio de correo electrónico. Se protegerá, tanto en el cuerpo de los mensajes, como en los anexos. -  Se protegerá la información de encaminamiento de mensajes y establecimiento de conexiones. -  No se permitirá la redirección a dominios de correos públicos fuera del correo corporativo de la empresa adjudicataria. -  Se protegerá a la organización frente a problemas que se materializan a través del correo electrónico, en concreto: - o Correo no solicitado (spam) - o Programas nocivos, constituidos por virus, gusanos, troyanos, espías, u otros de naturaleza análoga - o Código malicioso ejecutable El adjudicatario establecerá políticas de uso del correo electrónico que incluirá como mínimo: -  Uso de canales de comunicación seguros y cifrados. -  Limitaciones al uso como soporte de comunicaciones privadas. - 9.11.5 Realizar actividades de concienciación y formación relativas al uso del correo electrónico para su personal, por ejemplo, para detectar casos de malware o phishing. Si Mutua Universal considera que la información tratada por el contrato es sensible, se deberán facilitar los medios de comunicación alternativos al correo electrónico que ofrezcan una protección acorde a la sensibilidad de estos.  ## 9.11.6 Limpieza de metadatos El adjudicatario dispondrá de un procedimiento de limpieza de documentos, el cual retirará de estos toda la información adicional contenida en campos ocultos, metadatos, comentarios o revisiones anteriores, excepto cuando esta información sea pertinente para el receptor del documento. Esta medida será especialmente relevante cuando el documento se difunda ampliamente, como cuando se ofrece al público en un servidor web u otro tipo de repositorio de información. ## 9.11.7 Borrado y destrucción El adjudicatario deberá seguir los estándares y normas de Mutua Universal respecto al borrado y destrucción de soportes de información. Se aplicará a todo tipo de equipos susceptibles de almacenar información, ya sean medios electrónicos o no electrónicos. Los soportes que deban ser reutilizados para otra información o liberados a otra organización deberán ser objeto de un borrado seguro de su contenido utilizando los métodos considerados seguros en las guías CCN de borrado seguro de información. Se deberán destruir de forma segura los soportes en caso de que la naturaleza del soporte no permita un borrado seguro o cuando así lo requiera el procedimiento asociado al tipo de información contenida, haciendo uso de productos de seguridad del catálogo CPSTIC o equivalentes justificando debidamente las medidas de seguridad. Periódicamente y según las necesidades de recurrencia de estas actividades, se deberá informar y entregar al responsable del contrato el certificado de destrucción, donde quedará especificado como mínimo, el identificador de los activos, el método de borrado y/o destrucción empleada, la fecha de la actividad y el destino de los activos. ## 9.11.8 Parcheo, actualizaciones y gestión de vulnerabilidades Si se suministran productos o servicios digitales, la empresa adjudicataria mantendrá los productos y/o servicios suministrados a Mutua Universal libres de vulnerabilidades, aplicando actualizaciones de software, mitigaciones y/o parches de seguridad para las vulnerabilidades conocidas o detectadas en sus productos, soluciones o servicios prestados a Mutua Universal. Estas actualizaciones se suministrarán y aplicarán, salvo acuerdo expreso con Mutua Universal, en el menor plazo de tiempo posible. ## 9.12 Registros de trazabilidad En caso de que el servicio o contrato incluya la provisión, administración y/u operación de plataformas o sistemas tecnológicos, se deberá disponer y mantener la trazabilidad de las acciones realizadas por los usuarios y administradores, utilizando siempre usuarios nominales. La plataforma tecnológica debe poder generar un registro de cualquier actividad, ya sea referente a usuarios o a cambios de configuración y actividad. Los registros de trazabilidad deberán incluir la actividad generada por los sistemas de IA, incluyendo eventos automatizados, decisiones algorítmicas, accesos a datos y logs de entrenamiento, conforme a lo establecido en el AI Act y en las directrices del ENS para trazabilidad y control de sistemas autónomos. ## 9.13 Propiedad y utilización Todos los trabajos, incluidos en su caso los estudios y documentos elaborados en ejecución del contrato serán propiedad de Mutua Universal, quien podrá reproducirlos, publicarlos y divulgarlos, total o parcialmente por tiempo indefinido sin nueva contraprestación, sin que pueda oponerse a ello el adjudicatario autor de los trabajos, cediendo igualmente todos los derechos de uso. El adjudicatario no podrá hacer ningún uso o divulgación de estos, bien sea en forma total o parcial, directa o extractada, sin autorización expresa de Mutua Universal. Si el contrato tiene por objeto el desarrollo y la puesta a disposición de productos protegidos por un derecho de propiedad intelectual o industrial, este será cedido por el contratista a Mutua Universal.  La empresa adjudicataria y el personal encargado de la realización de las tareas asociadas al contrato guardarán secreto profesional sobre todas las informaciones, documentos y asuntos a los que tengan acceso o conocimiento durante la vigencia de éste, estando obligados a no hacerlos públicos o enajenar cuantos datos conozcan como consecuencia o con ocasión de su ejecución, por tiempo indefinido después de la finalización del contrato. El adjudicatario se compromete a mantener estricta confidencialidad y a no revelar o ceder datos, ni aún para su conservación, o documentos proporcionados por Mutua Universal, a terceros, para cualquier otro uso no previsto como necesario para el desempeño de la prestación objeto de este contrato, especialmente los datos de carácter personal. La divulgación no autorizada de información confidencial podrá ser causa de responsabilidad y sanciones. Salvo acuerdo expreso en contra, el adjudicatario se compromete a entregar a Mutua Universal todo el código fuente desarrollado a medida para el contrato, así como las instrucciones para su correcta compilación y versionado. ## 9.14 Auditoria y análisis forenses Si el contrato incluye el desarrollo de código fuente, la implantación, integración o configuración de un sistema o tareas similares para Mutua Universal, el sistema y/o el código fuente resultante estará sujeto a auditorías de seguridad técnicas y funcionales, tanto previas a su puesta en producción como durante su mantenimiento evolutivo, siempre que se introduzcan modificaciones relevantes a juicio de Mutua Universal. El adjudicatario deberá colaborar en dichas auditorias y realizar las correcciones que se pudieran considerar necesarias. Mutua Universal se reserva el derecho exclusivo de ejecutar análisis forenses sobre los servicios contratados en exclusiva, con independencia de la infraestructura donde se presten. El adjudicatario deberá colaborar plenamente, facilitando información técnica, accesos y personal clave. Las peticiones de colaboración se realizarán a través de los canales de comunicación definidos en los apartados previos de este documento. ## 9.15 Información sobre la arquitectura de seguridad Será requisito obligatorio que las propuestas de las empresas licitadoras aporten la información necesaria sobre la arquitectura de seguridad del sistema tecnológico que da respuesta a los requisitos del contrato, con el objeto de facilitar a Mutua Universal el cumplimiento de sus obligaciones, tales como la realización del Análisis de Riesgos o el subsiguiente Plan de Tratamiento de Riesgos. Si el objeto del contrato es la implantación o modificación de un sistema de información, aplicación o servicio, será obligatorio antes de su puesta en producción, que el adjudicatario entregue la documentación final de la solución desplegada detallando la arquitectura de seguridad, incluyendo: -  Diagramas de red -  Esquemas de elementos físicos, -  Esquemas de interconexión -  Esquemas lógicos de sistemas -  Manual de uso y operativa, -  Manual de mantenimiento y actualización del sistema. ## 9.16 Ubicación de la información El prestador de servicios deberá declarar la ubicación geográfica y legal de los sistemas de información involucrados en el contrato, incluyendo entornos de respaldo, desarrollo y producción. En caso de que alguno de estos se encuentre ubicado fuera del Espacio Económico Europeo, dicha circunstancia deberá ser expresamente detallada y suficientemente motivada, a fin de que Mutua Universal pueda valorar su idoneidad y, en su caso, autorizarlo de forma previa y explícita. ## 9.17 Medidas de seguridad implementadas Mutua Universal podrá requerir al adjudicatario evidencias de todas las medidas de seguridad implementadas en los entornos relacionados con el contrato. La falta de compatibilidad con los controles del ENS deberá justificarse documentalmente e ir acompañada de medidas compensatorias. De esta forma, Mutua Universal podrá dar conformidad a sus propios requisitos del ENS y conocer si existen medidas de seguridad adicionales o complementarias a las exigidas por la categoría de su/s sistema/s.  ## 9.18 Continuidad del Servicio Prestado Para garantizar la continuidad del servicio, el adjudicatario deberá indicar claramente los Acuerdos de Nivel de Servicio (SLAs) relacionados con el Tiempo Objetivo de Recuperación (RTO) y el Punto Objetivo de Recuperación (RPO), asegurando la existencia y disponibilidad de medios para su cumplimiento. Estos SLAs deberán ser siempre iguales o mejorar los requeridos por Mutua Universal. ## 9.19 Finalización del contrato Antes de la finalización del contrato, el Contratista deberá facilitar a Mutua Universal Manuales de operación y funcionamiento e inventario de ítems y activos lo suficientemente detallados como para que Mutua Universal pueda, en función de la naturaleza del servicio, operar, mantener, actualizar, ajustar, configurar y, en el caso concreto de desarrollos de software a medida, compilar. Los trabajos, servicios u obras no se considerarán formalmente recepcionados hasta que Mutua Universal haya recibido y validado la totalidad de la documentación final requerida, incluyendo manuales de operación, instrucciones de compilación y el Documento de Reversión, si procede. Una vez cumplida la prestación asociada al contrato, los datos de Mutua Universal se devolverán o destruirán, según este indique, no conservando el adjudicatario copia alguna de estos, salvo que se requiera por motivos legislativos o se haya acordado previamente. Cualquier decisión será consensuada, motivada y documentada en un Documento de Reversión del contrato. Si Mutua Universal optase por la devolución, los datos se devolverán mediante sistemas y comunicaciones que incluyan protocolos que garanticen la confidencialidad de los datos y en un formato que asegure la confidencialidad de la cadena de custodia, entrega y usabilidad futura. En caso de que Mutua Universal optase por la destrucción, el adjudicatario deberá garantizar que ésta se lleve a cabo de forma confidencial e irrecuperable siguiendo los procedimientos descritos anteriormente. ## 9.20 Cuestionario de cumplimiento de medidas de Seguridad de la Información Los licitadores deberán cumplimentar el cuestionario que encontrarán en los anexos de la licitación con carácter previo a la adquisición del activo o inicio de la prestación del servicio. Este cuestionario deberá ser cumplimentado nuevamente por el adjudicatario cada 12 meses, con ocasión de cada contrato o prórroga del expediente, o siempre que Mutua Universal lo considere necesario debido a actualizaciones normativas o cambios en el servicio prestado. El cuestionario podrá ser revisado para ajustarse a variaciones normativas o si la normativa aplicable variara. Si Mutua Universal identifica incumplimientos normativos en las respuestas a dicho cuestionario el proveedor deberá subsanarlos para poder prestar los servicios. ## 1.1. Cláusulas relativas al cumplimiento del Esquema Nacional de Seguridad ## 1.1.1. Prestación de servicios o soluciones tecnológicas Cuando los proveedores y entidades que mantengan relaciones contractuales con Mutua Universal presten servicios o soluciones a Mutua Universal, a los que resulte exigible el cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, utilizando los mismos procedimientos que los exigidos en la Instrucción Técnica de Seguridad para las entidades públicas o bien a través de declaración responsable con el compromiso de su implantación y/o certificación durante la vigencia de la relación contractual. ## 1.1.2. Productos de seguridad de las tecnologías de la información y comunicaciones  Según el artículo 19 del Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que empleen las Administraciones Públicas, se utilizarán, proporcionada a la categoría del sistema y nivel de seguridad determinados, quienes tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo cuando las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen. La certificación indicada anteriormente deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional. Para cada producto, el cumplimiento de los requisitos funcionales de seguridad exigidos por el ENS podrá ser acreditado preferiblemente por su inclusión en el 'Catálogo de productos STIC (Seguridad de las Tecnologías de la Información y la Comunicación)' del CCN (Centro Criptológico Nacional) o bien con Declaración Responsable por parte del proveedor del cumplimiento de dichos requisitos. ## 1.1.3. Acreditación de la normativa, certificados y muestras de los productos Durante la licitación y la vigencia del contrato o relación contractual, los certificados o documentos acreditativos del cumplimiento de las normas aplicables o, en su caso, de los requisitos en ellas establecidas, estarán a disposición de Mutua Universal. Así mismo, tanto desde Mutua Universal como desde sus órganos de contratación que convoquen las licitaciones, se podrán requerir al licitador la presentación de documentación acreditativa de los datos aportados en su oferta y/o muestras de los productos ofertados. Dicho requerimiento, debidamente motivado, deberá extenderse a todos los proveedores que se encuentren en análoga situación. ## 10. INICIO DE PRESTACIÓN DEL SERVICIO El servicio se iniciará a la firma del contrato por ambas partes, con un fecha prevista de 1 marzo 2026 y tendrá una duración de 12 meses, con dos potenciales prórrogas de un año cada una. ## 11. CONTROL Y SEGUIMIENTO DE LA TRAZABILIDAD DEL SERVICIO El control y seguimiento del servicio se abordará en base a un comité operativo periódico cuya periodicidad se acordará con la empresa adjudicataria. En cualquier caso, este comité tendrá una periodicidad mínima mensual. Las empresas licitadoras deberán presentar su propuesta de comité, indicando objetivo de cada uno, periodificación propuesta, asistentes necesarios y opcionales, etc. Dentro del comité operativo, se incluirá el seguimiento específico del uso de la bolsa de horas especializada (perfil #1'), incluyendo su planificación, ejecución y evaluación técnica, para asegurar su uso eficiente y conforme a las prioridades de Mutua Universal. Toda la documentación generada durante la ejecución del contrato deberá cumplir las siguientes condiciones: -  Uso de plantillas y formatos oficiales (cuando aplique). -  Identificación clara con código, versión, fecha y autor. -  Entrega en formatos editables (Word, Excel, etc.) salvo indicación contraria. -  Custodia y trazabilidad en herramientas aprobadas por Mutua Universal (JIRA, Redmine, SharePoint...). -  Actualización continua en caso de revisiones, con control de versiones. ## 12. ESTIMACIÓN DE JORNADAS Y COSTES  Como orientación para que los licitadores puedan configurar la proposición económica, sin que esta información sea vinculante, se indican las unidades solicitadas de jornadas de servicios a prestar anualmente amparadas en este contrato y el precio / hora unitario base estimado de licitación (sin IVA). Como se ha indicado ya, en el indicado precio se incluye todos los gastos de personal, infraestructura técnica, desplazamientos, dietas, licencias, formación interna, seguros, y cualquier otro coste imputable a la ejecución del servicio, sin que puedan trasladarse a Mutua Universal costes adicionales en ningún caso. | | Nº de jornadas anuales | Precio unitario jornada (IVA no incluido) | |-----------|--------------------------|---------------------------------------------| | Perfil #1 | 228 | 564,00 € | | Perfil #2 | 228 | 372,00 € | | Perfil #3 | 110 | 564,00 € | ## 13. REQUERIMIENTOS DE CALIDAD Y MEDIO AMBIENTE DEL SERVICIO El adjudicatario adoptará las medidas oportunas para el cumplimiento de la legislación ambiental en vigor en relación a las actividades solicitadas en este pliego. Además, se deberá asegurar de que el personal adscrito al servicio está debidamente formado en materia de buenas prácticas ambientales. En concreto, el adjudicatario tendrá la obligación de: -  Desarrollar su actividad con una actitud responsable frente al Medio Ambiente -  Cumplir con la normativa ambiental en vigor y con los requisitos legales aplicables a su actividad -  Informar de todos los incidentes con repercusión ambiental que tengan lugar en el desarrollo de las actividades del contrato en instalaciones de Mutua Universal -  Reutilizar todos los materiales que sea posible -  Apagar los equipos bajo su responsabilidad siempre que su funcionamiento no sea necesario ## 14. ACUERDOS DE NIVEL DE SERVICIO Con el objetivo de asegurar la calidad, trazabilidad y cumplimiento normativo de los servicios prestados por la Oficina Técnica de Ciberseguridad, se establecen los siguientes Acuerdos de Nivel de Servicio (SLAs), en línea con las exigencias del Esquema Nacional de Seguridad (ENS), especialmente en sus controles relativos a monitorización, continuidad, disponibilidad, trazabilidad y respuesta ante incidentes. Los indicadores de cumplimiento serán evaluados mensualmente en el Comité Operativo definido en el pliego, generando informes automatizados cuando sea técnicamente viable, y estarán sujetos a revisión trimestral por parte del Responsable del contrato. | SLA | Umbral mínimo exigido | Periodicidad de verificación | |----------------------------------------------------|--------------------------------------------------------------------------------------------------------------------------------|----------------------------------| | Disponibilidad de personal asignado (perfil 1 y 2) | ≥ 95% jornadas contratadas sin incidencias | Mensual, sobre jornadas hábiles. | | Asignación de perfil especializado (bolsa) | ≤ 10 días laborables por solicitud (95% de casos) | Mensual | | Respuesta a incidentes y alertas de ciberseguridad | ≥ 100% de incidentes clasificados y descritos registrados en Redmine Mutua en menos de 24 horas hábiles desde su conocimiento. | Mensual |  | Propuesta de medidas de remediación tras incidentes críticos | 100% de casos críticos con plan propuesto ≤ 2 dias habiles | Mensual | |--------------------------------------------------------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|-----------| | Actualización de indicadores del cuadro de mando de ciberseguridad | 100% indicadores actualizados en plazo mensual | Mensual | | Tiempos de atención a consultas técnicas por parte del equipo de Mutua | ≥ 90% respondidas en ≤ 2 días hábiles | Mensual | | Plazo de propuesta de sustituto ante baja planificada en perfiles 1 y 2 | <= 5 dias laborables. El adjudicatario deberá proponer y proveer un recurso de sustitución con experiencia y cualificación equivalente en un plazo máximo de 10 días laborables desde la notificación. | Mensual | | Plazo de propuesta de sustituto ante baja imprevista en perfiles 1 y 2 | El adjudicatario deberá proponer y proveer un recurso de sustitución con experiencia y cualificación equivalente en un plazo máximo de 15 días naturales desde la comunicación de la baja | Mensual | | Periodo de solapamiento entre recurso saliente y entrante en perfiles 1, 2 y 3 | En todos los casos de sustitución, deberá garantizarse un solape mínimo de 5 días laborables , sin coste adicional para Mutua Universal. | Mensual | -  Todos los indicadores estarán vinculados a sistemas de registro de Mutua Universal (JIRA, Redmine, SharePoint, Outlook, Excel u otras plataformas aprobadas). -  Se favorecerá el uso de herramientas que permitan la generación automática de informes de cumplimiento, empleando dashboards y cuadros de mando cuando sea posible. -  El adjudicatario deberá configurar desde el inicio del contrato un sistema de seguimiento automatizado de SLAs, accesible por Mutua Universal. El incumplimiento reiterado los SLAs será causa suficiente para la activación de una revisión del contrato, pudiendo implicar penalizaciones según lo previsto en el Pliego de Condiciones Particulares. En Barcelona, a 22 de octubre de 2025 Dirección de Ciberseguridad Dominique Perez Gonzalez