En la página 17, ITEM 2 - DISPOSITIVOS DE SEGURIDAD POR HARDWARE, donde dice: Deben implementarse para el proyecto todas las funciones necesarias de protección, respaldo, replicación y recuperación segura de claves. Se consulta: Según la normativa vigente, las claves privadas vinculadas a los certificados de tipo F (para firma digital) no pueden tener copia de seguridad, ello es contrario al objetivo de la firma digital. Se solicita analizar la situación y su modificación/exclusión.
En la página 17, ITEM 2 - DISPOSITIVOS DE SEGURIDAD POR HARDWARE, donde dice: Deben implementarse para el proyecto todas las funciones necesarias de protección, respaldo, replicación y recuperación segura de claves. Se consulta: Según la normativa vigente, las claves privadas vinculadas a los certificados de tipo F (para firma digital) no pueden tener copia de seguridad, ello es contrario al objetivo de la firma digital. Se solicita analizar la situación y su modificación/exclusión.
Favor remitirse y considerar lo establecido en el Pliego de Bases y Condiciones, se solicitan las funciones necesarias según la normativa vigente para el uso de dispositivos de seguridad por hardware.
12
Firma Remota
En la página 17, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: La plataforma deberá ser escalable y servirá de base para incorporar funcionalidades de firma remota con autenticación segura a los procesos que la SET requiera. Se consulta: ¿A qué se refiere con el término firma remota? ya que existen varias acepciones.
En la página 17, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: La plataforma deberá ser escalable y servirá de base para incorporar funcionalidades de firma remota con autenticación segura a los procesos que la SET requiera. Se consulta: ¿A qué se refiere con el término firma remota? ya que existen varias acepciones.
La Firma remota en el presente Pliego se debe interpretar como una FIRMA DIGITAL, según se define en la legislación de Paraguay y sus reglamentaciones respectivas, que se gestiona siguiendo todos los requerimientos del presente Pliego a través de una plataforma centralizada con dispositivos criptográficos de hardware del tipo HSM.
13
Prestadores de Servicios de Certificación -1
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: El sistema deberá soportar la realización de firma digital con credenciales PKI basadas en certificados digitales emitidos por un Prestador de Servicios de Certificación reconocido en Paraguay por el MIC (Ministerio de Industria y Comercio). Se consulta: ¿Se deberá integrar un único PSC o habría que integrar a todos los prestadores?
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: El sistema deberá soportar la realización de firma digital con credenciales PKI basadas en certificados digitales emitidos por un Prestador de Servicios de Certificación reconocido en Paraguay por el MIC (Ministerio de Industria y Comercio). Se consulta: ¿Se deberá integrar un único PSC o habría que integrar a todos los prestadores?
En el contexto de la presente licitación se deberá integrar al menos un PSC.
14
Interfaz de Integración de PSC habilitados
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: El sistema deberá soportar la realización de firma digital con credenciales PKI basadas en certificados digitales emitidos por un Prestador de Servicios de Certificación reconocido en Paraguay por el MIC (Ministerio de Industria y Comercio). Se consulta: ¿La interfaz de integración sería mediante el envío de mensajes PKCS#10 al mismo, y mediante capa de servicios web? De ser así, ¿Los PSC disponen de esta capa de servicios web?
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: El sistema deberá soportar la realización de firma digital con credenciales PKI basadas en certificados digitales emitidos por un Prestador de Servicios de Certificación reconocido en Paraguay por el MIC (Ministerio de Industria y Comercio). Se consulta: ¿La interfaz de integración sería mediante el envío de mensajes PKCS#10 al mismo, y mediante capa de servicios web? De ser así, ¿Los PSC disponen de esta capa de servicios web?
El oferente debe incluir la integración con el PSC en su oferta.
15
Cantidad de credenciales PKI
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: Inicialmente la SET prevé adquirir 500 credenciales PKI, estas serán utilizadas por funcionarios, Jefes, Coordinadores y Directores
Se consulta: ¿Este número es fijo o podría variar? Favor especificar la cantidad máxima.
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: Inicialmente la SET prevé adquirir 500 credenciales PKI, estas serán utilizadas por funcionarios, Jefes, Coordinadores y Directores
Se consulta: ¿Este número es fijo o podría variar? Favor especificar la cantidad máxima.
La plataforma debe estar preparada para 500 usuarios iniciales, sin embargo, en el contexto de esta licitación se solicitan 51 certificados tal como se indica en el ITEM 3 - CERTIFICADOS DIGITALES del presente Pliego.
16
Coste adicional de certificados digitales
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: Inicialmente la SET prevé adquirir 500 credenciales PKI, estas serán utilizadas por funcionarios, Jefes, Coordinadores y Directores
Se consulta: ¿En el caso de requerir más certificados digitales, el coste sería adicional?
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: Inicialmente la SET prevé adquirir 500 credenciales PKI, estas serán utilizadas por funcionarios, Jefes, Coordinadores y Directores
Se consulta: ¿En el caso de requerir más certificados digitales, el coste sería adicional?
Sí, el coste sería adicional para todos los certificados por encima del número solicitado en el presente Pliego. La plataforma debe estar preparada para 500 usuarios iniciales, sin embargo, en el contexto de esta licitación se solicitan 51 certificados tal como se indica en el ITEM 3 - CERTIFICADOS DIGITALES del presente Pliego.
17
Margo Regulatorio -6
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: el sistema deberá poder gestionar las credenciales PKI de los usuarios (certificados y claves) y la interrelación de estos con un Prestador de Servicios de Certificación reconocido en Paraguay por el MIC Se consulta: Si la SET tiene homologados todos los procesos para informar a los demás integrantes de la Infraestructura de Claves Públicas PKI del Paraguay de cualquier modificación en los certificados y/ claves privadas que potencialmente pueda tener bajo su guarda.
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: el sistema deberá poder gestionar las credenciales PKI de los usuarios (certificados y claves) y la interrelación de estos con un Prestador de Servicios de Certificación reconocido en Paraguay por el MIC Se consulta: Si la SET tiene homologados todos los procesos para informar a los demás integrantes de la Infraestructura de Claves Públicas PKI del Paraguay de cualquier modificación en los certificados y/ claves privadas que potencialmente pueda tener bajo su guarda.
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: : La plataforma de firma deberá poder interactuar con los diferentes componentes de los prestadores de servicios de certificación reconocidos en Paraguay por el Ministerio de Industria y comercio, y en particular con los siguientes componentes Se consulta: ¿Todos los PSC del país disponen de APIs (interfaces para interconexión de sistemas) para realizar esta integración? ¿Debería realizarse esta integración con todos los prestadores existentes?
En la página 8, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: : La plataforma de firma deberá poder interactuar con los diferentes componentes de los prestadores de servicios de certificación reconocidos en Paraguay por el Ministerio de Industria y comercio, y en particular con los siguientes componentes Se consulta: ¿Todos los PSC del país disponen de APIs (interfaces para interconexión de sistemas) para realizar esta integración? ¿Debería realizarse esta integración con todos los prestadores existentes?
En el contexto de la presente licitación se deberá integrar al menos un PSC.
19
Uso de los certificados digitales
En la página 9, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: Las credenciales PKI de usuarios gestionados por la plataforma deberán ser albergadas en los HSMs provistos en el ámbito de estas especificaciones técnicas.
Se consulta: ¿El uso de estos certificados digitales será únicamente para la plataforma de Factura Electrónica de le SET, o tendrán otro uso?
En la página 9, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: Las credenciales PKI de usuarios gestionados por la plataforma deberán ser albergadas en los HSMs provistos en el ámbito de estas especificaciones técnicas.
Se consulta: ¿El uso de estos certificados digitales será únicamente para la plataforma de Factura Electrónica de le SET, o tendrán otro uso?
El uso de los certificados digitales solicitados en el presente Pliego serán utilizados en los 2 (dos) procesos indicados en dicho Pliego: Crédito Tributario y Certificado de Deuda.
20
Proceso de Revocación
En la página 9, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: Las credenciales PKI de usuarios gestionados por la plataforma deberán ser albergadas en los HSMs provistos en el ámbito de estas especificaciones técnicas. Se solicita detallar el proceso de Revocación a ser implementado por la SET, así como el de Publicación de dichos certificados revocados.
En la página 9, ITEM 1 - PLATAFORMA DE IDENTIFICACIÓN, AUTENTICACIÓN Y FIRMA, donde dice: Las credenciales PKI de usuarios gestionados por la plataforma deberán ser albergadas en los HSMs provistos en el ámbito de estas especificaciones técnicas. Se solicita detallar el proceso de Revocación a ser implementado por la SET, así como el de Publicación de dichos certificados revocados.