Esta sección constituye el detalle de los bienes y/o servicios con sus respectivas especificaciones técnicas - EETT, de manera clara y precisa para que el oferente elabore su oferta. Salvo aquellas EETT de productos ya determinados por plantillas aprobadas por la DNCP.
El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.
Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.
En este apartado la convocante deberá indicar los siguientes datos:
Nombre, cargo y la dependencia de la Institución de quien solicita el llamado a ser publicado: Miguel Angel De Jesús Acevedo Chamorro, Gerencia de Área de Seguridad
Ricardo Adolfo Rolón Alderete, Gerencia Departamental de Seguridad Lógica
Justificación de la necesidad que se pretende satisfacer mediante la contratación a ser realizada: Se requiere una herramienta de SEIM para colectar todos los datos de los eventos relacionados a la seguridad que ayudará al Banco Nacional de Fomento a detectar y analizar amenazas y responder a ellas antes de que afecten a las operaciones del negocio.
En la actualidad todo este proceso se realiza de manera casi manual, y con el crecimiento de clientes digitales y la transformación digital en la que se encuentra el banco, obliga a contar con herramientas de última generación para responder eficientemente y eficazmente a las amenazas cibernéticas que pongan en riesgo la seguridad informática.
Justificar la planificación: corresponde a una necesidad temporal.
Justificar las especificaciones técnicas establecidas: La cantidad recursos tecnológicos que involucran al servicio bancario que el ofrece el Banco Nacional de Fomento, genera millones de eventos por día.
Por esta razón la herramienta SIEM que vayamos a adquirir, debe tener los requisitos técnicos indicados más abajo, para poder soportar el volumen de pistas de auditoria que serán procesados por la aplicación.
Por tal motivo y para garantizar la continuidad del negocio del BNF es de suma importancia contar con un SIEM con las características técnicas indicadas.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
En el marco del proceso de fortalecimiento de la infraestructura de seguridad TI, el Banco Nacional de Fomento tiene como objetivo implementar una solución que permita administrar automáticamente el registro de eventos y los datos de flujo de la red.
La entidad actualmente cuenta en su infraestructura con soluciones de seguridad de red, equipos de redes y servidores que son críticos para la operativa del Banco, pero debe incorporar una herramienta que permita consolidar la información que brindan estos equipos y generar información procesada con un enfoque analítico de seguridad.
En este contexto el BNF tiene como objetivo implementar una herramienta que permita:
- Gestión de eventos de seguridad y registros del flujo de la red
- Correlación de eventos de seguridad en tiempo real
- Detección de amenazas avanzadas y desconocidas
- Análisis y evaluación de cumplimiento de compliance
- Monitoreo de performance de usuarios y aplicaciones
|
ADQUISICIÓN DE HERRAMIENTA PARA ADMINISTRACIÓN DE EVENTOS E INFORMACIÓN DE SEGURIDAD (SIEM) |
|||
|
Marca |
Especificar |
Exigido |
|
|
Modelo |
Especificar |
Exigido |
|
|
Procedencia |
Especificar |
Exigido |
|
|
Características |
Descripción |
Exigencia |
Cumple / No Cumple |
|
Generales |
Cantidad de dispositivos de red y seguridad: |
2500+- |
|
|
Cantidad de servidores: |
290 |
|
|
|
Factor Forma: |
Appliance ó Virtual |
|
|
|
Tipo Licencia: |
Perpetua |
|
|
|
Cantidad mínima requerida de EPS |
5000 |
|
|
|
Para todos los componentes de la solución se deberá proveer el hardware, software y licencias requeridas para brindar una arquitectura en alta disponibilidad, en la modalidad llave en mano. |
Exigido |
|
|
|
La solución no debe limitar la cantidad de GB por día a recibir, el único parámetro de licenciamiento deben ser Eventos por Segundo. |
Exigido |
|
|
|
Administración |
La solución SIEM debe proporcionar una gestión centralizada de todos los componentes y funciones administrativas desde interfaz basada en web. |
Exigido |
|
|
La solución debe definir el acceso basado en roles, por dispositivo, grupo de dispositivos, rangos de red. También debe restringir a los usuarios y/o grupos acceso solo a la información de dispositivos, grupos de dispositivos y rangos de red respectivos. Esto incluye ser capaz de restringir el acceso de un usuario a funciones específicas de la solución que no está dentro del alcance de un papel usuarios incluyendo, pero no limitados a, la administración, presentación de informes, el filtrado de eventos, de correlación, y / o la visualización de Dashboard. |
Exigido |
|
|
|
La solución debe realizar el discovery en forma automática de los activos tanto físicos como virtuales que están siendo protegidos o monitoreados. Debe realizar la clasificación automática de los mismos y mantener una base de datos de configuraciones (CMDB), la cual debe tener nativa dentro de la propia herramienta SIEM. |
Exigido |
|
|
|
La solución debe contar con una interfaz de trabajo (Dashboard) totalmente configurable y customizable acorde a las diferentes áreas de trabajo, con reportes y análisis compartidos entre usuarios. |
Exigido |
|
|
|
Debe poder integrarse con sistemas de Directorios como método de autenticación, como mínimo Active Directory, LDAP, Radius. |
Exigido |
|
|
|
La solución debe proveer una API para el acceso a los datos almacenados en la Base de Datos. |
Exigido |
|
|
|
Funciones Operativas |
La solución debe poseer una interfaz gráfica de usuario basada en web para la gestión, el análisis y presentación de informes. |
Exigido |
|
|
La solución debe ser compatible con la actualización automática de la información de configuración con una intervención mínima del usuario, con reducción mínima del tiempo de inactividad y pérdida de eventos. |
Exigido |
|
|
|
La solución debe contar con un proceso de copia de seguridad y recuperación automatizada. |
Exigido |
|
|
|
Debe asegurar que todos los componentes de sistemas distribuidos continúan funcionando cuando cualquier otra parte del sistema falla o pierde la conectividad. Es decir, la consola de administración pudiera estar fuera de línea, todos los colectores separados todavía continúan trabajando en la captura de registros, que se actualizarán al restablecimiento de la comunicación. |
Exigido |
|
|
|
La solución debe soportar la configuración de alta disponibilidad en un modo integrado y sin la necesidad de software de 3 ª parte adicional. |
Exigido |
|
|
|
La solución debe contar con funcionalidad referente a la Gestión de Riesgos, el cual califique los diversos usuarios y dispositivo para la generación de reglas misma consola web del SIEM. |
Exigido |
|
|
|
La solución debe permitir implementaciones con software y / o appliance. |
Exigido |
|
|
|
La solución debe ofrecer widgets del Dashboard personalizables que pueden presentar información de seguridad relevante para los usuarios del sistema (es decir, puntos de vista de eventos, vistas de actividad de red, puntos de vista de incidentes, etc.) |
Exigido |
|
|
|
Debe realizar la supresión de eventos, así poder manejar situaciones de event storm. |
Exigido |
|
|
|
La solución debe ser capaz de mantener una base de datos de todos los activos descubiertos en la red. Estos datos de activos deben incluir información importante sobre el activo y de la información recogida (es decir, los atributos del sistema, los atributos de red, estado de vulnerabilidad, riesgos asociados, etc.) La base de datos debe ofrecer la posibilidad de editar los atributos cuando no se pueden descubrir en forma automática (es decir, departamento, ubicación, etc.) El usuario debe ser capaz realizar búsquedas en esta base de datos. |
Exigido |
|
|
|
La solución debe proveer Dashboard Out-of-the-box, a fin de que ayude a los administradores a una mejor visión de la información. Por ejemplo, Dashboard de compliances, de vulnerabilidades, de log activity entre otros. |
Exigido |
|
|
|
La solución debe brindar la capacidad de customizar tanto los dashboards como los widgets utilizados por cada usuario de forma granular. |
Exigido |
|
|
|
Brindar visibilidad en tiempo real de la información original y la información normalizada. |
Exigido |
|
|
|
La solución debe soportar la capacidad Multi Tenant, |
Exigido |
|
|
|
La solución debe soportar que el tráfico entre los nodos sea encriptado. |
Exigido |
|
|
|
Debe analizar e identificar direcciones IP y poder verificar la reputación de la misma, con el fin de detectar direcciones sospechosas y enriquecer el análisis de los eventos. Esta lista de reputaciones de dirección IP debe ser actualizado en forma automática y periódica por el fabricante. Por ejemplo: detectar puntos de distribución de malware, comandos botnet, proxys anónimos, servidores de spam. |
Exigido |
|
|
|
La solución debe soportar la capacidad de colectar flujos de red para utilizar en incidentes de seguridad, sin necesidad de agregar un nodo adicional. |
Exigido |
|
|
|
La solución debe realizar un análisis en tiempo real de los eventos. |
Exigido |
|
|
|
Analítica avanzada |
La solución debe brindar la funcionalidad de guardar de forma automática los resultados de una búsqueda por un tiempo determinado. |
Exigido |
|
|
La solución debe soportar la capacidad de realizar búsquedas sencillas para el usuario, al estilo Google. |
Exigido |
|
|
|
Filtrado y análisis de eventos |
La solución debe realizar el Drill-down avanzado de eventos en caso de ser necesario y esta podrá ser realizada desde los gráficos y dashboard |
Exigido |
|
|
La solución, debe poder agregar y analizar eventos basados en filtros específicos realizados por el usuario ya sea por keyword o tipo de evento. |
Exigido |
|
|
|
La solución debe generar alertas sobre la base de análisis de anomalías observadas y los cambios de comportamiento en los eventos de la red y de seguridad. |
Exigido |
|
|
|
La solución debe generar alertas sobre la base de análisis de anomalías observadas y los cambios de comportamiento en los eventos de la red y de seguridad. |
Exigido |
|
|
|
La solución debe realizar correlación de eventos dentro de una misma alerta |
Exigido |
|
|
|
La solución debe contextualizar vulnerabilidades dentro de la correlación |
Exigido |
|
|
|
La solución debe permitir la búsqueda del historial de eventos, a través de queries, filtros condicionales, expresiones calculadas, filtros de tiempo y agrupación por relevancia, via GUI y API. |
Exigido |
|
|
|
La solución debe ofrecer listas de vigilancia dinámicas para hacer seguimiento de infracciones críticas, estas listas deben poder utilizar en cualquier regla de reporte |
Exigido |
|
|
|
La solución debe apoyar y mantener un historial de la actividad de autenticación de usuario en función de cada activo. |
Exigido |
|
|
|
Detección de anomalías en endpoitns, servers y users pudiéndose filtrar por horas y días. |
Exigido |
|
|
|
Creación de reglas personalizadas para la detección de anomalías |
Exigido |
|
|
|
La solución debe incluir más de 800 reglas de correlación out of the box, incluidas al instalar la solución. |
Exigido |
|
|
|
Correlación en tiempo real |
La solución debe soportar la capacidad de normalizar eventos, realizar análisis de correlación y almacenamiento en tiempo real en cuanto lleguen los logs. |
Exigido |
|
|
La solución permite tener visibilidad en tiempo real a través de dashboards, búsquedas y análisis de usuarios finales tan pronto como lleguen los logs. |
Exigido |
|
|
|
La solución debe contar con un wizard que permita de forma sencilla customizar las reglas de correlación o crearlas desde 0 por el usuario. Todo a través de interfaz gráfica. |
Exigido |
|
|
|
La solución debe contar con la capacidad de categorizar las reglas en base al framework de Mitre |
Exigido |
|
|
|
La solución debe brindar una función que compruebe si existieron casos similares en el pasado, aplicando nuevas reglas a información almacenada en el pasado. |
Exigido |
|
|
|
La solución debe contar con la capacidad de tomar acción de forma automática al momento que se detecta un incidente de seguridad. |
Exigido |
|
|
|
La solución debe tener la posibilidad de hacer drill down, para obtener información detallada de los eventos en caso de ser necesario. |
Exigido |
|
|
|
La solución debe tener la capacidad de catalogar de forma automática la magnitud de un incidente de seguridad. |
Exigido |
|
|
|
La solución debe ser compatible con los productos de fabricantes especificados en los puntos posteriores, en el caso de no serlo deberá desarrollar los conectores necesarios para una óptima colección de la información. |
Exigido |
|
|
|
Origen de datos |
La solución debe incluir más de 400 tipos de orígenes de datos soportados out of the box. |
Exigido |
|
|
Dispositivos de red, incluyendo Swithces, Routers, Wireless LAN |
Exigido |
|
|
|
Dispositivos de seguridad, como ser Firewalls, Network IPS, Gateways Web/Email, Protección antimalware, Scanners de Vulnerabilidad |
Exigido |
|
|
|
Servidores incluyendo Windows, Linus, AIX, HP UX |
Exigido |
|
|
|
Servicios de infraestructura incluyendo DNS, DHCP, DFS, AAA, Controladores de dominio, VoIP |
Exigido |
|
|
|
User-facing applications incluyendo Web Serves, App Servers, Bases de datos |
Exigido |
|
|
|
Dispositivos de almacenamiento incluyendo NEtAPP, EMC, Nutanix, Data Domain |
Exigido |
|
|
|
Aplicaciones en la nube incluyendo AWS, Okta, Box.com, Salesforce.com |
Exigido |
|
|
|
Infraestructura en la Nube, incluyendo AWS |
Exigido |
|
|
|
Infraestructura de virtualización Vmware ESX, Microsoft Hyper-V y KVM |
Exigido |
|
|
|
Se deberá incluir una plataforma o módulo de inteligencia de amenazas (CTI) de diversas fuentes de inteligencia, tanto públicas como privadas. Esta plataforma o módulo deberá permitir: |
Exigido |
|
|
|
La solución debe normalizar campos comunes de eventos (es decir, nombres de usuarios, direcciones IP, nombres de host e inicio sesión dispositivo fuente, etc) de los dispositivos dispares a través de la red de múltiples proveedores. |
Exigido |
|
|
|
Gestión de Logs |
Además del campo de normalización básico, se debe proporcionar una función para ampliar la propiedad definiéndola a través de la interfaz de usuario según las necesidades del usuario y se debe proporcionar una función para aplicar regresión a los datos pasados antes del momento de definir la propiedad. |
Exigido |
|
|
La solución debe soportar hasta 30,000 Eventos por Segundo sin necesidad de agregar nodos adicionales |
Exigido |
|
|
|
La solución debe proporcionar la capacidad de almacenar / conservar registros tanto normalizados como el formato en bruto original del registro de eventos |
Exigido |
|
|
|
La solución debe proporcionar recopilación de los registros de eventos siempre que sea posible. |
Exigido |
|
|
|
La solución debe tener una recopilación de registros y la arquitectura de archivo que admita tanto a corto plazo (en línea) y largo plazo (sin conexión) de almacenamiento de eventos. |
Exigido |
|
|
|
La solución debe ser compatible con el acceso a largo plazo a los eventos de seguridad detallada y datos de flujo de red. El sistema debe ser capaz de proporcionar el acceso a al menos tres meses el valor de la información detallada. |
Exigido |
|
|
|
La solución debe ser compatible con los métodos de recopilación de logs de la industria (syslog, WMI, JDBC, SNMP, Checkpoint LEA, OPSEC, ALE, registros de FTP, SCP, SFTP) |
Exigido |
|
|
|
La solución debe proporcionar reportes sobre todos los elementos disponibles para la gestión a través de la interfaz gráfica de usuario. |
Exigido |
|
|
|
Gestión de activos |
La solución debe brindar la capacidad de identificar de forma automática los diferentes activos. |
Exigido |
|
|
Network Detection and Response |
La solución debe soportar la capacidad de identificar más de 1800 aplicaciones tanto en base a puertos / protocolos utilizados y también sin basarse en la información de los puertos. |
Exigido |
|
|
La solución debe tener la capacidad de perfilar tráfico de aplicaciones potencialmente peligrosas (file sharing, peer to peer, etc.) |
Exigido |
|
|
|
La solución debe permitir realizar una correlación en tiempo real de los flujos de red, permitiendo combinar estos con los logs recibidos en la plataforma. |
Exigido |
|
|
|
La solución debe tener la capacidad de extraer información en tiempo real y aplicarla a reglas de correlación ((File hash, file name, file size, DNS query information, DNS reply information, web referrer, domain, web URL, web agent, flow, etc.) |
Exigido |
|
|
|
La solución debe tener la capacidad de detectar tráfico sospechoso a través de la utilización de reglas YARA. |
Exigido |
|
|
|
Reportes |
La solución debe proporcionar un motor de informes configurable para la creación de informes personalizados. |
Exigido |
|
|
La solución debe realizar programación de reportes, a ser por hora, día, semanal, mensual para su envío vía mail |
Exigido |
|
|
|
La solución debe proporcionar reportes out-of-the-box de cumplimiento de regulaciones y marcos de control -PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO 27001, GLBA, GPG13, SANS, COBIT, NIST, entre otros |
Exigido |
|
|
|
La solución debe proporcionar reportes de incidentes con capacidad de estructurar para brindar prioridad a servicios y aplicaciones críticas |
Exigido |
|
|
|
Marco de corrección proporcionado para ejecutar una corrección de forma automática o manual en un dispositivo o aplicación. |
Exigido |
|
|
|
La solución debe proporcionar plantillas personalizables para la generación de reportes |
Exigido |
|
|
|
La solución debe integrarse con otras soluciones de seguridad y de inteligencia de red |
Exigido |
|
|
|
Arquitectura |
La solución debe permitir la personalización, para satisfacer las necesidades únicas de la entidad |
Exigido |
|
|
La solución debe poder ampliarse/expandirse fácilmente para apoyar la demanda adicional. Sin necesidad de tener que licenciar los nodos adicionales, estos deben estar incluidos. |
Exigido |
|
|
|
La solución debe proporcionar mecanismos intuitivos para la solución de problemas, tales como notificaciones proactivas, las utilidades de línea de comandos. |
Exigido |
|
|
|
La solución debe ser compatible con la taxonomía de la entidad en cuanto a eventos y campos. El usuario debe ser capaz de añadir sus propios nombres de eventos únicos (es decir, la posibilidad de añadir nuevos campos que no forman parte del esquema default). |
Exigido |
|
|
|
La solución debe permitir el tag personalizada de eventos, debe proporcionar la recuperación transparente, la agregación, clasificación, filtrado y análisis de datos a través de todos los componentes distribuidos |
Exigido |
|
|
|
La solución deberá estar diseñado para almacenar la información referida a todos los productos de fabricantes citados anteriormente, además de los otros requerimientos citados en los diferentes puntos de las especificaciones técnicas, clasificados en información en tiempo real, información referida a un periodo corto de tiempo correspondiente a 7 días, e información referida a un periodo largo de tiempo correspondiente a 30 días. |
Exigido |
|
|
|
Debe poder escalar hasta al menos 5.000 Eventos por segundo y 200.000 flujos por minuto en la misma implementación virtual ofertada |
Exigido |
|
|
|
La solución debe incluir, instalación, configuración y puesta punto sin afectar el ambiente de producción del BNF. Además, el oferente deberá incluir en su oferta todo lo necesario para el correcto funcionamiento, licencias, hardware, cables, accesorios, que forman parte de la herramienta a ser implementada. |
Exigido |
|
|
|
La solución debe incluir todos los servicios, complementos y agentes necesarios de modo a cubrir las necesidades expresas en cada uno de los ítems. |
Exigido |
|
|
|
La solución debe soportar la instalación y el posterior escalamiento en ambientes on premise, nube privada, nube pública y ambientes híbridos. |
Exigido |
|
|
|
La solución debe soportar colección, normalización y correlación de logs generados en ambientes Cloud Native. |
Exigido |
|
|
|
La solución debe incluir casos de uso especializados para ambientes Cloud Native por defecto. |
Exigido |
|
|
|
La solución ofrecida por el fabricante propietario deberá tener más de 10 años como líder en el cuadrante mágico de Gartner en la categoría SIEM. |
Exigido |
|
|
|
Licencias |
El oferente debe proveer licencia de la plataforma para cubrir todas las funcionalidades requeridas de manera perpetua. |
Exigido |
|
|
Soporte |
Se deberá proveer Soporte del fabricante por un periodo 36 meses. Debe incluir 36 meses de soporte local que deberá ser ejecutado por los técnicos del oferente, incluirá acceso a actualizaciones, a la base de datos de conocimientos, y escalamiento a centros de soporte superiores del fabricante, para la resolución de problemas relacionados a la solución |
Exigido |
|
El propósito de la Especificaciones Técnicas (EETT), es el de definir las carácteristicas técnicas de los bienes que la convocante requiere. La convocante preparará las EETT detalladas teniendo en cuenta que:
- Las EETT constituyen los puntos de referencia contra los cuales la convocante podrá verificar el cumplimiento técnico de las ofertas y posteriormente evaluarlas. Por lo tanto, unas EETT bien definidas facilitarán a los oferentes la preparación de ofertas que se ajusten a los documentos de licitación, y a la convocante el examen, evaluación y comparación de las ofertas.
- En las EETT se deberá estipular que todos los bienes o materiales que se incorporen en los bienes deberán ser nuevos, sin uso y del modelo más reciente o actual, y que contendrán todos los perfeccionamientos recientes en materia de diseño y materiales, a menos que en el contrato se disponga otra cosa.
- En las EETT se utilizarán las mejores prácticas. Ejemplos de especificaciones de adquisiciones similares satisfactorias en el mismo sector podrán proporcionar bases concretas para redactar las EETT.
- Las EETT deberán ser lo suficientemente amplias para evitar restricciones relativas a manufactura, materiales, y equipo generalmente utilizados en la fabricación de bienes similares.
- Las normas de calidad del equipo, materiales y manufactura especificadas en los Documentos de Licitación no deberán ser restrictivas. Siempre que sea posible deberán especificarse normas de calidad internacionales . Se deberán evitar referencias a marcas, números de catálogos u otros detalles que limiten los materiales o artículos a un fabricante en particular. Cuando sean inevitables dichas descripciones, siempre deberá estar seguida de expresiones tales como “o sustancialmente equivalente” u “o por lo menos equivalente”. Cuando en las ET se haga referencia a otras normas o códigos de práctica particulares, éstos solo serán aceptables si a continuación de los mismos se agrega un enunciado indicando otras normas emitidas por autoridades reconocidas que aseguren que la calidad sea por lo menos sustancialmente igual.
- Asimismo, respecto de los tipos conocidos de materiales, artefactos o equipos, cuando únicamente puedan ser caracterizados total o parcialmente mediante nomenclatura, simbología, signos distintivos no universales o marcas, únicamente se hará a manera de referencia, procurando que la alusión se adecue a estándares internacionales comúnmente aceptados.
- Las EETT deberán describir detalladamente los siguientes requisitos con respecto a por lo menos lo siguiente:
(a) Normas de calidad de los materiales y manufactura para la producción y fabricación de los bienes.
(b) Lista detallada de las pruebas requeridas (tipo y número).
(c) Otro trabajo adicional y/o servicios requeridos para lograr la entrega o el cumplimiento total.
(d) Actividades detalladas que deberá cumplir el proveedor, y consiguiente participación de la convocante.
(e) Lista detallada de avales de funcionamiento cubiertas por la garantía, y las especificaciones de las multas aplicables en caso de que dichos avales no se cumplan.
- Las EETT deberán especificar todas las características y requisitos técnicos esenciales y de funcionamiento, incluyendo los valores máximos o mínimos aceptables o garantizados, según corresponda. Cuando sea necesario, la convocante deberá incluir un formulario específico adicional de oferta (como un Anexo al Formulario de Presentación de la Oferta), donde el oferente proporcionará la información detallada de dichas características técnicas o de funcionamiento con relación a los valores aceptables o garantizados.
Cuando la convocante requiera que el oferente proporcione en su oferta una parte de o todas las Especificaciones Técnicas, cronogramas técnicos, u otra información técnica, la convocante deberá especificar detalladamente la naturaleza y alcance de la información requerida y la forma en que deberá ser presentada por el oferente en su oferta.
Si se debe proporcionar un resumen de las EETT, la convocante deberá insertar la información en la tabla siguiente. El oferente preparará un cuadro similar para documentar el cumplimiento con los requerimientos.
Los bienes y/o servicios deberán cumplir con las siguientes especificaciones técnicas y normas:
|
Ítem N° |
Descripción |
Cantidad |
Unidad de Medida |
Presentación |
|
1 |
HERRAMIENTA PARA ADMINISTRACIÓN DE EVENTOS E INFORMACIÓN DE SEGURIDAD (SIEM) |
1 |
Unidad |
Unidad |
Para los procedimientos de Menor Cuantía, este tipo de procedimiento de contratación estará preferentemente reservado a las MIPYMES, de conformidad al artículo 34 inc b) de la Ley N° 7021/22 ‘’De Suministro y Contrataciones Públicas". Son consideradas Mipymes las unidades económicas que, según la dimensión en que organicen el trabajo y el capital, se encuentren dentro de las categorías establecidas en el Artículo 5° de la Ley N° 4457/2012 ‘’PARA LAS MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS’’, y se ocupen del trabajo artesanal, industrial, agroindustrial, agropecuario, forestal, comercial o de servicio
La entrega de los bienes se realizará de acuerdo al plan de entrega, indicado en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicado a continuación:
|
Ítem N° |
DESCRIPCIÓN DEL BIEN |
CANTIDAD |
UNIDAD DE MEDIDA |
LUGAR DE ENTREGA |
PLAZO DE ENTREGA |
|
1 |
ADQUISICIÓN DE HERRAMIENTA PARA ADMINISTRACIÓN DE EVENTOS E INFORMACIÓN DE SEGURIDAD (SIEM) |
1 |
UNIDAD |
Banco Nacional de Fomento, sito Independencia Nacional esq. 25 de mayo, Gerencia Departamental de Seguridad Lógica |
45 días corridos desde la suscripción de la orden de compra |
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indica a continuación:
No aplica
El documento requerido para acreditar el cumplimiento contractual, será:
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA |
|
|
Conforme al Plazo de Entrega. |
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.