Iniciar Sesión Registrarse

ET para publicar.pdf

Pliego Técnico Ver licitación
{# full_text keeps real newlines; whitespace-pre-wrap renders them (so no |linebreaks filter, which would double the spacing). #}
<!-- image --> ## ESPECIFICACIONES TÉCNICAS PARA LA PRESTACIÓN DEL SERVICIO DE CAMPAÑAS DE MEDICINA PREVENTIVA A LAS PERSONAS TRABAJADORAS DEL GRUPO RENFE <!-- image --> ## ÍNDICE | 1. | OBJETO ............................................................................................................3 | OBJETO ............................................................................................................3 | | |----------------------------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------|----------------------------------------------------------------| | 2. | DESTINATARIOS DEL SERVICIO .........................................................................3 | DESTINATARIOS DEL SERVICIO .........................................................................3 | | | 3. | DISTRIBUCIÓN POR LOTES ...............................................................................3 | DISTRIBUCIÓN POR LOTES ...............................................................................3 | | | 4. | DESCRIPCIÓN DE LOS SERVICIOS .....................................................................3 | DESCRIPCIÓN DE LOS SERVICIOS .....................................................................3 | | | 4.1. | 4.1. | CAMPAÑA DE SALUD CARDIOVASCULAR | .....................................................3 | | 4.2. | 4.2. | CAMPAÑA DE SALUD COLORECTAL ..............................................................4 | | | 4.3. | 4.3. | CAMPAÑA DE SALUD DERMATOLÓGICA .......................................................4 | | | 4.4. | 4.4. | CAMPAÑA DE SALUD GINECOLÓGICA | ..........................................................4 | | 4.5. | 4.5. | CAMPAÑA DE SALUD OCULAR .....................................................................5 | | | 4.6. | 4.6. | CAMPAÑA DE SALUD ÓSEA .........................................................................5 | | | 4.7. | 4.7. | CAMPAÑA DE SALUD URO-PROSTÁTICA .......................................................5 | | | 5. DISTRIBUCIÓN DEL SERVICIO POR LOTES .........................................................5 | 5. DISTRIBUCIÓN DEL SERVICIO POR LOTES .........................................................5 | 5. DISTRIBUCIÓN DEL SERVICIO POR LOTES .........................................................5 | | | 5.1. | 5.1. | LOTE 1 - PERSONAL DE CONVENIO | .............................................................6 | | 5.2. | 5.2. | LOTE 2 - PERSONAL DE DIRECCIÓN | .............................................................6 | | 5.3. | 5.3. | DISTRIBUCIÓN GEOGRÁFICA DE LAS PERSONAS TRABAJADORAS DEL GR | .....7 | | 6. OBLIGACIONES DEL ADJUDICATARIO ..............................................................10 | 6. OBLIGACIONES DEL ADJUDICATARIO ..............................................................10 | 6. OBLIGACIONES DEL ADJUDICATARIO ..............................................................10 | | | 6.1. | 6.1. | CITACIÓN Y COMUNICACIÓN DE RESULTADOS | ..........................................12 | | 6.1.1. | 6.1.1. | PROCEDIMIENTO DE CITACIÓN Y PLAZO DE REALIZACIÓN DE LA CAMPAÑA 12 | | | 6.1.2. | 6.1.2. | PROCEDIMIENTO DE EMISIÓN Y ENVÍO DE INFORMES ...........................13 | | | 7. | ANEXO I. REQUISITOS DE SEGURIDAD EN MATERIA DE CONFIDENCIALIDAD LA INFORMACIÓN ..........................................................................................14 | ANEXO I. REQUISITOS DE SEGURIDAD EN MATERIA DE CONFIDENCIALIDAD LA INFORMACIÓN ..........................................................................................14 | DE | <!-- image --> ## 1. OBJETO El presente documento tiene por objeto definir las condiciones técnicas y los requisitos necesarios para la contratación de los servicios relacionados con las campañas de medicina preventiva que el Grupo Renfe (en adelante GR) pone a disposición de todas las personas trabajadoras. Estas campañas están dirigidas a todas las personas trabajadoras que cumplan con los criterios establecidos en cada una de ellas, con el objetivo de promover la salud laboral mediante acciones de prevención primaria, basadas en la evidencia científica y orientadas a reducir riesgos antes de que se manifiesten problemas de salud. ## 2. DESTINATARIOS DEL SERVICIO Está dirigido a todas las personas trabajadoras del GR que cumplan los requisitos establecidos en cada una de las campañas descritas en estas Especificaciones Técnicas (en adelante, ET). ## 3. DISTRIBUCIÓN POR LOTES La prestación de estos servicios se divide en dos lotes definidos por exigencias organizativas del GR y, en aplicación de las cláusulas de los Convenios Colectivos del Grupo Renfe y los acuerdos de la Comisión Mixta de Política Social, se distribuyen en los siguientes lotes: - A) LOTE 1: corresponde a las personas trabajadoras del GR adheridos al III Convenio Colectivo del Grupo Renfe. - B) LOTE 2: corresponde a las personas trabajadoras del GR que constituyen la Estructura de Dirección. ## 4. DESCRIPCIÓN DE LOS SERVICIOS Para cada uno de los dos lotes, el correspondiente adjudicatario deberá realizar todas las consultas especializadas, exploraciones y pruebas complementarias incluidas en las campañas de medicina preventiva descritas en este apartado, ya sea en clínicas propias o concertadas que deberán estar debidamente autorizadas y acreditadas. Se describen a continuación las consultas especializadas, exploraciones y pruebas complementarias correspondientes a cada una de las campañas: ## 4.1. CAMPAÑA DE SALUD CARDIOVASCULAR - x Campaña destinada a todas las personas trabajadoras del GR mayores de 40 años. - x Consultas y pruebas: consulta con médico especialista en Cardiología, <!-- image --> electrocardiograma (12 derivaciones), perfil analítico con las siguientes determinaciones: glucosa, colesterol (colesterol total, colesterol HDL, colesterol LDL y colesterol VLDL) y triglicéridos. A criterio del especialista, se podrá ampliar la campaña con la prueba de esfuerzo (ergometría). - x Periodicidad: anual. ## 4.2. CAMPAÑA DE SALUD COLORECTAL - x Campaña destinada a todas las personas trabajadoras del GR mayores de 40 años - x Pruebas: Se realiza test de cribado de sangre oculta en heces (TSOH) de una (1) sola muestra. En caso de positividad de la muestra, se realizará colonoscopia por especialista en Aparato Digestivo, con preparación previa y sedación por especialista en Anestesiología. Ante la existencia de lesiones y a criterio facultativo se efectuaría su exéresis y biopsia. - x Periodicidad: bienal. ## 4.3. CAMPAÑA DE SALUD DERMATOLÓGICA - x Campaña destinada a todas las personas trabajadoras del GR. - x Consulta con médico especialista en Dermatología con exploración y diagnóstico para la detección precoz de lesiones dermatológicas precancerosas y cancerosas. No incluye exéresis ni tratamiento de lesiones. - x Periodicidad: bienal. ## 4.4. CAMPAÑA DE SALUD GINECOLÓGICA - x Campaña destinada a todas las trabajadoras del GR. - x Consultas y pruebas: consulta con médico especialista en Ginecología, exploración ginecológica y mamaria, colposcopia, citología, ecografía vaginal y mamaria y mamografía. Todas estas pruebas se hacen a criterio facultativo. A petición de la interesada y a criterio del especialista en ginecología, se incluirá la detección precoz del Virus Papiloma Humano (VPH), que comprende la toma de muestras de exudado vaginal para su análisis. - x Periodicidad: anual. <!-- image --> ## 4.5. CAMPAÑA DE SALUD OCULAR - x Campaña destinada a todas las personas trabajadoras del GR mayores de 40 años. - x Consultas y pruebas: consulta con médico especialista en oftalmología, con estudio de agudeza visual, refracción, motilidad ocular, biomicroscopia, tonometría y fondo de ojo. - x Periodicidad: anual. ## 4.6. CAMPAÑA DE SALUD ÓSEA - x Campaña destinada a todas las trabajadoras del Grupo Renfe mayores de 55 años. - x Consulta y prueba: prueba de densitometría ósea y valoración de la prueba por médico especialista. - x Periodicidad: bienal. ## 4.7. CAMPAÑA DE SALUD URO-PROSTÁTICA - x Campaña destinada a los trabajadores de sexo masculino mayores de 40 años en el GR. - x Consultas y pruebas: consulta con médico especialista en Urología, exploración urológica, ecografía y analítica con las siguientes determinaciones: urea, creatinina, fosfatasa ácida prostática, PSA, PSA libre y orina completa. - x Periodicidad: anual. ## 5. DISTRIBUCIÓN DEL SERVICIO POR LOTES El número anual estimado de campañas de medicina preventiva que podrían realizar las personas trabajadoras del GR se detalla a continuación con especificación de los lotes y del número estimado por anualidad. <!-- image --> ## 5.1. LOTE 1 - PERSONAL DE CONVENIO | CAMPAÑA | ANUALIDAD | |-----------------------------------------------------|-------------| | CAMPAÑA DE SALUD CARDIOVASCULAR | 350 | | CAMPAÑA DE SALUD COLORECTAL | 350 | | CAMPAÑA DE SALUD COLORECTAL (Prueba complementaria) | 25 | | CAMPAÑA DE SALUD DERMATOLÓGICA | 300 | | CAMPAÑA DE SALUD GINECOLÓGICA | 225 | | CAMPAÑA DE SALUD GINECOLÓGICA (Detección VPH) | 45 | | CAMPAÑA DE SALUD OCULAR | 350 | | CAMPAÑA DE SALUD ÓSEA | 10 | | CAMPAÑA DE SALUD URO-PROSTÁTICA | 325 | | TOTAL | 1.980 | ## 5.2. LOTE 2 - PERSONAL DE DIRECCIÓN | CAMPAÑA | ANUALIDAD | |-----------------------------------------------------|-------------| | CAMPAÑA DE SALUD CARDIOVASCULAR | 70 | | CAMPAÑA DE SALUD COLORECTAL | 40 | | CAMPAÑA DE SALUD COLORECTAL (Prueba complementaria) | 7 | | CAMPAÑA DE SALUD DERMATOLÓGICA | 70 | <!-- image --> | CAMPAÑA DE SALUD GINECOLÓGICA | 30 | |-----------------------------------------------|------| | CAMPAÑA DE SALUD GINECOLÓGICA (Detección VPH) | 10 | | CAMPAÑA DE SALUD OCULAR | 70 | | CAMPAÑA DE SALUD ÓSEA | 5 | | CAMPAÑA DE SALUD URO-PROSTÁTICA | 70 | | TOTAL | 372 | ## 5.3. DISTRIBUCIÓN GEOGRÁFICA DE LAS PERSONAS TRABAJADORAS DEL GR Debido a la distribución geográfica de las personas trabajadoras del GR, atendiendo al menor desplazamiento posible de los mismos y para mejorar la oferta de localidades de realización de pruebas y consultas, es preciso que el adjudicatario disponga de clínicas o centros médicos propios o concertados, debidamente acreditados y autorizados, en las localidades que se detallan a continuación: | COMUNIDAD AUTÓNOMA | LOCALIDADES | |----------------------|-------------------------------------------------------------------------------------------------| | Andalucía | Almería, Cádiz, Córdoba, Granada, Huelva, Jaén, Málaga, y Sevilla. | | Aragón | Teruel y Zaragoza. | | Asturias | Avilés, Gijón y Oviedo. | | Cantabria | Santander. | | Castilla-La Mancha | Albacete, Alcázar de San Juan, Ciudad Real, Cuenca, Guadalajara y Toledo. | | Castilla y León | Ávila, Burgos, León, Miranda de Ebro, Palencia, Salamanca, Segovia, Soria, Valladolid y Zamora. | | Cataluña | Barcelona, Girona/Gerona, Lleida/Lérida y Tarragona. | <!-- image --> | Comunidad de Madrid: | Madrid. | |------------------------|------------------------------------------------------------------------| | ComunidadValenciana: | Alacant/Alicante, Castello/Castellon y Valencia/ Valencia. | | Extremadura: | Badajoz, Caceres y Mérida. | | Galicia | A Coruna/ Coruna, Lugo, Ourense/Orense, Santiago de Compostela y Vigo. | | La Rioja | Logrono | | Navarra | Pamplona / lruna | | Pais Vasco | Bilbo/Bilbao, Donostia/San Sebastian, Irun y Vitoria-Gasteiz/Vitoria | | Region de Murcia | Murcia | La distribucion geografica de las personas trabajadoras del GR, a la fecha datada en la presente Especificacion Técnica, por lotes, se representa en los siguientes cuadros: LOTE1-PERSONALDECONVENIO | PROVINCIAS | PERSONALDE CONVENIO | |--------------|-----------------------| | A CORUnA | 286 | | ALBACETE | 49 | | ALICANTE | 168 | | ALMERIA | 64 | | ARABA/ALAVA | 11 | | ASTURIAS | 827 | | AVILA | 11 | | BADAJOZ | 105 | | BARCELONA | 2054 | | BIZKAIA | 436 | | BURGOS | 306 | | CACERES | 41 | | CADIZ | 156 | | CANTABRIA | 331 | | CASTELLON | 56 | | CIUDADREAL | 168 | | CORDOBA | 294 | | CUENCA | 5 | | EXTRANJERO | 991 | | GIPUZKOA | 211 | | GIRONA | 92 | | GRANADA | 112 | | GUADALAJARA | 11 | <!-- image --> | HUELVA | 47 | |-------------|-------| | JAEN | 26 | | LA RIOJA | 7 | | LEON | 389 | | LLEIDA | 61 | | LUGO | 50 | | MADRID | 4135 | | MALAGA | 518 | | MURCIA | 266 | | NAVARRA | 75 | | ORENSE | 156 | | PALENCIA | 12 | | PONTEVEDRA | 208 | | SALAMANCA | 134 | | SEGOVIA | 10 | | SEVILLA | 681 | | SORIA | 15 | | TARRAGONA | 244 | | TERUEL | 6 | | TOLEDO | 20 | | VALENCIA | 939 | | VALLADOLID | 745 | | ZAMORA | 5 | | ZARAGOZA | 391 | | (en blanco) | | | Total | 15925 | ## LOTE 2-PERSONAL DE ESTRUCTURA DE DIRECCION | PROVINCIAS | PERSONALESTRUCTURA DE DIRECCION | |--------------|-----------------------------------| | A CORUnA | 6 | | ALICANTE | 1 | | ASTURIAS | 24 | | BADAJOZ | 4 | | BARCELONA | 83 | | BIZKAIA | 18 | | BURGOS | 1 | | CADIZ | 2 | | CANTABRIA | 5 | <!-- image --> | CORDOBA | 5 | |------------|------| | EXTRANJERO | 36 | | GIPUZKOA | 2 | | LEON | 13 | | MADRID | 818 | | MALAGA | 14 | | MURCIA | 1 | | ORENSE | 4 | | PONTEVEDRA | 4 | | SEVILLA | 30 | | TARRAGONA | 1 | | VALENCIA | 31 | | VALLADOLID | 19 | | ZARAGOZA | 9 | | Total | 1131 | ## 6. OBLIGACIONES DEL ADJUDICATARIO El adjudicatario debera seguir las directrices, instrucciones y observaciones que se realicen por parte del responsable de las campanas de medicina preventiva de la Gerencia de Area de Prevencion de Riesgos Laborales respecto a la prestacion de este servicio. ## El adjudicatario de cada lote esta obligado a: 1. Nombrar un interlocutor único, como figura de coordinador, que sera el responsable de responder de la correcta realizacion del servicio y de la calidad con que se desarrollan las campanas de medicina preventiva. El coordinador estara localizado y en su ausencia debera comunicar quien le sustituye en sus funciones. 2. Realizar las campanas de medicina preventiva siguiendo las directrices y protocolos definidos en estas ET, en el apartado 4 descripcion de los servicios. Ademas, debera tener en cuenta cualquier cambio en el contenido de las campanas de medicina preventiva por parte del responsable de las campanas de medicina preventiva del Area sanitaria del Servicio de Prevencion MancomunadodelGR(enadelanteSPM). 3. Realizar, valorar e informar a las personas trabajadoras del resultado de todas las exploraciones y pruebas medicas a que hacen referencia las campanas de medicina preventiva recogidas en estas ET, asi como trasladar, previamente tratada, de conformidad a la legislacion vigente en materia de proteccion de datos y convenientemente anonimizada, dicha informacion al responsable del seguimiento y ejecucion del contrato del Area sanitaria del SPM. <!-- image --> 4. Proporcionar, a las personas trabajadoras del GR inscritos en campañas de medicina preventiva, un documento mediante el cual recabe su consentimiento para el tratamiento de datos personales necesarios para la realización de las consultas, exploraciones y pruebas diagnósticas correspondientes a cada campaña de medicina preventiva. Debe ser una comunicación libre por parte del interesado por la cual acepta que se traten sus datos para la finalidad concreta de la realización de consultas, exploraciones y pruebas diagnósticas con su valoración por parte del médico especialista. Asimismo, se solicitará a la totalidad de los inscritos e inscritas en las campañas de medicina preventiva su consentimiento expreso, para que el adjudicatario pueda ceder los datos personales, así como copia del informe médico emitido tras la realización de las exploraciones y pruebas correspondientes de cada campaña de medicina preventiva al Área sanitaria del SPM del GR. Los consentimientos deberán cumplir las exigencias de la normativa vigente en materia de Protección de Datos. 5. Informar mensualmente, vía correo electrónico, de la evolución y desarrollo de las diferentes campañas de medicina preventiva al responsable de estas del Área sanitaria del SPM del GR. 6. Notificar al responsable de las campañas de medicina preventiva del Área sanitaria del SPM del GR con una periodicidad no superior a quince (15) días naturales, de forma individualizada de las incidencias de cada una de las campañas de medicina preventiva. 7. El plazo máximo de envío y recepción de los informes con los resultados a personas trabajadoras del GR y a los centros sanitarios de Renfe Operadora por parte del adjudicatario será de treinta (30) día s naturales desde que el adjudicatario reciba la solicitud de las campañas remitidas por parte del responsable de las campañas de medicina preventiva del Área sanitaria del SPM del GR. 8. Siempre que se detecten hallazgos sospechosos o confirmatorios de patología grave, el adjudicatario comunicará de manera inmediata dicha información al interesado o interesada. Paralelamente, en caso de que el interesado o interesada haya prestado consentimiento expreso para comunicar los resultados al área Sanitaria del SPM del GR, de conformidad con lo indicado en el apartado 6 de la ET, el adjudicatario comunicará también dicha información, de forma inmediata, al responsable de las campañas de medicina preventiva del Área sanitaria del SPM del GR. 9. Proporcionar el sistema de codificación a aplicar por parte del adjudicatario, para la identificación de las personas trabajadoras del GR inscritos en la campaña correspondiente para el tratamiento de los datos de carácter personal. Este sistema de codificación deberá comunicarse al responsable del Grupo RENFE en el plazo máximo de 15 días naturales a contar desde la fecha <!-- image --> - de inicio de la prestación del servicio. 10. Si se produjese cualquier cambio o incidencia en el cumplimiento de los protocolos figurados en esta ET por parte de las clínicas o centros médicos propios o concertados, lo deberá comunicar al responsable de las campañas de medicina preventiva del Área sanitaria del SPM del GR. Cualquier incidencia que repercuta en el correcto funcionamiento de las campañas de medicina preventiva será resuelta con carácter inmediato y obligatorio por parte del adjudicatario. ## 6.1. CITACIÓN Y COMUNICACIÓN DE RESULTADOS Renfe Operadora indicará, previamente al inicio de la prestación del servicio, al adjudicatario de cada uno de los lotes, el procedimiento de citación y comunicación de resultados. ## 6.1.1. PROCEDIMIENTO DE CITACIÓN Y PLAZO DE REALIZACIÓN DE LA CAMPAÑA 1. Las citaciones a las campañas de medicina preventiva se realizarán vía telefónica (llamadas) separadas en el tiempo, en periodos de tres (3) días consecutivos, para garantizar en la medida de los posible, la recepción de las llamadas por parte de los inscritos o inscritas en las campañas de medicina preventiva. 2. Se confirmará la cita programada por correo electrónico al trabajador o trabajadora. En caso de que la citación fuere infructuosa, después de las 3 llamadas telefónicas en días consecutivos, se le enviará un mail al trabajador o trabajadora comunicando dicha circunstancia. 3. El plazo máximo para que las clínicas médicas propias o centros médicos concertados citen para la realización de consultas y pruebas, según los términos de la solicitud de la persona trabajadora y siempre cumpliendo los requisitos establecidos en estas Especificaciones Técnicas, será de quince (15) días naturales desde que el adjudicatario reciba la solicitud de la campaña remitida por Renfe Operadora. Todas las consultas, exploraciones y pruebas complementarias detalladas en el punto 4 de estas Especificaciones Técnicas, se realizarán en un plazo máximo de quince (15) días desde la fecha de la citación por parte de las clínicas o centros médicos concertados. 4. El adjudicatario enviará la cita de la campaña de medicina preventiva al trabajador o trabajadora, mediante un correo electrónico. A tal efecto se <!-- image --> generará un registro de control de los correos electrónicos con sus fechas de envío por parte del adjudicatario a las personas trabajadoras. En caso de no recibir respuesta a los correos remitidos por la adjudicataria por parte del trabajador o trabajadora se procederá a la anulación de la inscripción del trabajador o trabajadora en la campaña de medicina preventiva correspondiente, previa autorización del responsable de las campañas de Renfe Operadora. 5. En la Campaña Colorectal, en el correo electrónico que se envía a los trabajadores o trabajadoras, se especificará dónde debe recoger el test de cribado de sangre oculta en heces (TSOH) y el procedimiento de realización del mismo. Si en un periodo de 30 días (1 mes) la persona trabajadora no acude a retirar el test de cribado de sangre oculta en heces, se procederá a la anulación de la inscripción en la campaña, previa autorización del responsable de las campañas de Renfe Operadora. ## 6.1.2. PROCEDIMIENTO DE EMISIÓN Y ENVÍO DE INFORMES En un plazo de quince (15) días naturales tras la realización de la consulta, exploraciones y pruebas complementarias, el adjudicatario debe emitir y enviar el informe médico vía correo electrónico al interesado o interesada. La comunicación al centro sanitario de Renfe Operadora del informe médico y de las pruebas realizadas según el protocolo establecido en esta ET, se realizará a través de una plataforma digital creada a tal efecto por parte del adjudicatario. Se debe incluir: informe médico del especialista que realiza la campaña, pruebas complementarias con su valoración, juicio diagnóstico y pruebas de imagen realizadas. El envío de informes médicos debe estar sujeto y cumplir con la legislación vigente en materia de Protección de Datos. El adjudicatario solicitará al interesado o interesada su consentimiento expreso para comunicar los resultados al área sanitaria del SPM del GR. En caso de no otorgarle el interesado o interesada su consentimiento expreso, el adjudicatario se abstendrá de enviar información que contenga datos sensibles. Fdo: <!-- image --> <!-- image --> GERENCIA DE ÁREA DE PRL Dirección de Coordinación, Prevención y Gestión Patrimonial Dirección General de Organización y Talento 7. ANEXO I. REQUISITOS DE SEGURIDAD EN MATERIA DE CONFIDENCIALIDAD DE LA INFORMACIÓN <!-- image --> ## Requisitos de Seguridad en Materia de Privacidad y de Confidencialidad de la Información ## Requisitos de Seguridad en Materia de Privacidad y de Confidencialidad de la Información <!-- image --> ## PARTE I El licitador cumplirá cada uno de los requisitos expuestos a continuación y desarrollados en la PARTE II del presente ANEXO. Se acreditará mediante la cumplimentación de la declaración responsable de acreditación de documentación (ANEXO I del PCP): - x El licitador asegura ser consciente de las obligaciones legales en materia de Tecnologías de la Información (en adelante TI) que adquirirá, en caso de resultar adjudicatario, tales como el Esquema Nacional de Seguridad, conforme a lo indicado en el punto PS.01 de la PARTE II del Anexo 1 de la ET. - x El licitador asegurará que, en caso de resultar adjudicatario, informará a Renfe de la ubicación geográfica y de los países desde los que presta el Servicio y en los que puede almacenar y tratar la información de Renfe, tanto durante la normal prestación del Servicio, como en caso de contingencia, conforme a lo indicado en el punto PS.01 de la PARTE II del Anexo 1 de la ET. - x El licitador asegura que una vez sea adjudicatario realizará un análisis de riesgos conforme al artículo 14 del ENS según la metodología conforme al ENS, que en particular el Grupo Renfe identifica como MAGERIT (herramienta Pilar), salvo que, por indicación contraria y expresa, del Área de Ciberseguridad y Privacidad del Grupo Renfe se especifique lo contrario. Este Análisis de Riesgos (realizado una vez sea adjudicatario del servicio), será compartido con el Área de Ciberseguridad y Privacidad del Grupo Renfe, conforme a lo indicado en el punto PS.04 de la PARTE II del Anexo 1 de la ET. - x El licitador asegura que, en caso de resultar adjudicatario, para el alcance del proyecto detallará tanto su estrategia y plan de no obsolescencia, como sus compromisos con la Gestión de las Vulnerabilidades (identificación, remediación, SLA), conforme a lo indicado en el punto PS.07 de la PARTE II del Anexo 1 de la ET. - x El licitador, asegura que, en caso de resultar adjudicatario, describirá su estrategia, metodologías y herramientas / soluciones / activos que se plantea utilizar para lograr el objetivo establecido en el punto PS.08 de la PARTE II del Anexo 1 de la ET. - x El licitador se compromete a facilitar en todo lo posible al CERT de Renfe la realización de un test de penetración del conjunto de la solución ofertada en caso de resultar adjudicatario, conforme a lo indicado en el punto PS.10.03 Auditorías de la PARTE II del Anexo 1 de la ET. - x El licitador garantiza que, en caso de resultar adjudicatario, pondrá a disposición de Renfe la definición, el diseño y esquemas de los elementos, mecanismos y arquitecturas de seguridad y continuidad de negocio desplegadas sobre la infraestructura tecnológica, y los procedimientos y procesos que soportan el servicio, conforme a lo establecido en el punto PS.10.04 de la PARTE II del Anexo 1 de la ET. - x El licitador deberá garantizar la adecuada formación, concienciación y capacitación del personal involucrado en la prestación del servicio a Renfe, conforme a lo indicado en el punto PS.12 Concienciación de la PARTE II del Anexo 1 de la ET. - x La solución ofertada está certificada en el ENS nivel MEDIO, tal y como aparece recogido en el Documento de Seguridad 'Obligaciones de los prestadores de servicios a las entidades públicas' del CCN. En caso de no estar certificada, el licitador se comprometerá a solicitar, en caso de resultar adjudicatario, dicha certificación en los primeros 6 meses de prestación del servicio. En caso de que la solución ofertada por el licitador no esté certificada en el ENS, pero esté certificada por un tercero externo, de un Sistema de Gestión de la Seguridad de la Información (SGSI), basado en la 27001 o similar, el licitador se comprometerá a solicitar dicha certificación durante los 8 primeros meses de prestación del servicio, en caso de resultar adjudicatario. Todo ello, de acuerdo a lo <!-- image --> - indicado en el punto CN.01 Cumplimiento normativo, de la PARTE II del Anexo 1 de la ET. - x El licitador asegura que, en caso de resultar adjudicatario, de conformidad con la Ley 12/2018, de 7 de septiembre, se satisfarán las obligaciones en relación con los incidentes de seguridad, conforme a lo indicado en el punto CN.02 de la PARTE II del Anexo 1 de la ET. - x El licitador asegura que, en caso de resultar adjudicatario, dispondrá de las siguientes figuras, estando debidamente recogidas y documentadas, y siendo personas distintas; tal y como establece el artículo 13.5 en su apartado 5 del RD 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS) conforme a lo indicado en el punto SP de la PARTE II del Anexo 1 de la ET. - o Responsable del Proyecto - o Responsable de Seguridad - x El licitador asegura que en caso de resultar adjudicatario, dispondrá de los procesos, normas, procedimientos, recursos, actividades, informaciones, registros, facilidades, herramientas y disposición de colaboración que faciliten al Área de Seguridad y Privacidad de RENFE-Operadora, las tareas de supervisión, auditoría, gestión y notificación de incidentes de seguridad que se pudieran producir en relación con el servicio, conforme a lo indicado en el punto SP.04, de la PARTE II del Anexo 1 de la ET. - x El licitador garantiza que el servicio soporta mecanismos de federación de la identidad basado en buenas prácticas y estándares del mercado (SAML2, ADFS, etc.), conforme a lo indicado en el punto GI.06 de la PARTE II del Anexo 1 de la ET. - x El licitador asegura que, en caso de resultar adjudicatario, detallará cómo se proporcionará solución para este tipo de usuarios, qué controles aplicará (organizativos, procedimentales) así como las capacidades técnicas (incluidas herramientas) y humanas que se incluyen en la propuesta de gestión segura de acceso de usuarios privilegiados, conforme a lo indicado en el punto GI.13, de la PARTE II del Anexo 1 de la ET. - x El licitador asegurará que, en caso de resultar adjudicatario mantendrá y pondrá a disposición del Grupo Renfe, un inventario actualizado de la totalidad de equipos, conforme a lo indicado en el punto SE.03 de la PARTE II del Anexo I de las Especificaciones Técnicas. ## PARTE II PS. Principios de Seguridad de obligado cumplimiento para la prestación del servicio: PS.01 Cumplimiento legal, activo. El licitador debe ser consciente de las obligaciones legales en materia de Tecnologías de la Información (en adelante TI) que adquirirá, en caso de resultar adjudicatario, tales como el Esquema Nacional de Seguridad y la legislación vigente en materia de protección de datos de carácter personal (RGPD y LOPDGDD), referente a servicios a contratar. Estas obligaciones legales se materializan en obligaciones técnicas tales como la gestión de los incidentes o las evaluaciones, análisis, Gestión y tratamiento de Riesgos. El licitador asegurará que, en caso de resultar adjudicatario, informará a Renfe de la ubicación geográfica y de los países desde los que presta el Servicio y en los que puede almacenar y tratar la información de Renfe, tanto durante la normal prestación del Servicio, como en caso de contingencia. Además, será obligatorio, salvo que se disponga de autorización expresa, que la prestación del servicio se realice desde el Espacio Económico Europeo. Por otro lado, el adjudicatario deberá obtener de Renfe autorización para cualquier cambio de ubicación geográfica y de los países. ## PS.02 Políticas de Seguridad. El adjudicatario, deberá conocer y cumplir las medidas de Seguridad incluidas en la Política de Seguridad de los Sistemas de Información del Grupo Renfe, recogidas y especificadas en el resto de Requisitos que se detallan a continuación. El adjudicatario, deberá tener establecidas Políticas de Seguridad de los Sistemas de Información en su empresa. PS.03 Responsabilidad. La responsabilidad última de la adecuada gestión de los riesgos asociados con las actividades objeto del contrato recae en la alta dirección de Renfe. Por lo que la realización de funciones TI por parte de un tercero no debe perjudicar la supervisión de Renfe y, por ende, de los servicios que se realicen. El adjudicatario es responsable directo de los riesgos TIC que se derivan de las actividades que se le han contratado, en la medida de que de él depende el diseño, transformación, construcción y operación de los sistemas, servicios y actividades realizadas objeto de la presente licitación. El licitador deberá asegurar que, en caso de resultar adjudicatario, dispondrá de las figuras que se indican en el punto SP (roles de seguridad y privacidad) de este documento. PS.04 Análisis de Riesgos. El licitador que resulte adjudicatario deberá llevar a cabo un análisis de riesgos conforme al artículo 14 del ENS según la metodología conforme al ENS, que en particular el Grupo Renfe identifica como MAGERIT (herramienta Pilar), salvo que, por indicación contraria y expresa, de la Gerencia de Área de Ciberseguridad y Privacidad del Grupo Renfe se especifique lo contrario. El análisis de riesgos deberá incluir: <!-- image --> - x Identificación de los activos que forman parte del proyecto (comunicaciones, hardware, software, personal, etc). - x Valoración del servicio. - x Riesgo Inicial acorde a Magerit (Alto, Medio o Bajo). - x Amenazas de seguridad. - x Controles de seguridad que mitiguen las amenazas. - x Riesgo Residual obtenido tras aplicar los controles de seguridad, también acorde a Magerit (Alto, Medio o Bajo). Este Análisis de Riesgos cumple con un doble objetivo: por un lado, el adjudicatario es consciente de los riesgos de ciberseguridad que debe tener en cuenta, y, por otro lado, debe ser consciente que la calidad del Análisis de Riesgos realizado, le permitirá responder más adecuadamente las salvaguardas que le sean de aplicación, una vez gestionado y evaluado el riesgo por Renfe. El Análisis (realizado una vez sea adjudicatario del servicio), será compartido con la Gerencia de Área de Ciberseguridad y Privacidad del Grupo Renfe, ya que formará parte de la evaluación del Riesgo que realizará el Grupo Renfe. El adjudicatario deberá colaborar e implementar bajo el alcance del contrato, aquello que le sea de aplicación. PS.05 Gobierno de la seguridad. Se asegurará de que los servicios prestados en virtud del presente procedimiento de contratación, así como los sistemas de información que los sustentan, se prestan de conformidad a los requisitos de seguridad establecidos en el Esquema Nacional de Seguridad. PS.06 Clasificación de la información y de activos. El adjudicatario garantizará la confidencialidad de la información propiedad de Renfe, así como la información secreta de autenticación, desplegando los mecanismos de control que procedan en cada caso. El adjudicatario deberá realizar un tratamiento de la Información teniendo en cuenta la clasificación de la Información que haya realizado el Responsable de la Información interno de Renfe. El adjudicatario debe disponer de un inventario de dicha información (activos, clasificación, valoración y riesgos), siendo su responsabilidad mantenerla al día con rigurosidad, exactitud, completitud y calidad. Así mismo, esa información debe ponerse de forma accesible, práctica y segura a Renfe, en particular, al Departamento de Seguridad y Privacidad de Renfe. Los activos de información, en lo referente a elementos de software (Sistemas Operativos, software base, complementos, aplicaciones y servicios), hardware (sistemas informáticos de red y seguridad), así como cualquier otro elemento que tenga valor para el servicio debe estar adecuadamente documentado. Para esto, se deberá incluir fabricante, marca, modelo, versión, parches, configuraciones, usuarios con derechos de acceso, el detalle de los derechos para los mismos, así como cualquier otra información que se requiera necesaria para su operación, administración y gestión de incidentes, supervisión y auditoría. PS.07 No Obsolescencia y Gestión de Vulnerabilidades. El licitador asegura que, en caso de resultar adjudicatario, para el alcance del proyecto detallará tanto su estrategia y plan de no obsolescencia, como sus compromisos con la Gestión de las Vulnerabilidades (identificación, remediación, SLA). PS.08 Control de la cadena de suministro de la tercera parte. Grupo RENFE y el adjudicatario deben acordar encadenar la contratación sólo si el subcontratista también cumplirá totalmente con las obligaciones existentes entre RENFE-Operadora y el adjudicatario, incluidas las obligaciones contraídas a favor de las diferentes autoridades de control. El adjudicatario deberá informar a RENFE-Operadora de la subcontratación de parte del servicio, debiendo cumplir los requisitos correspondientes seguridad y Ley Orgánica de Protección de Datos y Garantía de Derechos digitales en relación con parte del contrato en que intervenga. PS.09 Gestión de incidentes y Notificación. El adjudicatario deberá establecer un proceso formal de gestión de incidentes de seguridad, habilitando los mecanismos oportunos para la notificación y reporte de incidentes a RENFE-Operadora. Una vez identificado como posible incidente, la Gestión del mismo se trasladará al CERT de RENFE-Operadora (el cual no forma parte del proyecto del Adjudicatario). El adjudicatario colaborará, en aquellas actividades y plazos que el CERT de RENFE-Operadora le solicite para la correcta valoración, remediación, documentación y notificación del incidente (durante la duración del mismo). Las notificaciones a las autoridades de control deberán ser conforme a los plazos legalmente estipulados. PS.10 Garantías de supervisión. PS.10.01 Supervisión. El adjudicatario deberá habilitar los mecanismos para garantizar la supervisión del nivel de seguridad, por parte del Departamento de Seguridad y Privacidad de Renfe. Esta supervisión incluye, aunque no se limita, a la visión no sólo de los registros de auditoría de aplicaciones, servidores y bases de datos, sino al acceso en modo lectura a las consolas de los diferentes sistemas de seguridad, a los usuarios que tienen permisos en los mismos, a los permisos de éstos, a los eventos, configuraciones, reglas, etc.; en suma, a cuantos elementos permitan a los activos de información que recogen, tratan, transmiten, procesan y almacenan la información de Renfe. PS.10.02 Trazabilidad. El adjudicatario deberá habilitar suficientes mecanismos para garantizar el registro, auditoría y trazabilidad de los eventos, operaciones, acciones y actividades llevados a cabo y/o materializados en las aplicaciones, microservicios, sistemas e infraestructura involucrados en el servicio. Los registros deberán estar accesibles y disponibles para RENFEOperadora en caso de ser requeridos, así como debidamente protegidos. Debe proveerse de los registros necesarios para unir y trazar la información de red con la de Negocio. La información de eventos de seguridad del servicio específico que proporcione al Grupo Renfe, debe enviarse y estar correlacionada en un SIEM o bien en su defecto si el Grupo Renfe lo autoriza, la entrega e integración sería sustituida por una API que el adjudicatario pondría a disposición de RENFE-Operadora para la captura de los logs por parte del SIEM de RENFE-Operadora. PS.10.03 Auditorías. El adjudicatario del servicio deberá permitir y colaborar, en el caso que sea necesario, en las diversas auditorías a las que se encuentra sujeta Renfe. Asimismo, el licitador se compromete a facilitar en todo lo posible al CERT de Renfe la realización de un test de penetración del conjunto de la solución ofertada, en caso de resultar adjudicatario. PS.10.04 Documentación. El licitador garantiza que, en caso de resultar adjudicatario, pondrá a disposición de Renfe la definición, el diseño y esquemas de los elementos, mecanismos y arquitecturas de seguridad y continuidad de negocio desplegadas sobre la infraestructura tecnológica y los procedimientos y procesos que soportan el servicio, incluyendo: <!-- image --> <!-- image --> - x Activos de información, incluyendo el mapa y dependencias. - x Configuraciones. - x Procesos (conforme al proceso de documentación de procesos). - x Procedimientos técnicos. PS.11 Disponibilidad, Recuperación, contingencia, crisis, continuidad de negocio y planes de salida. De entre los diversos escenarios en los que sea necesario aplicar un plan de contingencia o incluso el de salida, por parte de Renfe es de particular importancia la necesidad de identificar y retener, a alto nivel, las competencias básicas adecuadas a un nivel operativo en Renfe para que, in extremis, pueda tener la capacidad de reanudar el control directo de las actividades subcontratadas. El adjudicatario debe hacer una propuesta de identificación de dichas competencias y capacidades. Además, el adjudicatario deberá facilitar el proceso de devolución de la información de Renfe inherente a un cese o rescisión del contrato. Adicionalmente, se deberá aportar las certificaciones oportunas de destrucción segura de la información propiedad de Renfe. PS.12 Concienciación. El adjudicatario deberá garantizar la adecuada formación, concienciación y capacitación del personal involucrado en la prestación del servicio a Renfe. Dicho personal deberá contar con formación y conocimientos específicos de las tecnologías involucradas en la prestación del servicio, Seguridad de la Información y la legislación aplicable en el contexto del servicio. PS.13 Confidencialidad. El personal del adjudicatario y el personal de las empresas subcontratadas por el adjudicatario deberá firmar un Acuerdo de Confidencialidad con el Grupo Renfe, así como cumplir los procedimientos de seguridad establecidos para los adjudicatarios. CN Relativo al cumplimiento normativo CN.01 Cumplimiento normativo. La solución para el servicio de la plataforma de gestifertada por el licitador debe estar certificada en el ENS nivel MEDIO, tal y como aparece recogido en el Documento de Seguridad 'Obligaciones de los prestadores de servicios a las entidades públicas' del CCN. En caso de no estar certificada el licitador se comprometerá a solicitar dicha certificación durante los 6 primeros meses de prestación del servicio, en caso de resultar adjudicatario. En el caso que la solución para el servicio de la plataforma ofertada por el licitador no esté certificada en el ENS, pero este certificada por un tercero externo, de un Sistema de Gestión de la Seguridad de la Información (SGSI), basado en la 27001 ó similar, el licitador se comprometerá a solicitar dicha certificación durante los 8 primeros meses de prestación del servicio, en caso de resultar adjudicatario. El aumento temporal de 2 meses en la solicitud de la certificación en el ENS, en este caso, se debe a que el licitador se encuentra ya en cumplimiento con un Marco de Seguridad de la Información. CN.02 El licitador de conformidad con la Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, asegurará que, en caso de resultar adjudicatario, se satisfarán las obligaciones en relación con los incidentes de seguridad. CN.03 Debe contemplarse el compromiso de devolución/destrucción (a elección del Grupo Renfe) de la información confidencial recabada durante la ejecución del servicio. CN.03.01 Si por la naturaleza del proyecto, Grupo Renfe requiere del borrado y destrucción de cualquier soporte de información englobado al alcance del servicio prestado; el adjudicatario deberá aplicar un procedimiento seguro de borrado y destrucción conforme a lo indicado en el Esquema Nacional de Seguridad. <!-- image --> CN.03.02 Asimismo, para cada borrado/destrucción realizada, el adjudicatario deberá entregar a Grupo Renfe un certificado recogiendo al menos los siguientes campos: - a. Fecha recogida material. - b. Personal proveedor encargado de la recogida y transporte. - c. Procedimiento detallado empleado en el borrado/destrucción realizada.