El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.
Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
Términos de Referencia Servicios de Seguridad de la Información
A continuación, se listan los servicios requeridos conforme las necesidades durante la ejecución del contrato.
|
Lote |
Ítem |
Nombre del servicio |
Unidad de medida |
|
1 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica |
||
|
1 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Ejecutar descubrimiento - tipo I |
Hora |
|
|
2 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Ejecutar descubrimiento - tipo II |
Hora |
|
|
3 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Identificar vulnerabilidades - tipo I |
Hora |
|
|
4 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Identificar vulnerabilidades - tipo II |
Hora |
|
|
5 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Explotar vulnerabilidades - tipo I |
Hora |
|
|
6 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Explotar vulnerabilidades - tipo II |
Hora |
|
|
7 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Recomendación de soluciones |
Hora |
|
|
8 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica Ejecución de ataques específicos - tipo I |
Hora |
|
|
9 |
Evaluación de seguridad de aplicaciones o infraestructura tecnológica Ejecución de ataques específicos - tipo II |
Hora |
|
|
10 |
Soporte para desarrollo del SGSI |
Hora |
|
|
11 |
Soporte en auditoria forense - tipo I |
Hora |
|
|
12 |
Soporte en auditoria forense - tipo II |
Hora |
|
|
13 |
Soporte para aplicaciones de seguridad - tipo I |
Hora |
|
|
14 |
Soporte para aplicaciones de seguridad - tipo II |
Hora |
|
|
2 |
Auditoria o evaluación de gestión de TI |
||
|
|
1
|
Auditoria o evaluación de gestión de TI |
Hora |
ESPECIFICACIONES TÉCNICAS
ADMINISTRADOR DEL CONTRATO:
ÁREA REQUIRENTE:
Se utilizará la modalidad de contrato abierto y conforme al siguiente detalle:
|
Lote |
Monto Mínimo Gs. |
Monto Máximo Gs. |
|
1 |
100.000.000 |
250.000.000 |
|
2 |
50.000.000 |
150.000.000 |
La DNCP solicita la prestación de servicios de seguridad de la información y auditoría de gestión en TI en la modalidad bajo demanda, pudiendo ser estos remotos u on-site dependiendo de la necesidad de cada solicitud de servicio al momento requerido.
Los objetivos que se pretenden alcanzar mediante la ejecución del contrato son:
Al momento de la firma del contrato, se exigirá la firma del acuerdo de la confidencialidad entre la DNCP y todo personal técnico que intervenga en alguna de las solicitudes de servicio. Por parte de la DNCP, para el lote 1, el Coordinador de Seguridad de la Información será el firmante, y para el lote 2, la Directora de DAII.
Para el lote 1, el Administrador del contrato y/o área requirente, como la DAII podrán conjuntamente o independientemente definir los trabajos necesarios. Si el requerimiento provino del área requirente, será la Asesoría Técnica la encargada de aprobar las órdenes de servicio al proveedor, así como de administración del contrato que resultase de la adjudicación del presente llamado licitatorio. Para los casos en los cuales el requerimiento provenga de DAII, será la misma la responsable de su aprobación. Para los casos de solicitud en conjunto, sé requerirá ambas aprobaciones.
Tanto la DTI como la DAII, podrán convocar a reuniones presenciales o virtuales con el líder del proyecto del lote 1 y/o el equipo de este último con el fin de presentar, analizar y explicar puntos técnicos u operativos, y cuyo resultado podrá ser utilizado como insumo para ordenes de servicio. Todas las decisiones tomadas en las reuniones deberán ser plasmadas en un documento. Para el lote 1, el área requirente o el administrador del contrato realizará las diferentes órdenes de servicio al líder del proyecto designado por la empresa, en la cual se detallará los requerimientos conforme el tipo de servicio requerido. Mínimamente deberá contemplar fecha de inicio y fin, modalidad y cantidad de horas. Además, podrá constar de un anexo con información que el solicitante considere necesaria.
Para el lote 2, la DAII realizará las diferentes órdenes de servicio al auditor profesional designado, en la cual se detallará los requerimientos conforme el tipo de servicio requerido. Mínimamente deberá contemplar fecha de inicio y fin, modalidad y cantidad de horas. Además, podrá constar de un anexo con información que el solicitante considere necesaria.
La emisión de las ordenes de servicio se realizará en forma física, o por medios remotos si contare con firma digital. La recepción de la orden de servicio por parte del proveedor deberá efectuarse mediante firma manuscrita en las oficinas de la DNCP o por medios remotos si el proveedor contare con firma digital.
Son considerados días hábiles laborales todos los lunes, martes, miércoles, jueves y viernes en el horario de 07:00 hasta las 18:00, siempre y cuando no sean feriados o asuetos dentro de la República del Paraguay.
Los Administradores de Contrato podrán adecuar la orden de servicio según necesidades que surjan, relacionadas a la planificación original, en el momento de la ejecución de los trabajos, previa justificación del área requirente. En cuanto a los plazos se podrán extender hasta un máximo del 50% del total de horas inicialmente aprobadas.
El proveedor podrá asignar más recursos profesionales según crea conveniente, en dicho caso deberá indicar el perfil para su evaluación y calificación. Previa autorización del Administrador del Contrato, el proveedor podrá sustituir al personal por otro de igual certificación técnica y experiencia a la solicitada, cuando por motivos debidamente justificados, no puedan prestar el servicio requerido.
Los informes del lote 1, deberán ser presentados junto con una nota al área requirente o Administradora de Contrato vía mesa de entrada de la DNCP. En el caso que el proveedor contare con firma digital, podrá remitirlos vía correo electrónico.
Los informes y sus anexos del lote 2 deberán ser presentados vía mesa de entrada de la DNCP con una nota dirigida al Administrador de Contrato del mencionado lote. Además, deberá remitir al correo institucional del Administrador de Contrato, dicho informe en formato digital.
Deberán presentarse informes o reportes de auditoría, incluyendo como anexo los papeles de trabajo, con detalle de carga horaria ejecutada, resúmenes de muestras seleccionadas y evidencias ordenadas en expedientes, debidamente referenciados, de todos los trabajos realizados.
Una vez analizados y estudiados todos los puntos de los informes, las áreas requirentes podrán convocar a una reunión para debatir y aclarar las dudas que las mismas consideren pertinentes, como así también para una presentación a nivel gerencial.
SERVICIOS REQUERIDOS
Las especificaciones técnicas relativas a la prestación de los servicios requeridos se detallan a continuación:
Lote 1. Evaluación de seguridad de aplicaciones o infraestructura tecnológica
Ítem 1 - Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Ejecutar descubrimiento - tipo I: son todas las actividades que mediante la utilización de métodos, herramientas propias o públicas disponibles y técnicas les permita obtener diferentes informaciones y crear un perfil de la aplicación o infraestructura a ser evaluada. El horario en el cual se debe realizar este servicio es el laboral definido en el PBC.
Ítem 2 - Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Ejecutar descubrimiento - tipo II: son todas las actividades que mediante la utilización de métodos, herramientas propias o públicas disponibles y técnicas les permita obtener diferentes informaciones y crear un perfil de la aplicación o infraestructura a ser evaluada. El horario en el cual se deben realizar este servicio es el NO laboral definido en el PBC.
Ítem 3 - Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Identificar vulnerabilidades - tipo I: son todas las actividades que, mediante la utilización de elementos principales como el perfil de la aplicación o infraestructura tecnológica, base de datos de conocimientos e informaciones de fuentes públicas y privadas, complementarias a métodos, herramientas y técnicas permitan al proveedor obtener una matriz de vulnerabilidades y posibles bugs de seguridad. El horario en el cual se deben realizar este servicio es el laboral definido en el PBC.
Ítem 4 - Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Identificar vulnerabilidades - tipo II : son todas las actividades que, mediante la utilización de elementos principales como el perfil de la aplicación o infraestructura tecnológica, base de datos de conocimientos e informaciones de fuentes públicas y privadas, complementarias a métodos, herramientas y técnicas permitan al proveedor obtener una matriz de vulnerabilidades y posibles bugs de seguridad. El horario en el cual se deben realizar este servicio es el NO laboral definido en el PBC.
Ítem 5 - Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Explotar vulnerabilidades - tipo I son todas las actividades que, gracias a la previa identificación de vulnerabilidades, le permitirá al proveedor intentar explotar los bugs de seguridad, analizar y calificar el riesgo que representa cada uno de ellos para la DNCP. Las fuentes de información de vulnerabilidades podrán ser aquellos que resulten de los trabajos enmarcados dentro de la presente contratación, de escaneos internos de la DTI, de notificaciones de los propios fabricantes, entre otros. El horario en el cual se deben realizar este servicio es el laboral definido en el PBC.
Ítem 6 - Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Explotar vulnerabilidades - tipo II: son todas las actividades que, gracias a la previa identificación de vulnerabilidades, le permitirá al proveedor intentar explotar los bugs de seguridad, analizar y calificar el riesgo que representa cada uno de ellos para la DNCP. Las fuentes de información de vulnerabilidades podrán ser aquellos que resulten de los trabajos enmarcados dentro de la presente contratación, de escaneos internos de la DTI, de notificaciones de los propios fabricantes, entre otros. El horario en el cual se deben realizar este servicio es el NO laboral definido en el PBC.
Ítem 7 Evaluación de seguridad de aplicaciones o infraestructura tecnológica - Recomendación de soluciones: son todas las actividades que el proveedor necesita realizar con el fin de emitir recomendaciones y soluciones específicas a fallas, bugs de seguridad, o hallazgos que resultaron de los trabajos enmarcados dentro de la presente contratación, de escaneos internos de la DTI, de notificaciones de los propios fabricantes. Así también sobre arquitectura de aplicaciones, infraestructura, tecnologías, procesos tecnológicos, entre otros que fueron previamente presentadas en reuniones al líder del proyecto; Los mismos deberán ser plasmados en un informe técnico y/o gerencial. El nivel de detalle de cada uno de ellos debe incluir una descripción clara y precisa, clasificación en alto, medio o bajo según el riesgo que representan; recomendaciones y soluciones específicas para su mitigación incluyendo fuentes de referencia como la de los propios fabricantes, URL’ s probados, evidencias basadas en logs, impresiones de pantalla, informes arrojados por las diferentes herramientas o base de datos de información que son utilizados como consulta, etc. El horario en el cual se debe realizar este servicio es el laboral definido en el PBC.
Ítem 8 - Evaluación de seguridad de aplicaciones o infraestructura tecnológica Ejecución de ataques específicos - tipo I: son aquellas pruebas en la que el proveedor deberá realizar ataques específicos como por ejemplo DoS, DDoS, Defacement, ingeniería social, entre otros definidos previamente por la CSI. El horario en el cual se deben realizar este servicio es el laboral definido en el PBC.
Ítem 9 - Evaluación de seguridad de aplicaciones o infraestructura tecnológica Ejecución de ataques específicos - tipo II: son aquellas pruebas en la que el proveedor deberá realizar ataques específicos como por ejemplo DoS, DDoS, Defacement, ingeniería social, entre otros definidos previamente por la CSI. El horario en el cual se debe realizar este servicio es el NO laboral definido en el PBC.
Ítem 10 - Soporte para desarrollo del SGSI: son aquellas actividades en las que el proveedor deberá proponer, definir, describir y desarrollar todas las documentaciones relacionadas a un SGSI, planes y programas corporativos de seguridad de la información, como por ejemplo políticas, normas, procesos, procedimientos, guías, entre otros, basados mínimamente en los Controles Críticos de Ciberseguridad emitido por la MITIC, el conjunto de normas ISO que guarde relación con ISO 27001, NIST, entre otros; de tal manera a ofrecer un soporte a la gestión operativa del área de Seguridad de la Información de la DNCP. El horario en el cual se debe realizar este servicio es el laboral definido en el PBC. Deberá presentarse un informe técnico y/o gerencial con los entregables definidos en la orden de servicio.
Ítem 11 - Soporte en auditoria forense - tipo I: son aquellas actividades que, ante la ocurrencia de un incidente o evento de riesgo, el proveedor deberá realizar con el objetivo de brindar una asistencia especializada en la identificación y recolección de logs, huellas digitales (footprint) u otras informaciones y evidencias que le permitan armar un mapa del incidente ocurrido, interpretarlo y proponer acciones de mitigación y mejoras a futuro. El horario en el cual se debe realizar este servicio es el laboral definido en el PBC. Deberá presentarse un informe técnico y/o gerencial con el detalle de todos los trabajos realizados, evidencias del caso, y entregables según corresponda.
Ítem 12 - Soporte en auditoria forense - tipo II : son aquellas actividades que, ante la ocurrencia de un incidente o evento de riesgo, el proveedor deberá realizar con el objetivo de brindar una asistencia especializada en la identificación y recolección de logs, huellas digitales (footprint) u otras informaciones y evidencias que le permitan armar un mapa del incidente ocurrido, interpretarlo y proponer acciones de mitigación y mejoras a futuro. El horario en el cual se debe realizar este servicio es el NO laboral definido en el PBC. Deberá presentarse un informe técnico y/o gerencial con el detalle de todos los trabajos realizados, evidencias del caso, y entregables según corresponda.
Ítem 13 Soporte para aplicaciones de seguridad - tipo I : son aquellas actividades que, ante la necesidad de automatizar procesos de seguridad de la información mediante el despliegue de herramientas o aplicaciones, y dar soporte al SGSI y a los controles definidos, el proveedor deberá implementar, actualizar o ajustar configuraciones (hardening) de aplicaciones o herramientas tecnológicas nuevas o existentes. A modo de ejemplo, algunas de las aplicaciones podrían ser Packetfence, Wazuh, OSSIM, Vault, Eramba, OpenSCAP, Snort IDS, Keycloak, OpenVAS, Open Identity Platform, Local Administrator Password Solution, entre otros. El horario en el cual se deben realizar este servicio es el laboral definido en el PBC. Deberá presentarse un informe técnico y/o gerencial con el detalle de todos los trabajos realizados, y entregables según corresponda.
Ítem 14 Soporte para aplicaciones de seguridad - tipo II : son aquellas actividades que, ante la necesidad de automatizar procesos de seguridad de la información mediante el despliegue de herramientas o aplicaciones, y dar soporte al SGSI y a los controles definidos, el proveedor deberá implementar, actualizar o ajustar configuraciones (hardening) de aplicaciones o herramientas tecnológicas nuevas o existentes. A modo de ejemplo, algunas de las aplicaciones podrían ser Packetfence, Wazuh, OSSIM, Vault, Eramba, OpenSCAP, Snort IDS, Keycloak, OpenVAS, Open Identity Platform, Local Administrator Password Solution, entre otros. El horario en el cual se debe realizar este servicio es el NO laboral definido en el PBC. Deberá presentarse un informe técnico y/o gerencial con el detalle de todos los trabajos realizados, y entregables según corresponda.
Lote 2
Ítem 1 - Auditoria o evaluación de gestión de TI: son aquellas actividades que el proveedor deberá realizar con el fin de examinar, evaluar o realizar un análisis entre la condición y el criterio, de los procesos y procedimientos de la Dirección de Tecnología de la Información, sus planes y proyectos ejecutados y en ejecución, la eficiencia de las políticas con que cuenta, y el cumplimiento del marco normativo relacionado a la Gestión de Tecnologías de la Información, de modo a evaluar el nivel de desempeño, identificar oportunidades de mejora y emitir recomendaciones eficaces aplicables a la Institución.
A modo de ejemplo se citan algunos procesos vigentes de la DTI:
El horario en el cual se deben realizar este servicio es el laboral definido en el PBC.
Deberán presentarse informes o reportes de auditoría, incluyendo como anexo los papeles de trabajo, con detalle de carga horaria ejecutada, resúmenes de muestras seleccionadas y evidencias ordenadas en expedientes, debidamente referenciados, de todos los trabajos realizados.
La entrega de los bienes se realizará de acuerdo al plan de entrega y cronograma de cumplimiento, indicado en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicado a continuación:
No aplica
Conforme lo establecido en cada orden de servicio, y dependiendo del alcance de cada servicio solicitado (conforme EETT).
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indica a continuación:
No aplica
El documento requerido para acreditar el cumplimiento contractual, será:
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA |
|
Informe y/o reporte de servicios |
Informe y/o reporte |
Según orden de servicio |
La versión final de las ordenes de servicio, se realizará en forma física o por medios remotos mediante firma digital. La recepción de la orden de servicio por parte del proveedor deberá efectuarse mediante firma manuscrita en las oficinas de la DNCP o por medios remotos si el proveedor contare con firma digital.
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.
La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.
1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante de la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.
2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.
3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad de Bienes requeridos, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.
En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la Convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.
La comunicación de la adjudicación a los oferentes será como sigue:
1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.
2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.
3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.
4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.
5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.
Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.
La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.
La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.
La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.
Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.
|
|
|
|
|
|
|
|
2. Documentos. Consorcios |
|
|
|
|