La Subdirección Dirección General de Tecnologías de la Información y las Comunicaciones (en adelante, STICDGTIC) del SAS en base a la Resolución SA 0157/2013 de 4 de abril de la Consejería de Salud queda establecida como la encargada de la prestación de servicios TIC en los diferentes centros de titularidad de la Consejería de Salud, lo que le confiere el carácter de único órgano competente en materia TIC de dichas entidadesal Decreto 168/2025, de 5 de noviembre, por el que se establece la estructura orgánica de la Consejería de Sanidad, Presidencia y Emergencias, le corresponden las atribuciones previstas en el artículo 30 de la Ley 9/2007, de 22 de octubre y, en especial, las siguientes, que serán ejercidas sin perjuicio de las competencias de la Agencia Digital de Andalucía y en coordinación con la misma: Planificación, ejecución y supervisión de proyectos orientados a la implementación de servicios digitales, garantizando su calidad y disponibilidad. Planificación y gestión de la infraestructura tecnológica y las comunicaciones del Servicio Andaluz de Salud. Coordinar las necesidades funcionales de la organización con los sistemas de información, asegurando que respondan eficazmente a las exigencias funcionales y estratégicas.
En base a ello, serán de obligado cumplimiento las normativas y políticas de seguridad vigentes establecidas por la DGTIC, que estarán a disposición de los interesados y serán actualizadas con carácter periódico.
Este apartado describe las condiciones de aplicación a los sistemas de información ofertados por los licitadores en expedientes de contratación de servicios o suministros:
...
En este sentido, todas las peticiones de instalación, puesta en marcha o incorporación de nuevos dispositivos, aplicaciones sanitarias o sistemas de información necesitarán de la aprobación expresa y validación de su idoneidad por parte de la STICDGTIC.
La aplicación concreta de cada una de estas condiciones depende directamente del entorno tecnológico en el que se encuadra. En cualquier caso, siempre serán de estricta aplicación las condiciones establecidas por la reglamentación vigente, la normativa TIC del SAS, y las herramientas de gestión TIC y atención al usuario establecidas en este anexo.
1. Seguridad
Las proposiciones deberán garantizar el cumplimiento de los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información que constituyen el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo por el que se regula el Esquema Nacional de Seguridad.
...
La gestión de incidentes que afecten a datos personales tendrá en cuenta lo dispuesto en el Reglamento General de Protección de Datos; la Ley Orgánica 3/2018, de 5 de diciembre, en especial su disposición adicional primera, así como el resto de normativa de aplicación, sin perjuicio de los requisitos establecidos en el ENS.
2. Tratamiento de datos de carácter personal
De acuerdo con lo establecido en el artículo 32 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) en adelante RGPD, la figura del responsable del tratamiento, que recae en el Director Gerente del Servicio Andaluz de Salud (en adelante SAS), representado por cada Dirección Gerencia de los centros, realizará la evaluación de riesgos que determinen las medidas apropiadas para garantizar la seguridad de la información y los derechos de las personas usuarias. Asimismo, y como se detalla en el punto 2acuerdo correspondiente, el encargado del tratamiento, representado por la persona contratista, también evaluará los posibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías de acceso, recursos utilizados, etc.) y cualquier otra contingencia que pueda incidir en la seguridad. La determinación de las medidas de seguridad que deben ser aplicadas por la persona contratista podrá realizarse mediante la remisión de toda la información a la plataforma Confluence corporativa de la STICDGTIC, donde se albergan las medidas de seguridad de tratamiento de información de ámbito general o para escenarios de tratamiento o cesión de información específicos. Como mínimo, se incorporarán las medidas establecidas en Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, en adelante ENS, conforme a la categoría del sistema y la declaración de aplicabilidad.
El encargado del tratamiento, junto con el responsable del tratamiento, establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad según lo identificado en la Evaluación de Riesgos que, en su caso, incluirán, entre otros:
- a) La anonimización y el cifrado de datos personales;
- b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
- d) Un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
...
La gestión de incidentes que afecten a datos de carácter personal tendrá en cuenta lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD), en lo que corresponda.
3. Propiedad intelectual del resultado de los trabajos
...
La presente cláusula no será de aplicación a los productos y herramientas preexistentes empleados para la ejecución del contrato protegidos por derechos industriales o de propiedad intelectual.
4. Interoperabilidad
Las ofertas garantizarán un adecuado nivel de interoperabilidad técnica, semántica y organizativa, conforme a las estipulaciones del Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica (ENI). En concreto, se cumplirán las Normas Técnicas de Interoperabilidad establecidas por dicho esquema. Se cuidarán especialmente los aspectos de interoperabilidad orientados a la ciudadanía, de tal forma que se evite la discriminación a los ciudadanos por razón de sus elecciones tecnológicas. El sistema implantará los protocolos ENIDOCWS y ENIEXPWS para que los documentos y expedientes electrónicos que se gestionen en el mismo puedan, a partir de sus códigos seguros de verificación, ser puestos a disposición e interoperar de manera estandarizada con otros sistemas y repositorios electrónicos de la Junta de Andalucía, así como remitirse a otras Administraciones si procede.
...
La aplicación que se desarrolle/provea deberá integrarse con los sistemas de información corporativos siguiendo las pautas, normas y procedimientos definidos por la Oficina Técnica de Interoperabilidad del SAS, que actuará de asesor y coordinador de los diferentes circuitos a definir para que se pueda verificar la corrección de los flujos de información, accesibles a través de la página correspondiente del portal Confluence del SAS: https://ws001confluence.sspa.juntadeandalucia.es/confluence/display/normativaTIC , apartado A).
Este portal recoge toda la regulación en cuanto a normas y procedimientos de trabajo que ha identificado la STIC DGTIC como imprescindibles para el aseguramiento de la calidad de los servicios de intercambio de información prestado a sus clientes, así como de calidad de la semántica corporativa necesaria para mantener la coherencia de los procesos.
...
Para la práctica de la verificación, mediante un código generado electrónicamente, de documentos firmados electrónicamente en la Administración de la Junta de Andalucía, para el contraste de su autenticidad y la comprobación de su integridad, en el marco de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. y su normativa de desarrollo, y el apartado VIII (Acceso a documentos electrónicos) de la Norma Técnica de Interoperabilidad de Documento Electrónico, se utilizará la Herramienta Centralizada de Verificación, de acuerdo con el protocolo técnico disponible en el apartado correspondiente de la web de soporte de administración electrónica de la Junta de Andalucía.
5. Rediseño funcional y simplificación de procedimientos administrativos
...
Para ello se considerará el Manual de Simplificación Administrativa y Agilización de Trámites de la Administración de la Junta de Andalucía, aprobado por Orden de 22 de febrero de 2010 (BOJA núm. 52 de 17 de marzo) disponible en la siguiente dirección: https://ws024.juntadeandalucia.es/ae/extra/manualdesimplificacion
6. Definición de procedimientos administrativos por medios electrónicos
La definición de los procedimientos deberá realizarse conforme a los conceptos y términos expresados en el documento Dominio Semántico del Proyecto w@ndA (ISBN 84-688-7845-6) disponible en la web de soporte de administración electrónica de la Junta de Andalucía. La citada web está accesible en la siguiente dirección: http://www.juntadeandalucia.es/haciendayadministracionpublica/ae
7. Uso de certificados y firma electrónica
...
Se utilizarán los servicios provistos por la implantación corporativa de la plataforma @firma gestionada por la Consejería competente en materia de administración electrónica.
8. Práctica de la verificación de documentos firmados electrónicamente
Para la práctica de la verificación, mediante un código generado electrónicamente, de documentos firmados electrónicamente en la Administración de la Junta de Andalucía, para el contraste de su autenticidad y la comprobación de su integridad, en el marco del artículo 27.3.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, el artículo 42.b) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y el apartado VIII (Acceso a documentos electrónicos) de la Norma Técnica de Interoperabilidad de Documento Electrónico, se utilizará la Herramienta Centralizada de Verificación, de acuerdo con el protocolo técnico disponible en el apartado correspondiente de la web de soporte de administración electrónica de la Junta de Andalucía.
9. Gestión de usuarios y control de accesos
...
El sistema deberá admitir, para los trámites y actuaciones que su personal realice con ella por razón de su condición de empleado público, el sistema de identificación de la plataforma de Gestión Unificada de Identidades de Andalucía (GUIA) de acuerdo con el artículo 25.1 del Decreto 622/2019, de 27 de diciembre, de administración electrónica, simplificación de procedimientos y racionalización organizativa de la Junta de Andalucía.
10. Disponibilidad pública del software
...
La aplicación desarrollada será publicada en el repositorio de software libre de la Junta de Andalucía; viniendo acompañada además, junto con el software, de la documentación completa, en formato electrónico, referente tanto al análisis y descripción de la solución así como del correspondiente manual de usuario, con objeto de que este software pueda fácilmente ser usable.
11. Uso de infraestructuras TIC y herramientas corporativas.
...
- Para el modelado y tramitación de los flujos de trabajo ligados a procedimientos administrativos se deberá utilizar el tramitador TREW@ y herramientas asociadas (eximiéndose de esta obligación en el caso de flujos de trabajo que no estén ligados a procedimientos).
- @firma: la plataforma corporativa de autenticación y firma electrónica para los procedimientos administrativos, trámites y servicios de la Administración de la Junta de Andalucía.
- Autoridad de Sellado de Tiempo de la Junta de Andalucía.
- @ries: el registro unificado de entrada/salida.
- notific@: prestador de servicios de notificación.
- LDAP del correo corporativo para la identificación y autenticación de usuarios, hasta que se produzca la implantación definitiva del Directorio Corporativo de la Junta de Andalucía.
- port@firma: gestor de firma electrónica interna.
- Etc
12. Conformidad con los marcos metodológicos de desarrollo de software de la Junta de Andalucía.
Durante la realización de los trabajos se tendrán en cuenta los recursos proporcionados por los marcos metodológicos vigentes de desarrollo de software en la Junta de Andalucía, así como las pautas y procedimientos definidos en éstos.
13. Desarrollo web: accesibilidad
...
Por último, como obliga la normativa se deberá realizar al menos una revisión anual de la accesibilidad de los sitios web y sistemas desarrollados o mejorados de manera significativa en el marco del contrato, así como actualizar y en su caso, elaborar, la correspondiente Declaración de accesibilidad de conformidad con el modelo europeo establecido Decisión de Ejecución (UE) 2018/1523 de la Comisión de 11 de octubre de 2018 por la que se establece un modelo de declaración de accesibilidad de conformidad con la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público.
14. Desarrollo web: páginas web orgánicas del SAS y puntos de acceso electrónico permitidos en la administración andaluza
El Decreto 622/2019 de 27 de diciembre, de administración electrónica, simplificación de procedimientos y racionalización organizativa de la Junta de Andalucía, establece la tipificación de puntos de acceso electrónico permitidos en la administración andaluza. En este sentido, los trabajos de desarrollo que tengan relación con páginas webs orgánicas del SAS se adecuarán a los dispuesto en este Decreto y, por tanto, se llevarán a cabo las acciones oportunas para la integración de los contenidos de las páginas web orgánicas del SAS en el punto de acceso electrónico general, el portal de la Junta de Andalucía.
15. Desarrollo web corporativa e intranet: Apertura de Datos
...
Si los anteriores conjuntos de datos contienen información de carácter personal, se realizarán la extracción de datos mediante un proceso de disociación o anonimización que garantice el cumplimiento de la Ley de Protección de Datos.
16. Desarrollo web corporativa e intranet: Apertura de Servicios
...
En concreto, la definición de los servicios de la API se realizará cumpliendo las especificaciones OpenAPI establecidas por dicha organización (OAS). En relación a los estándares a emplear en el marco del presente contrato, las ofertas deben garantizar el cumplimiento y utilización del estándar y normas establecidas por OpenAPI, en los casos que fuese necesario.
17. Cláusula sobre normalización de fuentes y registros administrativos
...
18. Carpeta ciudadana
El sistema deberá integrarse con la Carpeta Ciudadana para informar a la ciudadanía sobre el estado de tramitación de sus expedientes administrativos y, en su caso, el acceso a su contenido, de acuerdo con el art. 38.2 del Decreto 622/2019, de 27 de diciembre, de administración electrónica, simplificación de procedimientos y racionalización organizativa de la Junta de Andalucía y atendiendo al contrato del servicio Carpeta Ciudadana disponible en la web de soporte de administración electrónica de la Junta de Andalucía.
19. Compendio de la normativa TIC
En el espacio NormativaTICNormativa TIC, apartado A), se enlazan todas las normas técnicas de la STICDGTIC. La persona adjudicataria se comprometerá a prestar los servicios contratados de acuerdo con este compendio normativo normativo https://ws001confluence.sspa.juntadeandalucia.es/confluence/display/normativaTIC, apartado A
Cualquier excepción al cumplimiento de esta cláusula deberá ser aprobada de forma previa al comienzo de las tareas por el SAS.
20. Servicios de integración con las herramientas de gestión TIC
Para optimizar los esfuerzos de gestión relacionados con las solicitudes que se registran y resuelven a través de las herramientas de gestión TIC, la persona adjudicataria debe dotarse de los medios técnicos necesarios para hacer uso de los servicios de integración provistos por la STIC DGTIC y mantener actualizadas dichas integraciones en todo momento. Estas actualizaciones pueden ser motivadas por la evolución o incorporación de nuevos servicios de integración.
El detalle de estos servicios de integración, sus actualizaciones y procedimientos, se encuentran disponibles en: https://ws001confluence.sspa.juntadeandalucia.es/confluence/display/SERVCGESP/API+REST+Servicios+CGES
21.
...
WT:
...
Web Técnica
Es la herramienta del SAS destinada a la gestión de solicitudes, incidencias, peticiones, problemas y configuración, los cuales se registrarán en este sistema informático, y se utilizarán como prueba documental para valorar el grado de cumplimiento del contrato.
...
El detalle del manual de la puede consultarse en
https://ws001confluence.sspa.juntadeandalucia.es/confluence/pages/viewpage.action?pageId=26935915
22. JIRA y Confluence
Son las herramientas del SAS destinadas a la gestión del ciclo de vida del software, proyectos y conocimiento, y encargadas de la gestión y coordinación de los contratos de servicios para el mantenimiento de aplicaciones a medida, proyectos y conocimiento.
La persona adjudicataria deberá conectarse a estos sistemas para la recepción y gestión de todas las solicitudes de servicio relacionadas con el objeto del contrato, corriendo por cuenta de la persona adjudicataria la dotación de los medios técnicos, y licenciamiento en caso de ser necesario, para su acceso, uso e integración en los citados sistemas.
23. MTI-SSHH
Es la herramienta del SAS que representa la única fuente de información válida para el análisis de datos y para el cálculo de los ANS del contrato, así como para la comprobación de su cumplimiento.
Los ANS estarán disponibles y habrá un periodo en el que se actualicen en función de los datos que arrojen las herramientas operacionales que son fuentes para su cálculo. Llegado el día 10 del mes siguiente al del periodo de prestación del servicio, salvo que la STIC DGTIC estime otra cosa, se cerrarán los procesos de cálculo de los ANS.
24. Herramienta CASE
Es la herramienta del SAS encargada de registrar de forma estructurada toda la información correspondiente a cada uno de los productos y proyectos de desarrollo de software, procurando así una visión completa de los mismos y modelando su comportamiento tanto a nivel tecnológico como de negocio, lo cual permite a su vez mantener traza con las fases de testing y control de calidad.
La persona adjudicataria deberá entregar en cada fase del ciclo de vida del software la versión correspondiente del producto en fichero nativo o importable en la herramienta CASE del SAS, según la información especificada en el espacio de NormativaTIC, apartado A), arriba mencionado.
25. Repositorio de código fuente
...
La persona adjudicataria deberá conectarse a este sistema para la entrega del código fuente de productos software desarrollados en el ámbito de esta contratación, según el procedimiento definido para ello en el espacio de NormativaTIC, apartado A), arriba mencionado.
26. Repositorio de componentes
...
La persona adjudicataria deberá conectarse a este sistema para la descarga de las librerías necesarias para los desarrollos realizados en el ámbito de esta contratación.
27. Catálogos para el desarrollo software
...
- Catálogo de servicios de interoperabilidad: catálogo de servicios de interoperabilidad disponibles, ya sea a través de la plataforma SOA corporativa o directamente en las aplicaciones proveedoras.
- Catálogo de tablas maestras: catálogo de tablas que mantienen los datos maestros del SAS.
- Catálogo de componentes: catálogo de módulos y componentes disponibles para su reutilización en las distintas aplicaciones.
28. Sistema de integración continua
Es la herramienta del SAS destinada a la construcción automatizada del software a partir del código fuente entregado en el repositorio de código del SAS. La STIC DGTIC será la responsable de la configuración de las tareas de construcción y empaquetado de cada entregable, según la información proporcionada a tal efecto por la persona adjudicataria.
...
Previamente a cualquier entrega, la persona adjudicataria deberá verificar la correcta construcción y empaquetado del software, únicamente, a partir de los recursos disponibles a través del repositorio de componentes corporativo, siendo responsabilidad exclusivamente suya los retrasos derivados de los defectos detectados durante dicho proceso en las instalaciones del SAS.
29. Sistema de gestión de la calidad del código fuente
...
La persona adjudicataria, por su parte, será el responsable de asegurar el cumplimiento de los mínimos de calidad definidos para el código fuente proporcionado con cada entregable en el repositorio de código del SAS. Previamente a cualquier entrega, la persona adjudicataria deberá verificar la calidad del código fuente entregado según los mínimos exigibles por la Oficina de Calidad, siendo responsabilidad exclusivamente suya los retrasos derivados de los defectos detectados durante el proceso de revisión de la calidad del código fuente en las instalaciones del SAS.
30. Sistema de Gestión de la Configuración (CMS)
CMS es la herramienta de destinada a controlar y gestionar los componentes y activos TIC. El CMS mantiene las relaciones entre los componentes del servicio y cualquier incidencia, problema, error conocido, cambio y documentación asociada. Actualmente el CMS aglutina la información de varias fuentes distintas o CMS físicas, que accesibles mediante un único interfaz, constituyen una CMS integral y federada.
31. DMSAS
DMSAS es el directorio activo del SAS, que constituye la única fuente de identificación y autenticación normalizada de la organización y por ello todo sistema de información de que se oferte deberá integrarse con dicho sistema..
32. Protección Protección puesto de trabajo y distribución de software
...
Para ello, la persona adjudicataria deberá usar las herramientas corporativas del SAS: Symantec Endpoint Protection (SEP), microCLAUDIA, Crowdstrike y Altiris, para las cuales su personal estará convenientemente capacitado.
33. Herramientas de gestión logística TIC
El SAS dispone de diversas herramientas que dan cobertura a distintos aspectos de la gestión logística TIC y a las cuales la persona adjudicataria deberá integrarse para dar cobertura a todo el proceso: SIGLO (herramienta corporativa de gestión logística), SIGMA-MANSIS (gestión de activos), NWT WT (gestión de operación TIC), CMS (gestión de activos TIC), JIRA/Confluence (gestión de proyectos TIC), APOLO (gestión de almacenes TIC).
34. JARVIS
JARVIS una aplicación realizada a medida para la recogida de peticiones de modificación y extracciones de datos desde Nueva Web Técnica y su lanzamiento automatizado y validado por la STIC DGTIC a través de MS Orchestrator, alojando los resultados en un FTP corporativo al cual tienen acceso los resolutores de la petición.
...
Adicionalmente, a través del uso de plantillas y variables para las actuaciones, se asegura la flexibilidad y adaptabilidad a las necesidades demandadas, mejorando los tiempos de resolución y la percepción del usuario final, al eliminar elementos de gestión innecesarios.
Figura: Arquitectura de la solución.
Otros aspectos destacados de JARVIS son:
...
