capacidad técnica, habilitación seguridad electrónica de la Policía Nacional
En la capacidad técnica del lote 4 se solicita habilitación otorgada al Oferente por el Órgano de Aplicación y Fiscalización de empresas de seguridad y afines de la Policía Nacional como así también habilitación otorgada al personal del Oferente en carácter de instalador habilitado y reconocido como tal en la especialización. Consideramos importante también agregarle el mismo requerimiento al lote 3 ASISTENCIA TÉCNICA INTEGRAL DE EQUIPOS CCTV - GRUPO ASISTENCIA TÉCNICA INTEGRAL DE EQUIPOS CCTV
12-01-2026
capacidad técnica, habilitación seguridad electrónica de la Policía Nacional
En la capacidad técnica del lote 4 se solicita habilitación otorgada al Oferente por el Órgano de Aplicación y Fiscalización de empresas de seguridad y afines de la Policía Nacional como así también habilitación otorgada al personal del Oferente en carácter de instalador habilitado y reconocido como tal en la especialización. Consideramos importante también agregarle el mismo requerimiento al lote 3 ASISTENCIA TÉCNICA INTEGRAL DE EQUIPOS CCTV - GRUPO ASISTENCIA TÉCNICA INTEGRAL DE EQUIPOS CCTV
Considerando que el PBC exige: “El oferente deberá acreditar la Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Público (no serán aceptadas certificaciones genéricas)… respecto a la gestión de la seguridad, confidencialidad e integridad de los datos”, y atendiendo a la naturaleza del Banco como institución que administra información altamente confidencial, infraestructura crítica y registros sensibles, solicitamos a la Convocante se sirva aclarar y, de considerarlo pertinente, fortalecer el requisito incorporando un criterio de madurez y experiencia demostrable asociado a la certificación.
En ese sentido, como recomendación técnica orientada a la mitigación de riesgos, proponemos confirmar si el requisito de certificación será interpretado no solo como “tenencia” formal, sino como evidencia de que el oferente cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI) probado en el tiempo, con ciclos completos de operación, auditorías de seguimiento y mejora continua, lo cual es precisamente lo que busca garantizar una norma de esta naturaleza.
Por ello, solicitamos se aclare si el BNF prevé exigir que la certificación (ISO 27001:2022 o superior, con el alcance específico requerido) cuente con antigüedad mínima de al menos tres (3) años, con el objetivo de:
• asegurar que el oferente ya haya atravesado múltiples auditorías (certificación inicial y seguimientos), con resultados satisfactorios;
• demostrar que el SGSI no es reciente ni “de implementación acelerada”, sino que refleja madurez real en controles, gestión de incidentes, tratamiento de riesgos, continuidad, control de accesos y protección de activos de información;
• minimizar la exposición del Banco a proveedores que, si bien presentan un certificado vigente, aún no poseen la experiencia operacional necesaria para sostener en el tiempo prácticas robustas de confidencialidad, integridad y disponibilidad, especialmente en entornos de soporte/instalación donde existe contacto con infraestructura tecnológica y potencial acceso a información sensible.
Por lo tanto solicitamos que el comité verifique dicha documentación mediante:
1- Certificacion vigente donde conste fecha de emisión.
Finalmente, solicitamos confirmar si este criterio (antigüedad mínima y verificación) aplicará a todos los lotes en los cuales el adjudicatario realice asistencia técnica, instalación o soporte del sistema CCTV y componentes asociados, por implicar intervención directa sobre plataformas tecnológicas y entornos que, por su naturaleza bancaria, requieren el mayor estándar de resguardo
Considerando que el PBC exige: “El oferente deberá acreditar la Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Público (no serán aceptadas certificaciones genéricas)… respecto a la gestión de la seguridad, confidencialidad e integridad de los datos”, y atendiendo a la naturaleza del Banco como institución que administra información altamente confidencial, infraestructura crítica y registros sensibles, solicitamos a la Convocante se sirva aclarar y, de considerarlo pertinente, fortalecer el requisito incorporando un criterio de madurez y experiencia demostrable asociado a la certificación.
En ese sentido, como recomendación técnica orientada a la mitigación de riesgos, proponemos confirmar si el requisito de certificación será interpretado no solo como “tenencia” formal, sino como evidencia de que el oferente cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI) probado en el tiempo, con ciclos completos de operación, auditorías de seguimiento y mejora continua, lo cual es precisamente lo que busca garantizar una norma de esta naturaleza.
Por ello, solicitamos se aclare si el BNF prevé exigir que la certificación (ISO 27001:2022 o superior, con el alcance específico requerido) cuente con antigüedad mínima de al menos tres (3) años, con el objetivo de:
• asegurar que el oferente ya haya atravesado múltiples auditorías (certificación inicial y seguimientos), con resultados satisfactorios;
• demostrar que el SGSI no es reciente ni “de implementación acelerada”, sino que refleja madurez real en controles, gestión de incidentes, tratamiento de riesgos, continuidad, control de accesos y protección de activos de información;
• minimizar la exposición del Banco a proveedores que, si bien presentan un certificado vigente, aún no poseen la experiencia operacional necesaria para sostener en el tiempo prácticas robustas de confidencialidad, integridad y disponibilidad, especialmente en entornos de soporte/instalación donde existe contacto con infraestructura tecnológica y potencial acceso a información sensible.
Por lo tanto solicitamos que el comité verifique dicha documentación mediante:
1- Certificacion vigente donde conste fecha de emisión.
Finalmente, solicitamos confirmar si este criterio (antigüedad mínima y verificación) aplicará a todos los lotes en los cuales el adjudicatario realice asistencia técnica, instalación o soporte del sistema CCTV y componentes asociados, por implicar intervención directa sobre plataformas tecnológicas y entornos que, por su naturaleza bancaria, requieren el mayor estándar de resguardo
Requisito de Certificación ISO 27001/2022 o superior, con alcance específico al “Sector Público” y exclusión de certificaciones genéricas.
En relación con el Pliego de Bases y Condiciones (PBC) del llamado en cuestión, se observa que se ha establecido como requisito de capacidad técnica la presentación de una “Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Público (no serán aceptadas certificaciones genéricas)”.
Sobre el punto, formulamos la siguiente consulta:
Respecto al requisito de alcance específico al “Sector Público”:
La norma ISO/IEC 27001 establece requisitos para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), cuyo alcance es definido por la propia organización, conforme a su contexto, partes interesadas y procesos relevantes. La norma no exige ni establece criterios específicos que obliguen a incluir la mención de un “sector” determinado (como el público o privado), por lo que condicionar la validez del certificado a una fórmula específica como “para el Sector Público” introduce una restricción adicional que no responde a estándares técnicos de la norma ni a criterios objetivos.
Sobre la expresión “certificaciones genéricas”:
Dicha frase carece de definición técnica y genera ambigüedad. En la práctica, todos los certificados ISO 27001 incluyen una “declaración de alcance” que detalla los procesos cubiertos por el SGSI, lo cual varía según la estructura, actividades y estrategia de cada organización. Rechazar certificaciones basándose en la redacción comercial de dicha declaración podría resultar en la exclusión injustificada de oferentes con igual capacidad técnica, afectando la libre concurrencia.
Sobre la mención a “ISO 27001/2022 o superior”:
Solicitamos que se aclare qué debe entenderse por “superior”: si se refiere a una versión futura de la misma norma, a otra norma internacional complementaria, o a una certificación distinta. En caso de no precisarse, se genera una indeterminación normativa.
En base a lo anterior, y conforme a los principios de proporcionalidad, objetividad, y no discriminación establecidos en el artículo 4° de la Ley N° 7021/2022, solicitamos que se revise el requisito mencionado, y se proponga una redacción alternativa como sigue:
Donde dice:
“Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Público (no serán aceptadas certificaciones genéricas)”
Se sustituya por:
“Certificación ISO/IEC 27001 vigente, emitida por organismo acreditado, cuyo alcance cubra servicios y procesos tecnológicos vinculados al objeto del llamado. La certificación deberá estar acompañada de su declaración de alcance y documentación del SGSI (por ejemplo, Statement of Applicability), a fin de verificar la cobertura de los procesos requeridos.”
En caso de mantenerse la redacción actual, solicitamos se fundamente técnicamente:
¿Cuál es el riesgo específico que justifica exigir una mención explícita al “Sector Público”?
¿Por qué un oferente con un SGSI certificado ISO 27001, que cubre los mismos procesos, quedaría excluido si la redacción del alcance no menciona dicho sector?
12-01-2026
Requisito de Certificación ISO 27001/2022 o superior, con alcance específico al “Sector Público” y exclusión de certificaciones genéricas.
En relación con el Pliego de Bases y Condiciones (PBC) del llamado en cuestión, se observa que se ha establecido como requisito de capacidad técnica la presentación de una “Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Público (no serán aceptadas certificaciones genéricas)”.
Sobre el punto, formulamos la siguiente consulta:
Respecto al requisito de alcance específico al “Sector Público”:
La norma ISO/IEC 27001 establece requisitos para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), cuyo alcance es definido por la propia organización, conforme a su contexto, partes interesadas y procesos relevantes. La norma no exige ni establece criterios específicos que obliguen a incluir la mención de un “sector” determinado (como el público o privado), por lo que condicionar la validez del certificado a una fórmula específica como “para el Sector Público” introduce una restricción adicional que no responde a estándares técnicos de la norma ni a criterios objetivos.
Sobre la expresión “certificaciones genéricas”:
Dicha frase carece de definición técnica y genera ambigüedad. En la práctica, todos los certificados ISO 27001 incluyen una “declaración de alcance” que detalla los procesos cubiertos por el SGSI, lo cual varía según la estructura, actividades y estrategia de cada organización. Rechazar certificaciones basándose en la redacción comercial de dicha declaración podría resultar en la exclusión injustificada de oferentes con igual capacidad técnica, afectando la libre concurrencia.
Sobre la mención a “ISO 27001/2022 o superior”:
Solicitamos que se aclare qué debe entenderse por “superior”: si se refiere a una versión futura de la misma norma, a otra norma internacional complementaria, o a una certificación distinta. En caso de no precisarse, se genera una indeterminación normativa.
En base a lo anterior, y conforme a los principios de proporcionalidad, objetividad, y no discriminación establecidos en el artículo 4° de la Ley N° 7021/2022, solicitamos que se revise el requisito mencionado, y se proponga una redacción alternativa como sigue:
Donde dice:
“Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Público (no serán aceptadas certificaciones genéricas)”
Se sustituya por:
“Certificación ISO/IEC 27001 vigente, emitida por organismo acreditado, cuyo alcance cubra servicios y procesos tecnológicos vinculados al objeto del llamado. La certificación deberá estar acompañada de su declaración de alcance y documentación del SGSI (por ejemplo, Statement of Applicability), a fin de verificar la cobertura de los procesos requeridos.”
En caso de mantenerse la redacción actual, solicitamos se fundamente técnicamente:
¿Cuál es el riesgo específico que justifica exigir una mención explícita al “Sector Público”?
¿Por qué un oferente con un SGSI certificado ISO 27001, que cubre los mismos procesos, quedaría excluido si la redacción del alcance no menciona dicho sector?
Exigencia de certificación ISO/IEC 27001 para todos los lotes, incluyendo el Lote 2 (provisión sin instalación).
En revisión del Pliego de Bases y Condiciones (PBC), se observa que la exigencia de certificación ISO/IEC 27001:2022 o superior se aplica de manera uniforme a todos los lotes del llamado, sin distinguir el tipo de prestación involucrada.
Sin embargo, conforme a lo previsto en el propio PBC, los lotes presentan diferencias sustanciales:
Lote 1: provisión de equipos con instalación,
Lote 2: provisión de equipos sin instalación ni servicios técnicos asociados,
Lote 3: asistencia técnica,
Lote 4: instalación.
Al respecto, formulamos la siguiente consulta:
Sobre la proporcionalidad del requisito para el Lote 2:
La norma ISO/IEC 27001 certifica un Sistema de Gestión de Seguridad de la Información (SGSI), orientado a asegurar la confidencialidad, integridad y disponibilidad de la información, lo cual tiene relación directa con servicios de implementación, soporte, operación y resguardo de sistemas.
Sin embargo, en el Lote 2 se trata únicamente de la provisión de bienes (equipos tecnológicos), sin que el oferente tenga participación en la instalación, configuración, soporte ni manejo de datos o sistemas del contratante. Por tanto, no se justifica técnicamente la exigencia de un SGSI en este caso, y su aplicación indiscriminada constituye una barrera injustificada a la concurrencia, contraria a los principios de igualdad y razonabilidad consagrados en la Ley N° 7021/22.
Sobre la segmentación razonable del requisito:
Es razonable y técnicamente comprensible que se exija ISO/IEC 27001 en los Lotes 1, 3 y 4, donde existe prestación de servicios técnicos, acceso o interacción con infraestructura tecnológica o manejo de aspectos críticos de seguridad de la información. Sin embargo, en el caso del Lote 2, tal requisito resulta desproporcionado y ajeno a la naturaleza de la prestación, al tratarse exclusivamente de la entrega de productos.
En virtud de lo expuesto, solicitamos:
Que se revise y adecúe el requisito de certificación ISO/IEC 27001 para ajustarse a las características específicas de cada lote.
En particular, que se elimine dicho requisito para el Lote 2, y se limite su exigencia a los Lotes 1, 3 y 4.
En caso de que se mantenga el requerimiento para el Lote 2, solicitamos se justifique técnicamente:
¿Qué riesgos específicos asociados a la seguridad de la información justificarían exigir un SGSI certificado al proveedor de bienes sin prestación de servicios?
¿Por qué se considera que la sola entrega de equipos, sin instalación ni manejo de datos, debe estar sujeta a una norma de gestión que presupone tratamiento activo y continuo de información?
12-01-2026
Exigencia de certificación ISO/IEC 27001 para todos los lotes, incluyendo el Lote 2 (provisión sin instalación).
En revisión del Pliego de Bases y Condiciones (PBC), se observa que la exigencia de certificación ISO/IEC 27001:2022 o superior se aplica de manera uniforme a todos los lotes del llamado, sin distinguir el tipo de prestación involucrada.
Sin embargo, conforme a lo previsto en el propio PBC, los lotes presentan diferencias sustanciales:
Lote 1: provisión de equipos con instalación,
Lote 2: provisión de equipos sin instalación ni servicios técnicos asociados,
Lote 3: asistencia técnica,
Lote 4: instalación.
Al respecto, formulamos la siguiente consulta:
Sobre la proporcionalidad del requisito para el Lote 2:
La norma ISO/IEC 27001 certifica un Sistema de Gestión de Seguridad de la Información (SGSI), orientado a asegurar la confidencialidad, integridad y disponibilidad de la información, lo cual tiene relación directa con servicios de implementación, soporte, operación y resguardo de sistemas.
Sin embargo, en el Lote 2 se trata únicamente de la provisión de bienes (equipos tecnológicos), sin que el oferente tenga participación en la instalación, configuración, soporte ni manejo de datos o sistemas del contratante. Por tanto, no se justifica técnicamente la exigencia de un SGSI en este caso, y su aplicación indiscriminada constituye una barrera injustificada a la concurrencia, contraria a los principios de igualdad y razonabilidad consagrados en la Ley N° 7021/22.
Sobre la segmentación razonable del requisito:
Es razonable y técnicamente comprensible que se exija ISO/IEC 27001 en los Lotes 1, 3 y 4, donde existe prestación de servicios técnicos, acceso o interacción con infraestructura tecnológica o manejo de aspectos críticos de seguridad de la información. Sin embargo, en el caso del Lote 2, tal requisito resulta desproporcionado y ajeno a la naturaleza de la prestación, al tratarse exclusivamente de la entrega de productos.
En virtud de lo expuesto, solicitamos:
Que se revise y adecúe el requisito de certificación ISO/IEC 27001 para ajustarse a las características específicas de cada lote.
En particular, que se elimine dicho requisito para el Lote 2, y se limite su exigencia a los Lotes 1, 3 y 4.
En caso de que se mantenga el requerimiento para el Lote 2, solicitamos se justifique técnicamente:
¿Qué riesgos específicos asociados a la seguridad de la información justificarían exigir un SGSI certificado al proveedor de bienes sin prestación de servicios?
¿Por qué se considera que la sola entrega de equipos, sin instalación ni manejo de datos, debe estar sujeta a una norma de gestión que presupone tratamiento activo y continuo de información?