DIRECTIVADECONTRATACIÓNPÚBLICANºXX

RECOMENDACIONESPARALACONTRATACIÓNDESERVICIOSENLANUBE

1. CONTEXTOGENERAL

LasDirectivasdeContrataciónsonorientacionesyrecomendacionesgenerales,elaboradasporlaDirección de Compras Públicas –en adelante, DCCP-, de acuerdo con su función asesora delartículo30letraa),delaLeyN°19.886.

Son lineamientos no vinculantes para los órganos públicos y los proveedores, pero su adhesióncomobuenasprácticasfavoreceunamejorgestióndelosprocesosdecompra,dentrodelmarcolegalvigente.

En 2015, consciente de las particularidades que se observan en la contratación de bienes yservicios relacionados con tecnologías de información, la DCCP elaboró la Directiva N°24,entregando pautas para la contratación de bienes y servicios relacionados con tecnologías deinformación.

Sin embargo, se ha considerado oportuno profundizar las materias específicas relativas a lacontratacióndeserviciosenlanube(tambiénllamadosservicios“cloudcomputing”).

ParaelaborarestaDirectiva,serecibieronaportesdeórganospúblicos-entreotros,laDivisióndeGobiernoDigitaldelMinisterioSecretaríaGeneraldelaPresidenciaeInvestChile-,ydelresultadodeunaconsultapúblicaabiertaalacomunidad.

CabeagregarqueestaDirectivarecogesóloaquellaspropuestasqueseencuentrandentrodelacompetenciaasesoradelaDCCP,excluyéndoselasquecorrespondanamateriaspropiasdeleyodemodificaciónreglamentaria.

2. OBJETIVODELADIRECTIVA

EstaDirectivadeContrataciónbuscaentregarpautasylineamientosgeneralesalosorganismosdela Administración del Estado para que la evaluación y adquisición de servicios cloud seanadecuadosalpropósitoqueserequierecumplir,seaneficientesensentidoeconómicoyparaquelosriesgossobrelainformaciónysusactivosseanadecuadamentegestionados.

3. DEFINICIONES

Cloudcomputingesunmodeloparahabilitaratravésdelaredaccesoubicuo,convenienteybajodemandaaunconjuntocompartidode recursos informáticosconfigurables (porejemplo, redes,servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente provistos yliberadosconunmínimoesfuerzodegestiónointeracciónconelproveedorcloud1.

Paracalificarunserviciocomocloud,destacanlassiguientescaracterísticas:

1NIST:NationalInstituteofStandardsandTechnology,UnitedState,DepartmentofCommercehttp://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

1. Autoserviciobajodemanda:Elclientepuedecontratarsólolosserviciosquerequiereycuandolosnecesite,sintenermayorinteracciónconelproveedor.

2. Amplioaccesoa laRed: Los serviciosquedandisponibles ampliamenteacordea lasreglasdeaccesoquesedefinan,pudiendogenerar recursoscompartidosdemanerasencilla.

3. RecursosCompartidos: Los recursos tecnológicosdelproveedor sonagrupadosparaserviramúltiplesclientes, siendoasignadosy reasignadosde formadinámicaybajodemanda.

4. Elasticidad:Lascapacidadesrequeridassepuedenasignaryretirardeformaelásticay, a menudo, automáticamente, respondiendo de forma flexible a la demanda derecursosdelosclientes.

5. Serviciomedido:Se aprovecha la capacidad demedición en algún punto apropiadodelservicioparapermitiralclienteconsumirsóloloquenecesita.

Enlaactualidad,seadviertenlossiguientesmodelosdeservicio,comoprincipales,sinperjuiciodequeexistanotrososecombinen:

1. InfraestructuracomoServicio(IaaS):Serviciosqueentreganalmacenamientobásicoycapacidadesdecómputocomoserviciosestandarizadosenlared,servidores,sistemasde almacenamiento, conexiones, enrutadores y otros sistemas virtualizados paramanejartiposgeneralesdecargasdetrabajo.

2. Plataforma como Servicio (PaaS): Servicios en los que se ofrece todo lo necesariopara soportar el ciclo de vida completo de construcción y puesta en marcha deaplicacionesy servicioswebdisponiblesen Internet. Eneste tipodeplataformas losdesarrolladorespuedenconstruire implementaraplicacioneswebenproducciónsintenerqueinstalarningunaherramientaadicional.

3. Software como Servicio (SaaS): Aplicación completa ofrecida como un servicio bajodemanda, víamulti-tenancy,que significaqueexisteuna sola instanciadel softwareque se ejecuta en la infraestructura del proveedor y sirve a múltiples clientes. Lasaplicaciones que suministran estemodelo de servicio son accesibles a través de unnavegadorwebodecualquieraplicacióndiseñadaparatalefectoyelusuarionotienecontrol sobre ellas, aunque en algunos casos se le permite realizar algunasconfiguraciones.

Porúltimo,existenlossiguientesmodelosdeimplementación:

1. Nubepública:Elproveedorespropietariodela infraestructuray losrecursoslógicosqueformanpartedelentornoyestándisponiblesparaelpúblicoengeneralatravésdeInternet.

2. Nubeprivada:Lainfraestructuradelanubeseaprovisionaparausoexclusivodeunaúnicaorganizaciónquecomprendemúltiplesconsumidores(porejemplo,unidadesdenegocio).

3. Nubecomunitaria:Lainfraestructuraenlanubeseaprovisionaparausoexclusivodeuna comunidad específica de consumidores de organizaciones que compartenobjetivos(porejemplo,misión,requisitosdeseguridad,políticayconsideracionesdecumplimiento).

4. Nubehíbrida:Esteesuntérminoamplioqueimplicalautilizaciónconjuntadevariasinfraestructuras en la nube de cualquiera de los tres tipos anteriores, que semantienen como entidades separadas, pero que a su vez se encuentran unidas portecnología estandarizada o propietaria, proporcionando portabilidad de datos yaplicaciones.

4. RELACIÓNCONOTRASDIRECTIVAS

Elpresentedocumentoylasdirectivasqueacontinuaciónseindividualizan,debenseranalizadasen forma armónica y complementaria. Al respecto, se espera que las entidades compradorasapliquenlasrecomendacionesallícontenidasdemaneracoherenteeintegral:

- DirectivaN°24: Instruccionespara la contratacióndebienesy servicios relacionadoscontecnologíasdelainformación.

- DirectivaN°26:Recomendacionesparaunamayoreficienciaenlacontratacióndebienesyservicios.

- Directiva N°27: Recomendaciones para favorecer la generación de datos abiertos en lacontrataciónpública.

- DirectivaN°29:Recomendacionespararealizarcomprasconjuntasdebienesyservicios.

5. PRINCIPIOSAPLICABLESALACONTRATACIÓNDESERVICIOSENLANUBE

Los procesos de compra pública y sus contratos deben desarrollarse respetando principiosrectores como la estricta sujeción a las bases de licitación, la libre concurrencia al proceso y laigualdaddelosoferentes.Apartirdeellos,lascláusulasdeuncontratonopuedencontradecirlodispuesto previamente en las bases de licitación; los procesos de compra no deben presentarbarrerasdeentradaque impidanofertar;y laentidadpúblicacompradoranodebedarun tratoarbitrariamentediscriminatorioalosoferentes.

Tratándose de la contratación de servicios en la nube, además, se debe tener en cuenta otrosprincipios relevantes, como la eficiencia, la legalidad, la neutralidad tecnológica y la seguridad,útiles para orientar la redacción e interpretación de las bases de licitación, los términos dereferencia,lasintencionesdecompradeconveniosmarcoyloscontratos.

Principiodeeficiencia

LatecnologíaimpactapositivamenteenlaformaenquelosórganosdelaAdministracióndelEstados ejercen sus funciones, con plena consonancia con los principios de eficacia yeficiencia,consagradosenelartículo3°delaleyN°18.575,OrgánicaConstitucionaldeBasesGeneralesdelaAdministracióndelEstado,yenparticularparalatecnologíacloud,enlaquela eficiencia computacional, productode sus características intrínsecas, genera importantesahorrosquesetraducenhabitualmente,nosoloenmenorescostos,sinotambiénenmayorrapidezdedesarrollode las soluciones, siendo importante considerarpositivamentedichosaspectosparalacontratacióndeserviciosenlanube.

Principiodelegalidad

DeacuerdoconelprincipiodelegalidadlosorganismosdelaAdministracióndelEstadosólopueden actuar dentro de sus competencias legales, ciñéndose a las normas de la ley N°19.886(enadelanteLeydeCompras),tantoeneldesarrollodelprocesodecompracomoenla ejecución del contrato. Si no lo hicieran, su actuación sería nula, exponiéndose losfuncionariosinvolucradosalassancionesquecontemplaelordenamientojurídico.

Asimismo,la legalidadimponelímitesalusodelatecnología,quedebenserrespetadosporlas partes, principalmente para proteger derechos de las personas. Por esa razón, debetenerse presente que las restricciones legales no pueden desconocerse en los contratos niinfringirse al utilizar el servicio cloud computing. (Por ej. un órgano público no puedecontratarmás allá de sus competencias legales, el servicio de software paramonitorear elcomportamiento de los funcionarios públicos en el lugar de trabajo o para interceptar lascomunicaciones privadas de los ciudadanos, ya que con ello se vulnerarían sus derechosfundamentales).

En tal contexto, los proveedores de servicios tecnológicos deben tener presente que susclientesdelsectorpúbliconogozandelosmismosnivelesdeflexibilidadquesusclientesdelsectorprivado.Amododeejemplo:

- Si los organismos públicos no tienen expresamente asignada la facultad de someter lasdiferencias contractuales a un arbitraje, no podrán suscribir contratos que contengancláusulasendichosentido;

- Los organismos públicos no pueden eximir o limitar la responsabilidad directa delproveedorincumplidor,porqueimplicaríaunarenunciaanticipadadederechosporpartedelorganismopúblico;

- La aplicación demultas o el cobro de garantías no es opcional, sino que responde a laaplicacióndelascláusulascontractuales,dondesevincularánestasmedidasconcretasdemultas, cobros de garantía o términos anticipados del contrato, según la gravedad, enespecial, según acuerdos de nivel de servicio objetivos, medibles y directamenterelacionadosconlasprestacionescontratadas(VéaselaDirectivaNº24,antescitada).

- Los organismos públicos no pueden comprometer en las bases o en los contratosindemnizacionesafavordelosproveedores,encasodetérminosanticipados.

Principiodeneutralidadoimparcialidadtecnológica

Los procesos de compra de servicios en la nube no deben dar preferencia a tecnologíaespecífica alguna, favoreciendo o perjudicando expresamente a un tipo de tecnología porsobreotra.

Según este principio, en caso de ser necesario optar por alguna tecnología concreta, sedeberá justificar fundadamente que la selección de esa tecnología fue imparcial y objetiva(Por ej. cuando el órgano comprador necesite contratar un servicio cloud que utilice unatecnologíaespecíficacompatibleconsu infraestructura local,comoOpenStackoEucalyptus,podría justificar laexclusióndeotras tecnologíasdistintasa las requeridasen lasbasesporrazonesdecompatibilidadtécnicaparaoperar).

Para respetar el principio de neutralidad se recomienda evitar la mención de marcasespecíficasenlasbasesdelicitaciónyevitarsolicitarespecificacionestécnicasalamedidadeproductostecnológicosconcretosenque,aunquenosemencioneunamarca,enlaprácticasolo podrían participar pocos oferentes. Además, se sugiere evitar en las basesreglamentacionesexcesivasqueimpidanolimitenlaparticipacióndedeterminadosoferentesque,portenerofertasestandarizadas,nopodránadaptarseadefinicionestanespecíficas.

Es preferible aludir a estándares técnicosmás que a unamarca propietaria, a elementos aconsiderar más que a normas específicas, a fin de propiciar una mayor participación depotencialesproveedoresdelEstado.Enelcasodelastecnologíascloud,existeelconceptode“cloud-neutral”, es decir, tecnología que puede operar en los servicios cloud de distintosproveedores, incluso nubes privadas o locales. (Por ej. al utilizar un modelo IaaS,habitualmente es posible “exportar” las instancias para utilizarlas en otra infraestructura,perocuandosecontrataenmodalidadSaaSnosiemprepuedenejecutarseunainstancialocalocambiardeproveedor).

En el caso de tratos directos, se pueden solicitar productos de marcas específicas. Sinembargo, se sugiere no olvidar los beneficios de la neutralidad tecnológica, al ampliar laposibilidadderecibirofertas.

En definitiva, la neutralidad favorecemayor competencia ymás participación, permitiendoofertas por un mayor número de productos y, eventualmente, se puede acceder a más

soluciones que atiendan correctamente el requerimiento, garantizando un trato igualitariohacialosactoresdelmercado.

PrincipiosdeSeguridadenlaNube

Debe recordarse que los usuarios de servicios cloud necesitan garantías de que los riesgosasociados al almacenamientode sus datos y ejecuciónde sus aplicaciones enun ambientecloud son comprendidos y gestionados adecuadamente (más información en el apartado“GestióndeRiesgosasociadosalacontratacióndeserviciosenlanube”).

Al ser responsabilidad del proveedor la implementación de algunas de estas medidas, loscriteriosdeseguridadutilizadosporéstedebenserreconocidos,transparentesyverificables.Paraello,elórganocompradorpuederecurriraauditoríasosolicitarcertificacionesexternasvinculadasalcumplimientodeesascaracterísticas.

Algunosaspectosdeseguridadaconsiderarson:

- Contar con seguridad física y lógica, controles de acceso, identidad y autenticaciónrobustos:Seesperaque loscentrosdedatosesténconstruidosbajoaltosestándaresdeseguridad para proteger la información de las entidades, ante ataques y accesos noautorizados.Elaccesoatodaslas interfacesdeserviciodebeestarrestringidoapersonalesencial para su operación, sujetos a autenticaciones y autorizaciones suficientes, paraprevenir cambios no autorizados,modificacióndedatos, denegaciónde servicio u otrasamenazas.

- Protegerlosactivosdeinformaciónydatos,tantoentránsitocomoenreposo:Losdatos,activosyredesdebenestaradecuadamenteprotegidoscontralamanipulación,espionaje,pérdidaodaño.Enespecialseesperacontarconelcifradodedatosparamitigarriesgosdepérdidadeconfidencialidad.

- Considerar seguridad operacional, del personal y de subcontratistas: El proveedor delservicio debe contar con medidas de seguridad acorde al riesgo de sus procesos yestablecer procedimientos para garantizar la seguridad en la operación del servicio,incluyendolagestióndesupersonalydelossubcontratistasqueutilice.

- Demostrar gestión segura de los clientes, incluyendo separación de los mismos ypromocióndelusosegurodelservicio:Elproveedordebepromoverelusosegurodesusserviciosporpartedesusclientes,transmitiendodeformaclaralasresponsabilidadesdecada parte cuando se use un servicio en la nube. Entre las medidas a adoptar por elproveedorsueleconsiderarselaseparacióndelosclientes.

- Proveerinformacióndeauditoríasalosclientes:Esimportanteproporcionaralosclientesdeservicioscloudherramientasque lespermitanacceder,razonablementeyrespetandopolíticas de confidencialidad, a los registros de auditoría necesarios para controlar elaccesoasuservicioylosdatoscontenidosenél.

- Implementar ciberseguridad: En servicios cloud es importante ejecutar una estrategia,

tanto proactiva como preventiva,monitoreando constantemente las redes y centros dedatos, para mitigar ciberataques, en forma concordante con la Política Nacional deCiberseguridaddeChilequeseencuentrevigente.

- Reportarincidentesdeseguridad:Elproveedordebetransparentaralclienteinformacióndetallada sobre los incidentes de seguridad que afecten el servicio contratado o a lainformacióndeésteyadoptarmedidasparamitigarlosposiblesdañosresultantes.

6. PAUTASPARALOSPROCEDIMIENTOSDEADQUISICIÓNYEJECUCIÓNDELOSSERVICIOS

Acontinuación,secontienenpautasaaplicarenlacontratacióndeservicioscloud,clasificadasdeacuerdoconlasdistintasetapasdelciclodecompra:6.1.-PAUTASPARALAFORMULACIÓNDELREQUERIMIENTO:

Serecomiendaquelaformulacióndelrequerimientodecontratacióndeservicioscloudtomeen cuenta los lineamientos definidos en la citada Directiva N°24, junto con las siguientesrecomendacionesespecíficasparaservicioscloud:

Estrategia

Se recomienda que las contratacionesmás complejas de tecnologías de información esténasociadas a una estrategia previa, validada por las jefaturas superiores del Servicio. Ellofavorece procesos de compra alineados con los objetivos estratégicos de la institución,evitandoquesetransformenenproyectosaislados,aunqueparezcanbeneficiosos.

Ello significa que la estrategia no puede depender únicamente del área tecnológica de laorganización. Además, exige que dichas áreas de tecnologías de información conozcan latotalidaddelasbasesadministrativas,nosólolosaspectostécnicos,yaqueenellastambiénparticipanotrasunidadescomolasáreasjurídicasydecompras.

Enparticular,paralassolucionescloudserequiereevaluarsiestratégicamentesonidóneasalproblemaque sedesea resolver. Existen características clavequepermiten identificar siundeterminadoproceso es apropiadopara trasladarlo a entornoscloud. Algunos ejemplos deprocesosidóneosparaimplementarenmodalidadcloudson:

- Cargasde trabajo impredeciblesoconpotencialdecrecimientoexplosivo. Enparticular,aplicacionesaltamentepopularessebeneficiandedisponerdecapacidaddecrecimientoelásticaparanoservíctimasdesupropioéxito.

- Fluctuacionesdecargapredeciblesdurantelosperíodosdealtademanda.Sihaydemandacon horas peak claramente definidas, es posible aumentar la capacidad sólo para esashorasyasíahorrarrecursosdurantelashorasdebajademanda.

- Fácilparalelizacióndeltrabajo,permitiendounescalamientohorizontal,másquevertical.Por ejemplo, procesamiento paralelo como streaming, codificación de video, solicitudesdecontenidoestático,entreotros,permitenutilizarmúltiplesinstanciasdeprocesamientoenlugardeunasolagranmáquina.

- Disponibilidaddeambientesdecontingencia.Lanubeesunmedioidealparadisponerdeinfraestructura para algunos eventos de continuidad, puesto que se puede conservarambientesamenorescalaquelosambientesdeproducciónconelobjetivodeminimizarlasinterrupciones,ysóloactivarloscuandoseanecesario,sinincurrirenelcostoperiódicodemantenerlostodoeltiempodisponible2.

Delmismomodo,hayciertascaracterísticasdealgunosprocesosquehacenquelasventajasdellevarlosacloudnoseantanclaras,como,porejemplo,aplicacionesquedemandenmuybaja latencia o requieran hardware especializado. Hay ocasiones donde se puedenreemplazar algunos servicios de estas características por servicios que operen de formaadecuadaenambientescloud(porejemplo,unservidorNFSqueoperaríadeformadeficiente

2 Paramás ejemplos de otros flujos de trabajo idóneos para la nube, revisar laGuía Cloud,disponibleenhttp://digital.gob.cl/guiacloud

enlanubepuedeserreemplazadoporrecursostipoS3oGluster,quepermitenimplementarunafuncionalidadequivalente),peroestodebeseranalizadocasoacasoporelorganismo.

Alcance

Dentrodeldiseñodelrequerimientodeunprocesocomplejodecompradetecnologíacloudesnecesariodefinirsualcance,desdedistintasperspectivas.ParaelloserecomiendaaplicarloslineamientosdefinidosenlaDirectivaN°24,ademásdelossiguientes:

- Revisar las experiencias de otros organismos en migración o uso de tecnologías cloud,aunquesinqueestoseconviertaenunabarreradeentradaparalosoferentes.

- Identificar qué restricciones técnicas imponen sus sistemasde información actuales a lasolucióncloudquesedeseeadquirirycómointeroperaríanentreellas.

- Analizar la capacidad interna de la Entidad para la gestión de un proyecto deimplementación o migración, si es el caso. No hay que olvidar que el éxito de estosproyectosrequierelacolaboracióndelpersonaldelórganopúblico.

Apartirdetodo loanteriorseevitanproyectosconalcancedifusoquegenerandificultadesdurantelaimplementación.

Consultaalmercado(RFI)

Unadelasprincipalesdificultadesconqueseencuentranlosorganismospúblicosenlaetapaprecontractual, en procesos de contratación de servicios en la nube, es ignorar aspectostécnicos necesarios y suficientes para definir su requerimiento, a partir del nivel deconocimiento inicial que poseen sobre elmercado actual. Es de particular atención que elmercadoenlanubeesmuydinámico,ycuentaconunaampliagamadeservicios,porloquehayqueevaluar cuidadosamente lasofertasquepresenta la industriapara laproblemáticaque se desea solucionar, siendomuy importante plantearla de forma clara y precisa, parafacilitar una correcta presentación de las posibles soluciones disponibles, aplicando elprincipio de neutralidad tecnológica y no atentando contra la libre competencia entre losdiversosoferentesdelmercado.

Lanormativadecomprasexigequeenlicitacionesdondelaevaluacióndeofertasrevistagrancomplejidad–queseríaelcasodeestoscontratos-,conanterioridada laelaboraciónde lasbases, las entidades licitantes realicen un análisis técnico y económico acerca decaracterísticasquerequieranparalaconfeccióndelasbases,talescomo:

- Lascaracterísticasdelosbienesyserviciosrequeridos;- Suspreciosyformasdepago;- Loscostosasociados;- Eltiemposuficienteparalapreparacióndelasofertas;- Alternativasparasolucionarelproblema;- Posiblesreglasparaevaluarpropuestas;- PerfildelaContraparteInstitucionalparaadministraresteservicio;- Tiemposdereferenciadeimplementacióndelasolución;- CondicionesparaeltérminoanticipadodeContrato;- Incumplimientos.

Esteanálisistécnicoyeconómicopuederealizarseatravésdeconsultasalmercado–RFI-,uotromecanismo,comoinformesinternosespecializados.

Como resultado de consultar al mercado, el órgano público puede recibir comentarios yrespuestas de un universo suficiente y representativo de los eventuales oferentes, queaclaren sus dudas, confirmen aspectos definidos por la estrategia y el alcance y,fundamentalmente, le permitan contar con información adecuada para formular

correctamente su requerimiento,en lasbasesde licitaciónoen los términosde referencia,segúncorresponda.

Gestióndelosriesgosasociadosalacontratacióndeserviciosenlanube

Se recomienda realizar un proceso de gestión de riesgos para evaluar y contrastar losbeneficiosdeutilizarservicioscloudconlosriesgosqueconlleva,incluyendotantolosriesgostecnológicos, legales, la reputación (goodwill) y los de negocio. Se sugiere realizarlo comoparte de la formulación del requerimiento y de forma estratégica, para luego revisar endetalleelcasoparticulardecadaposibleproveedor.

Además,serecomiendarevisarcondetenimientoloscontratosdeprestacióndeservicios,yqueéstosespecifiquenclaramente lasmitigacionesa losriesgos identificadosy lasmedidasdeseguridadutilizadasparaprotegerlosdatosdelServicio.Además,tratándosedeproductoso servicios estandarizados, se sugiere analizar si cumplen los aspectos técnicos mínimosrequeridos en este sentido. También se sugiere prestar especial atención en la jurisdicciónaplicable a los servicios contratados, considerando temas como la naturaleza de los datostratados (en particular si se trata de datos personales), propiedad de los activos, leyes yregulacionesnormativasaplicables,responsabilidadescontractuales,interoperabilidaddelossistemas,entreotros.

Adicionalmente,esnecesariotenerespecialconsideracióndelaestimaciónpresupuestariayel eventual riesgo de una planificación inadecuada de la capacidad. Especialmente eninfraestructurascloud,dadasunaturalezadeserviciobajodemanda,noesdifícil llegaraunpuntoenelquesepidemáscapacidaddelopresupuestadoy,comoconsecuencia,elcostollega a exceder el presupuesto original. Para evitarlo, se sugiere realizar una buenaplanificación de la capacidad, reservar capacidad con anticipacióno adoptar otrasmedidasque permitan definir en el contrato valores de crecimiento de manera flexible, que noobliguennecesariamentearealizarunnuevoprocesodecompra.

Enalgunoscasoselórganopúblicopuederequerircertificacionesyauditoríasdeterceros.Enesecasoserecomiendadeterminarcuálesdeesascertificacionesoauditoríassonrelevantesoútilesparalosfinesdelprocesodecompraydelcontrato.Cabedestacarqueelalcancedealgunascertificacionesoauditoríaspuedeestaracotadosóloaciertosprocesosespecíficos,porloqueserecomiendasolicitartodoslosantecedentesqueseannecesariosparagarantizaradecuadamentelaconfianzaenestascertificacionesoauditorías.

En caso de que el órgano público necesite auditorías específicas, se recomienda indicarclaramenteenlasbasesoelcontratoquiénasumeelcostodelasmismas,quiénseleccionaalauditor, bajo qué condiciones se realizan, y si alcanzan solo al proveedor o también a suscasasmatricesofiliales.

Finalmente,sesugiereconsideraraspectosrelevantesalagestióndesalida,enelprocesodeterminación de un contrato de prestación de servicios, revisando temas como la duraciónmáxima o mínima predefinida de los contratos, la posibilidad de finalizar el contratoanticipadamente,elplazodeavisonecesarioparalaterminación,eltratamientoposteriordelos datos, incluyendo registros y metadatos, detallando el tiempo durante los cuales seconservarán los datos por parte del proveedor del servicio cloud, luego de terminado elcontrato,ylaobligacióndeeliminarlosunavezvencidodichoplazo.

AlgunosejemplosdecláusulasquesepuedenaplicarenestoscontratosseencuentranenelanexodeestaDirectiva.

Definicióndelrequerimiento(descripciónycaracterización)

Se recomienda seguir los lineamientos establecidos en la Directiva N° 24. La correctadefinicióndelrequerimientopermite:

- EntregarclaridadalosproveedoressobrelasnecesidadesdelServicio;- Recibirofertasmejororientadasalasexpectativasdelórganocomprador;- Facilitarlainterpretacióndelcontratocuandocomiencesuejecución;y- Disminuir el riesgo de compras mal dimensionadas, que provocan un uso poco

eficientedelosrecursospúblicos.Ladescripcióndelrequerimientotienequequedarreflejadaclaramenteenlasbasestécnicas,enlostérminosdereferenciaoenlaintencióndecompra–siesunagrancompradeconveniomarco-,considerando,alomenos,lossiguientesaspectos:

- Descripcióndelorganismocontratante.

Esimportantequelosproveedoresconozcanalórganopúblicocontratante,porquesueleexistirdesconocimientorespectodelasfuncionesquerealizan,suestructura,sudotación,etc.

- Descripcióndelproblemaonecesidadqueseesperaresolverconlacontratación.

Con ello se busca transparentar las expectativas del órgano contratante y que losproveedoreselaborenpropuestasdemejorcalidad.Enestepunto, indiquesi lascaracterísticasde losserviciosaadquirirpermitiráncumplirobjetivos mayores, como la interoperabilidad de los sistemas, la portabilidad de lassolucionesoel intercambiode informacióna travésdeestándaresabiertosydegeneralaceptaciónporlaindustria.

- Serviciorequerido.

Encasodequeelcontratocomprendamásdeunaprestación(solucionesintegrales),hayqueindicarlastodasconclaridad.Esimportantedeclararelmodelodeservicioyelmodelodeimplementaciónrequeridosclaramente.

- Alcancedelbienoserviciorequerido.

En la medida que los proveedores conozcan datos suficientes para dimensionar lacontratación, talescomo, la coberturaesperada, laduracióndelproyecto, lavinculaciónconotrossistemas,pormencionaralgunos,esfactibleesperarbuenasofertas.

- Acuerdosdeniveldeservicio(SLA)definidos.

LosSLAconstituyencláusulas fundamentalespara laejecucióndelcontrato,por tratarsede compromisos exigibles, medibles y demostrables. Por tanto, es necesario que elrequerimientoseaclaroalrespecto,paraquepuedanofertaraquellosproveedorescloudqueseencuentranenrealescondicionesdesatisfacerdichosniveles,quediganrelaciónconlagravedadyesténdirectamenterelacionadosconlosserviciosquesevanaproveer.Asimismo, pueden darse pautas generales con los criterios señalados que pueden sercomplementadosconaspectosespecíficosencadaoferta.

- Recursosinstitucionalesdisponibles.

Losproveedorespuedenelaborarofertaseconómicamentemásconvenientes,siconocenla situación del órgano contratante respecto de los recursos con que ya dispone(infraestructura,personal,bienes,documentación,etc.),yaquenotendríaque incluirlosdentrodesuscostos.

- Principalesrestriccionestécnicasynormativas.

Es importante que el requerimiento indique las principales restricciones técnicas ynormativas que afectan al proyecto, para que los proveedores elaboren sus ofertasinformadosdetalsituación.Se sugiere revisar cuáles son las normas y estándares técnicos vigentes (Por ej. paratransferenciayalmacenamientodocumentalelectrónico;sobreaccesibilidadapersonasensituacióndediscapacidad;paradatosabiertos;yparaimplementarmedidasdeseguridaddesistemasdeinformación,entreotras).

- Sistemascomplementarios.

Indique si el proyecto a contratar incide en otros sistemas de la institución o externos,para que las ofertas incluyan acciones de integración -si son necesarias-, proyecteneventualesriesgosypuedanconsiderarmedidasalrespecto.

- Principaleshitosoplazosdelproyecto.

Esimportantetransparentarsuestimaciónrespectodeladuracióndelproyecto,teniendopresenteque,enciertoscasos, laurgenciaolosplazosmuyexigentespuedenderivarenmayores riesgos, en preciosmás altos a los que se acostumbran en elmercadoo en eldesincentivo de participar cuando no resultan realistas. Por ello, es necesario planificarcorrectamentelosprocesosdecompra.

- Presupuestoestimadoodisponible.

Es útil dar a conocer el presupuesto estimado o disponible, para que el proveedorproyectesumargendeutilidadesypuedadeterminarlosrecursosquecomprometeráensupropuesta.Se recomienda que dicho presupuesto tenga presente cómo abordar cambios,crecimientosydesviacionesquepuedaexperimentarelproyecto,pudiendoaumentarseelcontrato hasta un 30% del monto originalmente pactado, de conformidad con lanormativadecompraspúblicas.Asimismo,afindeampliarelnúmerodeoferentespuedeserútilnorestringirlasofertasaunamonedadeterminadao, a lomenos,noexclusivamentea lamonedade curso local(pesoschilenos).

Cubicación

Luego de definir los requerimientos funcionales del proyecto, según lo indicado en lospárrafos anteriores, se procede a cubicarlo. En estepunto es fundamental determinar si lacontratación de un servicio cloud tiene plusvalía comparado con un servicio tradicional. Alrespecto,esimportanteserconsistenteconloplanteadoenlaestrategia.

Dadoqueenmodalidadcloudhabitualmentesecobraporunservicioynoporlaadquisicióndeunbienmueble,esimportanteconsiderarcorrectamentelaimputaciónpresupuestariaalsubtítulo22o29,delasInstruccionesPresupuestariasvigentes.

Enestesentido,sesugiererealizarlospuntosdecubicaciónrecomendadosenlaDirectivaN°24,conlosalcancesqueseestablecenacontinuación:

- Establecer el costo estimado del proyecto a contratar, tomando en cuenta lademandaestimadadelservicio.

- Identificar en detalle las distintas actividades asociadas y sus plazos, para poderdeterminarlosrecursosinvolucradosencadaunadeellas.Losrecursosnecesariosen

ambientescloudpuedensermuydiferentesalosrecursostradicionales,enparticularsisecomparanmodelostradicionalesconmodelosPaaSoSaaS.

- Asignar los costos respectivos. En proyectos cloud se sugiere considerar costosespecíficos a los Prestadores del Servicio Cloud, que podrían variar (Por ej. si serequieren instancias de ciertas características, se sugiere utilizar en la cubicación elvalordeesasinstanciasynodeotras).

- Considerar conparticular atención lasposiblesdesviacionesdel proyectodentrodeesta cubicación referencial, incluyendo estimación de demanda elástica y posiblecrecimientodelosrecursosutilizados(sobreconsumo)yconsiderandoqueloscostospodríanvariarmesames.Paraestepropósito se recomiendaestimarenbasea lastransacciones actuales de su servicio, midiéndolas con anterioridad medianteherramientas especializadas para ello, métricas de servicios similares que seencuentrendisponibles,transaccionesestimadasfuturasytasasdecrecimientodelasmismas,entreotras.Asimismo,sesugierecontemplarexpresamenteenlasbasesdelicitaciónlascondicionesbajolascualesaplicadichosobreconsumo.

- Revisarsilacubicaciónestáalineadaconelpresupuesto.Encasocontrario,sedeberárevisarelproyectoparaadecuarloaladisponibilidadpresupuestaria.

Formalizacióndelrequerimiento

Resulta preciso elaborar un documento que formalice el requerimiento técnico, debiendoincluirse en él, a lo menos, las ideas centrales de la estrategia, los bienes o servicios acontratar,losplazosycostosvinculadosalprocesoylasprincipalesetapasquedemandaráelproyecto.

Apartirdeestedocumento semantieneconsistenciaeneldiseñodelproyectoy facilita laelaboracióndeotrosdocumentosdel procesode compra (bases administrativas y técnicas,términosdereferencia,intencióndecompra,respuestasparaforosdeconsultas,etc.).

6.2.-PAUTASPARAELDESARROLLODELPROCEDIMIENTODECOMPRA:

6.2.1.-EnlosConveniosMarco:Atendida su transversalidad e importancia para los órganos de la Administración, la DCCP haadjudicadounconveniomarcoparalacontratacióndeserviciosenlanube:InfraestructuracomoServicios (IaaS), Plataforma como Servicio (PaaS) y Software como Servicio (SaaS), denominado“Data Center y Servicios Asociados” cuya ficha electrónica puede ver en este link. Los órganospúblicospuedenadquirirdirectamentelosserviciosqueesténincluidosenelcatálogoelectrónicorespectivoy,asimismo,unConvenioMarcodeHardwareySoftwarequepermitelacontrataciónencasodeproductoshíbridos.

En caso de que el servicio en la nube requerido por el organismo público no se encuentrecatalogado,peroseaofrecidoporalgúnproveedorcloudadjudicado, laEntidadpuedesolicitaraalgunodeesosPrestadoresquecataloguedichoservicio,deacuerdoconlasreglasestablecidasenlasrespectivasbasesdelicitación.

Cuando el monto de dicha contratación supera 1.000 UTM, la normativa de compras públicasexigequeserealiceunprocesodeGranCompra,esdecir,esnecesarioqueelorganismopúblicocomunique su intención de compra a través del sistema www.mercadopublico.cl, a todos losproveedores de este conveniomarco adjudicados en la categoría del servicio requerido, con elobjeto de que puedan presentarmejoras a sus ofertas. A partir de las propuestas recibidas, elórgano público confecciona un cuadro comparativo y selecciona aquella más conveniente, deacuerdoconloscriteriosdeevaluaciónaplicables.

Enparticular,paraelprocedimientodegrancompradeconveniomarcosesugiere:

● Conocerelalcancedelconveniomarco,paraincluircorrectamenteenlaintencióndecompra,losserviciosadjudicadosenél.

● Documentarlaintencióndecompraypublicarlaenelsistemawww.mercadopublico.cl.Elladebe referirse exclusivamente a servicios adjudicados en ese convenio marco, incluidos losproductosnuevosque sehayan incorporado.No correspondeesteprocedimiento si senecesitaagregarotrosservicios,ademásdelosadjudicadosenelconveniomarco,casoenelcualsedeberárealizarunalicitaciónpública.

● Señalar claramenteel requerimientoen la intencióndecompra.Paradefinirlo, se sugiereseguirloslineamientosdeestaDirectiva.

● Elprocedimientodegrancompraespartedeunconveniomarco(noesunalicitación).Entalsentido, la intención de compra puede solicitar marcas específicas, siempre que los productosformen parte del catálogo electrónico de ese convenio marco. Sin embargo, en ese caso, serecomiendaanalizarlaconvenienciaonoderestringirelobjetoaunamarca,deconformidadconloseñaladoenestaDirectivaapropósitodelprincipiodeneutralidadtecnológica.

● Utilizarcomocriteriosdeevaluaciónúnicamentelosestablecidosenlasbasesdelicitacióndelconveniomarco,seantodosoalgunosdeellos.Esoscriteriosdebenseraquellosdetipogeneralque utilizó la DCCP para adjudicar el convenio marco. No se pueden utilizar criterios nuevos,distintosalosestablecidosenlasbasesporlaDCCP.

● Debetenersepresenteque,siserequiereconsideraralgúnrequisitotécnicomínimoparalasofertas que reciba, en atención a condiciones específicas de la entrega de productos -como,pruebas en equipos específicos, demostración de certificaciones u otros-, establézcalo comorequisitodeadmisibilidadyno comounnuevocriteriodeevaluación, yaqueestoúltimono sepermite.

● Elaboraruninformetécnicoapartirdelcuadrocomparativodelasofertasrecibidas,quesirvadefundamentoparalaselección.

• Evitar definiciones o reglamentaciones que ya hayan formado parte del proceso delicitacióndelConvenioMarco,afindesimplificarelproceso.

● Suscribirunacuerdocomplementarioconelproveedorcloudseleccionado,enlostérminosseñalados en las bases de licitación, con el objeto de detallar exclusivamente los aspectosparticularestalescomolasetapasyplazosdeimplementación,losnivelesdeservicio,lasmedidasde seguridad y las garantías si fueren diferentes a las del Convenio Marco y no estuvierenreguladas en los contratos estándar aplicables a dichos productos, entre otros aspectosremitiéndoseenlodemásaellos.

• ElpagodelosserviciosclouddebeserefectuadosdirectamenteporcadaEntidad,dentrodelos30díascorridossiguientesalarecepciónconformedelafacturarespectiva,lacualdeberáserentregadaacompañadadeunacopiadelaOrdendeComprarespectivaydelasGuíasdeDespacho en la cual se certifique la recepción conforme de los servicios. La recepciónconformedeberáseracreditadapor laEntidadquehubiereefectuadoelrequerimiento.Lasfichasdelosserviciosindicanlaformadefacturacióneneldocumentotécnicoadjunto3.

6.2.2.-Enlaslicitaciones:

Se recomienda considerar las siguientes pautas para redactar las bases administrativas ytécnicas:

Enlasbasesadministrativas:

3Paraprofundizarenmásrecomendacionessobreelpago,serecomiendarevisarladirectivaN°23“ORIENTACIONESSOBREELPAGOOPORTUNOAPROVEEDORESENLOSPROCESOSDECONTRATACIÓNPÚBLICA".

- Elaborarbasesadministrativastiposielprocesodecomprasresultamásbienestándaryse proyecta repetirlo en términos similares. Sin embargo, si se advierte que existenparticularidades distintas en cada compra, difícilmente estandarizables, deberánelaborarsebasesadministrativasespecialesparacadaprocesodecompra.

- Redactar bases administrativas breves y claras, simplificando requisitos y evitandodefinicionesquerestrinjanlaparticipacióndeoferentes.

- Prepararla licitaciónenvariaslíneas,segúnloscomponentesdelserviciolicitado(Porej.Infraestructuracomoservicio,softwarecomoservicio,etc.),perohaciendoreferenciaalosestándares técnicos,demaneraamplia y considerandoademás categoríashíbridas. Estopermite contratar todos los componentes a un solo Prestador del Servicio Cloud o adistintos Prestadores del Servicio Cloud, según la factibilidad técnica y las reglas queestablezcalalicitación.

- Diseñarestaslicitacionesendosetapas,laprimeratécnicaylasegundaeconómica.Así,seevalúaendetalle lacalidadtécnicade laspropuestas,sinsesgosoriginadospor laofertaeconómica.

- No solicitar documentación administrativa en exceso, ya que ello desincentiva laparticipación de los Prestadores del Servicio Cloud. Por lo tanto, se sugiere pedirúnicamente aquellos documentos que permitan acreditar elementos básicos para lavalidez de las ofertas (Por ej. certificado de vigencia de la empresa, de la personería, odeclaracionesjuradassobrelasinhabilidadeslegales).

- Recordarquelainscripciónenelregistrodeproveedoresessuficienteparaacreditargranparte de la documentación administrativa, de modo que no hay que pedir esosdocumentossiyaestánendichoregistro.

- Considerar la posible participación de proveedores cloud extranjeros flexibilizando laslicitaciones y sus bases de manera de no imponer requisitos que les hagan difícil oimposibleparticipar,comolanecesidaddecontarconcertificacioneslaboralesnoposiblesde obtener para quienes no tienen rut en Chile, exigencias de pago local u ofertaúnicamenteenmonedalocal,entreotras.

- Indicar en las bases la posibilidad de recibir antecedentes durante el período deevaluación,paraque losdefectosmeramente formalesnoocasionen la imposibilidaddepresentarofertasoelrechazodeéstas,sinoqueseanevaluables.

- Incluir instancias informativas, como la publicación de videos, reuniones -seanpresencialesoen línea-,para favorecerunamejorcomprensiónde lasbasesy,conello,recibirmejoresofertas.Alrespecto,hayquerecordaralosinteresadosquelaspreguntasdebenefectuarsedentrodelaetapaformaldeconsultasseñaladaenlasbases,yatravésdelsistemawww.mercadopublico.cl.

- Responderclara,precisaydirectamentelaspreguntasquerecibadurantela instanciadeconsultasestablecidaenlasbases.Aldarrespuestasmuygenéricasoquesoloremitenalarticuladodelasbases,sinmayorexplicación,lasdudasdelosproveedoressemantienenylasofertaspuedensermalelaboradasobienparecermásrígidasdeloqueson.Enestesentido, resulta indispensable que tanto las entidades como los proveedores lean ycomprendan la totalidad de las bases administrativas y técnicas, y de las consultasplanteadas, para evitar errores u omisiones al ofertar o interpretaciones que seanmásrestrictivasdeloquesepretendeenlasbasesyquelospuedendejarfueradelproceso.

- Recordar que la Entidad licitante tiene las facultades para determinar los criterios deevaluación, en la medida que sean objetivos. Al respecto, corresponde elegir aquelloscriteriosquepermitanseleccionarlaofertamásconvenienteparasatisfacerlosinteresesdel Servicio, teniendopresente laestrategiadocumentadaal formularel requerimiento.Porlotanto,esunamalaprácticautilizarcriteriostiposinantesanalizarqueseanlosmásadecuados en ese proceso en particular. Se recomiendan como criterios para estosprocesosdecompra:

- Lacalidaddelapropuesta(Porej.plazos,garantías,nivelesdeservicio,etc.);- Lacalidadtécnicadelasoluciónofrecida;- Laexperienciadelequipodetrabajo,enespecialdelJefedeProyecto;y

- Elprecio,entreotros.

- Establecer plazos realistas para recibir ofertas, para formular preguntas y responderlas,paraevaluary,sobretodo,paraejecutarelcontrato.

- Noexigirinstrumentosdegarantíaespecíficos.Bastaconquelagarantíaseaalavistaydecarácterirrevocable,asegureelpagodemanerarápidayefectiva,ycumplaconelmonto,plazodevigencia,glosa–siprocede-,ylamonedaounidadqueseñalenlasbases.

- Establecer multas proporcionales a la gravedad del incumplimiento, fijando un topemáximopara suaplicación.Además,en lasbases sedebe incluirunprocedimientoparaaplicarlas,quecontemplesiemprelaposibilidaddedescargosporpartedelPrestadordelServicioCloud.Finalmente,dicteunaresoluciónfundadaparaaplicarlasmultas,contralaqueprocedenlosrecursosadministrativosdispuestosenlaLeyN°19.880.

- Contemplarlaposibilidaddemodificarelcontrato,yaqueenproyectoscomplejospuedenaparecer requerimientos no dimensionados inicialmente, pero necesarios para lacontinuación del proyecto. Como las modificaciones no pueden contravenir la estrictasujeciónalasbasesylaigualdaddelosoferentes,fijequétiposdecambiossonaceptablesyenquéporcentajemáximopodrámodificara travésdeuncontratocomplementarioouncontroldecambios.Enelcasodemontos,nopodráexcedereloriginalenmásde30%.

- Algunoscontratosdeserviciostecnológicosrepresentanunaltoriesgoparalaseguridad,privacidad y continuidad operacional, ya que inciden directamente en funciones críticasdel órgano público. Por esa razón, la dependencia de éste, respecto del Prestador delServicio Cloud lo vuelve vulnerable frente a eventuales incumplimientos contractuales(Porej.delosSLAodeobligacionesdecuidadodelosdatos).Serecomiendaincluirenlasbases de licitación una instancia de verificación o auditoría, previa a la suscripción delcontrato, con el objeto de comprobar el real estado de las medidas de seguridaddeclaradasporelPrestadordelServicioCloud-duediligenceodebidadiligencia-.Dichaverificacióndeberealizarseencoordinaciónconelproveedorcloud,enbase,porejemplo,a certificaciones, cuestionarios, checklist o listados pre definidos y velando por noentorpecer el correcto funcionamiento de éste. Además, debe referirse únicamente aaspectosestrictamentenecesariosparalaprestacióndelosservicioslicitados.Finalmente,nodeberecaersobreinformaciónconfidencialdelproveedorcloudodesusclientes.

- Se sugiere aplicar al Proveedor del Servicio Cloud un cuestionario sobre temas técnicosespecíficosdeseguridad,proteccióndedatosycontinuidadoperacional(Porej.existenciadesitedecontingencia,planesderecuperacióndedesastres,controles frenteaataquesdedenegacióndeservicio,detecciónde intrusos,cifradodedatos,entreotros).Cuandoexistan,esposibleeinclusorecomendablereemplazardichaauditoríaporlapresentacióndecertificacionesinternacionalesdereconocidoprestigioqueseafácilmentecomparablesdeunproveedoraotroosuscasasmatricesencasodefilialeslocalesodemenortamaño.

- Por último, en caso de incluir la aplicación de instrumentos de due diligence, serecomienda señalar expresamente en las bases de licitación, las consecuencias quederivandenocumplirconlaentregadeinformaciónrequerida.

Enlasbasestécnicas:

- Describir clara y completamente el requerimiento. Para ello, se sugiere considerar losantecedentes recabados en la etapa inicial y que se encontrarán en el documento deformulacióndelrequerimientotécnico.Silasbasestécnicasnorecogencorrectamenteelrequerimiento, es probable quedurante el desarrollo del proyecto surjan problemas deinterpretaciónydificultadesparalaejecucióndelcontrato.

- Establecerclaramenteydemanerarealista,losnivelesdeservicioesperados(SLA).Estosnivelescorrespondenaaspectosoperacionalesdelserviciocontratado(Porej.uptimedeaplicaciones,tiempoderespuestafrenteaerroresotiemposdeproceso,entreotros).Lasvariablesrelevantesdebensermodeladasa travésde indicadoresycada indicadordebetenerasociadounestándarmínimoaceptable.LosSLAdefinenelestándardeservicioquedeberá cumplir la solucióndurante toda la vigenciadel contrato,observando referentesnacionaleseinternacionales.Noobstante,caberecordarquemientrasmásexigentessean

losnivelesdeservicio,másaltopodráserelpreciodelcontrato.Sinembargo,laclaridadytransparencia en los niveles esperados por el órgano comprador permiten a losproveedoresanalizarsurealcapacidaddecumplir.

- Incluir causales ymecanismos objetivos que permitan ajustar los niveles de servicio encasodecambios tecnológicosonivelesoperacionales, considerablementedistintosa losdefinidosoriginalmente,productodecambiosenelentorno.

- Asociar el incumplimiento de los SLA amultas proporcionadas a la falta (Por ej. por suimpacto en la continuidad de servicio). Además, según la gravedad o la reiteración delincumplimiento,serecomiendaconsiderarloparaelcobrodelagarantíae,incluso,dentrodelascausalesdetérminoanticipadodelcontrato.

- Aludiraestándaresenvezdesolicitarmarcasespecíficas,lugardeprocedenciadelbien,odescripcionesmuydetalladaspropiasdetecnologíasoproductosconcretos.

- Considerar criterios de accesibilidadpara personas en situacióndediscapacidad (Por ej.mejorando la claridad, alto contraste y velocidad en navegación por sitios web, eincorporandocontenidosnosólodetexto,sinotambiéndeaudio).

- Evitar que las exigencias técnicas impuestas a losoferentes seanbarrerasdeentrada alproceso. Para ello, considérelas al evaluar y no para admitir una oferta (Por ej. si secontratan servicios de integración y migración de datos o de pruebas para medir lavulnerabilidaddesussistemas,elriesgopuedellevarajustificarlaexigenciadecontratarseguros por daños. Sin embargo, ello puede ser considerado dentro de los criterios deevaluaciónynoparalaadmisibilidaddelasofertas).

- Sin perjuicio de lo anterior, en ciertos contratos complejos, por el nivel de riesgoinvolucrado, es posible fijar requisitos técnicos de admisibilidad, en lamedidaque seanobjetivosyquenosignifiquenarbitrariamenteuntratodiscriminatorioaproveedoresdelservicio cloud. Así, quienes no cumplan satisfactoriamente tales requisitos no pasan aetapasdeevaluacióndesusofertas.

Enloscriterioseconómicos:

- Evaluarlaposibilidaddecontratarbolsasderecursosoreservadecapacidadparaservicioscuyacubicaciónousoseamuydifícildeestimar.Estoesdefundamentalimportanciaparalacontratacióndeservicioscloudcomplejos,ocuandonosecuentaconexperienciaenlaestimacióndelademanda.

- Considerar la posibilidad de adquirir servicios con más de un oferente, según laconvenienciade lasofertas,enestecasose recomiendaevaluar las líneasdeserviciosacontratardeformaindependiente.

- Facilitarqueofertenproveedoresdelservicioextranjerosy/ofabricantes,permitiéndolesofertarenotrasmonedas,aunquesingenerarconellountratodiferenterespectodelosdemásoferentes.

6.2.3.-Enlostratosdirectos:Excepcionalmente existen casos en los que, por la naturaleza de la contratación, haycircunstancias o características del contrato que hacen del todo indispensable acudir al tratodirecto,envezdeunalicitaciónpública.

Enesteprocedimientocaberecordar:

· Fundar el trato directo exclusivamente en alguna de las causales señaladas en la Ley deComprasysuReglamento.

· Acreditarlacausalconantecedentesquedemuestrenlaconcurrenciadetodossuselementos.Nobastaconmencionarlaenelactoadministrativoqueautorizaelprocedimiento.

· Siseinvocacomocausalquelacontrataciónsólopuederealizarseconproveedoresqueseantitulares de los respectivos derechos de propiedad intelectual, industrial, licencias, patentes yotros,sedebesolicitarladocumentaciónquelodemuestre(Porej.lainscripcióndelaobraenelregistrorespectivo;copiadelcontratodedistribuciónsuscritoentreelproveedordelServicioCloudylaempresatitulardelosderechos;uotrasimilar).

· Cuando la causal sea que el contrato es una reposición o complementación de serviciosaccesorios, o la renovación de éstos, se debe justificar en razones objetivas de compatibilidadtécnicaconlossistemasoinfraestructuraactualdelaEntidad,atravésdealgúninforme.

6.3.-PAUTASPARALASELECCIÓNDELPRESTADORDELSERVICIOCLOUD

6.3.1.-Sobrelascomisionesevaluadoras:

LascomisionesevaluadorasdebenestarcompuestasporpersonaldelServicio,concompetenciastécnicas suficientes. Si es necesario en los procesosmás relevantes, se sugiere incluir expertosexternospararealizarunaevaluacióntécnicaespecializada.

Los miembros de la comisión deben ser imparciales y desinteresados (Por ej. no representarningunatecnologíaocorrientedoctrinalparticularenestecampo).

Se recomienda que conozcan el documento de formulación de requerimiento, para que esténconscientesde laestrategiaquemotivaelprocesoy loesperadoporelórganopúblicoycontarcon “check lists” de aspectos relevantes a ser considerados para efectos de comparación deofertasynolimitarelloalpreciodeéstas.

Losintegrantesdelacomisiónevaluadora,enelejerciciodeesasfunciones,sonsujetospasivosdelobbyodegestiónde interesesparticulares,segúnlaLey20.730.Por lotanto,deberánregistrartodocontactoquetenganconlobbistasogestoresdeinteresesparticularesdurantelaevaluación.Sinembargo,sesugiereincluirenlasbasesadministrativas,laprohibiciónparaestosmiembrosdeaceptarreunionessolicitadasportercerosdurantelaevaluación,paraqueestetipodecontactosestécircunscritoexclusivamentealoscasosquemencionalanormativadecompraspúblicasyquese tienen que indicar previamente en las bases de licitación. De estemodo se garantiza que lalabordelacomisiónevaluadoraserealicesinpresionesexternas.

6.3.2.-Sobreloscriteriosdeevaluación:

La evaluación debe realizarse con apego estricto a los criterios establecidos en las bases oindicados en la intención de compra, según el caso. En tal sentido, deben establecerse rangosobjetivosparalaasignacióndepuntajealponderarcadacriterioopuntajeadicionalaotorgarseaofertasquecomprendancriteriosrelevantesadicionales.

Debenconsiderarsecriteriosdeevaluacióninclusivos,querespondanaaspectosdealtoimpactosocial(Porej.PYME,mujeresjefasdehogar,personascondiscapacidad,entreotros).

Si se desea evaluar la experiencia de la empresa, corresponde considerar proyectos similares alquesepretendecontratar–independientedelsectorendondefueronrealizados-,queseaposiblecomprobar.

Elevaluarexperienciapreviaenunsectorespecífico–comoelsectormunicipal,desalud,defensauotros-y,másaún,experienciacon laEntidadLicitante,constituyeunabarreradeentradaqueinfringeelprincipiodelalibreconcurrencia.

Si deseaevaluar lapresentaciónde servicios adicionales a laofertaprincipal, sus característicasbásicasogeneralestienenqueestardescritaspreviamenteenlasbases.

Si evalúa el comportamiento contractual anterior de un Prestador del Servicio Cloud, deberáconsultar el Registro de Proveedores, en donde las Entidades deben informar al respecto, deacuerdoconelementosobjetivos(Porej.cumplimientoíntegroyoportunodelasobligaciones,delosplazoscomprometidos,ysobrelaaplicacióndemultasuotrasmedidasquehayanafectadoalPrestadordelServicioCloud).,peroevitandoexigenciasdecertificacionesqueseansóloaplicablesrespectodeproveedoreslocales.

Esta calificación no puede ser considerada como un requisito para participar en un proceso decompra,yaqueseríaunabarreradeentradaparanuevosproveedoresdelServicioCloudoparaaquellosquereflejenalgunosaspectosnegativos.

Serecomiendautilizarestecriteriodecomportamientocontractualanteriorcuandosearelevanteparalaejecucióndelcontrato(Porej.enelcasodelcumplimientodeplazos,denivelesdeservicioydelacalidaddelosbienes,entreotros).

6.3.3.-Sobrelascertificaciones

Si se considera que las certificaciones resultan relevantes para recibir ofertas demejor calidad,deben solicitarse aquellas que estén directamente relacionadas con el requerimiento y seaninternacionales,demaneradepermitircomparación.

No deben exigirse esas certificaciones como requisito mínimo para participar del proceso,debiendoserponderadascomocriteriosdeevaluación.

Debe verificarse que las certificaciones sean reconocidas en el territorio nacional y que esténrelacionadasconeltrabajoquesedesarrollará.

Por último, se recomienda aceptar certificaciones determinadas y conocidas, pero abriendo laposibilidadasusequivalentes,parafavorecerlaparticipación.

6.4.-PAUTASPARALAGESTIÓNDELCONTRATO

6.4.1.-Sobreelpago:

ElpagodelosserviciosdebeserefectuadosdirectamenteporcadaEntidad,dentrodelos30díascorridossiguientesalarecepciónconformedelafacturarespectiva,lacualdeberáserentregadaacompañadadeunacopiadelaOrdendeComprarespectivaydelasGuíasdeDespachoenlacualsecertifiquelarecepciónconformedelosservicios.LarecepciónconformedeberáseracreditadaporlaEntidadquehubiereefectuadoelrequerimiento.

Paraelcasodecontratacióndebolsas,seentiendequelacompraesporcréditosdeesasbolsas,cuyospagosestaránsujetosaloindicadoenlarespectivacláusuladelasbases.

Paraprofundizarenmásrecomendacionessobreelpago,serecomiendarevisarladirectivaN°23“ORIENTACIONES SOBRE EL PAGO OPORTUNO A PROVEEDORES EN LOS PROCESOS DECONTRATACIÓNPÚBLICA".Esútil considerarque lospagoseventualmentepuedenrealizarseaproveedores internacionalesqueresultenadjudicados,porloquelasbasesnodeberíandificultarsumaterializaciónatravésdereglasquesolopuedanaplicarseaproveedoresnacionales.6.4.2.-Contratomodular:Cuando un contrato tecnológico incluye más de una prestación contractual, no siempre seejecutansimultáneamente(Porej.soluciones integrales).Cadaprestaciónoserviciopuedetenerplazosdiferentes,ademásdeexigenciastécnicasySLApropios.

Por ello, se recomienda redactar los contratos separando las cláusulas en distintas secciones, obienpermitirlareferenciaaloscontratosestándardelosserviciosqueseoferten.Sineseordenes más difícil interpretar el contrato e implementarlo, por lo que la estructura modular esimportanteparafacilitarlagestióndelcontrato.Sesugierendosgrandessecciones:

· Condicionesgenerales

Incluye todas aquellas cláusulas esenciales y de carácter general, que abordan la totalidad delproyecto.(Porej.individualizacióndelaspartes,personería,objetodelcontrato,precio,vigencia,garantías, término anticipado, cláusulas de propiedad intelectual, cláusulas de confidencialidad,encargadodelcontrato,legislaciónaplicableyjurisdicción,entreotras).Se recomienda tener especial cuidado al redactar el objeto del contrato y no omitirlo de lascondicionesgenerales,inclusoaunquedespuésdetallelosserviciosenlosrespectivosanexos.

·Anexos

Redacte el detalle de cada prestación, separadamente, a partir de anexos. De esta forma elcontrato se ordena con más claridad, ya que es posible reunir en un documento las cláusulasespecíficasdeunaprestacióndeterminada(Porej.ladescripcióndelobjeto,lasetapasyplazosdeejecución, los plazos y pagos parciales, los SLA, las multas específicas, la carta Gantt, losdiagramas,entreotros).6.4.3.-Cláusulasrelevantes

Loscontratossobreserviciosenlanubepuedensermuydistintosunosdeotros,al igualquelasrazonesquemotivanlacontrataciónyelcontextoenquelosserviciosseránejecutados.Sin embargo, existen ciertas cláusulas que se recomienda incluir, de resultar pertinenteconsiderandoelcasoconcreto:

· Cláusuladeconfidencialidad

Es importante incorporarunacláusuladeconfidencialidadsielproveedorcloudtienealgúntipode acceso a información que almacena el órgano público, resultando indispensable si se tratandatospersonalesqueprovenganohayansidorecolectadosdefuentesnoaccesiblesalpúblico.Para mayor certeza y eficacia de esta cláusula, se recomienda clasificar previamente suinformación.Así,estacláusulaaplicaráexclusivamenteadocumentaciónreservadaoconfidencial.Deben fijarse plazos máximos de confidencialidad concordantes con el tiempo de reserva queadmitelaLeyN°20.285,sobreAccesoaInformaciónPública.Sinembargo,debetenersepresenteque pueden existir plazos de reserva mayores, dispuestos por ley, como ocurre, por ejemplo,tratándose de datos de carácter personal, ya que la Ley N°19.628, sobre Protección de la VidaPrivadaestablecequelaobligacióndeconfidencialidadseextiendedemaneraindefinida.

· Cláusuladetratamientodedatospersonalespormandato

Sisecontratanserviciosdetratamientodedatospersonales,debeincluirunacláusulademandatohaciaelproveedorcloud,queespecifiquelascondicionesbajolascualespuedeutilizaresosdatos,segúnelartículo8delaLeyN°19.628.Lacláusuladebeindicar,alomenos,lafinalidaddeltratamiento,eltipodedatosqueentregaalPrestador del Servicio Cloud (mandatario), la duración del encargo y un procedimiento para ladevolución de los datos y su eliminación efectiva por parte del proveedor del servicio cloud, alterminarelcontrato.

Además, debe prohibir el uso de dichos datos para fines distintos a los que persigue el órganopúblicomandanteyseñalarexpresamentequenosepermitesucomunicaciónaterceros.

· Cláusuladepropiedadintelectualdelsoftware

Sihay intercambiodedocumentaciónuotrosactivos,es importantedeclararenelcontratoquelosmaterialespreexistentesqueaportacadapartesondepropiedaddelquelosprovee.Porsuparte,encasodelcontratodeSoftwarecomoServicio(SaaS),suelesuscribirseelservicioduranteunperíododeterminado,enelcualúnicamenteseconfierenderechosdeuso temporalparaelórganocomprador.Porlotanto,losderechosdepropiedadintelectualsuelenconservarlosel desarrollador del software o el proveedor, según cada caso, por lo que el órgano público norecibeelcódigofuente.En casos excepcionales, tratándose de SaaS prestados en la nube y, respecto de software noestándar, el órgano público podría evaluar el nivel de exposición al riesgo en la continuidadoperativadesusfuncionesyconsiderarmedidasadicionalesderesguardo.Porejemplo,podríaverla pertinenciade incluir alguna cláusuladedepósitodel código fuenteenunanotaría -contratoescrow-,estableciendoaquelloscasostaxativosyexcepcionalesenloscualeselorganismopúblicorespectivopuedaaccederalcódigofuentemediantelasuscripcióndeinstruccionesnotariales(Porej.pordesapariciónde laempresaprestadoradel serviciocloud;ante lanegativa injustificadaadar soporte o los servicios demantención contratados dentro de los plazos establecidos; entreotros).Sisecomprendenup-grades(mejoras)oup-dates(actualizaciones),segúnlasbasesdelicitación,esnecesarioreflejarclaramentelosrequisitosparasuprocedencia.

· Cláusuladeacuerdosdeniveldeservicio(SLA)

Esimportanteincluircláusulassobreelniveldeservicioqueelproveedorcloudsecomprometeacumplir,deacuerdocontiemposrealistas,segúnloqueofreceelmercado.Losacuerdosdeniveldeserviciodebenserobjetivos,mediblesyestarrelacionadosdirectamenteconelservicioquesevaaproveer.No debe olvidarse vincular el incumplimiento de los niveles de servicio conmedidas concretascomomultas,cobrodegarantíaotérminoanticipado,segúnlagravedad.

· Cláusuladeaccesoasistemas

Sielpersonaldeproveedorcloudrequiereaccesoalossistemasdelórganocomprador,sesugierefijarunprocedimientoparaello,indicandoclaramenteeltipodeinformación,sistemas,equiposylugaressobrelosqueautorizaelaccesoyaquellosqueestánprohibidos.

· Cláusuladeresponsabilidad

Se sugiere incluir cláusulas de responsabilidadporhechos imputables al incumplimientodirectodel proveedor cloud. No obstante, también es importante considerar que algunasindisponibilidadesdeserviciopuedendeberseafallaspropiasdelhardwareodelsoftware,obienson ocasionadas por el propio usuario o por terceros, sobre las cuales no correspondería, enprincipio,imputarresponsabilidadparaelproveedor.Sinperjuiciode loanterior,caberecordarquenosepuedenestablecercláusulasqueeximanderesponsabilidad por incumplimiento o que limiten ampliamente la responsabilidad civil delproveedor,porque implicaríaunarenunciaanticipadadederechosporpartedelórganopúblico,quenosepermite.

• Cláusulasdepolíticasdeusoaceptable

Las entidades deben comprometerse a utilizar los servicios cloud de forma adecuada yajustándosealalegislaciónvigente,evitandousarlos:• Dealgunaformaprohibidaporley,reglamentouotranormativa;• Parainfringirlosderechosdelaspersonas;• Para intentar obtener un acceso no autorizado a —o causar disrupción en— cualquierservicio,dispositivo,dato,cuentaored;• Paraenviarcorreonodeseado(spam)odistribuirsoftwaremalicioso;• Dealgúnmodoquepuedacausardañosalaprovisióndelosserviciosuobstaculizarelusodelservicioporpartedeotraspersonas.

· Cláusulasmásespecíficasparaserviciosenlanube(CloudComputing)

Sesugierecontratardirectamenteconelprestadordelserviciocloud,esdecir,conquienseobligaallevaradelanteelservicio(Porej.quienalmacenalainformaciónyprotegelaconfidencialidaddelosdatos).Es importante que el contrato con el proveedor cloud considere los estándares de seguridad ycontinuidad operativa comprometidos, en especial respecto del cuidado de los datos (Por ej. atravésdelcifradoensualmacenamientoytransmisión).Incluyaobligacionesdetransparenciadelproveedordelserviciocloud,porejemplo,paraconocerlaubicacióngeográficadelosservidoresquealmacenanlosdatos,recibirnotificacionesoportunasfrente a incidentes de seguridad y contemplar condiciones de acceso a reportes de auditoría ycertificacionesinternacionalesindependientes.Serecomiendaconsiderarlaposibilidadderecuperarydescargarlosdatosqueseencuentrenendependencias o sistemas del proveedor cloud o sus subcontratistas, para poder migrar lainformación,sinmayorescostos,aunnuevoproveedor,unavezterminadoelcontrato.

· Cláusulassobrecontroldecambios

Cualquier proyecto complejo puede requerir contratos adicionales al contrato principal, paracubrir posibles requerimientos no dimensionados originalmente. Sin embargo, este tipo decontratospuedensignificaruncambioenlascondicionesoriginalesdelalicitacióny,porlotanto,nopuedenserilimitadosydebendefinircorrectamenteelprocedimientodecompraaplicable.Porreglageneral,necesitaráunanuevalicitaciónpública,amenosquelogreconfigurarseunacausalde trato directo o se predefinan aspectos y límites de cambios pre acordados a fin de permitiragilidadderespuestaanuevosrequerimientos.En virtud de lo anterior, puede fijar en las bases de licitación un porcentaje máximo para loscontrolesdecambiooconsumosadicionales.Elreferidoporcentajedebeestarenrelaciónconelmontoynaturalezadelcontratoy/olacomplejidaddelproyectoquesetrate.Sinembargo,encasodequesemodifiqueelcontrato,dichaposibilidaddebeencontrarseprevistaenlasbasesdelicitaciónynopodráalterarlaaplicacióndelosprincipiosdeestrictasujeciónalasbasesydeigualdaddeoferentes,asícomotampocopodráaumentarseelmontodelcontratomásalládeun30%delmontooriginalmentepactado.

· Cláusulassobregestióndelcontrato

Si procede, de acuerdo con la naturaleza del servicio contratado, se recomienda indicar en elcontratolaconstitucióndeuncomitédeadministracióndelcontrato,compuestoporfuncionariosdealtoniveldelórganocomprador,confacultadessuficientesparapoderrealizarunaadecuadaadministracióndelcontrato.Dichocomitéesindependientedelnombramientodeunencargadodeproyectoqueactúecomocontraparte técnica frente al proveedor del servicio cloud. Dicho encargado suele reportar al

comité.Serecomiendaanalizarcuidadosamente lashabilidadesyconocimientosnecesariosparaejercerestafunción.Encasodenoexistirunperfiladecuadoenelorganismo,sesugierebuscarapoyoexterno.

· Cláusulassobrecierreytraspasodelcontrato

Elcierredelcontratocorrespondealafinalizacióndelarelacióncontractualentrelaspartes.Esunproceso normal en cualquier relación contractual, sin embargo, cuando la relación ha duradomuchotiempo,puedeocurrirquerealizarestecierrenoseasimple.Poresarazónserecomiendaincorporarenlasbasesdelicitaciónyenelposteriorcontrato,obiendefinirlo como un aspecto a ser ofertado individualmente por cada oferente y materia deevaluación,cláusulasqueregulenestepunto.Dichascláusulasdebenconsiderar,porejemplo:

- Calendariodecierre:Establezcauneventooplazoprudencialapartirdelcualseentiendequeelcontratoentreenetapadecierre.

- Protocolo de fin de contrato: Dicho protocolo –suscrito por ambas partes- contiene eldetalle de todas las actividades a realizar y los responsables de cada una de ellas, paralograr un cierre de contrato ordenado. Este protocolo puede incluir, según el tipo deproyecto,elementoscomolaentregadecódigosfuente,licencias,datos,documentación,soportetécnico,parametrizacióndesistemas,transferenciadeknowhow,destruccióndeinformacióndepropiedaddelcontratante,entreotros.

- Pagosfinales:Dentrodelesquemadepagosdelservicio,unapartedeberíaestarasociadaalcumplimientocabalporpartedelproveedorclouddelcierredelcontrato.Unodeestoshitospuedeserlafirmadeundocumentodondelaspartesdeclarenqueelcontratosehacerradosininconvenientes.

- Transición de un contrato a otro: Cuando el contratante externaliza procesosoperacionales o de negocio a un privado, el cierre de contrato puede estar asociado altraspasodelasoperacionesdeunproveedordelServicioCloudaotro.

· Cláusulassobretérminoanticipado

Serecomiendaquelasbasesestablezcancausalesdetérminoanticipadodelcontratobasadasenincumplimientos objetivos y demostrables, según la naturaleza del servicio contratado,considerándosepreviamenteunplazorazonableparasubsanareleventualincumplimiento.Enloposible,limitarseacausaleslegales,objetivas,afindeevitarqueladefinicióndedichascausalesimpidalaposibilidaddeparticipardealgunosoferentes.Adicionalmente, se sugiere regular para estos casos la continuidad del servicio, estableciendoplazosyprocedimientosqueasegurenlatransiciónaligualqueparaelcierredelcontrato,obienseñalarqueellodebesertambiénmateriaparaevaluarenlasofertas.Lascláusulasdetérminoanticipadoporpartedelaentidadpúblicadebenserobjetivasyfundarseen el mutuo acuerdo o en incumplimientos graves por parte del proveedor cloud, que seencuentren claramente definidos en las bases de licitación, con el fin de no incurrir enincertidumbre.6.4.4.-ComportamientocontractualElcomportamientodelproveedordurantelaejecucióndeuncontratoesunainformaciónútilparafuturosprocesosdecompradeotrosórganospúblicos.Esareputacióncomercialpermiteconocermejor a los oferentes, especialmente a losmás pequeños y nuevos, y podría ser un criterio deevaluación.Por su parte, el comportamiento del órgano público comprador también es importante para laconfianza de los proveedores, respecto del pago oportuno, el cumplimiento de plazos devalidaciónuotros factores.Paraello,elórganopúblicopodría incorporarunabuenaprácticadeevaluaciónasuniveldecumplimientocomocomprador,porpartedesusproveedores.

6.4.5.-Transicióndeuncontratoaotro

Enciertosserviciosenqueelórganocontratanteexternalizaprocesosoperacionalesovinculadosdirectamente con sus funciones públicas a un proveedor cloud, el término del contrato puedeestarasociadoaltraspasodelasoperacionesdeunproveedoraotro.

Por lo tanto, regule una transición colaborativa entre dichos proveedores (Por ej. que incluyaentrenamiento a los agentes del nuevo proveedor, traspaso de procedimientos, apoyo en lasnuevasconfiguracionesdelossistemasdesoporte,etc.).

Deberá regularse la compatibilidad tecnológica entre los proveedores cloud, especialmenterespecto de la interoperabilidad de su infraestructura y datos. Asimismo, deberá regularse eldestinoytraspasodelosregistrosymetadatosgeneradosdurantelasoperacionesparamantenerlaintegridaddelosdatosyprevenirinterrupcionesdelservicio.

Otroaspecto relevante será la regulaciónde la responsabilidadcivil en la custodiade losdatos,especialmentedurantesutransferenciaentreproveedorescloud.

ANEXO

CLÁUSULASSUGERIDAS

LosórganosdelaAdministracióndelEstadosonlibresdedeterminarlasmodalidadesycláusulaspropias de la contratación de servicios cloud. Sin embargo, el presente documento proponecláusulasquepodríanserutilizadasy/oajustadasalcontratarunserviciodeestanaturaleza:

1.Confidencialidad,protecciónyconservacióndedatos

Para los efectos del presente contrato, se entenderá por “Información Confidencial” a todainformación,seacompletaoparcial,verbaloescrita,independientedelmedioenqueconsteosetransmita,quelaspartesrecibanlaunadelaotrayqueseadesignadacomotal.

La Información Confidencial serámantenida en estricta reserva por las partes, quienes deberánmantener la debida confidencialidad de los datos, bases de datos, documentos y a todos losarchivos informáticos a que tenga acceso con motivo del presente contrato, quedándoleexpresamenteprohibidodivulgarlos,publicarlos, fotocopiarlos,copiarlosodistribuirlosa tercerosextrañosaestecontratoohacercualquierusoindebidodeellos.Estasinformacionesydatossólopodránserreveladosporinstruccióndelapartedivulgadora.

NoseconsideraráInformaciónConfidencial(1)lainformaciónquellegueaserdedominiopúblicosinquemedieunincumplimientodeestecontrato,(2)lainformaciónquelapartereceptorarecibalícitamente de otra fuente sin una obligación de confidencialidad, (3) la información que sedesarrolle de manera independiente, o (4) la información que constituya un comentario osugerenciaofrecidavoluntariamenteacercadelnegocio,losproductososerviciosdelaotraparte.

Elproveedorguardaráespecialatenciónyseobligaamantenerlaconfidencialidaddelosdatosaquepueda tener acceso en virtuddel presente contrato. En este sentido, el proveedor nopodrárecolectar,almacenar, transferir, transmitir, comunicar, tratar, cederousar,decualquier forma,losdatosindicadosanteriormente,salvoquedichasaccionesseannecesariasparaelcumplimiento

delasobligacionesconsignadasenelpresentecontratoy/oquemedieunaautorizaciónescritaporpartedelrepresentantelegaldelórganocontratante.

Enningúncasoseentenderáqueelproveedortienealgúnderechosobredatospersonalesqueselehan entregado, ni se entenderá que su titular ha prestado su consentimiento para dichotratamiento.

El proveedor adoptará todas las medidas conducentes a resguardar la confidencialidad de lainformaciónporpartedesupersonal,incluyendoprofesionales,consultores,contratistasodemáspersonasquedebantomar,hayantomadootenganconocimientodelaInformaciónConfidencialdelórganocontratante.

Los consultores y personal dependiente del proveedor, que de una u otra manera se hayanvinculadoalaejecucióndelosservicioscontratados,encualquieradesusetapas,deberánguardarconfidencialidaddelamismaformaaplicablealproveedor.

Toda la Información Confidencial (incluyendo las copias tangibles y la almacenada por medioselectrónicos y/o cualquier otromedio) proporcionadapor el órgano contratante será devuelta aéstedentrodelos30díascorridoscontadosdesdelarecepcióndeunrequerimientoescritoporelórgano contratante. Paradichos efectos, el proveedor entregaráal órgano comprador todos losmaterialesquecontenganorepresentenlaInformaciónConfidencialrecibida.Hecholoanterior,elproveedor no podrá mantener ninguna Información Confidencial del órgano contratante en supoder,debiendoeliminardeformairreversiblecualquiercopiadedichainformaciónquedispongaensusregistroslógicosyfísicos.

En todo momento durante el periodo de vigencia del contrato, el órgano comprador tendrá elderechodeaccederasusdatosalmacenados,asícomotendrátambiénlacapacidaddeextraerlos,asucuentayriesgo.Elproveedorconservarálosdatosdelaentidadalmacenadosenéste,enunacuentaconfuncionalidadlimitadadurantelos60díassiguientesalaexpiraciónoterminacióndelcontrato,detalmodoque laentidadpuedaextraer losdatos.Unavezquefinaliceelperiododeconservaciónde60días, el proveedordeshabilitará la cuentadelórgano comprador y eliminarásusdatos.

2.Seguridaddelainformación.

“Elproveedordeberáadoptar todas lasmedidas técnicas yorganizativasde seguridadque seanefectivas para efectos de evitar que la información del órgano contratante sea accedida portercerosnoautorizados.

Loanteriorseextiende,además,a lascomunicacioneselectrónicasdedicha informaciónentreelproveedoryelórganocomprador.

Entalcaso,elproveedordeberáemplearlasmedidasseguridadqueseannecesariasyadecuadasparaqueestascomunicacionesnoseaninterceptadas.

Paraloanterior,seguirálosestándaresdeseguridadestablecidoseneldecretoN°83,de2004,delMinisterio Secretaría General de la Presidencia, sobre seguridad y confidencialidad de losdocumentoselectrónicos,oaquellanormaqueloreemplace”.

3.Notificacióndeincidentesdeseguridad

SielProveedortuvieseconocimientodecualquieraccesoilícitoalosdatosdelaentidadysusdatosdesoporte,almacenadosensusequiposo instalaciones,otuvieseconocimientodeunaccesonoautorizado a dichos equipos o instalaciones y, tuviera como resultado la pérdida, revelación oalteración de los datos de la entidad (en adelante cada uno un “Incidente de Seguridad”), elproveedor deberá sin demora (1) notificar el Incidente de Seguridad al órgano comprador; (2)investigar el Incidente de Seguridad y proporcionar a la entidad información detallada sobre el

IncidentedeSeguridad; y (3) tomarmedidas razonablesparamitigar losefectos yminimizar losdañosresultantesdelIncidentedeSeguridad.

Las notificaciones de Incidentes de Seguridad se remitirán a uno o más administradores de laentidadatravésdecualquiermedioqueelproveedorseleccione,incluyendocorreoelectrónico.Esresponsabilidadexclusivadelaentidadasegurarsedequesusadministradoresmantenganentodomomento datos de contacto exactos y actualizados. La obligación del proveedor de notificar oresponder a un Incidente de Seguridad según lo previsto en esta sección no constituyereconocimientoporpartedelproveedorencuantoaincumplimientooresponsabilidadalgunaconrespectoalIncidentedeSeguridad.

Laentidaddeberánotificaralproveedor,sindemora,acercadecualquierposibleusoindebidoquesehayaproducidoensuscuentasocredencialesdeautenticación,oacercadecualquierincidentedeseguridadrelacionadoconlaprestacióndelosservicioscontractuales.

4.Fuerzamayorocasofortuito

Si sepresentaseunasituaciónde fuerzamayorocaso fortuitoen los términosqueseencuentradefinido por el artículo 45 del Código Civil, el proveedor deberá notificar al órgano contratanteinmediatamenteyporescritodedichasituaciónysuscausas,quedandoexcusadadecumplir lasobligacionesqueemanendelpresenteContrato,desdeelmomentode laocurrenciade la fuerzamayorocasofortuitohastaladesaparicióndeesta.

Silasituacióndefuerzamayorocasofortuitoseprolongasemásalládelorazonableoprevisible,segúnlanaturalezadelbienoserviciocomprendidoenelContrato,ofuereevidentequeésteyanopodrácumplirse,el[órganocontratante]estaráfacultadopararesolverelContrato,conformelasnormasdelalegislaciónvigente.

Sinperjuiciodeloanterior,enningúncasoseconsiderarácasofortuitoocausaldefuerzamayorlosiguiente:

(a)Elembargodelosbienesdelproveedor.

(b) Las acciones que pueda ordenar las autoridades competentes que impidan al proveedordesarrollar su labor por no cumplir con las disposiciones legales o reglamentarias que lecorrespondan.

(c)Lahuelgadelostrabajadoresdelproveedorodealgunodesuscontratistasosubcontratistas.

5.Legislaciónaplicableyresolucióndecontroversias.

ElpresenteContratoserigeporlasleyesynormasjurídicasdelaRepúblicadeChile.

Antecualquierdificultadquesesusciteentrelaspartesdeestecontratorespectodelaexistencia,validez,exigibilidad,resolución,término,interpretación,aplicación,cumplimientoosuscripcióndelmismo o por cualquier otra razón relacionada con este contrato, las Partes se someterán a lajurisdicciónycompetenciadelostribunalesordinariosdejusticiadelaciudaddeXX, comunadeXX.

6.Medidasparamantenerlacontinuidaddelservicio

Encasodetérminodelcontrato,anticipadoono,proveedordeberáentregaralórganocompradorlainformaciónutilizadaenlaprestacióndelosservicioshastaesemomento,demododehabilitarcualquiersoluciónqueéstedefina.

Duranteelperíodoquemediaentrelanotificacióndelaterminaciónylafechaenqueseéstasehará efectiva, el proveedor deberá prestar toda la colaboración que el órgano contratante lerequiera para que este último pueda traspasar a otro prestador la operación del servicio, demaneraquesemantengalacontinuidaddeeste,entodomomento.

Adicionalmente, se podrán aplicar todas las medidas tendientes a mantener la continuidad deservicioquedebaefectuarelórganocontratante,porcuenta,costoyriesgodelproveedor,previanotificaciónalmismoyparaaquelloscasosenquelaterminaciónleseaimputableaesteúltimo,deconformidadalascausalesestablecidasenelcontrato.

7.ProteccióndeDatosPersonales

ElproveedorsecomprometeaobservarloestablecidoenlaleyN°19.628deProteccióndelaVidaPrivadaydemáslegislaciónchilenaaplicable,respectodelaproteccióndedatospersonales.

En particular, deberá destruir o eliminar los datos de carácter personal o cualquier soporte odocumentoenqueéstosseincorporen,alafinalizacióndelpresentecontratooporrequerimientoexpresoyporescritodelórganocomprador.

Las obligaciones derivadas de la presente estipulación se extinguirán en elmomento en que losdatos de carácter personal hayan sido completamente borrados o eliminados del equipo dealmacenamientodedatosodealgúnmodo,destruidosoconvertidoseninaccesibles.

Elproveedorsecomprometeaadoptar,actualizarymantenerlasmedidasorganizativasytécnicasque estime necesarias para garantizar la seguridad y confidencialidad de los datos de carácterpersonal, impidiendo cualquier alteración, perdida, tratamiento, procesamiento o acceso noautorizado. Esta obligación se desarrollará de conformidad con el estado de la tecnología, lanaturalezadelosdatosylosriesgosalosqueesténexpuestosyaseaqueprovengandelaacciónhumanaodelmediofísicoonatural.

8.TratamientodedatospersonalesporMandato

Por lapresentedisposiciónseencargaalproveedorelefectuar tratamientodedatospersonales,porcuentadelórganocontratante.

Dichomandatotieneporobjeto[indicarlafinalidaddelmandato]yrecaesobrelossiguientestiposdedatospersonales:[indicarlostiposdedatospersonalesqueseutilizarán]

Eltratamientoduraráexclusivamentedurantelavigenciadelpresentecontratoohastacumplirlafinalidad del encargo, si ello ocurriera antes. Ocurrido cualquiera de los casos mencionadosprecedentemente,elproveedordeberárealizarladevolucióndelosdatosysueliminaciónefectiva.

Porúltimo,quedaexpresamenteprohibidoelusodedichosdatospersonalesparafinesdistintosalos indicados en esta cláusula, quedando además expresamente prohibida su comunicación aterceros.

9.Usodelosdatosdelaentidadpública

Losdatosde la entidad seutilizaránúnicamenteparaprestaral órgano comprador los servicioscontratados,incluyendofinalidadescompatiblesconlaprestacióndedichosservicios.

El proveedor no utilizará los datos de la entidad —ni derivará información de ellos— parafinalidades publicitarias o finalidades comerciales similares. Por lo que respecta a las partes, laentidadconservatodoslosderechos,latitularidadylosinteresessobresusdatos.