Núm. Exp.: ECON/000079/2018 Página 1 de 12

En relación con el expediente en tramitación denominado “DISEÑO, IMPLEMENTACIÓN Y SUPERVISIÓN DE SERVICIOS DE CIBERSEGURIDAD DE LA COMUNIDAD DE MADRID (2 Lotes)”, a adjudicar por procedimiento abierto mediante pluralidad de criterios, nº de expediente ECON/000079/2018, se han recibido las siguientes consultas por parte de empresas interesadas en la licitación:

Respuesta por apartado:

a. En el anexo I de Descripción del Sistema SIEM se indica claramente que el sistema debe ser capaz de implementar algoritmo HASH SHA256 o superior. Este requisito es un requisito mínimo tal como se indica.

b. En el anexo I de Descripción del Sistema SIEM se indica que “Los elementos de la plataforma, en formato appliance, deben facilitarse con medidas de redundancia ante fallos hardware (discos en RAID, doble fuente de alimentación, etc.), alta disponibilidad configurable sin componente adicionales (balanceadores, etc.), gestión remota fuera de banda (mediante protocolo IPMI o similar), e interfaz SNMP para monitorización de los componentes”. Por lo tanto, no se contemplan soluciones en modo software ni en entornos cloud.

c. En el anexo I de Descripción del Sistema SIEM se indica que el sistema debe estar dimensionado y licenciado para “Almacenar toda la información de eventos y correlación de forma on-line durante un periodo mínimo de seis meses, y un periodo mínimo de retención de eventos off-line de 24 meses”. Por lo tanto, el sistema de almacenamiento asociado es un elemento más de la plataforma y le aplican los mismos requisitos que al resto de elementos, pudiendo llegar a ser una cabina parte de la solución, que debe proporcionar el adjudicatario.

a. No, no se requiere ya que no se describe tal necesidad.

1) En relación al Sistema de Gestión de eventos de Información de Seguridad (SIEM), necesitamos las siguientes aclaraciones:

a. En referencia al algoritmo de HASH para preservar la integridad de los datos en BBDD, y según figura en la página 45 del PPT,” Capacidad de integridad de los datos almacenados mediante algoritmos de HASH (SHA2-256 o superior)”, ¿se podría implementar SHA1 en lugar de SHA2? ¿SHA2 es un requisito deseable u obligatorio?

b. ¿Los diferentes módulos de la solución SIEM tienen que suministrarse en formato appliance? ¿Habría posibilidad de suministrarse en modo software sobre servidores de propósito general o desde un entorno Cloud Pública?

c. Se solicita retención de eventos off-line de 24 meses. ¿Este almacenamiento podría ser en entorno Cloud Pública o en una cabina de almacenamiento? Si fuese en una cabina, ¿la proporcionaría Madrid Digital?

d. Además de las pantallas de monitorización de eventos de seguridad, ¿se requiere algún sistema de distribución de vídeo para la proyección, que debe ser suministrado por el adjudicatario?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Ref: 05/308730.9/19

Núm. Exp.: ECON/000079/2018 Página 2 de 12

Respuesta:

La herramienta GLPI no está implementada en la actualidad. En el apartado 4.2.5 Tecnologías y herramientas del SOC del pliego, se indica que para el sistema CMDB “como referencia se podrá optar por una solución integral opensource, llamada GLPI, y que será mantenida por el personal del SOC”. Por tanto, la solución recogida no es obligatoria, quedando a criterio de los licitadores la propuesta del conjunto de herramientas de gestión y soporte que mejor se adapten al servicio requerido. La propuesta de herramientas debe incluir su instalación, configuración inicial y mantenimiento y operación posterior, durante toda la vigencia del contrato.

Respuesta:

En el anexo IV de presupuesto del pliego de prescripciones técnicas se puede comprobar que los servicios están valorados por los 36 meses de ejecución del contrato. Por tanto, el adjudicatario estará obligado a sustituir el equipo mínimo en caso de vacaciones o ausencias justificadas.

Respuesta:

El servicio de Asesoría legal es un servicio complementario, bajo demanda de cuota variable. Este servicio se prestará principalmente desde las ubicaciones del adjudicatario cuando lo requiera Madrid Digital, sin perjuicio de que las personas que lo presten tengan que desplazarse a las oficinas de Madrid Digital las veces que sea preciso para las reuniones que se requieran para determinar el alcance de la asesoría a realizar.

Respuesta:

Se debe entender como que el alcance de las obligaciones de colaboración definidas se circunscribe a los servicios objeto del pliego.

2) La solución GLPI (Sistema Integral de CMDB), ¿actualmente está implementada o requiere una instalación y configuración inicial?

3) En la sección de Equipo de trabajo se indica el número mínimo de personas que deben constituir el mismo. Entendemos que se requiere sustitución en periodos vacacionales o ausencias justificadas. Necesitamos confirmación de si esta asunción es correcta. ¿Qué tiempo máximo se permitiría para realizar dichas sustituciones?

4) ¿Desde dónde se tiene que prestar el servicio de Asesoría legal?

5) Punto 8.1.2 letra N de las prescripciones técnicas (pág. 35), ¿pueden definir el alcance concreto de la colaboración en el cumplimiento en materia de protección de datos (implantación de medidas, acompañamiento en auditorías, desarrollo documental, etc.)?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 3 de 12

Respuesta:

Madrid Digital, como Administración Pública en el ámbito de sus competencias definidas en su ley de creación como Agencia, debe observar y velar por el cumplimiento de toda la legislación española que afecte a la ciberseguridad. Para mayor detalle, consultar el documento “Código de Derecho de la Ciberseguridad. Edición actualizada a 8 de enero de 2019”, elaborado por el Instituto Nacional de Ciberseguridad de España, INICBE, y descargable desde el sitio www.boe.es/legislacion/codigos/.

Respuesta:

Con carácter general, Nivel medio.

Respuesta por apartado:

a. Uno de los requisitos del servicio, tal y como se indica en el Pliego de Prescripciones Técnicas, es la elaboración del inventario de activos y su catalogación, momento en el que se determinará el número total de activos a considerar para el servicio. Como información preliminar, y a título orientativo, Madrid Digital dispone de una planta de aproximadamente 2.630 servidores, distribuidos entre entornos productivos y no productivos, y con diferentes propósitos (servidores web, servidores de aplicaciones, bases de datos, etc.).

b. En el apartado 4.2.5 Tecnologías y herramientas del SOC-MD, se indica que las herramientas “se instalarán en hardware facilitado por Madrid Digital, acorde a las tecnologías y soluciones establecidas por su departamento de Sistemas. A tal fin, los licitadores detallarán en su propuesta el hardware necesario para cada herramienta y propuesta alternativa en caso de no disponer de este (soluciones en nube, equipamiento propio, etc.)”. Como se deduce, se requiere una instalación en las infraestructuras de Madrid Digital, y sólo en caso de no poder facilitar ésta el hardware requerido, se admitirán soluciones en equipamiento propio del licitador o en la nube.

6) ¿Qué normativas distintas a GDPR y ENS (NIS, PIC, etc.) le aplican a Madrid Digital?

7) ¿Qué nivel de ENS tiene que cumplir Madrid Digital?

8) En relación al servicio automatizado de análisis de vulnerabilidades, la información solicitada es la siguiente:

a) ¿Se podría proporcionar una volumetría del servicio para dimensionamiento de las herramientas: número de IPs o dispositivos?

b) Las herramientas para este servicio ¿tienen que ser desplegadas en las oficinas de Madrid Digital en modo appliance físico dedicado? ¿Pueden emplearse soluciones Cloud o software? En caso de requerir hardware para el despliegue de algún software para la prestación de este servicio, ¿lo proporcionaría Madrid Digital?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 4 de 12

Respuesta por apartado:

a. A título orientativo, el número total de dominios de Internet gestionados por Madrid Digital es de 140.

b. Las capacidades de vigilancia digital ofrecidas por cada licitador están definidas en cuanto a su alcance en el apartado 4.1.2.2. Se valoran específicamente en el criterio 4.4 del pliego de cláusulas administrativas, y serán concretadas en la fase de implantación del contrato.

c. Aplica la misma respuesta facilitada para la pregunta 8, apartado b.

Respuesta:

Los CPD’s de Madrid Digital se encuentran en modalidad de housing, todas las infraestructuras técnicas son gestionadas por Madrid Digital. La información detallada de las infraestructuras de los CPD’s se facilitará al adjudicatario en la fase de implantación del servicio.

Respuesta:

La plataforma SIEM Alienvault del Servicio Madrileño de Salud (SERMAS) de la Consejería de Sanidad de la Comunidad de Madrid, dispone de una arquitectura en alta disponibilidad y tolerante a fallos, e incluye elementos sensores, recolectores, servidor de gestión, base de datos y consola web.

Para más detalle, consultar el pliego de prescripciones técnicas del servicio de “Oficina de Seguridad y Centro de Soporte Especializado en el Área de Seguridad de Sistemas y Tecnologías de la Información del Servicio Madrileño de Salud (OSSI-CERT)” publicado por la Dirección General de Sistemas de Información Sanitaria de la Consejería de Sanidad.

Respuesta:

9) Se requieren volumetrías del servicio de Vigilancia Digital e identificación de amenazas para el dimensionamiento de las herramientas.

a) Número de dominios a proteger b) Número de usuarios/ servicios, tipo Identidad digital de 10 personas relevantes c) ¿Las herramientas para la prestación de este servicio deben ser desplegadas en

dependencias de Madrid Digital o pueden usarse herramientas desplegadas en sede del adjudicatario?

10) ¿Podrían proporcionar los elementos de toda la infraestructura donde va hosteado el servicio?

11) ¿Es posible conseguir el Mapeado de toda la infraestructura actual monitorizada por Alient Vault?

12) Si la sustitución de un recurso es debida a una baja voluntaria de la empresa, de ese recurso ¿se considera a efectos de penalización?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 5 de 12

Tal y como se recoge en el apartado 6.2 Condiciones generales de los recursos del adjudicatario, del pliego de prescripciones técnicas, “el adjudicatario deberá garantizar que dispone de los mecanismos adecuados para minimizar la rotación no planificada de los recursos puestos a disposición para el contrato, y así evitar la pérdida no controlada de conocimiento, el impacto en los niveles de servicio y la dedicación adicional de personal de Madrid Digital que estas situaciones suelen llevar asociadas”. Por tanto, sí se considera a efectos de penalización.

Respuesta:

En el Anexo V - Acuerdos de nivel de servicio, se recoge un ítem específico de disponibilidad del portal de gestión.

Respuesta:

En el apartado 4.2.5 Tecnologías y herramientas del SOC-MD, se recoge que “Estas herramientas se instalarán en hardware facilitado por Madrid Digital, acorde a las tecnologías y soluciones establecidas por su departamento de sistemas. A tal fin, los licitadores detallarán en su propuesta el hardware necesario para cada herramienta y propuesta alternativa en caso de no disponer de este (soluciones en nube, equipamiento propio, etc.)”. Se deduce por tanto que cada licitador debe indicar el hardware requerido para cada servicio.

Respuesta:

Aplica la aclaración aportada para la respuesta 14, siendo la administración de las máquinas a nivel de sistema operativo responsabilidad de Madrid Digital. En consecuencia, la administración del sw del portal y de su contenido será responsabilidad del adjudicatario.

Respuesta:

Los datos de volumetrías del SIEM Alien Vault se facilitarán en caso de solicitar la integración del servicio a lo largo de la fase de operación.

13) La disponibilidad de la plataforma, ¿también incluye al portal de gestión?

14) ¿Nos pueden proporcionar las máquinas donde se va a alojar el entorno donde se va a alojar el portal de Gestión?

15) ¿Nos pueden indicar tipo de máquina para alojar el portal, entorno de sistemas y quien se encarga de la administración?

16) ¿Es posible conocer la volumetría de los EPS del año 2018 o el volumen de Teras, en su defecto, del SIEM Alien Vault del Servicio Madrileño de Salud?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 6 de 12

Respuesta:

El número aproximado de servicios/sitios web/aplicaciones publicadas en Internet es de 450.

El número aproximado de servicios/sitios web/aplicaciones Internas es de 950.

El direccionamiento público de Madrid Digital es el siguiente: 195.77.128.0/22 y 213.0.53.0/24.

Respuesta:

El número de dominios de Internet responsabilidad de Madrid Digital se indican en la respuesta a la pregunta 9, apartado a.

Respuesta:

El direccionamiento público global de Madrid Digital se indica en la respuesta a la pregunta 17.

Respuesta:

Depende de las soluciones tecnológicas que se emplean en cada sistema en particular. Las arquitecturas mayoritarias se basan en soluciones activo-pasivo.

17) ¿Podrían indicarnos el número de activos existentes en las infraestructuras TIC de Madrid Digital y que se encontrarían dentro del alcance de los servicios de análisis de vulnerabilidades?

Nº Servicios/Sitios Web o aplicaciones publicadas en internet: Nº Servicios/Sitios Web o aplicaciones internas: Nº Direcciones IP públicas: Nº Direcciones IP privadas:

18) ¿Podrían indicarnos el número de Dominios de Internet que se utilizan en Madrid Digital para los servicios Web, aplicaciones y correo electrónico publicados en Internet?

19) ¿Podrían indicarnos el número de rangos de direccionamiento IP públicos utilizados para los servicios Web, aplicaciones y correo electrónico publicados en Internet?

20) ¿Los CPDs funcionan en modo activo-activo o activo-pasivo? ¿Los sistemas de los que se pretende recolectar eventos, funcionan en activo-activo o activo-pasivo?.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 7 de 12

Respuesta:

Si.

Respuesta:

Si.

Respuesta:

En circunstancias normales de funcionamiento de los enlaces DWDM, sí.

Respuesta:

Tal y como se indica textualmente en el pliego de prescripciones técnicas son tecnologías preferentes, por tanto, no son excluyentes.

21) ¿Las redes/vlans de los CPDs están extendidas?

22) ¿Se puede garantizar enlaces de 1Gbps entre una máquina de un CPD a otra del otro CPD?

23) ¿Se puede garantizar una latencia menor o igual a 2ms en las comunicaciones de un CPD a otro?

24) El portal de gestión será accesible vía web desde Internet, debiendo cumplir la metodología de desarrollo de portales de Madrid Digital. La tecnología de desarrollo preferente será Drupal o Joomla. La pregunta es: ¿son excluyentes? o ¿el portal de gestión puede estar orientado hacia una tecnología Microsoft, por ejemplo?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 8 de 12

Respuesta:

Todos los servicios facturables en concepto de cuota fija se prestarán con personal presencial en las dependencias de Madrid Digital, en horario de 8:00 a 20:00 en días laborable, tal y como se recoge en el apartado 4.2.4. Horario y ubicación para la prestación del servicio.

Los servicios con estas condiciones son los siguientes:

Servicios de prevención: • Servicio automatizado de análisis de vulnerabilidades. • Servicio manual de análisis de vulnerabilidades.

Servicios de detección: • Servicio de monitorización de eventos de seguridad (mantenimiento de plataforma

SIEM). • Servicio de vigilancia digital e identificación de amenazas. • Servicio de detección de incidentes – Nivel N1.

Servicios de análisis y respuesta: • Servicio de detección de incidentes – Nivel N2. • Servicio especializado de respuesta a incidentes.

Servicio de diseño y operación de procesos y tecnologías del SOC.

Servicio de soporte a la gestión y operación del SOC.

Además, en el mismo apartado 4.2.4, se indica que los servicios asociados a tareas de monitorización de eventos de seguridad y vigilancia digital, serán prestados en modalidad 24x7. El personal dedicado a tal fin, en festivos y fuera de la franja horaria presencial en Madrid Digital, se localizará en las dependencias del adjudicatario.

Madrid Digital podrá requerir en la fase de puesta en marcha del servicio la prestación de alguno de ellos directamente en las dependencias del adjudicatario.

Los recursos puestos a disposición por el adjudicatario para los servicios facturables en concepto de cuota variable, o servicios a demanda, se ubicarán en las dependencias del adjudicatario, hasta que se requiera

25) En el apartado 4.2.4 del pliego técnico se establece con carácter genérico que "El horario de prestación del servicio será ... en modo presencial en las dependencias de Madrid Digital". Sin embargo, en la descripción de cada uno de los servicios se establecen otros criterios:

a. En la mayoría se dice que "el adjudicatario pondrá a disposición de Madrid Digital los recursos recogidos en el apartado 4.2.3. Equipo de trabajo." Sin especificar si ésta puesta a disposición tiene que ser obligatoriamente en dependencias de Madrid Digital o en las del prestatario.

b. En 4.1.2.3 se contempla una "modalidad mixta". c. En 4.1.2.2 no se dice nada en cuanto al equipo, sino que se habla del "servicio". d. En 4.1.3.2 se dice el servicio se prestará "de forma remota o in situ", sin clarificar más. e. En 4.1.3.3 se dice que el servicio se prestará "a demanda", al igual que ocurre con el

4.1.7 según lo descrito en 6.4.

PREGUNTA: ¿Qué servicios deben prestarse OBLIGATORIAMENTE con el personal ubicado en las instalaciones de Madrid Digital? ¿Puede asumirse que los recursos empleados "a demanda" estén en las instalaciones del prestatario del servicio hasta que sean llamados a una intervención?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 9 de 12

el servicio, momento en el que puede ser necesario un desplazamiento a las dependencias de Madrid Digital. Los servicios en esta situación son los relativos al Soporte a la gestión de incidentes de seguridad y Asesoría y asistencia legal.

Respuesta:

Efectivamente, los servicios en 24x7 son los asociados a tareas de monitorización de eventos de seguridad y vigilancia digital. El resto de servicios se demandarán fuera de horario únicamente en caso de incidencias de seguridad que lo requieran, o en caso de existir necesidad de realización de trabajos fuera del horario habitual.

Respuesta:

Se deja a criterio de los licitadores la propuesta de organización del equipo de trabajo, turnos y mecanismos alternativos para dar respuesta a los requisitos del pliego.

26) Siguiendo con el apartado 4.2.4, en él se dice: "Los servicios del SOC-MD especialmente para las tareas de monitorización de eventos de seguridad y vigilancia digital, serán prestados en horario de 24 horas, 7 días a la semana".

En el punto 6.2 se dice: "para el personal del Lote I, dado que los servicios del SOC de Madrid Digital a los que da cobertura dicho lote necesitan una disponibilidad o localización en horario de 24 x 7,...".

PREGUNTA: ¿TODOS los servicios deben prestarse en régimen de 24x7, o cabe distinguir algunas especificidades, como los servicios a demanda (o cualquier otro que Madrid Digital considere)? ¿Podría asumirse la obligación del 24x7 sólo en monitorización de eventos de seguridad y en vigilancia digital, cubriendo el resto con un servicio de GUARDIA/LOCALIZACIÓN?

27) En el apartado 4.2.4 se dice "El horario de prestación del servicio será con carácter general de 8 a 20:00 horas en días laborables". Con un equipo parecido al descrito en 4.2.3 no se puede cumplir con esta ventana horaria, ya que hay servicios dotados sólo con una única persona (cubriría sólo 8 horas de las 12 de la ventana exigida).

PREGUNTA: En los servicios donde sólo se ha previsto un equipo mínimo de una persona, ¿pueden cubrirse las horas faltantes con un servicio de GUARDIA/LOCALIZACIÓN para asegurar la ventana de 8:00 a 20:00 en días laborables?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 10 de 12

Respuesta:

Es correcta.

Respuesta:

Es correcta.

28) En la página 51 se especifican 160 h/mes para los miembros del equipo del SOC. Sin embargo, anteriormente en la página 20 (punto 4.2.4) se solicita la prestación de un servicio presencial en horario de 8:00 a 20:00 horas durante los días laborables (12x5), lo que daría lugar a un mayor número de horas mensuales por perfil.

Entendemos que al solicitar 160 h/mes por perfil (que corresponderían a 40h/semana, y 8h/día), no se requiere que todos los perfiles estén disponibles las 12h/día. Por ejemplo, el Jefe de Servicio, que es un único recurso y por tanto trabajará 8h/día (160h/mes), no estaría disponible las 12h/día. El proveedor deberá gestionar el equipo de trabajo para asegurar que siempre haya alguien de forma presencial entre las 8 y las 20h, pero no todos los integrantes del equipo.

Rogamos que por favor confirmen si nuestra apreciación es correcta.

29) En el anexo IV, para los servicios requeridos del Lote 2, se especifica un número de horas mensuales de 160 para 3 perfiles y adicionalmente 40 horas de 1 perfil bajo demanda para el equipo de soporte especializado en el diseño seguro. Sin embargo en el punto 5.4 se especifica que la prestación del servicio debe cubrir el horario de 8:00 a 18:00 horas durante los días laborables (10x5), lo que daría lugar a un mayor número de horas mensuales.

¿Cuál es el horario de trabajo normal de este equipo? Siendo de 8h/día por perfil, entendemos que no se requiere que todos los perfiles estén disponibles las 10h/día, y que será el proveedor el que gestione el equipo para asegurar que siempre haya alguien de forma presencial entre las 8 y las 18h, pero no todos los integrantes del equipo.

Rogamos que confirmen si nuestra interpretación es correcta.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 11 de 12

Respuesta:

No es correcta. El adjudicatario estará obligado a sustituir el equipo mínimo en caso de vacaciones o ausencias justificadas.

Respuesta: Sí. Contestado en las preguntas 3 y 30.

Respuesta: No se han facilitado a priori. En la respuesta a la pregunta 8 se facilitan datos estimados de servidores instalados.

Respuesta: Ver respuesta en la pregunta 8, apartado b.

Respuesta:

Solo se valorarán aquellas herramientas requeridas por Pliego que, obligatoriamente, deberán pasar a ser propiedad de Madrid Digital, según se indica en la cláusula 4.2.5. del Pliego.

30) Para los servicios requeridos en el Lote 2, entendemos que, en caso de necesidad, el proveedor podrá utilizar su equipo remoto para cubrir situaciones puntuales del servicio presencial como vacaciones, bajas, etc.

Rogamos que confirmen si nuestra interpretación es correcta.

31) ¿Es necesaria la sustitución del equipo técnico en periodos de vacaciones?

32) ¿Existen o se tienen contempladas volumetrías para el análisis de vulnerabilidades automatizado? ¿Lo consideramos ilimitado?

33) La utilización del HW de la Comunidad de Madrid para la implantación de las herramientas, ¿tiene algún coste para el licitador? Por ejemplo, alguna de las herramientas requerirán recursos y requisitos elevados y con escalabilidad.

34) Además de las herramientas que cumplen con los requisitos del pliego, ¿aportaría un valor añadido la utilización de herramientas comerciales (no OpenSource) adquiridas por ___ para sus clientes SOC? Teniendo en cuenta que estas herramientas no pasarían a ser propiedad de Madrid Digital a la finalización del contrato.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041

Núm. Exp.: ECON/000079/2018 Página 12 de 12

Respuesta:

Los pliegos están únicamente disponibles en castellano. En la cláusula 12 del pliego de cláusulas administrativas se indica que “Las proposiciones se presentarán redactadas en lengua castellana, o traducidas oficialmente a esta lengua, y constarán de TRES ARCHIVOS ELECTRÓNICOS (SOBRES)”.

Toda la documentación de este contrato se puede descargar en: Enlace a pliegos administrativos y técnicos

Por considerar de interés las aclaraciones y en virtud de lo establecido en la cláusula 10 del Pliego de Cláusulas Administrativas Particulares, se remite para su publicación en el perfil de contratante del Portal de la Contratación Pública de la Comunidad de Madrid.

La Subdirectora General de Infraestructuras y Operaciones

Fdo.: Zaida Sampedro Préstamo

35) We are interested in the tender in Subject, but we need to understand if the tender is only in Spanish or if is available the English version and if the response, and eventually in case of award, the service can be performed in English language.

Please also share the tender docs or let me know where I can download it.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 12

4084

6740

4260

6884

2041