Punto 23 (Visualización de subdominios/URLs JS desde el navegador)
El requerimiento solicitado constituye una funcionalidad muy específica que en la práctica solamente un fabricante ofrece de manera nativa, lo cual limita la concurrencia. Además, la dependencia de visibilidad del lado del navegador introduce riesgos de compatibilidad y sobrecarga en la puesta en producción.
Solicitud: Que este requerimiento sea considerado opcional, admitiendo que el objetivo de seguridad puede cumplirse con mecanismos estándar equivalentes (HTTP Header Protection, CSRF, MiTB Defense, Cookie Security, Bot Mitigation, etc.).
30-09-2025
02-10-2025
Punto 23 (Visualización de subdominios/URLs JS desde el navegador)
El requerimiento solicitado constituye una funcionalidad muy específica que en la práctica solamente un fabricante ofrece de manera nativa, lo cual limita la concurrencia. Además, la dependencia de visibilidad del lado del navegador introduce riesgos de compatibilidad y sobrecarga en la puesta en producción.
Solicitud: Que este requerimiento sea considerado opcional, admitiendo que el objetivo de seguridad puede cumplirse con mecanismos estándar equivalentes (HTTP Header Protection, CSRF, MiTB Defense, Cookie Security, Bot Mitigation, etc.).
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. Los ítems 23, 24, 25, 27, 28 y 67 son obligatorios según las EETT y no pueden ser considerados opcionales. Su cumplimiento es esencial para garantizar la protección integral WAAP solicitada.
103
Puntos 24 y 25 (Protección del lado del cliente – descubrimiento continuo, bloqueo y notificaciones en tiempo real)
Estas funcionalidades corresponden a capacidades avanzadas y no universales en entornos WAAP. Su exigencia como obligatorias restringe la competencia a un único fabricante, generando un sesgo tecnológico. Además, su despliegue requiere configuraciones complejas que pueden retrasar la puesta en producción y encarecer innecesariamente el servicio.
Solicitud: Que las funcionalidades de los puntos 24 y 25 se consideren opcionales o de valor agregado, de modo que los oferentes que dispongan de ellas puedan presentarlas, pero no excluir a otras soluciones igualmente robustas que cumplen los objetivos principales de protección de aplicaciones y APIs.
30-09-2025
02-10-2025
Puntos 24 y 25 (Protección del lado del cliente – descubrimiento continuo, bloqueo y notificaciones en tiempo real)
Estas funcionalidades corresponden a capacidades avanzadas y no universales en entornos WAAP. Su exigencia como obligatorias restringe la competencia a un único fabricante, generando un sesgo tecnológico. Además, su despliegue requiere configuraciones complejas que pueden retrasar la puesta en producción y encarecer innecesariamente el servicio.
Solicitud: Que las funcionalidades de los puntos 24 y 25 se consideren opcionales o de valor agregado, de modo que los oferentes que dispongan de ellas puedan presentarlas, pero no excluir a otras soluciones igualmente robustas que cumplen los objetivos principales de protección de aplicaciones y APIs.
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. Los ítems 23, 24, 25, 27, 28 y 67 son obligatorios según las EETT y no pueden ser considerados opcionales. Su cumplimiento es esencial para garantizar la protección integral WAAP solicitada.
104
Punto 27 (Importación de SDL Schemas para GraphQL)
La exigencia de importación de SDL Schemas obliga a un enfoque técnico único que no es predominante en la industria, y en la práctica solo un fabricante lo soporta. Existen alternativas reconocidas y equivalentes (validación de consultas por profundidad, tamaño, control de parámetros y rate limiting) que permiten proteger APIs GraphQL sin requerir SDL.
Solicitud: Que este punto sea considerado opcional, permitiendo la acreditación de mecanismos alternativos de protección para GraphQL.
30-09-2025
02-10-2025
Punto 27 (Importación de SDL Schemas para GraphQL)
La exigencia de importación de SDL Schemas obliga a un enfoque técnico único que no es predominante en la industria, y en la práctica solo un fabricante lo soporta. Existen alternativas reconocidas y equivalentes (validación de consultas por profundidad, tamaño, control de parámetros y rate limiting) que permiten proteger APIs GraphQL sin requerir SDL.
Solicitud: Que este punto sea considerado opcional, permitiendo la acreditación de mecanismos alternativos de protección para GraphQL.
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. Los ítems 23, 24, 25, 27, 28 y 67 son obligatorios según las EETT y no pueden ser considerados opcionales. Su cumplimiento es esencial para garantizar la protección integral WAAP solicitada.
105
Punto 28 (Descubrimiento de API por machine learning con generación de OpenAPI)
El soporte obligatorio de machine learning para descubrimiento de APIs constituye una funcionalidad avanzada y de nicho, disponible únicamente en un fabricante. Imponerlo como obligatorio restringe la concurrencia y genera riesgos operativos, ya que estos mecanismos pueden producir falsos positivos/negativos y requerir entrenamiento adicional antes de la puesta en marcha.
Solicitud: Que este punto se establezca como opcional, aceptando mecanismos de descubrimiento convencionales (manuales, CI/CD, integración con repositorios) como alternativa válida.
30-09-2025
02-10-2025
Punto 28 (Descubrimiento de API por machine learning con generación de OpenAPI)
El soporte obligatorio de machine learning para descubrimiento de APIs constituye una funcionalidad avanzada y de nicho, disponible únicamente en un fabricante. Imponerlo como obligatorio restringe la concurrencia y genera riesgos operativos, ya que estos mecanismos pueden producir falsos positivos/negativos y requerir entrenamiento adicional antes de la puesta en marcha.
Solicitud: Que este punto se establezca como opcional, aceptando mecanismos de descubrimiento convencionales (manuales, CI/CD, integración con repositorios) como alternativa válida.
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. Los ítems 23, 24, 25, 27, 28 y 67 son obligatorios según las EETT y no pueden ser considerados opcionales. Su cumplimiento es esencial para garantizar la protección integral WAAP solicitada.
106
Punto 67 (Reglas para remover, reescribir e insertar encabezados en el response)
La capacidad de manipular encabezados de respuesta es una funcionalidad avanzada de integración, no esencial para la seguridad básica. Exigirla como obligatoria restringe la competencia a un número muy limitado de soluciones, y puede generar riesgos de compatibilidad con aplicaciones legadas en producción.
Solicitud: Que este punto se considere opcional, reconociéndolo como un valor agregado pero no como condición excluyente.
30-09-2025
02-10-2025
Punto 67 (Reglas para remover, reescribir e insertar encabezados en el response)
La capacidad de manipular encabezados de respuesta es una funcionalidad avanzada de integración, no esencial para la seguridad básica. Exigirla como obligatoria restringe la competencia a un número muy limitado de soluciones, y puede generar riesgos de compatibilidad con aplicaciones legadas en producción.
Solicitud: Que este punto se considere opcional, reconociéndolo como un valor agregado pero no como condición excluyente.
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. Los ítems 23, 24, 25, 27, 28 y 67 son obligatorios según las EETT y no pueden ser considerados opcionales. Su cumplimiento es esencial para garantizar la protección integral WAAP solicitada.
107
Riesgos con mecanismos de seguridad Client-Side
Cuando se implementan soluciones WAAP con mecanismos de seguridad Client-Side, surgen inconvenientes técnicos y riesgos operativos que deben ser considerados, tales como:
1. Fragmentación de seguridad: integración incompleta entre WAAP y client-side (ej. CSP, reCAPTCHA, JS de protección).
2. Falsos positivos y negativos: headers y payloads no estándar que generan bloqueos indebidos o dejan pasar tráfico malicioso.
3. Dependencia del navegador y dispositivo: fallas en navegadores obsoletos o móviles.
4. Riesgos de manipulación del cliente: atacantes que alteran o deshabilitan scripts client-side.
5. Problemas de rendimiento y experiencia de usuario: mayor latencia y errores en funcionalidades legítimas.
6. Desalineación en actualizaciones: incompatibilidades entre versiones que pueden derivar en vulnerabilidades.
Estos puntos, lejos de mejorar la seguridad, pueden afectar la eficacia, la integración y la experiencia del usuario final, además de generar retrasos y riesgos en la puesta en producción.
Solicitud: Que los requerimientos citados en las consultas 102, 103, 104, 105 y 106 se consideren opcionales, permitiendo que los oferentes puedan presentar soluciones robustas, reconocidas internacionalmente y probadas en entornos críticos, aunque no cuenten con todos estos mecanismos específicos. Esto aumentaría la participación de oferentes, beneficiaría directamente a la entidad convocante con mejores precios y condiciones, y mantendría el nivel de seguridad requerido.
Cuando se implementan soluciones WAAP con mecanismos de seguridad Client-Side, surgen inconvenientes técnicos y riesgos operativos que deben ser considerados, tales como:
1. Fragmentación de seguridad: integración incompleta entre WAAP y client-side (ej. CSP, reCAPTCHA, JS de protección).
2. Falsos positivos y negativos: headers y payloads no estándar que generan bloqueos indebidos o dejan pasar tráfico malicioso.
3. Dependencia del navegador y dispositivo: fallas en navegadores obsoletos o móviles.
4. Riesgos de manipulación del cliente: atacantes que alteran o deshabilitan scripts client-side.
5. Problemas de rendimiento y experiencia de usuario: mayor latencia y errores en funcionalidades legítimas.
6. Desalineación en actualizaciones: incompatibilidades entre versiones que pueden derivar en vulnerabilidades.
Estos puntos, lejos de mejorar la seguridad, pueden afectar la eficacia, la integración y la experiencia del usuario final, además de generar retrasos y riesgos en la puesta en producción.
Solicitud: Que los requerimientos citados en las consultas 102, 103, 104, 105 y 106 se consideren opcionales, permitiendo que los oferentes puedan presentar soluciones robustas, reconocidas internacionalmente y probadas en entornos críticos, aunque no cuenten con todos estos mecanismos específicos. Esto aumentaría la participación de oferentes, beneficiaría directamente a la entidad convocante con mejores precios y condiciones, y mantendría el nivel de seguridad requerido.
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1.
108
Especificaciones Técnicas de la Solución de ciberseguridad WAAP para protección contra ataques en capa de aplicación web
En relación al ítem de especificaciones técnicas obligatorias del llamado sobre “Suscripción de Licencias de Firewall de Aplicaciones Web (WAF)”, específicamente donde se indica:
“El servicio debe contar al menos una combinación de los siguientes estándares de seguridad y calidad o similares:
ISO/IEC 27001:2013
ISO/IEC 27032:2012
ISO/IEC 27017:2015
ISO/IEC 27018:2014”
Solicitamos se aclare lo siguiente:
¿Cuál es la cantidad mínima de certificaciones requeridas para que se considere cumplido este requisito?
¿La combinación puede incluir cualquiera de las certificaciones mencionadas o debe obligatoriamente incluir la ISO/IEC 27001:2013?
¿Se aceptarán certificaciones equivalentes o similares emitidas por organismos internacionales reconocidos, en caso de no contar con todas las certificaciones mencionadas?
¿Las certificaciones deben estar a nombre del fabricante del servicio en la nube, del proveedor local o del producto específico ofertado?
Agradeceremos la aclaración correspondiente para asegurar el cumplimiento cabal de los requisitos exigidos y la correcta preparación de la oferta técnica, conforme los principios de igualdad y libre competencia establecidos en el artículo 4 de la Ley 7021/22.
01-10-2025
02-10-2025
Especificaciones Técnicas de la Solución de ciberseguridad WAAP para protección contra ataques en capa de aplicación web
En relación al ítem de especificaciones técnicas obligatorias del llamado sobre “Suscripción de Licencias de Firewall de Aplicaciones Web (WAF)”, específicamente donde se indica:
“El servicio debe contar al menos una combinación de los siguientes estándares de seguridad y calidad o similares:
ISO/IEC 27001:2013
ISO/IEC 27032:2012
ISO/IEC 27017:2015
ISO/IEC 27018:2014”
Solicitamos se aclare lo siguiente:
¿Cuál es la cantidad mínima de certificaciones requeridas para que se considere cumplido este requisito?
¿La combinación puede incluir cualquiera de las certificaciones mencionadas o debe obligatoriamente incluir la ISO/IEC 27001:2013?
¿Se aceptarán certificaciones equivalentes o similares emitidas por organismos internacionales reconocidos, en caso de no contar con todas las certificaciones mencionadas?
¿Las certificaciones deben estar a nombre del fabricante del servicio en la nube, del proveedor local o del producto específico ofertado?
Agradeceremos la aclaración correspondiente para asegurar el cumplimiento cabal de los requisitos exigidos y la correcta preparación de la oferta técnica, conforme los principios de igualdad y libre competencia establecidos en el artículo 4 de la Ley 7021/22.
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. Las especificaciones no establecen un número mínimo explícito. El requisito (ítem 88) indica que el servicio debe contar con "al menos una combinación" de los estándares mencionados o similares. Se recomienda priorizar la ISO 27001 por ser la base de los sistemas de gestión de seguridad con cualquiera de las demás citadas.
109
Soluciones WAAP
En relación con los requerimientos técnicos especificados en las consultas N.º 102, 103, 104, 105 y 106, que aluden a la implementación de mecanismos de seguridad del tipo Client-Side en soluciones WAAP, solicitamos se sirvan aclarar si tales requerimientos son de cumplimiento obligatorio o si podrán ser considerados como criterios opcionales o de valoración técnica, permitiendo la presentación de soluciones alternativas con niveles equivalentes o superiores de seguridad.
Motiva esta solicitud el hecho de que la exigencia de funcionalidades Client-Side conlleva riesgos operativos y técnicos que podrían comprometer la eficacia de la solución, entre los cuales se mencionan:
Fragmentación de la arquitectura de seguridad, ante la integración parcial entre los módulos WAAP y los scripts client-side (como CSP, reCAPTCHA o JavaScript propietario).
Aumento de falsos positivos y negativos, derivados del tratamiento de headers y payloads no estándar que pueden bloquear tráfico legítimo o permitir la evasión de controles.
Dependencia tecnológica del navegador o dispositivo del usuario final, lo que podría ocasionar fallos en navegadores desactualizados o plataformas móviles.
Mayor superficie de ataque por la posibilidad de manipulación o desactivación de scripts por parte de atacantes con acceso al entorno del cliente.
Impacto en el rendimiento y la experiencia del usuario, con latencias adicionales y potenciales interrupciones de funcionalidades legítimas.
Problemas de compatibilidad y mantenimiento, especialmente en entornos donde las actualizaciones de scripts y servicios no están sincronizadas.
Dado el carácter restrictivo que implican estos requerimientos y sus potenciales efectos adversos en la operación del servicio, consideramos que su exigencia obligatoria podría limitar injustificadamente la participación de oferentes que cuentan con soluciones robustas, reconocidas internacionalmente y desplegadas en infraestructuras críticas, pero que optan por arquitecturas alternativas server-side o híbridas.
Solicitud específica: se solicita que dichos requerimientos sean considerados como opcionales o bien sujetos a puntaje técnico, de modo a garantizar la pluralidad de ofertas, fomentar la competencia y permitir a la entidad convocante acceder a mejores condiciones técnicas y económicas, sin menoscabar la seguridad requerida. Resguardando los principios de igualdad y libre competencia establecidos en el artículo 4 de la ley 7021/22
En relación con los requerimientos técnicos especificados en las consultas N.º 102, 103, 104, 105 y 106, que aluden a la implementación de mecanismos de seguridad del tipo Client-Side en soluciones WAAP, solicitamos se sirvan aclarar si tales requerimientos son de cumplimiento obligatorio o si podrán ser considerados como criterios opcionales o de valoración técnica, permitiendo la presentación de soluciones alternativas con niveles equivalentes o superiores de seguridad.
Motiva esta solicitud el hecho de que la exigencia de funcionalidades Client-Side conlleva riesgos operativos y técnicos que podrían comprometer la eficacia de la solución, entre los cuales se mencionan:
Fragmentación de la arquitectura de seguridad, ante la integración parcial entre los módulos WAAP y los scripts client-side (como CSP, reCAPTCHA o JavaScript propietario).
Aumento de falsos positivos y negativos, derivados del tratamiento de headers y payloads no estándar que pueden bloquear tráfico legítimo o permitir la evasión de controles.
Dependencia tecnológica del navegador o dispositivo del usuario final, lo que podría ocasionar fallos en navegadores desactualizados o plataformas móviles.
Mayor superficie de ataque por la posibilidad de manipulación o desactivación de scripts por parte de atacantes con acceso al entorno del cliente.
Impacto en el rendimiento y la experiencia del usuario, con latencias adicionales y potenciales interrupciones de funcionalidades legítimas.
Problemas de compatibilidad y mantenimiento, especialmente en entornos donde las actualizaciones de scripts y servicios no están sincronizadas.
Dado el carácter restrictivo que implican estos requerimientos y sus potenciales efectos adversos en la operación del servicio, consideramos que su exigencia obligatoria podría limitar injustificadamente la participación de oferentes que cuentan con soluciones robustas, reconocidas internacionalmente y desplegadas en infraestructuras críticas, pero que optan por arquitecturas alternativas server-side o híbridas.
Solicitud específica: se solicita que dichos requerimientos sean considerados como opcionales o bien sujetos a puntaje técnico, de modo a garantizar la pluralidad de ofertas, fomentar la competencia y permitir a la entidad convocante acceder a mejores condiciones técnicas y económicas, sin menoscabar la seguridad requerida. Resguardando los principios de igualdad y libre competencia establecidos en el artículo 4 de la ley 7021/22