Secciones
Versión 2
Versión 3
Diferencias entre las versiones 2 y 3
Especificaciones técnicas - CPS
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
GENERALIDADES:
- PORCENTAJE DE LA GARANTÍA DE MANTENIMIENTO DE OFERTA
El porcentaje indicado en el SICP para la Garantía de Mantenimiento de Oferta es del 5% cinco por ciento.
- RESPONSABILIDADES GENERALES DEL PROVEEDOR
1. El Proveedor deberá suministrar todos los bienes o servicios de acuerdo con las condiciones establecidas en el pliego de bases y condiciones y sus adendas, así como en el Contrato y sus adendas.
2. El Proveedor será responsable de cualquier indemnización por daños causados en el marco de la ejecución del contrato por él o su personal a los funcionarios y/o a terceros, y/o a los bienes de éstos, y/o a los bienes o instalaciones o imagen reputacional de la Contratante; por causas imputables al mismo.
3. Responder por todo incumplimiento o consecuencia imputable al mismo, derivados de la incorrecta o incompleta ejecución de lo contratado.
4. Contratar y mantener el personal calificado necesario para la realización de los servicios requeridos. Cumplir con todas las leyes laborales y de Seguridad Social vigentes. Asumir todos los riesgos en los términos del Código del Trabajo vigente, liberando al BCP de cualquier responsabilidad al respecto.
5. Cumplir con todas las medidas de seguridad que se requieran respecto a su personal, a fin de evitar accidentes de trabajo durante la ejecución contractual.
6. El Proveedor deberá indemnizar y eximir de cualquier responsabilidad a la contratante y a sus empleados y funcionarios, por cualquier litigio, acción legal o procedimiento administrativo, reclamación, demanda, pérdida, daño, costo y gasto cualquiera sea su naturaleza, incluidos los honorarios y gastos de representación legal, en los cuales pueda incurrir la contratante como resultado de riesgos profesionales o muerte de los empleados del Proveedor, sea reclamado por el trabajador o sus causahabientes durante la vigencia del contrato. Como riesgos profesionales se entenderán los accidentes de trabajo y enfermedades profesionales. Se considerarán igualmente accidentes del trabajo los hechos constituidos por caso fortuito o fuerza mayor inherentes al trabajo que produzcan las mismas lesiones.
- CONFIDENCIALIDAD DE LA INFORMACIÓN
De acuerdo a lo indicado en la Sección Especificaciones técnicas y Suministros Requeridos, el personal del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información en los términos del Formulario de la Sección Formularios.
MODALIDAD DE CONTRATACIÓN:
Contrato Cerrado.
ESPECIFICACIONES TÉCNICAS:
|
ESPECIFICACIONES TÉCNICAS |
|||
|
Requisito |
Detalle y definiciones |
Exigido |
Ofrecido (Campo a ser completado por el oferente) |
|
SERVICIO DE ALINEACIÓN DE CONTROLES DE CIBERSEGURIDAD A ESTÁNDARES INTERNACIONALES |
|||
|
1. Generalidades, descripción y alcance del servicio |
|||
|
1.1 |
El servicio debe proporcionar una solución integral para la gestión de riesgos, cumplimiento normativo y gobernanza |
SI |
|
|
1.2 |
El servicio debe identificar el marco normativo existente (políticas, normas, procedimientos, instructivos, estándares, etc.) y generar un análisis de brechas. En el marco de este servicio, se deben identificar los procesos de seguridad existentes (brecha entre procesos existentes y procedimientos documentados o formalizados) y realizar una identificación de controles existentes y faltantes |
SI |
|
|
1.3 |
El servicio debe alinearse con las versiones más actualizadas de tres estándares: ISO 27000, CIS Controls y NIST, que deberá incluir: 1. Análisis de brechas: Identificar las diferencias entre las prácticas actuales y los requisitos de los estándares 2. Implementación de mejoras: Desarrollar e implementar acciones correctivas para cumplir con los estándares. 3. Pre-auditoría: Realizar pre-auditorías para asegurar que, al finalizar el servicio, los resultados sean conformes con los estándares implementados |
SI |
|
|
1.4 |
El servicio debe brindar el acceso a una herramienta que tenga funcionalidades que permitan a la institución identificar, evaluar, gestionar y proponer un plan de acción para mitigar riesgos, así como asegurar el cumplimiento de las normativas aplicables y mejorar la gobernanza interna. |
SI |
|
|
1.5 |
En relación con la gestión y mitigación de riesgos de ciberseguridad, el servicio debe incluir la identificación, evaluación y generación de un plan de mitigación |
SI |
|
|
1.6 |
El servicio debe contemplar el desarrollo de políticas, normas, procedimientos, guías, directrices y recomendaciones, de manera a permitir la alineación de los procesos de seguridad del BCP a los estándares solicitados: ISO 27001, CIS Controls, NIST CSF. |
SI |
|
|
1.7 |
El servicio deberá incluir la evaluación del nivel de madurez del marco normativo de seguridad del BCP en comparación con las normativas locales e internacionales aplicables a la industria, considerando, como mínimo, ISO 27001, NIST CSF y CIS Controls. |
SI |
|
|
1.8 |
En relación con Gobierno de ciberseguridad, el servicio debe contemplar la definición y monitoreo de cumplimiento de políticas, procedimientos y controles internos |
SI |
|
|
1.9 |
El servicio debe conseguir la alineación de la gestión de Incidentes a los estándares actualizados: contemplando la detección, respuesta, resolución y documentación de incidentes de seguridad y cumplimiento |
SI |
|
|
1.10 |
En relación con las auditorías y reportes, el servicio debe incluir la generación de informes y documentación para auditorías internas y externas |
SI |
|
|
1.11 |
El servicio debe incluir la alineación de programas de formación y concienciación de ciberseguridad y cumplimiento para el personal de la institución existentes, de acuerdo con los estándares internacionales vigentes. |
SI |
|
|
1.12 |
El servicio debe brindar el acceso a una herramienta para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad, con licenciamiento y soporte del fabricante, para lo cual el BCP podrá utilizar la nube por 12 meses computados a partir de la emisión de la orden de inicio emitida por el área administradora del contrato. |
SI |
|
|
1.13 |
El servicio debe incluir la provisión de un Equipo Técnico dedicado, compuesto como mínimo por 3 miembros, el cual será responsable de la solución integral para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad. |
SI |
|
|
1.14 |
El servicio deberá incluir la asignación de un miembro del equipo técnico dedicado, presente on-site (8x5) en el BCP, responsable de la operación y gestión del proyecto, así como de la administración de la herramienta utilizada para la prestación del servicio. |
SI |
|
|
1.15 |
El servicio debe incluir la provisión de por lo menos 40 horas mensuales acumulables y bajo demanda de un especialista en la solución, para el desarrollo y optimización de todos los procesos, procedimientos e integraciones que formen parte de la herramienta a ser utilizada para la prestación del servicio |
SI |
|
|
2. Descripción de la herramienta |
|||
|
2.1 |
Indicar Marca |
SI |
|
|
2.2 |
Indicar Solución / Modelo |
SI |
|
|
2.3 |
La herramienta debe ser capaz de evaluar de manera periódica el nivel de madurez de los procesos, procedimientos y controles implementados de manera automatizada y/o con input manual |
SI |
|
|
2.4 |
La herramienta debe ser capaz de generar informes del cumplimiento o nivel de madurez, la postura de seguridad de la institución, identificado incluyendo las oportunidades de mejora o no cumplimientos identificados |
SI |
|
|
3. Características técnicas de la herramienta |
|||
|
3.1 |
El nivel de disponibilidad que el proveedor de servicios en la nube se compromete a ofrecer para sus servicios debe ser del 99,9%. - Debe cumplir con los estándares: SOC 1, SOC 2, SOC 3 e ISO 27018. - Debe cubrir los estándares ISO 27001, ISO 9001 |
SI |
|
|
3.2 |
Debe cumplir con los requerimientos de seguridad indicados en la RESOLUCIÓN N° 10, Acta N° 43 de fecha 28 de julio de 2022 - REGLAMENTO DE USO DE SERVICIOS PARA COMPUTACIÓN EN LA NUBE |
SI |
|
|
3.3 |
Debe ser compatible y automatizar la gestión de controles y procesos de cumplimiento con normativas como: SOC 2, ISO 27001, NIST CSF, CIS Controls |
SI |
|
|
3.4 |
Debe ser capaz de integrarse otros sistemas y herramientas existentes como: gestión de identidades y acceso, herramientas de gestión de vulnerabilidades, herramientas de desarrollo y CI/CD, herramientas SIEM, herramientas de ITSM, herramientas de gestión de proyectos, herramientas de backup y recuperación, herramientas de protección de endpoints, entre otros. |
SI |
|
|
3.5 |
Debe ser capaz de monitorizar y evaluar riesgos de manera continua mediante integraciones y flujos de trabajo automatizados |
SI |
|
|
3.6 |
Debe ser capaz proporcionar paneles de control que puedan ser personalizados para mostrar métricas clave y el estado de cumplimiento en tiempo real |
SI |
|
|
3.7 |
Debe ser capaz envía alertas y notificaciones automáticas sobre eventos críticos, vencimientos de auditorías, y cambios en el estado de cumplimiento |
SI |
|
|
3.8 |
Debe ser capaz de la creación, revisión, aprobación y distribución de políticas de seguridad y cumplimiento |
SI |
|
|
3.9 |
Debe ofrecer capacidades para generar informes de cumplimiento, auditoría, evaluación de riesgos, incidentes de seguridad, estado de políticas, y simulaciones de controles, todos personalizables según las necesidades del usuario |
SI |
|
|
3.10 |
Debe tener la capacidad de tener el acceso basado en roles y responsabilidades, asegurando que solo el personal autorizado pueda acceder a ciertos datos y funciones |
SI |
|
|
3.11 |
Debe tener la capacidad de proporcionar un repositorio seguro y centralizado para almacenar documentos de cumplimiento, auditoría, y políticas |
SI |
|
|
3.12 |
Debe tener la capacidad para soportar la realización de auditorías automatizadas y la generación de informes de auditoría detallados |
SI |
|
|
3.13 |
Debe permitir realizar simulaciones y pruebas de controles para asegurar la efectividad y preparar la organización para auditorías externas |
SI |
|
|
3.14 |
Debe tener la capacidad del registro y seguimiento de incidentes de seguridad y cumplimiento, con flujos de trabajo para la resolución de incidentes |
SI |
|
|
3.15 |
Debe tener la capacidad de mantener las normativas y regulaciones aplicables actualizadas, facilitando el cumplimiento continuo con múltiples estándares |
SI |
|
|
3.16 |
Debe tener la capacidad de análisis de datos mediante herramientas nativas que permitan generar reportes detallados sobre el estado de riesgos y cumplimiento |
SI |
|
|
3.17 |
Debe contar con cifrado de datos en tránsito y en reposo, así como otras medidas avanzadas de seguridad para proteger la información sensible |
SI |
|
|
3.18 |
Debe permitir diseñar y gestionar flujos de trabajo personalizados para distintos procesos de cumplimiento y gestión de riesgos. |
SI |
|
|
4. Capacidad del Equipo Técnico |
|||
|
Preparación del Equipo Técnico: |
|||
|
4.1 |
Se requiere un plantel técnico que esté conformado por 3 (tres) o más profesionales con grado académico universitario en las áreas de Informática, Ciberseguridad o Telecomunicaciones. El Equipo técnico presentado deberá estar conformado como mínimo por:
|
SI |
|
|
Experiencia especifica del Líder Técnico: |
|||
|
4.2 |
Debe contar por lo menos con 3 (tres) de las siguientes certificaciones:
Debe contar con experiencia demostrable igual o mayor a 5 años en soporte de gestión de seguridad de la información. |
SI |
|
|
Certificaciones del Equipo técnico: |
|||
|
4.3 |
Exceptuando las certificaciones del líder técnico, por lo menos 2 miembros del equipo técnico deben contar con al menos dos (2) certificaciones en marcos de trabajo de gestión y soporte de seguridad de la información, así como en soluciones integrales para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad. Las certificaciones aceptadas son:
|
SI |
|
|
Experiencia del Equipo técnico: |
|||
|
4.4 |
Se requiere que el Equipo técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en soporte de gestión de seguridad de la información o en soluciones integrales para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad igual o mayor a 10 (diez) años. |
SI |
|
|
4.5 |
Se requiere que la suma de experiencia comprobable de los miembros del plantel presentado sea al menos de 500 (quinientas) horas de servicio exitoso ejecutado, realizados a entidades nacionales y/o internacionales, durante el periodo comprendido en los años 2021 a 2024. Solo se podrán contabilizar servicios de soporte de gestión de seguridad de la información o soluciones integrales para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad que hayan requerido como mínimo 20 horas de servicio, y para todos los casos se deberá indicar la cantidad de horas efectivamente ejecutadas por el profesional para ese proyecto en concreto. En caso de que esta información se encuentre en periodo de tiempo diferentes, tales como días, semanas o meses, se contabilizará a razón de 8 horas por día, 40 horas por semana, 120 horas por mes. |
SI |
|
|
5. Garantías de seguridad |
|||
|
5.1 |
Los centros de datos que almacenan la información personal deben de estar certificadas con SOC 2 Type II, ISO 27001. |
SI |
|
|
6. Soporte |
|||
|
6.1 |
Debe incluir el soporte técnico del tipo 8*5 tanto por parte del fabricante como por parte del Proveedor durante 12 meses. |
SI |
|
|
6.2 |
Debe incluir soporte telefónico para casos de Emergencia |
SI |
|
|
6.3 |
Debe cumplir con SLA de respuesta técnica: - Urgente: El soporte debe asistir al cliente en un tiempo menor a 2 horas ya sea de forma presencial o remota de acuerdo con la necesidad de la contratante. - Alta: El soporte debe asistir al cliente en un tiempo menor a 4 horas ya sea de forma presencial o remota de acuerdo a la necesidad de la contratante. La definición respecto al nivel de criticidad será determinada exclusivamente por el BCP en la solicitud de soporte. El Proveedor facilitará el nombre, número telefónico y correo electrónico del contacto para gestionar los incidentes críticos y no críticos. |
SI |
|
|
6.4 |
En cuanto a los acuerdos de nivel de servicio (ANSs) se deberá tener una disponibilidad del servicio del 100%. |
SI |
|
|
6.5 |
Debe garantizar el servicio en un 99.999% de disponibilidad mensual mientras dure el contrato. |
SI |
|
|
6.6 |
Debe incluir el acceso a las documentaciones, configuración y mejores prácticas. |
SI |
|
|
6.7 |
Debe incluir soporte por parte del fabricante en un tiempo no mayor a 120 minutos |
SI |
|
|
7. Suscripciones |
|||
|
7.1 |
Se debe incluir las suscripciones necesarias para la inclusión de 3 estándares de control y para 5 usuarios de acceso, por una duración de 12 meses, las cuales serán utilizadas para la ejecución del servicio y no formarán parte del inventario del BCP. |
SI |
|
|
8. Implementación y capacitación |
|||
|
8.1 |
En los procesos de implementación/mantenimiento, los miembros del plantel técnico que requieran acceso remoto, debe solicitarlo a través del correo dcs@bcp.gov.py para la activación de usuario y la correspondiente concesión de permisos de acceso. La solicitud debe contemplar los siguientes datos: Nombre y apellido del técnico, fecha y hora de inicio y culminación de trabajos, análisis de riesgo/impacto de la tarea a ser desempeñada. |
SI |
|
|
8.2 |
Se debe incluir la implementación, configuración y monitoreo del software; así como la capacitación al personal designado por el área técnica administradora del Contrato del BCP para la gestión de la herramienta. |
SI |
|
CONDICIONES GENERALES
Servicio solicitado: el Proveedor deberá proponer, definir, describir y desarrollar todas las acciones y entregables necesarios relacionados a este servicio, incluyendo previsiones a futuro y acorde a los objetivos estratégicos del BCP.
A continuación, se definen las fases, los entregables, el plazo y el porcentaje de pago:
|
Fase nro. 1 |
|||
|
Ítem |
Descripción del entregable |
Plazo de entrega |
Porcentaje de pago |
|
1 |
Plan del proyecto: que incluya un cronograma de trabajo, metodología a implementar para el desarrollo de las actividades, requerimientos, integraciones necesarias, restricciones, supuestos y riesgos. |
Dentro de los 90 días posteriores a la fecha establecida en la Orden de Inicio de los servicios |
20% del monto total contratado |
|
Fase nro. 2 |
|||
|
Ítem |
Descripción del entregable |
Plazo de entrega |
Porcentaje de pago |
|
1 |
El informe del relevamiento realizado que debe contener los siguientes ítems:
|
Entre los 91 y 180 días posteriores a la fecha establecida en la Orden de Inicio de los servicios |
20% del monto total contratado |
|
2 |
Configuraciones de la herramienta. Estado de cumplimiento inicial base, según análisis de brecha, implementado para los estándares definidos. Capacitación al personal del DCS en el uso de la herramienta. |
||
|
Fase nro. 3 |
|||
|
Ítem |
Descripción del entregable |
Plazo de entrega |
Porcentaje de pago |
|
1 |
Entrega de documentación normativa desarrollada y/o actualizada, en base al estado objetivo de alineación definido en el Plan del Proyecto, para el estándar ISO 27001. |
Entre los 181 y 270 días posteriores a la fecha establecida en la Orden de Inicio de los servicios |
30% del monto total contratado |
|
2 |
Implementación, aplicación y ajustes de las mejoras propuestas, en base al estado objetivo de alineación definido en el Plan del Proyecto, en la herramienta, para el estándar ISO 27001. |
||
|
3 |
Entrega de documentación normativa desarrollada y/o actualizada, en base al estado objetivo de alineación definido en el Plan del Proyecto, para el estándar NIST CSF. |
||
|
4 |
Implementación, aplicación y ajustes de las mejoras propuestas, en base al estado objetivo de alineación definido en el Plan del Proyecto, en la herramienta GRC, para el estándar NIST CSF. |
||
|
Fase nro. 4 |
|||
|
Ítem |
Descripción del entregable |
Plazo de entrega |
Porcentaje de pago |
|
1 |
Entrega de documentación normativa desarrollada y/o actualizada, en base al estado objetivo de alineación definido en el Plan del Proyecto, para el estándar CIS Control. |
Entre los 271 y 365 días posteriores a la fecha establecida en la Orden de Inicio de los servicios |
30% del monto total contratado |
|
2 |
Implementación, aplicación y ajustes de las mejoras propuestas, en base al estado objetivo de alineación definido en el Plan del Proyecto, en la herramienta GRC, para el estándar CIS Control. |
||
|
3 |
Presentación de la implementación final de los estándares definidos por la contratante. |
||
|
4 |
Reporte final de ejecución del proyecto, con evaluación de Pre-auditoria de los estándares seleccionados, y recomendaciones de mejora continua. |
||
Compromiso de Confidencialidad: el personal contratado interviniente del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información, dado que podría acceder a información confidencial de la Contratante en los términos del Formulario establecido al efecto en la Sección Formularios del PBC. La firma del Compromiso de Confidencialidad se realizará al momento de la suscripción del Contrato. El Departamento de Ciberseguridad será el responsable de gestionar la firma de dicha documentación. En caso de que se incorpore nuevo personal del Proveedor se deberá gestionar la firma del Compromiso de Confidencialidad por parte de los mismos.
Soporte Técnico: El Proveedor deberá disponer de los canales de solicitud habilitados para el soporte, consistentes en dos números de contacto y cuentas de correo electrónico para la gestión de los reclamos o cambios requeridos. En ese sentido, el Proveedor una vez adjudicado, deberá detallar los siguientes datos: Nombres y apellidos, cargos, correos corporativos y números de teléfono de línea fija y móvil de los responsables del servicio de soporte técnico incluyendo una matriz de escalamiento. El BCP designará el equipo de trabajo que acompañará la implementación y/o soporte de la herramienta.
Ante cada notificación por parte de la contratante, el Proveedor deberá realizar y presentar al BCP un informe que contendrá como mínimo la siguiente información: descripción detallada del problema, su causa y solución propuesta, personal que se asignó a la resolución de éste, problemas que se presentaron durante la resolución, documentación de los cambios realizados, recomendaciones, fecha y hora de resolución. El proveedor deberá garantizar durante la vigencia del contrato, que la herramienta se encuentre actualizada en su última versión estable y con los últimos parches de seguridad aplicados correctamente.
Planificación y documentación del servicio: el Proveedor deberá presentar una documentación con diagramas, configuraciones necesarias y otros detalles relevantes, además de un cronograma de trabajo para su implementación de acuerdo con los plazos definidos en el apartado CONDICIONES GENERALES, del SERVICIO SOLICITADO.
Una vez finalizada la implementación, el proveedor deberá presentar un documento en el cual se detalle todos los datos necesarios como diagrama de implementación, URLs, direcciones IP, credenciales de usuario y de sistema, configuraciones y otros.
Informes: El Proveedor deberá elaborar de manera trimestral un informe técnico de cumplimiento que contemple las actividades desarrolladas respecto al servicio que fuera adjudicado (deberá contener como mínimo fecha de la actividad, tareas realizadas, participantes, entre otros datos relacionados).
Área Técnica Administradora del Contrato: la administración del contrato estará a cargo del Departamento de Ciberseguridad Gerencia de Tecnología de la Información y Comunicaciones.
Lugar y horario de la prestación de los servicios y/o soportes: se podrá realizar de forma remota, a través de herramientas tecnológicas tales como Microsoft Teams, o similares; o de forma presencial en el Edificio BCP, sito en la Av. Federación Rusa y Av. Augusto Roa Bastos, cuando el área administradora del contrato (Departamento de Ciberseguridad del BCP) lo requiera; preferentemente en el horario de lunes a viernes de 08:00 a 16:00 horas. En caso de necesidad la convocante podrá solicitar asistencia fuera del horario ordinario de trabajo o en días no laborables.
El propósito de la Especificaciones Técnicas (EETT), es el de definir las carácteristicas técnicas de los bienes que la convocante requiere. La convocante preparará las EETT detalladas teniendo en cuenta que:
- Las EETT constituyen los puntos de referencia contra los cuales la convocante podrá verificar el cumplimiento técnico de las ofertas y posteriormente evaluarlas. Por lo tanto, unas EETT bien definidas facilitarán a los oferentes la preparación de ofertas que se ajusten a los documentos de licitación, y a la convocante el examen, evaluación y comparación de las ofertas.
- En las EETT se deberá estipular que todos los bienes o materiales que se incorporen en los bienes deberán ser nuevos, sin uso y del modelo más reciente o actual, y que contendrán todos los perfeccionamientos recientes en materia de diseño y materiales, a menos que en el contrato se disponga otra cosa.
- En las EETT se utilizarán las mejores prácticas. Ejemplos de especificaciones de adquisiciones similares satisfactorias en el mismo sector podrán proporcionar bases concretas para redactar las EETT.
- Las EETT deberán ser lo suficientemente amplias para evitar restricciones relativas a manufactura, materiales, y equipo generalmente utilizados en la fabricación de bienes similares.
- Las normas de calidad del equipo, materiales y manufactura especificadas en los Documentos de Licitación no deberán ser restrictivas. Siempre que sea posible deberán especificarse normas de calidad internacionales . Se deberán evitar referencias a marcas, números de catálogos u otros detalles que limiten los materiales o artículos a un fabricante en particular. Cuando sean inevitables dichas descripciones, siempre deberá estar seguida de expresiones tales como “o sustancialmente equivalente” u “o por lo menos equivalente”. Cuando en las ET se haga referencia a otras normas o códigos de práctica particulares, éstos solo serán aceptables si a continuación de los mismos se agrega un enunciado indicando otras normas emitidas por autoridades reconocidas que aseguren que la calidad sea por lo menos sustancialmente igual.
- Asimismo, respecto de los tipos conocidos de materiales, artefactos o equipos, cuando únicamente puedan ser caracterizados total o parcialmente mediante nomenclatura, simbología, signos distintivos no universales o marcas, únicamente se hará a manera de referencia, procurando que la alusión se adecue a estándares internacionales comúnmente aceptados.
- Las EETT deberán describir detalladamente los siguientes requisitos con respecto a por lo menos lo siguiente:
(a) Normas de calidad de los materiales y manufactura para la producción y fabricación de los bienes.
(b) Lista detallada de las pruebas requeridas (tipo y número).
(c) Otro trabajo adicional y/o servicios requeridos para lograr la entrega o el cumplimiento total.
(d) Actividades detalladas que deberá cumplir el proveedor, y consiguiente participación de la convocante.
(e) Lista detallada de avales de funcionamiento cubiertas por la garantía, y las especificaciones de las multas aplicables en caso de que dichos avales no se cumplan.
- Las EETT deberán especificar todas las características y requisitos técnicos esenciales y de funcionamiento, incluyendo los valores máximos o mínimos aceptables o garantizados, según corresponda. Cuando sea necesario, la convocante deberá incluir un formulario específico adicional de oferta (como un Anexo al Formulario de Presentación de la Oferta), donde el oferente proporcionará la información detallada de dichas características técnicas o de funcionamiento con relación a los valores aceptables o garantizados.
Cuando la convocante requiera que el oferente proporcione en su oferta una parte de o todas las Especificaciones Técnicas, cronogramas técnicos, u otra información técnica, la convocante deberá especificar detalladamente la naturaleza y alcance de la información requerida y la forma en que deberá ser presentada por el oferente en su oferta.
Si se debe proporcionar un resumen de las EETT, la convocante deberá insertar la información en la tabla siguiente. El oferente preparará un cuadro similar para documentar el cumplimiento con los requerimientos.
Especificaciones técnicas - CPS
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
GENERALIDADES:
- PORCENTAJE DE LA GARANTÍA DE MANTENIMIENTO DE OFERTA
El porcentaje indicado en el SICP para la Garantía de Mantenimiento de Oferta es del 5% cinco por ciento.
- RESPONSABILIDADES GENERALES DEL PROVEEDOR
1. El Proveedor deberá suministrar todos los bienes o servicios de acuerdo con las condiciones establecidas en el pliego de bases y condiciones y sus adendas, así como en el Contrato y sus adendas.
2. El Proveedor será responsable de cualquier indemnización por daños causados en el marco de la ejecución del contrato por él o su personal a los funcionarios y/o a terceros, y/o a los bienes de éstos, y/o a los bienes o instalaciones o imagen reputacional de la Contratante; por causas imputables al mismo.
3. Responder por todo incumplimiento o consecuencia imputable al mismo, derivados de la incorrecta o incompleta ejecución de lo contratado.
4. Contratar y mantener el personal calificado necesario para la realización de los servicios requeridos. Cumplir con todas las leyes laborales y de Seguridad Social vigentes. Asumir todos los riesgos en los términos del Código del Trabajo vigente, liberando al BCP de cualquier responsabilidad al respecto.
5. Cumplir con todas las medidas de seguridad que se requieran respecto a su personal, a fin de evitar accidentes de trabajo durante la ejecución contractual.
6. El Proveedor deberá indemnizar y eximir de cualquier responsabilidad a la contratante y a sus empleados y funcionarios, por cualquier litigio, acción legal o procedimiento administrativo, reclamación, demanda, pérdida, daño, costo y gasto cualquiera sea su naturaleza, incluidos los honorarios y gastos de representación legal, en los cuales pueda incurrir la contratante como resultado de riesgos profesionales o muerte de los empleados del Proveedor, sea reclamado por el trabajador o sus causahabientes durante la vigencia del contrato. Como riesgos profesionales se entenderán los accidentes de trabajo y enfermedades profesionales. Se considerarán igualmente accidentes del trabajo los hechos constituidos por caso fortuito o fuerza mayor inherentes al trabajo que produzcan las mismas lesiones.
- CONFIDENCIALIDAD DE LA INFORMACIÓN
De acuerdo a lo indicado en la Sección Especificaciones técnicas y Suministros Requeridos, el personal del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información en los términos del Formulario de la Sección Formularios.
MODALIDAD DE CONTRATACIÓN:
Contrato Cerrado.
ESPECIFICACIONES TÉCNICAS:
|
ESPECIFICACIONES TÉCNICAS |
|||
|
Requisito |
Detalle y definiciones |
Exigido |
Ofrecido (Campo a ser completado por el oferente) |
|
SERVICIO DE ALINEACIÓN DE CONTROLES DE CIBERSEGURIDAD A ESTÁNDARES INTERNACIONALES |
|||
|
1. Generalidades, descripción y alcance del servicio |
|||
|
1.1 |
El servicio debe proporcionar una solución integral para la gestión de riesgos, cumplimiento normativo y gobernanza. |
SI |
|
|
1.2 |
El servicio debe identificar el marco normativo existente (políticas, normas, procedimientos, instructivos, estándares, etc.) y generar un análisis de brechas. En el marco de este servicio, se deben identificar los procesos de seguridad existentes (brecha entre procesos existentes y procedimientos documentados o formalizados) y realizar una identificación de controles existentes y faltantes. |
SI |
|
|
1.3 |
El servicio debe alinearse con las versiones más actualizadas de tres estándares: ISO 27000, CIS Controls y NIST CSF, que deberá incluir: 1. Análisis de brechas: Identificar las diferencias entre las prácticas actuales y los requisitos de los estándares 2. Mejoras: Proponer un nivel de objetivo de cumplimiento de los estándares, y acompañar la implementación de acciones correctivas para cumplir con los estándares. 3. Pre-auditoría: Realizar pre-auditorías para validar que, al finalizar el servicio, los resultados sean conformes con los objetivos trazados en cada estándar. |
SI |
|
|
1.4 |
El servicio debe brindar el acceso a una herramienta SaaS GRC (Governance, Risk and Compliance) de Seguridad de la Información que tenga funcionalidades que permitan a la institución identificar, evaluar, gestionar y proponer un plan de acción para mitigar riesgos, así como asegurar el cumplimiento de las normativas aplicables y mejorar la gobernanza interna. |
SI |
|
|
1.5 |
En relación con la gestión y mitigación de riesgos de ciberseguridad, el servicio debe incluir la identificación, evaluación y generación de un plan de mitigación. |
SI |
|
|
1.6 |
El servicio debe contemplar el desarrollo de políticas, normas, procedimientos, guías, directrices y recomendaciones, de manera a permitir la alineación de los procesos de seguridad del BCP a los estándares solicitados: ISO 27001, CIS Controls, NIST CSF. |
SI |
|
|
1.7 |
El servicio debe contemplar la evaluación del nivel de alineación del marco normativo de seguridad del BCP en comparación con las normativas locales e internacionales aplicables a la industria, incluyendo como mínimo: ISO 27001, NIST CSF, CIS Controls. |
SI |
|
|
1.8 |
En relación con Gobierno de ciberseguridad, el servicio debe contemplar la definición de un marco de monitoreo del cumplimiento de políticas, procedimientos y controles internos. |
SI |
|
|
1.9 |
El servicio debe facilitar la alineación de la gestión de Incidentes a los estándares actualizados: contemplando la detección, respuesta, resolución y documentación de incidentes de seguridad y cumplimiento. |
SI |
|
|
1.10 |
En relación con las auditorías y reportes, el servicio debe incluir el acompañamiento en la generación de informes y documentación para auditorías internas y externas. |
SI |
|
|
1.11 |
El servicio debe incluir la alineación de programas de formación y concienciación de ciberseguridad y cumplimiento para el personal de la institución existentes, de acuerdo con los estándares internacionales vigentes. |
SI |
|
|
1.12 |
El servicio debe brindar el acceso a una herramienta para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad, con licenciamiento y soporte del fabricante, para lo cual el BCP podrá utilizar la nube por 12 meses computados a partir de la emisión de la orden de inicio emitida por el área administradora del contrato. |
SI |
|
|
1.13 |
El servicio debe incluir la provisión de un Equipo Técnico dedicado, compuesto como mínimo por 3 miembros, el cual será responsable de la solución integral para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad. |
SI |
|
|
1.14 |
El servicio debe incluir la provisión de un miembro del Equipo Técnico dedicado, presente on-site (8*5) en el BCP, el cual será responsable de la operación y gestión del proyecto, así como de la administración de la herramienta utilizada para la prestación del servicio. |
SI |
|
|
1.15 |
El servicio debe incluir la provisión de por lo menos 40 horas mensuales acumulables y bajo demanda de un especialista en la solución, para el desarrollo y optimización de todos los procesos, procedimientos e integraciones que formen parte de la herramienta a ser utilizada para la prestación del servicio. |
SI |
|
|
2. Descripción de la herramienta |
|||
|
2.1 |
Indicar Marca |
SI |
|
|
2.2 |
Indicar Solución / Modelo |
SI |
|
|
2.3 |
La herramienta debe ser capaz de evaluar de manera periódica el nivel de madurez de los procesos, procedimientos y controles implementados de manera automatizada y/o con input manual. |
SI |
|
|
2.4 |
La herramienta debe ser capaz de generar informes del cumplimiento o nivel de madurez, la postura de seguridad de la institución, incluyendo las oportunidades de mejora o no cumplimientos identificados. |
SI |
|
|
3. Características técnicas de la herramienta |
|||
|
3.1 |
El nivel de disponibilidad que el proveedor de servicios en la nube se compromete a ofrecer para sus servicios debe ser del 99,9%. - Debe cumplir con los estándares: SOC 2 Type 2 e ISO 27001. |
SI |
|
|
3.2 |
Debe cumplir con los requerimientos de seguridad indicados en la RESOLUCIÓN N° 10, Acta N° 43 de fecha 28 de julio de 2022 - REGLAMENTO DE USO DE SERVICIOS PARA COMPUTACIÓN EN LA NUBE. |
SI |
|
|
3.3 |
Debe ser compatible y automatizar la gestión de controles y procesos de cumplimiento con normativas como: SOC 2, ISO 27001, NIST CSF, CIS Controls. |
SI |
|
|
3.4 |
Debe ser capaz de integrarse otros sistemas y herramientas existentes como: gestión de identidades y acceso, herramientas de gestión de vulnerabilidades, herramientas de desarrollo y CI/CD, herramientas MDM, herramientas de Endpoint Security, herramientas de gestión de proyectos, herramientas de backup y recuperación, herramientas de protección de endpoints, entre otros. |
SI |
|
|
3.5 |
Debe ser capaz de monitorizar y evaluar riesgos de manera continua mediante integraciones y flujos de trabajo automatizados. |
SI |
|
|
3.6 |
Debe ser capaz proporcionar paneles de control que puedan ser personalizados para mostrar métricas clave y el estado de cumplimiento en tiempo real. |
SI |
|
|
3.7 |
Debe ser capaz de enviar alertas y notificaciones automáticas sobre eventos críticos, vencimientos de controles, y cambios en el estado de cumplimiento. |
SI |
|
|
3.8 |
Debe ser capaz de la creación, revisión, aprobación y distribución de políticas de seguridad y cumplimiento. |
SI |
|
|
3.9 |
Debe ofrecer capacidades para generar informes de cumplimiento, auditoría, evaluación de riesgos, incidentes de seguridad, estado de políticas, y simulaciones de controles, todos personalizables según las necesidades del usuario. |
SI |
|
|
3.10 |
Debe tener la capacidad de tener el acceso basado en roles y responsabilidades, asegurando que solo el personal autorizado pueda acceder a ciertos datos y funciones. |
SI |
|
|
3.11 |
Debe tener la capacidad de proporcionar un repositorio seguro y centralizado para almacenar documentos de cumplimiento, auditoría, y políticas. |
SI |
|
|
3.12 |
Debe tener la capacidad para soportar la realización de auditorías automatizadas y la generación de informes de auditoría detallados. |
SI |
|
|
3.13 |
Debe permitir realizar simulaciones y pruebas de controles para asegurar la efectividad y preparar la organización para auditorías externas. |
SI |
|
|
3.14 |
Debe tener la capacidad de hacer seguimiento de incidentes de seguridad y cumplimiento, a través de la integración con herramientas especializadas en la gestión de incidentes. |
SI |
|
|
3.15 |
Debe tener la capacidad de mantener las normativas y regulaciones aplicables actualizadas, facilitando el cumplimiento continuo con múltiples estándares. |
SI |
|
|
3.16 |
Debe tener la capacidad de análisis de datos mediante herramientas nativas que permitan generar reportes detallados sobre el estado de riesgos y cumplimiento. |
SI |
|
|
3.17 |
Debe contar con cifrado de datos en tránsito y en reposo, así como otras medidas avanzadas de seguridad para proteger la información sensible. |
SI |
|
|
3.18 |
Debe permitir diseñar y gestionar tareas y actividades personalizadas para distintos procesos de cumplimiento y gestión de riesgos. |
SI |
|
|
4. Capacidad del Equipo Técnico |
|||
|
Preparación del Equipo Técnico: |
|||
|
4.1 |
Se requiere un plantel técnico que esté conformado por 3 (tres) o más profesionales con grado académico universitario en las áreas de Informática, Ciberseguridad o Telecomunicaciones. El Equipo técnico presentado deberá estar conformado como mínimo por:
|
SI |
|
|
Experiencia especifica del Líder Técnico: |
|||
|
4.2 |
Debe contar por lo menos con 3 (tres) de las siguientes certificaciones:
Debe contar con experiencia demostrable igual o mayor a 5 años en soporte de gestión de seguridad de la información. |
SI |
|
|
Certificaciones del Equipo técnico: |
|||
|
4.3 |
Exceptuando las certificaciones del líder técnico, por lo menos 2 miembros del equipo técnico deben contar con al menos dos (2) certificaciones en marcos de trabajo de gestión y soporte de seguridad de la información, así como en soluciones integrales para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad. Las certificaciones aceptadas son:
|
SI |
|
|
Experiencia del Equipo técnico: |
|||
|
4.4 |
Se requiere que el Equipo técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en soporte de gestión de seguridad de la información o en soluciones integrales para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad igual o mayor a 10 (diez) años. |
SI |
|
|
4.5 |
Se requiere que la suma de experiencia comprobable de los miembros del plantel presentado sea al menos de 500 (quinientas) horas de servicio exitoso ejecutado, realizados a entidades nacionales y/o internacionales, durante el periodo comprendido en los años 2021 a 2024. Solo se podrán contabilizar servicios de soporte de gestión de seguridad de la información o soluciones integrales para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad que hayan requerido como mínimo 20 horas de servicio, y para todos los casos se deberá indicar la cantidad de horas efectivamente ejecutadas por el profesional para ese proyecto en concreto. En caso de que esta información se encuentre en periodo de tiempo diferentes, tales como días, semanas o meses, se contabilizará a razón de 8 horas por día, 40 horas por semana, 120 horas por mes. |
SI |
|
|
5. Garantías de seguridad |
|||
|
5.1 |
Los centros de datos que almacenan la información personal deben de estar certificadas con SOC 2 Type II, ISO 27001. |
SI |
|
|
6. Soporte |
|||
|
6.1 |
Debe incluir el soporte técnico del tipo 8*5 tanto por parte del fabricante como por parte del Proveedor durante 12 meses. |
SI |
|
|
6.2 |
Debe incluir soporte telefónico para casos de Emergencia |
SI |
|
|
6.3 |
Debe cumplir con SLA de respuesta técnica: - Urgente: El soporte debe asistir al cliente en un tiempo menor a 2 horas ya sea de forma presencial o remota de acuerdo con la necesidad de la contratante. - Alta: El soporte debe asistir al cliente en un tiempo menor a 4 horas ya sea de forma presencial o remota de acuerdo a la necesidad de la contratante. La definición respecto al nivel de criticidad será determinada exclusivamente por el BCP en la solicitud de soporte. El Proveedor facilitará el nombre, número telefónico y correo electrónico del contacto para gestionar los incidentes críticos y no críticos. |
SI |
|
|
6.4 |
En cuanto a los acuerdos de nivel de servicio (ANSs) se deberá tener una disponibilidad del servicio del 99.9%. |
SI |
|
|
6.5 |
Debe garantizar el servicio en un 99.9% de disponibilidad mensual mientras dure el contrato. |
SI |
|
|
6.6 |
Debe incluir el acceso a las documentaciones, configuración y mejores prácticas. |
SI |
|
|
6.7 |
Debe incluir soporte por parte del fabricante en un tiempo no mayor a 120 minutos |
SI |
|
|
7. Suscripciones |
|||
|
7.1 |
Se debe incluir las suscripciones necesarias para la inclusión de 3 estándares de control y para 5 usuarios de acceso, por una duración de 12 meses, las cuales serán utilizadas para la ejecución del servicio y no formarán parte del inventario del BCP. |
SI |
|
|
8. Implementación y capacitación |
|||
|
8.1 |
En los procesos de implementación/mantenimiento, los miembros del plantel técnico que requieran acceso remoto, debe solicitarlo a través del correo dcs@bcp.gov.py para la activación de usuario y la correspondiente concesión de permisos de acceso. La solicitud debe contemplar los siguientes datos: Nombre y apellido del técnico, fecha y hora de inicio y culminación de trabajos, análisis de riesgo/impacto de la tarea a ser desempeñada. |
SI |
|
|
8.2 |
Se debe incluir la implementación, configuración y monitoreo del software; así como la capacitación al personal designado por el área técnica administradora del Contrato del BCP para la gestión de la herramienta. |
SI |
|
CONDICIONES GENERALES
Servicio solicitado: el Proveedor deberá proponer, definir, describir y desarrollar todas las acciones y entregables necesarios relacionados a este servicio, incluyendo previsiones a futuro y acorde a los objetivos estratégicos del BCP.
A continuación, se definen las fases, los entregables, el plazo y el porcentaje de pago:
|
Fase nro. 1 |
|||
|
Ítem |
Descripción del entregable |
Plazo de entrega |
Porcentaje de pago |
|
1 |
Plan del proyecto: que incluya un cronograma de trabajo, metodología a implementar para el desarrollo de las actividades, requerimientos, integraciones de herramienta GRC, restricciones, supuestos y riesgos. |
Dentro de los 90 días posteriores a la fecha establecida en la Orden de Inicio de los servicios |
20% del monto total contratado |
|
2 |
Implementación básica y activación de herramienta SaaS GRC (Governance, Risk and Compliance). |
||
|
Fase nro. 2 |
|||
|
Ítem |
Descripción del entregable |
Plazo de entrega |
Porcentaje de pago |
|
1 |
El informe del relevamiento realizado que debe contener los siguientes ítems: - El análisis de brecha, por cada estándar definido por la contratante. |
Entre los 91 y 180 días posteriores a la fecha establecida en la Orden de Inicio de los servicios |
20% del monto total contratado |
|
2 |
Herramienta GRC con todos los conectores integrados. Estado de cumplimiento inicial base, según análisis de brecha, implementado para los estándares definidos. Capacitación al personal del DCS en el uso de la herramienta. |
||
|
Fase nro. 3 |
|||
|
Ítem |
Descripción del entregable |
Plazo de entrega |
Porcentaje de pago |
|
1 |
Entrega de documentación normativa desarrollada y/o actualizada, en base al estado objetivo de alineación definido en el Plan del Proyecto, para el estándar ISO 27001. |
Entre los 181 y 270 días posteriores a la fecha establecida en la Orden de Inicio de los servicios |
30% del monto total contratado |
|
2 |
Implementación, aplicación y ajustes de las mejoras propuestas, en base al estado objetivo de alineación definido en el Plan del Proyecto, en la herramienta GRC, para el estándar ISO 27001. |
||
|
3 |
Entrega de documentación normativa desarrollada y/o actualizada, en base al estado objetivo de alineación definido en el Plan del Proyecto, para el estándar NIST CSF. |
||
|
4 |
Implementación, aplicación y ajustes de las mejoras propuestas, en base al estado objetivo de alineación definido en el Plan del Proyecto, en la herramienta GRC, para el estándar NIST CSF. |
||
|
Fase nro. 4 |
|||
|
Ítem |
Descripción del entregable |
Plazo de entrega |
Porcentaje de pago |
|
1 |
Entrega de documentación normativa desarrollada y/o actualizada, en base al estado objetivo de alineación definido en el Plan del Proyecto, para el estándar CIS Control. |
Entre los 271 y 365 días posteriores a la fecha establecida en la Orden de Inicio de los servicios |
30% del monto total contratado |
|
2 |
Implementación, aplicación y ajustes de las mejoras propuestas, en base al estado objetivo de alineación definido en el Plan del Proyecto, en la herramienta GRC, para el estándar CIS Control. |
||
|
3 |
Presentación de la implementación final de los estándares definidos por la contratante. |
||
|
4 |
Reporte final de ejecución del proyecto, con evaluación de auditoría de los estándares seleccionados, y recomendaciones de mejora continua. |
||
Compromiso de Confidencialidad: el personal contratado interviniente del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información, dado que podría acceder a información confidencial de la Contratante en los términos del Formulario establecido al efecto en la Sección Formularios del PBC. La firma del Compromiso de Confidencialidad se realizará al momento de la suscripción del Contrato. El Departamento de Ciberseguridad será el responsable de gestionar la firma de dicha documentación. En caso de que se incorpore nuevo personal del Proveedor se deberá gestionar la firma del Compromiso de Confidencialidad por parte de los mismos.
Soporte Técnico: El Proveedor deberá disponer de los canales de solicitud habilitados para el soporte, consistentes en dos números de contacto y cuentas de correo electrónico para la gestión de los reclamos o cambios requeridos. En ese sentido, el Proveedor una vez adjudicado, deberá detallar los siguientes datos: Nombres y apellidos, cargos, correos corporativos y números de teléfono de línea fija y móvil de los responsables del servicio de soporte técnico incluyendo una matriz de escalamiento. El BCP designará el equipo de trabajo que acompañará la implementación y/o soporte de la herramienta.
Ante cada notificación por parte de la contratante, el Proveedor deberá realizar y presentar al BCP un informe que contendrá como mínimo la siguiente información: descripción detallada del problema, su causa y solución propuesta, personal que se asignó a la resolución de éste, problemas que se presentaron durante la resolución, documentación de los cambios realizados, recomendaciones, fecha y hora de resolución. El proveedor deberá garantizar durante la vigencia del contrato, que la herramienta se encuentre actualizada en su última versión estable y con los últimos parches de seguridad aplicados correctamente.
Planificación y documentación del servicio: el Proveedor deberá presentar una documentación con diagramas, configuraciones necesarias y otros detalles relevantes, además de un cronograma de trabajo para su implementación de acuerdo con los plazos definidos en el apartado CONDICIONES GENERALES, del SERVICIO SOLICITADO.
Una vez finalizada la implementación, el proveedor deberá presentar un documento en el cual se detalle todos los datos necesarios como diagrama de implementación, URLs, direcciones IP, credenciales de usuario y de sistema, configuraciones y otros.
Informes: El Proveedor deberá elaborar de manera trimestral un informe técnico de cumplimiento que contemple las actividades desarrolladas respecto al servicio que fuera adjudicado (deberá contener como mínimo fecha de la actividad, tareas realizadas, participantes, entre otros datos relacionados).
Área Técnica Administradora del Contrato: la administración del contrato estará a cargo del Departamento de Ciberseguridad Gerencia de Tecnología de la Información y Comunicaciones.
Lugar y horario de la prestación de los servicios y/o soportes: se podrá realizar de forma remota, a través de herramientas tecnológicas tales como Microsoft Teams, o similares; o de forma presencial en el Edificio BCP, sito en la Av. Federación Rusa y Av. Augusto Roa Bastos, cuando el área administradora del contrato (Departamento de Ciberseguridad del BCP) lo requiera; preferentemente en el horario de lunes a viernes de 08:00 a 16:00 horas. En caso de necesidad la convocante podrá solicitar asistencia fuera del horario ordinario de trabajo o en días no laborables.
El propósito de la Especificaciones Técnicas (EETT), es el de definir las carácteristicas técnicas de los bienes que la convocante requiere. La convocante preparará las EETT detalladas teniendo en cuenta que:
- Las EETT constituyen los puntos de referencia contra los cuales la convocante podrá verificar el cumplimiento técnico de las ofertas y posteriormente evaluarlas. Por lo tanto, unas EETT bien definidas facilitarán a los oferentes la preparación de ofertas que se ajusten a los documentos de licitación, y a la convocante el examen, evaluación y comparación de las ofertas.
- En las EETT se deberá estipular que todos los bienes o materiales que se incorporen en los bienes deberán ser nuevos, sin uso y del modelo más reciente o actual, y que contendrán todos los perfeccionamientos recientes en materia de diseño y materiales, a menos que en el contrato se disponga otra cosa.
- En las EETT se utilizarán las mejores prácticas. Ejemplos de especificaciones de adquisiciones similares satisfactorias en el mismo sector podrán proporcionar bases concretas para redactar las EETT.
- Las EETT deberán ser lo suficientemente amplias para evitar restricciones relativas a manufactura, materiales, y equipo generalmente utilizados en la fabricación de bienes similares.
- Las normas de calidad del equipo, materiales y manufactura especificadas en los Documentos de Licitación no deberán ser restrictivas. Siempre que sea posible deberán especificarse normas de calidad internacionales . Se deberán evitar referencias a marcas, números de catálogos u otros detalles que limiten los materiales o artículos a un fabricante en particular. Cuando sean inevitables dichas descripciones, siempre deberá estar seguida de expresiones tales como “o sustancialmente equivalente” u “o por lo menos equivalente”. Cuando en las ET se haga referencia a otras normas o códigos de práctica particulares, éstos solo serán aceptables si a continuación de los mismos se agrega un enunciado indicando otras normas emitidas por autoridades reconocidas que aseguren que la calidad sea por lo menos sustancialmente igual.
- Asimismo, respecto de los tipos conocidos de materiales, artefactos o equipos, cuando únicamente puedan ser caracterizados total o parcialmente mediante nomenclatura, simbología, signos distintivos no universales o marcas, únicamente se hará a manera de referencia, procurando que la alusión se adecue a estándares internacionales comúnmente aceptados.
- Las EETT deberán describir detalladamente los siguientes requisitos con respecto a por lo menos lo siguiente:
(a) Normas de calidad de los materiales y manufactura para la producción y fabricación de los bienes.
(b) Lista detallada de las pruebas requeridas (tipo y número).
(c) Otro trabajo adicional y/o servicios requeridos para lograr la entrega o el cumplimiento total.
(d) Actividades detalladas que deberá cumplir el proveedor, y consiguiente participación de la convocante.
(e) Lista detallada de avales de funcionamiento cubiertas por la garantía, y las especificaciones de las multas aplicables en caso de que dichos avales no se cumplan.
- Las EETT deberán especificar todas las características y requisitos técnicos esenciales y de funcionamiento, incluyendo los valores máximos o mínimos aceptables o garantizados, según corresponda. Cuando sea necesario, la convocante deberá incluir un formulario específico adicional de oferta (como un Anexo al Formulario de Presentación de la Oferta), donde el oferente proporcionará la información detallada de dichas características técnicas o de funcionamiento con relación a los valores aceptables o garantizados.
Cuando la convocante requiera que el oferente proporcione en su oferta una parte de o todas las Especificaciones Técnicas, cronogramas técnicos, u otra información técnica, la convocante deberá especificar detalladamente la naturaleza y alcance de la información requerida y la forma en que deberá ser presentada por el oferente en su oferta.
Si se debe proporcionar un resumen de las EETT, la convocante deberá insertar la información en la tabla siguiente. El oferente preparará un cuadro similar para documentar el cumplimiento con los requerimientos.
Especificaciones técnicas - CPS
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
GENERALIDADES:
- PORCENTAJE DE LA GARANTÍA DE MANTENIMIENTO DE OFERTA
El porcentaje indicado en el SICP para la Garantía de Mantenimiento de Oferta es del 5% cinco por ciento.
- RESPONSABILIDADES GENERALES DEL PROVEEDOR
1. El Proveedor deberá suministrar todos los bienes o servicios de acuerdo con las condiciones establecidas en el pliego de bases y condiciones y sus adendas, así como en el Contrato y sus adendas.
2. El Proveedor será responsable de cualquier indemnización por daños causados en el marco de la ejecución del contrato por él o su personal a los funcionarios y/o a terceros, y/o a los bienes de éstos, y/o a los bienes o instalaciones o imagen reputacional de la Contratante; por causas imputables al mismo.
3. Responder por todo incumplimiento o consecuencia imputable al mismo, derivados de la incorrecta o incompleta ejecución de lo contratado.
4. Contratar y mantener el personal calificado necesario para la realización de los servicios requeridos. Cumplir con todas las leyes laborales y de Seguridad Social vigentes. Asumir todos los riesgos en los términos del Código del Trabajo vigente, liberando al BCP de cualquier responsabilidad al respecto.
5. Cumplir con todas las medidas de seguridad que se requieran respecto a su personal, a fin de evitar accidentes de trabajo durante la ejecución contractual.
6. El Proveedor deberá indemnizar y eximir de cualquier responsabilidad a la contratante y a sus empleados y funcionarios, por cualquier litigio, acción legal o procedimiento administrativo, reclamación, demanda, pérdida, daño, costo y gasto cualquiera sea su naturaleza, incluidos los honorarios y gastos de representación legal, en los cuales pueda incurrir la contratante como resultado de riesgos profesionales o muerte de los empleados del Proveedor, sea reclamado por el trabajador o sus causahabientes durante la vigencia del contrato. Como riesgos profesionales se entenderán los accidentes de trabajo y enfermedades profesionales. Se considerarán igualmente accidentes del trabajo los hechos constituidos por caso fortuito o fuerza mayor inherentes al trabajo que produzcan las mismas lesiones.
- CONFIDENCIALIDAD DE LA INFORMACIÓN
De acuerdo a lo indicado en la Sección Especificaciones técnicas y Suministros Requeridos, el personal del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información en los términos del Formulario de la Sección Formularios.
MODALIDAD DE CONTRATACIÓN:
Contrato Cerrado.
ESPECIFICACIONES TÉCNICAS:
ESPECIFICACIONES TÉCNICAS | |||
Requisito | Detalle y definiciones | Exigido | Ofrecido (Campo a ser completado por el oferente) |
SERVICIO DE ALINEACIÓN DE CONTROLES DE CIBERSEGURIDAD A ESTÁNDARES INTERNACIONALES | |||
1. Generalidades, descripción y alcance del servicio | |||
1.1 | El servicio debe proporcionar una solución integral para la gestión de riesgos, cumplimiento normativo y gobernanza. | SI |
|
1.2 | El servicio debe identificar el marco normativo existente (políticas, normas, procedimientos, instructivos, estándares, etc.) y generar un análisis de brechas. En el marco de este servicio, se deben identificar los procesos de seguridad existentes (brecha entre procesos existentes y procedimientos documentados o formalizados) y realizar una identificación de controles existentes y faltantes. | SI |
|
1.3 | El servicio debe alinearse con las versiones más actualizadas de tres estándares: ISO 27000, CIS Controls y NIST CSF, que deberá incluir: 1. Análisis de brechas: Identificar las diferencias entre las prácticas actuales y los requisitos de los estándares 2. 3. Pre-auditoría: Realizar pre-auditorías para | SI |
|
1.4 | El servicio debe brindar el acceso a una herramienta SaaS GRC (Governance, Risk and Compliance) de Seguridad de la Información que tenga funcionalidades que permitan a la institución identificar, evaluar, gestionar y proponer un plan de acción para mitigar riesgos, así como asegurar el cumplimiento de las normativas aplicables y mejorar la gobernanza interna. | SI |
|
1.5 | En relación con la gestión y mitigación de riesgos de ciberseguridad, el servicio debe incluir la identificación, evaluación y generación de un plan de mitigación. | SI |
|
1.6 | El servicio debe contemplar el desarrollo de políticas, normas, procedimientos, guías, directrices y recomendaciones, de manera a permitir la alineación de los procesos de seguridad del BCP a los estándares solicitados: ISO 27001, CIS Controls, NIST CSF. | SI |
|
1.7 | El servicio | SI |
|
1.8 | En relación con Gobierno de ciberseguridad, el servicio debe contemplar la definición | SI |
|
1.9 | El servicio debe | SI |
|
1.10 | En relación con las auditorías y reportes, el servicio debe incluir el acompañamiento en la generación de informes y documentación para auditorías internas y externas. | SI |
|
1.11 | El servicio debe incluir la alineación de programas de formación y concienciación de ciberseguridad y cumplimiento para el personal de la institución existentes, de acuerdo con los estándares internacionales vigentes. | SI |
|
1.12 | El servicio debe brindar el acceso a una herramienta para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad, con licenciamiento y soporte del fabricante, para lo cual el BCP podrá utilizar la nube por 12 meses computados a partir de la emisión de la orden de inicio emitida por el área administradora del contrato. | SI |
|
1.13 | El servicio debe incluir la provisión de un Equipo Técnico dedicado, compuesto como mínimo por 3 miembros, el cual será responsable de la solución integral para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad. | SI |
|
1.14 | El servicio | SI |
|
1.15 | El servicio debe incluir la provisión de por lo menos 40 horas mensuales acumulables y bajo demanda de un especialista en la solución, para el desarrollo y optimización de todos los procesos, procedimientos e integraciones que formen parte de la herramienta a ser utilizada para la prestación del servicio. | SI |
|
2. Descripción de la herramienta | |||
2.1 | Indicar Marca | SI |
|
2.2 | Indicar Solución / Modelo | SI |
|
2.3 | La herramienta debe ser capaz de evaluar de manera periódica el nivel de madurez de los procesos, procedimientos y controles implementados de manera automatizada y/o con input manual. | SI |
|
2.4 | La herramienta debe ser capaz de generar informes del cumplimiento o nivel de madurez, la postura de seguridad de la institución, | SI |
|
3. Características técnicas de la herramienta | |||
3.1 | El nivel de disponibilidad que el proveedor de servicios en la nube se compromete a ofrecer para sus servicios debe ser del 99,9%. - Debe cumplir con los estándares: SOC
| SI |
|
3.2 | Debe cumplir con los requerimientos de seguridad indicados en la RESOLUCIÓN N° 10, Acta N° 43 de fecha 28 de julio de 2022 - REGLAMENTO DE USO DE SERVICIOS PARA COMPUTACIÓN EN LA NUBE. | SI |
|
3.3 | Debe ser compatible y automatizar la gestión de controles y procesos de cumplimiento con normativas como: SOC 2, ISO 27001, NIST CSF, CIS Controls. | SI |
|
3.4 | Debe ser capaz de integrarse otros sistemas y herramientas existentes como: gestión de identidades y acceso, herramientas de gestión de vulnerabilidades, herramientas de desarrollo y CI/CD, herramientas | SI |
|
3.5 | Debe ser capaz de monitorizar y evaluar riesgos de manera continua mediante integraciones y flujos de trabajo automatizados. | SI |
|
3.6 | Debe ser capaz proporcionar paneles de control que puedan ser personalizados para mostrar métricas clave y el estado de cumplimiento en tiempo real. | SI |
|
3.7 | Debe ser capaz | SI |
|
3.8 | Debe ser capaz de la creación, revisión, aprobación y distribución de políticas de seguridad y cumplimiento. | SI |
|
3.9 | Debe ofrecer capacidades para generar informes de cumplimiento, auditoría, evaluación de riesgos, incidentes de seguridad, estado de políticas, y simulaciones de controles, todos personalizables según las necesidades del usuario. | SI |
|
3.10 | Debe tener la capacidad de tener el acceso basado en roles y responsabilidades, asegurando que solo el personal autorizado pueda acceder a ciertos datos y funciones. | SI |
|
3.11 | Debe tener la capacidad de proporcionar un repositorio seguro y centralizado para almacenar documentos de cumplimiento, auditoría, y políticas. | SI |
|
3.12 | Debe tener la capacidad para soportar la realización de auditorías automatizadas y la generación de informes de auditoría detallados. | SI |
|
3.13 | Debe permitir realizar simulaciones y pruebas de controles para asegurar la efectividad y preparar la organización para auditorías externas. | SI |
|
3.14 | Debe tener la capacidad | SI |
|
3.15 | Debe tener la capacidad de mantener las normativas y regulaciones aplicables actualizadas, facilitando el cumplimiento continuo con múltiples estándares. | SI |
|
3.16 | Debe tener la capacidad de análisis de datos mediante herramientas nativas que permitan generar reportes detallados sobre el estado de riesgos y cumplimiento. | SI |
|
3.17 | Debe contar con cifrado de datos en tránsito y en reposo, así como otras medidas avanzadas de seguridad para proteger la información sensible. | SI |
|
3.18 | Debe permitir diseñar y gestionar | SI |
|
4. Capacidad del Equipo Técnico | |||
Preparación del Equipo Técnico: | |||
4.1 | Se requiere un plantel técnico que esté conformado por 3 (tres) o más profesionales con grado académico universitario en las áreas de Informática, Ciberseguridad o Telecomunicaciones. El Equipo técnico presentado deberá estar conformado como mínimo por:
| SI |
|
Experiencia especifica del Líder Técnico: | |||
4.2 | Debe contar por lo menos con 3 (tres) de las siguientes certificaciones:
Debe contar con experiencia demostrable igual o mayor a 5 años en soporte de gestión de seguridad de la información. | SI |
|
Certificaciones del Equipo técnico: | |||
4.3 | Exceptuando las certificaciones del líder técnico, por lo menos 2 miembros del equipo técnico deben contar con al menos dos (2) certificaciones en marcos de trabajo de gestión y soporte de seguridad de la información, así como en soluciones integrales para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad. Las certificaciones aceptadas son:
| SI |
|
Experiencia del Equipo técnico: | |||
4.4 | Se requiere que el Equipo técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en soporte de gestión de seguridad de la información o en soluciones integrales para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad igual o mayor a 10 (diez) años. | SI |
|
4.5 | Se requiere que la suma de experiencia comprobable de los miembros del plantel presentado sea al menos de 500 (quinientas) horas de servicio exitoso ejecutado, realizados a entidades nacionales y/o internacionales, durante el periodo comprendido en los años 2021 a 2024. Solo se podrán contabilizar servicios de soporte de gestión de seguridad de la información o soluciones integrales para la gestión de riesgos, cumplimiento normativo y gobernanza de ciberseguridad que hayan requerido como mínimo 20 horas de servicio, y para todos los casos se deberá indicar la cantidad de horas efectivamente ejecutadas por el profesional para ese proyecto en concreto. En caso de que esta información se encuentre en periodo de tiempo diferentes, tales como días, semanas o meses, se contabilizará a razón de 8 horas por día, 40 horas por semana, 120 horas por mes. | SI |
|
5. Garantías de seguridad | |||
5.1 | Los centros de datos que almacenan la información personal deben de estar certificadas con SOC 2 Type II, ISO 27001. | SI |
|
6. Soporte | |||
6.1 | Debe incluir el soporte técnico del tipo 8*5 tanto por parte del fabricante como por parte del Proveedor durante 12 meses. | SI |
|
6.2 | Debe incluir soporte telefónico para casos de Emergencia | SI |
|
6.3 | Debe cumplir con SLA de respuesta técnica: - Urgente: El soporte debe asistir al cliente en un tiempo menor a 2 horas ya sea de forma presencial o remota de acuerdo con la necesidad de la contratante. - Alta: El soporte debe asistir al cliente en un tiempo menor a 4 horas ya sea de forma presencial o remota de acuerdo a la necesidad de la contratante. La definición respecto al nivel de criticidad será determinada exclusivamente por el BCP en la solicitud de soporte. El Proveedor facilitará el nombre, número telefónico y correo electrónico del contacto para gestionar los incidentes críticos y no críticos. | SI |
|
6.4 | En cuanto a los acuerdos de nivel de servicio (ANSs) se deberá tener una disponibilidad del servicio del | SI |
|
6.5 | Debe garantizar el servicio en un 99. | SI |
|
6.6 | Debe incluir el acceso a las documentaciones, configuración y mejores prácticas. | SI |
|
6.7 | Debe incluir soporte por parte del fabricante en un tiempo no mayor a 120 minutos | SI |
|
7. Suscripciones | |||
7.1 | Se debe incluir las suscripciones necesarias para la inclusión de 3 estándares de control y para 5 usuarios de acceso, por una duración de 12 meses, las cuales serán utilizadas para la ejecución del servicio y no formarán parte del inventario del BCP. | SI |
|
8. Implementación y capacitación | |||
8.1 | En los procesos de implementación/mantenimiento, los miembros del plantel técnico que requieran acceso remoto, debe solicitarlo a través del correo | SI |
|
8.2 | Se debe incluir la implementación, configuración y monitoreo del software; así como la capacitación al personal designado por el área técnica administradora del Contrato del BCP para la gestión de la herramienta. | SI |
|
CONDICIONES GENERALES
Servicio solicitado: el Proveedor deberá proponer, definir, describir y desarrollar todas las acciones y entregables necesarios relacionados a este servicio, incluyendo previsiones a futuro y acorde a los objetivos estratégicos del BCP.
A continuación, se definen las fases, los entregables, el plazo y el porcentaje de pago:
Fase nro. 1 | |||
Ítem | Descripción del entregable | Plazo de entrega | Porcentaje de pago |
1 | Plan del proyecto: que incluya un cronograma de trabajo, metodología a implementar para el desarrollo de las actividades, requerimientos, integraciones | Dentro de los 90 días posteriores a la fecha establecida en la Orden de Inicio de los servicios | 20% del monto total contratado |
| |||
| 2 | Implementación básica y activación de herramienta SaaS GRC (Governance, Risk and Compliance). | ||
| Fase nro. 2 | |||
Ítem | Descripción del entregable | Plazo de entrega | Porcentaje de pago |
1 | El informe del relevamiento realizado que debe contener los siguientes ítems:
- El análisis de brecha, por cada estándar definido por la contratante. | Entre los 91 y 180 días posteriores a la fecha establecida en la Orden de Inicio de los servicios | 20% del monto total contratado |
2 |
| ||
Fase nro. 3 | |||
Ítem | Descripción del entregable | Plazo de entrega | Porcentaje de pago |
1 | Entrega de documentación normativa desarrollada y/o actualizada, en base al estado objetivo de alineación definido en el Plan del Proyecto, para el estándar ISO 27001. | Entre los 181 y 270 días posteriores a la fecha establecida en la Orden de Inicio de los servicios | 30% del monto total contratado |
2 | Implementación, aplicación y ajustes de las mejoras propuestas, en base al estado objetivo de alineación definido en el Plan del Proyecto, en la herramienta GRC, para el estándar ISO 27001. | ||
3 | Entrega de documentación normativa desarrollada y/o actualizada, en base al estado objetivo de alineación definido en el Plan del Proyecto, para el estándar NIST CSF. | ||
4 | Implementación, aplicación y ajustes de las mejoras propuestas, en base al estado objetivo de alineación definido en el Plan del Proyecto, en la herramienta GRC, para el estándar NIST CSF. | ||
Fase nro. 4 | |||
Ítem | Descripción del entregable | Plazo de entrega | Porcentaje de pago |
1 | Entrega de documentación normativa desarrollada y/o actualizada, en base al estado objetivo de alineación definido en el Plan del Proyecto, para el estándar CIS Control. | Entre los 271 y 365 días posteriores a la fecha establecida en la Orden de Inicio de los servicios | 30% del monto total contratado |
2 | Implementación, aplicación y ajustes de las mejoras propuestas, en base al estado objetivo de alineación definido en el Plan del Proyecto, en la herramienta GRC, para el estándar CIS Control. | ||
3 | Presentación de la implementación final de los estándares definidos por la contratante. | ||
4 | Reporte final de ejecución del proyecto, con evaluación de | ||
Compromiso de Confidencialidad: el personal contratado interviniente del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información, dado que podría acceder a información confidencial de la Contratante en los términos del Formulario establecido al efecto en la Sección Formularios del PBC. La firma del Compromiso de Confidencialidad se realizará al momento de la suscripción del Contrato. El Departamento de Ciberseguridad será el responsable de gestionar la firma de dicha documentación. En caso de que se incorpore nuevo personal del Proveedor se deberá gestionar la firma del Compromiso de Confidencialidad por parte de los mismos.
Soporte Técnico: El Proveedor deberá disponer de los canales de solicitud habilitados para el soporte, consistentes en dos números de contacto y cuentas de correo electrónico para la gestión de los reclamos o cambios requeridos. En ese sentido, el Proveedor una vez adjudicado, deberá detallar los siguientes datos: Nombres y apellidos, cargos, correos corporativos y números de teléfono de línea fija y móvil de los responsables del servicio de soporte técnico incluyendo una matriz de escalamiento. El BCP designará el equipo de trabajo que acompañará la implementación y/o soporte de la herramienta.
Ante cada notificación por parte de la contratante, el Proveedor deberá realizar y presentar al BCP un informe que contendrá como mínimo la siguiente información: descripción detallada del problema, su causa y solución propuesta, personal que se asignó a la resolución de éste, problemas que se presentaron durante la resolución, documentación de los cambios realizados, recomendaciones, fecha y hora de resolución. El proveedor deberá garantizar durante la vigencia del contrato, que la herramienta se encuentre actualizada en su última versión estable y con los últimos parches de seguridad aplicados correctamente.
Planificación y documentación del servicio: el Proveedor deberá presentar una documentación con diagramas, configuraciones necesarias y otros detalles relevantes, además de un cronograma de trabajo para su implementación de acuerdo con los plazos definidos en el apartado CONDICIONES GENERALES, del SERVICIO SOLICITADO.
Una vez finalizada la implementación, el proveedor deberá presentar un documento en el cual se detalle todos los datos necesarios como diagrama de implementación, URLs, direcciones IP, credenciales de usuario y de sistema, configuraciones y otros.
Informes: El Proveedor deberá elaborar de manera trimestral un informe técnico de cumplimiento que contemple las actividades desarrolladas respecto al servicio que fuera adjudicado (deberá contener como mínimo fecha de la actividad, tareas realizadas, participantes, entre otros datos relacionados).
Área Técnica Administradora del Contrato: la administración del contrato estará a cargo del Departamento de Ciberseguridad Gerencia de Tecnología de la Información y Comunicaciones.
Lugar y horario de la prestación de los servicios y/o soportes: se podrá realizar de forma remota, a través de herramientas tecnológicas tales como Microsoft Teams, o similares; o de forma presencial en el Edificio BCP, sito en la Av. Federación Rusa y Av. Augusto Roa Bastos, cuando el área administradora del contrato (Departamento de Ciberseguridad del BCP) lo requiera; preferentemente en el horario de lunes a viernes de 08:00 a 16:00 horas. En caso de necesidad la convocante podrá solicitar asistencia fuera del horario ordinario de trabajo o en días no laborables.
El propósito de la Especificaciones Técnicas (EETT), es el de definir las carácteristicas técnicas de los bienes que la convocante requiere. La convocante preparará las EETT detalladas teniendo en cuenta que:
- Las EETT constituyen los puntos de referencia contra los cuales la convocante podrá verificar el cumplimiento técnico de las ofertas y posteriormente evaluarlas. Por lo tanto, unas EETT bien definidas facilitarán a los oferentes la preparación de ofertas que se ajusten a los documentos de licitación, y a la convocante el examen, evaluación y comparación de las ofertas.
- En las EETT se deberá estipular que todos los bienes o materiales que se incorporen en los bienes deberán ser nuevos, sin uso y del modelo más reciente o actual, y que contendrán todos los perfeccionamientos recientes en materia de diseño y materiales, a menos que en el contrato se disponga otra cosa.
- En las EETT se utilizarán las mejores prácticas. Ejemplos de especificaciones de adquisiciones similares satisfactorias en el mismo sector podrán proporcionar bases concretas para redactar las EETT.
- Las EETT deberán ser lo suficientemente amplias para evitar restricciones relativas a manufactura, materiales, y equipo generalmente utilizados en la fabricación de bienes similares.
- Las normas de calidad del equipo, materiales y manufactura especificadas en los Documentos de Licitación no deberán ser restrictivas. Siempre que sea posible deberán especificarse normas de calidad internacionales . Se deberán evitar referencias a marcas, números de catálogos u otros detalles que limiten los materiales o artículos a un fabricante en particular. Cuando sean inevitables dichas descripciones, siempre deberá estar seguida de expresiones tales como “o sustancialmente equivalente” u “o por lo menos equivalente”. Cuando en las ET se haga referencia a otras normas o códigos de práctica particulares, éstos solo serán aceptables si a continuación de los mismos se agrega un enunciado indicando otras normas emitidas por autoridades reconocidas que aseguren que la calidad sea por lo menos sustancialmente igual.
- Asimismo, respecto de los tipos conocidos de materiales, artefactos o equipos, cuando únicamente puedan ser caracterizados total o parcialmente mediante nomenclatura, simbología, signos distintivos no universales o marcas, únicamente se hará a manera de referencia, procurando que la alusión se adecue a estándares internacionales comúnmente aceptados.
- Las EETT deberán describir detalladamente los siguientes requisitos con respecto a por lo menos lo siguiente:
(a) Normas de calidad de los materiales y manufactura para la producción y fabricación de los bienes.
(b) Lista detallada de las pruebas requeridas (tipo y número).
(c) Otro trabajo adicional y/o servicios requeridos para lograr la entrega o el cumplimiento total.
(d) Actividades detalladas que deberá cumplir el proveedor, y consiguiente participación de la convocante.
(e) Lista detallada de avales de funcionamiento cubiertas por la garantía, y las especificaciones de las multas aplicables en caso de que dichos avales no se cumplan.
- Las EETT deberán especificar todas las características y requisitos técnicos esenciales y de funcionamiento, incluyendo los valores máximos o mínimos aceptables o garantizados, según corresponda. Cuando sea necesario, la convocante deberá incluir un formulario específico adicional de oferta (como un Anexo al Formulario de Presentación de la Oferta), donde el oferente proporcionará la información detallada de dichas características técnicas o de funcionamiento con relación a los valores aceptables o garantizados.
Cuando la convocante requiera que el oferente proporcione en su oferta una parte de o todas las Especificaciones Técnicas, cronogramas técnicos, u otra información técnica, la convocante deberá especificar detalladamente la naturaleza y alcance de la información requerida y la forma en que deberá ser presentada por el oferente en su oferta.
Si se debe proporcionar un resumen de las EETT, la convocante deberá insertar la información en la tabla siguiente. El oferente preparará un cuadro similar para documentar el cumplimiento con los requerimientos.