Diario del Derecho. Edición de 26/04/2024
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 03/10/2016
 
 

Prescripciones técnicas en la contratación pública

03/10/2016
Compartir: 

Orden PRE/57/2016, de 14 de septiembre, por la que se regulan las condiciones sobre seguridad de la información y de los sistemas de información a incorporar en los pliegos de cláusulas administrativas particulares y de prescripciones técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria (BOCA de 30 de septiembre de 2016). Texto completo.

ORDEN PRE/57/2016, DE 14 DE SEPTIEMBRE, POR LA QUE SE REGULAN LAS CONDICIONES SOBRE SEGURIDAD DE LA INFORMACIÓN Y DE LOS SISTEMAS DE INFORMACIÓN A INCORPORAR EN LOS PLIEGOS DE CLÁUSULAS ADMINISTRATIVAS PARTICULARES Y DE PRESCRIPCIONES TÉCNICAS EN LA CONTRATACIÓN PÚBLICA DE LA ADMINISTRACIÓN DE LA COMUNIDAD AUTÓNOMA DE CANTABRIA.

La información y los sistemas tecnológicos de tratamiento de la información tienen una singular importancia para las Administraciones Públicas actuales, siendo factores esenciales para el cumplimiento de sus obligaciones y para la prestación de los servicios que ofrecen a la ciudadanía, algo que cobra una especial importancia en lo relativo al acceso electrónico de los ciudadanos a los servicios públicos.

En la prestación de esos servicios tienen una importante función los terceros que ofrecen suministros o prestan servicios a las Administraciones Públicas, viéndose afectadas las garantías sobre la seguridad de la información y de los sistemas de información por las condiciones de contratación y el seguimiento que se haga de la ejecución de los contratos.

Así, cobra una gran importancia recoger en los pliegos de cláusulas administrativas particulares y prescripciones técnicas de los contratos las condiciones correspondientes a la seguridad, contemplando la atribución de obligaciones y responsabilidades que recaen entre las partes.

La presente Orden desarrolla el Decreto 31/2015, de 14 de mayo Vínculo a legislación, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria, con el objetivo de asegurar el cumplimiento en materia de contratación del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y de la Ley Orgánica 15/1999, de 13 de diciembre Vínculo a legislación, de Protección de Datos de Carácter Personal, así como su normativa de desarrollo.

Para facilitar la aplicación de estas exigencias de seguridad y garantizar su obligada aplicación de forma uniforme, se incorpora un Anexo I que recoge los contenidos obligatorios a incorporar a las cláusulas administrativas de los pliegos.

DISPONGO

CAPÍTULO I

Disposiciones generales

Artículo 1. Objeto

El objeto de la presente Orden es definir los contenidos mínimos obligatorios relativos a seguridad de la información y de los sistemas de información a incorporar en los pliegos de cláusulas administrativas particulares y pliegos de prescripciones técnicas en los contratos cuyo objeto sea la prestación de servicios o suministros, y en especial, a cualquier otro tipo de contrato en el que el personal al servicio del adjudicatario acceda a información o a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, o bien a suministros de componentes o elementos de esos sistemas de información.

Artículo 2. Ámbito de aplicación.

De conformidad con las previsiones del Decreto 31/2015, de 14 de mayo Vínculo a legislación, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria esta orden será de aplicación:

a) A la Administración de la Comunidad Autónoma de Cantabria, comprendiendo ésta, a estos efectos, a la Administración General y los organismos públicos y entidades de derecho público vinculadas o dependientes de la misma, cuando ejerzan funciones administrativas y utilicen sistemas de información gestionados por el órgano directivo con competencias en materia informática. Quedan excluidos del ámbito de aplicación de la presente Orden el Servicio Cántabro de Salud y el sector público empresarial y fundacional.

b) A las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuándo procedan al uso de sistemas de información gestionados por el órgano directivo con competencias en materia informática.

Artículo 3. Contenidos obligatorios para todos los contratos.

1. En todos los contratos cuyo objeto sea la prestación de servicios, suministros, y, en general, en aquellos en los que el personal al servicio del adjudicatario acceda a información o a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, o bien contenga suministros de componentes o elementos de esos sistemas de información se incluirán en el pliego de cláusulas administrativas prticulares, las condiciones establecidas en el Anexo I de esta orden, conforme las modalidades recogidas en el mismo.

2. Asimismo, en todos los contratos citados en el apartado anterior, se incorporarán en los pliegos de prescripciones técnicas, las condiciones establecidas en el Capítulo II de esta orden, conforme a las modalidades recogidas en el mismo.

3. En el caso de que el procedimiento de adjudicación utilizado sea el de contrato menor, previamente a la Resolución de adjudicación o de su encargo formal, el adjudicatario deberá suscribir un documento de conformidad, de acuerdo con el modelo incluido en el Anexo II que deberá incorporarse al expediente administrativo, por el cual éste asume las obligaciones y condiciones sobre seguridad de la información y de los sistemas de información, establecidas tanto en el Anexo I como en el Capítulo II de esta orden, conforme las necesidades concretas y específicas de cada contrato.

CAPÍTULO II

De los contenidos obligatorios a incorporar en los pliegos de prescripciones técnicas

Artículo 4. Contenidos obligatorios para todos los contratos de servicios cuyo objeto del contrato incluya la prestación de servicios informáticos o tecnológicos o el tratamiento de información.

Se deberán establecer condiciones en el pliego de prescripciones técnicas que incluyan expresamente, para los servicios informáticos o tecnológicos, así como para los tratamientos de información incluso por mecanismos no automatizados, que formen parte del objeto del contrato:

1. Descripción de los Acuerdos de Nivel de Servicio, incluyendo los indicadores para su medición a utilizar y su posible modificación o actualización a lo largo del contrato.

2. Descripción de las penalidades a aplicar en caso de incumplimiento de los Acuerdos de Nivel de Servicio.

3. Los mecanismos para el seguimiento del cumplimiento de los Acuerdos de Nivel de Servicio.

4. La obligación de fijar interlocutores entre las dos partes, que desempeñen, al menos, los siguientes cometidos:

a) Responsable de seguridad.

b) Responsables de seguridad de los ficheros con datos de carácter personal.

c) Persona de contacto para cambios y mantenimiento de los sistemas.

d) Persona de contacto para incidencias relativas a los indicadores de servicio.

e) Persona de contacto para aspectos contractuales.

f) Persona de contacto para temas jurídicos y regulatorios y en particular para lo relativos a datos de carácter personal.

Una misma persona podrá desempeñar uno o varios de los cometidos a que se refieren los apartados anteriores.

Artículo 5. Contenidos obligatorios para los contratos de servicios destinados al desarrollo de aplicaciones informáticas a medida.

1. Además de las condiciones establecidas en el artículo 4, en esta clase de contratos también se deberán incluir en el pliego de prescripciones técnicas condiciones que incluyan expresamente:

a) Categoría de la aplicación a desarrollar correspondiente al resultado del Anexo I del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

b) Descripción de las medidas del Anexo II del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad (ENS), que el adjudicatario debe aplicar en función de la categoría, incluyendo el detalle de los aspectos específicos de los sistemas o plataformas tecnológicas de la Administración de la Comunidad Autónoma de Cantabria que se deben contemplar en cada caso. En la determinación de las medidas de seguridad a aplicar y la descripción de aspectos específicos se deberá tener en cuenta los resultados de un análisis de riesgos, aplicando los principios determinados en la medida "Análisis de riesgos [op.pl.1]" del ENS.

2. Además, en el caso de que las aplicaciones vayan a contener o tratar datos de carácter personal, se incorporarán:

a) Nivel del fichero o ficheros con datos de carácter personal que se vayan a contener o tratar en la aplicación, según los artículos 80 Vínculo a legislación y 81 Vínculo a legislación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

b) Descripción de las medidas de seguridad a aplicar correspondientes al nivel del fichero o ficheros con datos de carácter personal, según el Capítulo III del Real Decreto 1720/2007, de 21 de diciembre Vínculo a legislación, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Artículo 6. Contenidos obligatorios para los contratos de servicios destinados a la prestación de servicios informáticos.

Además de las condiciones establecidas en el artículo 4, en esta clase de contratos también se deberán incluir condiciones en el pliego de prescripciones técnicas condiciones que incluyan expresamente:

a) La categoría del sistema o sistemas ligados a la prestación de los servicios objeto del contrato correspondiente al resultado del Anexo I del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electró- nica b) El compromiso del adjudicatario de cumplir con las medidas de seguridad correspondientes a la categoría en lo que afecten a la prestación objeto del contrato, incluyendo un listado de las medidas que específicamente deben cumplir, con la descripción de los aspectos específicos de los sistemas o plataformas tecnológicas de la Administración de la Comunidad Autónoma de Cantabria que se deben contemplar en cada caso. En la determinación de las medidas de seguridad a aplicar y la descripción de aspectos específicos se deberá tener en cuenta los resultados de un análisis de riesgos, aplicando los principios determinados en la medida "Análisis de riesgos [op.pl.1]" del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Artículo 7. Contenidos obligatorios para los contratos de servicios en la nube.

Sin perjuicio de los contenidos que sean obligatorios por la aplicación de las previsiones de los anteriores artículos de la presente orden, se deberán además incorporar condiciones en el pliego de prescripciones técnicas que incluyan expresamente:

a) La finalidad detallada y delimitada para la cual el adjudicatario podrá tratar los datos.

b) La descripción detallada de los servicios que se prestarán, incluyendo:

1.º Descripción del servicio.

2.º Tipo de servicio.

3.º Tipo de infraestructura.

4.º Capacidad del servicio, incluyendo desviaciones en la carga que el adjudicatario deberá asumir.

5.º Mecanismos de acceso al servicio.

c) Las localizaciones geográficas de los datos que se admiten. En el caso de que los datos puedan estar fuera del Espacio Económico Europeo, la obligación de proporcionar las garantías jurídicas adecuadas, al tratarse de una transferencia internacional de datos.

d) La categoría a la que corresponde el servicio a prestar, según el Anexo I del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

e) La descripción de las medidas del Anexo II del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que el adjudicatario debe aplicar en función de la categoría, incluyendo la descripción de los aspectos específicos de la Administración de la Comunidad Autónoma de Cantabria que se deben contemplar en cada caso. En particular se contemplarán con especial cuidado las medidas relacionadas con gestión de cambios, continuidad y sistemas de respaldo y recuperación de datos. En la determinación de las medidas de seguridad a aplicar y la descripción de aspectos específicos se deberá tener en cuenta los resultados de un análisis de riesgos, aplicando los principios determinados en la medida "Análisis de riesgos [op.pl.1]" del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

f) La descripción de las operaciones de servicio que pueden necesitar de acciones conjuntas entre las partes y de los mecanismos de coordinación.

g) Los mecanismos para que el órgano de contratación supervise y compruebe la efectiva aplicación de las medidas de seguridad que correspondan. Esto debe incluir recibir informes periódicos sobre la situación de las medidas de seguridad, mecanismos de comprobación regular de esas medidas y la posibilidad de realizar auditorías por el propio órgano de contratación o por un tercero contratado a tal efecto. Se deberá tener en cuenta que en caso de categoría Alta esas auditorías son obligatorias por ley.

h) El lugar donde residirán los registros de actividad que permiten conocer quién ha accedido a los datos. En caso de residir en los sistemas de adjudicatario, la descripción de los mecanismos de acceso a esos registros y el compromiso de adjudicatario de garantizar ese acceso.

i) El compromiso del adjudicatario de informar de los incidentes de seguridad que afecten a los datos y de las medidas adoptadas para resolverlos o de las medidas que la Administración de la Comunidad Autónoma de Cantabria debe adoptar para evitar los daños que puedan producirse. También la descripción de los mecanismos de coordinación necesarios para la gestión de estos incidentes.

j) La descripción de los procedimientos a realizar en el momento de la finalización del contrato, incluso aunque se trata de una finalización abrupta debido a la aplicación de las cláusulas de resolución, incluyendo el compromiso del adjudicatario de garantizar la portabilidad de la información hacia los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria o hacia los sistemas de otro proveedor, incluyendo los detalles al respecto que sean relevantes.

k) La descripción de los mecanismos para garantizar el borrado seguro de los datos cuando sea solicitado por el órgano de contratación, incluyendo un certificado que de que la destrucción se ha efectuado.

l) El compromiso del adjudicatario de informar al órgano de contratación sobre si interviene o no terceras empresas en la prestación de los servicios, incluyendo los cambios en este ámbito que se produzcan a lo largo del contrato y la obligación de responder cuando sea preguntado sobre esta cuestión por el órgano de contratación.

m) El compromiso del adjudicatario de que la participación de terceras empresas sólo se hará dentro de los límites de subcontratación posibles fijados en el contrato.

n) El compromiso del adjudicatario de que la participación de subcontratistas en la prestación del servicio conserva inalteradas las garantías jurídicas.

o) El compromiso del adjudicatario en proporcionar las herramientas necesarias, y cooperar en lo que sea oportuno, para que la Administración de la Comunidad Autónoma de Cantabria permita el ejercicio de los derechos ARCO por parte de los ciudadanos.

Artículo 8. Contenidos obligatorios para los contratos de suministro de aplicaciones comerciales o elementos hardware

1. Se deberán incluir las siguientes condiciones en el pliego de prescripciones técnicas:

a) La categoría correspondiente al resultado del Anexo I del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, con la que suministro debe ser compatible.

b) El listado de medidas de seguridad del Anexo II del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, con el que suministro debe ser compatible, con la descripción de los aspectos específicos de los sistemas o plataformas tecnológicas de la Administración de la Comunidad Autónoma de Cantabria que se deben contemplar en cada caso. En la determinación de las medidas de seguridad a aplicar y la descripción de aspectos específicos se deberá tener en cuenta los resultados de un análisis de riesgos, aplicando los principios determinados en la medida "Análisis de riesgos [op.pl.1]" del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

2. En el caso de recambios, piezas o fungibles no serán obligatorios los dos puntos anteriores, salvo que consideraciones técnicas así lo aconsejen.

Artículo 9. Contenidos obligatorios para los contratos de servicios que incluyan el acceso o tratamiento de datos de carácter personal.

Además de las condiciones establecidas en el artículo 4, en esta clase de contratos también se deberán incluir en el pliego de prescripciones técnicas, independientemente de que el acceso o tratamiento por parte del adjudicatario se realice mediante el acceso a sistemas de información o con soportes no automatizados:

a) Nivel del fichero o ficheros con datos de carácter personal a los que se vaya a acceder a tratar por parte del adjudicatario, según los artículos 80 Vínculo a legislación y 81 Vínculo a legislación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

b) Descripción de las medidas de seguridad a aplicar por parte del adjudicatario correspondientes al nivel del fichero o ficheros con datos de carácter personal, según el Capítulo III del Real Decreto 1720/2007, de 21 de diciembre Vínculo a legislación, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Artículo 10. Contenidos obligatorios para otros tipos de contratos.

Para otros tipos de contratos y en los contratos menores, se deberán contemplar obligaciones equivalentes a las establecidas en los artículos 4 a 9, siempre que haya partes de los mismos que se correspondan con algunas de las modalidades contempladas en esos artículos, en el pliego de prescripciones técnicas o documento de conformidad respectivamente.

Disposición final primera. Desarrollo de guías informativas sobre cláusulas contractuales en materia de seguridad de la información y de los sistemas de información.

Se faculta al órgano directivo con competencias en materia informática para elaborar guías informativas, sobre seguridad de la información y de los sistemas de información, destinadas a facilitar la redacción de los pliegos de contratación.

Disposición final segunda. Entrada en vigor.

1.- La presente Orden entrará en vigor el día siguiente de su publicación en el Boletín Oficial de Cantabria.

2.- No obstante, las previsiones con relación a los contratos menores producirán efectos a los doce meses de la entrada en vigor de esta Orden.

La presente Orden entrará en vigor el día siguiente de su publicación en el Boletín Oficial de Cantabria.

Anexos

Omitidos.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

  1. Actualidad: El TS reconoce que el personal investigador temporal de universidades andaluzas deben cobrar quinquenios como el fijo
  2. Actualidad: La Justicia determina que insultar una vez al jefe no justifica el despido disciplinario
  3. Actualidad: El TC declara inconstitucional un precepto de los PGE de 2022 que dio al País Vasco la gestión de funcionarios locales
  4. Actualidad: El TS confirma 130.000 euros de multa a una empresa que no identificó a trabajadores que huyeron durante una inspección
  5. Actualidad: El TC declara inconstitucionales los límites mínimos de las sanciones a los partidos que superen el gasto electoral
  6. Legislación: Medidas urgentes en materia de vivienda
  7. Actualidad: El CGPJ acuerda por unanimidad que se investigue la fuga del líder de la 'Mocro Maffia'
  8. Legislación: Programa de inclusión laboral de personas con discapacidad en el mercado de trabajo protegido
  9. Legislación: Medidas extraordinarias y urgentes de apoyo al sector agrario afectado gravemente por la situación de sequía
  10. Tribunal de Justicia de la Unión Europea: Sentencia del Tribunal de Justicia en el asunto C-442/22 | Dyrektor Izby Administracji Skarbowej w Lublinie (Fraude de un empleado)

Revistas Generales de Derecho:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana