En el apartado Capacidad Técnica para los lotes 1, 2, 3 y 4 se solicita que el oferente deberá acreditar la certificación ISO 27001 o superior con alcance en "Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico (no serán aceptadas certificaciones genéricas)". Consideramos este requerimiento extremadamente restrictivo y direccionado a ITCS, ya que el alcance exigido coincide prácticamente de forma literal con el alcance que figura en su certificado. Además, la ISO 27001 no define nombres específicos de alcance y una empresa puede cumplir plenamente la norma con una denominación distinta, por lo que exigir un texto “exacto” no tiene un fundamento técnico real y limita la participación. Por lo expuesto, solicitamos la modificación del requisito, eliminando la exigencia del alcance literal, y que se requiera únicamente ISO 27001 vigente, emitida por organismo acreditado, del rubro o afín al objeto del llamado, aceptando alcances equivalentes.
En el apartado Capacidad Técnica para los lotes 1, 2, 3 y 4 se solicita que el oferente deberá acreditar la certificación ISO 27001 o superior con alcance en "Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico (no serán aceptadas certificaciones genéricas)". Consideramos este requerimiento extremadamente restrictivo y direccionado a ITCS, ya que el alcance exigido coincide prácticamente de forma literal con el alcance que figura en su certificado. Además, la ISO 27001 no define nombres específicos de alcance y una empresa puede cumplir plenamente la norma con una denominación distinta, por lo que exigir un texto “exacto” no tiene un fundamento técnico real y limita la participación. Por lo expuesto, solicitamos la modificación del requisito, eliminando la exigencia del alcance literal, y que se requiera únicamente ISO 27001 vigente, emitida por organismo acreditado, del rubro o afín al objeto del llamado, aceptando alcances equivalentes.
Se transcribe respuesta de la dependencia requirente: El requisito de Certificación ISO 27001 o superior establecido en el apartado de Capacidad Técnica para los Lotes 1, 2, 3 y 4 fue definido atendiendo a la naturaleza del objeto del llamado y a la necesidad de asegurar que los oferentes cuenten con un Sistema de Gestión de Seguridad de la Información aplicable a los bienes y servicios requeridos.
Atendiendo a la consulta formulada, la Entidad Convocante aclara que mediante la correspondiente adenda se precisará que no se exigirá la coincidencia literal de la denominación del alcance de la certificación, ni una redacción idéntica a la consignada como referencia en el Pliego de Bases y Condiciones.
En ese sentido, se establecerá expresamente que serán admitidas certificaciones ISO/IEC 27001:2022 o superiores, vigentes y emitidas por organismos certificadores competentes, cuyos alcances resulten equivalentes en contenido, cobertura y aplicabilidad, acreditando de manera clara y objetiva la cobertura de procesos vinculados al soporte técnico, la seguridad de la información y la gestión de infraestructura tecnológica o hardware, conforme al objeto del presente llamado.
Asimismo, se aclarará que la referencia a "certificaciones genéricas" tiene por finalidad descartar aquellas certificaciones cuyo alcance no guarde relación directa con los bienes y servicios objeto de la contratación, y no implica la exigencia de una redacción literal ni la restricción de la participación de oferentes que cuenten con certificaciones válidas y técnicamente equivalentes.
La citada precisión será incorporada formalmente al Pliego de Bases y Condiciones a través de la adenda correspondiente, a fin de garantizar claridad, objetividad y transparencia en la verificación del requisito.
32
Experiencia Requerida
En el apartado Experiencia Requerida, donde dice: "Para el Lote N°3: Demostrar experiencia en la asistencia técnica de sistemas de CCTV o similares en soporte de asistencia técnica con facturaciones de venta, contratos y/o recepciones finales, por un monto equivalente al 30% como mínimo del monto total ofertado en el presente procedimiento de contratación, de los últimos 4 (cuatro) años (2021, 2022, 2023, 2024). Las sumatorias de las facturaciones deben alcanzar el porcentaje indicado, no será necesaria la presentación del porcentaje del monto establecido por cada año."
Entendiendo que los servicios de mantenimiento preventivo y correctivo constituyen la forma principal de asistencia técnica en este rubro, ¿se confirma que serán válidos y aceptados los contratos y facturaciones bajo estos conceptos para cumplir con el requisito?
En el apartado Experiencia Requerida, donde dice: "Para el Lote N°3: Demostrar experiencia en la asistencia técnica de sistemas de CCTV o similares en soporte de asistencia técnica con facturaciones de venta, contratos y/o recepciones finales, por un monto equivalente al 30% como mínimo del monto total ofertado en el presente procedimiento de contratación, de los últimos 4 (cuatro) años (2021, 2022, 2023, 2024). Las sumatorias de las facturaciones deben alcanzar el porcentaje indicado, no será necesaria la presentación del porcentaje del monto establecido por cada año."
Entendiendo que los servicios de mantenimiento preventivo y correctivo constituyen la forma principal de asistencia técnica en este rubro, ¿se confirma que serán válidos y aceptados los contratos y facturaciones bajo estos conceptos para cumplir con el requisito?
Se transcribe respuesta de la dependencia requirente: Conforme a lo establecido en el apartado de Experiencia Requerida para el Lote N.º 3, serán válidos y aceptados los contratos, facturaciones, recepciones finales y demás documentaciones respaldatorias correspondientes a servicios de mantenimiento preventivo y correctivo de sistemas de CCTV o similares, en tanto los mismos constituyen efectivamente formas de asistencia técnica dentro del alcance del presente llamado.
Al respecto, se confirma que dichas documentaciones podrán ser utilizadas para acreditar la experiencia requerida, siempre que correspondan a los últimos cuatro (4) años indicados en el Pliego (2021, 2022, 2023 y 2024), y que las sumatorias de los montos facturados alcancen, como mínimo, el 30 % del monto total ofertado, conforme a lo establecido en el Pliego de Bases y Condiciones.
En consecuencia, no se exige una denominación específica del servicio, sino que la experiencia acreditada guarde relación directa con la asistencia técnica de sistemas de CCTV o similares, de acuerdo con el objeto del Lote N.º 3.
33
Consulta
Para todos los Lotes: Con relación al requisito de certificación, solicitamos se aclare que la ISO/IEC 27001:2022 sea considerada en términos genéricos, es decir, como certificación vigente del Sistema de Gestión de Seguridad de la Información (SGSI) del oferente, sin exigir alcances, sectores o condiciones específicas que restrinjan la participación, siempre que la certificación se encuentre vigente y emitida por un organismo certificador competente/acreditado.
Asimismo, atendiendo la naturaleza del presente llamado, consideramos que amerita incluir como requisito alternativo o equivalente la ISO 9001:2015 (Sistema de Gestión de la Calidad), por cuanto acredita procesos de gestión y control de calidad aplicables a la correcta ejecución de los trabajos solicitados.
Por lo expuesto, solicitamos se confirme que el requisito podrá cumplirse mediante la presentación de ISO/IEC 27001:2022 y ISO 9001:2015, ambas vigentes y emitidas por organismo certificador acreditado, considerándose cualquiera de ellas suficiente para el cumplimiento del punto.
Para todos los Lotes: Con relación al requisito de certificación, solicitamos se aclare que la ISO/IEC 27001:2022 sea considerada en términos genéricos, es decir, como certificación vigente del Sistema de Gestión de Seguridad de la Información (SGSI) del oferente, sin exigir alcances, sectores o condiciones específicas que restrinjan la participación, siempre que la certificación se encuentre vigente y emitida por un organismo certificador competente/acreditado.
Asimismo, atendiendo la naturaleza del presente llamado, consideramos que amerita incluir como requisito alternativo o equivalente la ISO 9001:2015 (Sistema de Gestión de la Calidad), por cuanto acredita procesos de gestión y control de calidad aplicables a la correcta ejecución de los trabajos solicitados.
Por lo expuesto, solicitamos se confirme que el requisito podrá cumplirse mediante la presentación de ISO/IEC 27001:2022 y ISO 9001:2015, ambas vigentes y emitidas por organismo certificador acreditado, considerándose cualquiera de ellas suficiente para el cumplimiento del punto.
Se transcribe respuesta de la dependencia requirente: En cuanto a la solicitud de admitir la ISO 9001:2015 como requisito alternativo o equivalente, se aclara que dicha norma si bien es válida para la gestión de la calidad, no resulta equivalente ni sustituye a la ISO/IEC 27001:2022, por cuanto no contempla controles específicos de seguridad de la información, aspecto considerado crítico para la ejecución del presente llamado.
Por lo tanto, el requisito de certificación no podrá cumplirse mediante la presentación alternativa de ISO 9001:2015, manteniéndose vigente la exigencia de ISO/IEC 27001:2022 o superior, conforme a lo establecido en el Pliego de Bases y Condiciones, no correspondiendo introducir modificaciones ni flexibilizaciones adicionales.
La Entidad Convocante aclara que el requisito de certificación será ajustado mediante la correspondiente Adenda al Pliego de Bases y Condiciones, a fin de precisar el alcance del mismo, conforme a lo señalado en la presente consulta.
34
Lote 4 (Instalación) – Habilitación Ley 5424/2015
Se solicita aclaración expresa y fundada respecto a la interpretación que la Convocante aplicará al requisito de habilitación para el Lote 4, considerando la Ley N.º 5424/2015 y su diferenciación de figuras habilitantes.
En particular, se requiera confirmar si será admitida o no la modalidad en la cual un oferente no habilitado como empresa de seguridad electrónica pretenda “subsanar” dicho requisito presentando a un instalador independiente habilitado como supuesto integrante de su “personal técnico”.
Se solicita que la Convocante defina inequívocamente si el requisito se tendrá por cumplido únicamente bajo alguna de las siguientes formas:
a) oferente con habilitación vigente como empresa de seguridad electrónica; o
b) oferente que sea instalador independiente habilitado que contrate directamente (sin operar como sustituto de habilitación empresarial).
Todo ello, a fin de evitar interpretaciones extensivas que desnaturalicen el régimen legal y afecten la igualdad de condiciones entre oferentes.
Se solicita aclaración expresa y fundada respecto a la interpretación que la Convocante aplicará al requisito de habilitación para el Lote 4, considerando la Ley N.º 5424/2015 y su diferenciación de figuras habilitantes.
En particular, se requiera confirmar si será admitida o no la modalidad en la cual un oferente no habilitado como empresa de seguridad electrónica pretenda “subsanar” dicho requisito presentando a un instalador independiente habilitado como supuesto integrante de su “personal técnico”.
Se solicita que la Convocante defina inequívocamente si el requisito se tendrá por cumplido únicamente bajo alguna de las siguientes formas:
a) oferente con habilitación vigente como empresa de seguridad electrónica; o
b) oferente que sea instalador independiente habilitado que contrate directamente (sin operar como sustituto de habilitación empresarial).
Todo ello, a fin de evitar interpretaciones extensivas que desnaturalicen el régimen legal y afecten la igualdad de condiciones entre oferentes.
Se transcribe respuesta de la dependencia requirente: El requisito de habilitación para el Lote N.° 4 - Instalación se aplicará conforme a lo expresamente establecido en el Pliego de Bases y Condiciones y a la correcta interpretación de la Ley N.° 5424/2015.
Al respecto, se aclara que el Pliego admite el cumplimiento del requisito de habilitación bajo las siguientes modalidades:
a) oferente con habilitación vigente como empresa de seguridad electrónica, otorgada por el órgano competente; o
b) oferente que cuente con al menos un (1) instalador independiente debidamente habilitado, quien deberá integrar el personal técnico que ejecute las tareas de instalación.
La responsabilidad contractual, técnica y legal por la ejecución de los trabajos recaerá en todos los casos exclusivamente sobre el oferente adjudicado, conforme a lo establecido en el Pliego de Bases y Condiciones.
Por lo tanto, el requisito de habilitación se tendrá por cumplido cuando se acredite alguna de las modalidades expresamente previstas en el Pliego, no correspondiendo introducir interpretaciones restrictivas ni exigencias adicionales no contempladas en el mismo.
Atendiendo a que el Lote 3 comprende asistencia técnica integral 24/7, mantenimiento preventivo/correctivo, soporte in situ y remoto, sustitución provisoria de equipos y obligaciones operativas permanentes, se solicita aclarar si la Convocante exigirá que la ejecución sea realizada por empresa de seguridad electrónica debidamente habilitada, conforme Ley N.º 5424/2015 (arts. aplicables).
Asimismo, se requiere que se indique si la Convocante considera jurídicamente procedente que la prestación integral de un servicio de esta naturaleza sea asumida por instaladores independientes, cuando la normativa distingue claramente alcance, estructura, responsabilidad patrimonial y régimen de control entre habilitación empresarial e individual.
Se solicita que la respuesta sea fundada, indicando el criterio objetivo que se utilizará en evaluación para verificar el cumplimiento.
Atendiendo a que el Lote 3 comprende asistencia técnica integral 24/7, mantenimiento preventivo/correctivo, soporte in situ y remoto, sustitución provisoria de equipos y obligaciones operativas permanentes, se solicita aclarar si la Convocante exigirá que la ejecución sea realizada por empresa de seguridad electrónica debidamente habilitada, conforme Ley N.º 5424/2015 (arts. aplicables).
Asimismo, se requiere que se indique si la Convocante considera jurídicamente procedente que la prestación integral de un servicio de esta naturaleza sea asumida por instaladores independientes, cuando la normativa distingue claramente alcance, estructura, responsabilidad patrimonial y régimen de control entre habilitación empresarial e individual.
Se solicita que la respuesta sea fundada, indicando el criterio objetivo que se utilizará en evaluación para verificar el cumplimiento.
Se transcribe respuesta de la dependencia requirente: El Lote N.° 3 - Servicio de Asistencia Técnica Integral de Equipos CCTV se rige por los requisitos de habilitación, capacidad técnica, capacidad operativa, experiencia y responsabilidad establecidos en el Pliego de Bases y Condiciones, el cual constituye la norma rectora del presente procedimiento.
Atendiendo al alcance del servicio -que comprende asistencia técnica integral 24/7, mantenimiento preventivo y correctivo, soporte in situ y remoto, provisión de equipos de sustitución y obligaciones operativas permanentes- la ejecución del Lote N.° 3 debe ser asumida íntegramente por el oferente adjudicado, quien asume en todos los casos la totalidad de la responsabilidad contractual, legal, operativa y patrimonial frente a la Convocante.
En ese sentido, se aclara que el Pliego no exige de manera expresa la habilitación como empresa de seguridad electrónica para el Lote N.º 3; no obstante, los potenciales oferentes deberán tener en cuenta lo dispuesto en el artículo 39 de la Ley N.º 5424/2015, las revisiones preventivas y los servicios de mantenimiento de sistemas de seguridad deberán ser realizados exclusivamente por empresas privadas de seguridad electrónica e instaladores debidamente habilitados por el órgano competente.
Por lo tanto, el cumplimiento del requisito de habilitación, capacidad técnica y responsabilidad para el Lote N.° 3 será evaluado exclusivamente respecto del oferente, conforme a la documentación exigida en el Pliego de Bases y Condiciones, no correspondiendo introducir interpretaciones extensivas ni modalidades no previstas en el mismo.
36
Certificación ISO 27001 con alcance “literal”
En el apartado de Capacidad Técnica se exige ISO 27001/2022 (o superior) con un alcance redactado de manera literal (“no serán aceptadas certificaciones genéricas”).
Se solicita a la Convocante:
Indicar fundamento técnico y jurídico que justifica exigir un texto exacto de alcance, cuando ISO 27001 no define denominaciones obligatorias y el cumplimiento depende de procesos/controles, no del “nombre” del alcance.
Precisar qué parámetro objetivo usará para calificar una certificación como “genérica” o “no genérica”, evitando discrecionalidad evaluativa.
Confirmar si se admitirán certificaciones ISO/IEC 27001:2022 vigentes, emitidas por organismo competente, con alcances equivalentes (mismas actividades y controles vinculados al objeto), aunque su redacción no reproduzca literalmente la frase del PBC.
Lo anterior se formula a fin de prevenir restricciones indebidas a la concurrencia y asegurar transparencia y verificabilidad del requisito.
En el apartado de Capacidad Técnica se exige ISO 27001/2022 (o superior) con un alcance redactado de manera literal (“no serán aceptadas certificaciones genéricas”).
Se solicita a la Convocante:
Indicar fundamento técnico y jurídico que justifica exigir un texto exacto de alcance, cuando ISO 27001 no define denominaciones obligatorias y el cumplimiento depende de procesos/controles, no del “nombre” del alcance.
Precisar qué parámetro objetivo usará para calificar una certificación como “genérica” o “no genérica”, evitando discrecionalidad evaluativa.
Confirmar si se admitirán certificaciones ISO/IEC 27001:2022 vigentes, emitidas por organismo competente, con alcances equivalentes (mismas actividades y controles vinculados al objeto), aunque su redacción no reproduzca literalmente la frase del PBC.
Lo anterior se formula a fin de prevenir restricciones indebidas a la concurrencia y asegurar transparencia y verificabilidad del requisito.
Se transcribe respuesta de la dependencia requirente: El requisito de Certificación ISO/IEC 27001:2022 o superior, establecido en el apartado de Capacidad Técnica, no exige la coincidencia literal del texto del alcance consignado en el certificado, ni se encuentra condicionado a una denominación exacta o idéntica a la indicada como referencia en el Pliego de Bases y Condiciones.
Al respecto, se aclara que la referencia al alcance incluida en el Pliego tiene carácter descriptivo y orientativo, con la finalidad de identificar los procesos y actividades que deben encontrarse cubiertos por la certificación, atendiendo al objeto del llamado.
En consecuencia, serán admitidas certificaciones ISO/IEC 27001:2022 vigentes, emitidas por organismos certificadores competentes, cuyos alcances acrediten de manera objetiva equivalencia en contenido, cobertura y aplicabilidad a los procesos vinculados al soporte técnico, la seguridad de la información y la gestión de infraestructura tecnológica requerida, aun cuando la redacción del alcance no reproduzca literalmente la indicada en el Pliego.
A los efectos de otorgar mayor claridad y evitar interpretaciones restrictivas, la Convocante incorporará la presente aclaración mediante la correspondiente Adenda al Pliego de Bases y Condiciones.
37
ISO 27001 exigida también para provisión de bienes (Lotes 1 y 2) – Proporcionalidad y necesidad
Considerando que los Lotes 1 y 2 tienen por objeto principal la provisión/entrega de equipos y accesorios, se solicita que la Convocante identifique de forma concreta:
a) qué procesos del contrato implican tratamiento de información sensible/critica que requiera SGSI certificado;
b) cuál es el riesgo específico que se pretende mitigar mediante ISO 27001 en la simple entrega de bienes; y
c) por qué dicha exigencia resulta necesaria y proporcional para estos lotes, frente a alternativas menos restrictivas (p. ej. controles contractuales, cláusulas de confidencialidad, o certificaciones de calidad/logística cuando corresponda).
Se solicita respuesta fundada, a efectos de evitar exigencias que operen como barreras de entrada.
12-01-2026
21-04-2026
ISO 27001 exigida también para provisión de bienes (Lotes 1 y 2) – Proporcionalidad y necesidad
Considerando que los Lotes 1 y 2 tienen por objeto principal la provisión/entrega de equipos y accesorios, se solicita que la Convocante identifique de forma concreta:
a) qué procesos del contrato implican tratamiento de información sensible/critica que requiera SGSI certificado;
b) cuál es el riesgo específico que se pretende mitigar mediante ISO 27001 en la simple entrega de bienes; y
c) por qué dicha exigencia resulta necesaria y proporcional para estos lotes, frente a alternativas menos restrictivas (p. ej. controles contractuales, cláusulas de confidencialidad, o certificaciones de calidad/logística cuando corresponda).
Se solicita respuesta fundada, a efectos de evitar exigencias que operen como barreras de entrada.
Se transcribe respuesta de la dependencia requirente: La exigencia de la Certificación ISO/IEC 27001:2022 o superior para los Lotes N.º 1 y N.º 2 no se fundamenta en la simple entrega física de bienes, sino en el conjunto de procesos asociados a la provisión de equipamientos tecnológicos de CCTV que forman parte de la infraestructura de seguridad institucional.
a) Procesos que implican tratamiento de información sensible o crítica
Durante las etapas de provisión, integración, compatibilidad, pruebas, configuración inicial, soporte y eventual sustitución de equipos, los proveedores pueden acceder o tomar conocimiento, de manera directa o indirecta, de información técnica sensible vinculada, entre otros aspectos, a:
- arquitectura y topología de la infraestructura de videovigilancia;
- configuraciones de equipos, sistemas de grabación y almacenamiento;
- parámetros de conectividad, direccionamiento y capacidad;
- esquemas operativos y de continuidad del servicio.
La Entidad Convocante aclara que no corresponde detallar ni divulgar información específica, por razones de seguridad institucional.
b) Riesgo específico que se pretende mitigar
La exigencia de la certificación ISO 27001 se orienta a mitigar riesgos asociados a:
- divulgación no autorizada de información técnica sensible;
- alteración indebida de configuraciones o parámetros críticos;
- manejo inadecuado de activos tecnológicos;
- fallas en la trazabilidad, custodia y control de componentes del sistema.
Dichos riesgos pueden materializarse independientemente de que el objeto principal del Lote sea la provisión de bienes, en tanto los equipos integran sistemas críticos de seguridad.
c) Necesidad y proporcionalidad de la exigencia
La Convocante considera que la exigencia de la certificación ISO/IEC 27001 resulta necesaria y proporcional, atendiendo a la criticidad de los sistemas involucrados, y constituye una medida preventiva orientada a asegurar la confidencialidad, integridad y disponibilidad de la información y de los activos tecnológicos durante la ejecución contractual.
Asimismo, se aclara que cláusulas contractuales, compromisos de confidencialidad o certificaciones de calidad distintas (como ISO 9001) no sustituyen ni resultan equivalentes a los controles específicos de seguridad de la información previstos en la norma ISO 27001.
Por lo expuesto, la Convocante considera que la exigencia establecida no constituye una barrera injustificada de acceso, sino un requisito técnico razonable y alineado con el objeto del contrato y con las buenas prácticas de gestión de la seguridad de la información.
No obstante, a fin de otorgar mayor claridad, uniformidad de criterios y evitar interpretaciones restrictivas, la presente aclaración será incorporada mediante la correspondiente Adenda al Pliego de Bases y Condiciones.
38
ISO/IEC 27001 con alcance literal – Restricción artificiosa y desnaturalización del estándar
Se observa que el Pliego exige certificación ISO/IEC 27001:2022 con un alcance redactado de forma literal y específica, estableciendo expresamente que no serán aceptadas certificaciones con alcances “genéricos”.
Al respecto, se solicita a la Convocante:
Indicar cuál es el fundamento técnico, normativo y jurídico por el cual se exige un texto literal de alcance, cuando el estándar ISO/IEC 27001 no establece denominaciones obligatorias, sino que evalúa la implementación de controles, procesos y gestión de riesgos, independientemente de la redacción nominal del alcance.
Precisar qué criterio objetivo, medible y verificable será utilizado por el Comité Evaluador para calificar un alcance como “genérico” o “no genérico”, evitando valoraciones subjetivas que habiliten discrecionalidad evaluativa.
Aclarar si serán aceptadas certificaciones ISO/IEC 27001:2022 vigentes y emitidas por organismo acreditado, cuyos alcances cubran materialmente las actividades objeto del contrato, aun cuando la redacción no coincida de manera textual con la exigida en el Pliego.
Se deja expresa constancia de que existen oferentes que cuentan con certificación ISO/IEC 27001 válida y vigente, pero con un alcance distinto en su redacción, lo cual no implica ausencia de controles, procesos ni capacidad técnica, sino una configuración legítima del Sistema de Gestión de Seguridad de la Información conforme a ISO.
En tal sentido, se advierte que exigir una redacción literal específica, sin admitir equivalencias técnicas, podría configurar una restricción artificial de la concurrencia, incompatible con los principios de razonabilidad, proporcionalidad e igualdad entre oferentes.
12-01-2026
21-04-2026
ISO/IEC 27001 con alcance literal – Restricción artificiosa y desnaturalización del estándar
Se observa que el Pliego exige certificación ISO/IEC 27001:2022 con un alcance redactado de forma literal y específica, estableciendo expresamente que no serán aceptadas certificaciones con alcances “genéricos”.
Al respecto, se solicita a la Convocante:
Indicar cuál es el fundamento técnico, normativo y jurídico por el cual se exige un texto literal de alcance, cuando el estándar ISO/IEC 27001 no establece denominaciones obligatorias, sino que evalúa la implementación de controles, procesos y gestión de riesgos, independientemente de la redacción nominal del alcance.
Precisar qué criterio objetivo, medible y verificable será utilizado por el Comité Evaluador para calificar un alcance como “genérico” o “no genérico”, evitando valoraciones subjetivas que habiliten discrecionalidad evaluativa.
Aclarar si serán aceptadas certificaciones ISO/IEC 27001:2022 vigentes y emitidas por organismo acreditado, cuyos alcances cubran materialmente las actividades objeto del contrato, aun cuando la redacción no coincida de manera textual con la exigida en el Pliego.
Se deja expresa constancia de que existen oferentes que cuentan con certificación ISO/IEC 27001 válida y vigente, pero con un alcance distinto en su redacción, lo cual no implica ausencia de controles, procesos ni capacidad técnica, sino una configuración legítima del Sistema de Gestión de Seguridad de la Información conforme a ISO.
En tal sentido, se advierte que exigir una redacción literal específica, sin admitir equivalencias técnicas, podría configurar una restricción artificial de la concurrencia, incompatible con los principios de razonabilidad, proporcionalidad e igualdad entre oferentes.
Se transcribe respuesta de la dependencia requirente: Se transcribe respuesta de la dependencia requirente: El requisito de Certificación ISO/IEC 27001:2022 o superior, establecido en el Pliego de Bases y Condiciones, no exige la reproducción literal ni exacta del texto del alcance consignado como referencia, ni se encuentra condicionado a una denominación nominal específica del alcance certificado.
Fundamento técnico, normativo y jurídico
La norma ISO/IEC 27001 evalúa la implementación y funcionamiento efectivo de un Sistema de Gestión de Seguridad de la Información, basado en la identificación de riesgos, la aplicación de controles y la gestión de procesos, independientemente de la redacción textual del alcance.
En ese sentido, la referencia incluida en el Pliego tiene carácter descriptivo y orientativo, con el objeto de identificar el tipo de actividades y procesos que deben encontrarse cubiertos por la certificación, atendiendo a la naturaleza del objeto contractual.
Desde el punto de vista jurídico, el Pliego no introduce una exigencia formal de literalidad, sino que define un requisito funcional, orientado a garantizar la pertinencia y aplicabilidad efectiva del sistema de gestión certificado respecto de los bienes y servicios a ser provistos.
Criterio objetivo para descartar "certificaciones genéricas"
La expresión "no serán aceptadas certificaciones genéricas" debe interpretarse de manera objetiva, en el sentido de que no serán admitidas certificaciones cuyo alcance no guarde relación directa con el objeto del llamado, por corresponder a actividades ajenas o no vinculadas a los procesos requeridos.
En consecuencia, una certificación será considerada válida cuando el alcance declarado acredite de manera clara y verificable la cobertura de procesos y actividades vinculados, entre otros aspectos, al soporte técnico, la seguridad de la información y la gestión de infraestructura tecnológica, conforme a lo exigido en el Pliego de Bases y Condiciones, sin atender a la redacción literal del alcance.
Admisión de alcances equivalentes
En ese marco, la Entidad Convocante confirma expresamente que serán aceptadas certificaciones ISO/IEC 27001:2022 vigentes, emitidas por organismos certificadores competentes, cuyos alcances cubran material y efectivamente las actividades objeto del contrato, aun cuando la redacción del alcance no coincida de manera textual con la consignada en el Pliego.
Por lo tanto, la exigencia establecida no desnaturaliza el estándar ISO/IEC 27001 ni introduce restricciones artificiales a la concurrencia, sino que se orienta a asegurar que los oferentes cuenten con un sistema de gestión de la seguridad de la información realmente aplicable y pertinente al objeto del presente procedimiento de contratación.
No obstante, a efectos de otorgar mayor claridad y uniformidad interpretativa, la presente aclaración será incorporada mediante la correspondiente Adenda al Pliego de Bases y Condiciones.
39
ISO 27001 aplicada a provisión de bienes (Lotes 1 y 2) – Falta de relación con el objeto contractual
Considerando que los Lotes 1 y 2 tienen por objeto principal la provisión y entrega de bienes, se solicita que la Convocante identifique de manera concreta y detallada:
a) qué procesos contractuales implican tratamiento de información sensible o crítica por parte del proveedor de bienes;
b) qué riesgo específico de seguridad de la información se pretende mitigar mediante la exigencia de ISO/IEC 27001; y
c) por qué dicha certificación resulta necesaria y proporcional, frente a mecanismos menos restrictivos y plenamente idóneos (cláusulas contractuales, NDA, controles de acceso, etc.).
Se solicita especial aclaración sobre cómo la simple entrega de equipamientos justificaría la exigencia de un SGSI certificado con un alcance específico, cuando el proveedor no administra, procesa ni resguarda información institucional.
La ausencia de una justificación técnica clara podría evidenciar que el requisito no guarda relación directa con el objeto del contrato, operando como una barrera de entrada innecesaria.
12-01-2026
21-04-2026
ISO 27001 aplicada a provisión de bienes (Lotes 1 y 2) – Falta de relación con el objeto contractual
Considerando que los Lotes 1 y 2 tienen por objeto principal la provisión y entrega de bienes, se solicita que la Convocante identifique de manera concreta y detallada:
a) qué procesos contractuales implican tratamiento de información sensible o crítica por parte del proveedor de bienes;
b) qué riesgo específico de seguridad de la información se pretende mitigar mediante la exigencia de ISO/IEC 27001; y
c) por qué dicha certificación resulta necesaria y proporcional, frente a mecanismos menos restrictivos y plenamente idóneos (cláusulas contractuales, NDA, controles de acceso, etc.).
Se solicita especial aclaración sobre cómo la simple entrega de equipamientos justificaría la exigencia de un SGSI certificado con un alcance específico, cuando el proveedor no administra, procesa ni resguarda información institucional.
La ausencia de una justificación técnica clara podría evidenciar que el requisito no guarda relación directa con el objeto del contrato, operando como una barrera de entrada innecesaria.
Se transcribe respuesta de la dependencia requirente: La exigencia de la Certificación ISO/IEC 27001:2022 o superior para los Lotes N.º 1 y N.º 2 no se fundamenta en la mera entrega física de bienes, sino en el conjunto de procesos técnicos y operativos asociados a la provisión de equipamientos tecnológicos de CCTV, los cuales forman parte de la infraestructura de seguridad institucional.
a) Procesos contractuales que implican tratamiento o acceso a información sensible o crítica
Durante las etapas de provisión, integración, compatibilidad, pruebas, configuración inicial, soporte técnico y eventual sustitución de equipos, los proveedores pueden acceder, conocer o manejar información técnica sensible, directa o indirectamente vinculada, entre otros aspectos, a:
- arquitectura y topología de la infraestructura de videovigilancia;
- configuraciones técnicas de equipos, grabadores y sistemas de almacenamiento;
- parámetros de conectividad, capacidad, direccionamiento y rendimiento;
- esquemas de operación, continuidad del servicio e integración con infraestructura existente.
Por razones de seguridad institucional, no corresponde detallar información específica adicional.
b) Riesgos específicos que se pretende mitigar
La exigencia de la certificación ISO/IEC 27001 se orienta a mitigar riesgos asociados, entre otros, a:
- divulgación no autorizada de información técnica sensible;
- alteración indebida de configuraciones o parámetros críticos;
- manejo inadecuado o no controlado de activos tecnológicos;
- deficiencias en la trazabilidad, custodia y control de componentes del sistema.
Dichos riesgos pueden materializarse independientemente de que el objeto principal sea la provisión de bienes, en tanto los equipos integran sistemas críticos de seguridad institucional.
c) Necesidad y proporcionalidad de la exigencia
La Convocante considera que la exigencia de la certificación ISO/IEC 27001 resulta necesaria y proporcional, atendiendo a la criticidad de los sistemas involucrados y a la necesidad de asegurar la confidencialidad, integridad y disponibilidad de la información y de los activos tecnológicos durante la ejecución contractual.
Asimismo, se aclara que el Pliego no exige una denominación literal ni idéntica del alcance, ni condiciona el cumplimiento del requisito a una redacción específica, siempre que el alcance certificado resulte equivalente en contenido, cobertura y aplicabilidad a los procesos vinculados al objeto del llamado.
Por lo tanto, la exigencia establecida no constituye una barrera injustificada de acceso, sino un requisito técnico razonable, alineado con el objeto contractual y con las buenas prácticas internacionales de gestión de la seguridad de la información.
No obstante, a efectos de otorgar mayor claridad interpretativa y uniformidad de criterios, esta precisión será incorporada mediante la correspondiente Adenda al Pliego de Bases y Condiciones.
40
ISO 27001 en Lotes 3 y 4 – Alcance real del acceso a información y sobredimensionamiento del requisito
Para los Lotes 3 y 4, se solicita que la Convocante precise:
Cuál es el nivel real de acceso a información que tendrá el adjudicatario (grabaciones, credenciales, configuraciones, direccionamiento de red, topologías, etc.).
Si dicho acceso implica tratamiento sistemático de información sensible, o si se limita a tareas técnicas operativas bajo supervisión de la Convocante.
En qué medida dicho acceso justifica exigir ISO/IEC 27001 con alcance literal, en lugar de mecanismos técnicos y contractuales específicos (segregación de accesos, bitácoras, control de privilegios, NDA).
Asimismo, se solicita aclarar si se admitirán alcances equivalentes que cubran materialmente la actividad, evitando una exigencia que sobredimensiona el riesgo y restringe indebidamente la participación.
12-01-2026
21-04-2026
ISO 27001 en Lotes 3 y 4 – Alcance real del acceso a información y sobredimensionamiento del requisito
Para los Lotes 3 y 4, se solicita que la Convocante precise:
Cuál es el nivel real de acceso a información que tendrá el adjudicatario (grabaciones, credenciales, configuraciones, direccionamiento de red, topologías, etc.).
Si dicho acceso implica tratamiento sistemático de información sensible, o si se limita a tareas técnicas operativas bajo supervisión de la Convocante.
En qué medida dicho acceso justifica exigir ISO/IEC 27001 con alcance literal, en lugar de mecanismos técnicos y contractuales específicos (segregación de accesos, bitácoras, control de privilegios, NDA).
Asimismo, se solicita aclarar si se admitirán alcances equivalentes que cubran materialmente la actividad, evitando una exigencia que sobredimensiona el riesgo y restringe indebidamente la participación.
Se transcribe respuesta de la dependencia requirente: La exigencia de la Certificación ISO/IEC 27001:2022 o superior para los Lotes N.º 3 (Asistencia Técnica Integral) y N.º 4 (Instalación) se fundamenta en el nivel de acceso técnico y operativo que implica la ejecución de los servicios sobre sistemas de videovigilancia institucionales, considerados críticos para la seguridad y la continuidad operativa.
a) Nivel real de acceso a información
Durante la ejecución de los Lotes 3 y 4, el adjudicatario podrá requerir acceso directo o indirecto a información técnica y operativa, vinculada, entre otros aspectos, a:
- configuraciones de equipos y sistemas de CCTV;
- parámetros de grabación, almacenamiento, retención y recuperación;
- esquemas de integración, operación y continuidad del sistema;
- infraestructura tecnológica asociada al funcionamiento del servicio.
Por razones de seguridad institucional, no corresponde detallar ni divulgar información específica adicional.
b) Naturaleza del acceso y tratamiento de la información
Si bien las tareas se ejecutan bajo lineamientos y supervisión de la Entidad Convocante, el acceso técnico requerido no se limita a intervenciones meramente físicas, sino que puede implicar el manejo recurrente de información técnica sensible y activos tecnológicos críticos, cuya exposición, alteración o uso indebido podría afectar la seguridad, integridad y continuidad del sistema.
En ese sentido, aun cuando no exista una administración permanente de la información por parte del proveedor, resulta operativo y justificado exigir la existencia de un sistema formal de gestión de la seguridad de la información, conforme a estándares internacionalmente reconocidos.
c) Justificación de la exigencia y proporcionalidad
La Entidad Convocante considera que la exigencia de la certificación ISO/IEC 27001 no sobredimensiona el riesgo, sino que constituye una medida preventiva y proporcional, orientada a asegurar que el adjudicatario cuente con procesos, controles y responsabilidades claramente definidos para la protección de la información y de los activos tecnológicos durante la ejecución del contrato.
Asimismo, se aclara que no se exige una denominación literal ni idéntica del alcance de la certificación, ni se condiciona el cumplimiento del requisito a una redacción específica, siempre que el alcance certificado resulte equivalente en contenido, cobertura y aplicabilidad a las actividades objeto de los Lotes 3 y 4.
Si bien la Entidad Convocante implementa mecanismos técnicos y contractuales complementarios (segregación de accesos, bitácoras, control de privilegios, acuerdos de confidencialidad), dichos mecanismos no sustituyen un Sistema de Gestión de Seguridad de la Información integral, verificable y auditable.
Por lo tanto, la exigencia establecida no restringe indebidamente la participación, sino que se orienta a garantizar un nivel adecuado de gestión de la seguridad de la información acorde a la criticidad de los servicios contratados.
No obstante, a efectos de otorgar mayor claridad interpretativa y uniformidad de criterios, esta precisión será incorporada mediante la correspondiente Adenda al Pliego de Bases y Condiciones.