Suministros y Especificaciones técnicas

El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.

Los bienes suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.

Detalle de los productos con las respectivas especificaciones técnicas

Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:

Resumen de las Especificaciones Técnicas. Los bienes deberán cumplir con las siguientes Especificaciones Técnicas y Normas:

 

No. De Artículo

Nombre de los Bienes o Servicios

Cantidad

Especificaciones Técnicas y Normas

1

Licencia para 100 usuarios del Sistema de Gestión de Usuarios con soporte y actualización por 12 meses, según especificaciones técnicas

1

Ver detalle de las Especificaciones Técnicas y de las Normas

2

Licencia de uso para gestión de vulnerabilidades con soporte y actualización por 12 meses, según especificaciones técnicas

1

3

Licencia de uso para 110 usuarios para el software de control de usuarios que se conectan en forma remota con soporte y actualización por 12 meses, según especificaciones técnicas

1

 

LOTE N° 1

 

ADQUISICIÓN E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE USUARIOS

 

 

  1. Cantidad de bienes solicitados

Ítems

Cantidad

1. Licencia para 100 usuarios del Sistema de Gestión de Usuarios con soporte y actualización por 12 meses, según especificaciones técnicas

1

 

  1. . Objetivo

Implementar una solución de Administración y Gobernanza de identidades, adquisición de licencias, capacitación y soporte técnico.

 

  1. Consideraciones generales

La AFD posee sistemas de información propios y adquiridos que funcionan sobre plataforma Windows Server 2019, MsSqlserver y Oracle que poseen implementación de perfiles de accesos; así también se tiene implementado un software que permite gestionar las contraseñas y bloqueos de cuentas de usuarios en forma automática del Windows server.

La solución ofertada deberá mínimamente cumplir con los siguientes requisitos; gestionar las identidades y accesos a los sistemas de la AFD, debiendo poseer una administración centralizada, admitiendo la administración descentralizada en todo el ciclo de vida de los usuarios, como así también deberá permitir la certificación y recertificación del cumplimiento de las políticas de seguridad de la información en la administración de cuentas de usuarios.  La solución ofertada deberá contemplar los servicios de solicitud, aprobación, aprovisionamiento, auditoría y delegación de las identidades asociadas a las cuentas de los diversos sistemas a ser integrados. Autogestión para el usuario final de reseteo de contraseñas y desbloqueo de cuentas sin intervención del administrador.

 

La implementación de la solución deberá ser realizada en un servidor que sirva de administrador central para las cuentas de usuarios, la cual deberá mínimamente administrar 100 usuarios con capacidad de crecimiento a futuro tanto para usuarios internos como externos a la AFD.

 

  1. Requisitos mínimos exigidos

REQUISITOS MINIMOS EXIGIDOS

Item

Descripción

Nombre y versión de la solución ofertada.

El Oferente deberá especificar el fabricante, nombre de la solución y versión. EXIGIDO

El Oferente deberá proveer ficha técnica de la solución ofertada o link donde se puede visualizar la información de la solución en la página del fabricante. EXIGIDO

Requerimientos de hardware y software

El oferente deberá especificar tamaños de disco, cantidad de memoria RAM y procesadores necesarios para la instalación de la solución ofertada. EXIGIDO

Características generales de la solución

La solución deberá ser gestionada a través de una aplicación WEB centralizada. Todas las herramientas que componen la solución deberán estar integradas entre sí y serán complementarias en sus funcionalidades. Los componentes de la solución deberán pertenecer a un único fabricante. EXIGIDO

 

La solución ofertada debe poder determinar cuál es el estado actual de los usuarios y permisos actualmente asignados. Esto involucra la creación de un repositorio de identidades basado en los datos de las fuentes autoritativas y aplicaciones, correlacionando el acceso y luego identificando permisos fuera de patrón, cuentas huérfanas y usuarios colectores de permisos.  Debe incluir un portal de autoservicio para las solicitudes de acceso que permita a los usuarios finales o administradores, mediante la cual puedan solicitar accesos y/o cambios de los mismos. EXIGIDO

 

La solución debe soportar que este sea un proceso iterativo, que permita un refinamiento de los accesos de los usuarios mejorando las políticas y procesos.  La solución debe soportar un repositorio de identidades de todas las aplicaciones de Tecnología de la Información. La solución sería capaz de analizar los sistemas existentes (aun los que no tienen roles definidos) con un nivel de granularidad y análisis que permita identificar aspectos de seguridad y cumplimiento políticas de seguridad de la información y auditoría.  EXIGIDO

 

La solución debe permitir automatizar los procesos de consulta a los propietarios de roles/recursos que validen las excepciones necesarias. La solución debe brindar una administración basada en web que se pueda integrar al workflow de la solución. EXIGIDO

 

La solución debe permitir la exploración y la importación de cuentas y roles en los siguientes como mínimo: Active Directory, Linux, Oracle /MS SQL Server.  La solución debe poder identificar automáticamente y remediar las siguientes excepciones a privilegios tales como: Cuentas, roles y recursos Huérfanos, Colectores de privilegios excesivos y Privilegios fuera de patrón como mínimo.  La solución debe soportar la importación o exportación de datos de: Usuarios, roles y autorizaciones, Active Directory, Windows File Shares, UNIX/LINUX como mínimo. La solución debe permitir la importación y administración de datos que sea ejecutada en forma inmediata o planificada a intervalos regulares. La solución debe permitir la importación/exportación de datos vía archivos CSV como mínimo.  El procesamiento de datos importados de fuentes autoritativas hacia el repositorio de identidades podrá ser de la forma ad hoc o de forma programada en intervalos predefinidos. EXIGIDO

 

Todos los accesos a la solución deben ser realizadas de forma segura. Debe proporcionar la confidencialidad e integridad de los datos enviados para otros sistemas integrados. Debe utilizar certificados digitales válidos para las transacciones HTTPS. Debe permitir el acceso a través de una computadora, Tablet, y celulares, compatibles con Windows, Linux, MacOs, Android e iOS. La interfaz de la solución debe poder ser personalizada con los estándares de la AFD (fondo, logos, información, enlaces). EXIGIDO

 

Debe permitir el acceso a la aplicación a través de perfiles diferenciados. Debe soportar la segregación de funciones a nivel transacciones de autorización. EXIGIDO

 

El acceso del usuario deberá ser realizado por login y contraseña, a ser generada cuando el usuario es creado, basado en las políticas de password definidas por la AFD: Bloquear el acceso de un usuario luego de un tipo definido sin uso. Bloquear el acceso por la cantidad de intentos fallidos de acceso definida. Complejidad de contraseña como mínimo. EXIGIDO

 

Debe soportar funciones de auditoria y monitoreo de todos los componentes.  Registrar los eventos de seguridad en el uso del sistema. Aprovisionar interfaz de consulta de auditoría de forma automatizada o manual, por medio de consultas predefinidas y configurables. Debe permitir el registro de todas las actividades de acceso y modificación de datos en el sistema (creación, modificación y exclusión, perfiles de acceso, concesiones, bloqueos), permitiendo el resguardo histórico por un periodo configurable conforme las Políticas de Seguridad de la Información de la AFD, con el objetivo de garantizar la rastreabilidad de las acciones ejecutadas generando evidencias auditables. EXIGIDO

 

Deberá incluir un repositorio de identidades centralizado como fuente única confiable de almacenamiento de datos de identidades (actuales e históricas), dicho repositorio debe permitir el modelo de datos que incluya identidad, cuentas, aplicación, permisos, comentarios y datos de control. EXIGIDO

 

La solución debe soportar consolidaciones, conciliaciones, reconciliaciones y auditoria de las distintas cuentas y permiso de una única identidad.  EXIGIDO

 

Debe soportar mecanismos que garanticen la recuperación de la solución en caso de contingencia. EXIGIDO

 

La solución debe poder detectar cambios de permisos de acceso a nivel de negocio que requieran cambios en el modelo de roles. Por ejemplo: Si se agregan usuarios a un nuevo rol A y resulta que el Rol A, es similar a un rol ya definido, la solución debe ser capaz de detectar las similitudes y asistir al administrador en resolver las redundancias y reutilizar los roles. Debe permitir la importación de los cuentas y roles del Active Directory. Debe proveer además de los reportes a ser definidos por la entidad, como mínimo lo siguiente: certificación de Privilegios de usuarios, certificación de usuarios, certificación de roles, certificación de servicios (plataformas integradas), cambios de privilegios, ciclo de vida del usuario., recertificaciones de privilegios, reportes de Segregación de Funciones. EXIGIDO

 

Permitir la delegación de funciones en forma temporal basado en: Fecha de inicio de delegación y Fecha de finalización delegación. Permitir la delegación dinámica de una tarea de aprobación de manera tal de reasignar la tarea a otro usuario dinámicamente según reglas preestablecidas. . Permitir el aprovisionamiento de Usuarios basado en roles (RBAC):

a. Permitir que el modelado RBAC de administración de roles también soporte la capacidad de manejar roles anidados.  EXIGIDO

b. Permitir el aprovisionamiento basado en reglas dinámicas (ABAC Attribute Based Access Control) de manera a poder realizar la asignación de permisos basado en atributos del usuario. EXIGIDO

c. Debe poseer la flexibilidad de poder aprovisionar usuarios de fuentes de identidades donde no se posea un conector nativo o sea contar con una herramienta de desarrollo de adaptadores.  EXIGIDO

 

Debe permitir la sincronización de cuentas tanto: desde la solución de gestión de identidades a las plataformas integradas a través de políticas de identidades y roles y desde las plataformas integradas al sistema de gestión de identidades. EXIGIDO 

 

Debe tener la capacidad de para gestionar las altas y bajas de cuentas en forma mediante la lectura de archivos csv o txt. La carga masiva de debe permitir (EXIGIDOS):

a. Ejecutar Workflow que permitan realizar operaciones a nivel de ABM como  mínimo: Aprobar, Rechazar, Reservar, Liberar.

b. Debe permitir modificar en forma masiva los atributos de usuarios.

c. Debe permitir programar las altas y bajas de cuentas basadas en planificaciones a ser definidas.

d. Debe tener la capacidad de definir un ID de usuario único durante la creación de la cuenta de una identidad, en la misma se debe considerar como mínimo: que el usuario este previamente definido en cuyo caso deberá generar una ID de usuario única, que el usuario haya sido dado de baja o deshabilitado en cuyo caso se deberá prevenir la reutilización del mismo ID de usuario.

Controles sobre: Segregación de funciones y riesgos relacionados

La solución debe permitir la asignación de una calificación de riesgo basado en una combinación de condiciones de negocio (ubicación, función, etc.). EXIGIDO  La solución debe permitir la certificación automática para: Usuarios, Roles y Recursos, identificar las cuentas relevantes y ejecutar certificaciones de solo un subconjunto de datos como mínimo de (EXIGIDOS):

  1. Permisos que violan una política de segregación de funciones.
  2. Combinaciones de permisos de accesos.
  3. Potencialmente riesgosas basado en análisis de patrones.
  4. Recursos con ‘links’ directos a los usuarios (opuesto al modelo de roles).
  5. Cuentas Huérfanas.
  6. Permisos que cambian entre fechas 

Las políticas de complimiento deben poder evaluar los privilegios de acceso entre múltiples sistemas de usuarios. EXIGIDO

La solución debe poder mostrar el estado en que se encuentran los riesgos de la organización. EXIGIDO

La solución debe brindar reportes de Segregación de funciones que permitan como mínimo: restricciones entre Grupos, restricciones entre Recursos, restricciones entre Roles, restricciones entre datos de RH y Grupos, restricciones entre Grupos y Recursos. EXIGIDO

USUARIOS

Crear, actualizar y eliminar cuentas de usuario en cualquier entorno de la institución, incluidos sistemas y aplicaciones basados en web. EXIGIDO

 

Permitir la definición de una identificación de usuario global (UID global) que permita la asociación y mapeo de Identidades de usuarios en base a reglas prestablecidas. Soportar la administración de identidades para los siguientes tipos de usuarios: funcionarios, contratados, a futuro usuarios externos a la AFD. EXIGIDO

 

Permitir el escalamiento a nivel de Administración y según el tipo de comunidad de usuarios tanto internos como externos. Permitir accesos temporales de usuarios (fecha inicio y fecha fin de delegación de accesos). Permitir la delegación dinámica de una tarea de aprobación de manera tal de reasignar la tarea a otro usuario dinámicamente según reglas preestablecidas. EXIGIDO

Permitir cargar en forma masiva la información de usuarios desde más de una fuente autoritativa al mismo tiempo aplicando reglas y realizando transformaciones de datos para normalizar el modelo de datos de usuarios y aplicaciones administradas. EXIGIDO

 

Permitir el aprovisionamiento de Usuarios basado en Roles (RBAC) : Role Based Access Control  Permitir que el modelo RBAC de administración de roles también soporte la capacidad de manejar roles anidados.  Permitir el aprovisionamiento basado en reglas dinámicas (ABAC: Attribute Based Access Control) de manera de poder realizar la asignación de permisos basado en atributos del usuario (EXIGIDOS):

  • Sistemas operativos mínimos Windows Server 2012 en adelante, UNIX/Linux
  • Base de datos: MsSqlserver y Oracle como mínimo
  • Servicios de directorio: Active Directory, LDAP genérico como mínimo.

Flexibilidad de aprovisionar usuarios de fuentes de identidades donde no tenga un conector. EXIGIDO

 

Permitir la construcción de conectores a aplicaciones internas o comerciales no soportadas por un conector. Integración con sistemas de la AFD (EXIGIDOS):

  • Active Directory.
  • Sistema CORE (Sql Server).
  • STF Electrónica (Sql Server).
  • xAdapter (Sql Server).
  • Sistema WEB AFD (Sql Server).

 

El motor del workflow deberá ser capaz de invocar procesos y servicios externos utilizando servicios web, API, local. El método de integración podrá ser determinado por la aplicación o servicio externo. Deberá poder administrar las interacciones entre el workflow y la aplicación/servicio invocado. Por lo que deberá ser capaz de interpretar códigos de retorno, procesar datos. EXIGIDO

 

Tener la capacidad para programar las altas y bajas de cuentas basadas en un calendario de tiempo, con una fecha efectiva de arranque y fecha efectiva de terminación. EXIGIDO

 

Los usuarios deberán poder ver la información con filtros de acuerdo a su rol, de manera que un usuario final pueda ver su nombre y apellido, oficina, teléfono y dirección, mientras que el gerente del mismo vea además sus roles. EXIGIDO

 

Tener la capacidad de definir un ID de usuario único durante la creación de la cuenta de una identidad basada en una lógica predefinida que debe considerar las siguientes situaciones de conflicto como mínimo: que el usuario este previamente definido en cuyo caso deberá generar una ID de usuario única, que el usuario haya sido retirado o deshabilitado en cuyo caso se deberá prevenir la reutilización del mismo usuario. EXIGIDO

 

La solución debe proveer flexibilidad en la administración de permisos, permitiendo un control granular de cambios a nivel de: roles de negocio, cambios en las cuentas, cambios en los atributos de las cuentas, cambios en los valores de los atributos de las cuentas como mínimo. EXIGIDO

 

FUNCIONALIDAD DE AUTOSERVICIO DE REGISTRACION Y ADMINISTRACION DE USUARIOS

La solución debe tener la capacidad de permitir el autoservicio de registración y administración de usuarios finales. EXIGIDO

La solución debe proveer una interfaz web que permita a los usuarios de negocio como mínimo (EXIGIDOS):

  • Actualizar elementos de su Perfil de Usuario.
  • Administrar sus contraseñas y configurar las preguntas y respuestas de verificación de identidad.
  • Requerir el acceso a: un rol o permiso o un servicio de negocio o aplicación o a la creación de un nuevo rol. Permitir al usuario final que pueda visualizar el estado de los requerimientos que realizó, los roles asignados a éste ver roles o perfiles que puedan delegar a otras personas.
  • Permitir que el proceso de registración obligue al usuario final a dar como leída y aceptada, las condiciones de acceso a los sistemas de la AFD, pudiendo este ser un formulario de aceptación o una política de seguridad aprobada.
  • Permitir que el proceso de registración permita establecer diferentes métodos de verificación de identidad:
    • Validación de respuestas a los atributos ingresados en la pantalla de registración que son validados via web services contra sistemas internos/externos de validación
    • Validación del usuario en forma posterior por parte de un administrativo.

La solución debe proveer un servicio de Identificación de Usuario Olvidada que permite mediante un desafío de preguntas/respuestas recuperar la información de usuario. EXIGIDO

La solución debe presentar una interfaz intuitiva a nivel usuario final que simplifique el proceso de requerimiento, el usuario podrá seleccionar los roles y permisos que sean necesarios para cumplir sus funciones. EXIGIDO

 

La solución debe permitir que el usuario final pueda visualizar como mínimo (EXIGIDOS): detalles de Perfil de Usuario, Acceso Actual, Cuentas asignadas para cada usuario, capacidad de realizar acciones permitidas tales como:

  • Bloqueo/Desbloqueo, Suspensión, Reseteo de Contraseñas Estado de sus Requerimientos de Acceso, y Certificaciones de Acceso.

La solución debe permitir que el usuario final pueda visualizar y hacer un seguimiento activo del proceso de solicitud de acceso siguiendo una línea de tiempo (cuando fue pedido, cuando fue aprobado, que queda pendiente). EXIGIDO

 

La solución debe permitir el manejo de un Catálogo de permisos granulares de manera tal que permita solicitar: roles, membresía de grupos o Atributos de usuario. EXIGIDO

 

La solución debe soportar un Modelo de Permisos que permita presentar y agrupar los mismos en forma lógica de manera que el usuario final pueda navegar fácilmente para solicitar los permisos que necesita.  Las agrupaciones lógicas deberían ser al menos las siguientes: aplicaciones, grupo de Aplicaciones, roles, grupo de roles, perfiles o permisos de negocio La solución la aceptación o rechazo de un requerimiento de acceso basado en una evaluación de riesgo entre el permiso solicitado y los permisos existentes. EXIGIDO

ALERTAS, CONTROLES, MONITOREO, REPORTES

Brindar la facilidad que los administradores especifiquen en forma automatizada el lanzamiento de correos de recordatorio y alertas. EXIGIDO

 

Brindar la facilidad que los administradores requieran la justificación mediante un comentario de la certificación de acceso de un usuario que está violando una política de cumplimiento. EXIGIDO

 

La solución debe alertar a los usuarios de violaciones a las políticas durante el contexto de una campaña de certificación. EXIGIDO

 

Debe permitir controlar las notificaciones enviadas a los usuarios, pudiendo parametrizar, generar, configurar y programar notificaciones por eventos y perfiles de entidades. Debe permitir el reenvío de notificaciones por parte del administrador. La solución debe permitir la notificación de correos electrónicos basado en Políticas, deberá permitir la personalización de mensaje, remitente, y receptor, basado en el evento y/o fecha de ocurrencia. EXIGIDO

 

La solución debe proveer una visión consolidada de los usuarios, roles y privilegios asociados junto con las uniones entre cada uno de ellos. La solución deber permitir consultas y reportes sobre los permisos de acceso y/o roles que hayan sido asignados a un usuario o a un recurso especifico. EXIGIDO

 

La solución debe proveer reportes de privilegios /roles y certificaciones como mínimo de (EXIGIDOS):

a. Certificación de Privilegios de Usuarios.

b. Campaña de Certificación de Usuarios.

c. Campaña de Certificación de Roles.

d. Campaña de Certificación de Recursos.

e. Estado de Avance de Certificaciones.

f. Requerimientos de Cambios de Privilegios de Usuarios.

g. Recertificaciones de Privilegios de Usuarios;

La solución debe poder mostrar en un tablero de control el estado en que se encuentran las certificaciones. EXIGIDO

 

La solución debe soportar la asignación y monitoreo de riesgos a cualquier combinación de permisos de acceso. La solución debe mostrar mediante reportes y tableros de control el estado de cumplimiento de las AFD.  Mostrar en línea las modificaciones realizadas por los administradores a por fuera del proceso normal de Adm. de Identidades tales como creación de cuentas nuevas, atributos modificados, etc. EXIGIDO

ROLES

La solución debe proveer metodologías de descubrimiento de roles ‘out-of the-box’ fácilmente customizables mediante parámetros. El descubrimiento de los roles se puede basar en: atributos de las personas como departamento, ubicación, etc, combinación de atributos o patrones de usuarios o privilegios definidos. La solución debe permitir visualizar en forma fácil los diferentes tipos de asociaciones existentes entre usuarios, roles y recursos. EXIGIDO

 

La solución debe poder detectar cambios de permisos de acceso a nivel negocio que requieran cambios en el modelo de roles Por ej: Si se agregan 10 usuarios a un Nuevo rol X y resulta que el rol X es similar al rol Y ya definido, el sistema debe ser capaz de detectar las similitudes y asistir al administrador en resolver las redundancias y reutilizar los roles. EXIGIDO

FLUJOS

La solución deberá permitir el autoservicio de registración y administración de usuarios, autoservicio de resteo de contraseñas y administración de requerimientos de servicios de acceso. EXIGIDO

 

La solución debe permitir automatizar los procesos de negocio para aprobación de roles, autoservicio de roles y modificación de roles. Debe proveer una solución de Workflow que pueda soportar el ciclo de vida completo de una identidad.  EXIGIDO

 

La solución debe brindar una administración basada en web que se pueda integrar al workflow de la solución. Brindar la facilidad que a los Gerentes o Encargados de las áreas de la AFD, puedan certificar el acceso de los usuarios en forma amigable y sencilla. Debe contar con una interfaz para las tareas de monitoreo, estado y progreso de los procesos y aprobaciones. La solución deberá permitir a los aprobadores visualizar y administrar todas las tareas del flujo de trabajo, bajo su responsabilidad.

Debe generar notificaciones vía correo electrónico a los usuarios informando el estado de las solicitudes y aprobaciones. Debe notificar por correo electrónico a los aprobadores, cuando una tarea del flujo de trabajo no está siendo ejecutada por cierto periodo de tiempo definido. Debe poder enviar las tareas del workflow que no están siendo ejecutadas por un periodo predefinido a otros aprobadores. Este ruteo debe optar por una notificación al primer aprobador antes de reenviar a otros aprobadores. Debe permitir a los aprobadores, delegar sus tareas de workflow a otros aprobadores, pudiendo ser esto en forma manual o planificada. EXIGIDO

 

Debe permitir la visualización del workflow de una solicitud de acceso, identificando etapas y aprobadores, debe permitir la rastreabilidad de las aprobaciones. Debe permitir el modelado de escalamiento de aprobaciones por tiempo. La solución debe permitir ver en forma gráfica el estado de la ejecución de los workflows, mostrando el flujo de ejecución a nivel como mínimo de: tareas aprobadas y tareas verificadas. EXIGIDO

 

El motor del workflow deberá ser capaz de invocar procesos y servicios externos utilizando servicios web, API, local. El método de integración podrá ser determinado por la aplicación o servicio externo. Deberá poder administrar las interacciones entre el workflow y la aplicación/servicio invocado. Por lo que deberá ser capaz de interpretar códigos de retorno, procesar datos. EXIGIDO

AUTOSERVICIO DE RESETEO DE CONTRASEÑAS

La solución debe permitir que los usuarios autogestionen sus contraseñas a través de la consola WEB de la solución.  La solución debe tener un sistema de administración de contraseñas flexible que permite establecer políticas fuertes de:  Composición, Reutilización, Expiración, Reseteo, Autoservicio, Propagación, Sincronización, Integración. EXIGIDO

Permitir asignar a un usuario la contraseña por primera vez y luego pedir que la cambie con la primera sesión inicial. Permitir soportar políticas de composición de contraseña. La solución debe permitir limitar la cantidad de veces que se intenta resetear una contraseña. EXIGIDO

La solución debe brindar un mecanismo de preguntas variables para validar la autenticación. EXIGIDO

La solución debe permitir soportar políticas de reutilización flexibles y debe permitir guardar la información de las contraseñas utilizadas para evitar su uso recurrente basadas en (EXIGIDOS):

  1. Datos de los atributos del perfil de usuario.
  2. Contraseñas del Diccionario. 
  3. Cantidad mínima de días antes de reusar una contraseña.  
  4. Cantidad mínima de contraseñas antes de volver a reusar la contraseña. 
  5. Porcentaje de diferencia con respecto a la contraseña anterior.  

La solución debe permitir soportar diferentes políticas de contraseñas para diferentes grupos de usuarios. La solución debe permitir soportar políticas de expiración de contraseñas flexibles para satisfacer las necesidades de la organización, basadas en (EXIGIDOS):

a)           Inactividad de un usuario (seguimiento de logins exitosos).

b)           Cantidad de contraseñas incorrectas (seguimiento de logins fallidos).

La solución debe proveer un mecanismo de propagación de cambio de contraseñas a todas las plataformas soportadas. EXIGIDO

La solución debe brindar un mecanismo para atrapar cambios de contraseñas cuando se realizan puntualmente en los equipos y sincronizar en forma bidireccional estos cambios con la solución de Administración de Identidades. Plataformas soportadas: AD (Windows), Unix /Linux, LDAP. La solución debe proveer servicios de contraseña olvidada o reseteo de contraseña soportando la integración de los servicios de contraseñas de la herramienta con el login de Windows. EXIGIDO

IMPLANTACIÓN DE LA SOLUCIÓN, DOCUMENTACIONES DE LA IMPLANTACIÓN, DOCUMENTACIONES DEL OFERENTE

El Oferente deberá presentar el plan de trabajo al Coordinador de Seguridad de la Información de la AFD, junto con el listado de técnicos que formaran parte de la implementación de la solución y designar un líder de proyecto quien será el responsable de informar al Coordinador de SI los avances del proyecto, cuando éste le solicite. EXIGIDO

Documentaciones de la solución (EXIGIDOS):

Deberán ser entregados los manuales de instalación y administración. Como parte de esta documentación, deberán encontrase previa a la implantación de la solución de lo siguiente:

  1. Análisis y perfilado de cargos/roles/personas. o Árbol Organizacional. o Método de Integración con RRHH.
  2. Procesos de aprobación. o Procesos de delegación o Diseño lógico físico.
  3. Manual de procedimiento de Gestión de Identidades.

La instalación de la solución debe ser realizada en forma transparente sin causar impacto al ambiente productivo y deberá garantizar la integridad del mismo EXIGIDO

El Oferente debe comprobar la cualidad técnica de los especialistas involucrados a través de documentación, debe contar con al menos 2 especialistas certificados en la solución, presentar Curriculum Vitae de los mismos acompañando de los certificados en la solución. EXIGIDO

El Oferente deberá presentar una carta del fabricante o su representante oficial en Paraguay de la solución ofertada,  en la cual avale que el mismo está autorizado para comercializar la solución ofertada y cuenta con capacidad técnica para brindar soporte del mismo.  El Oferente deberá tener al menos 2 implementaciones exitosas del producto ofertado en el territorio paraguayo, en empresas o instituciones públicas o privadas de igual o mayor envergadura que la AFD. EXIGIDO

HARDWARE, SOFTWARE Y LICENCIAS DE USO

El Oferente deberá incluir en su oferta todo lo necesario para su  correcto funcionamiento, licencias y mano de obra calificada, el Oferente deberá indicar cuáles son los requerimientos de hardware necesarios para instalación, disco, memoria, procesador, la AFD posee como plataforma de hipervisor VmWare, licencias de uso para el sistema operativo Windows Server para la instalación de la solución;  en caso que la solución requiera otro software, tanto la licencia de uso, soporte y suscripción por 12 meses correrá por cuenta del Oferente. La AFD proveerá disco, memoria y procesadores necesarios para la implementación de la solución. EXIGIDO

Todas las licencias de uso, suscripción de servicios y soporte para la implementación de la solución ofertada deberán estar a nombre de la AFD por 12 meses; la solución ofertada y sus componentes deberá ser la última versión lanzada por el fabricante, instalado y configurado con todas las actualizaciones y activaciones necesarias. EXIGIDO

ADIESTRAMIENTO

El oferente deberá elaborar y ejecutar un plan de adiestramiento interno para los técnicos de TI y SI. El mismo deberá contemplar entrenamiento en todas las funcionalidades con la que cuenta la solución (procesos de instalación, configuraciones de políticas y reglas, actividades que son realizadas por la solución, generación y modificación de reportes como mínimo). EXIGIDO

GARANTÍA Y SOPORTE TÉCNICO

Garantía escrita de 1 año emitida por el fabricante o su representante oficial en Paraguay por la solución ofertada, que deberá ser ejecutada por los técnicos locales autorizados por el fabricante. Incluirá acceso a actualizaciones, a la base de datos de conocimientos, y escalamiento a centros de soporte superiores del fabricante, para la resolución de problemas relacionados a la solución. EXIGIDO

El oferente deberá facilitar números telefónicos de urgencia, direcciones de correo, y una página Web para proceder a la comunicación del problema, en caso de que posee un sistema de tickets. EXIGIDO

El soporte deberá incluir 40 horas de servicios adicionales a la implantación en caso de cambios o nuevos reportes o conectores. Se establece como tiempo de respuesta, en caso que la solución tenga algún inconveniente en su funcionamiento u operativa: un máximo de 2 horas, desde la recepción de la comunicación. EXIGIDO

CONFIDENCIALIDAD

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización de la AFD. EXIGIDO

 

Cada una de las partes protegerá la información obtenida durante el desarrollo del trabajo de la misma manera en que protege su propia información confidencial, haciéndose responsable por cualquier daño/perjuicio que se pudiera ocasionar por el uso indebido de la información accedida. La AFD podrá disponer para su uso de todos los entregables, que no incluyen metodología ni software utilizado. Salvo autorización de los responsables de la AFD, una vez finalizado el trabajo se procederá a eliminar toda copia electrónica y/o impresa de la información obtenida de cualquiera de los equipos informáticos del personal afectado al trabajo. EXIGIDO

 

LOTE N° 2

 

ADQUISICIÓN SOFTWARE DE GESTION DE VULNERABILIDADES

 

 

  1. Cantidad de bienes solicitados

Ítems

Cantidad

Licencia de uso para gestión de vulnerabilidades con soporte y actualización por 12 meses, según especificaciones técnicas

1

 

  1. . Objetivo

Provisión de una solución integral que permita la gestión de las vulnerabilidades y los riesgos potenciales a los cuales están expuestos los activos de información, además de proponer y monitorear las medidas correctivas y preventivas para mitigar los riesgos identificados.

 

  1. Consideraciones generales

La AFD posee sistemas de información propios y adquiridos que funcionan sobre plataforma Windows Server 2019, MsSqlserver y Oracle, Firewalls de Cisco y Fortinet, Firewall de aplicaciones, SPLUNK, Firewall de Base de Datos McAfee, Clientes Windows 7 y superiores, Office 365. La AFD posee como plataforma de hipervisor VmWare, licencias de uso para el sistema operativo Windows Server para la instalación de la solución. La AFD posee el sistema de Tickets INVGATE para las actividades del área de TI.

 

  1. Requisitos mínimos exigidos

 

REQUISITOS MINIMOS EXIGIDOS

ITEM

Descripción

NOMBRE Y VERSIÓN DE LA SOLUCIÓN OFERTADA

El Oferente deberá especificar el fabricante, nombre de la solución y versión. EXIGIDO

El Oferente deberá proveer ficha técnica de la solución ofertada o link donde se puede visualizar la información de la solución en la página del fabricante. EXIGIDO

Debido a la limitación de espacio físico en el DATA CENTER, se solicita que la solución ofertada sea VIRTUAL. La AFD posee como plataforma de hipervisor VmWare, licencias de uso para el sistema operativo Windows Server para la instalación de la solución.

El Oferente deberá especificar tamaños de disco, cantidad de memoria RAM y procesadores necesarios para la instalación de la solución ofertada. EXIGIDO

CARACTERISTICAS GENERALES DE LA SOLUCION TECNOLOGICA

Debe permitir definir los mecanismos y el plan de trabajo para la remediación de las vulnerabilidades encontradas, determinando el impacto sobre la infraestructura y/o aplicaciones del negocio.

Debe permitir la correcta divulgación, presentación y el correcto entendimiento de las vulnerabilidades encontradas.

Debe permitir realizar seguimiento y auditoría de todo el proceso de remediación de las vulnerabilidades.

Debe permitir generar la trazabilidad de todo el ciclo de vida de las vulnerabilidades.

Debe permitir detectar, analizar, evaluar y comprobar las vulnerabilidades existentes para determinar los niveles de riesgo.

Debe permitir el análisis y evaluación del riesgo de las vulnerabilidades encontradas.

Debe permitir realizar investigación continua en diferentes fuentes de inteligencia de vulnerabilidades que puedan afectar las aplicaciones y plataforma tecnológica.

Debe facilitar la evaluación de vulnerabilidades basado en ejercicios de Red Team, que tenga como fin detectar, prevenir y remediar vulnerabilidades.

Debe tener capacidad de gestión centralizada de vulnerabilidades con múltiples escáneres. Debe almacenar resultados de escaneos acumulativos. Debe permitir el escaneo basado en agentes.

ALERTAS, CONTROLES, MONITOREO, REPORTES

Debe permitir generar reportes mensuales y a demanda del servicio de gestión de vulnerabilidades.

Debe contar con capacidades de reporting y dashboards completamente personalizables mediante gráficos, texto, filtros, querys y lógicas complejas.  Debe contar con plantillas listas para ser usadas y editables.  No deberá estar limitado por licenciamiento y si lo estuviese, considerar el módulo de reporting más completo incluyendo plantillas de cumplimiento CIS, ISO27001 y PCI como mínimo.

Debe permitir la construcción de paneles e informes predefinidos con alimentación de información automática y altamente personalizables.     Debe contar con un sistema de ticketing nativo para seguimiento de vulnerabilidades y también integrarse con sistemas de ticketing externos.    

HARDWARE, SOFTWARE Y LICENCIAS DE USO

El Oferente deberá incluir en su oferta todo lo necesario para su correcto funcionamiento, licencias y mano de obra calificada. La AFD posee como plataforma de hipervisor VmWare, licencias de uso para el sistema operativo Windows Server para la instalación de la solución; en caso que la solución requiera otro software o hardware, tanto la licencia de uso, soporte, mantenimiento y suscripción por 12 meses correrá por cuenta del Oferente. La AFD proveerá disco, memoria y procesadores necesarios para la implementación de la solución. Se requiere que la solución sea en formato VIRTUAL. EXIGIDO

Las licencias de uso deberán estar a nombre de la AFD, la suscripción de servicios y soporte para la implementación de la solución ofertada deberá ser por 12 meses. El Oferente deberá entregar a la AFD la última versión lanzada por el fabricante, instalado y configurado con todas las actualizaciones y activaciones necesarias. EXIGIDO

FUNCIONALIDADES

La solución debe permitir identificar, priorizar y dar seguimiento a las diferentes vulnerabilidades de la infraestructura de TI y aplicaciones.

Debe permitir realizar escaneos y pruebas de vulnerabilidades programados periódicamente (alineados con diferentes marcos regulatorios) o a demanda, sobre las aplicaciones e infraestructura tecnológica.

Debe permitir plantear acciones y mecanismos de remediación correctivos y compensatorios de vulnerabilidades.

Debe permitir realizar análisis de las vulnerabilidades externas que puedan afectar los activos de información determinando su impacto, plan de trabajo y/o acciones correctivas o preventivas.

Debe permitir realizar recomendaciones proactivas para mitigar riesgos potenciales.

Debe permitir la identificación activa y pasiva de vulnerabilidades.

Debe permitir el diseño de plantillas de cumplimiento a nivel de hardening personalizables y/o basadas en estándares internacionales, para todos los elementos y/o sistemas operativos de la infraestructura tecnológica.

Debe permitir verificaciones predefinidas de cumplimiento respecto a estándares internacionales de la industria y regulaciones gubernamentales. Debe permitir la detección y monitoreo de vulnerabilidades por medio de tráfico de red.

Debe permitir realizar descubrimiento de activos de información de la organización.

Debe permitir la clasificación dinámica de activos por rol, naturaleza, importancia, entre otros.

Debe permitir la detección continua de activos.

Debe permitir la asignación de privilegios específicos a cada uno de los usuarios administradores.

La solución debe estar basada preferentemente en un sistema de gestión centralizada on-premise y múltiples escáneres distribuidos sin límites en cantidad de instancias.

Debe admitir montar múltiples organizaciones lógicas de forma de gestionar la plataforma en modalidad multi-tenancy y que los datos de cada tenant no se vean comprometidos por usuarios que no corresponda.

Debe proveer un catálogo de vulnerabilidades que incluyan vulnerabilidades conocidas por un período no menor a 15 años.

Debe proveer un mecanismo de priorización de vulnerabilidades automático basado en la probabilidad de explotación y que ofrezca información alternativa al CVSS (Common Vulnerability Scoring System) basada en Inteligencia de amenazas reales recabada de diversas fuentes como Deep Web, Dark Web, redes sociales, sitios de divulgación y otros centros de investigación.

Debe ser capaz de evaluar, no solo vulnerabilidades, sino auditar configuraciones y compararlas contra las mejores prácticas y frameworks de seguridad tales como CIS, PCI y otros para la totalidad de activos licenciados, incluidos equipos de red, infraestructura de virtualización, Windows, Linux, Bases de Datos, Aplicaciones y otros sistemas. Estas auditorías podrán ser personalizables por la organización. Se requiere esta capacidad para la totalidad de activos licenciados.

Debe contar con la posibilidad de definir objetivos para ser cumplidos por las diferentes áreas usuarias de la solución a fin de asegurar y medir la efectividad de las prácticas de gestión mediante un tablero de cumplimiento.  Dichos objetivos pueden estar alineados con normativas como CIS, ISO o personalizada y utilizar métricas de evaluación.  Ejemplo, el 90% de los sistemas deben haber sido escaneados en los últimos 30 días, el 100% de los sistemas deben estar libres de vulnerabilidades de Alta criticidad con antigüedad mayor a 120 días, etc.

La solución debe crear automáticamente planes de remediación con actividades recomendadas concretas y estimaciones sobre la cual será el impacto en la reducción de riesgo previo a su ejecución.  Esta capacidad deberá ser global y permitirá también aplicar filtros por grupos de activos específico.

Todos los elementos que conforman la solución deberán ser actualizables automáticamente con intervención opcional de un administrador, incluyendo nuevas versiones de software/firmware, updates de contenido (nuevas vulnerabilidades) y feeds de inteligencia.

La solución debe contar con una API completa para integración mediante scripting automatizado y exportación de datos mediante llamados.  Esta API deberá estar liberada y documentada y no deberá tener limitaciones de licencias en cantidad de llamados o sistemas que la consultan.  Si no existe una licencia ilimitada, considerar la de mayor capacidad disponible.

Gestión de usuarios debe estar basada en roles y permisos que limiten el acceso a conjuntos de datos puntuales, grupos de activos y a acciones concretas tales como reporting, análisis, escaneo, aceptar riesgos o reclasificarlos, etc. Debe soportar LDAP y SAML.

Tanto la consola como los escáneres deben ser desplegables en modalidad software y appliance virtual en VMware y Hyper-V como mínimo.

Deberá ser capaz de obtener vulnerabilidades de estaciones de trabajo en Internet (teletrabajo) y otros ambientes no conectados a la red de la AFD, e inalcanzables por un escáner, mediante agente Windows, Linux y MacOS.  Los agentes deberán reportar dichas vulnerabilidades a un servicio en Internet que luego pueda ser consultado por la consola on-premise.

Debe reportar vulnerabilidades que sean explotables, establecer el nivel de madurez del código de exploit (si aplica), documentar de qué forma se explota (malware, acceso remoto, con o sin credenciales), si el exploit está presente en frameworks reconocidos tales como Metasploit, Canvas, Core y otras.

A futuro deberá ser capaz de integrarse a un Centro de Operaciones de Seguridad (SOC) y la Orquestación (SOAR) mediante alertas automatizadas independientes.

Debe poder integrarse con el SIEM que posee la AFD, SPLUNK.

Se espera que la solución alerte cuando se detecten nuevas vulnerabilidades críticas en sistemas relevantes, nuevas vulnerabilidades asociadas a una amenaza conocida y otras reglas personalizables.

IMPLANTACIÓN DE LA SOLUCIÓN y SUS DOCUMENTACIONES

 

El Oferente deberá presentar el plan de trabajo al Coordinador de Seguridad de la Información de la AFD, junto con el listado de técnicos que formaran parte de la implementación de la solución y designar un líder de proyecto quien será el responsable de informar al Coordinador de SI los avances del proyecto, cuando éste le solicite. EXIGIDO

La instalación de la solución debe ser realizada en forma transparente sin causar impacto al ambiente productivo y deberá garantizar la integridad de este. EXIGIDO

Deberán ser entregados los manuales de instalación y administración de la solución, como parte de esta documentación. EXIGIDO

DOCUMENTACIONES DEL OFERENTE

El Oferente debe comprobar la cualidad técnica.  Debe contar con al menos 1 (un) especialista certificado en la solución, presentar Curriculum Vitae del mismo acompañando el certificado en la solución o capacitación en la solución ofertada. EXIGIDO

El Oferente deberá presentar una carta del fabricante o su representante oficial en Paraguay de la solución ofertada, en la cual avale que el mismo está autorizado para comercializar la solución ofertada y cuenta con capacidad técnica para brindar soporte de este.  EXIGIDO

El Oferente deberá tener al menos 1 implementación exitosa del producto ofertado en el territorio paraguayo, en empresas o instituciones públicas o privadas de igual o mayor envergadura que la AFD. EXIGIDO

ADIESTRAMIENTO

El Oferente deberá elaborar y ejecutar un plan de adiestramiento interno para los técnicos de TI y SI. El mismo deberá contemplar entrenamiento en todas las funcionalidades con la que cuenta la solución (configuraciones de políticas y reglas, generación y modificación de reportes como mínimo). EXIGIDO

SOPORTE TÉCNICO y ACTUALIZACIONES DE LA SOLUCION OFERTADA

Debe incluir acceso a actualizaciones, a la base de datos de conocimientos, y escalamiento a centros de soporte superiores del fabricante, para la resolución de problemas relacionados a la solución. EXIGIDO

El oferente deberá facilitar números telefónicos de urgencia, direcciones de correo, y una página Web para proceder a la comunicación del problema, en caso de que posea un sistema de tickets. EXIGIDO

Durante los 12 meses de soporte de la solución ofertada, el mismo deberá incluir 40 horas de servicios adicionales a la implantación en caso de cambios o nuevos reportes a ser solicitado por el Coordinador de Seguridad de la Información. Se establece como tiempo de respuesta, en caso de que la solución tenga algún inconveniente en su funcionamiento u operativa: un máximo de 2 horas desde la recepción de la comunicación por parte de la AFD. EXIGIDO

CONFIDENCIALIDAD

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización de la AFD. EXIGIDO

Cada una de las partes protegerá la información obtenida durante el desarrollo del trabajo de la misma manera en que protege su propia información confidencial, haciéndose responsable por cualquier daño/perjuicio que se pudiera ocasionar por el uso indebido de la información accedida. EXIGIDO

 

 

 

LOTE N° 3

ADQUISICIÓN SOFTWARE DE CONTROL DE USUARIOS QUE SE CONECTAN EN FORMA REMOTA

  1. Cantidad de bienes solicitados

Ítems

Cantidad

Licencia de uso para 110 usuarios para el software de control de usuarios que se conectan en forma remota con soporte y actualización por 12 meses, según especificaciones técnicas

1

 

  1. . Objetivo

Se debe proveer una solución de seguridad perimetral definida por software, de manera a asegurar los accesos de los usuarios a las plataformas tecnológicas, gestionando los accesos dependiendo del contexto de la conexión utilizado por el usuario, para 110 usuarios, con soporte y mantenimiento del fabricante por 12 meses.

 

  1. Consideraciones generales

La AFD posee sistemas de información propios y adquiridos que funcionan sobre plataforma Windows Server 2019, MsSqlserver y Oracle, Firewalls de Cisco y Fortinet, Clientes Windows 7 y superiores, Office 365. La AFD posee como plataforma de hipervisor VmWare, licencias de uso para el sistema operativo Windows Server para la instalación de la solución;

  1. Requisitos mínimos exigidos

REQUISITOS MINIMOS EXIGIDOS

Item

Descripción

Nombre y versión de la solución ofertada.

El Oferente deberá especificar el fabricante, nombre de la solución y versión. EXIGIDO

El Oferente deberá proveer ficha técnica de la solución ofertada o link donde se puede visualizar la información de la solución en la página del fabricante. EXIGIDO

Debido a la limitación de espacio físico en el DATA CENTER, se solicita que la solución ofertada sea VIRTUAL. La AFD posee como plataforma de hipervisor VmWare, licencias de uso para el sistema operativo Windows Server para la instalación de la solución; 

Requerimientos de hardware y software

El oferente deberá especificar tamaños de disco, cantidad de memoria RAM y procesadores necesarios para la instalación de la solución ofertada. EXIGIDO

El Oferente deberá indicar el software requerido para su instalación.

Características generales de la solución

Debe brindar protección a los recursos sin que sean requeridos cambios obligatorios de configuración en la infraestructura de red, tales como switches, firewalls o routers.

Debe soportar los protocolos TCP, UDP, GRE, HTTP, ICMP, ICMP v6, IPv6, AH, ESP como mínimo.

Debe ser capaz de re-enrutar el tráfico TCP entre el cliente y el recurso que requiere utilizar.

Debe contar con soporte para ser administrada vía REST API, así como con un portal web de administración propietario.

Debe tener software cliente para sistemas operativos como Windows 7 o superior, Android 6 o superior, IOS 11 o superior, Ubuntu 16.04 o posterior, RedHat y CentOS 7.7.

Debe contar con modos de instalación de agentes para equipos desatendidos, la instalación deberá ejecutarse desde la línea de comandos.

Debe tener soporte para implementarse en ambientes virtuales.

Debe tener soporte para implementarse tanto en servicios cloud como on-permise.

Debe autenticar a los usuarios, para que no responda a tráfico de red hasta que el host de origen envíe un requerimiento de autorización de conexión mediante protocolo SPA (Single Packet Authorization)

El proceso de autorización de conexión de usuario debe poder ser validado mediante un método de autenticación multifactor como un one-time password (OTP).

El proceso de autenticación de los usuarios hacia los recursos protegidos y entre los diferentes componentes que controlen el acceso a los recursos de red debe realizarse de manera independiente y previo al establecimiento de cualquier canal de comunicación hacia los recursos privilegiados.

El sistema se debe poder integrar a proveedores de identidad que utilicen los protocolos SAML, Radius o LDAP/LDAPS.

El proceso de habilitación de nuevos usuarios y dispositivos debe ser compatible con autenticación multifactor.

Los usuarios solo deben poder establecer canales de comunicación con los sitios protegidos que fueron autorizados para cada usuario tras el proceso de autenticación.

Debe tener la capacidad de conectar a diferentes sitios (diferentes nubes, diferentes Centros de datos, oficinas, etc.)  con una sola autenticación, no se admiten autenticaciones por sitio

Todas las comunicaciones (tanto en el proceso de autenticación/autorización como el intercambio de datos con los recursos protegidos) deben estar cifrados.

Debe funcionar como una entidad certificadora independiente para la validación de los usuarios y dispositivos.

La comunicación entre servicios en la nube (cloud), datacenter públicos y datacenter privados debe estar cifrada en todo momento.

Debe contar con la opción de revocar en tiempo real los permisos de acceso a un usuario en particular o a todos los usuarios.

Debe ser capaz de revocar los permisos de conexión a cualquier dispositivo de red conectado.

Debe ser posible establecer el tiempo de inactividad de la sesión de usuario de manera configurable por cada recurso o grupo de recursos de red.

Debe ser posible establecer reglas de acceso de manera individual por cada recurso o grupo de recursos de red.

Debe ser capaz de combinar múltiples reglas de acceso por cada usuario para establecer los permisos de acceso a través de microsegmentación.

Debe ser posible configurar reglas de acceso que exijan la validación de autenticación multifactor de manera individual.

Debe validar el contexto del usuario al momento de acceder a los recursos. Se deben verificar tanto los parámetros estáticos (tales como: nombre de usuario, versión del sistema operativo, dirección MAC) y dinámicos (tales como horario permitido de la conexión, cambios en dirección IP de origen, preguntas de control).

La solución debe registrar toda información conocida sobre un usuario a medida que se otorga o deniega el acceso.

Debe poder ser configurada en alta disponibilidad.

Debe permitir aplicar estrategias de recuperación de desastres.

Debe permitir agregar nuevos recursos o usuarios sin provocar indisponibilidad en los servicios

Todos los componentes de la solución deben poder enviar los registros del sistema a un servidor centralizado de logs, la AFD posee SPLUNK para esta tarea.

Debe ser escalable.

La solución propuesta debe poder desplegarse en hipervisores como: VMware ESX, Microsoft Hyper-V, Microsoft Azure como mínimo.

Debe soportar al menos cifrado 256 bits AES de todas las comunicaciones entre todos los componentes.

Debe admitir el nivel de cifrado FIPS 140-2.

Debe funcionar a través de una consola o servidor principal y agentes.

Los agentes de la solución deben permitir diferentes tipos de instalación, incluyendo silenciosa y para equipos desatendidos.

Debe soportar la verificación de la postura del usuario final funciona sin la inclusión de software adicional de terceros.

Debe proveer mecanismos de protección que permitan ocultar recursos en un mismo segmento de red.

Debe contar con la flexibilidad para crear diferentes reglas de protección para ocultar recursos.

Debe contar con la opción de bloquear todo el tráfico de entrada o salida desde y hacia cualquier destino.

La opción de ocultar recursos debe ser aplicable a usuarios y servidores.

La solución debe proveer control de tráfico entre servidores en un mismo segmento de red.

Debe proporcionar túneles de red seguros y micro firewalls de forma individual para cada Cliente conectado.

Debe registrar todos los accesos de usuarios, incluyendo el tráfico permitido y denegado.

Debe permitir exportar el syslog a herramientas de correlación tipo SIEM,  la AFD posee SPLUNK para esta tarea.

Debe admitir el control de acceso basado en roles para la consola de administración

Los usuarios solo deben poder establecer canales de comunicación con los sitios protegidos que fueron autorizados para cada usuario tras el proceso de autenticación.

Debe ser capaz de supervisar TODOS los flujos de tráfico del centro de datos: tanto Este-Oeste (servidor-servidor) como Norte-Sur (cliente-servidor o red externa de servidor

Debe contar con la capacidad para hacer respaldos de configuración que no afecte el funcionamiento del servicio.

Debe contar con la capacidad para hacer actualización de sistema operativo en línea o de forma local

ALERTAS, CONTROLES, MONITOREO, REPORTES

La solución deberá permitir la creación de alertas, sobre cumplimiento de las políticas de seguridad de la información o parametrizaciones realizadas; además permitir la elaboración de reportes personalizados.

IMPLANTACIÓN DE LA SOLUCIÓN y SUS DOCUMENTACIONES

 

El Oferente deberá presentar el plan de trabajo al Coordinador de Seguridad de la Información de la AFD, junto con el listado de técnicos que formaran parte de la implementación de la solución y designar un líder de proyecto quien será el responsable de informar al Coordinador de SI los avances del proyecto, cuando éste le solicite. EXIGIDO

La instalación de la solución debe ser realizada en forma transparente sin causar impacto al ambiente productivo y deberá garantizar la integridad de este. EXIGIDO

Deberán ser entregados los manuales de instalación y administración de la solución, como parte de esta documentación. EXIGIDO

DOCUMENTACIONES DEL OFERENTE

El Oferente debe comprobar la cualidad técnica.  Debe contar con al menos 1 (un) especialista certificado en la solución, presentar Curriculúm Vitae del mismo acompañando el certificado en la solución o capacitación en la solución ofertada. EXIGIDO

El Oferente deberá presentar una carta del fabricante o su representante oficial en Paraguay de la solución ofertada, en la cual avale que el mismo está autorizado para comercializar la solución ofertada y cuenta con capacidad técnica para brindar soporte del mismo.  EXIGIDO

El Oferente deberá tener al menos 1 implementación exitosa del producto ofertado en el territorio paraguayo, en empresas o instituciones públicas o privadas de igual o mayor envergadura que la AFD. EXIGIDO

HARDWARE, SOFTWARE Y LICENCIAS DE USO

El Oferente deberá incluir en su oferta todo lo necesario para su correcto funcionamiento, licencias y mano de obra calificada. La AFD posee como plataforma de hipervisor VmWare, licencias de uso para el sistema operativo Windows Server para la instalación de la solución; en caso que la solución requiera otro software o hardware, tanto la licencia de uso, soporte, mantenimiento y suscripción por 12 meses correrá por cuenta del Oferente. La AFD proveerá disco, memoria y procesadores necesarios para la implementación de la solución. Se requiere que la solución sea en formato VIRTUAL. EXIGIDO

Las licencias de uso deberán estar a nombre de la AFD, la suscripción de servicios y soporte para la implementación de la solución ofertada deberá ser por 12 meses. El Oferente deberá entregar a la AFD la última versión lanzada por el fabricante, instalado y configurado con todas las actualizaciones y activaciones necesarias. EXIGIDO

ADIESTRAMIENTO

El Oferente deberá elaborar y ejecutar un plan de adiestramiento interno para los técnicos de TI y SI. El mismo deberá contemplar entrenamiento en todas las funcionalidades con la que cuenta la solución (configuraciones de políticas y reglas, generación y modificación de reportes como mínimo). EXIGIDO

SOPORTE TÉCNICO y ACTUALIZACIONES DE LA SOLUCION OFERTADA

Debe incluir acceso a actualizaciones, a la base de datos de conocimientos, y escalamiento a centros de soporte superiores del fabricante, para la resolución de problemas relacionados a la solución. EXIGIDO

El oferente deberá facilitar números telefónicos de urgencia, direcciones de correo, y una página Web para proceder a la comunicación del problema, en caso de que posea un sistema de tickets. EXIGIDO

Durante los 12 meses de soporte de la solución ofertada, el mismo deberá incluir 40 horas de servicios adicionales a la implantación en caso de cambios o nuevos reportes a ser solicitado por el Coordinador de Seguridad de la Información. Se establece como tiempo de respuesta, en caso de que la solución tenga algún inconveniente en su funcionamiento u operativa: un máximo de 2 horas desde la recepción de la comunicación por parte de la AFD. EXIGIDO

CONFIDENCIALIDAD

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización de la AFD. EXIGIDO

Cada una de las partes protegerá la información obtenida durante el desarrollo del trabajo de la misma manera en que protege su propia información confidencial, haciéndose responsable por cualquier daño/perjuicio que se pudiera ocasionar por el uso indebido de la información accedida. EXIGIDO

Identificación de la unidad solicitante y justificaciones

  • Nombre, cargo y la dependencia de la Institución de quien solicita el llamado a ser publicado: Marcelo Segovia, Encargado de TI de la Agencia Financiera de Desarrollo.
  • Necesidad que se pretende satisfacer mediante la contratación a ser realizada: Proveer de equipamientos para los funcionarios.
  • Justificar la planificación (si se trata de un llamado periódico o sucesivo, o si el mismo responde a una necesidad temporal):  Corresponde a una necesidad temporal (depreciación de equipos, tecnología obsoleta).
  • Justificar las especificaciones técnicas establecidas: Para el reemplazo de tecnología obsoleta.

Plan de entrega de los bienes

La entrega de los bienes se realizará de acuerdo al Plan de Entrega y Cronograma de Cumplimiento, indicado en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el Proveedor indicados a continuación: 

Ítem

Descripción del bien

Cantidad

Unidad de medida

Lugar de entrega de los bienes

Fecha(s) final(es) de entrega de los bienes

1

Licencia para 100 usuarios del Sistema de Gestión de Usuarios con soporte y actualización por 12 meses, según especificaciones técnicas

1

Unidad

Oficinas de la AFD, sitos en Herib Campo Cervera N° 886 c/ Aviadores del Chaco, Edificio Australia 2do, 3er y 4to piso; y en Herib Campos Cervera N° 900 c/ Papa Juan XXIII.

El oferente deberá proveer el bien en un plazo no mayor a 60 días corridos contados a partir de la vigencia del contrato respectivo.

2

Licencia de uso para gestión de vulnerabilidades con soporte y actualización por 12 meses, según especificaciones técnicas

1

Unidad

3

Licencia de uso para 110 usuarios para el software de control de usuarios que se conectan en forma remota con soporte y actualización por 12 meses, según especificaciones técnicas

1

Unidad

 

 

 

 

 

 

Planos y diseños

Para la presente contratación se pone a disposición los siguientes planos o diseños:

No aplica

Embalajes y documentos

El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:

No aplica

Inspecciones y pruebas

Las inspecciones y pruebas serán como se indica a continuación:

No aplica

Indicadores de Cumplimiento

El documento requerido para acreditar el cumplimiento contractual, será:

acta de recepción total según informe final.

Será presentado 1 (un) certificado

Frecuencia: contra entrega del bien.

Planificación de indicadores de cumplimiento:

INDICADOR

TIPO

FECHA DE PRESENTACIÓN PREVISTA

Acta de recepción Lote 1

Acta de recepción

no mayor a 60 días corridos contados a partir de la vigencia del contrato respectivo.

Acta de recepción Lote 2

Acta de recepción

no mayor a 30 días corridos contados a partir de la vigencia del contrato respectivo.

Acta de recepción Lote 3

Acta de recepción

no mayor a 30 días corridos contados a partir de la vigencia del contrato respectivo.

   
     
     
     
     
     
     
     

Criterios de Adjudicación

La Convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.

1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante de la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.

2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.

3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad de bienes requeridos, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.

En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.

Notificaciones

La comunicación de la adjudicación a los oferentes será como sigue:

1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.

2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.

3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.

4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.

5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.

 

Audiencia Informativa

Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.

La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.

La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.

La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.

Documentación requerida para la firma del contrato

Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.

 

  1. Personas Físicas / Jurídicas
  • Certificado de no encontrarse en quiebra o en convocatoria de acreedores expedido por la Dirección General de Registros Públicos;
  • Certificado de no hallarse en interdicción judicial expedido por la Dirección General de Registros Públicos;
  • Constancia de no adeudar aporte obrero patronal expedida por el Instituto de Previsión Social;
  • Certificado laboral vigente expedido por la Dirección de Obrero Patronal dependiente del Viceministerio de Trabajo, siempre que el sujeto esté obligado a contar con el mismo, de conformidad a la reglamentación pertinente - CPS;
  • En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación;
  • Certificado de cumplimiento tributario vigente a la firma del contrato.

       2. Documentos. Consorcios

  • Cada integrante del consorcio que sea una persona física o jurídica deberá presentar los documentos requeridos para oferentes individuales especificados en los apartados precedentes.
  • Original o fotocopia del consorcio constituido.
  • Documentos que acrediten las facultades del firmante del contrato para comprometer solidariamente al consorcio.
  • En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación.