El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.
Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
SUMINISTROS REQUERIDOS - ESPECIFICACIONES TÉCNICAS
GENERALIDADES:
De acuerdo a lo establecido en la Res. DNCP N° 1930/20 Por la cual se dispone la utilización del Sistema de Información de Contrataciones Públicas para la presentación y apertura de ofertas electrónicas en los procedimientos de contratación:
El porcentaje indicado en el SICP para la Garantía de Mantenimiento de Oferta es del 5% cinco por ciento.
La adenda es el documento emitido por la convocante, mediante la cual se modifican aspectos establecidos en la convocatoria y/o en las bases de la licitación. La adenda será considerada parte integrante del documento cuyo contenido modifique.
La convocante podrá introducir modificaciones o enmiendas a los pliegos de bases y condiciones, siempre y cuando se ajuste a los parámetros establecidos en la Ley.
La convocante podrá prorrogar el plazo de presentación de ofertas a fin de dar a los posibles oferentes, un plazo razonable para que puedan tomar en cuenta la enmienda en la preparación de sus ofertas. Esta prórroga deberá quedar asentada en la adenda citada.
1. El Proveedor deberá suministrar todos los bienes o servicios de acuerdo con las condiciones establecidas en el pliego de bases y condiciones y sus adendas, así como en el Contrato y sus adendas.
2. El Proveedor será responsable de cualquier indemnización por daños causados en el marco de la ejecución del contrato por él o su personal a los funcionarios y/o a terceros, y/o a los bienes de éstos, y/o a los bienes o instalaciones o imagen reputacional de la Contratante; por causas imputables al mismo.
3. Responder por todo incumplimiento o consecuencia imputable al mismo, derivados de la incorrecta o incompleta ejecución de lo contratado.
4. Contratar y mantener el personal calificado necesario para la realización de los servicios requeridos. Cumplir con todas las leyes laborales y de Seguridad Social vigentes. Asumir todos los riesgos en los términos del Código del Trabajo vigente, liberando al BCP de cualquier responsabilidad al respecto.
5. Cumplir con todas las medidas de seguridad que se requieran respecto a su personal, a fin de evitar accidentes de trabajo durante la ejecución contractual.
6. El Proveedor deberá indemnizar y eximir de cualquier responsabilidad a la contratante y a sus empleados y funcionarios, por cualquier litigio, acción legal o procedimiento administrativo, reclamación, demanda, pérdida, daño, costo y gasto cualquiera sea su naturaleza, incluidos los honorarios y gastos de representación legal, en los cuales pueda incurrir la contratante como resultado de riesgos profesionales o muerte de los empleados del Proveedor, sea reclamado por el trabajador o sus causahabientes durante la vigencia del contrato. Como riesgos profesionales se entenderán los accidentes de trabajo y enfermedades profesionales. Se considerarán igualmente accidentes del trabajo los hechos constituidos por caso fortuito o fuerza mayor inherentes al trabajo que produzcan las mismas lesiones.
De acuerdo a lo indicado en la Sección Especificaciones técnicas y Suministros Requeridos, el personal del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información en los términos del Formulario de la Sección Formularios Adicionales.
MODALIDAD DE CONTRATACIÓN
CONTRATO ABIERTO
LOTE N° 1: SERVICIO DE TEST DE INTRUSIÓN, PRUEBAS DE DENEGACIÓN DE SERVICIOS, RED TEAM Y EJERCICIOS DE CRISIS CIBERNÉTICA DEL BCP:
Monto máximo: ₲. 340.000.000 (Guaranies Trescientos Cuarenta Millones).
Monto mínimo: ₲. 170.000.000 (Guaranies Ciento Setenta Millones).
LOTE N° 2: SERVICIO DE SEGURIDAD DE LA INFORMACIÓN
Monto máximo: ₲. 160.000.000 (Guaranies Ciento Sesenta Millones).
Monto mínimo: ₲. 80.000.000 (Guaranies Ochenta Millones).
ESPECIFICACIONES TÉCNICAS
LOTE N° 1 - SERVICIO DE TEST DE PENETRACIÓN Y REVISIÓN DE SEGURIDAD FÍSICA Y LÓGICA DEL BCP Y LOTE N° 2 - SERVICIO DE SEGURIDAD DE LA INFORMACIÓN
INTRODUCCIÓN
En vista a la importancia que tiene la seguridad de la información para toda organización y al hecho de que el fortalecimiento de la seguridad es un proceso dinámico y constante, el Banco Central del Paraguay (en adelante BCP) ha dispuesto la contratación de los servicios profesionales especializados en dicha materia.
Como fuera mencionado más arriba, asegurar las infraestructuras tecnológicas implica el desarrollo de actividades en forma constante y sistemática, y abarcan aspectos normativos, de procedimientos, de personas, tecnológicos, entre otros. Por otra parte, estos procesos deben acompañar de manera cercana y flexible a todo el ciclo de vida de los elementos a asegurar, lo cual incluye naturalmente contar con profesionales con la debida capacitación y formación en seguridad de la información.
Tomando en cuenta lo mencionado, es que el BCP solicita la prestación de servicios de seguridad de la información en la modalidad de servicio bajo demanda, On-Site (Oficinas del BCP) y en formato remoto, para lo cual cada requerimiento del BCP será aprobado y ejecutado por separado, en base al esfuerzo en horas para la ejecución del trabajo, teniendo en cuenta el costo por hora ofertado en la presente licitación.
Será el Departamento de Ciberseguridad (en adelante DCS) del BCP, el área encargada de la administración y control del servicio prestado. El DCS nombrará a un supervisor (de aquí en adelante El Supervisor) que actuará como contraparte para todas las relaciones con el Proveedor.
GENERALIDADES
Los servicios serán ejecutados a demanda del BCP. Dependiendo de cada actividad, necesidad y requerimiento de la Contratante los servicios deberán prestarse On-Site (Oficinas del BCP sito en Av. Federación Rusa y Augusto Roa Bastos) y/o de manera remota.
Durante la ejecución de los servicios el proveedor deberá asignar un personal del plantel propuesto como nexo con el resto del plantel. Este personal deberá realizar los trabajos de manera On-Site (Oficinas del BCP).
Cada personal del Proveedor deberá disponer de sus propias herramientas de trabajo (notebook, acceso a internet, útiles de oficina), para los servicios realizados On - Site (Oficinas del BCP). El BCP pondrá a disposición del personal un servicio limitado de conexión a Internet y un escritorio para el desarrollo de sus actividades.
La infraestructura tecnológica del BCP distribuida entre el sitio primario y secundario, está compuesta de la siguiente manera (lista referencial, no limitativa):
|
Servidores: +400 (cuatrocientos) |
Routers de red: +10 (diez) |
|
Switches de capa 3: +6 (seis) |
Switches de capa 2: +30 (treinta) |
|
Bases de datos: +20 (veinte) |
Firewalls de red: +15 (quince) |
|
Escritorios y móviles: +1200 (mil doscientos) |
Appliances: +50 (cincuenta) |
METODOLOGÍA DE TRABAJO Y FACTURACIÓN
Con base en las necesidades del BCP, el Supervisor solicitará al Proveedor la realización de algún determinado servicio, definiendo las actividades del trabajo a realizar. Con base a esta solicitud, el Proveedor deberá remitir al Supervisor una descripción del servicio a ser efectuado, con sus respectivos entregables, además de la estimación en horas del mismo. En el caso de que la propuesta sea aceptada, el Proveedor deberá ejecutar el trabajo de acuerdo al detalle remitido en la cantidad de horas aprobadas y con base en los delineamientos del Supervisor. Todo el servicio será controlado por el Supervisor o por quien éste designe.
El Proveedor podrá presentar las facturas por los servicios autorizados y aprobados únicamente cuando estos hayan finalizado totalmente y los mismos cuenten con la total conformidad por parte del Supervisor. Solo podrán ser facturadas las horas que efectivamente hayan sido utilizadas en la ejecución del servicio y que se encuentren debidamente respaldadas por ordenes de servicio u otra documentación equivalente, y en ningún caso podrá facturarse por encima de las horas aprobadas. En ningún caso el Proveedor podrá transferir los costos de viáticos, traslado, o similares al BCP, siendo posible únicamente la facturación con base en las horas demandadas para el servicio en cuestión.
REQUERIMIENTOS GENERALES PARA EL LOTE N° 1
Ante la solicitud de servicios para el Lote N° 1, el plantel técnico del Proveedor deberá determinar las vulnerabilidades, amenazas y/o riesgos de ciberseguridad a los cuales se encuentran expuestos las aplicaciones, la infraestructura tecnológica, los procesos y procedimientos del BCP, además de las posibles mejoras que puedan ser implementadas.
Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones del BCP, para cualquiera de sus sitios de procesamiento. Es requerido que las pruebas en cuestión incluyan necesariamente pruebas manuales, además de la utilización de herramientas automatizadas.
Se requerirá indicar la postura de seguridad, en 5 (cinco) valores posibles (ej.: Muy Alto, Alto, Medio, Bajo, Muy Bajo), de cualquiera de estos elementos que sean objeto de estas pruebas y la implementación de las mejoras propuestas.
El Proveedor deberá ofrecer un tiempo de respuesta no mayor a 48 (cuarenta y ocho) horas hábiles tras haber sido aceptada la propuesta técnica para la ejecución del servicio.
El plantel técnico deberá detallar qué metodología(s) utilizará para cada uno de los servicios solicitados. La metodología seleccionada deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología deberá basarse en OTP (OWASP).
Dependiendo de cada caso, el Proveedor deberá proveer los informes que correspondan, a solicitud y entera conformidad del Supervisor. Estos pudieran ser:
1. Descripción detallada de la(s) metodología(s) a utilizar durante el servicio.
2. Plan de trabajo a desarrollar.
3. Lista detallada de todos los servicios, aplicaciones y equipos evaluados.
4. Detalle cronológico de cada procedimiento realizado.
5. Lista y detalle técnico de los hallazgos identificados en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones.
6. Resultados del análisis de tráfico.
7. Documentos de certificación del estado de la seguridad, para cualquier momento dado y para cualquier elemento.
8. Normas, políticas o demás documentación relevante.
9. Ordenes de servicio y demás documentaciones que acrediten el tiempo total de horas utilizadas en la realización del servicio.
10. Resumen ejecutivo.
11. Otros informes que el Supervisor solicite.
El Proveedor podrá facilitar cualquier otro informe o documentación final que considere oportuno, con base a las metodologías utilizadas, conclusiones y/o sugerencias técnicas.
El Proveedor debe simular todos los ataques que sean convenientes según el tipo de objetivo a testar, en coordinación y aprobación con el Supervisor. Entre ellos se mencionan algunos de los más importantes (lista referencial, no limitativa):
|
Ingeniería Social / Phishing |
Inyección SQL |
Man-in-the-middle |
|
Ataques de monitorización y autenticación |
XSS (Cross-site scripting) |
Brute-force |
|
DoS / DDoS |
Zerodays |
Buffer Overflow |
|
Smurf / MAC Spoofing |
DHCP spoofing |
DNS hijacking / pharming |
|
Escaneo y Cracking de paquetes y contraseñas |
ARP Cache Poisoning |
VLAN Hopping |
|
IP Redirections |
Session Hijacking |
Session Replay |
|
DHCP and DNS Weaknesses |
Advanced Attacks |
Protocol Fuzzing |
|
APT (Advance Persisten Threat) |
Lateral Movement |
Ejercicios de Redteam |
Para las pruebas de intrusión externa o servicio remoto, el plantel técnico deberá disponer de su propia conexión que tenga acceso a la nube pública de internet, quedando a exclusivo cargo del Proveedor cualquier gasto o responsabilidad asociada al uso de la misma. El horario de realización de estas pruebas será acordado y coordinado con el Supervisor.
Para las pruebas de intrusión interna o servicios on-site, el BCP proveerá el ambiente desde el cual deberá realizar las pruebas, quedando a cargo del plantel técnico todo gasto de movilidad que sea necesario. El horario de los trabajos será acordado y coordinado con el Supervisor.
Durante la ejecución de los servicios el proveedor deberá asignar una personal del plantel propuesto como nexo con el resto del plantel. Este personal deberá realizar los trabajos de manera On-Site (Oficinas del BCP).
Para la estimación de las horas de servicio, el oferente deberá adecuarse a los siguientes tipos de servicio:
La estimación de horas en ningún caso podrá incluir el tiempo dedicado a la preparación de los informes. El tiempo dedicado a la preparación de informes queda a exclusiva responsabilidad y cargo del oferente.
ESPECIFICACIONES TÉCNICAS DE LOS SERVICIOS SOLICITADOS EN LOS LOTES N° 1 Y 2.
En este apartado se describen las especificaciones técnicas relativas a la prestación de los servicios de seguridad de la información requeridos y demás información pertinente.
Se requiere la provisión de servicios especializados en seguridad de la información, que incorporen metodologías reconocidas y aceptadas internacionalmente, de acuerdo a las buenas prácticas y estándares de seguridad de la información.
A continuación, se describen los requerimientos para cada Lote, cuya/s planilla/s deberá/n ser completada/s, firmada/s y presentada/s por el Oferente en su oferta:
|
PLANILLA DE REQUERIMIENTOS DEL LOTE N° 1: SERVICIO DE TEST DE INTRUSIÓN, PRUEBAS DE DENEGACIÓN DE SERVICIOS, RED TEAM Y EJERCICIOS DE CRISIS CIBERNÉTICA DEL BCP |
||
|
CARACTERIS-TICA |
DESCRIPCION |
REQUERIDO |
|
1. Servicios Requeridos |
|
Exigido |
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
2. Plantel técnico |
|
Exigido |
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
PLANILLA DE REQUERIMIENTOS DEL LOTE N° 2: SERVICIO DE SEGURIDAD DE LA INFORMACIÓN |
||
|
CARACTERIS-TICA |
DESCRIPCION |
REQUERIDO |
|
1. Servicios Requeridos |
|
Exigido |
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
|
|
Exigido |
|
2. Plantel técnico. |
|
Exigido |
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
|
Exigido |
|
PERSONAL E INFRAESTRUCTURA
El Departamento de Ciberseguridad asignará el personal responsable que actuará de contrapartida técnica y que certificará las pruebas técnicas y los entregables del servicio realizado (el Supervisor).
Proveídos por el Proveedor
Propiedad Intelectual: Todas las documentaciones producto de este servicio pasarán a formar parte de la propiedad intelectual del Banco Central del Paraguay. El Proveedor deberá suministrar al BCP la versión impresa y digital de estas documentaciones.
El Proveedor deberá contar con herramientas de trabajo propias, tales como notebook o software especial, según el caso.
PLANTEL TÉCNICO DE TODOS LOS LOTES
El Oferente deberá presentar con su oferta una carta en carácter de declaración jurada, en la cual manifieste que el personal técnico asignado está capacitado para realizar los servicios descriptos en la presente Sección.
El BCP se reserva el derecho de realizar una evaluación técnica al personal asignado para el servicio por el Proveedor durante la ejecución del Contrato, si así considere necesario, a fin de evaluar el desempeño del mismo, pudiendo solicitar el remplazo del personal que no califique para la realización de los trabajos contratados. La evaluación técnica incluirá la verificación de conocimientos y habilidades relacionados al perfil técnico solicitado.
El Proveedor deberá mantener durante todo el plazo de prestación del servicio el personal técnico mínimo requerido. En caso de remplazo del personal propuesto en su oferta, el nuevo personal deberá cumplir con los requisitos mínimos exigidos en la presente Sección.
El Oferente deberá presentar el Curriculum Vitae y los documentos del personal técnico mínimo requerido para cada Lote conforme al formato establecido a continuación:
Formato del Curriculum Vitae de cada personal interviniente que el Oferente deberá presentar con su oferta:
LOTE N° 1 - Líder de Plantel técnico
|
Datos Personales |
Requerimientos |
Datos del Oferente |
|
|
Nombres |
Especificar |
|
|
|
Apellidos |
Especificar |
|
|
|
Fecha de Nacimiento |
Especificar |
|
|
|
N° de documento de identidad |
Especificar |
|
|
|
Formación Académica |
|||
|
Nivel Terciario |
|
|
|
|
Carrera |
Especificar |
|
|
|
Universidad |
Especificar |
|
|
|
Año de Egreso/Año en curso |
Especificar |
|
|
|
Certificaciones |
Exigido |
||
|
CEH, OSCP, OSCE, GPEN, GXPN, GWAPT, LPT, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISSP, GISP, CISM, CISA, otro. |
Especificar |
|
|
|
Experiencia Específica*** |
Exigido |
|
|
|
1.1 - Lugar de Trabajo |
Especificar |
|
|
|
1.2 Periodo |
Especificar |
|
|
|
1.3 - Trabajo Realizado |
Especificar |
|
|
|
|
|
|
|
|
2.1 - Lugar de Trabajo |
Especificar |
|
|
|
2.2 Periodo |
Especificar |
|
|
|
2.3 - Trabajo Realizado |
Especificar |
|
|
|
Servicios de Test de Intrusión o similares**** |
Exigido |
|
|
|
Test de intrusión, externos o internos, realizados a entidades nacionales y/o internacionales. |
Especificar |
|
|
LOTE N° 1 - Otros miembros del plantel técnico
|
Datos Personales |
Requerimientos |
Datos del Oferente |
|
|
Nombres |
Especificar |
|
|
|
Apellidos |
Especificar |
|
|
|
Fecha de Nacimiento |
Especificar |
|
|
|
N° de documento de identidad |
Especificar |
|
|
|
Formación Académica |
|||
|
Nivel Terciario* |
|
|
|
|
Carrera |
Especificar |
|
|
|
Universidad |
Especificar |
|
|
|
Año de Egreso/Año en curso |
Especificar |
|
|
|
Certificaciones |
Exigido |
||
|
CEH, OSCP, GPPT, OSWE, OSCE, GPEN, GXPN, CHEE, CPHE GWAPT, LPT, otro. |
Especificar |
|
|
|
Experiencia Específica*** |
Exigido |
||
|
1.1 - Lugar de Trabajo |
Especificar |
|
|
|
1.2 Periodo |
Especificar |
|
|
|
1.3 - Trabajo Realizado |
Especificar |
|
|
|
|
|
|
|
|
2.1 - Lugar de Trabajo |
Especificar |
|
|
|
2.2 Periodo |
Especificar |
|
|
|
2.3 - Trabajo Realizado |
Especificar |
|
|
|
Servicios de Test de Intrusión o similares**** |
Exigido |
|
|
|
Test de intrusión, externos o internos, realizados a entidades nacionales y/o internacionales. |
Especificar |
|
|
* El Oferente deberá adjuntar la fotocopia simple del título del Nivel terciario en el caso de que haya culminado dicho nivel (exigido para el líder del plantel técnico, de acuerdo a lo indicado en la presente Sección).
** Se requiere que los otros miembros del plantel técnico (2 miembros) cuenten con al menos una certificación en test de intrusión. El Lider del Plantel técnico deberá contar con al menos 2 certificaciones en test de intrusión y al menos 1 en seguridad de la información. El Oferente deberá presentar fotocopia simple de los documentos que acrediten las certificaciones realizadas.
*** Se requiere que el plantel técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en test de penetración o pruebas de intrusión de seguridad de la información igual o mayor a 20 (veinte) años. El Lider del Plantel técnico deberá contar con al menos 10 (diez) años de experiencia demostrable. El Oferente deberá presentar fotocopia simple de los documentos que acrediten la experiencia solicitada.
**** Se requiere que la suma de experiencia comprobable de los miembros del plantel presentado sea al menos de 1000 (mil) horas de servicio exitoso ejecutado, realizados a entidades nacionales y/o internacionales, durante el periodo comprendido en los años 2018 a 2023. Solo se podrán contabilizar tests de intrusión que hayan requerido como mínimo 20 horas de servicio, y para todos los casos se deberá indicar la cantidad de horas efectivamente ejecutadas por el profesional para ese proyecto en concreto. En caso de que esta información se encuentre en periodo de tiempo diferentes, tales como días, semanas o meses, se contabilizará a razón de 8 horas por día, 40 horas por semana, 120 horas por mes. El Oferente deberá presentar fotocopia simple de los documentos que acrediten la realización del servicio citado.
LOTE N° 2 - Líder del plantel técnico
|
Datos Personales |
Requerimientos |
Datos del Oferente |
|
|
Nombres |
Especificar |
|
|
|
Apellidos |
Especificar |
|
|
|
Fecha de Nacimiento |
Especificar |
|
|
|
N° de documento de identidad |
Especificar |
|
|
|
Formación Académica |
|||
|
Nivel Terciario* |
|
|
|
|
Carrera |
Especificar |
|
|
|
Universidad |
Especificar |
|
|
|
Año de Egreso/Año en curso |
Especificar |
|
|
|
Certificación** |
Exigido |
||
|
CCISO, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISM, CDPSE, CISA, GISP, Certified NIST Cybersecurity Framework Lead Implementer (CSF LI), otro. |
Especificar |
|
|
|
Experiencia Específica*** |
Exigido |
||
|
1.1 - Lugar de Trabajo |
Especificar |
|
|
|
1.2 Periodo |
Especificar |
|
|
|
1.3 - Trabajo Realizado |
Especificar |
|
|
|
|
|
|
|
|
2.1 - Lugar de Trabajo |
Especificar |
|
|
|
2.2 Periodo |
Especificar |
|
|
|
2.3 - Trabajo Realizado |
Especificar |
|
|
|
Servicios de Seguridad de la Información**** |
Exigido |
|
|
|
Servicios de Seguridad de la Información |
Especificar |
|
|
LOTE N° 2 - Otros miembros del plantel técnico
|
Datos Personales |
Requerimientos |
Datos del Oferente |
|
|
Nombres |
Especificar |
|
|
|
Apellidos |
Especificar |
|
|
|
Fecha de Nacimiento |
Especificar |
|
|
|
N° de documento de identidad |
Especificar |
|
|
|
Formación Académica |
|||
|
Nivel Terciario |
|
|
|
|
Carrera |
Especificar |
|
|
|
Universidad |
Especificar |
|
|
|
Año de Egreso/Año en curso |
Especificar |
|
|
|
Certificación** |
Exigido |
||
|
CompTIA Security+, CCISO, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISM, CDPSE, Certified NIST Cybersecurity Framework Lead Implementer (CSF LI), CISA, otro. |
Especificar |
|
|
|
Experiencia Específica*** |
Exigido |
||
|
1.1 - Lugar de Trabajo |
Especificar |
|
|
|
1.2 Periodo |
Especificar |
|
|
|
1.3 - Trabajo Realizado |
Especificar |
|
|
|
|
|
|
|
|
2.1 - Lugar de Trabajo |
Especificar |
|
|
|
2.2 Periodo |
Especificar |
|
|
|
2.3 - Trabajo Realizado |
Especificar |
|
|
|
Servicios de Seguridad de la Información**** |
Exigido |
|
|
|
Servicios de Seguridad de la Información |
Especificar |
|
|
*El Oferente deberá adjuntar la fotocopia simple del título del Nivel terciario en el caso de que haya culminado dicho nivel (exigido para el líder del plantel técnico, de acuerdo a lo indicado en la presente Sección).
** Se requiere que los otros miembros del plantel técnico (2 miembros) cuenten con al menos una certificación en seguridad de la información. El Lider del Plantel técnico deberá contar con al menos 2 certificaciones en seguridad de la información. El Oferente deberá presentar fotocopia simple de los documentos que acrediten las certificaciones realizadas.
*** Se requiere que el plantel técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en servicios de soporte de seguridad de la información igual o mayor a 20 (veinte) años. El Lider del Plantel técnico deberá contar con al menos 10 (diez) años de experiencia demostrable. El Oferente deberá presentar fotocopia simple de los documentos que acrediten la experiencia solicitada.
**** Se requiere que la suma de experiencia comprobable de los miembros del plantel presentado sea al menos de 1000 (mil) horas de servicio exitoso ejecutado, realizados a entidades nacionales y/o internacionales, durante el periodo comprendido en los años 2018 a 2023. Solo se podrán contabilizar tests de intrusión que hayan requerido como mínimo 20 horas de servicio, y para todos los casos se deberá indicar la cantidad de horas efectivamente ejecutadas por el profesional para ese proyecto en concreto. En caso de que esta información se encuentre en periodo de tiempo diferentes, tales como días, semanas o meses, se contabilizará a razón de 8 horas por día, 40 horas por semana, 120 horas por mes. El Oferente deberá presentar fotocopia simple de los documentos que acrediten la realización del servicio citado.
GENERALIDADES
ADMINISTRACIÓN DEL CONTRATO: La administración de los contratos estará a cargo del Departamento de Ciberseguridad.
GARANTÍA DE BUEN SERVICIO Y CALIDAD: a ser emitida por el Oferente mediante una nota en carácter de declaración jurada a nombre de la Convocante, por todo el plazo de prestación del servicio contratado. Durante ese período, correrá a su cargo, por cuenta propia y sin costo para la Convocante, las modificaciones que correspondan, cuando se observasen fallas y/o deficiencias en el servicio, por causas que le fueran imputables.
Compromiso de Confidencialidad: el personal interviniente del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información, dado que podría acceder a información confidencial de la contratante, en los términos del Formulario incluido en la Sección Formularios. La firma del Compromiso de Confidencialidad se realizará al momento de la suscripción del contrato. El Departamento de Ciberseguridad será el responsable de gestionar la firma de dicha documentación. En caso de que se incorpore nuevo personal del Proveedor se deberá gestionar la firma del Compromiso de Confidencialidad por parte de estos.
Boletas de servicio: el Proveedor deberá presentar un registro de los servicios realizados, en el cual conste la fecha, lugar y descripción del trabajo realizado de inicio a fin, así como las horas ejecutadas al efecto. Una copia deberá proveerse al Supervisor.
• El presente llamado a ser publicado ha sido solicitado por: el Departamento de Ciberseguridad del Banco Central del Paraguay.
• La necesidad que se pretende satisfacer mediante la contratación realizada radica en:
Lote 1 - Servicio de Test de Intrusión, Pruebas de Denegación de Servicios, Red Team y Ejercicios de Crisis Cibernética del BCP
El Banco Central del Paraguay (BCP) cuenta con múltiples sistemas y equipos informáticos, algunos de ellos de misión crítica tales como el SIPAP (Sistemas de Pago del Paraguay), el SPI (Sistemas de Pagos Instantáneos), Swift, SEOG, SML, GRP, entre otros; los cuales requieren que se garanticen la disponibilidad, confidencialidad e integridad de la información procesada y almacenada en su infraestructura tecnológica y se encuentra protegido por el Art. 6 de la ley 489/95 y otras leyes nacionales como la del SIPAP. En este concepto es necesario que la seguridad de todos estos sistemas y servicios tecnológicos sean verificados y certificados por un tercero independiente, que cuente con prestigio y profesionales especializados y certificados para el efecto. El BCP, como proveedor de los sistemas anteriormente mencionados, debe garantizar a sus clientes (instituciones financieras y entes estatales) el compromiso asumido de que su información está segura.
Lote 2 - SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN
El BCP debe hacer frente a múltiples amenazas de seguridad de la información, tanto externas, como ataques de hackers, software malicioso y otros tipos malwares, e internas, tales como pérdida o fuga de información, ingresos no autorizados a sistemas o errores de los propios funcionarios, sean o no malintencionados.
Por otro lado, constantemente el BCP tiene la necesidad de poner en producción nuevos servicios y tecnologías, o revisar y publicar nuevas normativas teniendo en cuenta la importancia de la información que genera y administra, siempre con el fin de satisfacer requerimientos de seguridad internos y/o de sus clientes.
• Con relación a la planificación, se indica que: se trata de un llamado periódico, sucesivo ya que la necesidad es continua.
• Las especificaciones técnicas establecidas se justifican en: las necesidades actuales de la Institución, en su infraestructura, conocimiento del área técnica, entre otros.
La entrega de los bienes se realizará de acuerdo al plan de entrega y cronograma de cumplimiento, indicado en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicado a continuación:
NO APLICA.
|
Ítems |
Descripción del servicio |
Cantidad |
Unidad de medida |
Lugar donde los servicios serán prestados |
Plazo de cumplimiento de los servicios |
Plazo de prestación/ejecución de los servicios |
Plazo de vigencia del Contrato |
|
De acuerdo a la Lista de Precios publicada en el SICP |
De acuerdo a la Lista de Precios publicada en el SICP |
De acuerdo a la Lista de Precios publicada en el SICP |
De acuerdo a la Lista de Precios publicada en el SICP |
Los servicios serán ejecutados a demanda del BCP. Dependiendo de cada actividad, necesidad y requerimiento de la Contratante los servicios deberán prestarse On-Site (Oficinas del BCP sito en Av. Federación Rusa y Augusto Roa Bastos) y/o de manera remota. |
Los servicios requeridos serán prestados en los plazos a ser establecidos por el área administradora del Contrato para cada caso. |
24 (veinticuatro) meses contados a partir de la fecha que será establecida al efecto en la Orden de Inicio, la cual será emitida dentro del plazo de 10 (diez) días hábiles desde la suscripción del contrato. |
El plazo de vigencia del Contrato será de 24 (veinticuatro) meses contados a partir de la fecha que será establecida al efecto en la Orden de Inicio, la cual será emitida dentro del plazo de 10 (diez) días hábiles desde la suscripción del contrato.
|
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indica a continuación:
Las inspecciones y pruebas serán como se indica a continuación:
La Contratante fiscalizará la ejecución del Contrato a través del área administradora del Contrato. Se verificará que lo ejecutado cumpla a cabalidad con lo establecido en la Sección Suministros Requeridos Especificaciones técnicas y en la Lista de Precios; y se adecuen al Plan de Entrega de los Bienes o Servicios del presente PBC.
1. El proveedor realizará todas las pruebas y/o inspecciones de los Bienes, por su cuenta y sin costo alguno para la contratante.
2. Las inspecciones y pruebas podrán realizarse en las instalaciones del Proveedor o de sus subcontratistas, en el lugar de entrega y/o en el lugar de destino final de entrega de los bienes, o en otro lugar en este apartado.
Cuando dichas inspecciones o pruebas sean realizadas en recintos del Proveedor o de sus subcontratistas se le proporcionarán a los inspectores todas las facilidades y asistencia razonables, incluso el acceso a los planos y datos sobre producción, sin cargo alguno para la Contratante.
3. La Contratante o su representante designado tendrá derecho a presenciar las pruebas y/o inspecciones mencionadas en la cláusula anterior, siempre y cuando éste asuma todos los costos y gastos que ocasione su participación, incluyendo gastos de viaje, alojamiento y alimentación.
4. Cuando el proveedor esté listo para realizar dichas pruebas e inspecciones, notificará oportunamente a la contratante indicándole el lugar y la hora. El proveedor obtendrá de una tercera parte, si corresponde, o del fabricante cualquier permiso o consentimiento necesario para permitir a la contratante o a su representante designado presenciar las pruebas o inspecciones.
5. La Contratante podrá requerirle al proveedor que realice algunas pruebas y/o inspecciones que no están requeridas en el contrato, pero que considere necesarias para verificar que las características y funcionamiento de los bienes cumplan con los códigos de las especificaciones técnicas y normas establecidas en el contrato. Los costos adicionales razonables que incurra el Proveedor por dichas pruebas e inspecciones serán sumados al precio del contrato, en cuyo caso la contratante deberá justificar a través de un dictamen fundado en el interés público comprometido. Asimismo, si dichas pruebas y/o inspecciones impidieran el avance de la fabricación y/o el desempeño de otras obligaciones del proveedor bajo el Contrato, deberán realizarse los ajustes correspondientes a las Fechas de Entrega y de Cumplimiento y de las otras obligaciones afectadas.
6. El proveedor presentará a la contratante un informe de los resultados de dichas pruebas y/o inspecciones.
7. La contratante podrá rechazar algunos de los bienes o componentes de ellos que no pasen las pruebas o inspecciones o que no se ajusten a las especificaciones. El proveedor tendrá que rectificar o reemplazar dichos bienes o componentes rechazados o hacer las modificaciones necesarias para cumplir con las especificaciones sin ningún costo para la contratante. Asimismo, tendrá que repetir las pruebas o inspecciones, sin ningún costo para la contratante, una vez que notifique a la contratante.
8. El proveedor acepta que ni la realización de pruebas o inspecciones de los bienes o de parte de ellos, ni la presencia de la contratante o de su representante, ni la emisión de informes, lo eximirán de las garantías u otras obligaciones en virtud del contrato.
El documento requerido para acreditar el cumplimiento contractual, será:
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA |
|
Documentos de solicitud de los bienes/ servicios al Proveedor, si correspondiere, y Conformidad del área técnica administradora del contrato. |
|
En el marco de la ejecución contractual, de acuerdo con el plazo establecido en el Plan de Entrega de los bienes o servicios del presente PBC, el área administradora del contrato emitirá los documentos de solicitud al Proveedor, si correspondiere, y posteriormente, el/la Nota/Formulario/Providencia/Memorando de conformidad, exigida/o para el/los pago/s correspondiente/s. |
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.
La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.
1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante de la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.
2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.
3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad de Bienes requeridos, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.
En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la Convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.
La comunicación de la adjudicación a los oferentes será como sigue:
1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.
2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.
3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.
4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.
5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.
Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.
La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.
La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.
La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.
Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.
|
|
|
|
|
|
|
|
2. Documentos. Consorcios |
|
|
|
|