Diferencias entre la versión 2 y 3 del Pliego de la Licitación 443346 - LPN N° 17/2024 - ADQUISICIÓN DE EQUIPOS INFORMÁTICOS Y DE COMUNICACIÓN

1. Catálogos o impresos descriptivos de los bienes ofertados, incluyendo el modelo exacto a ser ofertado con los vínculos (links/URL) oficiales del fabricante, en los cuales se puedan corroborar las especificaciones técnicas de estos.

2. Detalle de las Especificaciones técnicas mediante una nota en carácter de declaración jurada a nombre de la Convocante, en el cual se incluyan las descripciones y demás requisitos exigidos en la Sección Suministros Requeridos - Especificaciones Técnicas.

3. Garantía de Buen Funcionamiento y Calidad, emitida por el Oferente mediante una nota en carácter de declaración jurada a nombre del Banco Central del Paraguay, en virtud de la cual manifieste que correrá a su cargo, por cuenta propia y sin costo para el BCP, las reposiciones, sustituciones, reparaciones y/o modificaciones que correspondan, cuando se observasen fallas y/o deficiencias en los equipos ofertados, por causas que le fueran imputables, durante el plazo establecido para cada Lote en la Tabla de certificaciones, garantías, soporte técnico y autorización del fabricante del apartado Suministros Requeridos - Especificaciones Técnicas.

4. Garantía del Fabricante, documento expedido por el Fabricante por el cual el mismo otorga garantía del equipo ofertado por el plazo establecido en la Tabla de certificaciones, garantías, soporte técnico y autorización del fabricante del apartado Suministros Requeridos - Especificaciones Técnicas.

5. Para el Lote N° 5: Fotocopia simple de certificación NCP (Nutanix Certified Professional) o nivel superior, emitida por el fabricante y otorgada al personal técnico responsable del Oferente, al menos 1 (un) personal técnico, que realizará la integración de los bienes ofertados con la infraestructura actual existente

6. Para el Lote N° 7: Fotocopia simple de certificación CCNP Enterprise (Cisco Certified Network Professional) o nivel superior, emitida por el fabricante y otorgada al personal técnico responsable del Oferente, al menos 1 (un) personal técnico, que realizará la integración de los bienes ofertados con la infraestructura actual existente.

7. Para los Lotes N° 11 y 12: Fotocopia simple del Certificado o Curso emitido por el Fabricante que acredite que al menos 1 (un) personal técnico especializado responsable del Oferente está capacitado para la instalación o puesta en marcha de los bienes ofertados.

8. Para los Lotes N° 6, 9 y 10: Fotocopia simple del Certificado emitido por el Fabricante que acredite que al menos 1 (un) personal técnico especializado responsable del Oferente está capacitado para la instalación o puesta en marcha de los bienes ofertados.

1. Para los Lotes N° 5 al 11: Nota en carácter de declaración jurada emitida por el Oferente en la cual detalle al menos 1 (una) experiencia del personal propuesto en implementación de los equipos de características similares al ofertado, con aclaración del cliente final y número telefónico del mismo. El BCP se reserva el derecho de corroborar la información otorgada.

10. Nota en carácter de declaración jurada, en la cual el Oferente manifieste que se obliga a otorgar el Soporte Técnico de los bienes ofertados de acuerdo con los plazos y detalles establecidos para cada Lote en la Tabla de certificaciones, garantías, soporte técnico y autorización del fabricante de la Sección Especificaciones Técnicas y Suministros Requeridos a partir de la fecha de la emisión de la conformidad del área técnica correspondiente para cada Lote ofertado.

11. Para los Lotes N° 1 al 4: Certificación ISO 9001 vigente vinculada a "Diseño y Desarrollo" y Certificación tipo ISO 14001 vigente.

       l. Para los Lotes N° 1, 3 y 4: Certificación ISV verificable en la página WEB del fabricante del equipo.

      m. Documento vigente que acredite fehacientemente que el Oferente es Fabricante y/o Representante Oficial y/o Distribuidor Oficial y/o Partner Autorizado por el Fabricante para la República del Paraguay de los equipos y/o hardware ofertados,        ya sea mediante documento emitido por la firma autorizante o mediante la presentación del Formulario, incluido en la Sección Formularios del PBC, debidamente suscripto por la firma autorizante.

14. Nota en carácter de declaración jurada en la que el Oferente se compromete a ejecutar las tareas de reparación y/o cambios de partes en virtud de la Garantía del Fabricante, ya sea directamente o a través de algún Centro Autorizado de Servicios (CAS); en este último caso, se mantiene en todo momento la responsabilidad del Oferente respecto a la gestión y ejecución de la garantía solicitada.

     o) Nota en carácter de declaración jurada en la cual se detalle la lista de los equipos y componentes principales con su número de parte original del fabricante ofertado para cada Lote, de tal manera a corroborar en el catálogo online del                      fabricante.

16. Nota en carácter de declaración jurada en la que el Oferente se compromete a proveer soporte técnico y manifieste contar con el personal técnico capacitado para la prestación del soporte de acuerdo con los plazos y detalles establecidos para cada Lote en la Tabla de certificaciones, garantías, soporte técnico y autorización del fabricante de la Sección Especificaciones Técnicas y Suministros Requeridos.

17. Para el Lote N° 5: Fotocopia simple de las Certificaciones Energy Star, CSAus, FCC, CSA, ICES, CE, KCC, RCM, VCCI-A, BSMI, EAC, SABS, S-MARK, UKRSEPRO (OPCIONAL), RoHS, BIS o equivalentes.

ÍTEM N° 1

SERVIDOR HIPERCONVERGENTE PARA DESARROLLO SITIO ALTERNO

Característica

Descripción de requisitos mínimos

Ofrecido

Marca

Especificar

Modelo

Especificar

Tipo

Especificar

Arquitectura

Debe estar compuesto por al menos 4 (cuatro) nodos hiperconvergentes virtualización de aplicaciones, y soporte para una cantidad mínima de 02 (dos) nodos de cómputo/storage hiperconvergentes y redundancia N+1, en el mismo appliance.

Cantidad Requerida

02 appliance con al menos 02 nodos de cómputo, en un mismo appliance único.

CPU por nodo

2 (dos) x procesadores de 24 (veinticuatro) núcleos físicos de al menos 2.0 GHz de frecuencia y de al menos 45 MB de Cache de cada uno, por cada nodo. (deberán ser de la última generación disponible).

Se podrán ofrecer procesadores que sean técnicamente superiores a lo requerido, siempre y cuando se demuestre esto mediante catálogos del fabricante.

Almacenamiento por nodo

4 (cuatro) discos SSD de al menos 7.68TB por cada nodo

Memoria por nodo

Al menos 1500 GB DDR4 o superior, por cada nodo

Conexiones de Red por nodo

Adaptador de red con al menos 2 (dos) puertos 25Gbps del tipo SFP, por cada nodo (se deberán incluir los SFP del lado de los servidores, así como del lado de los conmutadores Cisco Nexus a los cuales los equipos estarán conectados. Además de sus correspondientes cables de FO (Multimodo, Dúplex, LC/LC, tipo OM4 de al menos 10 metros de longitud).

Certificaciones

CSAus, FCC, CSA, ICES, CE, KCC, RCM, VCCI-A, BSMI, EAC, SABS, INMETRO (opcional), S-MARK, BIS.

Compatibilidad y dependencias tecnológicas.

Deberán ser totalmente certificados y compatibles con la solución hiperconvergente de NUTANIX la cual, se encuentra actualmente instalada y en funcionamiento en el entorno de producción en el BCP (adquirido en la LPN N° 20/2023), de modo a que pueda ser completamente administrada por el software de control PRISM Central y conforme parte del clúster NUTANIX. Por lo cual es un requerimiento que el equipo ofertado sea completamente compatible e integrable con lo expuesto. Esto deberá ser demostrado en la oferta de forma documental mediante catálogos, impresos descriptivos o vínculos oficiales, que indiquen la compatibilidad de la solución ofertada con estas tecnologías.

Aplicaciones y Licenciamiento

Se deberán incluir todas las licencias necesarias para la puesta en marcha del equipo, así como las necesarias en el PRISM Central del BCP para la adopción de estos nuevos equipos al Clúster NUTANIX y además de las licencias del hipervisor nativo.

El nivel de licenciamiento deberá ser Profesional y add-on de Replicación Avanzada, e incluir el licenciamiento del hipervisor Acrópolis y PRISM Central, por la duración de la Garantía y Soporte Técnico.

Garantía y Soporte Técnico

Se requiere garantía y soporte técnico por un periodo de al menos 36 (treinta y seis) meses con posibilidad de escalamiento al fabricante y reemplazo de partes por garantía, a computarse a partir de la fecha de emisión de la conformidad del área técnica.

Cantidad

01 (un) clúster

ÍTEM N° 2

SERVIDOR HIPERCONVERGENTE PARA DCS SITIO ALTERNO

Característica

Descripción de requisitos mínimos

Ofrecido

Marca

Especificar

Modelo

Especificar

Tipo

Especificar

Arquitectura

Debe estar compuesto por al menos 3 (tres) nodos hiperconvergente para virtualización de aplicaciones.

Cantidad Requerida

Se espera que la solución cuente con al menos 3 (tres) nodos hiperconvergentes en total. Cada appliance puede contener hasta 2 (dos) nodos.

CPU por nodo

2 (dos) x procesadores de 16 (dieciséis) núcleos físicos de al menos 2.5 GHz de frecuencia y al menos 37 MB de Cache de cada uno, por cada nodo. (deberán ser de la última generación disponible)

Se podrán ofrecer procesadores que sean técnicamente superiores a lo requerido, siempre y cuando se demuestre esto mediante catálogos del fabricante.

Almacenamiento por nodo

Capacidad requerida por nodo:

4 (cuatro) discos HDD de 3.5 de al menos 8TB.

2 (dos) discos SSD de al menos 7.68TB

Memoria por nodo

Al menos 1500 GB DDR4 o superior, por cada nodo

Conexiones de Red por nodo

Adaptador de red con al menos 2 (dos) puertos 25Gbps del tipo SFP, por cada nodo (se deberán incluir los SFP del lado de los servidores, así como del lado de los conmutadores Cisco Nexus a los cuales los equipos estarán conectados. Además de sus correspondientes cables de FO (Multimodo, Dúplex, LC/LC, tipo OM4 de al menos 10 metros de longitud).

Certificaciones

Energy Star, CSAus, FCC, CSA, ICES, CE, KCC, RCM, VCCI-A, BSMI, EAC, SABS, INMETRO (opcional), SMARK, UKRSEPRO (opcional), BIS o equivalentes.

Compatibilidad y dependencias tecnológicas.

Deberán ser totalmente certificados y compatibles con la solución hiperconvergente de NUTANIX la cual, se encuentra actualmente instalada y en funcionamiento en el entorno de producción en el BCP (adquirido en la LPN N° 24/2022), de modo a que pueda ser completamente administrada por el software de control PRISM Central y conforme parte del clúster NUTANIX. Por lo cual es un requerimiento que el equipo ofertado sea completamente compatible e integrable con lo expuesto. Esto deberá ser demostrado en la oferta de forma documental mediante catálogos, impresos descriptivos o vínculos oficiales, que indiquen la compatibilidad de la solución ofertada con estas tecnologías.

Aplicaciones y Licenciamiento

Se deberán incluir todas las licencias necesarias para la puesta en marcha del equipo, así como las necesarias en el PRISM Central del BCP para la adopción de estos nuevos equipos al Clúster NUTANIX y además de las licencias del hipervisor nativo.

El nivel de licenciamiento deberá ser Profesional y add-on de Replicación Avanzada, e incluir el licenciamiento del hipervisor Acrópolis y PRISM Central, por la duración de la Garantía y Soporte Técnico.

Garantía y Soporte Técnico

Se requiere garantía y soporte técnico por un periodo de al menos 36 (treinta y seis) meses con posibilidad de escalamiento al fabricante y reemplazo de partes por garantía, a computarse a partir de la fecha de emisión de la conformidad del área técnica.

Cantidad

03 (tres)

ÍTEM N° 3

SERVIDOR HIPERCONVERGENTE VDI SITIO ALTERNO

Descripción

Mínimo Exigido

Ofrecido

Marca

Especificar

Modelo

Especificar

Tipo

Especificar

Arquitectura

Debe estar compuesto por al menos 3 (tres) nodos hiperconvergente para virtualización de escritorios y aplicaciones.

Cantidad Requerida

02 appliances con hasta 2 nodos de cómputo, en un mismo appliance único.

CPU por nodo

2 (dos) x procesadores de 20 (veinte) núcleos físicos de al menos 2.00 GHz de frecuencia básica y al menos 37 MB de Cache de cada uno, por cada nodo. (deberán ser de la última generación disponible).

Se podrán ofrecer procesadores que sean técnicamente superiores a lo requerido, siempre y cuando se demuestre esto mediante catálogos del fabricante.

Almacenamiento por nodo

Capacidad requerida por nodo:

4 (cuatro) discos HDD de 3.5de al menos 8TB. 

2 (dos) discos SSD de al menos 3.84TB

Memoria por nodo

Al menos 1000 GB DDR5 o superior, por cada nodo

Conexiones de Red por nodo

Adaptador de red con al menos 2 (dos) puertos 25Gbps del tipo SFP, por cada nodo (se deberán incluir los SFP del lado de los servidores, así como del lado de los conmutadores Cisco Nexus a los cuales los equipos estarán conectados. Además de sus correspondientes cables de FO (Multimodo, Dúplex, LC/LC, tipo OM4 de al menos 10 metros de longitud).

Certificaciones

Energy Star, CSAus, FCC, CSA, ICES, CE, KCC, RCM, VCCI-A, BSMI, EAC, SABS, INMETRO (opcional), S-MARK, UKRSEPRO (opcional), BIS o equivalentes.

Compatibilidad y dependencias tecnológicas.

Deberán ser totalmente certificados y compatibles con la solución hiperconvergente de NUTANIX la cual, se encuentra actualmente instalada y en funcionamiento en el entorno de producción en el BCP (adquirido en la LPN N° 24/2022), de modo a que pueda ser completamente administrada por el software de control PRISM Central y conforme parte del clúster NUTANIX. Por lo cual es un requerimiento que el equipo ofertado sea completamente compatible e integrable con lo expuesto. Esto deberá ser demostrado en la oferta de forma documental mediante catálogos, impresos descriptivos o vínculos oficiales, que indiquen la compatibilidad de la solución ofertada con estas tecnologías.

Aplicaciones y Licenciamiento

Se deberán incluir todas las licencias necesarias para la puesta en marcha del equipo, así como las necesarias en el PRISM Central del BCP para la adopción de estos nuevos equipos al Clúster NUTANIX.

El nivel de licenciamiento deberá ser Subscription, End User Computing (EUC) Ultimate Software License & Production Software Support Service (400 Users), el más avanzado ofrecido por el fabricante, permitiendo desplegar todas las funciones o características del equipo, e incluir el licenciamiento del hipervisor Acrópolis y PRISM Central.

Garantía y Soporte Técnico

Se requiere garantía y soporte técnico por un periodo de al menos 36 (treinta y seis) meses con posibilidad de escalamiento al fabricante y reemplazo de partes por garantía, a computarse a partir de la fecha de emisión de la conformidad del área técnica.

Cantidad

2 (dos)

Características

Configuración solicitada

Mínimo exigido

Configuración ofrecida

Marca

Especificar exactamente, de manera a comprobar en el catálogo on-line del fabricante, incluir vínculo (link).

Especificar

Arquitectura

Tipo: mínimo de 40 U todo integrado, deberá contener todos los componentes de refrigeración, energía, monitoreo ambiental y seguridad de acceso.

Requerido

Part Number

Especificar

Tipo Gabinete Rack, con ventilador para refrigeración de emergencia, iluminación, panel de alimentación con doble entrada de alimentación, guías para gestión de cables,
Controles inteligentes con pantalla táctil para el control de acceso a ambas puertas (delantera y trasera)

Requerido

Rendimiento y Capacidad

Energía UPS

Deberá contener UPS de al menos 6kVA con autonomía de al menos 15 minutos, para lo cual se deberá contemplar la plena carga de su potencia nominal.

Capacidad de refrigeración

Deberá incluir la unidad de refrigeración con compresor tipo inverter de al menos 5 KW. Deberá incluir todos los accesorios de montaje como cañerías de cobre y drenaje de líquidos, que sean necesarios para el funcionamiento al 100 % de la capacidad del equipo.

Seguridad

Bloqueo electrónico para cierre y apertura de ambas puertas (frontal y trasera)

Sensores ambientales

Incluidos con capacidad de conexión a sistema de monitoreo DCIM existente

Suministro de energía

Deberá tener capacidad de doble alimentación desde fuentes diferentes de energía eléctrica

Monitoreo

Sensores de temperatura y humedad Incorporado y accesible desde el display propio del equipo, así como a través de un navegador remoto a través de interface ethernet RJ45 TCP/IP

Características Generales

Medidas

Especificar

Conexiones externas de datos

Se deberá prever la provisión e instalación de enlaces de fibra desde la sala de CCTV hasta la sala acceso de proveedores en la GTIC para uno de los armarios, de acuerdo con las siguientes características:

1. Enlace de FO (con protección anti roedor), tipo multimodo OM4 certificado para 10Gbps de al menos 24 pelos y 12 enlaces full duplex, con DIOs (en cada extremo) y conectores LC/LC, se deberá incluir patch cords del tipo LC/LC de 5 (cinco) metros para la totalidad de los enlaces.

1. Enlace de FO (con protección anti roedor), tipo monomodo certificado para 10Gbps de al menos 24 pelos y 12 enlaces full duplex, con los DIOs (en cada extremo) y conectores LC/LC, se deberá incluir patch cords del tipo LC/LC de 5 (cinco) metros para la totalidad de los enlaces.

Se deberá prever la provisión e instalación de enlaces de UTP desde los 3 (tres) armarios ubicados de la sala acceso de proveedores en la GTIC hasta el rack MDF ubicado a 15 (quince) metros en la misma sala, de acuerdo con las siguientes características:

• Enlace de UTP cat. 6a certificado para 10Gbps y 6 enlaces por cada armario, con patch panels descargado en cada extremo (los enlaces del lado del rack MDF podrán converger en el mismo patch panel), se deberá incluir 50 unidades de patch cords del tipo cat. 6a de 5 (cinco) metros.

Estándares

Debe cumplir como mínimo con las normas EMC e IEC 60634

Requerido

MANO DE OBRA E INSTALACIÓN

La provisión de los equipos deberá contemplar todos los trabajos, mano de obra, accesorios y materiales necesarios para la puesta a punto e instalación de estos.

Será responsabilidad del Proveedor:

2. La provisión total de los componentes, accesorios y materiales necesarios para las instalaciones de los equipos. La instalación deberá realizarse bajo los estándares de calidad adecuados para este tipo de equipos.

• La instalación eléctrica y de datos deberán ser proveídas de manera a dejar el equipamiento completamente funcional, incluyendo todos los accesorios, materiales y mano de obra especializada. De ser necesario cualquier tipo de obra civil para la instalación correcta de los equipos, esta correrá totalmente a cargo del proveedor, sin costo extra para el BCP.

• En caso de que sea requerido el retiro y ordenado de cableado en el lugar de instalación de los equipos, esto correrá totalmente a cargo del proveedor, sin costo extra para el BCP.
• Los trabajos necesarios para la integración con la plataforma de monitoreo DCIM IP existente de los equipos requeridos.
• Tomas corrientes del tipo C13/C14, como mínimo cantidad 20 unidades. Se deberá incluir la misma cantidad de cables de fuente C13/C14.

Exigido

Cantidad

05 (cinco)

Descripción

Mínimo Exigido

Configuración

Ofrecida

Marca

Especificar

Modelo

Especificar

Procedencia

Especificar

Características solicitadas para la provisión del equipo: 

Deberá ser auto regulable de modo a mantener una temperatura ambiente de 20 °C ± 10% y una humedad relativa del 50 %.

Exigido

En ningún caso se aceptarán ofertas que propongan como solución equipos de Aire Acondicionado del tipo Confort.

Exigido

Capacidad frigorífica requerida: 

Dimensiones de la Sala de UPS

>= a 30 m²

Carga térmica estimada (CC):
Observación: se deberán tener en cuenta las siguientes características de los equipos (servidores, switches, etc.) y su respectiva disipación térmica para el dimensionamiento de los equipos de refrigeración.

>= 35 kW entre los equipos activos dentro del DC.

Dimensiones de la Unidad Interior:

Altura >= 1800 mm

Profundidad >=1000 mm

En caso de que el ancho del equipo ofertado sea >= 800 mm, se deberá prever los trabajos necesarios para la instalación dentro del Datacenter, teniendo en cuenta las dimensiones físicas del Datacenter.

Caudal de aire

>= 5.500 m3/h

Debe tener capacidad de gestionar el siguiente rango de temperaturas externas

Mínimo -10 ° grados C y máximo 45 ° grados C y deberá soportar temperaturas de retorno de al menos 40 ° C

Condiciones sala de equipos

Temperatura 20°C +/- 2°C. Humedad relativa   50 %

Sistema redundante

Con posibilidad de funcionamiento y escalamiento con unidad redundante tipo (n+1), para implementaciones futuras

Certificaciones

UL o CE

Consideraciones para el sistema de climatización

Filtros de aire con posibilidad de filtrado superior al 90 %

Exigido

Los Ventiladores deberán ser del tipo EC, de accionamiento directo y de velocidad variable conmutados electrónicamente.

Exigido

Los equipos deberán contar con una bomba de condensado, la misma se suministrará cableada de fábrica y conectada internamente con tubería a la bandeja de desagüe de la condensación y la salida del humidificador.

Deberá contar con mecanismo para detectar a tiempo fugas de agua que se puedan producir en la sala de datos

Exigido

El filtro deberá ser resistente a la humedad. Los filtros se deberán poder sustituir fácilmente

Exigido

La unidad deberá soportar configuración con un compresor de velocidad variable utilizando un VFD (variador de frecuencia) correspondiente.

El compresor estará protegido eléctricamente por medio del VFD.

El compresor deberá utilizar un sistema anti-ruido para la reducción del ruido.

Exigido

El equipo deberá contar con una válvula de expansión electrónica

Exigido

Las unidades deberán soportar doble fuente de alimentación principal posibilitando desconectar la entrada de alimentación definida como primaria para acoplar a la secundaria automáticamente ante un corte de la red principal.

Exigido

El equipo deberá contar con placas de gestión para protocolos MODBUS o TCP/IP que permitan el acceso en varios niveles a las funciones de supervisión, control y notificación de sucesos a través de la red del usuario.

El equipo deberá contar con una conexión de entrada para el apagado remoto y una salida de alarma.

Exigido

La unidad contará con un display para realizar las configuraciones de ajuste necesarias en la unidad.

La pantalla deberá permitir la supervisión y configuración de la unidad de aire acondicionado mediante un control basado en menús. Las funciones incluirán presentación de informes de estado, configuración y valores de referencia de temperatura.

El controlador por microprocesador deberá registrar y mostrar todos los sucesos disponibles. Cada registro de alarma deberá contener un sello de hora/fecha y las condiciones operativas existentes en el momento del suceso. El controlador mostrará las horas de funcionamiento de los principales componentes.

Exigido

Condensador Remoto enfriado por aire

Los condensadores remotos deberán contar con ventiladores axiales del tipo EC (electrónicamente Controlados), con bajo número de revoluciones no canalizables, adecuadas para la instalación al aire libre, con flujo de aire vertical.

Los condensadores enfriados por aire tendrán circuitos de refrigeración simple, la instalación eléctrica contará con interruptor seccionador IP65, colocado en un lado de las unidades.

Los condensadores estarán dotados de un control modulante de la velocidad de los ventiladores para garantizar la presión de condensación estable en el circuito. Los motores ventiladores deberán contar con rejillas de seguridad.

Exigido

El formato de las unidades interiores será del tipo PERIMETRAL con descarga de aire frontal bajo piso técnico del tipo down flow y salida por piso microperforado en pasillo frio y retorno en pasillo caliente. 

Exigido

Deberá contar con ventiladores frontales en las cantidades adecuadas para lograr el caudal de aire requerido

Exigido

Capacidad de Controlar la condensación para época invernal.

Exigido

Se deberá poder configurar el trabajo en grupo y/o rotación de las unidades

Exigido

El sistema debe contemplar la función de apagado automático del sistema de aire acondicionado por alarma de incendio.

Exigido

Tanto la unidad interna como la Externa deberán tener la capacidad de ser energizados por dos fuentes de energía independiente (doble alimentación)

Exigido

Deberá poseer control por microprocesador y contar con sensores de filtro sucio; capacidad de programación; mantenimiento on-line y capacidad de monitoreo del sistema. Instalado y configurado contra la infraestructura actual del BCP. Deberá soportar nativamente protocolo SNMP V2 o superior, a través de interface RJ45 soportando el protocolo TCP/IP.

Exigido

Se deben incluir todos los materiales necesarios para la instalación electromecánica, interconexión de energía eléctrica, montaje, instalación de drenaje y todo lo necesario para su correcto funcionamiento, estas instalaciones serán totalmente entubadas.

Exigido

Proveer e instalar el tablero de mando con todos los accesorios requeridos para el efecto. 

Realizar la conexión desde conductor alimentador existente en sala de energía (SALA DE UPS) del Sitio Secundario, para lo cual el oferente deberá presentar la documentación sobre el cálculo de la sección del conductor, diagrama y toda la documentación sobre el equipo y accesorios instalados.

Exigido

Se deberá hacer entrega de la documentación completa del proyecto, Diagramas; hojas de cálculo de la sección del conductor, interruptores, conmutador y accesorios requeridos. El cual deberá estar firmado por profesional habilitado de acuerdo con la reglamentación local vigente.

Exigido

El equipo no podrá ser desarmado y rearmado en su lugar de instalación, el mismo debe ser montado en fábrica.

Exigido

Ductos de gas, cableados, sistema de agua/desagüe desde ubicación del compresor al DC, incluyendo todos los materiales y servicios.

Exigido

Para la puesta en marcha, prueba y regulación de los equipos, el Proveedor designará ingenieros certificados y técnicos calificados, los cuales utilizarán los procedimientos recomendados en fábrica que certifiquen la validez de las respectivas garantías de fábrica.

Exigido

Se deberá incluir la garantía y soporte técnico con posibilidad de escalamiento al fabricante, así como el servicio de cambio de partes por garantía, también deberán incluir las revisiones periódicas que resulten de la recomendación del fabricante durante el periodo de 36 meses, a computarse a partir de la fecha de emisión de la conformidad del área técnica.

Exigido

El Proveedor deberá considerar todos los trabajos necesarios para el acondicionamiento de los puntos de drenaje, puntos de agua y de todo lo necesario para que el sistema de aire acondicionado funcione correctamente.

Exigido

Los equipos de aire acondicionado deben considerar sus propios detectores de aniego.

Exigido

Cantidad

1 (una) unidad

LOTE N° 10 FIREWALL DE PROTECCIÓN PERIMETRAL

Descripción

Mínimo Exigido

Configuración Ofrecida

MARCA

ESPECIFICAR

MODELO

ESPECIFICAR

PROCEDENCIA

ESPECIFICAR

CANTIDAD

4 (cuatro) unidades

CARACTERÍSTICAS GENERALES

Se requiere una solución de protección de redes con características de NEXT GENERATION FIREWALL (NGFW) para la seguridad de la información perimetral. Debe incluir filtro de paquetes, control de aplicaciones, administración de ancho de banda (QoS), VPN IPSec y SSL, IPS, prevención contra amenazas de virus, spyware y malware Zero Day, como controles de transmisión de datos y acceso a internet componiendo una plataforma de seguridad integrada y robusta.

Se requiere una plataforma de seguridad tipo appliance que integre hardware y software.

La solución debe soportar alta disponibilidad. Deberá permitir implementación redundante para ofrecer alta disponibilidad, consistente en al menos 2 (dos) appliances que cada uno cumpla con las características mínimas mencionadas en estas especificaciones.

El soporte y licencias ofrecido por el fabricante de la solución deberán contar con vigencia de 3 (tres) años en la modalidad 7x24.

La garantía del fabricante deberá incluir RMA para cambios de partes, o equipos completos. Se requiere un tiempo de respuesta de 4 horas para reemplazo de partes o equipos por RMA, para poder garantizar el funcionamiento de la solución.

El fabricante debe estar certificado para IPv6 en Firewall e IPS por NIST USGv6.

No se aceptarán soluciones UTM ya que estas están orientadas al segmento SMB.

La solución debe consistir en appliances de seguridad de red con funcionalidades de Next Generation Firewall (NGFW), y consola de administración y monitoreo. Las funcionalidades de NGFW deben incluir mínimamente: reconocimiento de aplicaciones, prevención de amenazas, identificación de usuarios y control granular de permisos.

La plataforma ofertada debe estar optimizada para análisis de contenido de aplicaciones en Capa 7.

El hardware y software que ejecuten las funcionalidades de seguridad de red y de administración y monitoreo, deben ser de tipo appliance. No serán aceptados equipamientos servidores y sistema operacional de uso genérico.

La solución ofertada debe ser un Next Generation Firewall nativo de capa 7. Debe contar con la capacidad de analizar en una única pasada todos los componentes de la sesión, identificando la aplicación que se está utilizando, el usuario, el dispositivo y analizando en profundidad el contenido de cada paquete de trafico de red en una sola pasada de análisis, con el objetivo de no degradar la performance de la red. No se aceptarán soluciones con análisis secuenciales de diferentes módulos de seguridad separados o basadas en tecnología de firewall Stateful con módulos de seguridad que la habilitación de cada uno degrade la performance.

La solución propuesta deberá presentar una performance estable y predecible. No serán aceptadas soluciones que degraden performance por la habilitación de módulos de seguridad y/o firmas de seguridad de la solución.

Los equipos propuestos deben ser aptos para montaje en rack 19.

El software de sistema operativo del dispositivo deberá ser ofrecido en la versión más estable recomendada por el fabricante, y/o la versión más avanzada.

La solución propuesta deberá presentar una performance estable y predecible. No serán aceptadas soluciones que degraden performance por la habilitación de módulos de seguridad y/o firmas de seguridad de la solución. 

CAPACIDADES

La solución ofertada debe proveer un throughput de al menos 9 Gbps medido con tráfico real con la funcionalidad de control de aplicaciones habilitada, para todas las firmas que el fabricante posea actualizadas con la última actualización disponible y log habilitado.

Debe proveer un throughput de al menos de 5 Gbps medido con tráfico real, con las siguientes funcionalidades habilitadas simultáneamente: Clasificación y control de aplicaciones, IPS, Control de navegación por URL, Antivirus y Antispyware, Control de amenazas avanzadas de día cero (Sandboxing), para todas las firmas que la plataforma de seguridad posea totalmente activadas, actualizadas al día y con el mayor nivel de seguridad posible; considerando múltiples políticas de seguridad (por lo menos 100 políticas de seguridad aplicadas), y que tengan habilitado la generación de Logs y NAT aplicado a todas las reglas.

Debe soportar al menos 1.200.000 conexiones simultaneas con todos los módulos de seguridad de capa 7 habilitados simultáneamente, en el mayor nivel de seguridad posible.

Debe soportar al menos 120.000 nuevas conexiones por segundo.

Debe soportar fuente de energía redundante y hotswap 240 AC.

Debe poseer un flujo de ventilación de datacenter del estilo Front-to-back

Debe contar con Disco Solid State Drive (SSD) de, como mínimo, 150 GB para el sistema y uso de la solución.

Debe soportar al menos 10 (diez) ruteadores virtuales.

Debe soportar al menos 150 (ciento cincuenta) zonas de seguridad.

La solución debe estar licenciada para soportar sin uso de licenciamiento adicional, al menos 1.500 (mil quinientos) clientes de VPN SSL y IPSec simultáneos del estilo cliente-servidor.

La solución debe estar licenciada para soportar sin uso de licenciamiento adicional, al menos 2.500 (dos mil quinientos) túneles de VPN IPSEC simultáneos del estilo sitio-a-sitio.

La solución debe soportar al menos 6 (seis) sistemas virtuales lógicos (Contextos) sobre cada NGFW Físico, con el solo agregado de licencias.

La oferta debe incluir las licencias necesarias para funcionamiento de la plataforma de seguridad, así como para la consola de administración y monitoreo.

La consola de administración y monitoreo debe tener la posibilidad de residir en el mismo appliance de seguridad de red.

Los equipos ofertados no deberán estar declarados por el fabricante como end-of-life y/o end-of-sale.

INTERFACES

El equipo debe contar con al menos 4 (cuatro) interfaces de red 1G sobre interfaces de cobre.

El equipo debe contar con al menos 4 (cuatro) interfaces de red de cobre, con soporte MultiGiga de al menos 5 Gbps.

El equipo debe contar con al menos 10 (diez) interfaces de red de las cuales al menos 6 (seis) interfaces deberán soportar 1G SFP y al menos 8 (ocho) interfaces de red deberán soportar 10G SFP+.

El equipo debe contar con al menos 1 (una) interface de red 1 Gbps dedicada para administración.

El equipo debe contar con al menos 1 (una) interface de tipo consola o similar.

El equipo debe contar con Interfaces de red para el armado de cluster de alta disponibilidad:

• Al menos 1 (una) interface de 10 Gbps SFP+.

• Al menos 2 (dos) interfaces de cobre HA dedicadas.

CARACTERÍSTICAS Y FUNCIONALIDADES

La solución propuesta debe poseer al menos las siguientes funcionalidades:

• Debe soportar 4094 VLAN Tags 802.1q, tanto por dispositivo como en una sola interfaz.

• Agregación de links 802.3ad.

• Policy based routing o policy based forwarding.

• Ruteo multicast (PIM-SM).

• DHCP Relay.

• DHCP Server.

• Jumbo Frames.

• Debe soportar creación de objetos de red que puedan ser utilizados como dirección IP de interfaces L3.

Soportar sub-interfaces ethernet lógicas.

Debe soportar los siguientes tipos de NAT:

• NAT dinámico (Many-to-1).

• NAT dinámico (Many-to-Many).

• NAT estático (1-to-1).

• NAT estático (Many-to-Many).

• NAT estático bidireccional 1-to-1.

• Traducción PAT.

• NAT de Origen.

• NAT de Destino.

• Soportar NAT de Origen y NAT de Destino simultáneamente.

• Debe permitir configurar el tiempo de almacenamiento en caché de la Tabla ARP.

• Los equipos deben poder enviar log para distintos sistemas de monitoreo externos, simultáneamente.

• Debe tener la opción de enviar logs para los sistemas de monitoreo externos vía protocolo TCP y SSL.

• Debe permitir configurar un certificado en caso necesario, para autenticación del sistema de monitoreo externo de logs.

• Debe proveer seguridad contra anti-spoofing.

• Para IPv4, debe soportar enrutamiento estático y dinámico (RIPv2, BGP y OSPFv2).

• Debe soportar MP-BGP.

• Para IPv6, debe soportar enrutamiento estático y dinámico (OSPFv3).

• Debe soportar OSPF graceful restart.

• Debe ser capaz de balancear varios enlaces de internet sin el uso de políticas específicas, permitiendo aplicar una variedad de algoritmos de balanceo distintos (round Robin, weighted...).

• Debe soportar BFD (bidirectional forward detection).

• Debe Soportar LACP/LLDP Pre-negotiation.

• Debe soportar al menos las siguientes funcionalidades en IPv6: SLAAC (address auto configuration), NAT64, Identificación de usuarios a partir de LDAP/AD, Captive Portal, IPv6 over IPv4 IPSec, Reglas de seguridad contra DoS (Denial of Service), Desencripción SSL y SSH, PBR (Policy Base Routing) o PBF (Policy Based Forwarding), QoS, DHCPv6 Relay, Activo/Activo, Activo/Pasivo, SNMP, NTP, NTP autenticado, SYSLOG, DNS y control de aplicaciones.

Debe contar con una herramienta para poder optimizar políticas de seguridad, detectar cuáles no se estén usando y por cuánto tiempo; y poder aprender de las políticas aplicadas y sugerir que aplicaciones deberían aplicarse a las políticas en el NGFW.

Debe entregar estadísticas de uso, ancho de banda por aplicación, último hit de las aplicaciones, sobre cada política, con el objetivo de optimizar y mejorar la configuración del NGFW.

El fabricante de la solución seleccionada debe contar con una herramienta que convierta las reglas desde múltiples fabricantes de firewall (por lo menos: Checkpoint y Cisco) al formato de la solución adquirida, y además optimice las políticas al convertir las reglas de origen, destino y puerto en reglas de NGFW basadas en aplicación.

Los equipos deben contar con la capacidad de operar de forma simultánea mediante el uso de sus interfaces físicas en los siguientes modos dentro del mismo firewall, sin necesidad de tener que hacer uso de contextos virtuales: Modo sniffer (monitoreo y análisis del tráfico de red), Capa 2 (L2), Capa 3 (L3) y modo Transparente.

• Debe soportar Modo Sniffer, para inspección vía puerto espejo del tráfico de datos de la red.

• Debe soportar Modo Capa 2 (L2), para inspección de datos en línea y tener visibilidad del control del tráfico en nivel de aplicación.

• Debe soportar Modo Capa 3 (L3), para inspección de datos en línea y tener visibilidad del control del tráfico en nivel de aplicación, operando como default Gateway de las redes protegidas.

• Debe soportar Modo Transparente, para inspección de datos en línea y tener visibilidad del control de tráfico en nivel de aplicación sobre 2 puertos en modo bridge/Transparente.

• Debe soportar Modo mixto de trabajo Sniffer, Transparente, L2 e L3 simultáneamente en diferentes interfaces físicas del mismo equipo.

• En el modo Transparente, debe poder soportar al menos 256 interfaces (físicas y/o virtuales) sobre cada sistema virtual lógico (Contexto).

Debe soportar configuración de alta disponibilidad Activo/Pasivo y Activo/Activo:

• En modo transparente.

• En layer 3.

La configuración en alta disponibilidad debe sincronizar:

• Sesiones.

• Configuraciones, incluyendo, más no limitado a políticas de Firewall, NAT, QOS y objetos de red.

• Certificados de desencripción.

• Asociaciones de Seguridad de las VPNs.

• Tablas FIB.

• El HA (modo de Alta-Disponibilidad) debe posibilitar monitoreo de fallo de link.

Las funcionalidades de control de aplicaciones, VPN IPSec y SSL, QOS, SSL y SSH Decryption y protocolos de enrutamiento dinámico deben operar en carácter permanente, pudiendo ser utilizadas por tiempo indeterminado, incluso si no existe derecho de recibir actualizaciones o que no haya contrato de garantía de software con el fabricante activo.

Debe poder inspeccionar protocolos como:

• GRE.

• IPSEC no encriptado.

CONTROL POR POLÍTICA DE FIREWALL

Debe soportar controles por zona de seguridad.

Debe soportar controles de políticas por puerto y protocolo.

Debe soportar control de políticas por aplicaciones grupos estáticos de aplicaciones, grupos dinámicos de aplicaciones (basados en características y comportamiento de las aplicaciones) y categorías de aplicaciones.

Debe soportar control de políticas por usuarios, grupos de usuarios, IPs, redes y zonas de seguridad.

Debe soportar control de políticas por código de País (Por ejemplo: AR, BR, USA, UK, RUS).

Debe soportar control, inspección y desencripción de SSL por política para tráfico de entrada (Inbound) y Salida (Outbound).

Debe soportar offload de certificado en inspección de conexiones SSL de entrada (Inbound).

Debe desencriptar tráfico Inbound y Outbound en conexiones negociadas con TLS v1.1, v1.2 y v1.3.

Debe desencriptar tráfico que use certificados ECC (como ECDSA).

Debe soportar control de inspección y desencripción de SSH por política.

La plataforma de seguridad debe implementar copia del tráfico desencriptado (SSL y TLS) para soluciones externas de análisis (Forense de red, DLP, Análisis de Amenazas, entre otras).

La solución debe contar con un dashboard de reportes y logs dedicados a monitorear el tráfico de descifrado SSL / TLS, este dashboard deberá estar disponible en la interfaz gráfica, con el objetivo de identificar rápidamente problemas relacionados con las técnicas de descifrado de tráfico, el mismo tiene que tener varios estados de troubleshooting y proveer de las herramientas a los administradores para encontrar rápidamente las causas por las cuales se puede producir una falla en el descifrado del tráfico (ej: informar sobre certificados expirados, claves de cifrado débiles, certificados revocados, cierre de la conexión por parte del cliente, entre otros).

Debe soportar bloqueo de archivos por tipos, mínimamente: bat, cab, dll, exe, pif, y reg.

Debe soportar Traffic shaping QoS basado en políticas (Prioridad, Garantía y Máximo).

Debe soportar QoS basado en políticas para marcación de paquetes (diffserv marking), inclusive por aplicaciones.

Debe permitir añadir un comentario de auditoria cada vez que se haga un cambio o se edite la política de seguridad. Cada comentario deberá estar asociado a la versión de la política editada.

Al crear o editar políticas de seguridad, se debe poder forzar el uso de una descripción, tag o comentario de auditoría, para garantizar buenas prácticas de documentación, organización y auditoria.

Debe soportar objetos y Reglas IPV6.

Debe soportar objetos y Reglas multicast.

Debe soportar los atributos de agendamiento de las políticas, con el objetivo de habilitar y deshabilitar políticas en horarios predefinidos automáticamente.

CONTROL DE APLICACIONES

La solución propuesta debe poseer la capacidad de reconocer aplicaciones, independiente del puerto y protocolo.

Debe ser posible el desbloqueo y bloqueo solamente de aplicaciones sin la necesidad de desbloqueo de puertos y protocolos.

La solución debe reconocer al menos 3500 aplicaciones diferentes, incluyendo, más no limitado a: tráfico relacionado a peer-to-peer (P2P), redes sociales, acceso remoto, actualizaciones de software, protocolos de red, VoIP, audio, vídeo, proxy, mensajería instantánea, compartición de archivos, correo electrónico

La solución debe reconocer al menos las siguientes aplicaciones: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs, etc.;

La solución debe inspeccionar el payload del paquete de datos con el objetivo de detectar a través de expresiones regulares, firmas de aplicaciones conocidas por los fabricantes independiente del puerto y protocolo. El chequeo de firmas también debe determinar si una aplicación está utilizando su puerto default o no, incluyendo, más no limitando a RDP en el puerto 80 en vez del 389;

Debe aplicar análisis heurístico a fin de detectar aplicaciones a través de análisis comportamental del tráfico observado, incluyendo, más no limitado a Encrypted Bittorrent y aplicaciones VoIP que utilizan cifrado propietario;

Debe ser capaz de identificar el uso de tácticas evasivas, es decir, debe tener la capacidad de visualizar y controlar las aplicaciones y los ataques que utilizan tácticas evasivas vía comunicaciones cifradas, tales como Skype y ataques mediante el puerto 443.

Para tráfico Cifrado (SSL y SSH), debe permitir la desencripción de paquetes con el fin de posibilitar la lectura del payload para chequeo de firmas de aplicaciones conocidas por el fabricante;

Debe realizar decodificación de protocolos con el objetivo de detectar aplicaciones encapsuladas dentro del protocolo y validar si el tráfico corresponde con la especificación del protocolo, incluyendo, más no limitado a Yahoo! Instant Messenger usando HTTP. La decodificación de protocolo también debe identificar funcionalidades específicas dentro de una aplicación, incluyendo, más no limitado a la compartición de archivos dentro de Webex. También debe detectar el archivo y otros contenidos que deben ser inspeccionados de acuerdo con las Reglas de seguridad implementadas;

Debe Identificar el uso de tácticas evasivas vía comunicaciones cifradas;

Debe Actualizar la base de firmas de aplicaciones automáticamente;

Debe Reconocer aplicaciones en IPv6;

Debe tener la capacidad de limitar el ancho de banda (download/upload) usado por aplicaciones (traffic shaping), basado en IP de origen, usuarios y grupos del LDAP/AD;

Los dispositivos de seguridad de red deben poseer la capacidad de identificar al usuario de red con integración al Microsoft Active Directory, sin la necesidad de instalación de agente en el Domain Controller, ni en las estaciones de los usuarios;

Debe ser posible adicionar control de aplicaciones en todas las Reglas de seguridad del dispositivo, o sea, no limitándose solamente a la posibilidad de habilitar control de aplicaciones en algunas Reglas;

Debe soportar múltiples métodos de identificación y clasificación de las aplicaciones, por lo menos chequeo de firmas, decodificación de protocolos y análisis heurístico;

Para mantener la seguridad de la red eficiente, debe soportar el control sobre aplicaciones desconocidas y no solamente sobre aplicaciones conocidas;

Permitir nativamente la creación de firmas personalizadas para reconocimiento de aplicaciones propietarias en la propia interface gráfica de la solución, sin la necesidad de acción por parte del fabricante, manteniendo la confidencialidad de las aplicaciones de la empresa;

La creación de firmas personalizadas debe permitir el uso de expresiones regulares, contexto (sesiones o transacciones), usando la posición en el payload de los paquetes TCP y UDP y usando decoders de por lo menos los siguientes protocolos:

HTTP, FTP, SMB, SMTP, Telnet, SSH, MS-SQL, IMAP, IMAP, MS-RPC, RTSP y File body.

El fabricante debe permitir la solicitud de inclusión de aplicaciones en la base de firmas de aplicaciones;

Debe alertar al usuario cuando una aplicación es bloqueada

Debe posibilitar que el control de puertos sea aplicado para todas las aplicaciones;

Debe posibilitar la diferenciación de tráficos Peer2Peer (Bittorrent, emule, neonet, etc.) proveyendo granularidad de control/políticas para los mismos;

Debe posibilitar la diferenciación de tráficos de Instant Messaging (AIM, Gtalk, Facebook Chat, etc.) proveyendo granularidad de control/políticas para los mismos;

Debe posibilitar la diferenciación y control de partes de las aplicaciones como por ejemplo permitir Gtalk chat y bloquear la transferencia de lM (mensajería instantánea);

Debe posibilitar la diferenciación de aplicaciones Proxies (ghostsurf, freegate, etc.) proveyendo granularidad de control/políticas para los mismos;

Debe ser posible la creación de grupos estáticos de aplicaciones y grupos dinámicos de aplicaciones basados en características de las aplicaciones como:

• Tecnología utilizada en las aplicaciones (Client-Server, Browse Based, Network Protocol, etc).

• Nivel de riesgo de las aplicaciones.

• Categoría y sub-categoría de aplicaciones.

• Aplicaciones que usen técnicas evasivas, utilizadas por malware, como transferencia de archivos y/o uso excesivo de ancho de banda, etc.

Debe poder monitorear aplicaciones SaaS (Software as a service) tanto vía GUI como en reporte predefinido.

Las políticas de seguridad deben poder ser creadas en base a las aplicaciones y no en base a puertos TCP/UDP.

La aplicación de seguridad debe ser 100% en base a aplicaciones, pudiendo aplicar reglas específicas a cada aplicación, ejemplo: si dos aplicaciones utilizan el mismo puerto de comunicaciones, se tienen que poder crear 2 políticas de seguridad en las cuales se apliquen controles de seguridad diferentes a cada aplicación.

Al crear políticas basadas en aplicaciones, si las mismas dependen de otras aplicaciones, la interfaz gráfica debe sugerir y permitir agregar las políticas dependientes de la seleccionada, para poder permitir el uso correcto de la aplicación.

PREVENCIÓN DE AMENAZAS

Para seguridad del ambiente contra ataques, los dispositivos de seguridad deben poseer módulo de IPS, Antivirus y Anti-Spyware integrados en el propio appliance de Firewall

Debe incluir firmas de prevención de intrusos (IPS) y bloqueo de archivos maliciosos (Antivirus y Anti-Spyware);

Las funcionalidades de IPS, Antivirus y Anti-Spyware deben operar en carácter permanente, pudiendo ser utilizadas por tiempo indeterminado, incluso si no existe el derecho de recibir actualizaciones o que no haya contrato de garantía de software con el fabricante.

Debe sincronizar las firmas de IPS, Antivirus, Anti-Spyware cuando esté implementado en alta disponibilidad Activo/Activo e Activo/pasivo;

Cuando se utilicen las funciones de IPS, Antivirus y Anti-spyware, el equipamiento debe entregar el mismo performance (no degradar) entre tener 1 única firma de IPS habilitada o tener todas las firmas de IPS, Anti-Vírus y Antispyware habilitadas simultáneamente.

Las firmas deben poder ser activadas o desactivadas, o incluso habilitadas apenas en modo de monitoreo;

Excepciones por IP de origen o de destino deben ser posibles en las Reglas, de forma general y firma por firma;

Debe soportar granularidad en las políticas de IPS Antivirus y Anti-Spyware, permitiendo la creación de diferentes políticas por zona de seguridad, dirección de origen, dirección de destino, servicio y la combinación de todos esos ítems.

Debe permitir el bloqueo de vulnerabilidades.

Debe permitir el bloqueo de exploits conocidos.

Debe incluir seguridad contra ataques de denegación de servicios.

Deberá poseer los siguientes mecanismos de inspección de IPS:

• Análisis de patrones de estado de conexiones;

• Análisis de decodificación de protocolo;

• Análisis para detección de anomalías de protocolo;

• Análisis heurístico;

• IP Defragmentation;

• Re-ensamblado de paquetes de TCP;

Bloqueo de paquetes malformados.

Debe ser inmune y capaz de impedir ataques básicos como: Synflood, ICMPflood, UDPfloof, etc.;

Debe bloquear ataques efectuados por worms conocidos, permitiendo al administrador adicionar nuevos patrones;

Debe soportar los siguientes mecanismos de inspección contra amenazas de red: análisis de patrones de estado de conexiones, análisis de decodificación de protocolo, análisis para detección de anomalías de protocolo, análisis heurístico, IP Defragmentation, re-ensamblado de paquetes de TCP y bloqueo de paquetes malformados;

Debe poseer firmas específicas para la mitigación de ataques DoS;

Debe poseer firmas para bloqueo de ataques de buffer overflow;

Debe poseer firmas de C2 (Comando y control) generadas de forma automática.

Deberá posibilitar la creación de firmas personalizadas por la interfaz gráfica del producto.

Debe permitir el bloqueo de virus y spyware en, por lo menos, los siguientes protocolos: HTTP, FTP, SMB, SMTP e POP3;

Debe soportar bloqueo de archivos por tipo;

Debe identificar y bloquear comunicaciones como botnets;

Debe soportar varias técnicas de prevención, incluyendo Drop y tcp-rst (Cliente, Servidor y ambos);

Debe soportar referencia cruzada como CVE;

La solución ofrecida a partir de los logs debe poder generar indicadores tags para IP de equipos a partir de las detecciones de amenazas, con el objetivo de poder utilizar los mismos en grupos dinámicos y aplicarlos a otras políticas. Esta funcionalidad tiene que poder efectuarse localmente en el mismo NGFW o bien poder una vez detectado, generar el Tag en un firewall remoto o en la consola de gestión para poder aplicar los grupos dinámicos local, remoto o a todos los NGFW de la organización.

La funcionalidad de Indicadores/Tags mencionada en el punto anterior tiene que poder utilizarse para poder agregar o quitar tags a la IP de origen o destino de una detección efectuada.

Debe soportar la captura de paquetes (PCAP), por firma de IPS y Antispyware;

Debe permitir que en la captura de paquetes por firmas de IPS y Antispyware sea definido el número de paquetes a ser capturados. Esta captura debe permitir seleccionar, como mínimo, 50 paquetes;

Debe poseer la función resolución de direcciones vía DNS, para que conexiones como destino a dominios maliciosos sean resueltas por el Firewall como direcciones (IPv4 e IPv6), previamente definidos;

Permitir el bloqueo de virus, por al menos, los siguientes protocolos: HTTP, FTP, SMB, SMTP e POP3;

Los eventos registrados deben identificar el país de donde partió la amenaza;

Debe incluir seguridad contra virus en contenido HTML y JavaScript, software espía (spyware) y worms.

Debe proveer seguridad contra downloads involuntarios usando HTTP de archivos ejecutables. maliciosos.

Debe proveer rastreo de virus en pdf.

Debe permitir la inspección en archivos comprimidos que utilizan algoritmo deflate (zip, gzip, etc.)

Debe ser posible la configuración de diferentes políticas de control de amenazas y ataques basados en políticas del firewall considerando Usuarios, Grupos de usuarios, origen, destino, zonas de seguridad, etc., o sea, cada política de firewall podrá tener una configuración diferente de IPS, siendo esas políticas por Usuarios, Grupos de usuario, origen, destino, zonas de seguridad.

Capacidad de poder re-direccionar el tráfico de consultas de DNS a un servidor del tipo sinkhole para poder identificar equipos comprometidos con spyware o actividad de command and control dentro de la red corporativa.

ANÁLISIS DE MALWARE

La solución ofertada debe poseer la capacidad de análisis de amenazas no conocidas

Debe poseer funcionalidades para análisis de Malware no conocidos incluidas en la propia herramienta

El dispositivo de seguridad debe ser capaz de enviar archivos transferidos de forma automática para análisis "In Cloud" o local, donde el archivo será ejecutado y simulado en un ambiente controlado;

Se debe poder seleccionar a través de la política de Firewall que tipos de archivos se analizarán con el criterio del punto anterior

Debe soportar el análisis de por lo menos 60 (sesenta) tipos de comportamientos maliciosos para el análisis de la amenaza no conocida

Debe soportar el análisis de archivos maliciosos en ambiente controlado como mínimo, sistema operacional Windows XP y Windows 7

Debe soportar el monitoreo de archivos transferidos por internet (HTTP, FTP, HTTP, SMTP) como también archivos transferidos internamente en los servidores de archivos usando SMB;

El sistema de análisis In Cloud o local debe proveer informaciones sobre las acciones del Malware en la máquina infectada, informaciones sobre cuales aplicaciones son utilizadas para causar/propagar la infección, detectar aplicaciones no confiables utilizadas por el Malware, generar firmas de Antivirus y Anti-spyware automáticamente, definir URLs no confiables utilizadas por el nuevo Malware y proveer informaciones sobre el usuario infectado (su dirección ip y su login de red);

El sistema automático de análisis "In Cloud" o local debe emitir relación para identificar cuales soluciones de antivirus existentes en el mercado poseen firmas para bloquear el malware;

Debe permitir exportar el resultado de los análisis de malware de día Zero en PDF y CSV a partir de la propia interfaz de administración;

Debe permitir la descarga de los malware identificados a partir de la propia interfaz de administración;

Debe permitir visualizar los resultados de los análisis de malware de día Zero en los diferentes sistemas operacionales soportados;

Debe permitir informar al fabricante cuando haya una sospecha de falso-positivo y falso-negativo en el análisis de malware de día Zero a partir de la propia interfaz de administración.

Debe soportar el análisis de archivos ejecutables, DLLs, ZIP y encriptados en SSL en el ambiente controlado;

Debe soportar el análisis de archivos del paquete office (.doc, .docx, .xls, .xlsx, .ppt, .pptx), archivos java (.jar e class), email link, flash, archivos de MacOSX (mach-o, dmg, pkg) y Android APKs en el ambiente controlado;

Debe poseer un SLA de, como máximo, 5 minutos para actualización de la base de vacunas contra malware desconocidos identificados en el ambiente controlado;

Debe permitir el envío de archivos para análisis en el ambiente controlado vía web y de forma automática vía API.

Debe poder dar veredictos distintos, como mínimo:

• Malicioso

• Grayware

• Benigno

• Phising

En caso de detectar una forma de evasión de máquina virtual, debe poder enviar de forma automática a revisión en modo Bare Metal (maquinas físicas)

Debe poseer la capacidad de poder aplicar técnicas de aprendizaje de maquina (Machine Learning) localmente sobre los NGFW para poder identificar amenazas desconocidas y bloquear la mismas durante la descarga de los archivos por parte de los usuarios.

FILTRO URL

Debe permitir especificar la política por tiempo, horario o determinado período (día, mes, año, día de la semana y hora).

Debe ser posible crear políticas por usuario, grupo de usuario, direcciones ip, redes y zonas de seguridad.

Deberá incluir la capacidad de creación de políticas basadas en la visibilidad y contra quien se está utilizando cual URLs a través de la integración con servicios de directorio, autenticación vía LDAP, Active Directory, E-Directory y base de datos local.

Debe permitir poder publicar los logs de URL con la información de los usuarios conforme a lo descrito en la integración con servicios de directorio.

Debe soportar la capacidad de crear políticas basadas en control por URL y categoría URL.

Debe bloquear el acceso a sitios de búsqueda (Google, Bing y Yahoo!) en el caso de que la opción de Safe Search este deshabilitada. Debe en ese caso exhibir una página de bloqueo dando instrucciones al usuario de como habilitar dicha función.

Debe soportar una cache local de URL en el appliance, evitando el delay de comunicación/validación de las URLs.

Debe poseer al menos 60 categorías de URLs.

Debe soportar la creación de categorías URL personalizadas.

Debe soportar la exclusión de URLs del bloqueo por categoría.

Debe permitir la personalización de la página de bloqueo.

Debe permitir o bloquear y continuar (habilitando que el usuario acceso a un sitio potencialmente bloqueado informándole del bloqueo y habilitando el botón de continuar para permitirle seguir a ese site).

Debe soportar la inclusión de los logs del producto de las informaciones de las actividades de los usuarios

Debe evitar la fuga de credenciales desde o hacia sitios web, pudiendo tener granularidad en la configuración, es decir poder permitir o no el uso de credenciales de red internas en diferentes categorías de páginas web (estas categorías podrían ser: phising, redes sociales, foros, o categorías personalizadas por el cliente, etc.), en incluso el uso indebido de los mismos dentro de la red del cliente. El objetivo de este requerimiento es evitar que credenciales internas de la red sean publicadas en sitios de internet, inclusive sitios categorizados como desconocidos por el motor de categorización de filtros de URL.

Debe poder actualizar de forma automática en 5 minutos o menos las categorías de malware, command and control y phising.

Debe tener la capacidad de poder aplicar técnicas de aprendizaje de máquina (Machine Learning) localmente sobre los NGFW para poder identificar nuevos sitios de phishing, con la capacidad de poder bloquear los mismos.

Debe contar con multi categorías de URL, que permita que un sitio web pertenezca a dos categorías distintas.

PROTECCIÓN AVANZADA DE DNS

La solución debe ser capaz de proteger contra decenas de millones de dominios maliciosos identificados con análisis en tiempo real sin depender de firmas estáticas.

La protección de DNS debe ser alimentada exponencialmente por un servicio de inteligencia global.

El servicio de protección de DNS debe alimentarse de telemetría provista por clientes a nivel mundial y más de 30 fuentes de inteligencia de amenazas de terceros.

La solución debe ser capaz de predecir y detener dominios maliciosos de malware basados en algoritmos de generación de dominio (por sus siglas en ingles conocido como DGA Domain Generation Algoritm).

Debe posser aprendizaje automático para detectar dominios DGA nuevos y nunca antes vistos mediante el análisis de las consultas de DNS a medida que se realizan.

Debe utilizar machine learning o inteligencia artificial para detectar nuevos dominios nunca antes vistos autogenerados por algoritmos DGA.

Debe poseer políticas para bloquear dominios DGA o interrumpir las consultar de DNS a dichos dominios.

Debe detectar e interrumpir robo de datos ocultos o enviados mediante túneles en tráfico DNS.

Debe analizar las consultas de DNS, incluyendo las tasas de consultas y patrones, entropía, frecuencia, análisis de dominios, etc. para detectar posibles intentos de tunelización de DNS.

IDENTIFICACIÓN DE USUARIOS

La solución ofertada debe incluir la capacidad de creación de políticas basadas en la visibilidad y control de quien está utilizando cuales aplicaciones a través de la integración como servicios de directorio, autenticación vía ldap, Active Directory, E-directory y base de datos local.

Debe poseer integración con Microsoft Active Directory para identificación de usuarios y grupos permitiendo la granularidad de control/políticas basadas en usuarios y grupos de usuarios.

Debe poseer integración con Radius para identificación de usuarios y grupos permitiendo la granularidad de control/políticas basadas en usuarios y grupos de usuarios.

Debe poseer integración con TACACS+

Debe poseer integración con LDAP para identificación de usuarios y grupos permitiendo la granularidad de control/políticas basadas en Usuarios y Grupos de usuarios.

Debe soportar la recepción de eventos de autenticación de controladoras Wireless, dispositivos 802.1x y soluciones NAC vía syslog, para la identificación de direcciones IP y usuarios

Debe permitir el control, sin instalación de cliente de software, en equipamientos que soliciten salida a internet para que antes de iniciar la navegación, se muestre un portal de autenticación residente en el firewall (Captive Portal).

Debe proporcionar soporte a autenticación Kerberos.

Debe proporcionar soporte SAML 2.0

La solución ofrecida debe soportar e incluir múltiples factores de autenticación (como por ejemplo usuario y password + 2FA hard token + 2FA soft token + portal cautivo) para poder utilizarlo tanto en aplicación web como en aplicaciones cliente servidor.

Debe poseer Soporte a identificación de múltiples usuarios conectados en una misma dirección IP en ambientes Citrix y Microsoft Terminal Server, permitiendo visibilidad y control granular por usuario sobre el uso de las aplicaciones que tienen estos servicios

Debe poseer Soporte a identificación de múltiples usuarios conectados en una misma dirección IP en servidores accedidos remotamente, incluso que no sean servidores Windows.

QOS

Con la finalidad de controlar aplicaciones y tráfico cuyo consumo pueda ser excesivo, (como YouTube, ustream, etc.) y tener un alto consumo de ancho de banda, se requiere que la solución, a la vez de poder permitir o negar ese tipo de aplicaciones, debe tener la capacidad de controlarlas por políticas de máximo de ancho de banda cuando fuesen solicitadas por diferentes usuarios o aplicaciones, tanto de audio como de vídeo streaming.

Debe soportar la creación de políticas de QoS por:

• Dirección de origen

• Dirección de destino

• Por usuario y grupo de LDAP/AD.

• Por aplicaciones, incluyendo, más no limitando a Skype, Bittorrent, YouTube y Azureus;

• Por puerto

El QoS debe permitir la definición de clases por:

• Ancho de Banda garantizado

• Ancho de Banda Máximo

• Cola de prioridad.

Debe soportar priorización Real Time de protocolos de voz (VoIP) como H.323, SIP, SCCP, MGCP y aplicaciones como Skype.

Debe soportar marcación de paquetes Diffserv, inclusive por aplicaciones;

Debe disponer de estadísticas Real Time para clases de QoS.

Deberá permitir el monitoreo del uso que las aplicaciones hacen por bytes, sesiones y por usuario.

FILTRO DE DATOS

La solución debe permitir la creación de filtros para archivos y datos predefinidos;

Los archivos deben ser identificados por extensión y firmas;

Debe permitir identificar y opcionalmente prevenir la transferencia de varios tipos de archivos (MS Office, PDF, etc.) identificados sobre aplicaciones (P2P, InstantMessaging, SMB, etc.);

Debe soportar la identificación de archivos compactados y las aplicaciones de políticas sobre el contenido de esos tipos de archivos;

Debe permitir identificar y opcionalmente prevenir la transferencia de informaciones sensibles, incluyendo, más no limitando al número de tarjetas de crédito, permitiendo la creación de nuevos tipos de datos vía expresión regular;

Debe permitir listar el número de aplicaciones soportadas para control de datos;

Debe permitir listar el número de tipos de archivos soportados para el control de datos;

Debe poder integrarse son soluciones de punto final de terceros para mejorar la política de DLP.

Debe traer por defecto al menos dos perfiles de bloqueo predefinidos.

GEOLOCALIZACIÓN

La solución debe soportar la creación de políticas por Geolocalización, permitiendo que el tráfico de determinado País/Países sean bloqueados.

Debe posibilitar la visualización de los países de origen y destino en los logs de acceso.

Debe posibilitar la creación de regiones geográficas desde la interfaz gráfica y crear políticas utilizando las mismas.

VPN

La solución ofertada debe soportar VPN Site-to-Site y Cliente-To-Site;

Debe soportar IPSec VPN;

Debe soportar SSL VPN;

La VPN IPSEc debe soportar:

• DES y 3DES;

• Autenticación MD5 e SHA-1;

• Diffie-Hellman Group 1, Group 2, Group 5 y Group 14;

• Algoritmo Internet Key Exchange (IKEv1 & IKEv2);

• AES 128, 192 e 256 (Advanced Encryption Standard)

• Debe permitir SSO vía Kerberos

• Autenticación vía certificado IKE PKI

• Debe ser compatible con la Suite B de protocolos de NSA

Debe poseer interoperabilidad con los siguientes fabricantes:

• Cisco

• Checkpoint

• Juniper

• Palo Alto Networks

• Fortinet

• Sonic Wall

Las VPN SSL deben soportar:

• Permitir que el usuario realice la conexión por medio de cliente instalado en el sistema operacional del equipamiento o por medio de interfaz WEB;

• Las funcionalidades de VPN SSL deben ser atendidas con o sin el uso de agente;

• La asignación de dirección IP en los clientes remotos de VPN;

• La asignación de DNS en los clientes remotos de VPN;

• Debe haber la opción de ocultar el agente de VPN instalado en el cliente remoto, tornando el mismo invisible para el usuario;

• Debe permitir crear políticas de control de aplicaciones, IPS, Antivirus, Antispyware para tráfico de los clientes remotos conectados en la VPN SSL

Las VPN SSL deben soportar proxy arp y el uso de interfaces PPPOE;

Deben soportar autenticación vía AD/LDAP, Secure id, certificado y base de usuarios local;

Debe permitir establecer un túnel VPN client-to-site del cliente a la plataforma de seguridad, proveyendo una solución de single-sign-on a los usuarios, integrándose como las herramientas de Windows-logon;

Debe poseer soporte de lectura y verificación de CRL (certificate revocation list);

Debe permitir la aplicación de políticas de seguridad y visibilidades para las aplicaciones que circulan dentro de los túneles SSL;

El agente de VPN a ser instalado en los equipamientos desktop y laptops, debe ser capaz de ser distribuido de manera automática vía Microsoft SMS, Active Directory y ser descargado directamente desde su propio portal, en el cual residirá el centralizador de VPN;

El agente deberá comunicarse con el portal para determinar las políticas de seguridad del usuario,

Debe permitir que las conexiones VPN SSL sean establecidas de las siguientes formas:

• Antes de que el usuario se autentique en la estación;

• Después de la autenticación del usuario en la estación;

• Bajo demanda del usuario;

Deberá mantener una conexión segura con el portal durante la sesión.

El agente de VPN SSL client-to-site debe ser compatible al menos con: Windows XP, Vista, Windows 7, Windows 8, Windows 10, MacOS X.

El portal de VPN debe enviar al cliente remoto la lista de gateways VPN activos para el establecimiento de la conexión, los cuales deben poder ser administrados centralizadamente

Debe haber una opción en el cliente remoto de escoger manualmente el Gateway de VPN y de forma automática a través de la mejor respuesta entre los gateways disponibles con base al más rápido.

Debe poseer la capacidad de identificar el origen de conexión de VPN si es interna o externa.

CONSOLA DE ADMINISTRACIÓN Y MONITOREO

La administración de la solución debe soportar acceso vía SSH, cliente WEB (HTTPS) y API abierta;

En el caso de que sea necesaria la instalación de cliente para administración de la solución, el mismo debe ser compatible con sistemas operacionales Windows y Linux;

La administración debe permitir/hacer:

• Creación y administración de políticas de firewall y control de aplicaciones

• Creación y administración de políticas de IPS y Anti-Spyware

• Creación y administración de políticas de filtro de URL

• Monitoreo de logs

• Herramientas de investigación de logs

• Debugging

• Captura de paquetes

Debe permitir el acceso concurrente de dos o más administradores;

Debe tener un mecanismo de búsqueda de comandos de administración vía SSH, facilitando la localización de los comandos;

Debe permitir usar palabras clave y distintos tags de colores para facilitar la identificación de Reglas; 

Debe permitir monitorear vía SNMP fallas en el hardware, inserción o remoción de fuentes, discos y ventiladores, uso de recursos por número elevado de sesiones, número de túneles establecidos de VPN cliente-to-site, porcentaje de utilización en referencia al número total soportado/licenciado y número de sesiones establecidas;

Debe permitir el bloqueo de alteraciones, en el caso de acceso simultaneo de dos o más administradores;

Debe permitir la definición de perfiles de acceso a la consola con permisos granulares como: acceso de escritura, acceso de lectura, creación de usuarios, alteración de configuraciones;

Debe permitir la autenticación integrada con Microsoft Active Directory y servidor Radius;

Debe permitir la localización de donde están siendo utilizados objetos en: Reglas, dirección IP, Rango de IPs, subredes u objetos

Debe poder atribuir secuencialmente un número a cada regla de firewall, NAT, QOS y Reglas de DOS;

Debe permitir la creación de Reglas que estén activas en un horario definido;

Debe permitir la creación de Reglas con fecha de expiración;

Debe poder realizar un backup de las configuraciones y rollback de configuración para la última configuración salvada;

Debe soportar el Rollback de Sistema operativo para la última versión local;

Debe poseer la habilidad del upgrade vía SCP, TFTP e interfaz de administración;

Debe poder validar las Reglas antes de las aplicaciones;

Debe permitir la validación de las políticas, avisando cuando haya Reglas que ofusquen o tengan conflicto con otras (shadowing);

Debe posibilitar la visualización y comparación de configuraciones actuales, la configuración anterior y configuraciones más antiguas.

Debe posibilitar la integración con otras soluciones de SIEM del mercado (third-party SIEM vendors)

Debe permitir la generación de logs de auditoria detallados, informando de la configuración realizada, el administrador que la realizo y el horario de la alteración;

Debe tener la capacidad de generar un gráfico que permita visualizar los cambios en la utilización de aplicaciones en la red en lo que se refiere a un período de tiempo anterior, para permitir comparar los diferentes consumos realizados por las aplicaciones en el tiempo presente con relación al pasado;

Debe permitir la generación de mapas geográficos en tiempo real para la visualización de orígenes y destinos del tráfico generado en la institución;

Debe proveer resúmenes con la vista correlacionada de aplicaciones, amenazas (IPS, Antispyware) URLs y filtro de archivos, para un mejor diagnóstico y respuesta a incidentes;

La administración de la solución debe posibilitar la recolección de estadísticas de todo el tráfico que pasa por los dispositivos de seguridad;

Debe proveer resúmenes de utilización de los recursos por aplicaciones, amenazas (IPS, Anti-Spyware y antivirus de la solución), etc.;

Debe proveer de una visualización sumarizada de todas las aplicaciones, amenazas (IPS, Antivirus e Anti-Spyware) y URLs que pasan por la solución;

Debe poseer un mecanismo "Drill-Down" para navegación por los resúmenes en tiempo real;

En las listas de "Drill-Down", debe ser posible identificar el usuario que ha determinado el acceso;

Debe ser posible exportar los logs en CSV;

Deberá ser posible acceder al equipamiento a aplicar configuraciones durante momentos donde el tráfico sea muy alto y la CPU y memoria del equipamiento este siendo totalmente utilizada.

Debe tener rotación de logs;

Debe tener presentaciones de las siguientes informaciones, de forma histórica y en tiempo real (actualizado de forma automática y continua cada 1 minuto);

Debe mostrar la situación del dispositivo y del cluster;

Debe poder mostrar las principales aplicaciones;

Debe poder mostrar las principales aplicaciones por riesgo;

Debe poder mostrar los administradores autenticados en la plataforma de seguridad;

Debe poder mostrar el número de sesiones simultaneas;

Debe poder mostrar el estado de las interfaces;

Debe poder mostrar el uso de CPU;

Como mínimo los siguientes reportes deben poder ser generados:

• Resumen gráfico de las aplicaciones utilizadas

• Principales aplicaciones por utilización de ancho de banda de entrada y salida

• Principales aplicaciones por tasa de transferencia en bytes

• Principales hosts por número de amenazas identificadas

• Actividades de un usuario específico y grupo de usuarios del AD/LDAP, incluyendo aplicaciones accedidas y amenazas (IPS, y Anti-Spyware), de red vinculadas a este tráfico

Debe permitir la creación de reportes personalizados;

En cada criterio de búsqueda del log debe ser posible incluir múltiples entradas (ej. 10 redes e IP’s distintas; servicios HTTP, HTTPS y SMTP), excepto en el campo horario, donde debe ser posible definir un rango de tiempo como criterio de búsqueda;

Generar alertas automáticas vía:

• Email

• SNMP

• Syslog

El equipo deberá soportar el envío de logs a un servidor externo syslog según RFC 3164.

La plataforma de seguridad debe permitir a través de API-XML (Application Program Interface) la integración con sistemas ya existentes en producción, de forma que posibilite que aplicaciones desarrolladas por el cliente puedan interactuar en tiempo real con la solución, permitiendo así que Reglas y políticas de seguridad puedan ser modificadas por estas aplicaciones con la utilización de scripts en lenguajes de programación como Perl o PHP.

Cables de alimentación eléctrica

Se debe proveer 02 (dos) unidades IEC C13-C14 por cada equipo.

MANO DE OBRA E INSTALACIÓN

Comprende el suministro y la instalación con todos los materiales y componentes que correspondan para la entrega en perfecto estado de funcionamiento, según las recomendaciones y guías de diseño e implementación del fabricante y las necesidades específicas y particulares mencionadas en el presente documento por el BCP.

Todos los equipos ofertados deberán ser nuevos totalmente compatibles en todas sus funcionalidades con los equipos, servicios, configuraciones y aplicaciones existentes actualmente en Producción en la infraestructura del BCP.

La Configuración, integración, instalación y puesta a punto deberá ser proporcionada por el Proveedor, contemplando los servicios de configuración e integración con los demás dispositivos de redes, servidores y aplicaciones en funcionamiento en el BCP.

Se deberán proveer todos los SFP+ para todas las interfaces del appliance ofertado. Además, se deberá prever los patch cord de Cobre cat.6a de 5 (cinco) metros y Fibra Óptica tipo LC/LC, OM4, Duplex, Multimodo de al menos 5 (cinco) metros para todas las interfaces.

La configuración deberá de cumplir con las políticas y normas de seguridad informática de la Red Institucional del BCP.

La modalidad del servicio de soporte para implementación, configuración e integración requerido es del tipo llave en mano y deberá ser adecuada a la infraestructura existente del BCP. El servicio debe incluir el suministro, actividades de montaje, instalaciones necesarias en general, configuraciones, puesta en funcionamiento e integración de los equipos en los lugares indicados por el BCP.

Mantener el equipamiento en su estado operacional nominal a través de un programa de mantenimiento preventivo y correctivo.

CAPACITACIÓN

Se deberá proporcionar la capacitación de al menos 20 (veinte) horas para 4 (cuatro) funcionarios, a coordinar con el equipo técnico de la GTIC dentro de los 30 días posteriores a la instalación de los equipos. La misma deberá ser impartida en las instalaciones del BCP o en forma virtual, a mejor entender del equipo técnico del BCP. El Proveedor deberá emitir una Constancia de participación donde se deberá considerar los datos del llamado de la licitación, el número del Contrato, los funcionarios del área técnica y el personal de la contraparte, la duración, fecha y el lugar o medio por el cual se lleva a cabo dicha capacitación.

SOPORTE DEL FABRICANTE

El Fabricante debe proporcionar el soporte técnico por al menos 36 (treinta y seis) meses.

El soporte del fabricante deberá ser tipo 24x7x365, y el tiempo de respuesta debe ser máximo de 4 horas desde la comunicación del incidente, garantizando la posibilidad de escalamiento y actualización de nuevas funcionalidades y protecciones desarrolladas por el Fabricante.

Cantidad

04 (cuatro) unidades

ITEM 1 - EQUIPOS DE ENERGÍA ININTERRUMPIDA 40 kVA

Descripción

Mínimo Exigido

Configuración Ofrecida

Identificación

Marca

Especificar exactamente, de manera a comprobar en el catálogo on-line del fabricante, incluir vínculo (link).

Modelo

Especificar

Procedencia

Especificar

Tecnología

Tipo

Trifásico de doble conversión con salida trifásica.

Bypass interno

Automático en sobrecarga o falla de UPS

Funcionamiento en alta temperatura

Sin reducción de potencia en kW hasta 40 °C

Compatibilidad de Baterías

Compatibles con baterías VLRA, Li-ION y NiCd.

Construcción

Acceso frontal completo para mantenimiento, servicio y verificaciones.

Capacidad de paralelo

Capacidad de crecimiento en paralelo para suma de potencia y redundancia, con opciones ajustables.

Modos de funcionamiento

Normal, Modo ECO

Eficiencia con Funcionamiento Normal y ECO a plena carga

Normal: 380Vac- 96.6% / 400Vac- 96.8%

ECO: 380Vac-99.3% / 400Vac- 99.3%

Visualización de

valores y estado de

UPS

Pantalla para interface del usuario con el equipo para visualización de valores de carga, voltajes, carga de batería, etc.

Características de entrada de UPS

Potencia

40kVA / 40kW

Tensión nominal de entrada

380/400/415 Vac (3 fases+neutro+tierra)

Rango de tensiones de entrada

380 V: 331437

400 V: 340460

415 V: 353477

Frecuencia

4070Hz

Factor de potencia de entrada

0,99 a > 25 % de carga, 0,95 a >15 % de carga

Distorsión armónica

total (THDI)

<3 % a plena carga

Protección contra retroalimentación

Debe estar incluida

Características de Salida de UPS

Potencia

40kVA / 40kW

Tensión nominal de entrada

380/400/415 Vac (3 fases+neutro+tierra)

Regulación de la

tensión

Carga simétrica: ± 1 %

Carga asimétrica: ± 3 %

Capacidad de

sobrecarga

150 % por 1 minuto (en funcionamiento normal)

125 % por 10 minutos (en funcionamiento normal)

125 % por 1 minuto (funcionamiento con batería)

110 % continuo (funcionamiento en derivación)

1000 % por 100 milisegundos (funcionamiento en derivación)

Respuesta de carga

dinámica

± 5 % después de 2 milisegundos

± 1 % después de 50 milisegundos

Factor de potencia

de salida

1

Regulación de

frecuencia (Hz)

50/60 Hz (sincronizado con derivación)

50/60 Hz ± 0,1 % (Configurable)

Distorsión armónica total de voltaje

(THDU)

<1 % para carga lineal

<5 % para carga no lineal

Baterías

tipo compatible con ups

VLRA o Li-ION y NiCd

Tensión Nominal

480576Vdc

Presentación

Las Baterías a ofertar, deberán ser compatibles, homologadas y certificadas por la marca, contenidas en un gabinete, se podrá aceptar presentaciones internas o externas, pero en todos los casos la instalación deberá estar homologada por el fabricante.

Gabinete

Provisto y certificado u homologado por el fabricante, con las protecciones, dimensiones, conexiones y calidad constructiva avalada por el fabricante de la UPS

Autonomía

Mínimo 30 minutos a plena carga 40 kW

Pruebas de autonomía

Automáticas y manuales

Comunicación

Protocolos

SNMPv1 y v3, Modus, ModbusTCP

Conexiones

RJ45, MODBUS bms, USB

Configuración y software de administración

El equipo deberá ser proporcionado con todas las configuraciones necesarias para su correcto funcionamiento, además si el equipo necesitará algún software para la ejecución de configuraciones avanzadas, quedará totalmente a cargo del proveedor proporcionar este y con las contraseñas del servicio necesarias durante todo el periodo de duración del contrato juntamente con la mano de obra necesaria para realizar estas configuraciones, sin costo extra para el BCP.

Compatibilidad

Con los sistemas de monitoreo del BCP, el oferente deberá ser responsable de la integración del equipo con los sistemas de monitoreo del BCP.

Ambientales

Temperatura de funcionamiento

De 0 °C a 40 ° C sin reducción de carga

Humedad

De 0 a 95 % sin condensación

Protección

IP20

Ruido

Rangos aceptables menor o igual a 60 dBA a 70 % de carga, menor o igual a 65 dBA a 100 % de carga

Certificaciones

Seguridad

IEC 62040-1: 2008-06, 1ª edición: Sistemas de alimentación ininterrumpida (SAI) - Parte 1: Requisitos generales y

de seguridad para SAI

IEC 62040-1: 2013-01, 1ª edición, enmienda 1

UL 1778 5ª edición

Eléctrica

IEC 62040-2: 2005-10, 2ª edición: Sistemas de alimentación ininterrumpida (SAI) - Parte 2: Requisitos de compatibilidad electromagnética (EMC) C2

Normas de la FCC Parte 15 Subparte B, Clase A

IEEE C62.41-1991 Categoría de ubicación B2 o B1.

Ambiental

Conformidad RoHS

Especialidades de la mano de obra e instalación

La provisión del equipo deberá comprender todos los trabajos, mano de obra, accesorios y materiales necesarios para la puesta a punto e instalación del mismo.

Será responsabilidad del Proveedor la provisión total de los componentes, accesorios y materiales necesarios. Además de efectuar las instalaciones bajo los estándares de calidad adecuados para este tipo de aplicaciones. La instalación debe ser completamente funcional, con todos los accesorios, materiales y mano de obra especializada, para la puesta en marcha de los equipos mencionados.

Instalación eléctrica completamente funcional con todos los accesorios, materiales, tableros, cables, llaves TM y mano de obra especializada. Además de ser necesario cualquier tipo de obra civil para la instalación correcta de los equipos y tableros, esta correrá totalmente a cargo del Proveedor, sin costo extra para el BCP.

También en caso de que sea requerido el retiro de cableado y/o tableros existentes, esto correrá totalmente a cargo del proveedor, sin costo extra para el BCP.

Por otro lado, será responsabilidad exclusiva del proveedor la migración de las cargas existentes al tablero de la UPS requerida en el PBC, debiéndose proveer todo lo necesario para este fin, como conductores, llaves TM, Terminales, accesorios, etc.

Tablero de Mando

La toma de energía eléctrica para acometida a considerar/utilizar es la existente en la Sala de UPS del BCP 2do. Piso. Deberá incluir tablero de bypass provisto por el mismo fabricante que el equipo ofertado (tablero de bypass y paralelo).

Deberá incluir la mano de obra y el montaje del tablero general de mando eléctrico, se deberán incluir todos los materiales e insumos requeridos para el efecto (Tablero y Llaves TM, terminales) además deberá contar con llaves de entrada y salida de circuitos, con EPO y bypass sin paso por 0 (cero). Además del etiquetado la identificación correcta de estas llaves y circuitos. El dimensionamiento de los conductores, las llaves TM y todos los dispositivos de protección deberán seguir normativa local vigente.

Cables, Canalizaciones y Tableros

Se deberá utilizar cable antillama de acuerdo con el dimensionamiento de la potencia máxima requerida por los equipos.

Se deberá incluir todos los cables eléctricos y de datos necesarios para la puesta en marcha de los equipos requeridos en este apartado.

Se deberá incluir todos los tableros, canalizaciones, cajas de empalme, y accesorios necesarios para la puesta en marcha de los equipos requeridos en este apartado.

Operación del Sistema

Es requisito hacer entrega del manual de Operación del sistema. Deberán estar detallados en el mismo, las indicaciones paso a paso para los procesos de: Encendido, Apagado, Puesta en Bypass, Procedimientos de emergencia, procedimientos de mantenimiento, etc.

Manual de Mantenimiento

El Proveedor deberá hacer entrega del Manual de Mantenimiento y cronograma de mantenimiento, en el cual se establecerán los procedimientos de limpieza y mantenimiento a realizar de cada parte del sistema y la periodicidad. Los procedimientos serán definidos paso a paso y con la especificación de las herramientas e insumos requeridos en cada caso. Por otro lado, el proveedor será responsable de ejecutar estas tareas de mantenimiento con la periodicidad determinada y recomendada por el fabricante.

Cantidad

01 (una) unidad

Descripción

Marca

Modelo

Procedencia

Características solicitadas para la provisión del equipo:

Deberá ser auto regulable de modo a mantener una temperatura ambiente de 20 °C ± 10% y una humedad relativa del 50 %.

En ningún caso se aceptarán ofertas que propongan como solución equipos de Aire Acondicionado del tipo Confort.

Capacidad frigorífica requerida:

Dimensiones de la Sala de UPS

Carga térmica estimada (CC):
Observación: se deberán tener en cuenta las siguientes características de los equipos (servidores, switches, etc.) y su respectiva disipación térmica para el dimensionamiento de los equipos de refrigeración.

Dimensiones de la Unidad Interior:

Caudal de aire

Debe tener capacidad de gestionar el siguiente rango de temperaturas externas

Condiciones sala de equipos

Sistema redundante

Certificaciones

Consideraciones para el sistema de climatización

Filtros de aire con posibilidad de filtrado superior al 90 %

Los Ventiladores deberán ser del tipo EC, de accionamiento directo y de velocidad variable conmutados electrónicamente.

Los equipos deberán contar con una bomba de condensado, la misma se suministrará cableada de fábrica y conectada internamente con tubería a la bandeja de desagüe de la condensación y la salida del humidificador.

Deberá contar con mecanismo para detectar a tiempo fugas de agua que se puedan producir en la sala de datos

El filtro deberá ser resistente a la humedad. Los filtros se deberán poder sustituir fácilmente

La unidad deberá soportar configuración con un compresor de velocidad variable utilizando un VFD (variador de frecuencia) correspondiente.

El compresor estará protegido eléctricamente por medio del VFD.

El compresor deberá utilizar un sistema anti-ruido para la reducción del ruido.

El equipo deberá contar con una válvula de expansión electrónica

Las unidades deberán soportar doble fuente de alimentación principal posibilitando desconectar la entrada de alimentación definida como primaria para acoplar a la secundaria automáticamente ante un corte de la red principal.

El equipo deberá contar con placas de gestión para protocolos MODBUS o TCP/IP que permitan el acceso en varios niveles a las funciones de supervisión, control y notificación de sucesos a través de la red del usuario.

El equipo deberá contar con una conexión de entrada para el apagado remoto y una salida de alarma.

La unidad contará con un display para realizar las configuraciones de ajuste necesarias en la unidad.

La pantalla deberá permitir la supervisión y configuración de la unidad de aire acondicionado mediante un control basado en menús. Las funciones incluirán presentación de informes de estado, configuración y valores de referencia de temperatura.

El controlador por microprocesador deberá registrar y mostrar todos los sucesos disponibles. Cada registro de alarma deberá contener un sello de hora/fecha y las condiciones operativas existentes en el momento del suceso. El controlador mostrará las horas de funcionamiento de los principales componentes.

Condensador Remoto enfriado por aire

Los condensadores remotos deberán contar con ventiladores axiales del tipo EC (electrónicamente Controlados), con bajo número de revoluciones no canalizables, adecuadas para la instalación al aire libre, con flujo de aire vertical.

Los condensadores enfriados por aire tendrán circuitos de refrigeración simple, la instalación eléctrica contará con interruptor seccionador IP65, colocado en un lado de las unidades.

Los condensadores estarán dotados de un control modulante de la velocidad de los ventiladores para garantizar la presión de condensación estable en el circuito. Los motores ventiladores deberán contar con rejillas de seguridad.

El formato de las unidades interiores será del tipo PERIMETRAL con descarga de aire frontal bajo piso técnico del tipo down flow y salida por piso microperforado en pasillo frio y retorno en pasillo caliente.

Deberá contar con ventiladores frontales en las cantidades adecuadas para lograr el caudal de aire requerido

Capacidad de Controlar la condensación para época invernal.

Se deberá poder configurar el trabajo en grupo y/o rotación de las unidades

El sistema debe contemplar la función de apagado automático del sistema de aire acondicionado por alarma de incendio.

Tanto la unidad interna como la Externa deberán tener la capacidad de ser energizados por dos fuentes de energía independiente (doble alimentación)

Deberá poseer control por microprocesador y contar con sensores de filtro sucio; capacidad de programación; mantenimiento on-line y capacidad de monitoreo del sistema. Instalado y configurado contra la infraestructura actual del BCP. Deberá soportar nativamente protocolo SNMP V2 o superior, a través de interface RJ45 soportando el protocolo TCP/IP.

Se deben incluir todos los materiales necesarios para la instalación electromecánica, interconexión de energía eléctrica, montaje, instalación de drenaje y todo lo necesario para su correcto funcionamiento, estas instalaciones serán totalmente entubadas.

Proveer e instalar el tablero de mando con todos los accesorios requeridos para el efecto.

Realizar la conexión desde conductor alimentador existente en sala de energía (SALA DE UPS) del Sitio Secundario, para lo cual el oferente deberá presentar la documentación sobre el cálculo de la sección del conductor, diagrama y toda la documentación sobre el equipo y accesorios instalados.

Se deberá hacer entrega de la documentación completa del proyecto, Diagramas; hojas de cálculo de la sección del conductor, interruptores, conmutador y accesorios requeridos. El cual deberá estar firmado por profesional habilitado de acuerdo con la reglamentación local vigente.

El equipo no podrá ser desarmado y rearmado en su lugar de instalación, el mismo debe ser montado en fábrica.

Ductos de gas, cableados, sistema de agua/desagüe desde ubicación del compresor al DC, incluyendo todos los materiales y servicios.

Para la puesta en marcha, prueba y regulación de los equipos, el Proveedor designará ingenieros certificados y técnicos calificados, los cuales utilizarán los procedimientos recomendados en fábrica que certifiquen la validez de las respectivas garantías de fábrica.

Se deberá incluir la garantía y soporte técnico con posibilidad de escalamiento al fabricante, así como el servicio de cambio de partes por garantía, también deberán incluir las revisiones periódicas que resulten de la recomendación del fabricante durante el periodo de 36 meses, a computarse a partir de la fecha de emisión de la conformidad del área técnica.

El Proveedor deberá considerar todos los trabajos necesarios para el acondicionamiento de los puntos de drenaje, puntos de agua y de todo lo necesario para que el sistema de aire acondicionado funcione correctamente.

Los equipos de aire acondicionado deben considerar sus propios detectores de aniego.

Cantidad