El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.
Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.
Nombre, cargo y dependencia que solicita el llamado:
Nombre: Lucía Jara
Cargo: Directora
Dependencia: Dirección de Tecnología de la Información y Comunicación (DTIC).
Justificación de la necesidad:
Fortalecer la Seguridad de la Información, a fin de asegurar los datos generados en la CNV previniendo ataques Cibernéticos y el acceso no autorizado a toda información manejada en la Institución.
Justificación de la planificación:
Corresponde a un llamado solicitado por la DTIC para el presente ejercicio, en atención a la necesidad de brindar a la CNV de soporte técnico en temas relacionados a la seguridad informática.
Justificación de las especificaciones técnicas:
Aseguramiento de los procesos de Seguridad de la Información y toda la Infraestructura tecnológica de la CNV, a fin de minimizar y mitigar los riesgos de un ataque Cibernético.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
INTRODUCCIÓN:
En vista a la importancia que tiene la seguridad de la información para toda organización y al hecho de que el fortalecimiento de la seguridad es un proceso dinámico y constante, la Comisión Nacional de Valores (en adelante CNV) ha dispuesto la contratación de los servicios profesionales especializados en dicha materia.
Asegurar las infraestructuras tecnológicas implica el desarrollo de actividades en forma constante y sistemática, y abarcan aspectos normativos, de personas, tecnológicos, entre otros. Por otra parte, estos procesos deben acompañar de manera cercana y flexible a todo el ciclo de vida de los elementos a asegurar, lo cual incluye naturalmente contar con profesionales con la debida capacitación y formación en seguridad de la información.
Tomando en cuenta lo mencionado, es que la CNV solicita la prestación de servicios de seguridad de la información en la modalidad de Servicio bajo demanda, en formato remoto y on-site, para lo cual cada requerimiento la CNV será aprobado y ejecutado por separado, en base al esfuerzo en horas para la ejecución del trabajo, teniendo en cuenta el costo por hora ofertado en la presente licitación.
Será la Dirección de Tecnología de la Información y Comunicación (en adelante DTIC) de la CNV, el área encargada de la administración y control del servicio prestado. La DTIC nombrará a un supervisor (de aquí en adelante El Supervisor) que actuará como contraparte para todas las relaciones con el Proveedor.
GENERALIDADES:
Si bien cada personal del Proveedor deberá disponer de sus propias herramientas de trabajo (notebook, acceso a internet, útiles de oficina, etc.), en el caso de que el servicio se realice en las instalaciones de la Convocante, este pondrá a disposición del personal un servicio limitado de conexión a Internet y un escritorio para el desarrollo de sus actividades.
La infraestructura tecnológica de la CNV, está compuesta de la siguiente manera (lista referencial, no limitativa):
|
Servidores Windows y Linux (dentro de la CNV y Servidores virtuales proveídos por el MITIC) |
Routers de red |
|
Switches de capa 3 |
Switches de capa 2 |
|
Bases de datos SQL SERVER 2019 |
Firewalls de red |
|
Escritorios |
|
GARANTÍA DE BUEN SERVICIO Y CALIDAD: a ser emitida por el Oferente mediante una nota en carácter de declaración jurada a nombre de la Convocante, por todo el plazo de prestación del servicio contratado. Durante ese período, correrá a su cargo, por cuenta propia y sin costo para la Convocante, las modificaciones que correspondan, cuando se observasen fallas y/o deficiencias en el servicio, por causas que le fueran imputables.
COMPROMISO DE CONFIDENCIALIDAD: El personal interviniente del Proveedor deberá firmar una Carta Compromiso de Confidencialidad de la Información, dado que el personal contratado podría acceder a información confidencial de la institución.
La firma de la Carta Compromiso de Confidencialidad se realizará antes del inicio del servicio contratado. La Dirección de Tecnología de la Información y Comunicación será la responsable de gestionar la firma de dicha documentación.
En caso de que se incorporen otros empleados del Proveedor, la Dirección de Tecnología de la Información y Comunicación estará a cargo de gestionar la firma de la Carta Compromiso de Confidencialidad por parte de los mismos.
Boletas de servicio: el Proveedor deberá presentar un registro de los servicios realizados, en el cual conste la fecha, lugar y descripción del trabajo realizado de inicio a fin, así como las horas ejecutadas al efecto. Una copia deberá proveerse al Supervisor.
METODOLOGÍA DE TRABAJO Y FACTURACIÓN
Con base en las necesidades de la CNV, el Supervisor solicitará al Proveedor la realización de algún determinado servicio, definiendo las actividades del trabajo a realizar. En base a esta solicitud, el Proveedor deberá remitir al Supervisor un proyecto lo más detallado posible indicando las actividades que realizará para la consecución de los objetivos requeridos, además de la cantidad de horas que demandará el servicio. En el caso de que el proyecto técnico sea aprobado, el Proveedor deberá ejecutar el trabajo de acuerdo al detalle remitido en la cantidad de horas aprobadas y con base en los delineamientos del Supervisor. Todo el servicio será acompañado y controlado por El Supervisor o por quien éste designe.
El Proveedor podrá presentar las facturas por los servicios autorizados y aprobados únicamente cuando estos hayan finalizado totalmente y los mismos cuenten con la total conformidad por parte del Supervisor. En ningún caso el Proveedor podrá transferir los costos de viáticos, traslado, o similares a la CNV, siendo posible únicamente la facturación con base en las horas demandadas para el servicio en cuestión.
REQUERIMIENTOS GENERALES PARA EL SERVICIO
Ante la solicitud de servicios, el plantel técnico del Proveedor deberá determinar las vulnerabilidades, amenazas y/o riesgos de seguridad de la información a los cuales se encuentran expuestos las aplicaciones, la infraestructura tecnológica, los procesos y procedimientos de la CNV, además de las posibles mejoras que puedan ser implementadas.
Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento, servicios o aplicaciones de la CNV. Además, se podrá requerir la certificación de seguridad de cualquiera de estos elementos, y la implementación de las mejoras propuestas.
El Proveedor deberá prever un tiempo de respuesta para los trabajos on-site no mayor a 24 (veinticuatro) horas. En el caso de solicitud de servicio o asistencia remota, la misma deberá ser provista en un tiempo no mayor a 12 (doce) horas. En vista a que podrá solicitarse trabajos en formato on-site, se espera que el plantel técnico que participará de los servicios solicitados se encuentre disponible de tal forma a otorgar una rápida respuesta en sitio, una vez requerido el servicio.
El plantel técnico deberá detallar qué metodología(s) utilizará para cada uno de los servicios solicitados. La metodología seleccionada deberá estar basada en por lo menos una de las siguientes: NIST SP 800- 115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología deberá basarse en OTP (OWASP).
Dependiendo de cada caso, el Proveedor deberá proveer los informes que correspondan, a solicitud y entera conformidad del Supervisor. Estos pudieran ser:
El Proveedor podrá facilitar cualquier otro informe o documentación final que considere oportuno, en base a las metodologías utilizadas, conclusiones y/o sugerencias técnicas, etcétera.
El Proveedor debe simular todos los ataques que sean convenientes según el tipo de objetivo a testar, en coordinación y aprobación con el Supervisor. Entre ellos se mencionan algunos de los más importantes (lista referencial, no limitativa):
|
Ingeniería Social / Phishing |
Inyección SQL |
Man-in-the-middle |
|
Ataques de monitorización y autenticación |
XSS (Cross-site scripting) |
Brute-force |
|
DoS |
Zerodays |
Buffer Overflow |
|
Smurf / MAC Spoofing |
DHCP spoofing |
DNS hijacking / pharming |
|
Escaneo y Cracking de paquetes y contraseñas |
ARP Cache Poisoning |
VLAN Hopping |
|
IP Redirections |
Session Hijacking |
Session Replay |
|
DHCP and DNS Weaknesses |
Advanced Attacks |
Protocol Fuzzing |
Para las pruebas de intrusión externa o servicio remoto, el plantel técnico deberá disponer de su propia conexión que tenga acceso a la nube pública de internet, quedando a exclusivo cargo del Proveedor cualquier gasto o responsabilidad asociada al uso de la misma. El horario de realización de estas pruebas será acordado y coordinado con el Supervisor.
Para las pruebas de intrusión interna o servicios on-site, la CNV proveerá el ambiente desde el cual deberá realizar las pruebas, quedando a cargo del plantel técnico todo gasto de movilidad que sea necesario. El horario de los trabajos será acordado y coordinado con el Supervisor.
ESPECIFICACIONES TÉCNICAS DE LOS SERVICIOS SOLICITADOS.
En este apartado se describen las especificaciones técnicas relativas a la prestación de los servicios de seguridad de la información requeridos y demás información pertinente. Cada oferta deberá indicar el cumplimiento, entendimiento y aceptación de cada aspecto definido a continuación bajo el formato de Cumple/ No Cumple
Se requiere la provisión de servicios especializados en seguridad de la información, que incorporen metodologías reconocidas y aceptadas internacionalmente, de acuerdo a las buenas prácticas y estándares de seguridad de la información.
Durante el plazo de prestación del servicio contratado, correrá a cargo del oferente, por cuenta propia y sin costo para la CNV, las modificaciones que correspondan, cuando se observasen fallas y/o deficiencias en el servicio, por causas que le fueran imputables.
A continuación, se describen los requerimientos, cuya/s planilla/s deberá/n ser completada/s, firmada/s y presentada/s por el Oferente en su oferta:
|
PLANILLA DE REQUERIMIENTOS DEL SERVICIO DE TEST DE PENETRACIÓN Y REVISIÓN DE SEGURIDAD FÍSICA Y LÓGICA DE LA CNV |
||
|
CARACTERISTICA |
DESCRIPCION |
REQUERIDO |
|
1.Servicios Requeridos |
1.1. Pruebas de intrusión internas: el Proveedor debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica de la CNV, desde distintos escenarios, hacia y desde cualquiera de los lugares donde se encuentre los servidores y servicios. Las modalidades podrán ser del tipo White Box, Grey Box o Black Box. |
Exigido |
|
1.2. Pruebas de intrusión externas: el Proveedor debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica de la CNV desde el exterior, es decir, desde Internet. Para cada caso se proveerán las direcciones IP públicas a través de las cuales se realizarán los test de intrusión. Las modalidades podrán ser del tipo White Box, Grey Box o Black Box. |
Exigido |
|
|
1.3. Pruebas de intrusión a las aplicaciones Web: el Proveedor debe ser capaz de realizar pruebas de intrusión a las aplicaciones web, aplicando metodologías reconocidas internacionalmente, como el OWASP o similares. Para estos casos, la CNV proveerá el entorno desde el cual se realizarán las pruebas. Tipo White Box, Grey Box o Black Box. |
Exigido |
|
|
1.4. Pruebas de intrusión a las aplicaciones de escritorio: el Proveedor debe ser capaz de realizar pruebas de intrusión a las aplicaciones de escritorio de la CNV, sean estas adquiridas de terceros o de propio desarrollo de la CNV. Para estos casos, la CNV proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box, Grey Box o Black Box. |
Exigido |
|
|
1.5. Análisis de tráfico de red: el Proveedor debe ser capaz de realizar el análisis del tráfico de la red corporativa, cableada e inalámbrica, con el objeto de evaluar anomalías, ataques, tipo de cifrado de datos, entre otros. Para estos casos, la CNV proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box, Grey Box o Black Box |
Exigido | |
|
1.6. Pruebas de intrusión físicas: el Proveedor debe ser capaz de realizar pruebas de intrusión física en las instalaciones de la CNV. Para estos casos, la CNV proveerá el entorno necesario desde el cual se realizarán las pruebas. Tipo White Box, Grey Box o Black Box. |
Exigido |
|
| 1.7. Pruebas de intrusión del tipo Ingeniería Social/Phishing: el Proveedor debe ser capaz de realizar pruebas de intrusión del tipo Ingeniería Social/Phishing o similares, sean estos en forma remota o presencial, en las instalaciones de la CNV. Para estos casos, la CNV indicará el entorno necesario desde el cual se realizarán las pruebas. | Exigido | |
| 1.8. Servicio de Soporte para la aplicación de mejoras de seguridad: el Proveedor debe ser capaz de realizar evaluaciones del nivel de seguridad de cualquier elemento, proceso o sistema de la CNV, tanto desde el punto de seguridad informática como de la identificación, análisis y gestión de riesgos, proponiendo mejoras a los mismos, y de realizar las implementaciones de las mejoras que sean requeridas, de acuerdo al caso. Dependiendo de la gravedad del requerimiento, la CNV podrá solicitar asistencia inmediata por parte del Proveedor | Exigido | |
|
1.9. Análisis de seguridad informática forense Respuesta a incidentes de seguridad: el Proveedor debe ser capaz de realizar asistencia especializada para los casos en los que se requieran de servicios de auditoría de seguridad informática forense y revisión de logs, o cuando se requieran de servicios especializados ante la ocurrencia de un incidente de seguridad, como pudiera tratarse de algún tipo de ataque o evento de riesgo para la seguridad de la CNV. Dependiendo de la gravedad del requerimiento, la CNV podrá solicitar asistencia inmediata por parte del Proveedor |
Exigido | |
|
2. Plantel Técnico |
2.1. Personal técnico de soporte requerido: Se requiere un plantel técnico conformado como mínimo por 2 (dos) profesionales en las áreas de Informática, Telecomunicaciones, Seguridad de la Información con capacidad de satisfacer los servicios solicitados para el presente llamado. |
Exigido |
| 2.2. Experiencia específica en Test de Intrusión: Se requiere que el plantel técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en test de penetración o pruebas de intrusión de seguridad de la información igual o mayor a 5 (cinco) años | Exigido | |
|
2.3. Servicios de Test de Intrusión: Se requiere que como mínimo 1 (un) personal técnico del plantel presentado haya participado en forma exitosa de 2 (dos) o más servicios de test de intrusión, externos o internos, realizados a entidades financieras nacionales y/o internacionales, durante el periodo comprendido de los años 2018, 2019 y 2020. |
Exigido | |
|
2.4. Certificaciones del plantel técnico en Seguridad de la Información: Se requiere que el plantel técnico presentado (cualquiera de sus miembros o en sumatoria) cuente como mínimo con 2 (dos) certificaciones relacionadas a test de penetración o pruebas de intrusión de seguridad de la información, tales como CEH, GIAC, LPT o similares. |
Exigido | |
PLANTEL TÉCNICO DE LOS SERVICIOS SOLICITADOS.
El Oferente deberá presentar con su oferta una carta en carácter de declaración jurada, en la cual manifieste que el personal técnico asignado está capacitado para realizar los servicios descriptos en la presente Sección.
La CNV se reserva el derecho de realizar una evaluación técnica al personal asignado para el servicio por el Proveedor durante la ejecución del Contrato, si así considere necesario, a fin de evaluar el desempeño del mismo, pudiendo solicitar el remplazo del personal que no califique para la realización de los trabajos contratados. La evaluación técnica incluirá la verificación de conocimientos y habilidades relacionados al perfil técnico solicitado.
El Proveedor deberá mantener durante todo el plazo de prestación del servicio el personal técnico mínimo requerido. En caso de remplazo del personal propuesto en su oferta, el nuevo personal deberá cumplir con los requisitos mínimos exigidos en el pliego.
El Oferente deberá presentar el Curriculum Vitae y los documentos del personal técnico mínimo requerido conforme al formato establecido
La entrega de los bienes se realizará de acuerdo al plan de entrega y cronograma de cumplimiento, indicado en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicado a continuación:
No Aplica.
|
Ítem |
Descripción del servicio |
Cantidad |
Unidad de medida de los servicios |
Lugar donde los servicios serán prestados |
Fecha(s) final(es) de ejecución de los servicios |
|
1 |
SERVICIO DE TEST DE PENETRACIÓN Y REVISIÓN DE SEGURIDAD FÍSICA Y LÓGICA DE LA CNV |
según necesidad de la convocante |
Horas |
Aviadores del Chaco Nº 1669 c/ San Martín - Edificio Aymac I, 9º piso |
Contrato con vigencia de 36 meses |
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indica a continuación:
No aplica
El documento requerido para acreditar el cumplimiento contractual, será:
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA (se indica la fecha que debe presentar según el PBC) |
|
Informe del servicio recibido. |
Informe |
Los informes deben ser emitidos dentro de los diez días corridos desde la recepción del servicio.. |
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.
La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de la carta de invitación, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.
1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante de la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.
2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.
3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad de Bienes requeridos, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.
En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la Convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.
La comunicación de la adjudicación a los oferentes será como sigue:
1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.
2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.
3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.
4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.
5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.
Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.
La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.
La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.
La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.
Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.
|
|
|
|
|
|
|
|
2. Documentos. Consorcios |
|
|
|
|