Respuesta:

Se transcribe respuesta de la dependencia requirente: la Convocante aclara que el Pliego de Bases y Condiciones, para el Lote N.º 4, establece expresamente dos modalidades alternativas y válidas para el cumplimiento del requisito de habilitación, conforme a lo dispuesto en el artículo 33 de la Ley N.º 5424/2015, a saber:
- Que el oferente cuente con habilitación vigente como empresa de seguridad electrónica, otorgada por el Órgano de Aplicación y Fiscalización de empresas de seguridad y afines de la Policía Nacional; o
- Que el oferente cuente como mínimo con un (1) instalador independiente habilitado, debidamente reconocido en la especialización correspondiente, quien deberá formar parte del personal técnico del oferente, debiendo en este caso presentarse además una Nota en carácter de Declaración Jurada mediante la cual el oferente garantice dicha condición.
En ese sentido, la Convocante aclara que el Pliego no limita ni excluye la participación de oferentes que, no contando con habilitación propia como empresa de seguridad electrónica, acrediten el cumplimiento del requisito a través de un instalador independiente habilitado, siempre que se dé estricto cumplimiento a lo exigido en el PBC y a la normativa legal vigente.
Por tanto, para el presente Lote, resultan admisibles ambas modalidades, conforme se encuentran previstas en el Pliego de Bases y Condiciones, no correspondiendo realizar interpretaciones restrictivas adicionales a las allí establecidas.

Respuesta:

Se transcribe respuesta de la dependencia requirente: La Convocante aclara que el Lote N.º 3 contempla la contratación de servicios de asistencia técnica integral, incluyendo mantenimiento preventivo y correctivo, soporte in situ y remoto, y sustitución provisoria de equipos, conforme a las especificaciones técnicas establecidas en el Pliego de Bases y Condiciones.
Al respecto, se señala que la Convocante ha definido los requisitos de participación, capacidad técnica y experiencia atendiendo a la naturaleza del objeto contractual, estableciendo exigencias técnicas, operativas y de responsabilidad suficientes para garantizar la correcta ejecución de los servicios requeridos.
En ese sentido, se aclara que el Pliego no exige de manera expresa la habilitación como empresa de seguridad electrónica para el Lote N.º 3; no obstante, sin embargo, los potenciales oferentes deberán tener en cuenta lo dispuesto en el artículo 39 de la Ley N.º 5424/2015, las revisiones preventivas y los servicios de mantenimiento de sistemas de seguridad deberán ser realizados exclusivamente por empresas privadas de seguridad electrónica o por instaladores debidamente habilitados por el órgano competente.
Asimismo, se aclara que la responsabilidad integral por la ejecución del contrato recae exclusivamente en el oferente adjudicado, quien deberá cumplir con todas las obligaciones contractuales, técnicas y legales aplicables, conforme a la normativa vigente y a lo establecido en el Pliego de Bases y Condiciones.

Respuesta:

Se transcribe respuesta de la dependencia requirente: Se aclara que la exigencia de la Certificación ISO/IEC 27001:2022 o superior, con referencia al alcance denominado "Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Público", responde a la necesidad de garantizar que los procesos certificados se encuentren directamente vinculados al objeto del presente llamado, considerando la naturaleza crítica de los servicios y de la información gestionada por la Institución.
No obstante, atendiendo a lo expuesto en la consulta, se aclara que la Convocante no exige una denominación literal ni idéntica del alcance, en tanto la norma ISO/IEC 27001 no define ni impone nombres específicos para los alcances.
En tal sentido, se procederá a la emisión de una ADENDA al Pliego de Bases y Condiciones, a fin de incorporar expresamente la admisión de alcances equivalentes, dejando establecido que el oferente deberá acreditar una Certificación ISO/IEC 27001:2022 o superior con alcance equivalente, en contenido, cobertura y aplicabilidad, al requerido en el Pliego.
A los efectos de la evaluación, el oferente deberá demostrar, mediante el certificado vigente y su correspondiente declaración de alcance, que el Sistema de Gestión de Seguridad de la Información cubre material y efectivamente procesos vinculados, entre otros, a:
- soporte técnico especializado,
- gestión y seguridad de infraestructura tecnológica y de hardware, y
- controles de seguridad de la información aplicables a entornos institucionales de similar criticidad.
En consecuencia, no se excluirán certificaciones válidas por diferencias en la redacción del alcance, siempre que se verifique su equivalencia técnica y funcional con los procesos requeridos, conforme será establecido en la Adenda correspondiente.

Respuesta:

Se transcribe respuesta de la dependencia requirente: Se aclara que sí serán admitidas Certificaciones ISO/IEC 27001:2022 o superiores cuyo alcance acredite las mismas actividades y controles de seguridad de la información exigidos en el Pliego de Bases y Condiciones, aun cuando dicho alcance figure bajo una denominación distinta a la indicada en el Pliego, tales como soporte técnico, servicios tecnológicos, gestión de servicios TI u otras denominaciones equivalentes.
Al respecto, se deja expresamente aclarado que la Convocante no exige coincidencia literal en la denominación del alcance, sino que el mismo debe guardar relación directa y verificable con el objeto del llamado, acreditando de manera clara y objetiva la inclusión de procesos vinculados, entre otros, a:
- soporte técnico especializado,
- gestión y seguridad de la información, y
- administración y protección de infraestructura tecnológica.
En tal sentido, se procederá a la emisión de una ADENDA al Pliego de Bases y Condiciones, a fin de incorporar expresamente la admisión de alcances equivalentes, dejando establecido que la evaluación se realizará atendiendo al contenido, cobertura y aplicabilidad efectiva del alcance certificado, y no a la nomenclatura utilizada en el certificado.
En consecuencia, la exigencia establecida en el Pliego deberá interpretarse conforme a lo señalado, no correspondiendo la exclusión de certificaciones válidas por diferencias formales en la redacción del alcance, siempre que se verifique su equivalencia técnica y funcional respecto de los servicios objeto de la contratación.

Respuesta:

Se transcribe respuesta de la dependencia requirente: Se aclara que la denominación del alcance indicada en el Pliego de Bases y Condiciones fue definida con carácter descriptivo y orientativo, a los efectos de identificar de manera clara el tipo de procesos y actividades que deben encontrarse cubiertos por la certificación, atendiendo a la naturaleza del objeto contractual.
Al respecto, se señala que la denominación del alcance no constituye un requisito formal ni restrictivo en sí mismo, ni condiciona el cumplimiento de la exigencia a la utilización de un nombre específico, en tanto la norma ISO/IEC 27001 no define ni impone denominaciones obligatorias para los alcances.
En ese sentido, y conforme a lo ya aclarado, el cumplimiento del requisito no se encuentra condicionado al nombre específico del alcance, sino a que los procesos certificados resulten equivalentes en contenido, cobertura y aplicabilidad, y se correspondan efectivamente con los servicios requeridos en el presente Pliego de Bases y Condiciones.
A fin de evitar interpretaciones restrictivas, se procederá a la emisión de una ADENDA al Pliego de Bases y Condiciones, incorporando expresamente la admisión de alcances equivalentes, dejando establecido que la evaluación se realizará atendiendo al contenido material del alcance certificado, y no a la nomenclatura utilizada en el certificado.
Por lo tanto, la exigencia establecida en el Pliego responde a la necesidad de asegurar la pertinencia y adecuación del Sistema de Gestión de Seguridad de la Información, sin que ello implique limitar la admisión de certificaciones válidas que, aun bajo una denominación distinta, acrediten el cumplimiento de la norma y la cobertura efectiva de los procesos exigidos.

Respuesta:

Se transcribe respuesta de la dependencia requirente: Se aclara que la exigencia de la Certificación ISO/IEC 27001:2022 o superior, establecida en el Pliego de Bases y Condiciones, no tiene por objeto excluir a oferentes que cuenten con certificaciones válidas, ni condicionar la admisión a la utilización de una denominación específica del alcance, sino asegurar que los procesos certificados resulten pertinentes, aplicables y directamente vinculados al objeto del presente llamado.
En ese sentido, no se exige una denominación particular o literal del alcance, sino que el oferente deberá acreditar el cumplimiento efectivo de la norma ISO/IEC 27001 y la cobertura real de los procesos asociados a los servicios requeridos, aun cuando el alcance figure bajo una denominación distinta.
A fin de evitar interpretaciones restrictivas y brindar mayor claridad en la verificación documental, se procederá a la emisión de una ADENDA al Pliego de Bases y Condiciones, incorporando expresamente la admisión de alcances equivalentes, dejando establecido que la evaluación se realizará atendiendo al contenido, cobertura y aplicabilidad efectiva del alcance certificado, y no a la nomenclatura utilizada.
Por lo tanto, no quedarán excluidas del procedimiento aquellas empresas certificadas que cumplan técnicamente con el objeto del contrato y cuyos procesos certificados resulten equivalentes y adecuados, independientemente de la denominación empleada en el alcance de su certificación.

Respuesta:

Se transcribe respuesta de la dependencia requirente: Se aclara que la exigencia de la Certificación ISO/IEC 27001:2022 o superior para los distintos Lotes del presente llamado responde a la necesidad de asegurar un nivel homogéneo y adecuado de gestión de la seguridad de la información en todas las actividades vinculadas al suministro, instalación, asistencia técnica y soporte de los sistemas de CCTV de la Institución.
Al respecto, se señala que, si bien los Lotes contemplan objetos específicos diferenciados, todos ellos se encuentran directa o indirectamente vinculados a infraestructura tecnológica y sistemas de seguridad institucional, involucrando el manejo de información técnica, operativa y logística asociada a activos críticos, cuya afectación podría generar riesgos operativos, de seguridad o de continuidad del servicio.
En ese contexto, la Convocante ha considerado técnicamente razonable exigir un estándar común de gestión de la seguridad de la información, independientemente del tipo de Lote, a fin de garantizar la confidencialidad, integridad y disponibilidad de la información durante todas las etapas de la ejecución contractual, sin perjuicio de las particularidades propias de cada Lote.
Asimismo, se aclara que no se exige una denominación literal ni idéntica del alcance de la certificación ISO, sino que el oferente deberá acreditar que su Sistema de Gestión de Seguridad de la Información cubre de manera efectiva procesos equivalentes y pertinentes al objeto del contrato.
En tal sentido, se procederá a la emisión de una ADENDA al Pliego de Bases y Condiciones, incorporando expresamente la admisión de alcances equivalentes, dejando establecido que la evaluación se realizará atendiendo al contenido, cobertura y aplicabilidad efectiva del alcance certificado, y no a la nomenclatura utilizada.
Por lo tanto, la exigencia de la certificación ISO/IEC 27001 no responde a una equiparación artificial de riesgos, sino a la necesidad de establecer controles preventivos uniformes, acordes a la criticidad de los sistemas involucrados, manteniéndose el criterio técnico definido en el Pliego de Bases y Condiciones.

Respuesta:

Se transcribe respuesta de la dependencia requirente: Se aclara que, si bien los Lotes N.º 1 y N.º 2 tienen por objeto principal la provisión de equipos, dicha provisión no se limita a una mera entrega física de bienes, sino que involucra un conjunto de procesos asociados a infraestructura tecnológica crítica de la Institución.
En particular, durante las etapas de provisión, coordinación, compatibilidad, pruebas, integración logística y soporte asociado, los proveedores pueden acceder o tomar conocimiento, de manera directa o indirecta, de información vinculada, entre otros aspectos, a:
- arquitectura y topología de la infraestructura tecnológica,
- características técnicas y configuración de equipos y sistemas,
- parámetros de conectividad, almacenamiento y operación, y
- esquemas de funcionamiento y continuidad del servicio de sistemas de videovigilancia.
La Convocante aclara que no corresponde detallar ni divulgar información específica, atendiendo a razones de seguridad institucional; no obstante, se considera técnicamente razonable exigir que los oferentes cuenten con un Sistema de Gestión de Seguridad de la Información, conforme a la norma ISO/IEC 27001, que garantice prácticas adecuadas de confidencialidad, integridad y disponibilidad de la información vinculada a dichos procesos.
Asimismo, se aclara que la exigencia de la certificación no se fundamenta en la simple entrega de bienes, sino en el conjunto de procesos organizacionales asociados a la provisión de equipamientos tecnológicos críticos, dentro de un entorno institucional sensible.
En ese contexto, se deja expresamente aclarado que no se exige una denominación literal ni idéntica del alcance de la certificación, sino que el oferente deberá acreditar que su Sistema de Gestión de Seguridad de la Información cubre de manera efectiva procesos equivalentes y pertinentes al objeto del contrato.
A fin de brindar mayor claridad y evitar interpretaciones restrictivas, se procederá a la emisión de una ADENDA al Pliego de Bases y Condiciones, incorporando expresamente la admisión de alcances equivalentes, estableciendo que la evaluación se realizará atendiendo al contenido, cobertura y aplicabilidad efectiva del alcance certificado, y no a la nomenclatura utilizada.
Por lo tanto, la exigencia de la certificación ISO/IEC 27001 responde a criterios de gestión de riesgos y protección de información institucional, y no constituye una exigencia desproporcionada ni ajena a la naturaleza del objeto contractual.

Respuesta:

Se transcribe respuesta de la dependencia requirente: Se aclara que la exigencia de la Certificación ISO/IEC 27001:2022 o superior no se establece en función del tamaño del oferente, sino atendiendo a la criticidad de los sistemas involucrados y a la necesidad de garantizar un nivel adecuado de gestión de la seguridad de la información en todas las actividades vinculadas al objeto del llamado.
Al respecto, se señala que la norma ISO/IEC 27001 es aplicable a organizaciones de cualquier tamaño, incluyendo MiPymes, y que su cumplimiento no constituye un requisito desproporcionado, en tanto se orienta a la implementación de procesos y controles de gestión de riesgos, y no a la magnitud organizacional del oferente.
Asimismo, se aclara que no se exige una denominación literal ni específica del alcance de la certificación, sino que se admitirá que el alcance certificado resulte equivalente en contenido, cobertura y aplicabilidad, siempre que permita verificar de manera objetiva que los procesos certificados se encuentran vinculados a los servicios y actividades requeridos.
En tal sentido, y a fin de evitar interpretaciones restrictivas, se procederá a la emisión de una ADENDA al Pliego de Bases y Condiciones, incorporando expresamente la admisión de alcances equivalentes, dejando establecido que la evaluación se realizará atendiendo al contenido material del alcance certificado, y no a la denominación utilizada.
Por lo tanto, la exigencia establecida en el Pliego no tiene por finalidad restringir la participación de MiPymes, sino asegurar que todos los oferentes, independientemente de su tamaño, cuenten con procesos adecuados de gestión de la seguridad de la información, acordes a los riesgos asociados a la provisión de equipamientos y servicios tecnológicos críticos para la Institución.

Respuesta:

Se transcribe respuesta de la dependencia requirente: Se aclara que la exigencia de la Certificación ISO/IEC 27001:2022 o superior, establecida en el Pliego de Bases y Condiciones, no se fundamenta en la simple entrega física de bienes, sino en el conjunto de actividades y procesos asociados a la provisión de equipamientos tecnológicos de CCTV, los cuales forman parte de la infraestructura crítica de la Institución.
Durante las etapas de provisión, coordinación logística, compatibilidad, integración, pruebas y soporte asociado, los proveedores pueden acceder o tomar conocimiento, de manera directa o indirecta, de información vinculada a la arquitectura de los sistemas, configuraciones técnicas, parámetros de red, esquemas de almacenamiento, operación y continuidad del servicio, sin que corresponda detallar información específica por razones de seguridad institucional.
En ese contexto, la norma ISO/IEC 27001 resulta pertinente en cuanto establece un Sistema de Gestión de Seguridad de la Información orientado a la protección de la confidencialidad, integridad y disponibilidad de la información involucrada en dichos procesos, aspecto considerado crítico para la adecuada ejecución del objeto contractual.
Asimismo, se aclara que la ISO 9001, si bien constituye una norma válida para la gestión de la calidad y la mejora de procesos, no sustituye ni cubre los controles específicos de seguridad de la información previstos en la norma ISO/IEC 27001, por lo que no resulta equivalente ni intercambiable a los fines del presente llamado.
Por otra parte, se deja expresamente aclarado que no se exige una denominación literal ni específica del alcance de la certificación ISO/IEC 27001, sino que se admitirá que el alcance certificado resulte equivalente en contenido, cobertura y aplicabilidad, siempre que permita verificar de manera objetiva la cobertura de los procesos vinculados al objeto del contrato.
En tal sentido, se procederá a la emisión de una ADENDA al Pliego de Bases y Condiciones, incorporando expresamente la admisión de alcances equivalentes, estableciendo que la evaluación se realizará atendiendo al contenido material del alcance certificado, y no a la nomenclatura utilizada.
Por lo tanto, la exigencia de la certificación ISO/IEC 27001 se mantiene vigente conforme a lo establecido en el Pliego, no correspondiendo su sustitución por otras normas de naturaleza distinta.