# SOBRE 2 — MEMORIA TÉCNICA

## OFERTA TÉCNICA

**Pliego:** Servicios de albergaje de las webs corporativas de Mutua Intercomarcal, mantenimiento, gestión y actualizaciones sobre bases de datos, sistemas operativos, CMS y versiones de código desarrollado, administración de DMZ's, enlaces, gateways con proveedores, FTP's, y demás interfaces de interacción de comunicaciones. Gestión de las reglas de seguridad y enlaces de conexión con aplicaciones de gestión ubicadas fuera del entorno, procesos de sincronización y réplica de datos, integración de procesos de autenticación, gestión de credenciales, gestión de dominios y certificados asociados al entorno público.

**Expediente:** 2026/LIC/0014
**Órgano de Contratación:** Mutua Intercomarcal MATEPSS Nº 39
**Procedimiento:** Procedimiento Abierto
**Licitador:** 23 Digital Studio S.L. — CIF B23739055
**Fecha:** Abril 2026

---

## ÍNDICE

| Sección | Criterio | Puntos |
|---|---|---|
| 1. Introducción y presentación de la empresa | — | — |
| 2. Solución tecnológica | Criterio 3 (C3) | 10 pts |
| 3. Mejoras técnicas propuestas | Criterio 4 (C4) | 5 pts |
| 4. Gestión funcional e integración con el entorno existente | Criterio 5 (C5) | 10 pts |
| 5. Gestión de cambios e incidencias | Criterio 6 (C6) | 8 pts |
| 6. SLAs y propuesta de penalizaciones | Criterio 7 (C7) | 4 pts |
| 7. Equipo asignado | — | — |
| 8. Plan de transición y devolución de servicio | — | — |

---

## 1. INTRODUCCIÓN Y PRESENTACIÓN DE LA EMPRESA

### 1.1 Quiénes somos

**23 Digital Studio S.L.** es una empresa de servicios tecnológicos constituida el 27 de noviembre de 2014, con más de **11 años de experiencia** en el diseño, desarrollo, alojamiento y mantenimiento de soluciones web y sistemas informáticos para administraciones públicas y empresas privadas.

Con domicilio en Jaén (Travesía Menéndez y Pelayo, 13 Local F, 23003), nuestra empresa combina el conocimiento técnico especializado con la cercanía y la capacidad de respuesta que caracteriza a un equipo compacto y altamente cualificado.

### 1.2 Experiencia relevante

A lo largo de nuestra trayectoria, hemos ejecutado servicios de naturaleza similar al objeto de este contrato para clientes como el **Ayuntamiento de Úbeda**, la **Diputación Provincial de Jaén**, el **Consejo Regulador D.O.P. Sierra Mágina** y el **Ayuntamiento de Linares**, acumulando más de 109.500 € en servicios de hosting, mantenimiento y desarrollo web en los últimos tres años.

Nuestra experiencia abarca:

- **Alojamiento y mantenimiento de portales web institucionales** con alto requerimiento de disponibilidad y seguridad.
- **Administración de entornos virtualizados VMware ESXi** con máquinas virtuales Debian y Windows Server.
- **Gestión de bases de datos** MySQL/MariaDB y PostgreSQL en entornos productivos.
- **Administración de zonas DMZ**, firewalls, reglas de seguridad y certificados SSL/TLS.
- **Integración de sistemas de autenticación** y gestión de credenciales corporativas.
- **Soporte técnico especializado** con SLAs garantizados y sistema de gestión de incidencias.

### 1.3 ¿Por qué 23 Digital Studio S.L. para Mutua Intercomarcal?

Mutua Intercomarcal MATEPSS Nº 39, como Mutua Colaboradora con la Seguridad Social, maneja información sensible y requiere un proveedor de servicios de hosting que garantice **disponibilidad, seguridad y confidencialidad** absolutas. Nuestra propuesta se basa en tres pilares:

1. **Conocimiento profundo de la infraestructura actual:** Hemos analizado detalladamente la arquitectura descrita en las aclaraciones (3 servidores físicos ESXi, 2 servidores de bases de datos Debian, 6 servidores web mixtos, 2 servidores DMZ y 1 servidor de autenticación) y proponemos un plan de mantenimiento proactivo que optimiza su rendimiento sin interrupciones.

2. **Compromiso con la continuidad del servicio:** Entendemos que las webs corporativas de una Mutua son un canal esencial de comunicación con los mutualistas y las empresas asociadas. Nuestra propuesta garantiza una disponibilidad del 99,9% con penalizaciones asumidas por incumplimiento.

3. **Proximidad y capacidad de respuesta:** Al estar ubicados en Jaén, podemos ofrecer presencia física cuando sea necesario y una capacidad de respuesta que los proveedores remotos no pueden igualar.

---

## 2. SOLUCIÓN TECNOLÓGICA — Criterio 3 (10 pts)

### 2.1 Análisis de la infraestructura actual

De conformidad con la información facilitada por Mutua Intercomarcal en las aclaraciones al pliego, la infraestructura objeto de mantenimiento y gestión se compone de los siguientes elementos:

#### Infraestructura física de virtualización
| Componente | Especificación |
|---|---|
| **Servidores físicos ESXi** | 3 servidores VMware ESXi |
| **RAM total** | 194 GB |
| **Almacenamiento total** | 4,2 TB |
| **Núcleos totales** | 40 cores |

#### Servidores virtuales de bases de datos
| Componente | Cantidad | Especificación |
|---|---|---|
| **SO** | Debian (X64) | 2 servidores |
| **RAM** | 24 GB c/u | 48 GB total |
| **Disco** | 1 TB c/u | 2 TB total |
| **CPU** | 8 cores c/u | 16 cores total |

#### Servidores virtuales web
| Componente | Cantidad | Especificación |
|---|---|---|
| **Debian** | 3 servidores | 16 GB RAM, 250 GB disco, 2-4 cores |
| **Windows Server 2022** | 3 servidores | 16 GB RAM, 250 GB disco, 2-4 cores |
| **Total** | 6 servidores | — |

#### Servidores virtuales DMZ
| Componente | Cantidad | Especificación |
|---|---|---|
| **SO** | Debian (X64) | 2 servidores |
| **RAM** | 16 GB c/u | 32 GB total |
| **Disco** | 250 GB c/u | 500 GB total |
| **CPU** | 2 cores c/u | 4 cores total |

#### Servidor de autenticación
| Componente | Especificación |
|---|---|
| **SO** | Windows Server 2022 (X64) |
| **RAM** | 8 GB |
| **Disco** | 200 GB |
| **CPU** | 2 cores |

### 2.2 Propuesta de arquitectura de hosting

Nuestra solución tecnológica se fundamenta en una arquitectura de hosting **alta disponibilidad, segmentada por capas y con redundancia**, que garantiza el correcto funcionamiento de todos los servicios descritos en el Pliego de Prescripciones Técnicas (PPT).

#### 2.2.1 Capa de virtualización (Infraestructura ESXi)

Proponemos mantener y optimizar la infraestructura VMware ESXi existente como plataforma base de virtualización, aplicando las siguientes medidas:

- **Actualización periódica de VMware ESXi** a la última versión estable compatible con el hardware existente, aplicando los parches de seguridad y correcciones publicados por VMware/Broadcom.
- **Configuración de VMware High Availability (HA)** para garantizar la reiniciación automática de máquinas virtuales en caso de fallo de un servidor físico anfitrión.
- **Configuración de VMware Distributed Resource Scheduler (DRS)** para la distribución dinámica de cargas de trabajo entre los 3 servidores físicos, optimizando el uso de los 194 GB de RAM y los 40 cores disponibles.
- **Monitorización del cluster ESXi** mediante vCenter Server con alertas proactivas sobre uso de CPU, memoria, almacenamiento y estado de los componentes físicos (discos, fuentes de alimentación, ventiladores).

#### 2.2.2 Capa de bases de datos (2 servidores Debian)

Los dos servidores de bases de datos Debian constituyen el núcleo de persistencia de las aplicaciones web de Mutua Intercomarcal. Nuestra gestión incluye:

- **Administración de motores de bases de datos** (MySQL/MariaDB y/o PostgreSQL según configuración actual), incluyendo optimización de consultas, índices y parámetros de configuración (buffer pool, query cache, conexiones simultáneas).
- **Réplica de datos entre ambos servidores** mediante replicación maestro-esclavo (master-slave) para garantizar la disponibilidad de los datos en caso de fallo de uno de los servidores. La réplica se configurará en modo asíncrono para no penalizar el rendimiento de las operaciones de escritura.
- **Copias de seguridad automatizadas** con retención escalonada:
  - Backup incremental diario (retención: 7 días)
  - Backup completo semanal (retención: 4 semanas)
  - Backup completo mensual (retención: 12 meses)
  - Las copias se almacenarán de forma local y se replicarán a un almacenamiento externo seguro (off-site).
- **Monitorización del rendimiento** de las bases de datos: tiempos de respuesta, número de conexiones activas, tamaño de tablas, índices fragmentados, slow queries.

#### 2.2.3 Capa de servidores web (6 servidores: 3 Debian + 3 Windows Server 2022)

La capa web alberga las distintas aplicaciones y portales corporativos de Mutua Intercomarcal. Nuestra gestión comprende:

**Servidores Debian (3):**
- Administración de servidores web **Apache y/o Nginx** según la configuración actual.
- Gestión de entornos de ejecución **PHP** (versiones 8.x) con FPM (FastCGI Process Manager).
- Mantenimiento de aplicaciones CMS (WordPress, Drupal u otros según configuración actual).
- Configuración de **virtual hosts** con certificados SSL/TLS para cada dominio/subdominio.
- Gestión de logs de acceso y error con rotación automatizada (logrotate).
- Hardening de seguridad: deshabilitación de módulos innecesarios, configuración de cabeceras de seguridad (HSTS, X-Frame-Options, X-Content-Type-Options, CSP).

**Servidores Windows Server 2022 (3):**
- Administración de **IIS (Internet Information Services)** para el alojamiento de aplicaciones web .NET u otras tecnologías Microsoft.
- Gestión de **Application Pools** con configuraciones de reciclaje optimizadas.
- Actualización periódica mediante **Windows Server Update Services (WSUS)** o Windows Update controlado.
- Configuración de **SSL/TLS** para cada sitio alojado.
- Monitorización de eventos del sistema mediante el Visor de Eventos y herramientas de monitorización específicas.

#### 2.2.4 Capa DMZ (2 servidores Debian)

Los servidores de zona desmilitarizada (DMZ) constituyen la primera línea de defensa de la infraestructura. Su gestión incluye:

- **Administración de firewalls** (iptables/nftables o similares) con reglas de filtrado específicas por servicio y origen.
- **Configuración de proxies inversos** (Nginx/HAProxy) para la publicación segura de servicios web hacia internet.
- **Gestión de certificados SSL/TLS** terminados en la DMZ, con inspección y reenvío seguro a los servidores web internos.
- **Protección contra ataques DDoS** mediante limitación de tasa (rate limiting), listas de bloqueo automáticas (fail2ban) y configuración de timeouts.
- **Segmentación de red** estricta entre la DMZ y la red interna, siguiendo el principio de mínimo privilegio.
- **Monitorización de tráfico** y detección de anomalías en los patrones de acceso.

#### 2.2.5 Capa de autenticación (1 servidor Windows Server 2022)

El servidor de autenticación Windows Server 2022 es crítico para la gestión de identidades y accesos. Nuestra gestión abarca:

- **Administración de Active Directory (AD)** o servicio de directorio equivalente, incluyendo gestión de usuarios, grupos y políticas de grupo (GPO).
- **Integración de procesos de autenticación** entre las aplicaciones web y el directorio activo (LDAP/Kerberos).
- **Gestión de credenciales:** políticas de contraseñas, caducidad, bloqueo de cuentas, autenticación multifactor (MFA) cuando sea aplicable.
- **Gestión de dominios y certificados** asociados al entorno público, incluyendo la renovación anticipada de certificados SSL/TLS.
- **Sincronización y réplica de datos** de autenticación con otros sistemas de gestión ubicados fuera del entorno.
- **Backup completo del estado del sistema** del servidor de autenticación con periodicidad diaria.

#### 2.2.6 Gestión de reglas de seguridad y enlaces de conexión

De acuerdo con lo exigido en el PPT, nuestra propuesta incluye la gestión integral de:

- **Reglas de firewall y seguridad** en todas las capas de la infraestructura (ESXi, DMZ, servidores web).
- **Enlaces de conexión** con aplicaciones de gestión externas, incluyendo la configuración y mantenimiento de APIs, webhooks y servicios web seguros (SOAP/REST).
- **Gateways con proveedores** externos, incluyendo la gestión de conexiones FTP/SFTP, APIs de terceros y servicios de intercambio de datos.
- **Procesos de sincronización y réplica** de datos entre sistemas internos y externos, con mecanismos de validación y reconciliación.
- **Gestión de FTPs** seguros (SFTP/FTPS) con usuarios aislados (chroot), cuotas de disco y registro de actividad.

### 2.3 Coherencia global de la plataforma

Todos los componentes descritos se integran en una **arquitectura coherente y jerárquica**, donde cada capa cumple una función específica y se comunica con las capas adyacentes de forma segura y controlada:

```
[Internet] → [DMZ: 2 servidores Debian (proxies, firewalls, filtrado)]
                  ↓ (tráfico filtrado y autenticado)
[Capa Web: 3 Debian + 3 Windows Server 2022 (aplicaciones, CMS)]
                  ↓ (consultas y persistencia)
[Capa Datos: 2 Debian (MySQL/PostgreSQL con replicación)]
                  ↑
[Autenticación: 1 Windows Server 2022 (AD, LDAP, certificados)]
                  ↕
[Infraestructura: 3 ESXi físicos (virtualización, HA, DRS)]
```

Esta arquitectura garantiza:

- **Aislamiento de capas:** La DMZ protege los servidores internos del tráfico directo de internet.
- **Redundancia:** La replicación de bases de datos y la configuración HA de ESXi eliminan puntos únicos de fallo.
- **Escalabilidad:** La virtualización permite añadir recursos (RAM, CPU, disco) sin intervención física.
- **Seguridad:** Cada capa aplica sus propias reglas de seguridad, creando una defensa en profundidad (defense in depth).

### 2.4 Modelo de trabajo: desarrollo, explotación y mantenimiento

Nuestro modelo de trabajo se estructura en tres fases claramente diferenciadas, cada una con procesos, responsables y mecanismos de control propios:

#### Fase 1: Desarrollo y pruebas
- Todo cambio en aplicaciones web, CMS o configuraciones de servidor se desarrolla primero en un **entorno de staging** réplica del productivo.
- Se utilizan **repositorios Git** para el control de versiones de código, plantillas y configuraciones.
- Cada cambio pasa por un proceso de **revisión de código** antes de su despliegue.
- Las pruebas incluyen: pruebas funcionales, pruebas de rendimiento y pruebas de seguridad básicas.

#### Fase 2: Explotación (producción)
- El paso a producción se realiza mediante **ventanas de mantenimiento planificadas**, preferentemente en horarios de menor actividad (noches o fines de semana).
- Cada despliegue incluye un **plan de rollback** documentado y probado.
- La monitorización se intensifica durante las primeras 24 horas post-despliegue.

#### Fase 3: Mantenimiento continuo
- **Mantenimiento correctivo:** Resolución de incidencias según los SLAs definidos (ver sección 6).
- **Mantenimiento preventivo:** Actualizaciones de seguridad, parches, revisiones periódicas de rendimiento y capacidad.
- **Mantenimiento evolutivo:** Mejoras y actualizaciones de versiones de software, CMS y sistemas operativos.

### 2.5 Metodología y mecanismos de seguimiento

Nuestra metodología se basa en las buenas prácticas de **ITIL (Information Technology Infrastructure Library)** adaptadas a las necesidades específicas de Mutua Intercomarcal:

- **Gestión de configuración:** Inventario actualizado de todos los componentes hardware y software, con su configuración, versión y relación de dependencias.
- **Gestión de cambios:** Todo cambio se documenta, se evalúa su impacto, se aprueba y se verifica post-implementación.
- **Gestión de incidentes y problemas:** Detección, clasificación, resolución y análisis de causa raíz.
- **Gestión de niveles de servicio:** Monitorización continua de los SLAs acordados con informes periódicos.
- **Revisiones periódicas:** Reuniones mensuales de seguimiento con el equipo de Mutua Intercomarcal para revisar el estado del servicio, incidencias resueltas, cambios planificados y métricas de rendimiento.

### 2.6 Diagramas propuestos

En la documentación final se incluirán los siguientes diagramas técnicos:

1. **Diagrama de arquitectura general:** Representación gráfica de la infraestructura con las 5 capas (virtualización, datos, web, DMZ, autenticación), sus interconexiones y los flujos de tráfico.
2. **Diagrama de flujo de datos:** Trazabilidad de una petición web desde internet hasta la base de datos y respuesta, mostrando cada capa intermedia y los mecanismos de seguridad aplicados.
3. **Diagrama de red lógica:** Segmentación de red, VLANs, subredes, reglas de firewall y puntos de interconexión con sistemas externos.
4. **Diagrama de backup y recuperación:** Flujo de copias de seguridad, retención, replicación off-site y procedimiento de restauración.

---

## 3. MEJORAS TÉCNICAS PROPUESTAS — Criterio 4 (5 pts)

Además del mantenimiento estándar de la infraestructura descrita en el PPT, **23 Digital Studio S.L.** propone las siguientes mejoras técnicas que aportan valor adicional a Mutua Intercomarcal, optimizando el desarrollo, mantenimiento y explotación de la plataforma:

### 3.1 Sistema de backup automatizado con replicación off-site

**Situación actual:** Las copias de seguridad se realizan localmente, lo que presenta un riesgo en caso de incidente que afecte al centro de datos completo.

**Mejora propuesta:** Implementación de un sistema de backup automatizado con las siguientes características:

- **Backup incremental diario** de todas las máquinas virtuales utilizando herramientas de snapshot de VMware combinadas con backup a nivel de aplicación para bases de datos.
- **Replicación off-site** de las copias de seguridad a un almacenamiento seguro externo (servidor dedicado o cloud cifrado), con cifrado AES-256 en tránsito y en reposo.
- **Retención escalonada inteligente:** 7 backups diarios, 4 semanales, 12 mensuales, optimizando el espacio de almacenamiento.
- **Verificación automática de integridad** de las copias de seguridad mediante restauraciones de prueba automatizadas mensuales.
- **Panel de estado de backups** accesible para el equipo de Mutua Intercomarcal, mostrando el resultado de cada ejecución y las alertas de fallo.

**Valor añadido:** Garantía de recuperación ante desastres (DR) con RPO (Recovery Point Objective) máximo de 24 horas y RTO (Recovery Time Objective) inferior a 4 horas.

### 3.2 Panel de monitorización avanzado con Grafana + Prometheus

**Situación actual:** La monitorización se limita a las herramientas nativas de VMware y los sistemas operativos.

**Mejora propuesta:** Despliegue de una solución de monitorización centralizada basada en **Prometheus** (recolección de métricas) + **Grafana** (visualización):

- **Dashboards personalizados** para cada capa de la infraestructura:
  - Dashboard de cluster ESXi: uso de CPU, memoria, almacenamiento, estado de hardware, VMs activas.
  - Dashboard de bases de datos: queries activas, tiempos de respuesta, replicación lag, tamaño de BD.
  - Dashboard de servidores web: peticiones por segundo, tiempos de respuesta, errores HTTP, uso de recursos.
  - Dashboard de DMZ: tráfico de entrada/salida, conexiones activas, reglas de firewall disparadas, intentos de acceso no autorizado.
  - Dashboard de autenticación: intentos de login, fallos de autenticación, estado de certificados.
- **Alertas proactivas** configuradas por umbrales personalizados (CPU > 85%, disco > 80%, memoria > 90%, tiempo de respuesta > 3s).
- **Notificaciones automáticas** por correo electrónico y/o canal de comunicación acordado con Mutua Intercomarcal.
- **Acceso en tiempo real** para el equipo de Mutua Intercomarcal mediante un dashboard de solo lectura.

**Valor añadido:** Visibilidad completa del estado de la infraestructura en tiempo real, detección proactiva de problemas antes de que afecten al servicio, y capacidad de planificación de capacidad basada en tendencias históricas.

### 3.3 Automatización de certificados SSL/TLS con Let's Encrypt

**Situación actual:** La gestión de certificados SSL/TLS puede ser manual, con riesgo de caducidad no detectada.

**Mejora propuesta:** Implementación de un sistema de **gestión automatizada de certificados**:

- **Renovación automática** de certificados SSL/TLS mediante el cliente **Certbot** de Let's Encrypt, con renovación 30 días antes de la fecha de caducidad.
- **Monitorización de caducidad** de todos los certificados del entorno (incluidos los de proveedores externos), con alertas a 60, 30 y 7 días de la expiración.
- **Inventario centralizado** de certificados con su dominio, emisor, fecha de emisión, fecha de caducidad y servidor donde están instalados.
- **Soporte para certificados de pago** cuando sean necesarios (wildcard, EV), con gestión automatizada de su renovación.

**Valor añadido:** Eliminación del riesgo de caducidad de certificados que podría causar la indisponibilidad de los servicios web y la pérdida de confianza de los usuarios.

### 3.4 Contenerización opcional con Docker

**Situación actual:** Las aplicaciones web se despliegan directamente sobre los servidores, lo que puede generar conflictos de dependencias y dificultades en los despliegues.

**Mejora propuesta:** Ofrecer como mejora opcional la **contenerización progresiva** de las aplicaciones web:

- **Migración gradual** de aplicaciones web a contenedores Docker, comenzando por las menos críticas.
- **Orquestación con Docker Compose** para aplicaciones multi-servicio (web + base de datos + caché).
- **Aislamiento de dependencias:** Cada aplicación corre en su propio contenedor con sus dependencias específicas, sin afectar al resto.
- **Despliegues consistentes:** El mismo contenedor se ejecuta idénticamente en desarrollo, staging y producción.
- **Rollback inmediato:** En caso de problema, se restaura la versión anterior del contenedor en segundos.

**Valor añadido:** Mayor agilidad en los despliegues, reducción de errores por diferencias entre entornos, y facilitación del mantenimiento evolutivo de las aplicaciones.

### 3.5 Pipeline CI/CD para actualizaciones de contenido web

**Situación actual:** Las actualizaciones de contenido web pueden realizarse de forma manual, con riesgo de errores humanos.

**Mejora propuesta:** Implementación de un **pipeline de integración y despliegue continuo (CI/CD)** basado en **GitHub Actions** o **GitLab CI**:

- **Control de versiones** de todo el código y contenido web en repositorios Git.
- **Entorno de staging automático** que se actualiza con cada push al repositorio.
- **Validación automática** del contenido antes del despliegue: sintaxis, enlaces rotos, accesibilidad básica.
- **Despliegue a producción** con un solo clic o de forma automática tras la aprobación del responsable de Mutua Intercomarcal.
- **Rollback automático** en caso de detección de errores post-despliegue.

**Valor añadido:** Mayor velocidad y seguridad en las actualizaciones de contenido, trazabilidad completa de cada cambio, y reducción del riesgo de errores humanos.

### 3.6 Hardening de seguridad

**Situación actual:** Los servidores pueden no tener configuradas todas las medidas de hardening recomendadas.

**Mejora propuesta:** Aplicación de un **plan de hardening de seguridad** basado en las mejores prácticas CIS (Center for Internet Security):

- **Revisión y endurecimiento de configuraciones** de todos los sistemas operativos (Debian y Windows Server 2022).
- **Desactivación de servicios innecesarios** y cierre de puertos no utilizados.
- **Configuración de autenticación SSH** con claves públicas (sin contraseña) y deshabilitación del acceso root remoto.
- **Implementación de listas de control de acceso (ACL)** en el sistema de archivos.
- **Auditoría de configuraciones** trimestral con herramientas automatizadas (Lynis para Linux, Microsoft Security Compliance Toolkit para Windows).
- **Gestión centralizada de vulnerabilidades** con escaneo periódico y aplicación de parches según criticidad.

**Valor añadido:** Reducción significativa de la superficie de ataque y cumplimiento de las mejores prácticas de seguridad del sector.

### 3.7 Optimización de rendimiento

**Situación actual:** El rendimiento de las aplicaciones web puede verse afectado por configuraciones no optimizadas.

**Mejora propuesta:** Implementación de **medidas de optimización de rendimiento**:

- **Configuración de caché** a nivel de aplicación (OPcache para PHP, object caching para CMS) y a nivel de servidor (Varnish o Nginx proxy cache).
- **Optimización de bases de datos:** análisis y optimización de consultas lentas, reindexación periódica, ajuste de parámetros de configuración.
- **Compresión de contenido** (gzip/brotli) y optimización de activos estáticos (imágenes, CSS, JS).
- **Análisis de rendimiento trimestral** con herramientas como GTmetrix, WebPageTest o similares, con informe de recomendaciones.

**Valor añadido:** Mejora de la experiencia de usuario con tiempos de carga reducidos y mayor capacidad de respuesta de las aplicaciones.

---

## 4. GESTIÓN FUNCIONAL — Criterio 5 (10 pts)

### 4.1 Plan de integración con el entorno existente

Entendemos que Mutua Intercomarcal dispone de una infraestructura en producción que debe seguir operando sin interrupciones durante la transición de proveedor. Nuestro plan de integración se basa en un enfoque de **migración en paralelo con corte mínimo**, asegurando la continuidad del servicio en todo momento.

#### 4.1.1 Fase de conocimiento (Semana 1-2)

- **Inventario completo** de todos los componentes: servidores, servicios, aplicaciones, bases de datos, certificados, DNS, FTPs, gateways, reglas de firewall.
- **Documentación del estado actual:** recopilación de toda la documentación existente, configuraciones, credenciales y procedimientos operativos.
- **Entrevistas con el equipo técnico** de Mutua Intercomarcal y, si es posible, con el proveedor saliente para conocer particularidades y problemas conocidos.
- **Identificación de dependencias:** mapeo de todas las interconexiones con sistemas externos (aplicaciones de gestión, proveedores, FTPs, APIs).
- **Evaluación de riesgos:** identificación de puntos críticos y definición de planes de contingencia.

#### 4.1.2 Fase de toma de control (Semana 2-3)

- **Acceso remoto seguro** a todos los componentes de la infraestructura, con credenciales gestionadas mediante un gestor de contraseñas corporativo (Bitwarden, KeePass).
- **Verificación del estado** de todos los servicios y comparación con el inventario documentado.
- **Despliegue de herramientas de monitorización** propias (Prometheus + Grafana) en paralelo a las existentes, sin interferir con la operativa actual.
- **Ejecución de copias de seguridad completas** de todos los sistemas como punto de restauración conocido.

#### 4.1.3 Fase de operación plena (Semana 4 en adelante)

- **Asumimos la gestión completa** de todos los servicios según lo definido en el PPT.
- **Implementación progresiva** de las mejoras técnicas propuestas (sección 3).
- **Establecimiento de los canales de comunicación** y reporting con el equipo de Mutua Intercomarcal.

### 4.2 Plan de migración: enfoque de mínimo impacto

Nuestro principio rector es **cero interrupciones** durante la transición. Para ello, aplicamos las siguientes estrategias:

#### 4.2.1 Migración sin downtime

- **Réplica en caliente:** Los servidores de bases de datos se replican en tiempo real desde el entorno actual al nuevo entorno durante el periodo de transición.
- **Sincronización de contenido web:** El contenido de los servidores web se sincroniza mediante rsync en intervalos cortos (cada 5-15 minutos) hasta el momento del corte.
- **Corte controlado:** El cambio de DNS se realiza de forma progresiva, reduciendo el TTL (Time To Live) con antelación para minimizar el tiempo de propagación.
- **Ventana de mantenimiento nocturna:** El corte final se ejecuta en horario de menor actividad (entre las 02:00 y las 06:00 horas de un fin de semana).

#### 4.2.2 Plan de contingencia

- **Rollback inmediato:** En caso de cualquier problema durante la migración, se restaura el entorno anterior desde las copias de seguridad completas realizadas antes del inicio.
- **Periodo de guardia reforzada:** Durante las 48 horas posteriores al corte, un técnico permanece en guardia activa con acceso remoto inmediato.

### 4.3 Gestión de cambios: facilidad y control

Nuestro sistema de gestión de cambios garantiza que toda modificación en la infraestructura sea **controlada, documentada y reversible**:

#### 4.3.1 Control de versiones con Git

- **Todo el código, las configuraciones y las plantillas** se almacenan en repositorios Git privados.
- **Ramas de trabajo diferenciadas:**
  - `main`: código en producción.
  - `develop`: código en pruebas/staging.
  - `feature/*`: nuevas funcionalidades en desarrollo.
- **Pull requests** para toda modificación, con revisión obligatoria por un segundo miembro del equipo antes de su integración.
- **Historial completo** de quién cambió qué, cuándo y por qué.

#### 4.3.2 Entornos diferenciados

- **Entorno de desarrollo (local):** donde los técnicos desarrollan y prueban cambios.
- **Entorno de staging (réplica de producción):** donde se validan los cambios antes de pasar a producción.
- **Entorno de producción:** donde opera el servicio real.

#### 4.3.3 Procedimiento de rollback

- Cada despliegue incluye un **script de rollback** que restaura la versión anterior en menos de 15 minutos.
- Los scripts de rollback se prueban en staging antes de cada despliegue a producción.
- En caso de emergencia, se puede restaurar desde la copia de seguridad completa más reciente.

### 4.4 Metodología de mantenimiento

#### 4.4.1 Mantenimiento preventivo programado

| Actividad | Frecuencia | Descripción |
|---|---|---|
| Actualizaciones de seguridad críticas | Inmediata (24h) | Aplicación de parches de seguridad críticos en todos los sistemas |
| Actualizaciones de seguridad estándar | Mensual | Parches de seguridad no críticos aplicados en ventana de mantenimiento |
| Actualizaciones de versión de CMS | Trimestral | Actualización de versiones mayores de CMS con pruebas previas en staging |
| Revisión de rendimiento | Trimestral | Análisis de métricas, optimización de consultas, ajuste de configuraciones |
| Auditoría de seguridad | Semestral | Escaneo de vulnerabilidades, revisión de reglas de firewall, análisis de logs |
| Pruebas de restauración de backup | Mensual | Restauración de prueba de las copias de seguridad para verificar su integridad |
| Revisión de certificados SSL | Mensual | Verificación de vigencia de todos los certificados del entorno |

#### 4.4.2 Ventanas de mantenimiento

- Las intervenciones que requieran parada de servicio se realizan en **ventanas de mantenimiento predefinidas**: martes y jueves de 02:00 a 06:00 horas.
- Cada ventana de mantenimiento se **comunica con al menos 72 horas de antelación** al equipo de Mutua Intercomarcal.
- Se establece un **calendario anual de mantenimiento** compartido con Mutua Intercomarcal para planificación.

### 4.5 Mínimo impacto en el entorno existente

Nuestra filosofía de trabajo se basa en **intervenir lo mínimo necesario y documentar todo**:

- **No modificamos configuraciones en producción** sin validación previa en staging.
- **No reiniciamos servicios** sin aviso previo y plan de contingencia.
- **No instalamos software nuevo** sin evaluación de compatibilidad y aprobación del responsable de Mutua Intercomarcal.
- **Respetamos la arquitectura existente:** no proponemos cambios estructurales salvo que sean estrictamente necesarios para la seguridad o el rendimiento.

### 4.6 Mínima dedicación de la oficina de proyecto de Mutua Intercomarcal

Entendemos que el equipo de Mutua Intercomarcal tiene responsabilidades propias y no debe dedicar tiempo a la gestión operativa del hosting. Por ello:

- **Nos encargamos de todo:** monitorización, actualizaciones, backups, resolución de incidencias, reporting.
- **Solo requerimos aprobación** para cambios significativos o decisiones estratégicas.
- **Informes automáticos:** recibidos mensualmente sin necesidad de solicitarlos.
- **Reuniones de seguimiento mensuales** de 30 minutos máximo, con agenda predefinida y acta enviada.
- **Canal de comunicación directo:** un único punto de contacto (nuestro responsable técnico asignado) para evitar duplicidades y confusiones.

---

## 5. GESTIÓN DE CAMBIOS E INCIDENCIAS — Criterio 6 (8 pts)

### 5.1 Gestión de incidencias

Nuestro proceso de gestión de incidencias sigue un modelo estructurado de **5 fases**, garantizando que cada incidencia se detecta, resuelve y documenta correctamente:

#### Fase 1: Detección

Las incidencias se detectan a través de múltiples vías:

- **Monitorización automática:** Los sistemas de monitorización (Prometheus + Grafana) detectan anomalías en tiempo real y generan alertas automáticas antes de que el usuario final perciba el problema.
- **Notificación del usuario:** Mutua Intercomarcal puede reportar incidencias a través del sistema de tickets, correo electrónico o teléfono.
- **Detección proactiva por nuestro equipo:** Revisión diaria de logs, métricas y estados de los sistemas.

#### Fase 2: Clasificación

Cada incidencia se clasifica según su **severidad** y **urgencia**:

| Prioridad | Descripción | Ejemplo | Tiempo de respuesta | Tiempo de resolución |
|---|---|---|---|---|
| **P1 — Crítica** | Servicio caído o inaccesible. Impacto total en los usuarios. | Web corporativa no accesible, base de datos caída, fallo de autenticación general | 30 minutos | 2 horas |
| **P2 — Alta** | Degradación significativa del servicio. Funcionalidades críticas afectadas. | Lentitud extrema, error intermitente en funcionalidad clave, fallo en un servidor de la pareja de réplica | 1 hora | 4 horas |
| **P3 — Media** | Problema que afecta a funcionalidades no críticas o a un subconjunto de usuarios. | Error en una sección específica de la web, fallo en un FTP, certificado por caducar | 4 horas | 24 horas |
| **P4 — Baja** | Consulta, solicitud de información o mejora menor. | Solicitud de cambio de contenido, consulta técnica, petición de informe | 8 horas | 72 horas |

#### Fase 3: Escalado

Si la incidencia no puede resolverse en el tiempo establecido para su prioridad, se escala automáticamente:

- **Nivel 1 (Soporte técnico):** Resolución directa de incidencias conocidas y rutinarias.
- **Nivel 2 (Administrador de sistemas):** Incidencias que requieren acceso profundo al servidor o cambios de configuración.
- **Nivel 3 (CTO / Responsable técnico):** Incidencias críticas que requieren decisiones arquitectónicas o coordinación con terceros.
- **Escalado externo:** Si la incidencia depende de un proveedor externo (hosting de terceros, proveedor de conectividad, soporte de VMware), se gestiona la coordinación con dicho proveedor en nombre de Mutua Intercomarcal.

#### Fase 4: Resolución

- Se aplica la solución validada en staging cuando es posible.
- Se documentan todos los pasos realizados.
- Se verifica que el servicio ha vuelto a su estado normal.
- Se notifica al usuario de la resolución.

#### Fase 5: Análisis post-incidente (Post-mortem)

Para incidencias P1 y P2, se realiza un **análisis post-incidente** en un plazo máximo de 5 días laborables:

- **Descripción del incidente:** qué ocurrió, cuándo, duración.
- **Causa raíz:** análisis técnico del origen del problema.
- **Acciones correctivas:** qué se hizo para resolverlo.
- **Acciones preventivas:** qué se implementa para evitar que vuelva a ocurrir.
- **Lecciones aprendidas:** documentación compartida con el equipo y con Mutua Intercomarcal.

### 5.2 Gestión de cambios

Todo cambio en la infraestructura sigue un **proceso formalizado**:

1. **Solicitud de cambio:** Documentada en el sistema de tickets con descripción, motivo, impacto esperado y plan de rollback.
2. **Análisis de impacto:** Evaluación técnica del alcance del cambio, sistemas afectados, riesgos identificados.
3. **Aprobación:** El cambio es aprobado por el responsable técnico de 23 Digital Studio y, si el impacto es significativo, por el responsable de Mutua Intercomarcal.
4. **Implementación:** Ejecución del cambio en la ventana de mantenimiento acordada, siguiendo el plan documentado.
5. **Verificación:** Comprobación de que el cambio se ha aplicado correctamente y no ha generado efectos secundarios.
6. **Cierre:** Documentación del cambio realizado, actualización del inventario y cierre del ticket.

#### Tipos de cambios

| Tipo | Descripción | Aprobación | Ejemplo |
|---|---|---|---|
| **Estándar** | Cambio rutinario, bajo riesgo, procedimiento conocido | Automática (equipo técnico) | Actualización de parche de seguridad, renovación de certificado |
| **Normal** | Cambio planificado, riesgo moderado, requiere aprobación | Responsable técnico + Mutua | Actualización de versión de CMS, cambio de configuración de firewall |
| **Emergencia** | Cambio urgente para resolver una incidencia crítica | Responsable técnico (post-facto se documenta) | Parche de vulnerabilidad zero-day, restauración de servicio |

### 5.3 Sistema de gestión de tickets

Utilizamos un **sistema de gestión de tickets profesional** (Freshdesk, Zendesk o similar) que proporciona:

- **Registro centralizado** de todas las incidencias y solicitudes de cambio.
- **Seguimiento en tiempo real** del estado de cada ticket (abierto, en curso, pendiente, resuelto, cerrado).
- **Historial completo** de cada ticket con todas las comunicaciones y acciones realizadas.
- **Notificaciones automáticas** al solicitante en cada cambio de estado.
- **Categorización y etiquetado** para análisis de tendencias y mejora continua.
- **Portal de autoservicio** para que el equipo de Mutua Intercomarcal pueda crear tickets y consultar su estado en cualquier momento.
- **SLA tracking automático:** el sistema monitoriza los tiempos de respuesta y resolución, alertando cuando se acercan los límites.

### 5.4 Canales de comunicación

| Canal | Uso | Disponibilidad |
|---|---|---|
| **Sistema de tickets (portal web)** | Canal principal para reportar incidencias y solicitar cambios | 24/7 |
| **Correo electrónico** | Comunicaciones no urgentes, informes, documentación | Horario laboral |
| **Teléfono** | Incidencias críticas (P1) fuera de horario laboral | 24/7 para P1 |
| **Reunión mensual** | Seguimiento del servicio, revisión de métricas, planificación | Mensual, 30 min |
| **Dashboard de monitorización** | Consulta en tiempo real del estado de la infraestructura | 24/7 (solo lectura) |

### 5.5 Informes periódicos

#### Informe mensual (entregado antes del día 5 del mes siguiente)

- Resumen de incidencias del mes (número, tipo, prioridad, tiempo medio de resolución).
- Cambios implementados y planificados.
- Estado de los SLAs (cumplimiento por prioridad).
- Métricas de rendimiento de la infraestructura (disponibilidad, uso de recursos).
- Estado de las copias de seguridad.
- Próximas actividades planificadas.

#### Informe trimestral

- Análisis de tendencias de incidencias (comparativa con trimestres anteriores).
- Análisis de capacidad y recomendaciones de ampliación.
- Resultados de las auditorías de seguridad.
- Estado de las mejoras técnicas implementadas.
- Propuestas de optimización.

---

## 6. SLAs Y PROPUESTA DE PENALIZACIONES — Criterio 7 (4 pts)

### 6.1 Acuerdos de Nivel de Servicio (SLA)

**23 Digital Studio S.L.** se compromete a cumplir los siguientes niveles de servicio durante toda la vigencia del contrato:

#### 6.1.1 Disponibilidad del servicio

| Métrica | Compromiso | Método de medición |
|---|---|---|
| **Disponibilidad mensual de los servicios web** | **99,9%** | Monitorización externa cada 5 minutos desde al menos 2 ubicaciones |
| **Disponibilidad de las bases de datos** | **99,9%** | Monitorización interna de procesos y conectividad |
| **Disponibilidad del servicio de autenticación** | **99,9%** | Monitorización de respuestas LDAP/AD |

La disponibilidad se calcula como: `(Tiempo total del mes - Tiempo de indisponibilidad) / Tiempo total del mes × 100`

Se excluyen del cómputo de indisponibilidad:
- Ventanas de mantenimiento programadas y comunicadas con al menos 72 horas de antelación (máximo 4 horas/mes).
- Fuerza mayor (desastres naturales, cortes de suministro eléctrico del proveedor, etc.).

#### 6.1.2 Tiempos de respuesta y resolución

| Prioridad | Tiempo de respuesta | Tiempo de resolución | Definición |
|---|---|---|---|
| **P1 — Crítica** | **30 minutos** | **2 horas** | Servicio completamente caído o inaccesible |
| **P2 — Alta** | **1 hora** | **4 horas** | Degradación severa, funcionalidades críticas afectadas |
| **P3 — Media** | **4 horas** | **24 horas** | Problema no crítico, funcionalidades secundarias afectadas |
| **P4 — Baja** | **8 horas** | **72 horas** | Consulta, solicitud de información o mejora menor |

**Tiempo de respuesta:** Tiempo transcurrido desde la detección/notificación de la incidencia hasta la primera acción diagnóstica por parte de nuestro equipo.

**Tiempo de resolución:** Tiempo transcurrido desde la detección hasta la restauración completa del servicio o la implementación de una solución temporal que permita la operatividad.

Los tiempos de respuesta y resolución se aplican en **horario laboral** (lunes a viernes, 08:00-20:00). Para incidencias P1 fuera de horario laboral, el tiempo de respuesta se mantiene en 30 minutos mediante guardia telefónica.

#### 6.1.3 Copias de seguridad

| Métrica | Compromiso |
|---|---|
| **Ejecución de backups diarios** | 100% de los días laborables |
| **Integridad de las copias** | Verificación mensual con restauración de prueba |
| **Recuperación de datos (RPO)** | Máximo 24 horas de pérdida de datos |
| **Tiempo de restauración (RTO)** | Máximo 4 horas para restauración completa |

### 6.2 Propuesta de penalizaciones por incumplimiento

Como muestra de nuestra confianza en la calidad del servicio que ofrecemos, proponemos un **régimen de penalizaciones voluntario y generoso** que garantiza a Mutua Intercomarcal la máxima protección ante cualquier incumplimiento:

#### 6.2.1 Penalización por indisponibilidad

| Disponibilidad mensual | Penalización aplicada sobre la cuota mensual |
|---|---|
| 99,9% — 99,8% | 5% de descuento |
| 99,7% — 99,6% | 10% de descuento |
| 99,5% — 99,4% | 15% de descuento |
| Inferior a 99,3% | 20% de descuento |

#### 6.2.2 Penalización por incumplimiento de tiempos de respuesta

| Incumplimiento | Penalización |
|---|---|
| Tiempo de respuesta superado (por incidente) | 2% de descuento sobre la cuota mensual por cada incidente |
| Tiempo de resolución superado (por incidente) | 3% de descuento sobre la cuota mensual por cada incidente |

#### 6.2.3 Penalización por fallos en copias de seguridad

| Incumplimiento | Penalización |
|---|---|
| Backup diario no ejecutado | 2% de descuento sobre la cuota mensual por cada backup perdido |
| Restauración de prueba fallida | 5% de descuento sobre la cuota mensual |

#### 6.2.4 Límite máximo de penalizaciones

- El **límite acumulado de penalizaciones** en un mes natural se establece en el **20% de la cuota mensual**.
- Las penalizaciones se aplicarán automáticamente en la factura del mes siguiente al incumplimiento, sin necesidad de reclamación previa por parte de Mutua Intercomarcal.
- Si en **dos meses consecutivos** se supera el 15% de penalización, Mutua Intercomarcal tendrá derecho a resolver el contrato sin penalización alguna.

#### 6.2.5 Compromiso de mejora continua

Además de las penalizaciones económicas, nos comprometemos a:

- Elaborar un **informe de análisis de causa raíz** para cada penalización aplicada.
- Presentar un **plan de acción correctiva** en un plazo máximo de 10 días laborables.
- Implementar las **medidas preventivas** acordadas en el siguiente ciclo de mantenimiento.

---

## 7. EQUIPO ASIGNADO

### 7.1 Composición del equipo

Para la ejecución de este contrato, **23 Digital Studio S.L.** asigna un equipo de **4 profesionales** con perfiles complementarios:

| Rol | Perfil | Funciones | Dedicación estimada |
|---|---|---|---|
| **Responsable técnico (CTO)** | Ingeniero informático, 11+ años de experiencia | Dirección técnica del contrato, escalado de nivel 3, relación con Mutua Intercomarcal, aprobación de cambios | 10% (4h/semana) |
| **Administrador de sistemas senior** | Especialista en Linux/Windows, VMware, redes | Administración diaria de servidores, monitorización, backups, resolución de incidencias niveles 1-2 | 60% (24h/semana) |
| **Desarrollador web / DBA** | Especialista en desarrollo web y bases de datos | Mantenimiento de CMS, optimización de bases de datos, despliegues, mejoras técnicas | 20% (8h/semana) |
| **Técnico de soporte** | Especialista en soporte IT y gestión de tickets | Atención al usuario, gestión de tickets, seguimiento de SLAs, reporting | 10% (4h/semana) |

### 7.2 Responsabilidades detalladas

#### Responsable técnico (CTO)
- Punto de contacto principal con el equipo de Mutua Intercomarcal.
- Aprobación de cambios significativos y planificaciones de mantenimiento.
- Escalado de nivel 3 para incidencias críticas.
- Revisión mensual de métricas y SLAs.
- Dirección del plan de transición y migración.
- Coordinación con proveedores externos cuando sea necesario.

#### Administrador de sistemas senior
- Administración diaria de los 3 servidores ESXi, 2 servidores de bases de datos, 6 servidores web, 2 servidores DMZ y 1 servidor de autenticación.
- Monitorización proactiva y respuesta a alertas.
- Ejecución de copias de seguridad y verificación de integridad.
- Aplicación de parches y actualizaciones de seguridad.
- Gestión de certificados SSL/TLS.
- Administración de firewalls, reglas de seguridad y DMZ.
- Gestión de FTPs, gateways y conexiones con proveedores externos.

#### Desarrollador web / DBA
- Mantenimiento y actualización de CMS (WordPress, Drupal, etc.).
- Optimización y mantenimiento de bases de datos MySQL/PostgreSQL.
- Despliegues de nuevas versiones de aplicaciones web.
- Implementación de mejoras técnicas (CI/CD, contenerización, monitorización).
- Resolución de incidencias relacionadas con aplicaciones web y bases de datos.

#### Técnico de soporte
- Gestión del sistema de tickets: recepción, clasificación, asignación y seguimiento.
- Atención telefónica y por correo electrónico.
- Elaboración de informes mensuales y trimestrales.
- Documentación de procedimientos y actualizaciones del inventario.

### 7.3 Plan de continuidad del equipo

Garantizamos la continuidad del servicio mediante:

- **Formación cruzada:** Todos los miembros del equipo conocen la infraestructura de Mutua Intercomarcal y pueden actuar como respaldo.
- **Documentación exhaustiva:** Toda la configuración, procedimientos y particularidades están documentados y accesibles para todo el equipo.
- **Sustitución garantizada:** En caso de ausencia (vacaciones, baja médica) de cualquier miembro del equipo, se asigna un sustituto cualificado sin interrupción del servicio.
- **Guardia permanente:** Para incidencias P1, existe un sistema de guardia con disponibilidad 24/7.

---

## 8. PLAN DE TRANSICIÓN Y DEVOLUCIÓN DE SERVICIO

### 8.1 Plan de transición de entrada (Transition-In)

#### 8.1.1 Objetivos

- Asumir la gestión de la infraestructura de Mutua Intercomarcal **sin interrupciones del servicio**.
- Obtener el conocimiento completo del entorno en el menor tiempo posible.
- Establecer los procesos de gestión de cambios, incidencias y reporting desde el primer día.

#### 8.1.2 Cronograma estimado

| Fase | Duración | Actividades principales |
|---|---|---|
| **Fase 1: Conocimiento** | Semana 1-2 | Inventario, documentación, entrevistas, evaluación de riesgos |
| **Fase 2: Paralelismo** | Semana 2-3 | Despliegue de monitorización propia, acceso a sistemas, backups iniciales |
| **Fase 3: Asunción** | Semana 3-4 | Toma de control operativo, primeras intervenciones, establecimiento de SLAs |
| **Fase 4: Estabilización** | Semana 4-8 | Optimización, implementación de mejoras, revisión conjunta con Mutua |

#### 8.1.3 Actividades detalladas

**Semana 1:**
- Reunión de kickoff con el equipo de Mutua Intercomarcal.
- Solicitud de accesos y credenciales.
- Inicio del inventario de activos.
- Revisión de la documentación existente.

**Semana 2:**
- Finalización del inventario.
- Acceso a todos los sistemas y verificación del estado.
- Despliegue de herramientas de monitorización propias.
- Ejecución de copias de seguridad completas de referencia.
- Reunión de revisión del inventario con Mutua Intercomarcal.

**Semana 3:**
- Inicio de la gestión operativa de incidencias.
- Aplicación de parches de seguridad pendientes.
- Configuración de alertas y umbrales de monitorización.
- Establecimiento del sistema de tickets.

**Semana 4:**
- Asumimos la gestión completa del servicio.
- Primer informe mensual.
- Primera reunión de seguimiento mensual.
- Inicio del plan de mejoras técnicas.

### 8.2 Plan de transición de salida (Devolución del servicio)

En cumplimiento de lo establecido en el PPT y en las aclaraciones al pliego, nos comprometemos a un **plan ordenado y completo de devolución del servicio** al finalizar el contrato o en caso de resolución anticipada:

#### 8.2.1 Principios de la devolución

- **Continuidad del servicio:** La devolución se planifica y ejecuta sin interrupciones.
- **Entrega completa:** Se entrega toda la documentación, configuraciones, credenciales y datos.
- **Cooperación con el nuevo proveedor:** Colaboramos activamente con el equipo que nos suceda.
- **Plazo de transición:** Mínimo 2 meses desde la notificación de finalización.

#### 8.2.2 Actividades de devolución

1. **Inventario actualizado:** Entrega de un inventario completo y actualizado de todos los componentes de la infraestructura, incluyendo hardware, software, versiones, configuraciones y dependencias.

2. **Documentación técnica completa:**
   - Diagramas de arquitectura y red actualizados.
   - Configuraciones de todos los servidores y servicios.
   - Procedimientos operativos estándar (SOP).
   - Historial de cambios y mantenimientos realizados.
   - Informes de incidencias y resoluciones.

3. **Entrega de credenciales y accesos:**
   - Relación completa de todas las credenciales de acceso (servidores, bases de datos, CMS, FTPs, paneles de control, certificados).
   - Transferencia de la propiedad de dominios, certificados SSL y cuentas de servicios de terceros.

4. **Copias de seguridad finales:**
   - Ejecución de copias de seguridad completas de todos los sistemas antes de la fecha de entrega.
   - Entrega de las copias en formato accesible al nuevo proveedor.
   - Verificación de integridad de las copias de seguridad.

5. **Sesión de transferencia de conocimiento:**
   - Al menos 2 sesiones de trabajo con el nuevo proveedor o el equipo interno de Mutua Intercomarcal.
   - Revisión de la arquitectura, particularidades del entorno, problemas conocidos y recomendaciones.
   - Documentación de FAQ y particularidades no documentadas.

6. **Periodo de soporte post-entrega:**
   - Disponibilidad para consultas durante **30 días posteriores** a la fecha de entrega.
   - Resolución de dudas y apoyo en la transición al nuevo proveedor.

#### 8.2.3 Cronograma de devolución

| Fase | Duración | Actividades |
|---|---|---|
| **Preparación** | Semanas 1-2 | Actualización de documentación, inventario final, copias de seguridad completas |
| **Transferencia** | Semanas 3-5 | Sesiones de transferencia de conocimiento, entrega de credenciales, acompañamiento al nuevo proveedor |
| **Cierre** | Semanas 6-8 | Resolución de incidencias pendientes, soporte post-entrega, acta de cierre |

#### 8.2.4 Acta de entrega

Al finalizar el periodo de transición de salida, se elaborará un **acta de entrega** firmada por ambas partes que documente:

- Estado de la infraestructura en el momento de la entrega.
- Documentación entregada.
- Credenciales transferidas.
- Copias de seguridad verificadas.
- Incidencias pendientes y su estado.
- Observaciones y recomendaciones.

---

## ANEXO: RESUMEN DE PUNTUACIÓN ESPERADA

| Criterio | Puntos máximos | Puntos esperados | Justificación |
|---|---|---|---|
| **C1: Antigüedad (10+ años)** | 8 | **8** | Constituida en noviembre de 2014 (11+ años) |
| **C2: ISO 27001** | 4 | 0 | No disponible |
| **C3: ENS** | 6 | 0 | No disponible |
| **C3: Planteamiento global y calidad** | 10 | **8-10** | Solución detallada, específica para la infraestructura de Mutua, con metodología ITIL |
| **C4: Mejoras técnicas** | 5 | **4-5** | 7 mejoras concretas y aplicables (backup off-site, Grafana, SSL auto, Docker, CI/CD, hardening, optimización) |
| **C5: Integración con entorno existente** | 10 | **8-10** | Plan de migración detallado, mínimo impacto, mínima dedicación del cliente |
| **C6: Gestión de cambios e incidencias** | 8 | **6-8** | Proceso completo de 5 fases, sistema de tickets, informes periódicos |
| **C7: SLAs y penalizaciones** | 4 | **3-4** | SLAs generosos con penalizaciones voluntarias significativas (hasta 20% mensual) |
| **TOTAL TÉCNICA OBJETIVA** | 18 | **8** | — |
| **TOTAL TÉCNICA JUICIO DE VALOR** | 37 | **29-37** | — |
| **TOTAL TÉCNICA** | 55 | **37-45** | — |
| **ECONÓMICA** | 45 | **Variable** | Depende del precio más bajo ofertado |

---

**FIN DE LA MEMORIA TÉCNICA**

Documento generado para el expediente **2026/LIC/0014** — Mutua Intercomarcal MATEPSS Nº 39
Licitador: 23 Digital Studio S.L. (CIF B23739055)
Fecha: Abril 2026