Buenas, se remite a la convocante la siguiente consulta sobre este fragmento del PBC:
Se deberá acreditar que el giro comercial de la empresa corresponde al procedimiento de contratación ofertado, para lo cual deberá presentar copia simple y legible del documento que acredite la actividad comercial, industrial o de servicio, pudiendo ser: la constancia de RUC, patente municipal o documentos constitutivos, siempre que de la documentación se desprenda su actividad comercial y la correspondencia al procedimiento objetado. Cuando no resulte aplicable la constancia de RUC o la patente municipal, el oferente deberá manifestar y justificar esta condición en su oferta y presentar otra documentación a los efectos de acreditar el giro comercial.
Consulta:
A que se refiere con giro comercial? Cual serían las actividades aceptadas? Se aceptan actividades de consultoría y gestiónd de servicios informáticos?
Buenas, se remite a la convocante la siguiente consulta sobre este fragmento del PBC:
Se deberá acreditar que el giro comercial de la empresa corresponde al procedimiento de contratación ofertado, para lo cual deberá presentar copia simple y legible del documento que acredite la actividad comercial, industrial o de servicio, pudiendo ser: la constancia de RUC, patente municipal o documentos constitutivos, siempre que de la documentación se desprenda su actividad comercial y la correspondencia al procedimiento objetado. Cuando no resulte aplicable la constancia de RUC o la patente municipal, el oferente deberá manifestar y justificar esta condición en su oferta y presentar otra documentación a los efectos de acreditar el giro comercial.
Consulta:
A que se refiere con giro comercial? Cual serían las actividades aceptadas? Se aceptan actividades de consultoría y gestiónd de servicios informáticos?
El Fragmento mencionado corresponde al estándar aprobado por la DNCP, favor considerar lo dispuesto en su texto " Se deberá acreditar que el giro comercial de la empresa corresponde al procedimiento de contratación ofertado..." "...deberá presentar copia simple y legible del documento que acredite la actividad comercial, industrial o de servicio, pudiendo ser: la constancia de RUC, patente municipal o documentos constitutivos, siempre que de la documentación se desprenda su actividad comercial y la correspondencia al procedimiento objetado."
2
Herramientas para navegadores web - EETT
Herramientas para navegadores web que minimicen el impacto de ataques de phishing para clientes del Banco
¿Qué tipo de herramienta se espera específicamente? (ej. ¿Una extensión/plugin de navegador desarrollada a medida, una funcionalidad de seguridad nativa de la plataforma ofrecida, o alguna otra solución complementaria?)
Herramientas para navegadores web que minimicen el impacto de ataques de phishing para clientes del Banco
¿Qué tipo de herramienta se espera específicamente? (ej. ¿Una extensión/plugin de navegador desarrollada a medida, una funcionalidad de seguridad nativa de la plataforma ofrecida, o alguna otra solución complementaria?)
Se transcribe respuesta de la dependencia requirente: Se espera una solución tecnológica que independientemente de su arquitectura cuente con la capacidad de proteger al cliente de manera preventiva. El criterio esencial de aceptación es que la protección se ejecute de forma automática, bloqueando o neutralizando el acceso a sitios maliciosos antes de que se materialice el riesgo y que este proceso ocurra de manera transparente, sin necesidad de ninguna acción, configuración o intervención manual por parte del cliente final para ser efectiva.
3
Herramienta para navegador web
¿Es responsabilidad del banco la instalación y despliegue masivo de esta herramienta en los navegadores de los clientes finales, o es una herramienta de uso opcional y autogestionado por el cliente?
¿Es responsabilidad del banco la instalación y despliegue masivo de esta herramienta en los navegadores de los clientes finales, o es una herramienta de uso opcional y autogestionado por el cliente?
Se transcribe respuesta de la dependencia requirente: La responsabilidad del Banco se limita únicamente a poner a disposición el acceso, instalador oficial o funcionalidad a través de sus canales digitales públicos.
4
Punto 16
En el apartado SUMINISTROS REQUERIDOS ESPECIFICACIONES TÉCNICAS ITEM 16 el requerimiento cita: "La solución debe de identificar y desactivar el uso no autorizado de material con contenido protegido por leyes de propiedad intelectual y/o leyes de protección de marca o de uso indebido no autorizado de marcas que sean objeto del servicio de detección de fraude"
Consulta: Favor de compartir un ejemplo del caso de uso específico de este requerimiento para dimensionar correctamente el servicio.
En el apartado SUMINISTROS REQUERIDOS ESPECIFICACIONES TÉCNICAS ITEM 16 el requerimiento cita: "La solución debe de identificar y desactivar el uso no autorizado de material con contenido protegido por leyes de propiedad intelectual y/o leyes de protección de marca o de uso indebido no autorizado de marcas que sean objeto del servicio de detección de fraude"
Consulta: Favor de compartir un ejemplo del caso de uso específico de este requerimiento para dimensionar correctamente el servicio.
Se transcribe respuesta de la dependencia requirente: Un caso de uso específico para este requerimiento sería la detección de uso no autorizado de logotipos o imagen corporativa en sitios web de terceros que, sin ser necesariamente phishing transaccional, buscan engañar al usuario ofreciendo falsos préstamos, promociones o sorteos en nombre del Banco. La solución debe ser capaz de identificar fraudes mediante el reconocimiento de imágenes o texto y gestionar su baja.
5
Punto 21
En el apartado SUMINISTROS REQUERIDOS ESPECIFICACIONES TÉCNICAS ITEM 21 el requerimiento cita: " El servicio ofrecido debe contar con un portal o consola de administración, en la que se tenga la capacidad de monitoreo en tiempo real de la actividad anómala de phishing, reporte de nuevos casos, seguimiento de incidentes, estadísticas de gestión, reportes de incidentes en tiempo real e historial de casos, entre otros.
Consulta: Favor de compartir un ejemplo de la actividad anómala mencionada en este requerimiento para dimensionar correctamente el servicio.
En el apartado SUMINISTROS REQUERIDOS ESPECIFICACIONES TÉCNICAS ITEM 21 el requerimiento cita: " El servicio ofrecido debe contar con un portal o consola de administración, en la que se tenga la capacidad de monitoreo en tiempo real de la actividad anómala de phishing, reporte de nuevos casos, seguimiento de incidentes, estadísticas de gestión, reportes de incidentes en tiempo real e historial de casos, entre otros.
Consulta: Favor de compartir un ejemplo de la actividad anómala mencionada en este requerimiento para dimensionar correctamente el servicio.
Se transcribe respuesta de la dependencia requirente: Una actividad anómala es la detección de una campaña masiva de registro de dominios en un corto periodo de tiempo. El portal debe permitir visualizar estos picos de actividad, identificar si pertenecen a un mismo actor y mostrar la evolución de la campaña.
6
Punto 22
En el apartado SUMINISTROS REQUERIDOS ESPECIFICACIONES TÉCNICAS ITEM 22 el requerimiento cita: " El servicio debe incluir los respectivos análisis de los datos de los incidentes. Debe incluir los detalles de los incidentes, tales como: posibles causas, fuentes de los ataques, tomando en cuenta la evidencia que esté disponible.
Consulta: Favor de compartir un ejemplo del tipo de incidentes a detectar para dimensionar correctamente el servicio.
En el apartado SUMINISTROS REQUERIDOS ESPECIFICACIONES TÉCNICAS ITEM 22 el requerimiento cita: " El servicio debe incluir los respectivos análisis de los datos de los incidentes. Debe incluir los detalles de los incidentes, tales como: posibles causas, fuentes de los ataques, tomando en cuenta la evidencia que esté disponible.
Consulta: Favor de compartir un ejemplo del tipo de incidentes a detectar para dimensionar correctamente el servicio.
Se transcribe respuesta de la dependencia requirente: La solución debe cubrir, sin limitarse a los citados, escenarios de Phishing Web Tradicional,
Suplantación en Redes Sociales, Aplicaciones Móviles Fraudulentas, etc.
7
PBC
Alcance de las Acciones de Detención de Fraude
Referencia del Pliego:
* Punto 4.4: El servicio ofertado deberá permitir además ejecutar acciones que tiendan a eliminar o detener el fraude.
* Punto 19.19: La solución debe ser capaz de detectar y gestionar la desactivación de sitios.
Consulta:
En relación con la capacidad de "detener el fraude", se consulta si se considera un cumplimiento válido la implementación de mecanismos de bloqueo inmediato en el punto final (endpoint) del usuario, complementarios a la gestión de baja del sitio.
Alcance de las Acciones de Detención de Fraude
Referencia del Pliego:
* Punto 4.4: El servicio ofertado deberá permitir además ejecutar acciones que tiendan a eliminar o detener el fraude.
* Punto 19.19: La solución debe ser capaz de detectar y gestionar la desactivación de sitios.
Consulta:
En relación con la capacidad de "detener el fraude", se consulta si se considera un cumplimiento válido la implementación de mecanismos de bloqueo inmediato en el punto final (endpoint) del usuario, complementarios a la gestión de baja del sitio.
Se transcribe respuesta de la dependencia requirente: Sí, se considera un cumplimiento válido. Se aceptará la funcionalidad de Bloqueo Preventivo como medida de mitigación inmediata.
8
PBC
Herramientas de Protección para el Usuario Final
Referencia del Pliego:
* Punto 26.26: Herramientas para navegadores web que instaladas en los equipos permitan minimizar el impacto de ataques de phishing.
Consulta:
Se consulta si el requisito de "herramientas para navegadores" puede ser cubierto mediante un agente de seguridad que intercepte y analice el tráfico de red a nivel de dispositivo, protegiendo así la navegación independientemente del navegador utilizado.
Herramientas de Protección para el Usuario Final
Referencia del Pliego:
* Punto 26.26: Herramientas para navegadores web que instaladas en los equipos permitan minimizar el impacto de ataques de phishing.
Consulta:
Se consulta si el requisito de "herramientas para navegadores" puede ser cubierto mediante un agente de seguridad que intercepte y analice el tráfico de red a nivel de dispositivo, protegiendo así la navegación independientemente del navegador utilizado.
Se transcribe respuesta de la dependencia requirente: Si, se considerará cubierto el requisito por un agente de seguridad que intercepte y analice el tráfico de red protegiendo así la navegación independientemente del navegador utilizado.
9
PBC
Cobertura de Tiendas de Aplicaciones y Análisis Forense
Referencia del Pliego:
* Punto 9.9: Búsqueda de aplicaciones móviles en tiendas oficiales y tiendas paralelas.
* Punto 27.27: Capaz de analizar e informar sobre la morfología del ataque, su origen, las técnicas del mismo.
Consulta:
Sobre el monitoreo de tiendas paralelas, se consulta si la solución debe tener la capacidad técnica de indexar y buscar en repositorios de terceros específicos y en la web abierta, más allá de las tiendas oficiales estándar.
Cobertura de Tiendas de Aplicaciones y Análisis Forense
Referencia del Pliego:
* Punto 9.9: Búsqueda de aplicaciones móviles en tiendas oficiales y tiendas paralelas.
* Punto 27.27: Capaz de analizar e informar sobre la morfología del ataque, su origen, las técnicas del mismo.
Consulta:
Sobre el monitoreo de tiendas paralelas, se consulta si la solución debe tener la capacidad técnica de indexar y buscar en repositorios de terceros específicos y en la web abierta, más allá de las tiendas oficiales estándar.
Se transcribe respuesta de la dependencia requirente: Sí, es un requisito indispensable. La solución debe contar con capacidades de Monitoreo de Amenazas Móviles que abarquen no solo las tiendas oficiales (Google Play/App Store), sino también la indexación de tiendas de terceros y la web abierta. Esto es crítico para identificar aplicaciones maliciosas que se distribuyen fuera de los canales controlados.
10
PBC
Sobre el monitoreo de tiendas paralelas, se consulta si la solución debe tener la capacidad técnica de indexar y buscar en repositorios de terceros específicos y en la web abierta, más allá de las tiendas oficiales estándar.
Sobre el monitoreo de tiendas paralelas, se consulta si la solución debe tener la capacidad técnica de indexar y buscar en repositorios de terceros específicos y en la web abierta, más allá de las tiendas oficiales estándar.
Se transcribe respuesta de la dependencia requirente: Sí, es un requisito indispensable. La solución debe contar con capacidades de Monitoreo de Amenazas Móviles que abarquen no solo las tiendas oficiales (Google Play/App Store), sino también la indexación de tiendas de terceros y la web abierta. Esto es crítico para identificar aplicaciones maliciosas que se distribuyen fuera de los canales controlados.