Iniciar Sesión Registrarse

Anexo1.pdf

Pliego Técnico Ver licitación
{# full_text keeps real newlines; whitespace-pre-wrap renders them (so no |linebreaks filter, which would double the spacing). #}
<!-- image --> ## ANEXO N.º 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA PRESTACIÓN DEL SERVICIO DE REDACCIÓN, FORMALIZACIÓN, NORMALIZACIÓN Y HOMOGENEIZACIÓN DE LOS PROCEDIMIENTOS MARCO DE LOGIRAIL, SME, S.A. <!-- image --> ## 00 | INTRODUCCIÓN El presente Pliego de Prescripciones Técnicas tiene por objeto definir las condiciones para la contratación de un servicio de redacción, revisión, normalización y homogeneización de los procedimientos internos de LogiRAIL, con el fin de disponer de un cuerpo documental estructurado, coherente y homogéneo, alineado con la operativa real de la organización. LogiRAIL cuenta actualmente con un conjunto amplio de procedimientos, manuales y documentación que explican la operativa seguida en sus actividades corporativas, de soporte y de negocio, si bien hay procesos que no están desarrollados documentalmente y cuya redacción también forma parte del alcance de esta licitación. El objeto del presente contrato es ordenar, consolidar y estandarizar el cuerpo documental de la organización, partiendo de la situación real existente, mediante la formalización de procedimientos marco escritos y normalizados. Este servicio se concibe como una fase documental, posterior a los trabajos de identificación y ordenación de procedimientos realizados por LogiRAIL, y tiene como finalidad dotar a la organización de un conjunto de procedimientos que permita: - -mejorar la claridad y consistencia operativa interna, - -facilitar la coordinación e interrelación entre áreas, - -asegurar la coherencia del marco documental, - -y servir de base para proyectos posteriores de transformación, digitalización y auditoría. ## 01 | ALCANCE El alcance se centra en la elaboración y formalización documental de los Procedimientos Marco de LogiRAIL, entendidos como los documentos corporativos de referencia que establecen el marco común de gestión de actividades (corporativas, de soporte y de negocio), definiendo su objeto y alcance, roles y responsabilidades, interrelaciones entre áreas, controles y evidencias, así como criterios básicos de actuación. En la situación actual, LogiRAIL dispone de documentación heterogénea que da soporte a su operativa (procedimientos parciales, manuales, flujogramas, registros y otros documentos de apoyo). Dicha documentación constituye el material de partida para el trabajo del adjudicatario, pero no se encuentra consolidada en Procedimientos Marco formalizados, homogéneos y estructurados conforme a un estándar común. En consecuencia, el servicio objeto del contrato comprende la redacción y consolidación de los Procedimientos Marco de gestión de la compañía, utilizando como base la documentación existente cuando la haya así como las entrevistas que sean necesarias con los responsables de cada proceso, y realizando las labores necesarias de revisión, integración, normalización y, en su caso, reescritura parcial, de forma que dicha documentación quede incorporada y consolidada en el documento final del Procedimiento Marco (y sus anexos cuando aplique). ## 01.01.- Formalización de Procedimientos Marco El adjudicatario elaborará el documento final de Procedimiento Marco para cada uno de los procesos de gestión de la empresa así como los formatos de Registro de actividad, partiendo de: - -la documentación de partida existente en la organización (cuando la haya), y - -la información validada por LogiRAIL, obtenida mediante las interacciones necesarias con las áreas implicadas, cuando proceda. Cada Procedimiento Marco se entregará conforme a un estándar homogéneo acordado con LogiRAIL, e incluirá, como mínimo: - descripción operativa del procedimiento, - secuencia de actividades y puntos de decisión, - roles y responsabilidades (ejecución, revisión y validación), - controles, evidencias y registros asociados, - interrelaciones con otras áreas, - plazos de ejecución o de revisión, cuando proceda. La redacción de procedimientos operativos detallados vinculados a la ejecución de los servicios de las áreas de negocio no forma parte del alcance del contrato, que se limita a la definición de Procedimientos Marco, salvo que LogiRAIL lo determine expresamente. 01.02.- Ejecución del servicio en función de la documentación de partida (categorías A/B/C). <!-- image --> A efectos de planificación y ejecución del servicio, LogiRAIL distingue la situación documental de partida de cada Procedimiento Marco en categorías A, B y C, en función del grado de documentación disponible. Esta clasificación describe exclusivamente el punto de partida con el fin de que el licitador pueda valorar el esfuerzo necesario en el desarrollo del servicio. En todos los casos, el resultado contractual será la formalización del Procedimiento Marco con una estructura homogénea y coherente. ## Categoría A -Documentación de partida suficiente En los procedimientos clasificados como categoría A, existe un conjunto suficiente de documentación escrita (procedimientos parciales, manuales, guías, flujogramas, registros, etc.) que permite construir el Procedimiento Marco con un nivel reducido de obtención adicional de información. En esta situación se encuentran aproximadamente 15 procesos. En estos casos, el adjudicatario deberá: - revisar la documentación disponible y validar su adecuación al alcance del Procedimiento Marco; - integrar y consolidar información dispersa; - normalizar estructura, formato, nomenclatura y criterios de redacción conforme al estándar acordado; - reescribir o ajustar contenido cuando sea necesario para asegurar coherencia, claridad y completitud del Procedimiento Marco; - completar elementos mínimos (roles, controles, evidencias, interrelaciones, plazos) únicamente cuando no estén suficientemente definidos en la documentación de partida; - incorporar la documentación de soporte como anexos o referencias, cuando aplique, garantizando la trazabilidad. ## Categoría B -Documentación de partida parcial En los procedimientos clasificados como categoría B, la documentación de partida es parcial o incompleta. Además de las tareas anteriores de revisión y normalización, el adjudicatario deberá completar la información faltante mediante la interacción con las áreas implicadas (sesiones de trabajo y/o consultas dirigidas), con el fin de formalizar el Procedimiento Marco con el contenido mínimo exigido. En este estado se encuentran aproximadamente 19 Procedimientos. ## Categoría C -Sin documentación de partida En los procedimientos clasificados como categoría C, no existe documentación escrita suficiente como punto de partida. El adjudicatario deberá recopilar y estructurar la información necesaria con las áreas responsables (mediante sesiones de trabajo y consultas), redactando el Procedimiento Marco desde cero conforme al estándar acordado y asegurando su validación por LogiRAIL una vez adjudicado el expediente de contratación. Se estima en un número de 7, los Procesos sobre los que no existe documentación escrita. ## 01.03.- Alcance cuantificado estimado por áreas e inventario de referencia La redacción y consolidación de los Procedimientos Marco objeto de esta licitación abarca a todas las áreas de gestión de LogiRAIL, incluyendo las áreas corporativas, de soporte y de negocio. El inventario de los Procedimientos Marco objeto del contrato está compuesto aproximadamente por un total de cuarenta y un (41) procedimientos , que constituyen el núcleo del cuerpo documental de la compañía y sobre los que se estructurará el servicio. Dicho inventario define el alcance inicial del contrato, sin perjuicio de la posible incorporación de nuevos procedimientos conforme a la bolsa de procedimientos adicionales prevista en el Pliego de Condiciones Particulares. Durante la ejecución del contrato, el adjudicatario podrá proponer ajustes en contenido de los Procedimientos, siempre que se trate de modificaciones de carácter organizativo o de estructuración documental, sin alterar el contenido ni el esfuerzo global del servicio. ## 01.04.- Exclusiones del alcance No forman parte del alcance del presente contrato las siguientes actuaciones: - La elaboración o redefinición del mapa de procesos de la organización. - Actividades de análisis, reingeniería, optimización o rediseño de procesos, más allá de la necesaria comprensión para su correcta formalización documental. - La consultoría estratégica, organizativa o de gobierno corporativo. - El diseño funcional, técnico o de arquitectura de sistemas de información, incluyendo la definición de requisitos, especificaciones. <!-- image --> - Soluciones técnicas o soluciones de implantación de herramientas. - La implantación, configuración o desarrollo de sistemas, aplicaciones o herramientas, así como la ejecución de cambios operativos derivados de la documentación elaborada. - La formación al personal sobre los procedimientos documentados, salvo que se acuerde expresamente como actuación adicional. No obstante lo anterior, el contrato contempla una bolsa de procedimientos adicionales, que permitirá, en caso de necesidad durante su vigencia, formalizar nuevos Procedimientos Marcos no incluidos en el inventario inicial, mediante su incorporación al plan de trabajo y previa validación por parte de LogiRAIL. ## 01.05.- Resultado final esperado Al finalizar la ejecución del contrato, LogiRAIL dispondrá de un cuerpo documental homogéneo y estructurado de Procedimientos Marco, formalizados conforme al estándar acordado y alineados con la operativa real de la organización. Dicho cuerpo documental estará compuesto por los Procedimientos Marco incluidos en el inventario del contrato y, en su caso, por aquellos incorporados mediante la bolsa de procedimientos adicionales prevista, y constituirá el resultado contractual final del servicio. Los Procedimientos Marco entregados deberán encontrarse correctamente documentados, versionados, organizados y validados por LogiRAIL, quedando preparados para su uso interno, mantenimiento y revisión, así como para servir de base a futuras iniciativas de mejora, digitalización o auditoría. ## 02 | METODOLOGÍA DEL TRABAJO La metodología se desarrollará en fases sucesivas, estructurando el trabajo de forma progresiva y ordenada, con el fin de permitir la revisión, validación y cierre de los Procedimientos Marco incluidos en el alcance del contrato. La metodología parte de un plan de trabajo inicial, que se irá ajustando a medida que se avance en la revisión de la documentación disponible y en la recopilación de información con las áreas implicadas. ## 02.01.- Fase 1 - Puesta en marcha y planificación inicial La fase de puesta en marcha tendrá por objeto establecer el marco organizativo y metodológico del servicio, así como las condiciones iniciales para su correcta planificación. A tal efecto, se realizará una reunión de arranque con el área de Calidad y la Dirección de Innovación, Transformación Digital y Servicios Tecnológicos, como responsables de la coordinación del proyecto por parte de LogiRAIL. Se abordarán, como mínimo, los siguientes aspectos: - Confirmación del inventario de Procedimientos Marco incluido en el alcance del contrato. - Definición de la estructura del repositorio documental, que actuará como espacio común de trabajo durante la ejecución del contrato, tanto para la puesta a disposición de la documentación existente por parte de LogiRAIL como para la elaboración, integración y consolidación progresiva del cuerpo documental resultante. - Identificación de condiciones generales para la planificación del proyecto (disponibilidad de las áreas, periodos vacacionales y otras restricciones relevantes). A partir de esta reunión, el adjudicatario elaborará y propondrá un plan de trabajo inicial , que incluirá el enfoque metodológico, la organización del trabajo, las entregas parciales previstas y el circuito de revisión y validación, con propuesta de plazos de respuesta. Este plan tendrá carácter inicial, y será sometido a la validación por parte de LogiRAIL, pudiendo ser ajustado en fases posteriores en función del resultado de la revisión de documentación disponible y de las necesidades identificadas durante la ejecución del contrato. ## 02.02.- Fase 2 -Revisión de documentación y materiales disponibles El adjudicatario procederá a la revisión de la documentación disponible aportada por las áreas de LogiRAIL (procedimientos existentes, manuales, flujogramas, registros y otros documentos de soporte), con el fin de utilizarla como material de partida para la formalización de los Procedimientos Marco incluidos en el alcance. Esta revisión tendrá un carácter funcional y orientado a la ejecución, y permitirá: - Analizar la documentación disponible para cada procedimiento, conforme a la clasificación establecida en el Anexo I. - Detectar lagunas de información (roles, aprobaciones, controles, evidencias, plazos, interrelaciones), <!-- image --> - Evaluar el grado de coherencia, actualización y alineación de la documentación existente con la operativa real de las áreas. ## 02.03.- Fase 3 -Reuniones con las áreas implicadas El adjudicatario llevará a cabo reuniones con las áreas implicadas, cuando resulte necesario para la formalización de los Procedimientos Marco, en particular: - -Cuando no exista documentación de partida y sea necesario recopilar directamente la información mediante la interacción con las áreas responsable. - -Cuando, tras la fase de revisión de la documentación disponible, la información resulte insuficiente o incompleta. Las reuniones tendrán como objetivo exclusivo recopilar, contrastar y validar la información necesaria para su correcta formalización. Las reuniones se planificarán de forma agrupada para cada Procedimiento con el fin de optimizar tiempos y minimizar el impacto en la actividad ordinaria de las áreas. ## 02.04.- Fase 4 -Redacción, integración y normalización documental El adjudicatario procederá a la redacción y consolidación de los Procedimientos Marco, utilizando la información obtenida en las fases anteriores y conforme al estándar documental acordado con LogiRAIL. En esta fase se llevarán a cabo, según corresponda en cada procedimiento: - La redacción del Procedimiento Marco. - La integración y normalización de la documentación de partida existente. - La reescritura parcial de contenidos cuando resulte necesario para asegurar la coherencia, claridad y estructura del documento final. El adjudicatario aplicará controles internos de calidad documental para garantizar la homogeneidad del conjunto y la correcta alineación entre procedimientos relacionados. ## 02.05.- Fase 5 -Revisión, validación y cierre Una vez elaborados los borradores de los Procedimientos Marco, estos serán remitidos a las áreas correspondientes para su revisión, conforme al circuito de revisión y validación previamente acordado. El adjudicatario será responsable de: - Consolidar los comentarios recibidos, - Proponer los ajustes necesarios, - Gestionar el cierre de cada procedimiento, incorporando únicamente aquellos cambios que hayan sido aceptados y validados por LogiRAIL. Se establecerán plazos de revisión y respuesta para cada iteración, con el fin de garantizar el avance del proyecto y evitar ciclos reiterados de revisión. En caso de ausencia de respuesta dentro de los plazos establecidos, el adjudicatario lo pondrá en conocimiento de LogiRAIL para su resolución. La validación final de cada procedimiento corresponderá en todo caso a LogiRAIL, que determinará su consideración como versión final a efectos de entrega. ## 02.06.- Fase 6 -Consolidación y entrega final Una vez validados los procedimientos conforme a la fase anterior, el adjudicatario procederá a la consolidación final del cuerpo documental, incorporando las versiones definitivas de los procedimientos incluidos en el alcance. El conjunto documental se organizará conforme a la estructura y nomenclatura acordadas con LogiRAIL y será entregado en los formatos establecidos, quedando listo para su uso interno y posterior mantenimiento. La ejecución del servicio se considerará finalizada una vez LogiRAIL confirme la recepción y validación conforme del conjunto documental y de los entregables asociados. ## 03 I UBICACIONES DEL SERVICIO Y ÁREAS IMPLICADAS La coordinación general del contrato, así como la dirección, seguimiento y validación de los trabajos, se realizará desde Servicios Centrales de LogiRAIL, ubicados en Madrid, donde se encuentran las áreas corporativas y de soporte, así como la dirección de las áreas de negocio. Desde Servicios Centrales, se coordinará la interacción con las áreas implicadas en el alcance del contrato para la definición de criterios, revisión de borradores y validación de procedimientos. <!-- image --> Las interacciones necesarias para la ejecución del servicio, incluidas las reuniones de coordinación, revisión y recopilación de información, se realizarán preferentemente en modalidad remota, sin perjuicio de que, cuando se considere necesario y se acuerde con LogiRAIL, puedan celebrarse reuniones presenciales en las instalaciones corporativas. ## 04 | ENTREGABLES El adjudicatario deberá entregar la documentación resultante del servicio de forma completa, coherente y utilizable por LogiRAIL, conforme a lo establecido en el presente Pliego. Los entregables corresponderán a los Procedimientos Marco formalizados, tanto los incluidos en el inventario inicial, como, en su caso, aquellos incorporados mediante la bolsa de procedimientos adicionales prevista, y constituirán el conjunto documental final del servicio. ## 04.01.- Matriz de control del inventario El adjudicatario entregará una matriz consolidada de control del inventario (en formato Excel) que servirá como herramienta de seguimiento del avance y cierre del servicio. Dicha matriz contendrá, como mínimo, la siguiente información para cada Procedimiento Marco incluido en el alcance: - Área responsable - Denominación del Procedimiento Marco - Estado (borrador / en revisión / validado / final) - Fecha de entrega del borrador - Fecha de validación - Área o interlocutor validador - Observaciones relevantes (p. ej., pendiente de información / pendiente de revisión) Esta matriz constituirá el documento de referencia para el control del avance del contrato y deberá mantenerse actualizada durante toda la ejecución del servicio. ## 04.02.- Entregas parciales El adjudicatario realizará entregas parciales organizadas de acuerdo con el plan de trabajo validado por LogiRAIL. Las entregas parciales tendrán como objetivo facilitar una revisión y validación progresiva de los Procedimientos Marco, evitando la acumulación de documentación al final del contrato y asegurando un avance ordenado de los trabajos. ## 04.03.- Entregables documentales por procedimiento Para cada Procedimiento Marco incluido en el alcance, el adjudicatario entregará un documento estructurado conforme al estándar documental que será definido y acordado con LogiRAIL durante la fase de puesta en marcha del contrato, que incluirá, como mínimo, los siguientes apartados: - Identificación del procedimiento (denominación, área responsable, versión y fecha). - Objeto y alcance. - Definiciones y referencias. - Roles y responsabilidades. - Descripción del procedimiento (operativa). - Controles y puntos críticos. - Evidencias y registros asociados. - Interrelaciones con otras áreas. - Casuísticas y excepciones (cuando aplique). - Anexos (cuando aplique). ## 04.04.- Estructura y formato de entrega Los entregables se facilitarán de conformidad con los siguientes criterios: - En formato editable (Word u otro equivalente que indique LogiRAIL) y adicionalmente en formato PDF. - Con estructura homogénea y nomenclatura común (definida al inicio del contrato). - Organizados de forma ordenada y trazable, por áreas y/o bloques de procedimientos, conforme a la estructura de carpetas y repositorio indicada por LogiRAIL (SharePoint u otro entorno corporativo). <!-- image --> ## 04.05.- Criterios de aceptación del entregable Se considerará que un procedimiento ha sido correctamente entregado cuando cumpla, como mínimo, los siguientes criterios: - El documento se ajusta a la estructura y contenidos mínimos definidos en el presente Pliego y al estándar documental acordado con LogiRAIL. - El procedimiento refleja de forma clara y coherente la operativa validada por LogiRAIL, incluyendo roles, controles, evidencias e interrelaciones cuando proceda. - El documento ha sido revisado por las áreas implicadas conforme al circuito de validación establecido y cuenta con la validación final de LogiRAIL. - El procedimiento se encuentra correctamente identificado, versionado y registrado como 'final' o 'validado' en la matriz de control del inventario. La aceptación de cada Procedimiento Marco se formalizará individualmente por LogiRAIL una vez verificado el cumplimiento de los criterios anteriores. ## 05 | PLANIFICACIÓN, SEGUIMIENTO Y CONTROL DE PLAZOS La planificación del servicio deberá orientarse a completar el alcance del contrato dentro del plazo previsto, mediante la gestión ordenada de los trabajos. El adjudicatario será responsable de organizar su equipo y recursos de forma adecuada para garantizar el cumplimiento de los plazos comprometidos, de acuerdo con la metodología definida en el presente Pliego. ## 05.01.- Principios de planificación La planificación del servicio se regirá por los siguientes principios: - Ejecución progresiva del trabajo. - Priorización de procedimientos conforme a los criterios definidos y validados por LogiRAIL. - Adecuación de la planificación a la disponibilidad de las áreas implicadas, teniendo en cuenta periodos vacacionales y otras restricciones operativas. - Evitar la acumulación de entregables al final del contrato, favoreciendo la revisión y validación continua. ## 05.02.- Plan de trabajo Tras la fase de puesta en marcha, el adjudicatario presentará un plan de trabajo. El plan de trabajo será validado por LogiRAIL y podrá ajustarse durante la ejecución del contrato, para atender cambios de prioridad o necesidades justificadas. ## 05.03.- Seguimiento y reuniones de coordinación Durante la ejecución del contrato, el adjudicatario participará en reuniones de seguimiento periódicas con LogiRAIL, con el objetivo de: - revisar el estado de avance del plan de trabajo, - identificar bloqueos, - acordar ajustes en la priorización de bloques de procedimientos, - anticipar necesidades de revisión o validación por parte de las áreas. La periodicidad y formato de estas reuniones se establecerán de acuerdo con el plan de trabajo validado. ## 05.04.- Gestión de incidencias y control de cambios del alcance Cualquier incidencia relevante que pueda afectar al cumplimiento del plan de trabajo deberá ser comunicada de forma anticipada por el adjudicatario a LogiRAIL. Los ajustes necesarios se gestionarán siempre dentro del marco del contrato, sin que puedan suponer una ampliación del alcance ni del importe del mismo, y requerirán la validación expresa de LogiRAIL cuando afecten al plan de trabajo. ## 05.05.- Planificación y duración del contrato La duración prevista del contrato será de tres (3) meses, orientada a completar la totalidad del alcance definido, mediante una planificación eficiente, entregas parciales y validaciones progresivas. Dada la relevancia del presente servicio, el adjudicatario deberá garantizar una capacidad suficiente de ejecución en paralelo que permita abordar simultáneamente varios bloques de procedimientos y áreas. <!-- image --> A tal efecto, la organización de los trabajos deberá contemplar la posible existencia de varios equipos de trabajo operando de forma concurrente con distintas direcciones, asegurando la coordinación global y la coherencia del conjunto documental. Asimismo, se deberá prestar especial atención a la identificación y definición de las interrelaciones entre procesos, por su impacto en la posterior definición de requisitos y adaptaciones de los sistemas de información corporativos. ## 06 I OBLIGACIONES DEL ADJUDICATARIO El adjudicatario estará obligado a ejecutar el servicio aportando los medios humanos y técnicos necesarios para garantizar la calidad, coherencia y homogeneidad del cuerpo documental resultante. ## 06.01.- Obligaciones generales de ejecución - Aportar la dedicación y recursos necesarios para cumplir los plazos comprometidos, evitando retrasos derivados de una planificación o asignación insuficiente de medios. - Designar un interlocutor único para la coordinación del contrato con LogiRAIL. - Garantizar la continuidad del servicio durante toda la ejecución del contrato, incluyendo la adecuada sustitución de los perfiles asignados en caso de ausencias, sin perjuicio del cumplimiento de plazos de calidad. - Adaptar, en la medida de lo posible, la planificación de reuniones y solicitudes de información a la disponibilidad de las áreas implicadas de LogiRAIL. ## 06.02.- Confidencialidad y tratamiento de la información El adjudicatario estará obligado a garantizar la confidencialidad de toda la información y documentación a la que tenga acceso durante la ejecución del contrato. En particular, deberá: - Utilizar la información exclusivamente para el desempeño del objeto del contrato. - Custodiar adecuadamente la documentación facilitada y generada, evitando su acceso por terceros no autorizados. - No divulgar ni reutilizar la documentación de LogiRAIL para fines distintos de los previstos en el contrato. - Entregar a LogiRAIL toda la documentación generada y, en su caso, eliminar o devolver copias cuando se solicite al finalizar el contrato, conforme a las indicaciones de LogiRAIL. ## 06.03.- Formatos, propiedad y reutilización de la documentación El adjudicatario deberá : - Entregar toda la documentación en formato editable y en los formatos requeridos por LogiRAIL. - Asegurar que la propiedad de los documentos generados (Procedimientos Marco, anexos y plantillas) corresponde a LogiRAIL, desde el momento de su aceptación. - No incorporar contenidos sujetos a restricciones de uso o licencias que impidan su utilización, modificación o reutilización interna por parte de LogiRAIL. ## 06.04.- Trazabilidad y control El adjudicatario deberá mantener en todo momento la trazabilidad entre el inventario de Procedimientos Marco incluido en el contrato y los documentos elaborados. Asimismo, deberá reflejar el estado y evolución de cada Procedimiento Marco (borrador, en revisión, validado o final) en la matriz de control del inventario, indicando fechas de entrega y validación. ## 06.05.- Cumplimiento de la planificación y gestión de reprogramación El adjudicatario deberá cumplir el plan de trabajo validado y los hitos de entrega acordados. En el caso de identificar riesgos de desviación por falta de información, retrasos en validaciones o indisponibilidad de interlocutores internos, el adjudicatario deberá informar de forma anticipada a LogiRAIL. ## 06.06.- Propiedad intelectual Toda la documentación elaborada en el marco del contrato será propiedad exclusiva de LogiRAIL. El adjudicatario no podrá utilizar, reproducir ni ceder dicha documentación, total o parcialmente, para fines distintos de los derivados del contrato sin autorización expresa de LogiRAIL. <!-- image --> ## 07 I MEDIOS PERSONALES MÍNIMOS DEL ADJUDICATARIO El adjudicatario deberá disponer de los medios personales suficientes y adecuados para garantizar la correcta ejecución del servicio, conforme a las condiciones establecidas en el presente Pliego, asegurando la calidad, coherencia y cumplimiento de plazos del cuerpo documental a elaborar. A tal efecto, el equipo adscrito al contrato deberá incluir, como mínimo, los siguientes perfiles: - Un perfil responsable de coordinación y control de calidad documental, que actuará como interlocutor principal con LogiRAIL. Este perfil será responsable del seguimiento del plan de trabajo, la coordinación del equipo asignado, la coherencia del conjunto documental y el cumplimiento del estándar definido. - Perfiles técnicos con experiencia acreditable en la redacción, revisión y normalización de procedimientos, suficientes para atender el volumen de trabajo previsto dentro del plazo contractual. El adjudicatario deberá dimensionar el equipo de forma suficiente para garantizar el cumplimiento del plazo establecido, contemplando la posible asignación de varios equipos de trabajo que operen de manera simultánea sobre distintos bloques de procedimientos o áreas, cuando resulte necesario. Será responsabilidad del adjudicatario definir la organización del equipo, garantizar su estabilidad y continuidad a lo largo de la ejecución del contrato, y asegurar que las posibles sustituciones no afecten al correcto desarrollo del servicio ni al cumplimiento de los plazos previstos. La composición concreta del equipo, así como la dedicación asignada a cada perfil, formará parte de la propuesta técnica del licitador y será objeto de valoración conforme a los criterios establecidos en el procedimiento de contratación. La experiencia de los perfiles adscritos al contrato deberá acreditarse, a modo enunciativo, mediante la aportación de currículum vitae, así como, cuando proceda, certificados y/o diplomas correspondientes a la formación y cursos realizados. ANEXO I Requisitos de Seguridad en Materia de Confidencialidad de la Información y Privacidad <!-- image --> <!-- image --> ## ANEXO I REQUISITOS DE SEGURIDAD EN MATERIA DE CONFIDENCIALIDAD DE LA INFORMACIÓN ## PARTE I El licitador cumplirá cada uno de los requisitos expuestos a continuación y desarrollados en la PARTE II del presente ANEXO. Se acreditará mediante la cumplimentación de la declaración responsable de acreditación de documentación (ANEXO II del PCP): - El licitador asegura que en caso de resultar adjudicatario dispondrá de las siguientes figuras, estando debidamente recogidas y documentadas, y siendo personas distintas; tal y como establece el artículo 13.5 en su apartado 5 del RD 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS) conforme a lo indicado en el punto 1.4 de la PARTE II del Anexo I de las Especificaciones Técnicas: - o Responsable del Proyecto - o Responsable de Seguridad - El licitador asegura que, en caso de resultar adjudicatario, completará el cuestionario de evaluación de seguridad de la cadena de suministro, como parte de la verificación periódica destinada a asegurar la conformidad con los estándares mínimos de seguridad y conforme a lo indicado en el punto 1.8 de la PARTE II del Anexo I de las especificaciones Técnicas. - El licitador asegurará que, en caso de resultar adjudicatario mantendrá y pondrá a disposición de LogiRAIL, un inventario actualizado de la totalidad de equipos objeto de la presente licitación, conforme a lo indicado en el punto 5.3 de la PARTE II del Anexo I de las Especificaciones Técnicas. - El adjudicatario se asegurará de que los servicios prestados en virtud del presente PCP, así como los sistemas de información que los sustentan, se prestan de conformidad a los requisitos de seguridad establecidos en el Esquema Nacional de Seguridad, tal y como aparece recogido en el Documento de Seguridad 'Obligaciones de los prestadores de servicios a las entidades públicas' del CCN. Conforme a lo indicado en el punto 7.1 de la PARTE II del presente Anexo de las Especificaciones Técnicas. ## PARTE II 1. Relacionados con las Políticas de Seguridad , se deberá cumplir con los siguientes requisitos: 2. 1.1. El adjudicatario, deberá conocer y cumplir las medidas de Seguridad recogidas y especificadas en el resto de Requisitos que se detallan a continuación. <!-- image --> - 1.2. El adjudicatario, deberá tener establecidas Políticas de Seguridad de los Sistemas de Información en su empresa. - 1.3. El adjudicatario, deberá disponer de un programa sobre Seguridad de la Información para supervisar el establecimiento y mantenimiento de las políticas, estándares e iniciativas sobre seguridad de la Información. - 1.4. El adjudicatario deberá asegurar que dispondrá de las siguientes figuras en caso de resultar adjudicatario, estando debidamente recogidas y documentadas, y siendo personas distintas; tal y como establece el artículo 13 en su apartado 5 del ENS: - 1.4.1. Responsable del Proyecto. - 1.4.2. Responsable de Seguridad. - 1.5. La gestión de la Seguridad de la Información se abordará desde un enfoque basado en el riesgo. Por lo tanto, el adjudicatario deberá implementar procesos, procedimientos o metodologías formales y documentadas para la evaluación del Riesgo de Seguridad de la Información. - 1.6. En su caso, las empresas subcontratadas por el adjudicatario que sean o puedan llegar a ser procesadores de información de LogiRAIL o bien tengan acceso a la red o sistemas de LogiRAIL, deberán adoptar las mismas políticas y estándares sobre seguridad de la información que mantiene con LogiRAIL. - 1.7. El personal del adjudicatario y el personal de las empresas subcontratadas por el adjudicatario (en caso de que aplique) deberá firmar un Acuerdo de Confidencialidad con LogiRAIL, así como cumplir los procedimientos de seguridad establecidos para los adjudicatarios. - 1.8. El adjudicatario deberá completar el cuestionario de evaluación de seguridad de la cadena de suministro, como parte de la verificación periódica destinada a asegurar la conformidad con los estándares mínimos de seguridad. Este cuestionario deberá ser completado y entregado dentro de los 30 días posteriores al envío del mismo por parte de la Gerencia de Área de Ciberseguridad y Privacidad y actualizado una vez al año. 2. El adjudicatario deberá cumplir con los siguientes requisitos de seguridad relativos a la Clasificación de Seguridad, confidencialidad y propiedad intelectual de la Información : - 2.1. Deberá realizar un tratamiento de la Información teniendo en cuenta la clasificación de la Información que haya realizado el Responsable de la Información interno de LogiRAIL. - 2.2. Deberá contar con controles asociados a la información clasificada en virtud de esa confidencialidad. - 2.3. El adjudicatario no divulgará información de proyecto (naturaleza, herramientas de desarrollo, arquitectura, etc.) a terceros no autorizados, con especial atención a otro personal del adjudicatario no autorizado en el proyecto adjudicado, así como la fuga por divulgación en redes sociales de la empresa o en los perfiles profesionales de sus trabajadores. - 2.4. Deberá respetar la propiedad intelectual de LogiRAIL sobre los requisitos, códigos, ejecutables y documentación. - 2.5. Relativo al acceso a la Información, el adjudicatario deberá disponer de documentación formal en la que se detallen los requisitos necesarios para garantizar una gestión eficaz del acceso a la información, incluyendo su otorgamiento, aprobación, revisión y retirada. - 2.6. El adjudicatario sólo podrá disponer de la información de LogiRAIL que el mismo le autorice o esté recogida dentro del alcance del servicio. <!-- image --> - 2.7. Toda información que sea entregada por LogiRAIL al adjudicatario para que salga de las instalaciones de LogiRAIL, se realizará a través de un dispositivo cifrado proporcionado por el adjudicatario. 3. En relación con la Notificación de Incidentes de Seguridad , el adjudicatario deberá cumplir con los siguientes requisitos: - 3.1. El adjudicatario, debe conocer y cumplir las obligaciones, que, en relación con los incidentes de seguridad, LogiRAIL tiene con las diferentes autoridades de control y de las que por proveer el servicio asume como encargado del tratamiento y bajo el alcance del contrato. - 3.2. Se han de implantar procesos o procedimiento formal y documentado para la notificación, escalado, investigación y resolución de incidentes relativos a la seguridad de la información . - 3.3. El adjudicatario deberá comunicar a la Gerencia de Área de Ciberseguridad del Grupo Renfe los incidentes de seguridad categorizados con un Nivel de Impacto Medio, Alto, Muy Alto y Críticos, según las directrices y criterios de determinación del nivel de impacto de los Ciberincidentes recogido en la Guía de Seguridad de las TIC CCN-STIC 817. - 3.4. Deberá ofrecer mecanismos para que: - 3.4.1. LogiRAIL pueda informar al adjudicatario sobre eventos de seguridad que ha detectado. - 3.4.2. El adjudicatario informe a LogiRAIL sobre eventos de seguridad que ha detectado. - 3.4.3. LogiRAIL pueda realizar un seguimiento de la situación de un evento de seguridad del que haya sido informado. 4. Relacionados con la Seguridad de la Red, del Software , de la Operación y de las tecnologías de la Información, el adjudicatario deberá cumplir con los siguientes requisitos: - 4.1. Deberá disponer de documentación formal detallando las medidas necesarias para proteger los sistemas de Información frente a los actos maliciosos o malintencionados. - 4.2. Los sistemas del adjudicatario dentro del alcance de estos trabajos deberán tener instaladas las últimas revisiones del software y deberá existir un programa/proceso de actualización. - 4.3. Tanto el software como las aplicaciones utilizadas como soporte de las actividades empresariales de LogiRAIL deben estar configurados para solucionar factores de vulnerabilidad y amenazas conocidas y nuevas en un plazo aceptable. - 4.4. Los sistemas de información, como equipos personales (portátiles entre otros) que sean propiedad del adjudicatario o bien de las empresas subcontratadas por el adjudicatario (en caso de que aplique) y hagan uso de las redes de usuario de LogiRAIL deberán estar correctamente protegidos y configurados para que no representen una amenaza a la confidencialidad, disponibilidad e integridad de la información de LogiRAIL. Entre otras cuestiones de configuración de los mismos, NO deben generar tráficos no autorizados desde las redes de LogiRAIL hacia recursos externos o internos de la red del adjudicatario. - 4.5. El adjudicatario deberá disponer de una política de copias de seguridad (backup) específica, la cual debe incluir la identificación no sólo de los procesos identificados como relacionados con el proyecto/servicio/desarrollo, sino también aquellos procesos internos del adjudicatario que incorporan copia de información de Renfe EPE como parte de sus datos (que incluso puede no estar identificada en los sistemas internos del adjudicatario como de LogiRAIL). Deberán <!-- image --> implantarse procesos o procedimientos formales y documentados para garantizar la realización de copias de seguridad y para la recuperación de la Información. - 4.6. A la hora de realizar una copia de seguridad (backup) de los equipos que contengan datos de LogiRAIL, el adjudicatario deberá solicitar autorización expresa, indicando la información que contienen dichos equipos. En cualquier otro caso en el que la información deba salir del ámbito de LogiRAIL, el adjudicatario deberá tomar las medidas necesarias en virtud de la clasificación de seguridad de la información. - 4.7. El adjudicatario, en caso de alojar información de LogiRAIL en Bases de Datos ajenas al mismo; deberá seguir las recomendaciones de seguridad establecidas en la Guía ' CCN-CERT BP/24 Recomendaciones de seguridad en bases de datos'. - 4.7.1. Si la tecnología de las Bases de Datos es DB2, deberá seguir adicionalmente las recomendaciones de seguridad establecidas en la Guía ' CCN-CERT BP/23 Recomendaciones de seguridad para bases de datos DB2'. - 4.7.2. Si la tecnología de las Bases de Datos es Oracle, deberá seguir adicionalmente las recomendaciones de seguridad establecidas en la Guía ' CCN-CERT BP/22 Recomendaciones de seguridad para Oracle Database 19C'. 5. En relación con los equipos de usuario que vayan a conectarse a las redes o sistemas de información del Grupo Renfe, o vayan a tratar información del Grupo Renfe, el adjudicatario deberá: - 5.1. El adjudicatario deberá contar con un plan de acciones correctivas dentro del proceso de mantenimiento para hacer frente a cualquier incidencia software y/o hardware que se produzca en los equipos o cualquiera de sus componentes. - 5.2. El adjudicatario deberá mantener los equipos actualizados a la última versión de Software disponible por el fabricante o fabricantes, según un proceso o política de actualización que deberá ser elaborado por el adjudicatario. Además, no debe ser próxima la fecha de finalización del soporte el software instalado en dichos equipos. - 5.3. Deberá mantener y poner a disposición de LogiRAIL de un inventario actualizado de la totalidad de equipos. Este inventario deberá contener al menos los siguientes campos: - a. Dirección IP del equipo. - b. Nombre del equipo (hostname). - c. Dirección MAC del equipo - d. Inventario actualizado del Software instalado en cada equipo. - e. Modelo del equipo. - f. Versión del sistema operativo instalado. - g. Marca, modelo y Versión de antimalware instalado. - 5.4. El adjudicatario realizará la remediación de infecciones que se produzcan en los equipos y se responsabilizará de la efectividad de dicha remediación. Asimismo, y para minimizar el número de estas posibles acciones, el adjudicatario deberá realizar la instalación y el mantenimiento de actualizaciones de un producto antimalware. - 5.5. El adjudicatario que haga uso de equipos de usuario (Windows 7, Windows 10 y Windows 11, Linux centOs 7 y Linux centOs 8) portátiles, sobremesa o cualquier otro tipo de dispositivo (Surface), no gestionado por LogiRAIL, en los que se vaya a tratar información de LogiRAIL o se vayan a conectar a la red o sistemas de información de LogiRAIL, deberá proporcionar a la Gerencia de Área de Ciberseguridad y Privacidad la siguiente información para cada uno de los equipos: <!-- image --> - 5.5.1. Informe individual del equipo con el detalle obtenido por el adjudicatario de la herramienta CLARA del CCN para determinar el cumplimiento con las características de seguridad técnicas definidas en el ENS para una categorización del sistema con nivel MEDIO. - La Gerencia de Área de Ciberseguridad y Privacidad considerará seguro un equipo cuando el informe indique un cumplimiento con las características de seguridad técnicas definidas en el ENS para una categorización del sistema con nivel MEDIO de un 65% o superior. - 5.5.2. Informe agregado de cumplimiento elaborado por el adjudicatario, en el que se debe incluir en el nivel de cumplimiento obtenido en el informe individual, de cada uno de los equipos bajo alcance del proyecto. Este informe debe indicar el valor agregado, que será el valor medio del Informe individual (6.5.1) de todos los equipos bajo alcance del proyecto. - 5.6. En el caso de que los equipos utilicen tecnologías de comunicación inalámbrica, el adjudicatario deberá cumplir con los siguientes requisitos: - 5.6.1. El adjudicatario debe minimizar, en lo posible, el uso de redes inalámbricas frente a redes cableadas, dado que por el diseño de especificaciones son más inseguras. - 5.6.2. La red inalámbrica proporcionará comunicaciones cifradas. El adjudicatario deberá identificar claramente los métodos de seguridad y capacidades de seguridad, para que las configuraciones por defecto sean modificadas. - 5.6.3. La red inalámbrica deberá estar provista de métodos de autenticación como contraseñas, u otros mecanismos seguros de autenticación (firmas digitales, entre otros), para estar protegida de modificaciones o usos no autorizados. - 5.6.4. El adjudicatario debe incluir este equipamiento inalámbrico dentro de los procesos de gestión del riesgo y gestión de las vulnerabilidades. 6. En relación con la Seguridad relativa a terceras partes y a recursos humanos , el adjudicatario deberá cumplir los siguientes requisitos: - 6.1. Deberán realizarse evaluaciones de los riesgos para la seguridad de la información de los proveedores para las terceras partes que accedan, procesen, recojan, creen o almacenen información de LogiRAIL. - 6.2. Todo el personal del adjudicatario deberá conocer las políticas, estándares y procesos sobre seguridad de la información que resulten de aplicación. Además, dicho personal, deberá estar formado y concienciado en materia de seguridad de la información. - 6.3. Los empleados, contratistas, agentes y otras terceras partes implicadas en el proyecto deberán, sobre sus responsabilidades, recibir formación, al menos con carácter anual o bien mediante acciones de concienciación en aquellos momentos que el Adjudicatario considere necesario, para garantizar la seguridad y la protección de los recursos de información de LogiRAIL. - 6.4. Todos los usuarios del adjudicatario que vayan a acceder a las redes o sistemas de información de LogiRAIL, o vayan a acceder a información de LogiRAIL, deben estar dados de alta en la gestión de identidad de LogiRAIL. Para ello, deberán proporcionar al responsable del proyecto de Renfe los siguientes datos: - a. Nombre y apellidos. - b. DNI. - c. Correo electrónico profesional. - d. Teléfono móvil. <!-- image --> 7. Relativo a los aspectos de Cumplimiento Normativo de Seguridad : 2. 7.1. El adjudicatario se asegurará de que los servicios prestados en virtud del presente PCP, así como los sistemas de información que los sustentan, se prestan de conformidad a los requisitos de seguridad establecidos en el Esquema Nacional de Seguridad, tal y como aparece recogido en el Documento de Seguridad 'Obligaciones de los prestadores de servicios a las entidades públicas' del CCN. 3. 7.2. Debe contemplarse el compromiso de devolución/destrucción (a elección de LogiRAIL) de la información confidencial recabada durante la ejecución del servicio. 4. 7.2.1. Si por la naturaleza del proyecto, LogiRAIL requiere del borrado y destrucción de cualquier soporte de información o elemento hardware englobado al alcance del servicio prestado; el adjudicatario deberá aplicar un procedimiento seguro de borrado y destrucción conforme a lo indicado en el Esquema Nacional de Seguridad. 5. 7.2.2. Asimismo, para cada borrado/destrucción realizado, el adjudicatario deberá entregar a LogiRAIL un certificado recogiendo al menos los siguientes campos: - a) Fecha recogida material. - b) Personal proveedor encargado de la recogida y transporte. - c) Procedimiento detallado empleado en el borrado/destrucción realizado. - d) Fecha destrucción material.