Suministros y Especificaciones técnicas

Esta sección constituye el detalle de los bienes y/o servicios con sus respectivas especificaciones técnicas - EETT, de manera clara y precisa para que el oferente elabore su oferta. Salvo aquellas EETT de productos ya determinados por plantillas aprobadas por la DNCP.

El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.

Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.

Identificación de la unidad solicitante y justificaciones

En este apartado la convocante deberá indicar los siguientes datos:

Nombre, cargo y la dependencia de la Institución de quien solicita el llamado a ser publicado:

 

Ricardo Adolfo Rolón Alderete, Gerente. Gerencia Departamental de Seguridad Lógica.

Justificación de la necesidad que se pretende satisfacer mediante la contratación a ser realizada:

El Banco Nacional de Fomento, como está supervisado por la Superintendencia de Bancos del Paraguay, debe cumplir con las normativas vigentes. En este sentido el Manual de Gobierno Control de Tecnología de Información, en uno de sus objetivos de control establece el Banco debe contar con un Sistema de Gestión de Seguridad de la Información(SGSI), El banco no cuenta aún con un sistema para cumplir con esta normativa.

Justificar la planificación:

El llamado será realizado de manera sucesiva, hasta tener implementado el Sistema de Gestión de Seguridad de la Información.

Justificar las especificaciones técnicas establecidas:

Se requiere del Servicio para cumplir con la normativa, ya que actualmente por los diversos proyectos que está encarando el Banco, no cuenta con recursos humanos para llevar adelante el trabajo.

Especificaciones técnicas - CPS

Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:

ESPECIFICACIONES TÉCNICAS

Perfil de la Empresa

Se requiere de una Empresa para la prestación de servicios de Seguridad de la Información, con experiencia comprobable en la implementación de sistemas de gestión de seguridad de la información (SGSI) y alineado a las directrices del proceso PO.08 del Manual de Gobierno y Control de Tecnologías de la Información del Banco Central del Paraguay.

Objetivos

  1. El sector de Seguridad Lógica requiere amplio nivel de cobertura con respecto a sus funciones y responsabilidades para la custodia y administración de los activos informáticos a su cargo, a fin de protegerlos razonablemente y asegurar una adecuada entrega de servicios.
  2. Seguidamente se describen las especificaciones técnicas a la prestación de los servicios de Seguridad de la Información. Se requiere del servicio de profesionales certificados especializados en Seguridad de la Información. A continuación, se describen los requerimientos solicitados:

Soporte en la Implementación del Sistemas de Gestión de Seguridad de la Información (SGSI): asistir con un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de la Entidad, de manera a contribuir con el logro de los objetivos del negocio. Este proceso deberá incluir mínimamente las siguientes etapas técnicas:

En el Inicio del trabajo:

Plan detallado del trabajo: Metodología aplicada al servicio, secuencia lógica de actividades y entregables, presentación de cronograma de trabajo y otras actividades a realizarse.

  1. PLANIFICAR - Establecer el Sistemas de Gestión de Seguridad de la Información (SGSI): en esta etapa se deben desarrollar conjuntamente con el equipo interno designado del BNF, las cláusulas Contexto de la Organización, Liderazgo y Planificación conforme a lo establecido en el Manual de Gobierno y Control de TI; cuyos requisitos principales son:
    1. Comprender la organización y su contexto
    2. Comprender las necesidades y expectativas de las partes interesadas
    3. Determinar el alcance del Sistemas de Gestión de Seguridad de la Información (SGSI)
    4. Liderazgo y compromiso
    5. Política del Sistemas de Gestión de Seguridad de la Información (SGSI)
    6. Roles, Responsabilidades y Autoridades
    7. Acciones para abordar los riesgos y las oportunidades
    8. Objetivos de seguridad de la información y planificación para lograrlos
    9. Talleres de trabajo y transferencia de conocimiento al equipo interno designado por la Entidad.
  2. HACER - Implementar el Sistemas de Gestión de Seguridad de la Información (SGSI): en esta etapa se deben desarrollar conjuntamente con el equipo interno designado del BNF, las cláusulas Apoyo y Operación de la norma ISO 27001; cuyos requisitos principales son:
    1. Previsión de Recursos
    2. Competencias del equipo
    3. Concienciación
    4. Comunicación
    5. Información documentada
    6. Control y planificación operacional
    7. Evaluación de riesgo de la seguridad de la información
    8. Tratamiento de riesgo de la seguridad de la información
    9. Talleres de trabajo y transferencia de conocimiento al equipo interno designado por la Entidad.
  3. VERIFICAR La formalización del Sistemas de Gestión de Seguridad de la Información (SGSI): en esta etapa se debe desarrollar conjuntamente con el equipo interno designado del BNF, la cláusula Evaluación de Desempeño de la norma ISO 27001; cuyos requisitos principales son:
    1. Monitoreo, medición, análisis y evaluación
    2. Auditoría Interna
    3. Revisión de gestión
    4. Talleres de trabajo y transferencia de conocimiento al equipo interno designado por la Entidad
  4. ACTUAR - Mejora Continua del Sistemas de Gestión de Seguridad de la Información (SGSI): en esta etapa se debe desarrollar conjuntamente con el equipo interno designado del BNF, la cláusula Mejora de la norma ISO 27001; cuyos requisitos principales son.
    1. No conformidades y acciones correctivas
    2. Mejora continua
    3. Talleres de trabajo y transferencia de conocimiento al equipo interno designado por la Entidad

Trabajos a Ejecutarse

Seguidamente se listan los trabajos mínimos esperados:

En el Inicio del trabajo:

  • Plan detallado del trabajo: Metodología aplicada al servicio, secuencia lógica de actividades y entregables, presentación de cronograma de trabajo y otras actividades a realizarse.

En la etapa A.  PLANIFICAR

  • Documentos de: Planificación detallada del Sistemas de Gestión de Seguridad de la Información (SGSI) y Kick off (Reunión inicial); Contexto de la Organización; Partes Interesadas y sus requisitos; Objetivos del Sistemas de Gestión de Seguridad de la Información (SGSI); Declaración del Alcance del Sistemas de Gestión de Seguridad de la Información (SGSI); Política del Sistema de Gestión de Seguridad de la Información; Talleres de facilitación.

En la etapa B.   HACER

  • Documentos de: Enfoque y Metodología de Evaluación de Riesgos; Talleres de Análisis de Riesgos con Propietarios de Activos; Consolidado de Resultados de Análisis de Riesgos; Plan de Tratamiento de Riesgos; Asesoramiento en procedimientos de seguridad relacionados con el Sistemas de Gestión de Seguridad de la Información (SGSI); Plan de Capacitación y Concienciación; Talleres de facilitación.

En la etapa C.   VERIFICAR

  • Documentos de: Procedimientos de Auditoría del SGSI; Modelos o templates (plantillas) para la Revisión del Sistemas de Gestión de Seguridad de la Información (SGSI) por la Alta Dirección; Modelos o templates (plantillas) de Registros de acciones y eventos que impactan en el Sistemas de Gestión de Seguridad de la Información (SGSI); Talleres de facilitación.

En la etapa D.  ACTUAR

Documentos de: Procedimiento para el Plan de Mejoras del SGSI; Modelos o templates (plantillas) para la administración y seguimiento del Plan de Mejoras del Sistemas de Gestión de Seguridad de la Información (SGCI); Talleres de facilitación.

CRITERIO DE CUMPLIMIENTO

Presentar de manera mensual un Acta de todos los trabajos realizados. Mantener documentado los trabajos realizados.

El propósito de la Especificaciones Técnicas (EETT), es el de definir las carácteristicas técnicas de los bienes que la convocante requiere. La convocante preparará las EETT detalladas teniendo en cuenta que:

-      Las EETT constituyen los puntos de referencia contra los cuales la convocante podrá verificar el cumplimiento técnico de las ofertas y posteriormente evaluarlas. Por lo tanto, unas EETT bien definidas facilitarán a los oferentes la preparación de ofertas que se ajusten a los documentos de licitación, y a la convocante el examen, evaluación y comparación de las ofertas.

-      En las EETT se deberá estipular que todos los bienes o materiales que se incorporen en los bienes deberán ser nuevos, sin uso y del modelo más reciente o actual, y que contendrán todos los perfeccionamientos recientes en materia de diseño y materiales, a menos que en el contrato se disponga otra cosa.

-      En las EETT se utilizarán las mejores prácticas. Ejemplos de especificaciones de adquisiciones similares satisfactorias en el mismo sector podrán proporcionar bases concretas para redactar las EETT.

-      Las EETT deberán ser lo suficientemente amplias para evitar restricciones relativas a manufactura, materiales, y equipo generalmente utilizados en la fabricación de bienes similares.

-      Las normas de calidad del equipo, materiales y manufactura especificadas en los Documentos de Licitación no deberán ser restrictivas. Siempre que sea posible deberán especificarse normas de calidad internacionales . Se deberán evitar referencias a marcas, números de catálogos u otros detalles que limiten los materiales o artículos a un fabricante en particular. Cuando sean inevitables dichas descripciones, siempre deberá estar seguida de expresiones tales como “o sustancialmente equivalente” u “o por lo menos equivalente”.  Cuando en las ET se haga referencia a otras normas o códigos de práctica particulares, éstos solo serán aceptables si a continuación de los mismos se agrega un enunciado indicando otras normas emitidas por autoridades reconocidas que aseguren que la calidad sea por lo menos sustancialmente igual.

-      Asimismo, respecto de los tipos conocidos de materiales, artefactos o equipos, cuando únicamente puedan ser caracterizados total o parcialmente mediante nomenclatura, simbología, signos distintivos no universales o marcas, únicamente se hará a manera de referencia, procurando que la alusión se adecue a estándares internacionales comúnmente aceptados. 

-      Las EETT   deberán describir detalladamente los siguientes requisitos con respecto a por lo menos lo siguiente:

(a)      Normas de calidad de los materiales y manufactura para la producción y fabricación de los bienes.

(b)      Lista detallada de las pruebas requeridas (tipo y número).

(c)       Otro trabajo adicional y/o servicios requeridos para lograr la entrega o el cumplimiento total.

(d)      Actividades detalladas que deberá cumplir el proveedor, y consiguiente participación de la convocante.

(e)      Lista detallada de avales de funcionamiento cubiertas por la garantía, y las especificaciones de las multas aplicables en caso de que dichos avales no se cumplan.

-              Las EETT deberán especificar todas las características y requisitos técnicos esenciales y de funcionamiento, incluyendo los valores máximos o mínimos aceptables o garantizados, según corresponda.  Cuando sea necesario, la convocante deberá incluir un formulario específico adicional de oferta (como un Anexo al Formulario de Presentación de la Oferta), donde el oferente proporcionará la información detallada de dichas características técnicas o de funcionamiento con relación a los valores aceptables o garantizados.

Cuando la convocante requiera que el oferente proporcione en su oferta una parte de o todas las Especificaciones Técnicas, cronogramas técnicos, u otra información técnica, la convocante deberá especificar detalladamente la naturaleza y alcance de la información requerida y la forma en que deberá ser presentada por el oferente en su oferta.

Si se debe proporcionar un resumen de las EETT, la convocante deberá insertar la información en la tabla siguiente. El oferente preparará un cuadro similar para documentar el cumplimiento con los requerimientos.

Detalle de los bienes y/o servicios

Los bienes y/o servicios deberán cumplir con las siguientes especificaciones técnicas y normas:

 

Ítem N°

Descripción

Cantidad

Unidad de Medida

Presentación

1

SERVICIO DE IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

28

Mes

Unidad

De las MIPYMES

Para los procedimientos de Menor Cuantía, este tipo de procedimiento de contratación estará preferentemente reservado a las MIPYMES, de conformidad al artículo 34 inc b) de la Ley N° 7021/22 ‘’De Suministro y Contrataciones Públicas". Son consideradas Mipymes las unidades económicas que, según la dimensión en que organicen el trabajo y el capital, se encuentren dentro de las categorías establecidas en el Artículo 5° de la Ley N° 4457/2012 ‘’PARA LAS MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS’’, y se ocupen del trabajo artesanal, industrial, agroindustrial, agropecuario, forestal, comercial o de servicio

Plan de prestación de los servicios

La prestación de los servicios se realizará de acuerdo con el plan de prestaciòn, indicados en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicados a continuación:

Ítem N°

DESCRIPCIÓN DEL BIEN

CANTIDAD

UNIDAD DE MEDIDA

LUGAR DE ENTREGA

PLAZO DE ENTREGA

1

SERVICIO DE IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

28

Mes

Banco Nacional de Fomento Gerencia Departamental de Seguridad Lógica dependiente de la Gerencia de Área de Seguridad

Una vez suscripto el contrato el oferente tendrá un plazo de 15 (quince) días hábiles para el inicio de los trabajos.

CRITERIO DE CUMPLIMIENTO:

Presentar de manera mensual un Acta de todos los trabajos realizados conforme a lo detallado en las EETT.

Planos y diseños

Para la presente contratación se pone a disposición los siguientes planos o diseños:

No aplica

Embalajes y documentos

El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:

No aplica

Inspecciones y pruebas

Las inspecciones y pruebas serán como se indica a continuación:

No aplica

Indicadores de Cumplimiento

El documento requerido para acreditar el cumplimiento contractual, será:

  • Para bienes y Servicios: Acta de conformidad
  • Serán presentados: 28 (veinte y ocho) Actas de conformidad
  • Frecuencia: mensual

Planificación de indicadores de cumplimiento:

 

INDICADOR

TIPO

FECHA DE PRESENTACIÓN PREVISTA

Acta 1

Acta de conformidad

Conforme al Plazo de Entrega.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Acta 2

Acta de conformidad

Acta 3

     Acta de conformidad

Acta 4

Acta de conformidad

Acta 5

Acta de conformidad

Acta 6

Acta de conformidad

Acta 7

     Acta de conformidad

Acta 8

     Acta de conformidad

Acta 9

     Acta de conformidad

Acta 10

Acta de conformidad

Acta 11

Acta de conformidad

Acta 12

Acta de conformidad

Acta 13

Acta de conformidad

Acta 14

Acta de conformidad

Acta 15

Acta de conformidad

Acta 16

Acta de conformidad

Acta 18

Acta de conformidad

Acta 19

Acta de conformidad

Acta 20

Acta de conformidad

Acta 21

Acta de conformidad

Acta 22

Acta de conformidad

Acta 23

Acta de conformidad

Acta 24

Acta de conformidad

Acta 25

Acta de conformidad

Acta 26

Acta de conformidad

Acta 27

Acta de conformidad

Acta 28

Acta de conformidad

 

De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.