Suministros y Especificaciones técnicas

El suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes serán suministrados por el proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el contrato.

Los bienes suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la contratante, mediante notificación a la misma de dicho rechazo.

Detalles de los productos y/o servicios con las respectivas especificaciones técnicas - CPS

Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:

ESPECIFICACIONES TECNICAS

INTRODUCCIÓN

En vista a la importancia que tiene la seguridad de la información para toda organización y al hecho de que el fortalecimiento de la seguridad es un proceso dinámico y constante, el Banco Nacional de Fomento (de aquí en adelante BNF) ha dispuesto la contratación de los servicios profesionales de empresas especializadas en seguridad de la información.

Como fuera mencionado más arriba, asegurar las infraestructuras tecnológicas implica el desarrollo de actividades en forma constante y sistemática, y abarcan aspectos normativos, de procedimientos, de personas, tecnológicos, entre otros. Por otra parte, estos procesos deben acompañar de manera cercana y flexible a todo el ciclo de vida de los elementos a asegurar, lo cual incluye naturalmente contar con profesionales con la debida capacitación y formación en seguridad de la información.

Tomando en cuenta lo mencionado, es que el BNF solicita la prestación de servicios de seguridad de la información en la modalidad de Servicio bajo Demanda, en formato remoto y on-site, para lo cual cada requerimiento del BNF será cotizado, aprobado y ejecutado por separado, en base al esfuerzo horas--hombre demandado para la ejecución del trabajo y al costo por hora ofertado en la presente licitación.

Será la Gerencia Departamental de Administración de Seguridad de TIC (de aquí en adelante GDASTIC) del BNF, el área encargada de la administración y control del servicio prestado. La GDASTIC nombrará a un supervisor (de aquí en adelante El Supervisor) que actuará como contraparte para todas las relaciones con la empresa adjudicada (de aquí en adelante El Oferente Adjudicado).

El BNF solicita la prestación de dos subconjuntos de servicios, a saber: Servicio de Hackeo Interno y Externo.

Generalidades En el caso de que una empresa sea adjudicada El Oferente adjudicado deberá realizar cada trabajo solicitado y aprobado debe ser ejecutado en tiempo y forma, sin que ninguna otra actividad se vea afectada por la misma. En el caso de que un oferente se presente deberá presentar una nómina con personales técnicos. Dependiendo de cada actividad y necesidad del BNF, los trabajos deberán realizarse de manera remota o en sitio, es decir, en alguna de las instalaciones del Banco, en Asunción, Encarnación y Ciudad del Este (éstas dos últimas muy ocasionalmente las cuales son enunciativas no limitativas). Además, el oferente adjudicado deberá prever un tiempo de respuesta para los trabajos on-site no mayor a 8 (ocho) horas para los trabajos en Asunción, y no mayor a 48 (cuarenta y ocho) horas para el interior del país. En el caso de solicitud de servicio o asistencia remota, la misma deberá ser provista en un tiempo no mayor a 4 (cuatro) horas.

Si bien cada profesional de El Oferente Adjudicado deberá disponer de sus propias herramientas de trabajo (notebook, acceso a internet, útiles de oficina, etc.), en el caso de que el servicio se realice en las instalaciones del BNF, este pondrá a disposición de los especialistas un servicio limitado de conexión a Internet y un escritorio para el desarrollo de sus actividades.

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización del BNF. Tanto El Oferente Adjudicado, como cada uno de los miembros del plantel en forma particular, deberá firmar acuerdos de confidencialidad con el BNF.

El BNF se reserva el derecho de rescindir el Contrato, con causa justificada, toda vez que considere que el servicio prestado por El Oferente Adjudicado no cumpla con las especificaciones técnicas requeridas y el nivel de servicio esperado

El Oferente debe presentar una nómina compuesta por profesionales dependientes de una filial o sucursal de la empresa, que también se encuentre especializada en seguridad de la información, sea esta nacional o internacional, siempre y cuando se cumpla alguna de las siguientes condiciones (la propuesta deberá incluir la documentación que lo acredite):

  1. El profesional se desempeña como personal dependiente en una sucursal, filial, franquicia o empresa origen de El Oferente, sea nacional o internacional. Presentar copia simple contrato de trabajo, contrato de prestación de servicios o Declaración Jurada de Relación de Dependencia Laboral.
  1. El Oferente ha firmado un acuerdo de cooperación, representación y/o comercialización de los servicios de consultoría de seguridad con la sucursal, filial, franquicia o empresa origen de la cual es dependiente el profesional nominado. Presentar declaración Jurada de Relación de Dependencia Laboral o copia simple del acuerdo de cooperación, representación y/o comercialización de servicios firmado.

El Oferente debe dedicarse en forma exclusiva, o al menos contar con una división técnica dedicada y exclusiva, al rubro de Seguridad de la Información (consultorías de seguridad, test de intrusión, ciberseguridad, capacitación en seguridad, entre otros). Presentar el currículum de la empresa donde se debe plasmar en El organigrama organizacional la presencia de la división.

Metodología de trabajo y Facturación

En base a las necesidades del BNF, El Supervisor solicitará a El Oferente Adjudicado la realización de algún servicio descrito en las Especificaciones técnicas al cual fue adjudicado, definiendo las actividades del trabajo a realizar. En base a esta solicitud, El Oferente Adjudicado deberá remitir al Supervisor un proyecto lo más detallado posible indicando las actividades que realizará para la consecución de los objetivos requeridos, además de las horas hombre que demandará el servicio.

En el caso de que el proyecto técnico sea aprobado, El Oferente Adjudicado deberá ejecutar el trabajo de acuerdo con el detalle remitido y en base a los delineamientos del Supervisor. Todo el servicio será acompañado y controlado por El Supervisor o por quien éste designe.

El Oferente Adjudicado podrá presentar las facturas por los servicios autorizados y aprobados únicamente cuando estos hayan finalizado totalmente acompañado de un informe de los trabajos realizados. En ningún caso El Oferente Adjudicado podrá transferir los costos de viáticos, traslado, o similares al BNF, siendo posible únicamente la facturación en base a las horas demandadas para el servicio en cuestión.

Requerimientos Generales

Ante la solicitud de servicios, el plantel técnico deberá determinar las vulnerabilidades, amenazas y/o riesgos de seguridad de la información a los cuales se encuentran expuestos las aplicaciones, la infraestructura tecnológica, los procesos y procedimientos del BNF, además de las posibles mejoras que puedan ser implementadas. Los mismos deben ser presentados en dos informes al culminar los trabajos (Ejecutivo y Detallado).

Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones del BNF, para cualquiera de sus sitios de procesamiento y filiales. Además, se podrá requerir la implementación de las mejoras propuestas.

La metodología a utilizar deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología deberá basarse en OTP (OWASP).

El Oferente Adjudicado deberá proveer los informes que correspondan, a solicitud y entera conformidad del Supervisor. Estos pudieran ser:

1. Descripción detallada de la(s) metodología(s) a utilizar durante el servicio.

2. Plan de trabajo a desarrollar.

3. Lista detallada de todos los servicios, aplicaciones y equipos evaluados.

4. Detalle cronológico de cada procedimiento realizado.

5. Lista y detalle técnico de las vulnerabilidades detectadas en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones.

6. Resultados del análisis de tráfico.

7. Documentos de certificación del estado de la seguridad, para cualquier momento dado y para cualquier elemento.

8. Normas, políticas y documentaciones de seguridad.

9. Otros informes que El Supervisor solicite.

El Oferente Adjudicado podrá facilitar cualquier otro informe o documentación final que considere oportuno, en base a las metodologías utilizadas, conclusiones y/o sugerencias técnicas, etcétera.

 

El Oferente Adjudicado debe simular todos los ataques que sean

convenientes según el tipo de objetivo a testar, en coordinación y

aprobación con El Supervisor. Entre ellos se mencionan

algunos de los más importantes (lista referencial, no limitativa):

Ingeniería Social / Phishing

Inyección

SQL

 

Man-in-

the-

middle

 

Ataques de monitorización y autenticación XSS

 

(Cross-

 site

 scripting)

 

Brute-

force

 

DoS

Zerodays

Buffer

Overflow

 

Smurf / MAC Spoofing

 

DHCP

spoofing

DNS

hijacking/pharming

 

Escaneo y Cracking de paquetes y contraseñas

ARP

Cache

Poisoning

 

VLAN

Hopping

 

IP Redirections Session

 

Hijacking

 

Session

Replay

 

DHCP and DNS Weaknesses

Advanced

Attacks

 

Protocol

Fuzzing

 

 

En caso de eventuales daños o perjuicios de cualquier tipo causado al Banco Nacional de Fomento o a algún tercero en la ejecución del servicio, El Oferente Adjudicado deberá hacerse responsable de la remediación y asumir los costos de estos antes de la finalización del servicio. Los daños se refieren a perdida de los datos y la infraestructura de dichas aplicaciones.

Para las pruebas de intrusión externa o servicio remoto, el plantel técnico deberá disponer de su propia conexión que tenga acceso a la nube pública de internet, quedando a exclusivo cargo del plantel técnico cualquier gasto o responsabilidad asociada al uso de este.

Para las pruebas de intrusión interna o servicios on-site, el BNF proveerá el ambiente desde el cual deberá realizar las pruebas, quedando a cargo del plantel técnico todo gasto de movilidad que sea necesario, incluyendo los gastos de movilidad para hasta dos técnicos del BNF (ocasionalmente). El horario de los trabajos será acordado y coordinado con El Supervisor.

La infraestructura tecnológica del BNF distribuida entre el sitio primario y secundario, está compuesta de la siguiente manera (lista referencial, no limitativa):

Servidores: +150 (ciento cincuenta)

Routers de red: +10 (diez)

Switches de capa 3: +6 (seis)

Switches de capa 2: +30 (treinta)

Bases de datos: +10 (diez)

Firewalls de red: +15 (quince)

Escritorios y móviles: +1500 (mil quinientos)

Appliances: +50 (cincuenta)

ESPECIFICACIONES TÉCNICAS

ESPECIFICACIONES TÉCNICAS

DESCRIPCIÓN

EXIGIDO

SERVICIO DE TEST DE SEGURIDAD DE HACKEO

INTERNO Y EXTERNO

 1.1.  Pruebas de intrusión internas:  El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica del BNF, desde distintos escenarios, hacia y desde cualquiera de sus sitios de procesamiento y sucursales. Las modalidades podrán ser del tipo White Box, Gray Box y Black Box.

1.2. Pruebas de intrusión externas: El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica del BNF desde el exterior, es decir, desde Internet. Para cada caso se proveerán las direcciones IP públicas a través de las cuales se realizarán los test de intrusión. Las modalidades podrán ser del tipo White Box, Gray Box y Black Box.

1.3. Pruebas de intrusión a las aplicaciones Web y Móviles: El Oferente debe ser capaz de realizar pruebas de intrusión a las aplicaciones web y móviles del BNF, aplicando metodologías reconocidas internacionalmente, como el OWASP o similares. Para estos casos, el BNF proveerá el entorno desde el cual se realizarán las pruebas. Tipo White Box, Gray Box y Black Box.

1.4.  Pruebas de intrusión a las aplicaciones de escritorio: El Oferente debe ser capaz de realizar pruebas de intrusión a las aplicaciones de escritorio del BNF, sean estas adquiridas de terceros o de propio desarrollo del BNF. Para estos casos, el BNF proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box, Gray Box y Black Box.

1.5. Análisis de tráfico de red: El Oferente debe ser capaz de realizar el análisis del tráfico de la red corporativa, cableada e inalámbrica, con el objeto de evaluar anomalías, ataques, tipo de cifrado de datos, entre otros. Para estos casos, el BNF proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box y Black Box.

1.6.  Pruebas de intrusión físicas:  El Oferente debe ser capaz de realizar pruebas de intrusión física en las instalaciones y sitios de procesamiento de información del BNF, en cualquiera de sus edificios. Para estos casos, el BNF proveerá el entorno necesario desde el cual se realizarán las pruebas. Tipo White Box y Black Box.

1.7. Pruebas de intrusión del tipo Ingeniería Social/Phishing: El Oferente debe ser capaz de realizar pruebas de intrusión del tipo Ingeniería Social/Phishing o similares, sean estos en forma remota o presencial, en las instalaciones y sitios de procesamiento de información del BNF, en cualquiera de sus edificios. Para estos casos, el BNF indicará el entorno necesario desde el cual se realizarán las pruebas. Mínimamente deberán ser 50 funcionarios.

1.8.  Servicio de Soporte para la aplicación de mejoras de Seguridad sobre las Pruebas y análisis realizados:  El Oferente debe ser capaz de realizar las implementaciones de las mejoras de seguridad sobre las pruebas y análisis realizados que sean requeridas.

 

Horario de cobertura y Periodo

8x5 (lunes a viernes de 8:30 a 18:00 Hs durante 2412 meses

Observación: Las pruebas deberán preverse en cualquiera de las sucursales y/o oficinas periféricas de la institución.

 

Justificación Certificación ISO 27001 Lead Auditor, ISO 27001 Lead Implementer ISO 9001 ISO 14001

  1. Especificar cuál es el objeto de la certificación, qué es lo certificado (la producción, el producto, la distribución, otros)

El objeto de la certificación asegura el correcto control y protección de la confidencialidad, integridad y disponibilidad de la información. Es el estándar de la gestión de la seguridad de la información.

  1. Explicar cómo incide dicha certificación en la ejecución del contrato;

Entrega un trabajo de alta calidad certificada según estándares internacionales.

  1. Especificar las empresas en el mercado que cuentan con la certificación indicada (mencionar tres Empresas por lo menos)

Algunas de las empresas que cuentan con la certificación son Ernst and Young, Deloitte, Price Waterhouse Cooper.

  1. Si se han previsto en el pliego de bases y condiciones otras certificaciones equivalentes definidas como tales para satisfacer el requerimiento establecido.

Sí se han previsto otras certificaciones como CISM o CGEIT

Propuesta de planilla de precios

Descripción del Bien y/o Servicio

Cantidad

Unidad de Medida del Bien y/o Servicio

1

 Servicio de Test de Seguridad de Hackeo Interno y Externo

1

Hora

 

 

 

Identificación de la unidad solicitante y justificaciones

Nombre, cargo y la dependencia de la Institución de quien solicita el llamado a ser publicado: Ricardo Rolon, Encargado de Despacho.

Gerencia Departamental de Administración de Seguridad TIC

Justificación de la necesidad que se pretende satisfacer mediante la contratación a ser realizada: Este servicio se encargará de efectuar un plan de pruebas de seguridad sobre la infraestructura con el fin de encontrar vulnerabilidades o fallas de seguridad y poder lograr servicios a los clientes mucho mas seguros así como también dar cumplimiento a la Resolución SB. Nº 00179/2005 POR LA QUE SE REGLAMENTA LOS PROCEDIMIENTOS DE SEGURIDAD PARA LAS TRANSACCIONES REALIZADAS A TRAVÉS DE MEDIOS ELÉCTRICOS.

Justificación de la planificación: Se trata de un llamado periódico.

Justificación las especificaciones técnicas establecidas: las especificaciones técnicas establecidas fueron elaboradas conforme a la alta demanda de realización de servicios de pruebas de hackeo ético con el fin de encontrar vulnerabilidades en la infraestructura o puestas en producción de nuevas implementaciones así como también dar cumplimiento a la Resolución SB. Nº 00179/2005 POR LA QUE SE REGLAMENTA LOS PROCEDIMIENTOS DE SEGURIDAD PARA LAS TRANSACCIONES REALIZADAS A TRAVÉS DE MEDIOS ELÉCTRICOS.

 

Plan de entrega de los bienes

La entrega de los bienes se realizará de acuerdo con el plan de entrega y cronograma de cumplimiento, indicados en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicados a continuación:

No aplica

Plan de entrega de los servicios

 

 

Item

Descripción del Servicio

Cantidad

Unidad de Medida de los Servicios

Lugar donde los servicios serán prestados

Fecha(s) final(es) de ejecución de los servicios

1

Servicio de Test de Seguridad de Hackeo Interno y Externo

1

hora

Banco Nacional de Fomento - Gerencia Departamental de Administración de Seguridad TIC (GDASTIC), sito en Chile entre Haedo y Humaitá Edificio Centro Financiero N° 753

Una vez firmado el contrato y emitida la orden de servicio, dependiendo de cada actividad y necesidad del BNF por parte de la GDASTIC.

Planos y diseños

Para la presente contratación se pone a disposición los siguientes planos o diseños:

No aplica

Embalajes y documentos

El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:

No aplica

Inspecciones y pruebas

Las inspecciones y pruebas serán como se indican a continuación:

No aplica

Indicadores de Cumplimiento

El documento requerido para acreditar el cumplimiento contractual será:

  • Para Servicios:

Informe 

Serán presentados: según necesidad 

Frecuencia: Según necesidad 

Planificación de indicadores de cumplimiento:

 

INDICADOR

TIPO

FECHA DE PRESENTACIÓN PREVISTA (se indica la fecha que debe presentar según PBC)

Informe

Informe

Durante la ejecución contractual, de acuerdo al plazo establecido en el Plan de Entrega de los bienes o servicios del presente, el área administradora del Contrato emitirá la (Informes), exigida/o para los pagos correspondientes

 

 

 

Criterios de Adjudicación

La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.

1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.

2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.

3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad requerida, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.

En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.

 

 

Notificaciones

La comunicación de la adjudicación a los oferentes será como sigue:

1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.

2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.

3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.

4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.

5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.

Audiencia Informativa

Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.

La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.

La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.

La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.

Documentación requerida para la firma del contrato

Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.

 

 

1. Personas Físicas / Jurídicas

a) Certificado de no encontrarse en quiebra o en convocatoria de acreedores expedido por la Dirección General de Registros Públicos;

b) Certificado de no hallarse en interdicción judicial expedido por la Dirección General de Registros Públicos;

c) Constancia de no adeudar aporte obrero patronal expedida por el Instituto de Previsión Social;

d) Certificado laboral vigente expedido por la Dirección de Obrero Patronal dependiente del Viceministerio de Trabajo, siempre que el sujeto esté obligado a contar con el mismo, de conformidad a la reglamentación pertinente - CPS;

e) En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación.

f) Certificado de Cumplimiento Tributario vigente a la firma del contrato.

2. Documentos. Consorcios

a) Cada integrante del consorcio que sea una persona física o jurídica deberá presentar los documentos requeridos para oferentes individuales especificados en los apartados precedentes.

b) Original o fotocopia del consorcio constituido.

c) Documentos que acrediten las facultades del firmante del contrato para comprometer solidariamente al consorcio.

d) En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación.