En esta sección en el punto 6 se solicita: "El oferente deberá acreditar la Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico (no serán aceptadas certificaciones genéricas), la certificación superior debe basarse en los mismos criterios que solicita o certifica la norma ISO 27001/2022 con respecto a la gestión de la seguridad, confidencialidad e integridad de los datos."
A tal efecto, solicitamos que este requerimiento sea eliminado o considerado como opcional ya que, por un lado, no corresponde con el objeto de la licitación que es para la ADQUISICIÓN DE EQUIPOS INFORMÁTICOS CON ESPECIFICACIONES TÉCNICAS DE ESTÁNDARES APROBADAS POR EL MITIC. Y por otro, el presente llamado es para una adquisición de equipos para lo cual el proveedor solo se encargará de proveer equipos informáticos a las dependencias que están solicitando estos bienes. La privacidad entre las partes se puede realizar mediante la firma de un acuerdo de confidencialidad o una DDJJ que comprometa al proveedor a no divulgar información de la convocante. En el mercado solo dos empresas poseen dicho certificado, SEKIURA que se dedica a la ciberseguridad e ITCS SA, por lo que entendemos que este llamado estaría siendo dirigida hacia esta empresa. Encontramos que este requerimiento tiene la intención de limitar la participación de potenciales oferentes en contraposición a lo dispuesto por la nueva ley N°7021/22 que en su articulo N°45 dice: “En los procedimientos de contratación será obligación de las convocantes elaborar las bases y condiciones del llamado con la mayor amplitud de acuerdo con la naturaleza específica del contrato con el objeto de que concurra el mayor número de Oferentes (…)
En esta sección en el punto 6 se solicita: "El oferente deberá acreditar la Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico (no serán aceptadas certificaciones genéricas), la certificación superior debe basarse en los mismos criterios que solicita o certifica la norma ISO 27001/2022 con respecto a la gestión de la seguridad, confidencialidad e integridad de los datos."
A tal efecto, solicitamos que este requerimiento sea eliminado o considerado como opcional ya que, por un lado, no corresponde con el objeto de la licitación que es para la ADQUISICIÓN DE EQUIPOS INFORMÁTICOS CON ESPECIFICACIONES TÉCNICAS DE ESTÁNDARES APROBADAS POR EL MITIC. Y por otro, el presente llamado es para una adquisición de equipos para lo cual el proveedor solo se encargará de proveer equipos informáticos a las dependencias que están solicitando estos bienes. La privacidad entre las partes se puede realizar mediante la firma de un acuerdo de confidencialidad o una DDJJ que comprometa al proveedor a no divulgar información de la convocante. En el mercado solo dos empresas poseen dicho certificado, SEKIURA que se dedica a la ciberseguridad e ITCS SA, por lo que entendemos que este llamado estaría siendo dirigida hacia esta empresa. Encontramos que este requerimiento tiene la intención de limitar la participación de potenciales oferentes en contraposición a lo dispuesto por la nueva ley N°7021/22 que en su articulo N°45 dice: “En los procedimientos de contratación será obligación de las convocantes elaborar las bases y condiciones del llamado con la mayor amplitud de acuerdo con la naturaleza específica del contrato con el objeto de que concurra el mayor número de Oferentes (…)
En atención a las consultas formuladas, la entidad convocante informa que se ha emitido una Adenda al Pliego de Bases y Condiciones, en la cual se introducen ajustes relacionados con los aspectos mencionados.
2
-Certificación ISO 27001/2013
En el Pliego de Bases y Condiciones, en la sección de Requisitos de Participación y Criterios de Evaluación. En el punto n°6 de la capacidad técnica, se solicita:
El oferente deberá acreditar la Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico (no serán aceptadas certificaciones genéricas), la certificación superior debe basarse en los mismos criterios que solicita o certifica la norma ISO 27001/2022 con respecto a la gestión de la seguridad, confidencialidad e integridad de los datos.
Solicitamos amablemente a la convocante la revisión de este requerimiento y, en su caso, la eliminación de la necesidad de presentar la certificación ISO 27001/2022 por no resultar técnicamente indispensable, ni determinante para los equipos solicitados, objetos del presente llamado., teniendo en cuenta que la certificación ISO 27001 está orientada a sistemas de gestión de seguridad de la información, mientras que el objeto del presente llamado es solo la adquisición de hardware (equipamiento tecnológico). En consecuencia, la certificación ISO 27001 no guarda relación directa con los productos solicitados y, por tanto, no resulta técnicamente indispensable para los fines del presente llamado, pudiendo gestionarse la seguridad de la información a través de otras alternativas sin necesidad de exigir la certificación solicitada, mediante la implementación de medidas adecuadas de configuración y gestión de los dispositivos adquiridos y otras medidas que documenten la cadena de custodia en el tratamiento de manejo de información sensible de la Entidad.
Además, en el Pliego de Bases y Condiciones no se observa que sean requeridas la migración y/o manipulación de datos e información que deba ser efectuada por el oferente. No existen riesgos asociados con las vulneraciones de datos y seguridad de la información, por lo que la certificación ISO 27001 del oferente resulta restrictiva para muchas empresas, especialmente para aquellas que, aunque no cuenten con esta certificación específica, tienen experiencia demostrable y soporte técnico
Lo solicitado encuentra sustento legal en virtud de lo establecido en el artículo Art. 45 de la Ley N° 7021/22 que dispone: “En los procedimientos de contratación será obligación de las convocantes elaborar las bases y condiciones del llamado con la mayor amplitud de acuerdo con la naturaleza específica del contrato con el objeto de que concurra el mayor número de Oferentes(…), en concordancia con lo establecido en el artículo 58 del nuevo Decreto Reglamentario N° 2264/2024, el cual dispone: “Las especificaciones técnicas que deban contener las bases de la contratación, se establecerán con la mayor amplitud de acuerdo con la naturaleza específica del contrato, con el objeto de que concurra el mayor número de oferentes”.
En el Pliego de Bases y Condiciones, en la sección de Requisitos de Participación y Criterios de Evaluación. En el punto n°6 de la capacidad técnica, se solicita:
El oferente deberá acreditar la Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico (no serán aceptadas certificaciones genéricas), la certificación superior debe basarse en los mismos criterios que solicita o certifica la norma ISO 27001/2022 con respecto a la gestión de la seguridad, confidencialidad e integridad de los datos.
Solicitamos amablemente a la convocante la revisión de este requerimiento y, en su caso, la eliminación de la necesidad de presentar la certificación ISO 27001/2022 por no resultar técnicamente indispensable, ni determinante para los equipos solicitados, objetos del presente llamado., teniendo en cuenta que la certificación ISO 27001 está orientada a sistemas de gestión de seguridad de la información, mientras que el objeto del presente llamado es solo la adquisición de hardware (equipamiento tecnológico). En consecuencia, la certificación ISO 27001 no guarda relación directa con los productos solicitados y, por tanto, no resulta técnicamente indispensable para los fines del presente llamado, pudiendo gestionarse la seguridad de la información a través de otras alternativas sin necesidad de exigir la certificación solicitada, mediante la implementación de medidas adecuadas de configuración y gestión de los dispositivos adquiridos y otras medidas que documenten la cadena de custodia en el tratamiento de manejo de información sensible de la Entidad.
Además, en el Pliego de Bases y Condiciones no se observa que sean requeridas la migración y/o manipulación de datos e información que deba ser efectuada por el oferente. No existen riesgos asociados con las vulneraciones de datos y seguridad de la información, por lo que la certificación ISO 27001 del oferente resulta restrictiva para muchas empresas, especialmente para aquellas que, aunque no cuenten con esta certificación específica, tienen experiencia demostrable y soporte técnico
Lo solicitado encuentra sustento legal en virtud de lo establecido en el artículo Art. 45 de la Ley N° 7021/22 que dispone: “En los procedimientos de contratación será obligación de las convocantes elaborar las bases y condiciones del llamado con la mayor amplitud de acuerdo con la naturaleza específica del contrato con el objeto de que concurra el mayor número de Oferentes(…), en concordancia con lo establecido en el artículo 58 del nuevo Decreto Reglamentario N° 2264/2024, el cual dispone: “Las especificaciones técnicas que deban contener las bases de la contratación, se establecerán con la mayor amplitud de acuerdo con la naturaleza específica del contrato, con el objeto de que concurra el mayor número de oferentes”.
En atención a las consultas formuladas, la entidad convocante informa que se ha emitido una Adenda al Pliego de Bases y Condiciones, en la cual se introducen ajustes relacionados con los aspectos mencionados.
3
Documentaciones reuqeridas
En las EETT estándar aprobadas por MITIC punto 23 expresa "Para garantizar a la institución, la garantía, así como la asistencia técnica especializada, será un requisito indispensable que la garantía pueda ser ejecutada en cualquiera de los CAS del país. El oferente deberá indicar cuales son los CAS que existen en el país. La gestión de la ejecución de la garantía, deberá poder ser hecha, directamente a través de cualquiera de los CAS del país, o en su defecto, a través del Oferente, corriendo en su caso, por cuenta del Oferente que resulte adjudicado, la gestión de dicha ejecución."
De acuerdo a la aprobación folio 19943 de modificaciones del estándar de MITIC, dicho punto 23 mencionado anteriormente NO FUE MODIFICADO, vale decir que el servicio de garantía debe ser realizado por el CAS de la marca ofertada, como también lo expresa el PBC en el apartado Capacidad técnica punto 1 donde expresa "El oferente deberá certificar la disponibilidad de Centro Autorizado de Servicios (CAS) por el fabricante, dirigido a la institución y con referencia al proceso."
En el punto 6 del mismo apartado capacidad técnica expresa "El oferente deberá acreditar la Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico (no serán aceptadas certificaciones genéricas), la certificación superior debe basarse en los mismos criterios que solicita o certifica la norma ISO 27001/2022 con respecto a la gestión de la seguridad, confidencialidad e integridad de los datos."
Este último punto, NO resulta indispensable en el caso de los oferentes ya que como lo expresáramos anteriormente, el servicio de garantía es dado a través del CAS de cada marca, para lo cual solicitan las documentaciones expresas tanto en el punto 1 de capacidad técnica como en el punto 23 de las EETT.
De ser indispensable dicha certificación, debería en primer lugar ser aprobada por MITIC y en segundo lugar que la misma fuera del CAS de la marca ofertada y no así del oferente.
Teniendo en cuenta que la certificación ISO 27001 está orientada a sistemas de gestión de seguridad de la información, mientras que el objeto del presente llamado es solo la adquisición de hardware (equipamiento tecnológico). En consecuencia, la certificación ISO 27001 no guarda relación directa con los productos solicitados y, por tanto, no resulta técnicamente indispensable para los fines del presente llamado.
Por todo lo antes mencionado SOLICITAMOS A LA CONVOCANTE, sea eliminado o pase a ser opcional este requisito de ISO 27001 de manera a dar oportunidades a mayor cantidad de oferentes.
Lo solicitado encuentra sustento legal en virtud de lo establecido en el artículo Art. 45 de la Ley N° 7021/22 que dispone: “En los procedimientos de contratación será obligación de las convocantes elaborar las bases y condiciones del llamado con la mayor amplitud de acuerdo con la naturaleza específica del contrato con el objeto de que concurra el mayor número de Oferentes(…), en concordancia con lo establecido en el artículo 58 del nuevo Decreto Reglamentario N° 2264/2024, el cual dispone: “Las especificaciones técnicas que deban contener las bases de la contratación, se establecerán con la mayor amplitud de acuerdo con la naturaleza específica del contrato, con el objeto de que concurra el mayor número de oferentes”.
En las EETT estándar aprobadas por MITIC punto 23 expresa "Para garantizar a la institución, la garantía, así como la asistencia técnica especializada, será un requisito indispensable que la garantía pueda ser ejecutada en cualquiera de los CAS del país. El oferente deberá indicar cuales son los CAS que existen en el país. La gestión de la ejecución de la garantía, deberá poder ser hecha, directamente a través de cualquiera de los CAS del país, o en su defecto, a través del Oferente, corriendo en su caso, por cuenta del Oferente que resulte adjudicado, la gestión de dicha ejecución."
De acuerdo a la aprobación folio 19943 de modificaciones del estándar de MITIC, dicho punto 23 mencionado anteriormente NO FUE MODIFICADO, vale decir que el servicio de garantía debe ser realizado por el CAS de la marca ofertada, como también lo expresa el PBC en el apartado Capacidad técnica punto 1 donde expresa "El oferente deberá certificar la disponibilidad de Centro Autorizado de Servicios (CAS) por el fabricante, dirigido a la institución y con referencia al proceso."
En el punto 6 del mismo apartado capacidad técnica expresa "El oferente deberá acreditar la Certificación ISO 27001/2022 o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico (no serán aceptadas certificaciones genéricas), la certificación superior debe basarse en los mismos criterios que solicita o certifica la norma ISO 27001/2022 con respecto a la gestión de la seguridad, confidencialidad e integridad de los datos."
Este último punto, NO resulta indispensable en el caso de los oferentes ya que como lo expresáramos anteriormente, el servicio de garantía es dado a través del CAS de cada marca, para lo cual solicitan las documentaciones expresas tanto en el punto 1 de capacidad técnica como en el punto 23 de las EETT.
De ser indispensable dicha certificación, debería en primer lugar ser aprobada por MITIC y en segundo lugar que la misma fuera del CAS de la marca ofertada y no así del oferente.
Teniendo en cuenta que la certificación ISO 27001 está orientada a sistemas de gestión de seguridad de la información, mientras que el objeto del presente llamado es solo la adquisición de hardware (equipamiento tecnológico). En consecuencia, la certificación ISO 27001 no guarda relación directa con los productos solicitados y, por tanto, no resulta técnicamente indispensable para los fines del presente llamado.
Por todo lo antes mencionado SOLICITAMOS A LA CONVOCANTE, sea eliminado o pase a ser opcional este requisito de ISO 27001 de manera a dar oportunidades a mayor cantidad de oferentes.
Lo solicitado encuentra sustento legal en virtud de lo establecido en el artículo Art. 45 de la Ley N° 7021/22 que dispone: “En los procedimientos de contratación será obligación de las convocantes elaborar las bases y condiciones del llamado con la mayor amplitud de acuerdo con la naturaleza específica del contrato con el objeto de que concurra el mayor número de Oferentes(…), en concordancia con lo establecido en el artículo 58 del nuevo Decreto Reglamentario N° 2264/2024, el cual dispone: “Las especificaciones técnicas que deban contener las bases de la contratación, se establecerán con la mayor amplitud de acuerdo con la naturaleza específica del contrato, con el objeto de que concurra el mayor número de oferentes”.
En atención a las consultas formuladas, la entidad convocante informa que se ha emitido una Adenda al Pliego de Bases y Condiciones, en la cual se introducen ajustes relacionados con los aspectos mencionados.