Al ser el objeto de este llamado:
Comprende:
- Plataforma Central de Servicios Web de Firma y Validación.
- Certificado Digital de Persona Jurídica.
- Placa HSM.
- Certificados digitales de Persona Física en Token.
- Componente de firma local para tokens.
- Asistencia técnica y capacitación.
- Garantía y soporte
Consultamos: El BNF gestionará sus propias firmas digitales?
Al ser el objeto de este llamado:
Comprende:
- Plataforma Central de Servicios Web de Firma y Validación.
- Certificado Digital de Persona Jurídica.
- Placa HSM.
- Certificados digitales de Persona Física en Token.
- Componente de firma local para tokens.
- Asistencia técnica y capacitación.
- Garantía y soporte
Consultamos: El BNF gestionará sus propias firmas digitales?
El objeto del llamado es adquirir una infraestructura de hardware y software que provea una solución de servicios de firma/validación y la adquisición de certificados digitales. Si por gestión de sus propias firmas digitales se refieren a la gestión del proceso de firma con certificados propios de la institución BNF, como persona jurídica, la respuesta es SI.
2
Ley 4017/10
Se encuentra el BNF habilitado para prestar el servicio de emisión, gestión, revocación u otros servicios inherentes a la certificación de firma digital conforme el marco de la Ley 4017/2010 y su modificación y ampliación a través de la Ley 4610/12?
Se encuentra el BNF habilitado para prestar el servicio de emisión, gestión, revocación u otros servicios inherentes a la certificación de firma digital conforme el marco de la Ley 4017/2010 y su modificación y ampliación a través de la Ley 4610/12?
El BNF no está habilitado como Prestador de Servicios de Certificación y no actuará como tal.
3
Limitaciones
El Decreto Reglamentario de la Ley N° 4017/2010, excluye a las instituciones públicas de la posibilidad de constituirse en prestadoras del servicio de certificación. La adquisición de una plataforma como la requerida no se ajusta a las disposiciones legales que rigen actualmente, por lo cual solicitamos el objeto del llamado se sujete a la Ley, debiendo contratarse únicamente el servicio, mas no el equipo que en la practica es de tenencia de los prestadores de servicio para no arriesgar autenticidad, no repudio e integridad del servicio
El Decreto Reglamentario de la Ley N° 4017/2010, excluye a las instituciones públicas de la posibilidad de constituirse en prestadoras del servicio de certificación. La adquisición de una plataforma como la requerida no se ajusta a las disposiciones legales que rigen actualmente, por lo cual solicitamos el objeto del llamado se sujete a la Ley, debiendo contratarse únicamente el servicio, mas no el equipo que en la practica es de tenencia de los prestadores de servicio para no arriesgar autenticidad, no repudio e integridad del servicio
El BNF, tal cual la respuesta anterior, no está habilitado como Prestador de Servicios de Certificación y no actuará como tal, por lo tanto la adquisición de la plataforma requerida no vulnera la ley 4017/2010 ni ninguna otra disposición legal vigente.
4
forma de adjudicacion
El pliego establece una forma de adjudicación POR EL TOTAL. En el mercado existen 3 prestadores de servicio de certificación que pueden y están habilitados para la comercialización de Tokens y certificados digitales. Vincular la compra total de la plataforma con los token y certificados solicitados es limitativo y contrario al principio de libre competencia, solicitamos, que la adjudicación sea POR LOTE y los ítems de tokens y Certificados Digitales constituyan uno de ellos.
El pliego establece una forma de adjudicación POR EL TOTAL. En el mercado existen 3 prestadores de servicio de certificación que pueden y están habilitados para la comercialización de Tokens y certificados digitales. Vincular la compra total de la plataforma con los token y certificados solicitados es limitativo y contrario al principio de libre competencia, solicitamos, que la adjudicación sea POR LOTE y los ítems de tokens y Certificados Digitales constituyan uno de ellos.
El BNF no limita que los oferentes puedan ofertar token o certificados digitales de cualquiera de los prestadores de servicios de certificación, por lo tanto no es contrario al principio de libre competencia.
5
Definición técnica
El Pliego en su conjunto solicita soluciones para firmado digital de documentos, aplicaciones móviles e integración a dispositivos HSM.
Se solicita definición técnica y detalle sobre a qué sistemas internos del Banco se deberá integrar la solución ofertada, con descripción de sistemas operativos, bases de datos, aplicaciones propietarias o de paquete.
El Pliego en su conjunto solicita soluciones para firmado digital de documentos, aplicaciones móviles e integración a dispositivos HSM.
Se solicita definición técnica y detalle sobre a qué sistemas internos del Banco se deberá integrar la solución ofertada, con descripción de sistemas operativos, bases de datos, aplicaciones propietarias o de paquete.
La integración con los sistemas del BNF, tal como lo indica el pliego, podrá realizarse a través de servicios SOAP, REST o APIs. Es el oferente quien deberá indicar que Sistemas operativos, bases de datos, servidor de aplicaciones u otros que utiliza la plataforma propuesta.
6
Extensión del Servicio
En la página 20 del Pliego, del Plan de Entrega, indica el Ítem Extensión de Servicios para Implementación de uso y certificación de firmas electrónicas, sin embargo, en ningún lugar del Pliego se describe los detalles, características técnicas y operativas del ítem solicitado.
Sírvase describir las características técnicas y operativas del Item solicitado.
En la página 20 del Pliego, del Plan de Entrega, indica el Ítem Extensión de Servicios para Implementación de uso y certificación de firmas electrónicas, sin embargo, en ningún lugar del Pliego se describe los detalles, características técnicas y operativas del ítem solicitado.
Sírvase describir las características técnicas y operativas del Item solicitado.
No existe una extensión de Servicio, la implementación es una sola. Remitirse a la adenda N° 5.
7
Marco Legal
En la página 16 del Pliego dice Debe funcionar como proveedor de identidad (IdP) de usuarios que realicen firma remota centralizada, y debe implementar un proceso de registro para la provisión de una Identidad de Firma Centralizada basada en certificado digital e implementar el ciclo de vida asociado.
Al solicitar certificados emitidos en HSM, son por lo tanto de Firma Digital; El marco jurídico actual de firma digital, Ley 4017 del año 2010, Ley 4610 del año 2012, y sus reglamentaciones respectivas, no permiten la Custodia de Claves Privadas en un modo centralizado. Por lo tanto, solicitamos aclare la Ley/Reglamento/Decreto que establezca aquello
En la página 16 del Pliego dice Debe funcionar como proveedor de identidad (IdP) de usuarios que realicen firma remota centralizada, y debe implementar un proceso de registro para la provisión de una Identidad de Firma Centralizada basada en certificado digital e implementar el ciclo de vida asociado.
Al solicitar certificados emitidos en HSM, son por lo tanto de Firma Digital; El marco jurídico actual de firma digital, Ley 4017 del año 2010, Ley 4610 del año 2012, y sus reglamentaciones respectivas, no permiten la Custodia de Claves Privadas en un modo centralizado. Por lo tanto, solicitamos aclare la Ley/Reglamento/Decreto que establezca aquello
Los usuarios de la plataforma podrán utilizar certificados digitales emitidos en una PKI de los tipos indicados en el pliego: a) de un Prestador de Servicios de Certificación (PSC); ó b) de una Autoridad de Certificación interna para un ecosistema cerrado.
Aclaramos que los certificados del tipo "a" indicados anteriormente (de un PSC) podrán ser del TIPO F1 atendiendo a la Resolución N° 1400/2016 y la N° 115/18 del MIC. En caso de optar por esta modalidad, el PSC deberá contar con una política y un procedimiento de emisión de certificados digitales del TIPO F1 que cumpla la normativa del MIC, y también el medio de almacenamiento HSM de la clave privada del titular de este tipo de certificados deberá cumplir con la normativa del MIC. Remitirse a la adenda N° 5.
8
Certificacion Common Criteria
La Certificación Common Criteria que se dispuso en al Pliego está reconocida por 27 países. Consultamos si el Paraguay se encuentra dentro de este listado y/o existe algún tratado que lo haya ratificado o reconocido. Favor individualizar
La Certificación Common Criteria que se dispuso en al Pliego está reconocida por 27 países. Consultamos si el Paraguay se encuentra dentro de este listado y/o existe algún tratado que lo haya ratificado o reconocido. Favor individualizar
Lo solicitado en el pliego tiene como objetivo buscar la mejor solución técnica. El Common Criteria es un conjunto de estándares de seguridad internacionalmente aceptado que proporciona una evaluación inequívoca y fiable de las funciones de seguridad de los productos de las tecnologías de información, y que es de referencia para el sector de industria vinculado a seguridad digital. Adicionalmente, cabe destacar que Common Criteria ha sido incluido como parte del reconocido estándar ISO (estándar /SO/lEC 15408) por lo que es un requerimiento que el BNF entiende como un valor de importancia para la implantación de la solución.
9
Requerimiento de Certificación limitativo
En la página 11, ÍTEM 1, de las Especificaciones Técnicas del Pliego de Bases y Condiciones, ítem REQPlataforma Central de Servicios Web de Firma y Validación: solicita la certificación CommonCriteria, EAL4+.
Esta certificación de seguridad no es requisito indispensable para soluciones (software) de Firma Digital, según los requisitos de la propia Autoridad de Aplicación de Paraguay por lo cual debe ser excluido caso contrario se torna limitante
En la página 11, ÍTEM 1, de las Especificaciones Técnicas del Pliego de Bases y Condiciones, ítem REQPlataforma Central de Servicios Web de Firma y Validación: solicita la certificación CommonCriteria, EAL4+.
Esta certificación de seguridad no es requisito indispensable para soluciones (software) de Firma Digital, según los requisitos de la propia Autoridad de Aplicación de Paraguay por lo cual debe ser excluido caso contrario se torna limitante
Remitirse a la respuesta anterior. Lo solicitado en el pliego tiene como objetivo buscar la mejor solución técnica. El Common Criteria es un conjunto de estándares de seguridad internacionalmente aceptado que proporciona una evaluación inequívoca y fiable de las funciones de seguridad de los productos de las tecnologías de información, y que es de referencia para el sector de industria vinculado a seguridad digital. Adicionalmente, cabe destacar que Common Criteria ha sido incluido como parte del reconocido estándar ISO (estándar /SO/lEC 15408) por lo que es un requerimiento que el BNF entiende como un valor de importancia para la implantación de la solución.
10
Requerimiento CommonCriteria
En la página 11, ÍTEM 1, de las Especificaciones Técnicas del Pliego de Bases y Condiciones y Adenda 1, ítem REQPlataforma Central de Servicios Web de Firma y Validación: solicita la certificación CommonCriteria, EAL4+.
El MIC no requiere de CommonCriteria ni EAL en ninguno de sus niveles, ni al momento de homologar a un PSC (prestadores de servicio de certificación) ni en ninguna de las Auditorías que regularmente realiza a dichos PSC, por lo cual el requisito es técnicamente innecesario y contrario el principio de legalidad debiendo ser excluirdo
En la página 11, ÍTEM 1, de las Especificaciones Técnicas del Pliego de Bases y Condiciones y Adenda 1, ítem REQPlataforma Central de Servicios Web de Firma y Validación: solicita la certificación CommonCriteria, EAL4+.
El MIC no requiere de CommonCriteria ni EAL en ninguno de sus niveles, ni al momento de homologar a un PSC (prestadores de servicio de certificación) ni en ninguna de las Auditorías que regularmente realiza a dichos PSC, por lo cual el requisito es técnicamente innecesario y contrario el principio de legalidad debiendo ser excluirdo
El requerimiento CommonCriteria obedece a una exigencia de certificación de TI basada en normas internacionales (ISO/lEC 15408) y no a requerimientos que el MIC le solicite a los PSC. Reiteramos que el BNF no es, ni pretender ser un PSC.