Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SSCC-SESPA
INDICE
1 INTRODUCCIÓN ............................................................................................................................3
2 OBJETO Y ALCANCE ....................................................................................................................5
3 MARCO LEGAL ............................................................................................................................10
4 PRESCRIPCIONES TÉCNICAS DEL ESPACIO DE DATOS DE SALUD ...................................11
4.1 Estructura general del Sistema. Proyecto CUÉLEBRE.................................................11
4.2 Fuentes de información principales...............................................................................12
4.3 Repositorio de Datos de Uso Primario ..........................................................................18
4.3.1 Características generales del Repositorio de Uso Primario....................................18
4.3.2 Interfaz FHIR y SMART On FHIR ...........................................................................20
4.3.3 Ingesta de datos en el repositorio y carga inicial ....................................................20
4.3.4 Gestor de Reglas ....................................................................................................21
4.3.5 Gestión de Datos Maestros.....................................................................................22
4.3.6 Servidor de Terminologías Clínicas ........................................................................24
4.3.7 Analítica de Datos y monitorizacion ........................................................................25
4.4 Visor 360 .......................................................................................................................27
4.5 Repositorio de Datos Anonimizados para Uso Secundario ..........................................32
4.5.1 Infraestructuras y Servicios en la Nube ..................................................................33
4.5.2 Herramientas de almacenamiento, gestión y manipulación y preparación de los
datos ................................................................................................................................34
4.5.3 Herramientas de soporte al desarrollo de modelos de Machine Learning..............36
4.5.4 Caso de Uso de Machine Learning en ámbito farmacológico.................................39
4.5.5 Subsistema de Anonimización de datos .................................................................39
4.5.6 Ingesta de datos en el repositorio y carga inicial ....................................................40
4.5.7 Analítica de Datos y monitorizacion ........................................................................41
4.5.8 Exportación de conjuntos de datos .........................................................................41
4.5.9 Trabajos derivados de cambios de proveedor o de plataforma base .....................42
4.6 Gobierno del Dato .........................................................................................................43
Estado Original Página Página 1 de 79
1 INTRODUCCIÓN
La actividad sanitaria produce una cantidad ingente de datos, El SESPA es el
organismo responsable de su gestión, guarda y custodia. Esos datos asistenciales
provienen tanto de dispositivos de electromedicina, como de registros en la Historia
Clínica como en los sistemas departamentales. Esa información se conserva tanto a
nivel estructural como en lenguaje natural.
Así, siguiendo estas directrices establecidas se implantó la Historia clínica
electrónica en Atención Hospitalaria, a través de los sistemas SELENE y Milenium y
en atención primaria a través del sistema OMI y ECAP. Asimismo se implantaron
diversos sistemas departamentales que se integran con la HCE, convirtiendo así la
HCE el soporte más adecuado para la asistencia sanitaria, facilitando el manejo y
accesibilidad de la documentación clínica de los pacientes tanto a los profesionales
como a los propios ciudadanos.
2 OBJETO Y ALCANCE
El objeto del contrato es el SUMINISTRO Y MANTENIMIENTO POSTERIOR DE UN
ESPACIO DE DATOS DE SALUD EN EL SERVICIO DE SALUD DEL PRINCIPADO
DE ASTURIAS, incluyendo tanto un repositorio de datos clínicos para uso primario,
un visor 360 de datos del paciente, como un repositorio de datos anonimizados para
uso secundario.
Se requiere por tanto de dos repositorios de datos con información clínica de cada
paciente de forma centralizada, que serán suministrados desde los distintos
sistemas de información corporativos.
3 MARCO LEGAL
La totalidad de las actuaciones a realizar dentro del ámbito del presente proyecto se
realizaran con la más completa garantía de cumplimiento de la legalidad vigente, y
en particular de la siguiente legislación aplicable, o sus correspondientes
actualizaciones:
Ley 14/1986, de 25 de abril, General de Sanidad.
Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del
paciente y de derechos y obligaciones en materia de información y
documentación clínica.
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Interoperabilidad en el ámbito de la Administración Electrónica.
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional
de Seguridad
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter
Personal y Garantía de los Derechos Digitales.
Reglamento Europeo UE 2016/679 de Protección de Datos.
Decreto 178/2005 del Reglamento que regula la historia clínica en los centros
hospitalarios y establece el contenido, conservación y expurgo de sus
documentos.
Normas Técnicas de Interoperabilidad (NTI) de la Secretaría de Estado de
Administraciones Públicas y las Normas y Guías técnicas de seguridad y
plataformas de firma del Instituto Nacional de Ciberseguridad (INCIBE) y del
Centro Criptológico Nacional (CCN).
Aquella normativa o esquemas técnicos nacidos en el ámbito de los proyecto de
Historia Clínica del Sistema Nacional y Europeo de Salud.
Resolución de 17 de junio de 2011, de la Consejería de Administraciones
Públicas y Portavoz del Gobierno, por la que se aprueba la política de seguridad
de los sistemas de información en la Administración del Principado de Asturias
Código de Deontología Médica.
Recomendaciones de las Sociedades Científicas de Profesionales Sanitarios.
Convenio del Consejo de Europa para la protección de los derechos humanos y
la dignidad del ser humano respecto a las aplicaciones de la biología y la
medicina.
I MODULAB
II MODULAB
III SMARTLIS
IV GESTLAB
V SERVOLAB,
VI OMEGA
VIII OMEGA
o Las integraciones principales son: con ECAP, o con cada uno de los
HIS de su área.
o Actualmente los distintos LIS se integran principalmente mediante
HL7.
Receta Electrónica
o sistema cuyo objetivo es permitir la emisión y transmisión de
prescripciones realizadas por los facultativos en el ámbito de Atención
Primaria y Especializada para su posterior dispensación en las oficinas
de farmacia.
o Una instancia única centralizada.
o Se integra principalmente con
1. los sistemas Prescriptores (ECAP y las distintas instancias de
los HIS)
2. SIPRES
o El mecanismo de integración principal se basa en Servicios Web.
o DietTools.
o Endotools WEB.
o PAT-Win. (Anatomía Patológica)
o ISCV. (Intelli Space Cardio Vascular. Cardiología).
o SINFHO. (Rehabilitación)
o ehCOS Emergency. (Historia Clínica Embarcada en Ambulancias de
Soporte Vital Avanzado)
o SmartCICU. Sistema de gestión de emergencias
o e-Delphyn. (Banco de Sangre)
o GOTA. Gestión de tratamientos anticoagulantes orales.
o Radimetrics. (Gestión de Dosis de Radiación Ionizante. Sistema
centralizado en una instancia única).
Se incluye una tabla resumen con estos y otros sistemas de información implantados
en el SESPA, que podrían tenerse en cuenta como fuentes de información.
del SESPA que no puedan integrarse con esta mensajería, se valorará que el
adjudicatario realice una transformación de los datos que reciba o descargue de
estos sistemas, para generar la mensajería que lanzará sobre la capa de integración
del repositorio, u otras soluciones equivalentes que faciliten una solución que
actualice totalmente online.
Se considera incluido en el ámbito del proyecto la migración de los datos disponibles
en los diferentes sistemas informáticos en los que actualmente se encuentra
disgregada la información de datos de salud del paciente.
Para cada uno de los sistemas de los que el repositorio tomará información (en
adelante sistemas fuente), se realizará una propuesta de integración en la que se
partirá de las posibilidades actuales del sistema origen y se adaptará a sus
posibilidades. Se diseñará una hoja de ruta para cada sistema fuente con las
diferentes actuaciones de mejora a aplicar en ambos sistemas (tanto en el sistema
origen como en CUÉLEBRE) hasta llegar al modelo deseado que sea totalmente
online.
Estructura de la regla:
o Condición de ejecución. A evaluar para cada invocación de la regla, Si
la evaluación es positiva, se ejecutará el bloque principal de acciones
de la regla.
Se deberá soportar que los mapeos puedan ser no simétricos entre dos
sistemas concretos (Los mapeos de valores del “sistema A” al “sistema B”
podrían ser diferentes de los correspondientes del “sistema B” al “sistema A”.)
Permitir definir reglas o mapeos por defecto. Estas reglas por defecto deberán
poder generar alertas por configuración. Estas alertas se utilizarán con el fin
de revisar la calidad de los mapeos existentes y la conveniencia de incorporar
mapeos específicos para los datos convertidos con las reglas por defecto.
Está incluido en el alcance de este contrato el análisis y carga inicial de todos los
mapeos a realizar, según el conjunto de sistemas de información origen
seleccionados como fuentes de datos.
Si bien se requerirá la carga de todos los mapeos/conversiones que permitan la
conversión de los datos originados en los distintos sistemas de información origen
seleccionados y dirigidos hacia los nuevos sistemas en el objeto del contrato, el
sistema deberá disponer de la posibilidad de servir de repositorio de mapeos entre
cualquier pareja de sistemas de origen y destino, sin más que efectuar la carga de
dichos mapeos de valores.
Igualmente serán valoradas otras propuestas que mejoren las capacidades del visor
360, complementarias a las anteriormente descritas.
El visor 360 sustituirá al actual sistema CGM HUP (Healthcare Unified Platform), por
lo que deberá contemplar al menos toda la información que centraliza actualmente
dicho sistema, manteniendo y mejorando los procesos de actualización de datos e
integración con los distintos sistemas del SESPA. Estas integraciones ya habrán
sido contempladas en el desarrollo del repositorio de uso primario y por tanto los
datos serán consultados principalmente de este repositorio. El adjudicatario deberá
encargarse y planificar la gestión del cambio para la puesta en marcha del visor 360
y desconexión del HUP respecto las funcionalidades actuales como visor de
información.
Respecto a la capa de servicios implementada actualmente en el CGM HUP, estos
servicios para consumir información de pacientes deberán de proporcionarse desde
la capa de servicios del repositorio de uso primario.
Capa bronze (Raw Layer): En esta capa se almacenarán los datos brutos,
procedentes de múltiples fuentes, en su formato nativo, sin ningún
procesamiento (raw data). Funcionará como la capa de entrada de datos,
para el data lake, y ayudará a evitar la extracción de los sistemas de origen.
Capa Silver (Curated Layer): En esta capa se almacenarán los datos que se
han limpiado y modificado de su formato original. La finalidad de esta capa es
que los datos estén más preparados para ser consumidos, pudiéndose
realizar cálculos o agregaciones de los mismos.
Capa Gold (Consumption Layer): En esta capa se almacenarán los datos
específicos para las aplicaciones y/o servicios analíticos, creados en el
entorno de la plataforma software, que consumen los datos del datalake. El
acceso a esta capa debe restringirse a los desarrolladores y usuarios de las
aplicaciones/servicios analíticos.
La plataforma software deberá permitir que los datos del data lake sean
provisionados, hacia otras capas u otros sistemas externos, mediante interfaces de
acceso, basados en estándares abiertos como API REST, JDBC, ODBC, etc
Formatos de información de entrada a soportar: El sistema deberá permitir
almacenar información almacenada en origen en diferentes formatos, entre ellos:
Ficheros.
HDFS
S3
A dichos proyectos se les podrán asignar los recursos necesarios para las
tareas a acometer. Deberán disponer de:
o Acceso a copias de la información que necesiten explotar.
Cada proyecto podrá disponer de un conjunto de datos para su
manipulación exclusiva acorde a sus necesidades.
Se deberá realizar una propuesta que incluya las necesidades básicas para el éxito
del proyecto, que se identifican en los siguientes aspectos:
1. Arquitectura de Datos
2. Modelado y Diseño
3. Almacena-miento y operación
4. Seguridad
5. Calidad del Dato
6. Metadatos
7. Interopera-bilidad
8. Referencias y Datos Maestros
9. Analítica Descriptiva; 10. ML y MLOpps
Integrabilidad de la solución:
Los distintos sistemas a implantar dentro del ámbito del presente proyecto
deberán proporcionar una interfaz de integración que permita publicar sus
funcionalidades principales, para su uso por parte de otros sistemas
corporativos, como parte relevante de una Arquitectura Orientada a Servicios.
Las interfaces de comunicación estarán diseñadas para facilitar la flexibilidad
de adaptación a cambios, y estarán dimensionadas para cubrir las
necesidades computacionales existentes o previstas. Se persigue una
arquitectura orientada a servicios, aunque también se consideran válidas
otras arquitecturas monolíticas siempre que sean capaces de publicar sus
funcionalidades dentro de una arquitectura SOA.
La capa de servicios estará adecuadamente documentada para facilitar su
utilizar por otros sistemas.
varias tecnologías, como una capa de integración por APIs, mapeos, ETL,
FHIR o procesamiento de mensajería o eventos.
□ Herramientas para la utilización de los datos, descargas específicas, analítica
de datos o incluso respuesta a trabajos de investigación que requieran
descargas específicas del repositorio. La solución facilitará estas tareas para
reducir la complejidad por la utilización de arquetipos.
□ Permitirá la extracción de la información para una visualización de los datos
personalizada. También tendrá que resolver la posibilidad de realizar
descargas de datos para sistemas analíticos o para procesos de analítica
avanzada. Se deberá facilitar la exportación de los datos registrados en el
sistema, al menos en formato JSON, o XML, de forma que se posibilite su
tratamiento de forma externa al sistema.
□ Monitorización y Auditoría sobre el repositorio.
□ APIs que faciliten la utilización de las distintas funcionalidades de la
plataforma. La solución será modular y orientada a servicios.
□ Podrá tener un Servidor de Terminologías, aunque también es posible su
implementación como otro subsistema externo y que haga uso de él, o como
otro componente del proyecto. En cualquier caso, deben cubrirse las
necesidades específicas de este proyecto.
□ Este subsistema o plataforma que controla el propio modelado y el
almacenamiento de la información y resuelve la persistencia de los datos
tendrá la capacidad de ser escalable y configurarse en alta disponibilidad.
Este subsistema resolverá la persistencia de los datos según los arquetipos
utilizados, sin mezclar la lógica de negocio y facilitando la interoperabilidad técnica
para la integración de los datos entre sistemas, que principalmente se realizará
utilizando FHIR. Se tendrá un mapeo a FHIR de sus servicios y de los contenidos
gestionados.
Tomando como punto de partida la información recopilada previamente por el
SESPA, el adjudicatario deberá identificar con el SESPA los conjuntos de datos y
Sistemas de Información que se seleccionan como principales para obtener la
información para el repositorio, realizando un trabajo de consultoría para documentar
todo lo necesario respecto a los datos, capacidades y tipologías de los sistemas de
información origen, capacidades de interoperabilidad, interlocutores, y todo aquello
que resulte necesario para incorporar exitosamente cada conjunto de datos. El
SESPA proporcionará información y asistirá en esta tarea al adjudicatario,
poniéndole en contacto con los proveedores que mantienen estos sistemas,
facilitando la comunicación y la documentación disponible.
Como resultado de los análisis realizados y la consultoría, se seleccionarán los
conjuntos de datos que se incorporarán al repositorio, estableciendo varias fases en
el proyecto para incluir en primer lugar los más relevantes e incorporando
Analítica descriptiva.
BigData.
Nº Horas
Perfil (2 años)
Director de proyecto 108
Jefe de proyecto 720
Consultor clínico 720
Consultor experto en Repositorios Datos Clínicos 720
Consultor experto en producto 720
Consultor Data Quality 720
Consultor Data Scientist 720
Consultor Big Data 720
Consultor Data Architect 720
Experto en integraciones con sistemas sanitarios e interoperabilidad 1440
Analista Programador 2160
Analista Programador experto en visualización de datos 720
Total 10188
NOTA: Se relacionan todos los servicios que son necesarios para el mantenimiento de producto,
aunque una parte estén incluidos dentro de la garantía. Se justifica esta redacción para tener una
visión completa del mantenimiento a realizar, por coherencia con los servicios de mantenimiento
de producto que se requieren para los Sistemas de Información del SESPA. Entre los servicios
incluidos en la garantía está por ejemplo la “subsanación de errores o fallos ocultos que se pongan
de manifiesto en el funcionamiento de los productos entregados, o que se descubran mediante
pruebas o por cualquier otro medio”.
En caso de que un cambio normativo implique la modificación del software, está deberá
estar disponible al menos quince días antes de la entrada en vigor de dicho cambio.
El soporte técnico prestará colaboración al CGSI en todos los procesos, incluyendo la gestión
Estado Original Página Página 56 de 79
Resto de Servicios:
5 REQUISITOS DE ARQUITECTURA
TECNOLÓGICA
En caso de que el sistema propuesto sea compatible con las tecnologías indicadas,
deberá incluirse en la oferta las necesidades requeridas para la puesta en marcha
de todos los entornos a proporcionar, la ampliación requerida debe utilizar los
mismos elementos hardware y software que los indicados en este punto. La no
inclusión de esta información de requerimientos hardware será causa de exclusión
de la licitación. En caso contrario, es decir, que las infraestructuras disponibles no
fuesen compatibles total o parcialmente con el sistema propuesto, el adjudicatario
aportará el equipamiento para la puesta en marcha de la solución (todos los
entornos) y se hará cargo del mantenimiento durante los doce meses posteriores a
su puesta en funcionamiento.
En cualquier caso y para no generar dudas, se hace explicito que no forma parte de
la licitación el suministro de hardware para todos los sistemas que se implanten on
Premise, pero se requiere conocer los requerimientos de la solución propuesta. El
licenciamiento de software que se requiera si es objeto de este contrato y deberá
aportarse por el adjudicatario.
Entornos a proporcionar.
Todos ellos serán independientes y deberán estar operativos a la vez sin interferir
entre ellos.
La documentación entregada debe permitir a los técnicos de la Administración del
Principado de Asturias la puesta en marcha de otros entornos en cualquier momento
y en caso necesario.
Los entornos podrán convivir funcionando a la vez en el mismo hardware de forma
autónoma sin interferir entre sí.
Con el fin de optimizar las plataformas es posible que mediante el uso de máquinas
virtuales y de técnicas de disaster recovery los entornos de preproducción y
desarrollo hagan uso de las mismas infraestructuras físicas que el entorno de
respaldo.
Para aquellos productos a instalar en la nube (repositorio de uso secundario), la
infraestructura y servicios proporcionados deberán estar dimensionados para dar
cobertura a las necesidades de almacenamiento, procesamiento y servicios que
cubran las necesidades planteadas por el SESPA en el objeto y prescripciones
técnicas de este contrato. Podrá contemplarse la disponibilidad de un solo entorno
hasta llegar a la puesta en producción de la plataforma, momento en el que se
deberá disponibilidad de otro entorno de preproducción o test. Los servicios
Escalabilidad y Elasticidad
Se requiere que la solución tecnológica propuesta incorpore capacidad de
escalabilidad vertical y horizontal a posibles escenarios de aumento de demanda de
los servicios centralizados.
Se valorará positivamente que además de la capacidad de escalabilidad reactiva
anterior, se incorporen mecanismos automatizados de adaptación de las
capacidades de almacenamiento y cómputo a las necesidades del servicio en tiempo
real (elasticidad).
Pruebas de aceptación
Como paso previo a la entrada en producción, se requerirá superar exitosamente al
menos las siguientes pruebas de aceptación de la infraestructura:
- Pruebas de Alta Disponibilidad en el CPD Principal, evidenciando la
continuidad del servicio ante distintas eventualidades o contingencias
- Pruebas de Continuidad de Negocio, que deberán evidenciar que el servicio
de producción, ante contingencias o eventualidades graves en el CPD
Estado Original Página Página 62 de 79
6 LICENCIAMIENTO
El licitador debe aportar licencias y soporte de todos los componentes software de la
solución propuesta para los entornos que lo requieran.
El licenciamiento del sistema objeto de contratación, será corporativo para todos sus
componentes. Se entiende que está incluido todo el software necesario para la
ejecución del sistema, así como el soporte y mantenimiento del mismo durante la
vigencia del contrato. Esto incluye licencias de sistema operativo, Gestor de Base de
Datos, servidor de aplicaciones y cualquier otro software base que fuera necesario
para la correcta ejecución del sistema. Para todos aquellos elementos software que
se instalen en la infraestructura actual del Principado de Asturias, y no requiera un
incremento de licenciamiento por parte del Principado de Asturias, no será necesario
que el adjudicatario aporte las licencias que corresponderían a una instalación
independiente. No será necesario por parte del adjudicatario incluir licencias de
backup, o de monitorización.
El suministro de las licencias de uso de las nuevas versiones del programa que el
fabricante pudiera desarrollar en el futuro y que se compromete a suministrar sin
costo adicional al SESPA, durante la duración del presente contrato y comprende las
siguientes definiciones:
• Acciones Correctivas: trabajos realizados por el fabricante encaminados a
resolver errores de los programas en explotación.
• Acciones Evolutivas: trabajos realizados, siempre de "motu propio", por el
fabricante para la introducción en los programas de nuevas funcionalidades o mejora
de los procesos ya existentes. Se asegurará la participación del SESPA en la
orientación de aquellos aspectos del aplicativo que le pudieran afectar.
El adjudicatario se compromete a mantener informado al SESPA, al menos de forma
periódica, acerca de las nuevas funcionalidades sobre las que el fabricante esté
trabajando. En caso de que hubiera alguna disconformidad respecto a los
contenidos de las nuevas funcionalidades, el adjudicatario habilitará los
procedimientos necesarios para que la funcionalidad en cuestión pueda no ser
utilizada por el SESPA. Así mismo el adjudicatario mantendrá informado al SESPA
de en qué versiones evolutivas de producto irán incorporadas dichas
funcionalidades.
7 FORMACIÓN Y DIFUSIÓN
El adjudicatario definirá y acordará, junto a la Dirección del Proyecto, los programas
y material de formación y difusión que se precisen para cubrir formación técnica, de
soporte y programa de difusión y gestión del cambio.
Será el adjudicatario el encargado impartir la formación específica, considerando, al
menos, los siguientes aspectos:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Fase 1. Análisis y Diseño detallado de la solución
Fase 2. Instalación de la infraestructura tecnológica para
el Repositorio de Uso Primario y Secundario
Fase 3. Despliegue de la solución en los sistemas de
desarrollo e integración
Fase 4. Despliegue en producción y carga inicial de
datos de los repositorios (primario y secundario)
Fase 5. Despliegue en integración de la capa de
integración para la actualización on-line del repositorio de
datos primario
Fase 6. Despliegue en producción de la capa de
integración para la actualización on-line del repositorio de
datos primario
Fase 7. Despliegue en integración del visor 360
9 PROPIEDAD
La propiedad de los trabajos y productos derivados de este contrato dependerá de la
solución propuesta por el licitador.
bien sea en forma total o parcial, directa o extractada, original o reproducida, sin
autorización expresa del SESPA.
El adjudicatario cede su desarrollo únicamente para su uso por parte del SESPA,
comprometiéndose el SESPA a no ceder su uso parcial o total de ninguna forma, ni
ponerlo a disposición de terceros.
El SESPA podrá divulgar, sin requerir autorización del contratista, los trabajos
realizados y el uso de los componentes.
10 ENFOQUE METODOLOGICO Y
DOCUMENTACIÓN
Para acometer los objetivos perseguidos por el Servicio de Salud del Principado de
Asturias se establecerá una metodología de trabajo que permita coordinar las tareas
a realizar y disponga de los mecanismos de control y seguimiento básicos que se
concretarán en la primera etapa del proyecto.
El método de trabajo se basará en la creación de equipos de trabajo, en el que
participarán consultores funcionales, así como usuarios clave de la administración,
cuyo objetivo es realizar las tareas de planificación y ejecución de cada una de las
fases del proyecto descritas en este documento, así como informar al comité de
seguimiento del avance del proyecto.
Marco Metodológico.
Obligatoriamente se seguirán las directrices metodológicas de la APA en cuanto a
protocolos de actuación, guías, métodos y procedimientos, no admitiéndose el uso
de otras metodologías que tengan la misma finalidad que las mencionadas en el
presente pliego. En general se observará, en su última versión:
Metodología de sistemas.
Pruebas y operación
Los parámetros a medir en las pruebas de las funcionalidades que son objetos de
este contrato, como entre otros el rendimiento de la aplicación aceptable serán al
menos los proporcionados por la aplicación en el momento de inicio del contrato.
Incidencias y cambios.
El registro y seguimiento de incidencias y cambios se realiza siguiendo la
metodología ITIL y está basado en el uso de la herramienta Remedy cuyo uso es
obligatorio en este proyecto. Las licencias necesarias para su uso por parte del
adjudicatario se consideran incluidas en la oferta.
La documentación sobre metodologías, calidad u otra documentación que se cita
expresamente en este pliego puede entregarse al licitador bajo demanda.
11 SEGUIMIENTO Y CONTROL
La Subdirección de Infraestructuras y Servicios Técnicos del SESPA, o, en su caso,
el órgano directivo del SESPA responsable de la gestión de las Infraestructuras
Tecnológicas y Servicios Técnicos, realizará el seguimiento y control de las
actividades descritas en éste pliego nombrando al responsable del contrato.
Con objeto de realizar un seguimiento continuo de la situación de los servicios,
existirá un Comité de Seguimiento del que formará parte una persona que asuma la
Jefatura del Proyecto, designada por la empresa adjudicataria y la persona
responsable del contrato o la/as personas en que delegue. La persona que ostente
la responsabilidad de la Jefatura del Proyecto por la empresa adjudicataria, será la
persona responsable de las actividades desarrolladas en el marco de este contrato.
13 TRANSFERENCIA TECNOLÓGICA
Durante la ejecución de los trabajos objeto del contrato el adjudicatario se
compromete, en todo momento, a facilitar a las personas designadas por la
Administración del Principado de Asturias, la información y documentación que éstas
soliciten para disponer de un pleno conocimiento de las circunstancias en que se
desarrollan los trabajos, así como de los eventuales problemas que puedan
plantearse y de las tecnologías, métodos, y herramientas utilizadas para resolverlos.
Dentro del alcance de los servicios incluidos en el contrato, el adjudicatario
proporcionará a lo largo de los últimos 6 meses de ejecución todos los recursos y
servicios necesarios para su transferencia a la Administración del Principado de
Asturias o al nuevo proveedor adjudicado por ésta para la continuación de los
servicios de soporte técnico y funcional.
14 GARANTÍA
El adjudicatario garantizará, al menos por un periodo de dos años, los productos
derivados del servicio objeto del contrato, a contar desde la fecha de recepción de
los mismos, obligándose a realizar durante dicho periodo los cambios necesarios
para solventar las deficiencias detectadas imputables a la firma adjudicataria si así lo
solicita la Administración del Principado de Asturias.
Dicha garantía incluirá la subsanación de errores o fallos ocultos que se pongan de
manifiesto en el funcionamiento de los productos entregados, o que se descubran
mediante pruebas o por cualquier otro medio, así como la conclusión de la
documentación incompleta y subsanación de la que contenga deficiencias. Los
productos originados como consecuencia de la subsanación de defectos deberán
entregarse de conformidad con lo exigido en el Pliego
15 ANEXO I: MODELO DE
AUTENTICACIÓN Y AUTORIZACION DE
APLICACIONES FRENTE AL LDAP
CORPORATIVO DEL SERVICIO DE
SALUD DEL PRINCIPADO DE ASTURIAS
Introducción
A partir de la puesta en marcha del proyecto de Gestión de Identidad (GID), el
Servicio de Salud del Principado de Asturias (SESPA) dispone de un repositorio
centralizado de cuentas de usuario, basado en LDAP. Ese repositorio centralizado,
permite que los usuarios de aplicaciones de los sistemas de información del SESPA
tengan un solo login/passwd para todas las aplicaciones integradas con dicho
repositorio. Por esa razón, las aplicaciones de nueva implantación deben ser
capaces de autenticar a sus usuarios con el LDAP corporativo y, en la medida de lo
posible, delegar también la autorización utilizando el modelo RBAC (Role-Based
Acces Control), es decir, modelo de acceso basado en roles.
Conceptos básicos.
Se exponen a continuación dos conceptos básicos que se usaran a lo largo del
documento:
Autenticación. La autenticación del usuario es el proceso por el cual se valida un
usuario (en la mayoría de los casos con login/password). Que un usuario este
autenticado NO implica necesariamente acceso a ninguna aplicación/servicio, lo
único que indica es que el usuario ha facilitado correctamente sus credenciales.
Para acceder a algún servicio, debe estar autorizado en ese servicio.
Autorización. Una vez que el usuario esta autenticado, debe comprobarse sus
permisos, tanto de acceso a aplicaciones, como de acciones que está autorizado a
realizar en las diferentes aplicaciones. Ese proceso de comprobación es lo que se
denomina autorización.
Modelo de autenticación.
Todas las aplicaciones deben utilizar el directorio corporativo para validar a sus
usuarios. Las razones para hacerlo son las siguientes:
- Necesidad de mantener una única cuenta de usuario (login) a lo largo de
todas las aplicaciones de la organización.
Modelo de autorización.
El modelo de autorización implementado está basado en pertenencia a grupos
(modelo RBAC), es decir, un usuario estará autorizado a hacer algo, en función de
que pertenezca o no a un determinado grupo. Bajo este punto de vista, lo datos en
los que se basará la autorización de las aplicaciones residirán en el directorio
corporativo y el “calculo” de lo que una persona puede hacer o no en función de esa
pertenencia queda delegado en las aplicaciones.
Para cada aplicación cuyos usuarios estén gestionados por la GID existirá unidad
organizativa bajo la rama “ou=servicios, o=sespa”, por debajo de la cual, estarán
todos los grupos que la aplicación necesite o vaya a usar. La inclusión de un usuario
en uno u otro grupo debe hacerse desde el sistema de gestión de identidad.
De esta forma, para que un usuario este autorizado a tener determinado rol en una
aplicación, es necesario que:
- El usuario tenga cuenta activa en el directorio corporativo.
- Exista la rama “ou=<ID_APLICACION>,ou=servicios,o=sespa”.
- Exista un grupo bajo la rama “ou=<ID_APLICACION>, ou=servicios,
o=sespa”, por cada perfil de acceso diferente a la aplicación.
- El usuario pertenezca a alguno de los grupos indicados en el punto
anterior, es decir, tendrá un atributo isMemberOf con valor
Cuestionario Orientativo
A continuación, se detalla un pequeño cuestionario que, a simple vista, permite
conocer si una aplicación es susceptible de integrar completamente con el modelo
de autenticación y autorización definido.
Aplicación Si/No