El suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes serán suministrados por el proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el contrato.
Los bienes suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la contratante, mediante notificación a la misma de dicho rechazo.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
ESPECIFICACIONES TECNICAS
INTRODUCCIÓN
En vista a la importancia que tiene la seguridad de la información para toda organización y al hecho de que el fortalecimiento de la seguridad es un proceso dinámico y constante, el Banco Nacional de Fomento (de aquí en adelante BNF) ha dispuesto la contratación de los servicios profesionales de empresas especializadas en seguridad de la información.
Como fuera mencionado más arriba, asegurar las infraestructuras tecnológicas implica el desarrollo de actividades en forma constante y sistemática, y abarcan aspectos normativos, de procedimientos, de personas, tecnológicos, entre otros. Por otra parte, estos procesos deben acompañar de manera cercana y flexible a todo el ciclo de vida de los elementos a asegurar, lo cual incluye naturalmente contar con profesionales con la debida capacitación y formación en seguridad de la información.
Tomando en cuenta lo mencionado, el BNF solicita la prestación de servicios de seguridad de la información en la modalidad de Servicio bajo Demanda, en formato remoto y on-site, para lo cual cada requerimiento del BNF será cotizado, aprobado y ejecutado por separado, en base al esfuerzo horas--hombre demandado para la ejecución del trabajo y al costo por hora ofertado en la presente licitación.
Será la Gerencia Departamental de Administración de Seguridad de TIC (de aquí en adelante GDASTIC) del BNF, el área encargada de la administración y control del servicio prestado. La GDASTIC nombrará a un supervisor (de aquí en adelante El Supervisor) que actuará como contraparte para todas las relaciones con la empresa adjudicada (de aquí en adelante El Oferente Adjudicado).
El BNF solicita la prestación de dos subconjuntos de servicios, a saber: Servicio de Hackeo Interno y Externo.
Generalidades El Oferente adjudicado deberá realizar cada trabajo solicitado y aprobado debe ser ejecutado en tiempo y forma, sin que ninguna otra actividad se vea afectada por la misma. Dependiendo de cada actividad y necesidad del BNF, los trabajos deberán realizarse de manera remota o en sitio, es decir, en alguna de las instalaciones del Banco, en Asunción, Encarnación y Ciudad del Este (éstas dos últimas muy ocasionalmente las cuales son enunciativas no limitativas). Además, el oferente adjudicado deberá prever un tiempo de respuesta para los trabajos on-site no mayor a 8 (ocho) horas para los trabajos en Asunción, y no mayor a 48 (cuarenta y ocho) horas para el interior del país. En el caso de solicitud de servicio o asistencia remota, la misma deberá ser provista en un tiempo no mayor a 4 (cuatro) horas.
Si bien cada profesional de El Oferente Adjudicado deberá disponer de sus propias herramientas de trabajo (notebook, acceso a internet, útiles de oficina, etc.), en el caso de que el servicio se realice en las instalaciones del BNF, este pondrá a disposición de los especialistas un servicio limitado de conexión a Internet y un escritorio para el desarrollo de sus actividades.
Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización del BNF. Tanto El Oferente Adjudicado, como cada uno de los miembros del plantel en forma particular, deberá firmar acuerdos de confidencialidad con el BNF.
Metodología de trabajo y Facturación
En base a las necesidades del BNF, El Supervisor solicitará al Oferente Adjudicado la realización de algún servicio descrito en las Especificaciones técnicas al cual fue adjudicado, definiendo las actividades del trabajo a realizar. En base a esta solicitud, El Oferente Adjudicado deberá remitir al Supervisor un proyecto lo más detallado posible indicando las actividades que realizará para la consecución de los objetivos requeridos, además de las horas—hombre que demandará el servicio.
En el caso de que el proyecto técnico sea aprobado, El Oferente Adjudicado deberá ejecutar el trabajo de acuerdo con el detalle remitido y en base a los delineamientos del Supervisor. Todo el servicio será acompañado y controlado por El Supervisor o por quien éste designe.
El Oferente Adjudicado podrá presentar las facturas por los servicios autorizados y aprobados únicamente cuando estos hayan finalizado totalmente acompañado de un informe de los trabajos realizados. En ningún caso El Oferente Adjudicado podrá transferir los costos de viáticos, traslado, o similares al BNF, siendo posible únicamente la facturación en base a las horas demandadas para el servicio en cuestión.
Requerimientos Generales
Ante la solicitud de servicios, el plantel técnico deberá determinar las vulnerabilidades, amenazas y/o riesgos de seguridad de la información a los cuales se encuentran expuestos las aplicaciones, la infraestructura tecnológica, los procesos y procedimientos del BNF, además de las posibles mejoras que puedan ser implementadas. Los mismos deben ser presentados en dos informes al culminar los trabajos (Ejecutivo y Detallado).
Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones del BNF, para cualquiera de sus sitios de procesamiento y filiales. Además, se podrá requerir la implementación de las mejoras propuestas.
La metodología a utilizar deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología deberá basarse en OTP (OWASP).
El Oferente Adjudicado deberá proveer los informes que correspondan, a solicitud y entera conformidad del Supervisor. Estos pudieran ser:
1. Descripción detallada de la(s) metodología(s) a utilizar durante el servicio.
2. Plan de trabajo a desarrollar.
3. Lista detallada de todos los servicios, aplicaciones y equipos evaluados.
4. Detalle cronológico de cada procedimiento realizado.
5. Lista y detalle técnico de las vulnerabilidades detectadas en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones.
6. Resultados del análisis de tráfico.
7. Documentos de certificación del estado de la seguridad, para cualquier momento dado y para cualquier elemento.
8. Normas, políticas y documentaciones de seguridad.
9. Otros informes que El Supervisor solicite.
El Oferente Adjudicado podrá facilitar cualquier otro informe o documentación final que considere oportuno, en base a las metodologías utilizadas, conclusiones y/o sugerencias técnicas, etcétera.
|
El Oferente Adjudicado debe simular todos los ataques que sean convenientes según el tipo de objetivo a testar, en coordinación y aprobación con El Supervisor. Entre ellos se mencionan algunos de los más importantes (lista referencial, no limitativa): Ingeniería Social / Phishing |
Inyección SQL |
Man-in- the- middle |
|
Ataques de monitorización y autenticación XSS |
(Cross- site scripting) |
Brute-force |
|
DoS |
Zerodays |
Buffer Overflow |
|
Smurf / MAC Spoofing |
DHCP spoofing |
DNS hijacking/pharming |
|
Escaneo y Cracking de paquetes y contraseñas |
ARP Cache Poisoning |
VLAN Hopping |
|
IP Redirections Session |
Hijacking |
Session Replay |
|
DHCP and DNS Weaknesses |
Advanced Attacks |
Protocol Fuzzing |
En caso de eventuales daños o perjuicios de cualquier tipo causado al Banco Nacional de Fomento o a algún tercero en la ejecución del servicio, El Oferente Adjudicado deberá hacerse responsable de la remediación y asumir los costos de estos antes de la finalización del servicio.
Para las pruebas de intrusión externa o servicio remoto, el plantel técnico deberá disponer de su propia conexión que tenga acceso a la nube pública de internet, quedando a exclusivo cargo del plantel técnico cualquier gasto o responsabilidad asociada al uso de este.
Para las pruebas de intrusión interna o servicios on-site, el BNF proveerá el ambiente desde el cual deberá realizar las pruebas, quedando a cargo del plantel técnico todo gasto de movilidad que sea necesario, incluyendo los gastos de movilidad para hasta dos técnicos del BNF (ocasionalmente). El horario de los trabajos será acordado y coordinado con El Supervisor.
La infraestructura tecnológica del BNF distribuida entre el sitio primario y secundario, está compuesta de la siguiente manera (lista referencial, no limitativa):
|
Servidores: +150 (ciento cincuenta) |
Routers de red: +10 (diez) |
|
Switches de capa 3: +6 (seis) |
Switches de capa 2: +30 (treinta) |
|
Bases de datos: +10 (diez) |
Firewalls de red: +15 (quince) |
|
Escritorios y móviles: +1500 (mil quinientos) |
Appliances: +50 (cincuenta) |
|
DESCRIPCIÓN |
EXIGIDO |
|
SERVICIO DE TEST DE SEGURIDAD DE HACKEO INTERNO Y EXTERNO |
1.1. Pruebas de intrusión internas: El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica del BNF, desde distintos escenarios, hacia y desde cualquiera de sus sitios de procesamiento y sucursales. Las modalidades podrán ser del tipo White Box, Gray Box y Black Box. 1.2. Pruebas de intrusión externas: El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica del BNF desde el exterior, es decir, desde Internet. Para cada caso se proveerán las direcciones IP públicas a través de las cuales se realizarán los test de intrusión. Las modalidades podrán ser del tipo White Box, Gray Box y Black Box. 1.3. Pruebas de intrusión a las aplicaciones Web y Móviles: El Oferente debe ser capaz de realizar pruebas de intrusión a las aplicaciones web y móviles del BNF, aplicando metodologías reconocidas internacionalmente, como el OWASP o similares. Para estos casos, el BNF proveerá el entorno desde el cual se realizarán las pruebas. Tipo White Box, Gray Box y Black Box. 1.4. Pruebas de intrusión a las aplicaciones de escritorio: El Oferente debe ser capaz de realizar pruebas de intrusión a las aplicaciones de escritorio del BNF, sean estas adquiridas de terceros o de propio desarrollo del BNF. Para estos casos, el BNF proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box, Gray Box y Black Box. 1.5. Análisis de tráfico de red: El Oferente debe ser capaz de realizar el análisis del tráfico de la red corporativa, cableada e inalámbrica, con el objeto de evaluar anomalías, ataques, tipo de cifrado de datos, entre otros. Para estos casos, el BNF proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box y Black Box. 1.6. Pruebas de intrusión físicas: El Oferente debe ser capaz de realizar pruebas de intrusión física en las instalaciones y sitios de procesamiento de información del BNF, en cualquiera de sus edificios. Para estos casos, el BNF proveerá el entorno necesario desde el cual se realizarán las pruebas. Tipo White Box y Black Box. 1.7. Pruebas de intrusión del tipo Ingeniería Social/Phishing: El Oferente debe ser capaz de realizar pruebas de intrusión del tipo Ingeniería Social/Phishing o similares, sean estos en forma remota o presencial, en las instalaciones y sitios de procesamiento de información del BNF, en cualquiera de sus edificios. Para estos casos, el BNF indicará el entorno necesario desde el cual se realizarán las pruebas. 1.8. Servicio de Soporte para la aplicación de mejoras de Seguridad sobre las Pruebas y análisis realizados: El Oferente debe ser capaz de realizar las implementaciones de las mejoras de seguridad sobre las pruebas y análisis realizados que sean requeridas. |
|
Horario de cobertura y Periodo |
8x5 (lunes a viernes de 8:30 a 18:00 Hs durante 24 meses |
Propuesta de planilla de precios
|
Nº |
Descripción del Servicio |
Cantidad |
Unidad de Medida del Servicio |
|
1 |
Servicio de Test de Seguridad de Hackeo Interno y Externo |
1 |
Hora |
La entrega de los bienes se realizará de acuerdo con el plan de entrega y cronograma de cumplimiento, indicados en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicados a continuación:
No Aplica.
|
Nº |
Descripción del Servicio |
Cantidad |
Unidad de Medida del Servicio |
Lugar de prestación del Servicio |
Ejecución de los Servicios |
|
1 |
Servicio de Test de Seguridad de Hackeo Interno y Externo |
1 |
hora |
Banco Nacional de Fomento - Gerencia Departamental de Administración de Seguridad TIC (GDASTIC), sito en Chile entre Haedo y Humaitá Edificio Centro Financiero N° 753 |
Una vez firmado el contrato y emitida la orden de servicio, dependiendo de cada actividad y necesidad del BNF por parte de la GDASTIC. |
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indican a continuación:
No aplica
El documento requerido para acreditar el cumplimiento contractual será:
Serán presentados: según necesidad
Frecuencia: Según necesidad
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA |
|
Informe |
Informe |
Durante la ejecución contractual, de acuerdo al plazo establecido en el Plan de Entrega de los bienes o servicios del presente, el área administradora del Contrato emitirá (Informes), exigida/o para los pagos correspondientes |
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.
La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.
1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.
2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.
3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad requerida, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.
En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.
La comunicación de la adjudicación a los oferentes será como sigue:
1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.
2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.
3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.
4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.
5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.
Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.
La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.
La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.
La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.
Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.
|
1. Personas Físicas / Jurídicas |
|
a) Certificado de no encontrarse en quiebra o en convocatoria de acreedores expedido por la Dirección General de Registros Públicos; |
|
b) Certificado de no hallarse en interdicción judicial expedido por la Dirección General de Registros Públicos; |
| c) Constancia de no adeudar aporte obrero patronal expedida por el Instituto de Previsión Social; |
|
d) Certificado laboral vigente expedido por la Dirección de Obrero Patronal dependiente del Viceministerio de Trabajo, siempre que el sujeto esté obligado a contar con el mismo, de conformidad a la reglamentación pertinente - CPS; |
|
e) En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación. |
| f) Certificado de Cumplimiento Tributario vigente a la firma del contrato. |
|
2. Documentos. Consorcios |
|
a) Cada integrante del consorcio que sea una persona física o jurídica deberá presentar los documentos requeridos para oferentes individuales especificados en los apartados precedentes. |
|
b) Original o fotocopia del consorcio constituido. |
|
c) Documentos que acrediten las facultades del firmante del contrato para comprometer solidariamente al consorcio. |
|
d) En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación. |