DIVISIN DE INFRAESTRUCTURA

Gerencia de Telecomunicaciones y Sistemas Informticos

EXPTE. N. 110000986

PLIEGO DE PRESCRIPCIONES TCNICAS PARA EL SERVICIO DE MANTENIMIENTO DE

CTC, T.ENERGA, DAVINCI Y STACRAIL

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

NDICE

CAPITULO I.- SERVICIO DE MANTENIMIENTO.......................................................................... 4

101.- Objeto del contrato................................................................................................................ 4

102.- mbito. ................................................................................................................................. 4
103.- Medios humanos y materiales. .............................................................................................. 6
103.1- Medios humanos ............................................................................................................. 6
103.2- Equipo de Trabajo ........................................................................................................... 7
103.3- Medios materiales ........................................................................................................... 8
104.- Supervisin de los Servicios de Red ..................................................................................... 8
105.- Mantenimiento Correctivo .................................................................................................... 8
106.- Horario del servicio ............................................................................................................ 10
107.- Nivel de servicio ................................................................................................................. 10
108.- Informes del servicio .......................................................................................................... 10
109.- Gestin de los Equipos ....................................................................................................... 11
110.- Aplicaciones de Gestin y monitorizacin ......................................................................... 11
111.- Polticas de Seguridad ......................................................................................................... 11
112.- Proteccin de Datos Personales .......................................................................................... 11
113.- Bolsa de horas para Trabajos solicitados ............................................................................ 13

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

CAPITULO I
SERVICIO DE MANTENIMIENTO

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

CAPITULO I.- SERVICIO DE MANTENIMIENTO.

101.- Objeto del contrato.

El objeto del presente contrato es la definicin de los trabajos relativos al mantenimiento del
equipamiento de CTC (Control de Trfico Centralizado), Telemando de Energa, DaVinci y StacRail
de Ferrocarriles de Va Estrecha, con el fin de obtener la mxima fiabilidad, seguridad y eficacia en
su funcionamiento de cara a una correcta explotacin del ferrocarril.
El contenido fundamental de los servicios considerados en este Pliego de Prescripciones Tcnicas
es el mantenimiento correctivo teniendo el mantenimiento preventivo un carcter complementario.
La oferta presentada por el CONTRATISTA en la licitacin recoger, como mnimo, todas las
condiciones de este contrato y en caso de dudas, contradicciones o disconformidades prevalecer
lo dispuesto en el presente pliego tcnico.
Para la adecuada evaluacin tcnica de la oferta, es imprescindible que la empresa licitadora
remita dentro del Sobre C (DOCUMENTACIN TCNICA), una memoria USB con los ficheros en
formato electrnico que reproduzca ntegra y fielmente el contenido de la documentacin facilitada
en soporte papel.
102.- mbito.
El mbito del contrato ser el de todos los servicios proporcionados por Feve relacionados con los
distintos sistemas:

CTC
En Feve, el Control de Trfico Centralizado se lleva a cabo desde los Puestos de Mando
ubicados en:
o
o
o

Bilbao (Vizcaya)
El Berrn (Asturias)
Santander (Cantabria).

Los dos primeros son de tecnologa Dimetronic, siendo el ltimo de tecnologa Telvent.
El servicio contratado deber cubrir el mantenimiento de todo el equipamiento que se utiliza
para dar el servicio de CTC, entre ste se incluye: servidores redundados, FECs,
conversores RS232/422, cableado, puesto de los operadores, puestos de mantenimiento,
puesto de proyeccin vdeowall, KVMs, switches, etc.
Todo este equipamiento se encuentra ubicado en los cuartos tcnicos de cada uno de los
mencionados Puestos de Mando, no obstante tambin entrar dentro de este
mantenimiento los equipos ubicados en los enclavamientos que hacen la conversin de la
seal (conversores RS232/422) y de pasarela (PCI o remota) entre la tecnologa del
fabricante del enclavamiento y la tecnologa del CTC.
Actualmente estas pasarelas estn ubicadas en las siguientes estaciones:
o

Vizcaya: Carranza, Basurto, Traslavia.

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

Asturias: Cands, Carancos, Infiesto, San Romn (este ltimo gobierna los
enclavamiento de Pravia, Grado, Vega de Anzo, Santa Mara). Fuso, Soto Ribera,
Ablaa, Mieres, Figadero-Ujo, Morada, Pieres, Cabaaquinta, Collanzo

Cantabria: Adarzo, Orejo, Solares, Lirganes, Cabezn de la Sal, Virgen de la Pea,

Casar de Periedo, San Pedro, Puente San Miguel, Torrelavega, Barreda,
Requejada, Mogro, Bezana, Santander, Nueva Montaa, Maliao, Astillero, Heras

Murcia: Cartagena

Telemando de Energa
En Feve, el Telemando de Energa se lleva a cabo desde los Puestos de Mando ubicados
en:
o
o
o

Bilbao (Vizcaya)
El Berrn (Asturias)
Santander (Cantabria).

Todos ellos son de tecnologa Telvent.

El servicio contratado deber cubrir el mantenimiento de todo el equipamiento que se utiliza
para dar el servicio de telemando de energa, entre ste se incluye: servidores redundados,
switches, cableado, puesto de los operadores, puestos de mantenimiento, puesto de
proyeccin vdeowall, KVMs, etc.
Todo este equipamiento se encuentra ubicado en los cuartos tcnicos de cada uno de los
mencionados Puestos de Mando, no obstante tambin entrar dentro de este
mantenimiento los equipos ubicados en las subestaciones que hacen de pasarela ( remota)
entre la tecnologa del fabricante de la subestacin y la tecnologa del telemando.
Actualmente estas pasarelas estn ubicadas en las siguientes subestaciones:

Vizcaya: Carranza, Zorroza, Aranguren.

Asturias: Regueral, Santiago del Monte, Trubia, Pravia, Nava, Colloto, El Entrego,
Gijn, El Berrn, Infiesto, Arriondas, Ribadesella.

Cantabria: Santander, Orejo, Puente San Miguel

DaVinci
En Feve, el sistema Davinci se lleva a cabo desde los Puestos de Mando ubicados en:
o

Santander (Cantabria).

El servicio contratado deber cubrir el mantenimiento de todo el equipamiento que se utiliza

para dar el servicio de telemando de energa, entre ste se incluye: servidores redundados,
switches, cableado, puesto de los operadores, puestos de mantenimiento, KVMs, etc.
Todo este equipamiento se encuentra ubicado en los cuartos tcnicos de cada uno de los
mencionados Puestos de Mando.

StacRail

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

En Feve, el sistema StacRail se lleva a cabo desde los Puestos de Mando ubicados en:
o
o
o

Bilbao (Vizcaya)
El Berrn (Asturias)
Santander (Cantabria).

El servicio contratado deber cubrir el mantenimiento de todo el equipamiento que se utiliza

para dar el servicio de telemando de energa, entre ste se incluye: servidores redundados,
switches, cableado, puesto de los operadores, puestos de mantenimiento, etc.
Todo este equipamiento se encuentra ubicado en los cuartos tcnicos de cada uno de los
mencionados Puestos de Mando.
Tanto el nmero de equipos como su ubicacin de todos los elementos anteriormente
mencionados podrn variar a lo largo del contrato sin que ello suponga alteracin de los precios
fijados inicialmente.
103.- Medios humanos y materiales.
103.1- Medios humanos
Las ofertas debern incluir un equipo de trabajo formado por personal tcnico que deber contar
como mnimo los siguientes perfiles:

Coordinador del Servicio, que desempear bsicamente las siguientes funciones:

Ser el encargado de coordinar el servicio, realizando las labores de seguimiento y

control del mismo, revisin y evaluacin de resultados y coordinacin del equipo de
trabajo.

Elaborar los informes de seguimiento y el archivo de la documentacin de gestin

del servicio. En el formato, frecuencia y concrecin que los tcnicos de FEVE
soliciten.

Mantendr permanentemente informado al Coordinador de Servicio de FEVE con

quien se reunir de forma peridica.

Elaboracin de las operativas y documentacin asociada a la infraestructura y

servicios objeto de este contrato.

Participar en las reuniones que se estime oportuno su presencia.

Tcnico de mantenimiento, que desempear bsicamente los siguientes funciones:

Gestin de incidencias y peticiones asignadas al grupo:

Utilizacin Aplicacin para la gestin de incidencias y peticiones.

Registro de las actuaciones segn se van realizando. Asignacin de
incidencias a otros grupos de soporte.

Resolucin remota o in situ de incidencias y peticiones Sw y Hw

Certificacin de que la resolucin es correcta

Revisin diaria de incidencias/peticiones y realizacin de informe de

seguimiento diario.

Soporte funcional para resolucin de incidencias

Despliegue de Equipos y Software:

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

Recepcin de material y traslado al almacn. Actualizacin de

inventario y documentacin de operativas.

Instalacin de Parches, versiones, etc.

Traslado de equipos. Instalacin fsica y conexin de equipamiento,

etc.

Configuracin de los equipos

Seguimiento de garantas y contratos de mantenimiento: Contactar con el

Fabricante/Contratista, hacerle llegar el equipo en garanta o mantenimiento y
recepcionarlo una vez reparado.

Colaborar con el Coordinador del Servicio para desempear las tareas encargadas
por este.

Aquellas tareas que se vayan requiriendo durante la vida del servicio.

Los precios incluyen cuantos gastos se originen con motivo de los recursos humanos y materiales
que el CONTRATISTA aporte para la realizacin de los cometidos contratados.

103.2- Equipo de Trabajo

Para la prestacin de los servicios objeto del Proyecto, la empresa adjudicataria deber ofrecer un
servicio integral, que permita disponer de los recursos tcnicos necesarios en cada momento para
poder dar respuesta con los niveles de calidad requeridos y dentro de los horarios exigidos. Si bien
el adjudicatario deber concretar en su respectiva oferta el equipo tcnico ofrecido que,
ajustndose a lo solicitado en el Pliego, se considere idneo para atender las necesidades en ste
especificadas, no es objetivo del mismo el contratar un equipo de personas sino el disponer de un
servicio integral ligado a un acuerdo de nivel de servicio previamente establecido al inicio del
contrato.
El equipo de personas que, tras la formalizacin del contrato, se encargue de llevar a cabo la
prestacin del servicio objeto del mismo, deber estar formado por los componentes relacionados
en la oferta y consecuentemente valorados.
El equipo de tcnicos ofrecido deber cubrir conjuntamente todo el entorno tecnolgico de los
sistemas, debiendo reunir la suficiente experiencia y conocimientos en el mismo como para
trabajar de forma autnoma, sin requerir el apoyo de tcnicos de FEVE.
FEVE se reserva el derecho a rechazar en cualquier momento a cualquiera de los tcnicos que se
encuentren formando parte del equipo de trabajo. El adjudicatario se compromete a reponer
adecuadamente los tcnicos rechazados en un plazo mximo de cinco das desde la comunicacin
por escrito de FEVE.
Si el cambio en el equipo de trabajo es solicitado por el adjudicatario, y con el fin de conseguir una
adecuada transmisin de conocimientos, el adjudicatario deber incorporar el remplazo adecuado
(es decir, con perfil y experiencia similares) al menos quince das naturales antes del cambio. Este
perodo de solape no supondr coste adicional para FEVE.
El personal que por su cuenta aporte o utilice la empresa adjudicataria para la prestacin del
servicio objeto del contrato, no tendr vinculacin alguna con FEVE, por lo que no tendr derecho
alguno respecto a sta, toda vez que depende nica y exclusivamente del contratista, el cual
asume todos los derechos y deberes respecto de dicho personal, con arreglo a la legislacin
vigente y a la que en lo sucesivo se promulgue, siendo responsable, por tanto, de cuantas

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

obligaciones hubiere contrado respecto de sus trabajadores, sean o no consecuencia directa o

indirecta del desarrollo del contrato.
En cualquier caso, para cada nueva incorporacin al equipo de trabajo, el adjudicatario deber
informar por escrito al menos con cinco das de antelacin a FEVE, informando y acreditando la
formacin, conocimientos, certificaciones y experiencia de las nuevas personas que se incorporan.
El licitador deber adscribir los medios personales y materiales suficientes para la ejecucin del
contrato.
103.3- Medios materiales
El CONTRATISTA deber disponer de los medios materiales para la prestacin del servicio en las
instalaciones de Feve.
Todos los materiales de repuesto para las instalaciones a mantener sern suministrados por FEVE.
Entre esta material se encontrar equipos completos y configurados para sustituir de manera
rpida en caso necesario: servidores, switches, routers, etc. En caso de que el material sea
aportado por el CONTRATISTA se facturar a FEVE con la certificacin de la avera..
Los materiales procedentes del desmontaje de instalaciones, as como los precedentes de otros
tipos de trabajos, son propiedad de FEVE, siendo obligacin del CONTRATISTA y a su costa
recogerlos y cargarlos, transportarlos a los lugares prximos que indique FEVE, descargarlo,
clasificarlos y apilarlos. nicamente aquellos materiales que FEVE considere inservibles podrn
ser aprovechados por el CONTRATISTA para el fin que estime oportuno, previa autorizacin de
FEVE. En caso de considerarse inservible el CONTRATISTA deber retirarlo a un punto limpio y
acreditarlo.
104.- Supervisin de los Servicios de Red
El CONTRATISTA est obligado a monitorizar durante el horario del servicio todas las alarmas y
eventos que se obtenga del sistema de supervisin disponible en Feve.
Dicho CONTRATISTA deber mantener actualizado dicho sistema de supervisin en base a los
cambios que se vayan produciendo en los sistemas.
Cuando se detecte cualquier alarma en el sistema de supervisin, el CONTRATISTA deber
registrarla en el sistema de gestin de incidencias y a partir de ah realizar su correspondiente
mantenimiento correctivo.
Igualmente deber realizar peridicamente anlisis de estadsticas para detectar anomalas y
causas de futuros fallos debido a comportamientos irregulares de los sistemas.
105.- Mantenimiento Correctivo
En caso de avera tanto si sta ha sido comunicada por FEVE o detectada por el CONTRATISTA
durante los trabajos de mantenimiento preventivo, el CONTRATISTA pondr todos los medios a su
alcance para resolver dicha avera en el menor periodo de tiempo posible, conservando los niveles
de calidad y seguridad establecidos y respetando la Ley de Prevencin de Riesgos Laborales.
En caso de producirse un aviso de avera comunicada por FEVE al CONTRATISTA, el tiempo
contado a partir de la notificacin del aviso a travs del sistema de recepcin de avisos establecido
hasta que los servicios tcnicos del CONTRATISTA se ponen en contacto con los servicios
tcnicos de FEVE para conocer la naturaleza del aviso, no debe sobrepasar el Tiempo mximo
de respuesta de aviso fijado. Para incidencias producidas dentro y fuera del horario laboral no

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

deber sobrepasar los 10 minutos. En este tiempo, FEVE, debe conocer los datos de la persona
que se va a encargar o gestionar la resolucin de la avera, nombre y telfono de contacto, y as
deber reflejarse en la herramienta correspondiente.
En caso de que se requiera la realizacin de actividades in situ el tiempo contado a partir de la
notificacin de la necesidad de dicha actuacin al CONTRATISTA por parte de FEVE hasta el inicio
de las reparaciones o tareas a realizar in situ, no debe sobrepasar la hora.
Se establecer un orden de preferencias segn el tipo de avera, para adecuar los medios a la
magnitud de la misma, o en caso de producirse varios avisos de mantenimiento, estos se
atendern en funcin de la siguiente escala de prioridades, excepto que se indique el contrario:
Se establecen los siguientes niveles de prioridad para las incidencias en los trminos descritos a
continuacin, tal y como se utilizan dentro del marco del presente expediente de mantenimiento:

Crtica: Repercusin importante en el funcionamiento de los sistemas, que

impide el normal funcionamiento de los servicios soportados.
Alta: Repercusin importante en el funcionamiento de los sistemas pero cuyos
servicios soportados estn funcionando aunque de manera anormal.
Media: Sin repercusin en el funcionamiento global de los sistemas pero que
potencialmente puede tener afectacin en los servicios en caso de alargarse
en el tiempo.
Baja: Sin repercusin en el funcionamiento del rendimiento global de los
sistemas.

El tiempo mximo de restablecimiento del servicio desde que se detecta la avera se establece
en funcin de la prioridad de la misma:

Crtica: 4 horas
Alta: 6 horas
Media: 8 horas
Baja: 10 horas

Para las incidencias de prioridad Crtica el CONTRATISTA deber informar a FEVE, cada hora,
sobre la evolucin de la misma y previsin estimada de restauracin del servicio.
Cuando por la causa que fuere el origen de la incidencia y/o avera que hagan prever un tiempo de
inactividad superior al admisible, el CONTRATISTA podr proponer soluciones provisionales, en
caso de que sean factibles y previa conformidad por parte de los Servicios Tcnicos de FEVE.
Asimismo, las actuaciones programadas o predecibles que requieran el corte de los servicios, o
aquellas en que no se puedan garantizar su continuidad, se realizaran en horario que no causen
afecciones a los servicios afectados. En estos casos el horario ser prefijado con los Servicios
Tcnicos de FEVE, pudiendo abarcar cualquiera de las 24 horas del da.
Cabe destacar que en muchas ocasiones la incidencia no ser como consecuencia directa de un
fallo en los equipos objeto de este contrato entre los que se incluiran las siguientes causas:

Cortes de suministro elctrico

Corte de cable de fibra ptica o cobre
Fallo del equipamiento o la red alquilada a otros operadores
Empalmes
Cable estructurado
Otros

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

No obstante este servicio deber gestionar igualmente dichas incidencias comunicando al grupo de
soporte correspondiente la incidencia producida (FEVE facilitar los contactos de dichos grupos),
coordinando a los diferentes actores hasta que se resuelva el problema y comprobando el
adecuado restablecimiento de los servicios una vez solucionada la incidencia. Realizando las
actuaciones necesarias para su cumplimiento.
106.- Horario del servicio
Dado que el fin que se persigue es disponer de las instalaciones en condiciones de mxima
fiabilidad y eficacia para la explotacin del trfico ferroviario, en funcionamiento durante las 24
horas del da los 365 das del ao, la prestacin de los servicios implica tareas de mantenimiento
correctivo en disponibilidad 24x7 para que se pueda ofrecer una calidad de servicio adecuada.
El CONTRATISTA deber garantizar que su servicio de mantenimiento correctivo es permanente
durante las 24 horas de cada una de los 365 das del ao, tomado las medidas que fueran precisas
parea asegurar que tiene suficiente personal localizable y puede atender cualquier incidencia
dentro del periodo de atencin y con el tiempo de respuesta que se determina en este pliego de
prescripciones tcnicas.
El CONTRATISTA deber facilitar un nmero de telfono nico al cual comunicar las incidencias
crticas que se puedan producir. Las incidencias que no sean crticas se comunicar a travs de la
aplicacin de gestin de incidencias la cual permite enviar notificaciones va email una vez
registradas.
107.- Nivel de servicio
En las ofertas presentadas se debern incluir al menos los siguientes indicadores de servicio con
las propuestas de valores de indicadores que los licitadores pueden garantizar y las penalizaciones
sobre el importe adjudicado en caso de incumplimiento de los indicadores.

Tiempo de respuesta de incidencias, peticiones y alarmas:

o Actuacin en remoto: < 10 minutos
o Actuacin in-situ (para las crticas): < 1 hora

Tiempo de resolucin de incidencias y peticiones: Segn la prioridad establecida por Feve:

o Crtica: 4 horas
o Alta: 6 horas
o Media: 8 horas
o Baja: 10 horas

Calidad de los trabajos realizados (en base a la percepcin del cliente por incidencias
posteriores): > 95%

Diferencia de estimacin de esfuerzo (horas) entre lo calculado por Feve y lo calculado por
el adjudicatario para la realizacin de actuaciones: < 20%

Calidad de la documentacin entregada (en base a la percepcin del cliente): > 90%

Satisfaccin de los usuarios (en base a encuestas): > 80%

108.- Informes del servicio

En las reuniones de seguimiento se revisarn los distintos indicadores establecidos recogindose
dicha informacin con su correspondiente valoracin en un informe que se entregar al comit de
seguimiento mensualmente.

10

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

109.- Gestin de los Equipos

Cualquier cambio de configuracin que se realice en los equipos objeto de este contrato ser
realizado por el CONTRATISTA para lo cual dispondr de todas las claves de acceso de los
equipos. No obstante FEVE dispondr igualmente de dichas claves comprometindose a notificar
al CONTRATISTA cualquier cambio realizado por FEVE en dicho equipamiento.
110.- Aplicaciones de Gestin y monitorizacin
El CONTRATISTA est obligado a la utilizacin de los sistemas de gestin que ponga Feve a su
disposicin. A continuacin figuran las ms importantes:

Proactiva: Gestiona todas las incidencias y peticiones que se originen en el servicio.

ODT: Gestiona los trabajos programados a realizar por el CONTRATISTA sobre el
equipamiento cubierto por este servicio.
CMDB: Gestiona el inventario del equipamiento. Cualquier modificacin sobre dicho
inventario deber ser actualizada por el CONTRATISTA.
Intranet: Gestor documental en el que se recoge toda la documentacin relativa al servicio:
esquemas, mapas, operativas, procedimientos, etc. El CONTRATISTA est obligado a
actualizar en este repositorio toda la documentacin relativa al servicio.
Nagios: Supervisin del equipamiento de red.

111.- Polticas de Seguridad

En el Procedimiento PTSI-12 Polticas de Seguridad Telecomunicaciones y Sistemas Informacin
se detallan las polticas relativas a la seguridad de la informacin que debe aplicar la empresa
Adjudicataria.
112.- Proteccin de Datos Personales
El adjudicatario vendr obligado a guardar la ms estricta confidencialidad sobre el contenido del
contrato as como los datos o informacin a la que pueda tener acceso o generar como
consecuencia de la ejecucin del mismo, pudiendo nicamente poner en conocimiento de terceros
aquellos extremos que FEVE le autorice por escrito y a usar dicha informacin a los exclusivos
fines de la ejecucin del contrato.
En la medida en que las prestaciones y el cumplimiento del contrato impliquen un acceso del
adjudicatario a datos de carcter personal incorporados a los Ficheros de los que sea titular FEVE,
el tratamiento de dichos datos por parte del adjudicatario deber realizarse en la forma y
condiciones siguientes:

El acceso del adjudicatario a los datos del fichero para la prestacin de servicios pactado
en el contrato no tendr la consideracin legal de comunicacin o cesin de datos a los
efectos previstos en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos
de Carcter Personal, sino de acceso por cuenta de tercero segn lo previsto en el artculo
12 de la citada Ley Orgnica.

Los datos del fichero sern propiedad exclusiva de FEVE, extendindose esta titularidad a
cuantas elaboraciones realice el adjudicatario con ocasin del cumplimiento del contrato.

A los efectos de la prestacin de servicios por parte del adjudicatario a FEVE, el primero
tendr la condicin de encargado del tratamiento y se sujetar al deber de confidencialidad
y seguridad de los datos personales a los que tenga acceso conforme a lo previsto en la

11

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

normativa que resulte aplicable, obligndose especficamente a lo siguiente:

A utilizar y aplicar los datos personales a los exclusivos fines del cumplimiento del objeto del
contrato.

A adoptar las medidas de ndole tcnica y organizativa necesarias establecidas en el

artculo 9 de la Ley Orgnica 15/1999 y en las normas reglamentarias que la desarrollen,
que garanticen la seguridad de los datos personales y eviten su alteracin, prdida,
tratamiento o acceso no autorizado habida cuenta del estado de la tecnologa, la naturaleza
de los datos objeto de tratamiento y los riesgos a que los mismos estn expuestos, ya
provengan de la accin humana o del medio fsico o natural. En todo caso se obliga a
aplicar las medidas de seguridad del nivel que correspondan en funcin de los datos a tratar
de conformidad con lo previsto en el Real Decreto 1720/2007, de 21 de diciembre, por el
que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de
diciembre, de proteccin de datos de carcter personal.

A mantener la ms absoluta confidencialidad sobre los datos personales a los que tenga
acceso para la prestacin de servicios as como sobre los que resulten de su tratamiento
cualquiera que sea el soporte en el que se hubieren obtenido.

A no comunicar o ceder los datos del fichero a otra persona, ni siquiera para su
conservacin, debiendo destruir los datos personales a los que haya tenido acceso, as
como los resultados derivados de su tratamiento, al igual que cualquier soporte o
documentos en los que conste algn dato de carcter personal objeto de tratamiento, salvo
que FEVE requiera que le sean devueltos.

A guardar secreto profesional de todos los datos de carcter personal que conozca o a los
que tenga acceso en ejecucin del contrato. Igualmente se obliga a custodiar e impedir el
acceso a los datos de carcter personal a cualquier tercero ajeno. Las anteriores
obligaciones se extienden a toda persona que pudiera intervenir en cualquier fase del
tratamiento por cuenta del adjudicatario.

A comunicar y hacer cumplir a sus empleados las obligaciones establecidas en los

apartados anteriores y, en particular, las relativas al deber de secreto y medidas de
seguridad.

El adjudicatario se comprometer a comunicar a FEVE, de forma inmediata, cualquier falla en su

sistema de tratamiento y gestin de la informacin que haya tenido o pueda tener como
consecuencia la puesta en conocimiento de terceros de informacin confidencial obtenida durante
la ejecucin del contrato.
As mismo, a la finalizacin del contrato el adjudicatario quedar obligado a la entrega a FEVE, o
destruccin en caso de ser solicitada, de cualquier informacin obtenida o generada como
consecuencia de la prestacin del servicio objeto del presente contrato. El adjudicatario queda
obligado a emitir, a peticin de FEVE, certificacin acreditativa de la destruccin de la informacin.
En cumplimiento de lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999, de 13 de diciembre,
de Proteccin de Datos de Carcter Personal por el que se regula el derecho de informacin en la
recogida de datos de carcter personal, se informa al adjudicatario que los datos necesarios para
el cumplimiento y ejecucin de este Pliego, as como los que facilite sobre sus empleados con la
misma finalidad, sern incorporados a un fichero automatizado titularidad de FEVE, ante quien
podrn ejercitarse los derechos de acceso, rectificacin, cancelacin y oposicin en los trminos
previstos en la citada Ley Orgnica, dirigiendo escrito a la citada Compaa en Plaza de los
Ferroviarios s/n, 33012 Oviedo (Gerencia Telecomunicaciones y Sistemas Informticos

12

DIVISIN DE INFRAESTRUCTURA
Gerencia de Telecomunicaciones y Sistemas Informticos

El adjudicatario se compromete y obliga a informar a sus empleados de las advertencias legales

indicadas en los prrafos anteriores.
113.- Bolsa de horas para Trabajos solicitados
Adicionalmente en este contrato de mantenimiento se establecen 700 horas (350 horas por cada
ao de contrato) para la realizacin de trabajos solicitados por Feve. En el caso de que no se
consuman ese nmero de horas en el ao se quedarn disponibles para Feve pueda hacer uso de
ellas en el ao siguiente para cualquier tipo de trabajo relacionado con la red de datos aunque no
est recogida expresamente en este contrato.
Estas horas de trabajo sern horas efectivas del trabajo realizado sin contar los tiempos de
desplazamientos e incluyendo los gastos que se originen de la actuacin relativas a transporte,
dietas, etc.
Francisco Javier Arce Murillo
Gerente de Telecomunicaciones y Sistemas Informticos

13

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

1.HISTORIAL DE REVISIONES
N de Revisin

Fecha

Razones del cambio. Observaciones

Pgina 2 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

2.OBJETO
En toda organizacin existe informacin confidencial, en mayor o menor grado,
cuya prdida o uso indebido puede daar su reputacin. Asimismo, el deterioro o
indisponibilidad de las Telecomunicaciones y los Sistemas de Informacin puede
interrumpir el normal desarrollo de la operativa, produciendo efectos negativos en la
calidad del servicio y los beneficios de la compaa.
El principal objetivo de esta poltica es mitigar los riesgos asociados a las
Telecomunicaciones y los Sistemas de Informacin de Ferrocarriles de Va Estrecha, (en
adelante FEVE), informando a todo el personal que trabaja para FEVE (ya sea personal
propio o perteneciente a otras Compaas), y que en el desarrollo de sus funciones
pueda tener acceso a la informacin, sistemas de informacin o recursos de FEVE en
general, con el fin de proteger la confidencialidad, integridad y disponibilidad de la
informacin y sistemas manejados por FEVE.
La Poltica de Seguridad refleja requerimientos legales y ticos, tanto en
actuaciones informales de las personas que ejercitan su labor en el mbito de FEVE,
como en la realizacin de su operativa.
Con dicho propsito, esta poltica contempla lo establecido en las Polticas de
Seguridad de FEVE, y refleja las obligaciones a las que est sujeta FEVE por la
legislacin vigente, y en particular por la Ley Orgnica 15/1999, de 13 de diciembre,
de Proteccin de Datos de carcter personal (en adelante, LOPD) y todos sus
desarrollos asociados.

3.ALCANCE
El alcance de este documento se extiende a todas las actividades
desarrolladas para FEVE, tanto por el personal propio de la Compaa como por el
personal que presta servicios para esta organizacin pero que pertenece a otras
empresas proveedoras de servicios, vinculadas a travs del correspondiente contrato
de provisin de servicios.
Cualquier persona que preste sus servicios a FEVE y que tenga que utilizar las
telecomunicaciones y los sistemas de informacin o recursos informticos en general
de FEVE, debe tener conocimiento y comprometerse formalmente a acatar estas
Polticas de Seguridad.
Si la prestacin del servicio comprende el acceso de personal a los Sistemas de
Informacin de FEVE, es obligacin de la empresa proveedora poner en conocimiento
de estas personas estas Polticas de Seguridad.
Para ello, en los contratos o pedidos que se formalicen entre FEVE y las
empresas proveedoras de personal de servicio para tareas relacionadas con los
sistemas de informacin, stas garantizarn de forma expresa que conocen estas
polticas y se comprometen a respetarlas, as como que conocen las responsabilidades
en que pueden incurrir en caso de no cumplirlas.

Pgina 3 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

4.DESARROLLO
4.1.

Principios Generales

Tal y como se ha establecido en el mbito de aplicacin, todo el personal que

desarrolle labores para FEVE deber cumplir con las polticas de seguridad recogidas
en el presente documento. En caso de incumplimiento de cualquiera de estas
obligaciones, FEVE se reserva el derecho de veto sobre el personal que haya cometido
la infraccin, as como la adopcin de las medidas sancionadoras que se consideren
pertinentes.
Todo el personal que acceda a los sistemas de informacin de FEVE deber
seguir las siguientes normas de actuacin:

Proteger la informacin confidencial perteneciente o cedida por terceros a

FEVE de toda revelacin no autorizada, modificacin, destruccin o uso
incorrecto, ya sea accidental o no.

Proteger todos los sistemas de informacin y redes de telecomunicaciones

contra accesos o usos no autorizados, interrupciones de operaciones,
destruccin, mal uso o robo.

Para obtener el acceso a los sistemas de informacin propios o bajo

supervisin de FEVE ser necesario disponer de un acceso autorizado.

Ser necesario conocer, aceptar y cumplir las presentes polticas antes de

poder acceder a los sistemas de informacin de FEVE.

De forma adicional, todo el personal con responsabilidades especficas dentro

del mbito de actuacin indicado deber asegurarse de que se cumplen las
siguientes medidas:

Todo diseo, desarrollo, implementacin y operacin deber incorporar

mecanismos de identificacin, autenticacin, control de acceso, auditora
e integridad.

Se debern incorporar identificaciones

autenticacin de usuarios.

Para un correcto funcionamiento en materia de seguridad debern

compartirse las labores de seguridad entre usuarios, administradores y los
encargados directos de la propia seguridad.

Debern tomarse todas las precauciones posibles para

fsicamente los sistemas de robo, destruccin o interrupcin.

Deber asegurarse la confidencialidad de la informacin almacenada,

tanto en formato electrnico como no electrnico.

Deber asegurarse que se controla el acceso del personal a los cuartos

tcnicos.

Todos los intervinientes en el Plan General de Seguridad Integral de FEVE,

debern conocer y saber aplicar cuando sea necesario dicho plan.

Pgina 4 de 17

seguras

nicas

para

la

proteger

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

El personal del rea de operacin que deba realizar las copias de

seguridad deber tener conocimiento y saber aplicar los procedimientos
de backup.

El personal del rea de operacin deber tener conocimiento de los

procedimientos de recuperacin de datos de carcter personal, y del
procedimiento de registro entrada/salida de dichos soportes.

El rea de seguridad Informtica centraliza los esfuerzos globales de proteccin

de los activos de FEVE, a fin asegurar el correcto funcionamiento de las tecnologas de
la informacin que soportan los procesos de la organizacin.
De forma genrica, los activos incluyen toda forma de informacin, adems de
las personas y la tecnologa que soportan los procesos de informacin.

4.2.

Confidencialidad de la Informacin

El personal que tenga acceso a informacin de FEVE deber considerar que

dicha informacin, por defecto, tiene el carcter de confidencial. Slo se
podr considerar como informacin no confidencial aquella informacin de
FEVE a la que haya tenido acceso a travs de los medios de difusin pblica
de informacin dispuestos a tal efecto por FEVE.

Se protegern, por parte de los usuarios, en la medida de sus posibilidades, la

informacin confidencial a la que tienen acceso, contra revelaciones no
autorizadas o accidentales, modificacin, destruccin o mal uso, cualquiera
que sea el soporte en que se encuentre contenida esa informacin.

Se guardar por tiempo indefinido la mxima reserva y no se emitir al exterior,

informacin confidencial en cualquier tipo de soporte, salvo que est
debidamente autorizado.

Se utilizar el menor nmero de informes en formato papel que contengan

informacin confidencial y se mantendrn los mismos en lugar seguro y fuera
del alcance de terceros.

El personal en relacin a la utilizacin de agendas de contactos, de las

herramientas ofimticas dispuestas por FEVE (por ejemplo el Outlook),
nicamente introducir datos personales como nombre y apellidos, las
funciones o puestos desempeados, as como la direccin postal o electrnica,
telfono y nmero de fax profesionales.

Ningn colaborador en proyectos, trabajos puntuales, etc., deber poseer,

para usos no propios de su responsabilidad, ningn material o informacin
propia o confiada a FEVE tanto ahora como en el futuro.

En el caso de que, por motivos directamente relacionados con el puesto de

trabajo, se est en posesin de informacin confidencial contenida en
cualquier tipo de soporte, deber entenderse que dicha posesin es
estrictamente temporal, con obligacin de secreto y sin que ello le confiera
derecho alguno de posesin, titularidad o copia sobre dicha informacin.

Pgina 5 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

Asimismo, el empleado deber devolver el o los soportes mencionados,

inmediatamente despus de la finalizacin de las tareas que han originado el
uso temporal de los mismos y, en cualquier caso, a la finalizacin de la relacin
con FEVE. La utilizacin continuada de la informacin en cualquier formato o
soporte distinta a la pactada y sin conocimiento de FEVE no supondr, en
ningn caso, una modificacin de este punto.

Todas estas obligaciones continuarn vigentes tras la finalizacin de las

actividades que el personal desarrolle para FEVE.

El incumplimiento de estas obligaciones puede constituir un delito de

revelacin de secretos, previsto en el artculo 197 del Cdigo Penal, que puede
dar derecho a exigir compensaciones.

Para garantizar la seguridad de los Datos de Carcter Personal albergados en

ficheros automatizados, el personal deber observar las siguientes normas de
actuacin, adems de las consideraciones ya mencionadas:

El personal slo podr crear ficheros temporales que contengan datos de

carcter personal cuando sea necesario para el desempeo de su trabajo.
Estos ficheros temporales nunca sern ubicados en unidades locales de disco
de los Puestos de Trabajo del personal, y deben ser destruidos cuando hayan
dejado de ser tiles para la finalidad para la que se crearon.

La salida de soportes informticos que contengan datos de carcter personal,

fuera de los locales en los que est ubicada dicha informacin, nicamente
podr ser autorizada por el responsable de dicha informacin o fichero.

El propietario de la informacin se encargar de verificar la definicin y

correcta aplicacin de los procedimientos de realizacin de copias de
respaldo y de recuperacin de los datos.

Los soportes informticos que contengan datos de carcter personal debern

permitir identificar el tipo de informacin que contienen, ser inventariados y
almacenarse en un lugar de acceso restringido al personal autorizado.

4.3.

Control de acceso fsico

El personal externo no podr permanecer ni ejecutar trabajos en las reas

especialmente protegidas sin supervisin.

Se limitar el acceso al personal de soporte externo a las reas especialmente

protegidas. Este acceso, como el de cualquier otra persona ajena que requiera
acceder a reas protegidas, se asignar nicamente cuando sea necesario y
se encuentre autorizado, y siempre bajo la vigilancia de personal autorizado.
Se mantendr un registro de todos los accesos de personas ajenas.

Se acompaar a los visitantes en reas protegidas y se registrar la fecha y

hora de su entrada y salida. Dichas personas debern ir provistas de la debida
tarjeta de identificacin o permiso correspondiente y pasar por alguno de los
Pgina 6 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

sistemas de control de acceso fsico. Slo se permitir el acceso previa

identificacin de la persona de contacto en FEVE. Se mantendr un registro
protegido para permitir auditar todos los accesos.

4.4.

Se prohbe el consumo de alimentos o bebidas en los cuartos tcnicos. No es

recomendable en el resto de ubicaciones, salvo en las zonas habilitadas para
ello.

Uso apropiado de los recursos

Los recursos que FEVE pone a disposicin del personal, independientemente del
tipo que sean (informticos, datos, software, redes, sistemas de comunicacin, etc.),
estn disponibles exclusivamente para cumplimentar las obligaciones y propsito de la
operativa para la que fueron diseados e implantados.
Todo el personal usuario de dichos recursos debe saber que no tiene el
derecho de confidencialidad en su uso.
Queda terminantemente prohibido:

El uso de estos recursos para actividades no relacionadas con el propsito del

negocio, o bien con la extralimitacin en su uso.

Los equipos y/o aplicaciones que no estn especificados como parte del
Software o de los Estndares de los Recursos Informticos propios de FEVE o
bajo supervisin de FEVE.

Introducir en los Sistemas de Informacin o la Red Corporativa contenidos

obscenos, amenazadores, inmorales u ofensivos.

Introducir voluntariamente cualquier tipo de malware (programas, macros,

applets, controles ActiveX, etc.), greyware, dispositivo lgico, dispositivo fsico o
cualquier otro tipo de secuencia de rdenes que causen o sean susceptibles
de causar cualquier tipo de alteracin o dao en los recursos informticos. El
personal que trabaja para FEVE tendr la obligacin de utilizar los programas
antivirus y sus actualizaciones para prevenir la entrada en los Sistemas de
cualquier elemento destinado a destruir o corromper los datos informticos.

Intentar obtener otros derechos o accesos distintos a aquellos que les hayan
sido asignados.

Intentar acceder a reas restringidas de las Telecomunicaciones y Sistemas de

Informacin.

Intentar distorsionar o falsear los registros log de los Sistemas de Informacin.

Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro

elemento de seguridad que intervenga en los procesos telemticos.

Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo

de otros Usuarios, ni daar o alterar los Recursos Informticos.

Pgina 7 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos,
programas o documentos electrnicos (Estos actos pueden constituir un delito
de daos, previsto en el artculo 264.2 del Cdigo Penal).

Albergar Datos Protegidos por la Ley de Proteccin de Datos (LOPD) en las

unidades locales de disco de los Puestos de Trabajo de usuario.

Cualquier fichero introducido en la red corporativa o en el puesto de trabajo

del Usuario a travs de soportes automatizados, Internet, correo electrnico o
cualquier otro medio, deber cumplir los requisitos establecidos en estas normas y, en
especial, las referidas a propiedad intelectual, proteccin de datos de carcter
personal y control de virus.

4.5.

Intercambio de informacin

Los usuarios no deben ocultar o manipular su identidad bajo ninguna

circunstancia. Salvo en los casos en los que se permita el uso de usuarios
annimos.

La distribucin de informacin ya sea en formato digital o papel se realizar

mediante los dispositivos facilitados por FEVE para tal cometido y para la
finalidad exclusiva de facilitar las funciones del puesto.

FEVE se reserva, en funcin del riesgo identificado, la implementacin de

medidas de control, registro y auditora sobre estos dispositivos de difusin.

En relacin al intercambio de informacin, se considerarn no autorizadas las

siguientes actividades:

Transmisin o recepcin de material protegido

infringiendo la Ley de Proteccin Intelectual.

Transmisin o recepcin de toda clase de material pornogrfico,

mensajes o bromas de una naturaleza sexual explcita, declaraciones
discriminatorias raciales y cualquier otra clase de declaracin o
mensaje clasificable como ofensivo o ilegal.

Transferencia de ficheros a terceras partes no autorizadas de material

de la Organizacin o material que es de alguna u otra manera
confidencial.

Transmisin o recepcin de ficheros que infrinjan la Ley de Proteccin

de Datos de Carcter Personal o directrices de FEVE.

Transmisin o recepcin de juegos y/o aplicaciones no relacionadas

con el negocio.

Participacin en actividades de Internet como grupos de noticias,

juegos u otras que no estn directamente relacionadas con el negocio.

Todas las actividades que puedan daar la buena reputacin de FEVE

estn prohibidas en Internet y en cualquier otro lugar. Esto se refiere
Pgina 8 de 17

por

Copyright

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

tambin a actividades realizadas por empleados de FEVE para su

propio beneficio econmico o de terceras partes, y a actividades de
naturaleza poltica.

Toda salida de informacin que contenga datos de carcter personal (tanto

en soportes informticos como en papel o por correo electrnico) slo podr
ser realizada por personal autorizado y con el debido permiso.

Si el tratamiento de datos de carcter personal se llevase a cabo fuera de los

locales donde est ubicado el fichero, dicho tratamiento deber ser
autorizado expresamente por el responsable del fichero y, en todo caso,
deber garantizarse el nivel de seguridad correspondiente al tipo de fichero
tratado.

La transmisin de datos de carcter personal de nivel alto, a travs de redes de

telecomunicaciones se realizar cifrando dichos datos o bien utilizando
cualquier otro mecanismo que garantice que la informacin no sea inteligible
ni manipulada por terceros

4.6.

Uso del correo electrnico

Se considerar al correo electrnico como una herramienta ms de trabajo

provista al usuario con el fin de ser utilizada conforme al uso para el cual est
destinada. Esta consideracin facultar a FEVE a implementar sistemas de
control destinados a velar por la proteccin y el buen uso de este recurso. Esta
facultad, no obstante, se ejercer salvaguardando la dignidad del empleado y
su derecho a la intimidad.

El sistema de correo electrnico de FEVE no deber ser usado para enviar

mensajes fraudulentos, obscenos, amenazadores u otro tipo de comunicados
similares.

No se permitir el envo de ningn fichero, software o aplicativo infectado por

virus informticos.

Los usuarios no debern crear, enviar o reenviar mensajes publicitarios o

piramidales (mensajes que se extienden a mltiples usuarios).

No se permitir la transmisin va correo electrnico de informacin que

contenga datos de carcter personal de nivel alto, salvo que la comunicacin
electrnica est cifrada y el envo este expresamente permitido.

No se permitir la transmisin va correo electrnico de informacin

confidencial de FEVE salvo que la comunicacin electrnica est bien cifradas
y el envo este expresamente permitido.

4.7.

Conectividad a Internet
Internet es una herramienta de trabajo. Todas las actividades en Internet
debern estar en relacin con tareas y actividades de trabajo. Los usuarios no

Pgina 9 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

deben buscar o visitar sitios que no sirvan como soporte al objetivo de negocio
de FEVE o al cumplimiento de su trabajo diario.

El acceso a Internet desde la red corporativa se restringe por medio de

dispositivos de control incorporados en la misma. La utilizacin de otros medios
de conexin debern ser previamente validada y estar sujeta a las anteriores
consideraciones sobre el uso de Internet.

Los usuarios no debern usar el nombre, smbolo, logotipo o smbolos similares al

de FEVE en ningn elemento de Internet (correo electrnico, pginas Web,
etc.) no justificado por actividades estrictamente laborales.

nicamente se permitir la transferencia de datos de o a Internet en conexin

con actividades del negocio. La transferencia de ficheros no relativa a
actividades de negocio (por ejemplo la descarga de juegos de ordenador,
ficheros de sonido y contenidos multimedia, etc.) estarn prohibidas.

4.8.

Responsabilidades del usuario

Cada usuario es responsable de su identificador y todo lo que de l se derive,

por lo que es imprescindible que este sea nicamente conocido por el propio
usuario, no deber revelarse al resto del personal bajo ningn concepto.

Los usuarios no debern utilizar ningn identificador personal de otro usuario

aunque dispongan de la autorizacin del propietario.

Los usuarios debern seguir las siguientes directivas en relacin a la gestin de

las contraseas:

Realizar el cambio de la contrasea siempre que exista un posible

indicio de compromiso del sistema o de las contraseas.

Seleccionar contraseas de calidad.

Cambiar las contraseas cada vez que el sistema se lo solicite y

evitar reutilizar o reciclar viejas contraseas.

Cambiar las contraseas temporales en el primer inicio de sesin

(login).

Evitar incluir contraseas en los procesos automatizados de inicio de

sesin, por ejemplo, aquellas almacenadas en una tecla de funcin
o macro.

Notificar de acuerdo con lo establecido en la gestin de incidentes

de la seguridad, cualquier incidente de seguridad relacionado con
sus contraseas como prdida, robo o indicio de prdida de
confidencialidad.

Los usuarios debern velar por que los equipos queden protegidos cuando
vayan a quedar desatendidos.

Pgina 10 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

4.9.

PTSI-12
Rev. 01
Junio 2009

Se establecern las siguientes polticas de escritorio limpio para proteger

documentos en papel y dispositivos de almacenamiento removibles con el fin
de reducir los riesgos de acceso no autorizado, prdida y dao de la
informacin, tanto durante el horario normal de trabajo como fuera del mismo:

Almacenar bajo llave, cuando corresponda, los documentos en

papel y los medios informticos en mobiliario seguro cuando no
estn siendo utilizados, especialmente fuera del horario de
trabajo.

No dejar desatendidos los equipos asignados a funciones

crticas, y bloquear su
acceso cuando sea estrictamente
necesario.

Proteger tanto los puntos de recepcin y envo de informacin

(correo postal, mquinas de scanner y fax), como los equipos
de duplicado (fotocopiadora, fax y scanner).

La reproduccin o envo de informacin con este tipo de

dispositivos, queda bajo la responsabilidad del usuario.

Retirar, sin retraso injustificado, la informacin confidencial, una

vez impresa.

Los listados con datos de carcter personal o informacin

confidencial debern almacenarse en lugar seguro al que
nicamente tengan acceso personal autorizado.

Los listados con datos de carcter personal o informacin

confidencial debern eliminarse de manera segura una vez no
sean necesarios.

En caso de identificarse incidentes o debilidades relacionadas

con la seguridad de la informacin, se prohbe a los usuarios la
realizacin de pruebas para detectar y/o utilizar esta supuesta
debilidad o incidente de seguridad.

Puestos de Trabajo

Sobre el equipamiento informtico asociado al puesto del personal se

establecern las siguientes polticas:

Todos los puestos de usuario con conectividad a recursos informticos de FEVE

estarn controlados por FEVE.

Ningn dato de carcter personal ser almacenado en equipos de usuario ni

soportes de informacin.

Ningn usuario intentar por ningn medio transgredir el sistema de seguridad y

las autorizaciones, ni dispondr de herramientas que puedan realizarlo dentro
de los sistemas de la organizacin. Se prohbe la captura de trficos de red por

Pgina 11 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

parte de los usuarios, salvo que se estn llevando a cabo tareas de auditora
expresamente autorizadas.

Cuando se desatienda un puesto durante un periodo corto de tiempo el

sistema deber activar su bloqueo. Cuando se termina la jornada de trabajo se
recomienda apagar el equipo.

4.10.

Identificadores de usuario y contraseas

Los Empleados y el personal de empresas proveedoras de servicios que accede

a los Sistemas de Informacin de FEVE dentro de su mbito de trabajo, es responsable
de asegurar que los datos, y las aplicaciones y recursos informticos, sean usados
nicamente para el desarrollo de la operativa propia para la que fueron creados e
implantados.
Este personal est obligado a utilizar los recursos de FEVE y los datos contenidos
en ellos sin incurrir en actividades que puedan ser consideradas ilcitas o ilegales.
Para obtener el acceso a los Sistemas de Informacin, este personal debe
disponer de un acceso autorizado (identificador de usuario y contrasea) sobre el que
como usuarios de sistemas de informacin deben observar los siguientes
procedimientos de actuacin:

La entrega de un identificador de acceso a los sistemas de FEVE lleva implicito

la aceptacin por parte del usuario de la Poltica de Seguridad vigente.

Todos los usuarios con acceso a un sistema de informacin, dispondrn de una

nica autorizacin de acceso compuesta de identificador de usuario y
contrasea.

Los usuarios son responsables de toda actividad relacionada con el uso de su

acceso autorizado.

Los usuarios no deben utilizar ningn acceso autorizado de otro usuario,

aunque dispongan de la autorizacin del propietario.

Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos

que precisen para el desarrollo de sus funciones.

La longitud mnima de la contrasea deber ser de 6 caracteres. Las

contraseas estarn constituidas por combinacin de caracteres alfabticos y
numricos.

Es recomendable utilizar las siguientes directrices para la seleccin de

contraseas:
No usar palabras conocidas, ni palabras que se puedan asociar con
uno mismo, por ejemplo el nombre.
La contrasea no debe hacer referencia a ningn concepto, objeto o
idea reconocible. Se debe evitar utilizar en las contraseas fechas
significativas, das de la semana, meses del ao, nombres de personas,
telfonos, etc.

Pgina 12 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

La clave debera ser algo prcticamente imposible de adivinar. Pero

al mismo tiempo debera ser fcilmente recordada por el usuario. Un
buen ejemplo es usar el acrnimo de alguna frase o expresin.
La clave debera contener al menos un carcter numrico y uno
alfabtico.
La clave no debera empezar ni acabar con un carcter numrico.
No se debera utilizar el identificador de usuario como parte de la
clave secreta.

En caso que el sistema no lo solicite automticamente, el usuario debe

cambiar la contrasea provisional asignada la primera vez que realiza un
acceso vlido al sistema.

En el caso que el sistema no lo solicite automticamente, el usuario debe

cambiar su contrasea como mnimo una vez cada 90 das.

Los usuarios no deben revelar bajo ningn concepto su identificador y/o

contrasea a otra persona ni mantenerla por escrito a la vista, ni al alcance de
terceros.

Los accesos autorizados temporales se configurarn para un corto perodo de

tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas.

En relacin a datos de carcter personal, exclusivamente el personal

autorizado para ello en el documento de seguridad podr conceder, alterar o
anular el acceso autorizado sobre los datos y recursos, conforme a los criterios
establecidos por el responsable del fichero.

Si un usuario tiene sospechas de que su acceso autorizado (identificador de

usuario y contrasea) est siendo utilizado por otra persona, debe proceder al
cambio de su contrasea y contactar con el Centro de Atencin a Usuarios
para notificar la incidencia.

4.11.

Software

Todo el personal que accede a los Sistemas de Informacin de FEVE debe

utilizar nicamente las versiones de software facilitadas y siguiendo sus normas
de utilizacin.

Todo el personal tiene prohibido instalar copias ilegales de cualquier programa,

incluidos los estandarizados.

Todo el personal tiene prohibido la instalacin de cualquier programa de tipo

gratuito o freeware.

Tambin est prohibido borrar cualquiera de los programas instalados

legalmente.

Pgina 13 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

Ningn usaurio est autorizado a realizar, adquirir o usar copias de programas.

Tampoco podr entregar copias no autorizadas a terceras partes, incluidos
clientes y proveedores.

No podr modificarse el software original, salvo autorizacin expresa del

propietario del Software.

Ningn software podr ser utilizado fuera de las oficinas de FEVE, excepto en
ordenadores porttiles o si se dispone de la debida autorizacin.

El Software original adquirido por FEVE no podr ser cedido, vendido o

transferido a otros.

Ningn usuario esta autorizado a usar software, en ordenadores de la

compaa, que no haya sido comprado o adquirida su licencia de uso por la
compaa.

Cualquier software suministrado por terceros deber de entregarse con la

correspondiente autorizacin de uso, que permanecer en el Dpto. de
Sistemas Informticos.

4.12.

Recursos de red

El acceso de usuarios remotos estar sujeto al cumplimiento de procedimientos

de autenticacin previa validacin del acceso.

Las conexiones externas se realizarn requiriendo la autenticacin previa del

usuario, por tiempo limitado y mediante la utilizacin de redes privadas virtuales
o lneas dedicadas.

No se deber conectar fsicamente a ninguno de los recursos de FEVE ningn

tipo de equipo de comunicaciones (tarjetas, mdems, etc.) que posibilite
conexiones alternativas no controladas a la red corporativa.

Nadie deber conectarse a la Red Corporativa a travs de otros medios que

no sean los definidos.

4.13.

Teletrabajo

El teletrabajo, considerado como el acceso a la red corporativa desde el

exterior, se regula mediante la activacin de las siguientes polticas:

No se permite la utilizacin de equipamiento no controlado por FEVE

para las actividades de teletrabajo.

Se establecern criterios de autorizacin del teletrabajo en base a las

necesidades del puesto de trabajo.

Pgina 14 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

4.14.

PTSI-12
Rev. 01
Junio 2009

Se establecern las medidas necesarias para la conexin segura a la

red corporativa.

Se establecern sistemas de monitorizacin y auditora de seguridad

para las conexiones establecidas.

Se controlar la revocacin de derechos de acceso y devolucin de

equipamiento tras la finalizacin del periodo de necesidad del mismo.

Propiedad intelectual

Se garantizar el cumplimiento de las restricciones legales al uso del material

protegido por normas de propiedad intelectual.

Los empleados nicamente podrn utilizar material autorizado por FEVE para el
desarrollo de sus funciones.

Queda estrictamente prohibido el uso de programas informticos sin la

correspondiente licencia en los Sistemas de Informacin de FEVE.

Asimismo, queda prohibido el uso, reproduccin, cesin, transformacin o

comunicacin pblica de cualquier tipo de obra o invencin protegida por la
propiedad intelectual sin la debida autorizacin.

FEVE nicamente autorizar el uso de material producido por el mismo, o

material autorizado o suministrado al mismo por su titular, conforme los trminos
y condiciones acordadas y lo dispuesto por la normativa vigente.

4.15.

Incidencias

Todo el personal propio o ajeno deber ponerse en contacto con el servicio

del centro de atencin al usuario (CAU) en caso de que detecte cualquier
incidencia relacionada con la informacin o los recursos de FEVE.

Cualquier usuario podr trasladar sugerencias y/o debilidades, que pueda

tener relacin con la seguridad de la informacin y las directrices
contempladas en las presentes polticas.

Se deber notificar, mediante la aplicacin de Mejora Continua, de cualquier

incidencia que se detecte y que afecte o pueda afectar a la seguridad de los
datos de carcter personal: prdida de listados y/o disquetes, sospechas de
uso indebido del acceso autorizado por otras personas, recuperacin de datos,
etc.

El centro de atencin al usuario (CAU) centraliza la recogida, anlisis y gestin

de las incidencias recibidas.

4.16.

Requisitos de seguridad para las Empresas Colaboradoras de Feve

Pgina 15 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

Toda empresa que preste algn tipo de servicio a Feve debe documentar y
aplicar la sistemtica adecuada para asegurar los siguientes requisitos:

El personal afectado debe conocer y aplicar las polticas de seguridad de

Feve.

Deben cumplirse de los requisitos reglamentarios y normativos aplicables (LOPD,

LSSI....)

Los PCS de los tcnicos estarn slo conectados a la red de FEVE, y el acceso
podr realizarse a travs de VPN va identificador / contrasea.

El servicio se prestar en una zona aislada dentro de la oficina, a la que se

deber acceder sometindose previamente a los controles requeridos, donde
estarn ubicados los PCS dedicados al servicio.

La lista de usuarios autorizados y el registro de accesos estarn disponibles para

su verificacin por parte del responsable del servicio.

El acceso ocasional a las instalaciones de personas no autorizadas deber

quedar registrado. Estas personas estarn debidamente identificadas y
acompaadas en todo momento por personal autorizado.

El responsable del servicio por parte de FEVE podr verificar estas condiciones
personalmente o encargrselo a personal de FEVE o de otra empresa
especializada. Deber facilitarse el acceso para los aspectos relacionados
con auditoras internas o externas cuando FEVE lo estime conveniente.

El proveedor notificar a FEVE si se ha producido una brecha de seguridad o

cualquier cambio en el sistema de seguridad en el momento en que se
detecte.

El sistema debe tener en cuenta el procedimiento de devolucin/destruccin

de los datos y activos una vez finalizado el servicio.

En caso de detectarse algn incumplimiento de estos requisitos, ser registrado

y se establecern las acciones correctivas y preventivas pertinentes, dndose
seguimiento de las mismas hasta su cierre en un plazo mximo acordado con el
responsable del servicio.
FEVE se reserva el derecho de exigir:

La implementacin de cualquier mecanismo que FEVE considere necesario

para garantizar la seguridad de acceso a sus datos y activos. Asimismo podr
exigir las penalizaciones y/o las garantas apropiadas en funcin de los riesgos
de incumplimiento o deterioro de los activos del servicio.

La presencia y colaboracin, de todas las empresas colaboradoras y

proveedoras y su mejor ayuda en la restauracin bajo la coordinacin directa
de FEVE- de la actividad normal de sus operaciones de negocio, despus de
que stas hayan sido interrumpidas por una emergencia o desastre.

La tenencia de polticas y planes de continuidad de negocio o contingencias

que permitan asegurar la continuidad de las actividades de estas compaas

Pgina 16 de 17

POLTICAS DE SEGURIDAD TELECOMUNICACIONES Y

SISTEMAS DE INFORMACIN

PTSI-12
Rev. 01
Junio 2009

en el caso de que se vieran afectadas por una catstrofe o situacin de

desastre. De igual forma, FEVE se reserva el derecho a auditar la existencia y
grado de implantacin de los mencionados planes.

4.17.

Seguimiento y control

Con el fin de velar por el correcto uso de los mencionados recursos, a travs de
los mecanismos formales y tcnicos que se considere oportunos, FEVE comprobar, ya
sea de forma peridica o cuando por razones especficas de seguridad o del servicio
resulte conveniente, la correcta utilizacin de dichos recursos por todos los usuarios.
En caso de apreciar que alguien utiliza incorrectamente aplicaciones y/o
datos, principalmente, as como cualquier otro recurso informtico, se le comunicar
tal circunstancia y se le facilitar, en su caso, la formacin necesaria para el correcto
uso de los recursos.
En caso de apreciarse mala fe en la incorrecta utilizacin de las aplicaciones
y/o datos, principalmente, as como cualquier otro recurso informtico, FEVE ejercer
las acciones que legalmente le amparen para la proteccin de sus derechos.

4.18.

Actualizacin de las Polticas de Seguridad

Debido a la propia evolucin de la tecnologa, las amenazas de seguridad y a

las nuevas aportaciones legales en la materia, FEVE se reserva el derecho a modificar
estas polticas cuando sea necesario. Los cambios realizados en estas polticas sern
divulgados a todas las empresas proveedoras de servicios a las que les aplique
utilizando los medios que se consideren pertinentes. Es responsabilidad de cada
empresa proveedora garantizar la lectura y conocimiento de las polticas de seguridad
ms recientes de FEVE por parte de su personal.

Pgina 17 de 17