El suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes serán suministrados por el proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el contrato.

Los bienes suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la contratante, mediante notificación a la misma de dicho rechazo.

INTRODUCCIÓN

En vista a la importancia que tiene la seguridad de la información para toda organización y al hecho de que el fortalecimiento de la seguridad es un proceso dinámico y constante, el Banco Nacional de Fomento (de aquí en adelante BNF) ha dispuesto la contratación de los servicios profesionales de empresas especializadas en seguridad de la información.

Como fuera mencionado más arriba, asegurar las infraestructuras tecnológicas implica el desarrollo de actividades en forma constante y sistemática, y abarcan aspectos normativos, de procedimientos, de personas, tecnológicos, entre otros. Por otra parte, estos procesos deben acompañar de manera cercana y flexible a todo el ciclo de vida de los elementos a asegurar, lo cual incluye naturalmente contar con profesionales con la debida capacitación y formación en seguridad de la información.

Tomando en cuenta lo mencionado, es que el BNF solicita la prestación de servicios de seguridad de la información en la modalidad de Servicio bajo Demanda, en formato remoto y on-site, para lo cual cada requerimiento del BNF será cotizado, aprobado y ejecutado por separado, en base al esfuerzo horas-hombre demandado para la ejecución del trabajo y al costo por hora ofertado en la presente licitación.

 Será la Gerencia Departamental de Administración de Seguridad de TIC (de aquí en adelante GDASTIC) del BNF, el área encargada de la administración y control del servicio prestado. La GDASTIC nombrará a un supervisor (de aquí en adelante El Supervisor) que actuará como contraparte para todas las relaciones con la empresa adjudicada (de aquí en adelante El Oferente Adjudicado).

El BNF solicita la prestación de dos subconjuntos de servicios, a saber: Servicio de Hackeo Interno y Externo.

Generalidades En el caso de que una empresa sea adjudicada cada trabajo solicitado y aprobado debe ser ejecutado en tiempo y forma, sin que ninguna otra actividad se vea afectada por la misma.

En el caso de que un oferente se presente deberá presentar una nómina con personales técnicos.

Dependiendo de cada actividad y necesidad del BNF, los trabajos deberán realizarse de manera remota o en sitio, es decir, en alguna de las instalaciones del Banco, en Asunción, Encarnación y Ciudad del Este (éstas dos últimas muy ocasionalmente). Además, el oferente deberá prever un tiempo de respuesta para los trabajos on-site no mayor a 5 (cinco) horas para los trabajos en Asunción, y no mayor a 48 (cuarenta y ocho) horas para el interior del país. En el caso de solicitud de servicio o asistencia remota, la misma deberá ser provista en un tiempo no mayor a 2 (dos) horas.

Si bien cada profesional de El Oferente Adjudicado deberá disponer de sus propias herramientas de trabajo (notebook, acceso a internet, útiles de oficina, etc.), en el caso de que el servicio se realice en las instalaciones del BNF, este pondrá a disposición de los especialistas un servicio limitado de conexión a Internet y un escritorio para el desarrollo de sus actividades.

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización del BNF. Tanto El Oferente Adjudicado, como cada uno de los miembros del plantel en forma particular, deberá firmar acuerdos de confidencialidad con el BNF.

El BNF se reserva el derecho de rescindir el Contrato, con causa justificada, toda vez que considere que el servicio prestado por El Oferente Adjudicado no cumpla con las especificaciones técnicas requeridas y el nivel de servicio esperado.

El Oferente debe presentar una nómina compuesta por profesionales dependientes de una filial o sucursal de la empresa, que también se encuentre especializada en seguridad de la información, sea esta nacional o internacional, siempre y cuando se cumpla alguna de las siguientes condiciones (la propuesta deberá incluir la documentación que lo acredite):

1. El profesional se desempeña como personal dependiente en una sucursal, filial, franquicia o empresa origen de El Oferente, sea nacional o internacional. Presentar copia simple contrato de trabajo, contrato de prestación de servicios o Declaración Jurada de Relación de Dependencia Laboral.
2. El Oferente ha firmado un acuerdo de cooperación, representación y/o comercialización de los servicios de consultoría de seguridad con la sucursal, filial, franquicia o empresa origen de la cual es dependiente el profesional nominado. Presentar declaración Jurada de Relación de Dependencia Laboral o copia simple del acuerdo de cooperación, representación y/o comercialización de servicios firmado.

El Oferente debe dedicarse en forma exclusiva, o al menos contar con una división técnica dedicada y exclusiva, al rubro de Seguridad de la Información (consultorías de seguridad, test de intrusión, ciberseguridad, capacitación en seguridad, entre otros). Presentar el currículum de la empresa donde se debe plasmar en el organigrama organizacional la presencia de la división.

Metodología de trabajo y Facturación

En base a las necesidades del BNF, El Supervisor solicitará a El Oferente Adjudicado la realización de algún servicio descrito en las Especificaciones técnicas al cual fue adjudicado, definiendo las actividades del trabajo a realizar. En base a esta solicitud, El Oferente Adjudicado deberá remitir al Supervisor un proyecto lo más detallado posible indicando las actividades que realizará para la consecución de los objetivos requeridos, además de las horas-hombre que demandará el servicio.

En el caso de que el proyecto técnico sea aprobado, El Oferente Adjudicado deberá ejecutar el trabajo de acuerdo al detalle remitido y en base a los delineamientos del Supervisor. Todo el servicio será acompañado y controlado por El Supervisor o por quien éste designe.

El Oferente Adjudicado podrá presentar las facturas por los servicios autorizados y aprobados únicamente cuando estos hayan finalizado totalmente acompañado de un informe de los trabajos realizados. En ningún caso El Oferente Adjudicado podrá transferir los costos de viáticos, traslado, o similares al BNF, siendo posible únicamente la facturación en base a las horas demandadas para el servicio en cuestión.

Requerimientos Generales

Ante la solicitud de servicios, el plantel técnico deberá determinar las vulnerabilidades, amenazas y/o riesgos de seguridad de la información a los cuales se encuentran expuestos las aplicaciones, la infraestructura tecnológica, los procesos y procedimientos del BNF, además de las posibles mejoras que puedan ser implementadas. Los mismos deben ser presentados en dos informes al culminar los trabajos (Ejecutivo y Detallado).

Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones del BNF, para cualquiera de sus sitios de procesamiento y filiales. Además, se podrá requerir la implementación de las mejoras propuestas.

La metodología a utilizarse deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología deberá basarse en OTP (OWASP).

El Oferente Adjudicado deberá proveer los informes que correspondan, a solicitud y entera conformidad del Supervisor. Estos pudieran ser:

1. Descripción detallada de la(s) metodología(s) a utilizar durante el servicio.

2. Plan de trabajo a desarrollar.

3. Lista detallada de todos los servicios, aplicaciones y equipos evaluados.

4. Detalle cronológico de cada procedimiento realizado.

5. Lista y detalle técnico de las vulnerabilidades detectadas en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones.

6. Resultados del análisis de tráfico.

7. Documentos de certificación del estado de la seguridad, para cualquier momento dado y para cualquier elemento.

8. Normas, políticas y documentaciones de seguridad.

9. Otros informes que El Supervisor solicite.

El Oferente Adjudicado podrá facilitar cualquier otro informe o documentación final que considere oportuno, en base a las metodologías utilizadas, conclusiones y/o sugerencias técnicas, etcétera.

Todos los equipos utilizados por el Oferente Adjudicado para las pruebas deberán tener instalado un software especializado que permita la grabación de una bitácora en video de todas acciones realizadas y la transcripción en texto de todos los comandos ejecutados sin cortes o censura alguna durante las mismas. Dicha bitácora y documentos anexos deberán ser entregados obligatoriamente como parte de los informes a entera conformidad del Supervisor.

En caso de eventuales daños o perjuicios de cualquier tipo causado al Banco Nacional de Fomento o a algún tercero en la ejecución del servicio, El Oferente Adjudicado deberá hacerse responsable de la remediación y asumir los costos de los mismos antes de la finalización del servicio.

Para las pruebas de intrusión externa o servicio remoto, el plantel técnico deberá disponer de su propia conexión que tenga acceso a la nube pública de internet, quedando a exclusivo cargo del plantel técnico cualquier gasto o responsabilidad asociada al uso del mismo.

Para las pruebas de intrusión interna o servicios on-site, el BNF proveerá el ambiente desde el cual deberá realizar las pruebas, quedando a cargo del plantel técnico todo gasto de movilidad que sea necesario, incluyendo los gastos de movilidad para hasta dos técnicos del BNF (ocasionalmente). El horario de los trabajos será acordado y coordinado con el Supervisor.

La infraestructura tecnológica del BNF distribuida entre el sitio primario y secundario, está compuesta de la siguiente manera (lista referencial, no limitativa):

SERVICIO HACKEO INTERNO Y EXTERNO

1. Servicios Requeridos

Descripción

1.1. Pruebas de intrusión internas: El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica del BNF, desde distintos escenarios, hacia y desde cualquiera de sus sitios de procesamiento y sucursales. Las modalidades podrán ser del tipo White Box y Black Box.

1.2. Pruebas de intrusión externas: El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica del BNF desde el exterior, es decir, desde Internet. Para cada caso se proveerán las direcciones IP públicas a través de las cuales se realizarán los test de intrusión. Las modalidades podrán ser del tipo White Box y Black Box.

1.3. Pruebas de intrusión a las aplicaciones Web y móviles: El Oferente debe ser capaz de realizar pruebas de intrusión a las aplicaciones web y móviles del BNF, aplicando metodologías reconocidas internacionalmente, como el OWASP o similares. Para estos casos, el BNF proveerá el entorno desde el cual se realizarán las pruebas. Tipo White Box.

1.4. Pruebas de intrusión a las aplicaciones de escritorio: El Oferente debe ser capaz de realizar pruebas de intrusión a las aplicaciones de escritorio del BNF, sean estas adquiridas de terceros o de propio desarrollo del BNF. Para estos casos, el BNF proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box.

1.5. Análisis de tráfico de red: El Oferente debe ser capaz de realizar el análisis del tráfico de la red corporativa, cableada e inalámbrica, con el objeto de evaluar anomalías, ataques, tipo de cifrado de datos, entre otros. Para estos casos, el BNF proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box y Black Box.

1.6. Pruebas de intrusión físicas: El Oferente debe ser capaz de realizar pruebas de intrusión física en las instalaciones y sitios de procesamiento de información del BNF, en cualquiera de sus edificios. Para estos casos, el BNF proveerá el entorno necesario desde el cual se realizarán las pruebas. Tipo White Box y Black Box.

1.7. Pruebas de intrusión del tipo Ingeniería Social/Phishing: El Oferente debe ser capaz de realizar pruebas de intrusión del tipo Ingeniería Social/Phishing o similares, sean estos en forma remota o presencial, en las instalaciones y sitios de procesamiento de información del BNF, en cualquiera de sus edificios. Para estos casos, el BNF indicará el entorno necesario desde el cual se realizarán las pruebas.

1.8. Servicio de Soporte para la aplicación de mejoras de seguridad sobre las pruebas y análisis realizados: El Oferente debe ser capaz de realizar las implementaciones de las mejoras de seguridad sobre las pruebas y análisis realizados que sean requeridas.

Nombre, cargo y la dependencia de la Institución de quien solicita el llamado a ser publicado:

Ricardo Adolfo Rolón Alderete, Gerente de la Gerencia Departamental de Administración de Seguridad de TIC.

Justificación de la necesidad que se pretende satisfacer mediante la contratación a ser realizada:

Para dar cumplimiento a la Resolución SB. Nº 00179/2005 POR LA QUE SE REGLAMENTA LOS PROCEDIMIENTOS DE SEGURIDAD PARA LAS TRANSACCIONES REALIZADAS A TRAVÉS DE MEDIOS ELÉCTRICOS.

Reglamentar los procedimientos de seguridad mínimos que deberán implementar aquellas Entidades que implementen transacciones realizadas a través de internet o Banca Electrónica u otras vías disponibles.

Justificación de la planificación:

Es un llamado sucesivo que se va realizando.

Justificación las especificaciones técnicas establecidas:

Para dar cumplimiento a la Resolución SB. Nº 00179/2005 POR LA QUE SE REGLAMENTA LOS PROCEDIMIENTOS DE SEGURIDAD PARA LAS TRANSACCIONES REALIZADAS A TRAVÉS DE MEDIOS ELÉCTRICOS.

No Aplica

No aplica

No aplica

No aplica

Planificación de indicadores de cumplimiento: Serán presentados 24 (veinticuatro) informes.

La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.

1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.

2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.

3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad requerida, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.

En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.

La comunicación de la adjudicación a los oferentes será como sigue:

1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.

2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.

3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.

4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.

5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.

Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.

La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.

La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.

La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.