Diferencias entre la versión 10 y 11 del Pliego de la Licitación 412433 - Servicio de Antiphishing y Autenticación de mensajes, informes y conformidad basada en el dominio del Banco (SBE).

ADENDA N° 9

Señores

..

Presente:

Tenemos el agrado de dirigirnos a ustedes, con relación a la Licitación por Concurso de Ofertas BNF LCO SBE Nº 15/2022 para el Servicio de Antiphishing y Autenticación de mensajes, informes y conformidad basada en el dominio del Banco (SBE)., a través del Sistema de Subasta a la baja electrónica. ID Nº 412.433.-

Al respecto, cumplimos en informar la modificación de las fechas topes de respuesta, Inicio de Carga, Cierre de Propuestas, Etapa Competitiva, Entrega y Apertura Física de las ofertas, quedando conforme a lo establecido en el Sistema de Información de Contrataciones Públicas (SICP).

ADENDA N° 10

Señores

..

Presente:

Tenemos el agrado de dirigirnos a ustedes, con relación a la Licitación por Concurso de Ofertas BNF LCO SBE Nº 15/2022 para la Servicio de Antiphishing y Autenticación de mensajes, informes y conformidad basada en el dominio del Banco ID Nº 412.433.-

Al respecto, cumplimos en informar que se realizan modificaciones en el Pliego de Bases y Condiciones, conforme se indican a continuación:

5. SUMINISTROS REQUERIDOS ESPECIFICACIONES TÉCNICAS

//

Detalles de los productos y/o servicios con las respectivas especificaciones técnicas - CPS

Exigencias de carácter técnico/funcional que debe cumplir la propuesta del oferente:

1. La solución deberá estar basada en un servicio de monitoreo proactivo de detección de fraude mediante diferentes técnicas que tengan por objeto detectar de manera temprana, y proactiva la aparición de ocurrencias fraudulentas del nombre del BNF, su nombre de dominio, sus marcas, sus marcas registradas, sus lemas, sus slogans, etc., en el Internet. La solución deberá ser capaz de identificar patrones y comportamientos específicos que ocurren típicamente en las primeras etapas de un ataque de suplantación de identidad.
2. El servicio debe estar soportado por tecnología, que no conlleve la compra de ningún dispositivo de seguridad, por ejemplo, Firewalls, IPS, Web Firewalls, etc.
3. El servicio ofertado para el monitoreo de detección de fraude mediante intentos de suplantación de identidad (Phishing), mediante uso indebido de derechos de marca en el ciberespacio, u otros comportamientos típicos de casos de Cibercrimen deberá ser en modalidad 24x7.
4. El servicio ofertado deberá permitir además ejecutar acciones que tiendan a eliminar o detener el fraude, ya sea que el mismo haya sido detectado por el propio servicio o bien denunciado por el BNF.
5. El servicio ofertado deberá ser capaz de mostrar los casos supuestos de fraude que son detectados y permitir al BNF elegir qué acciones tomar en cada caso, pudiendo el BNF elegir automatizar el derribo o desmontaje de los sitios fraudulentos detectados.
6. El servicio debe cubrir todo el ciclo de vida de una alerta o detección de fraude, desde que se inicia hasta que se elimina la alerta como consecuencia de las acciones o medidas tomadas.
7. El servicio de antiphishing y debe poder detectar en tiempo real ataques para evitar así, el riesgo operativo asociado a este tipo de ataque.
8. El servicio de búsquedas en el Ciberespacio debe poder identificar intentos o hechos que comprometan la marca del Banco Nacional de Fomento o comprometan su información.
9. El servicio de detección de fraude debe ser capaz de detectar por lo menos, intentos de phishing, app fraudulentas, app clonadas en tiendas no oficiales, ataques de DNS, abusos de marca, uso indebido y no autorizado de marcas, ataques de tipo cibersquating, ataques de tipo typosquiting, búsquedas de sitios SSL, búsqueda en páginas frontales, búsqueda de aplicaciones móviles en tiendas oficiales y tiendas paralelas, búsqueda en redes sociales, búsqueda en publicidades en los motores de búsqueda.
10. El servicio debe ser capaz de procesar informes forenses DMARC y agregarlos a listas gestionadas de posibles intentos de fraudes para su análisis posterior y aplicación de contramedidas.
11. El servicio debe poder gestionar de manera automática y/o manual los buzones de abuso del BNF. Cantidad: 20 correos mensuales. Se aclara que las cantidades mencionadas son meramente estimativas y se encuentran sujeta a variación.
12. El servicio debe combatir el phishing, haciendo una mezcla de varias técnicas que deben ser mencionadas por el proponente; entre ellas el monitoreo de dominios de primer nivel, .biz, .com, .net, .org; etc. También se deben monitorear dominios de segundo nivel.
13. El servicio deberá ser capaz de agregar periódicamente nuevos puntos de búsqueda del sistema de dominios mundial.
14. El proveedor del servicio deberá ser capaz de informar mediante publicaciones la cantidad de nuevos hosts detectados, así como también nuevos puntos de entrada y registro de dominios.
15. El servicio de monitoreo debe tener la capacidad de detectar ampliamente y a nivel global movimientos sociales y/o riesgos de fuga de información en el ciberespacio que hagan referencia a los nombres de dominio, marcas, marcas registradas, lemas, slogans, etc., objetos del servicio de detección de fraude.
16. La solución debe de identificar y desactivar el uso no autorizado de material con contenido protegido por leyes de propiedad intelectual y/o leyes de protección de marca o de uso indebido no autorizado de marcas que sean objeto del servicio de detección de fraude.
17. La solución debe monitorear la referencia y el uso de nombres o términos en redes sociales, sitios de foros, noticias y portales multimedia para identificar el uso indebido de éstos y/o ataques a la marca protegida capturando y catalogando la información disponible como contenido, imagen, origen y fecha.
18. La solución debe ser capaz de detectar y desactivar cuentas falsas en las diferentes redes sociales que estén suplantando la identidad de la compañía protegida. A modo de ejemplo: Facebook, Instagram, Twitter son las redes sociales en las que tiene presencia el banco.
19. La solución debe ser capaz de detectar y gestionar la desactivación de sitios de suplantación de identidad o uso no autorizado de marcas.
20. La solución debe ser capaz de ofrecer un portal de gestión de detecciones, gestión de medidas, autorización de desmontajes o derribos (takedown), el acceso al portal debe ser mediante credenciales privadas y con diferentes perfiles. Cantidad anual: 10 (takedown) de Phishing y 10 (takedown) de App Clonada en sitio no oficiales. Se aclara que las cantidades mencionadas son meramente estimativas y se encuentran sujetas a variación.
21. El servicio ofrecido debe contar con un portal o consola de administración, en la que se tenga la capacidad de monitoreo en tiempo real de la actividad anómala de phishing, reporte de nuevos casos, seguimiento de incidentes, estadísticas de gestión, reportes de incidentes en tiempo real e historial de casos, entre otros.
22. El servicio debe incluir los respectivos análisis de los datos de los incidentes. Debe incluir los detalles de los incidentes, tales como: posibles causas, fuentes de los ataques, tomando en cuenta la evidencia que esté disponible. Recolección de evidencia (cuando sea posible) para análisis forense posterior. Sus respectivas recomendaciones para aseguramiento de la plataforma transaccional.
23. El servicio de monitoreo debe notificar alertas a través de diversas canales de comunicación, tales como, correo electrónico, portal de administración, entre otros.
24. La consola de administración debe tener la capacidad de generar reportes personalizados para usuarios finales, dependiendo de sus permisos y roles.
25. El servicio debe estar complementado con una plataforma de soporte 7x24x365, capaz de administrar los eventos, pudiendo ser estos problemas de operación que se presenten en servicio prestado, cumpliendo determinados acuerdos de niveles de servicio.
26. El servicio deberá ofrecer herramientas para navegadores web que instaladas en los equipos permitan minimizar el impacto de ataques de phishing, las herramientas ofrecidas de manera gratuita podrán ser instaladas por clientes del Banco en sus navegadores web.
27. El proveedor del servicio debe ser capaz de ofrecer como medida adicional un servicio de análisis de phishing, capaz de analizar e informar sobre la morfología del ataque, su origen, las técnicas del mismo. Cantidad de aplicaciones a proteger del Banco Nacional de Fomento: Cantidad 3 (tres): Play Store, App Store y Huawei Store. Se aclara que las cantidades de aplicaciones mencionadas son meramente estimativas y se encuentran sujetas a variación. Cantidad de dominios a proteger del Banco Nacional de Fomento: www.bnf.gov.py.

//

Todos los demás requisitos establecidos en el Pliego de Bases y Condiciones permanecen sin variación.

Se detectaron modificaciones en las siguientes cláusulas:

Sección: Suministros requeridos - especificaciones técnicas

• Detalles de los productos y/o servicios con las respectivas especificaciones técnicas - CPS
• Plan de entrega de los servicios

Se puede realizar una comparación de esta versión del pliego con la versión anterior en el siguiente enlace: https://www.contrataciones.gov.py/licitaciones/convocatoria/412433-servicio-antiphishing-autenticacion-mensajes-informes-conformidad-basada-dominio-ban-1/pliego/11/diferencias/10.html?seccion=adenda

ADENDA N° 910

Señores

..

Presente:

Tenemos el agrado de dirigirnos a ustedes, con relación a la Licitación por Concurso de Ofertas BNF LCO SBE Nº 15/2022 para la Servicio de Antiphishing y Autenticación de mensajes, informes y conformidad basada en el Servicio de Antiphishing y Autenticación de mensajes, informes y conformidad basada en el dominio del Banco (SBE)., a travésdominio del Sistema de Subasta a la baja electrónica.Banco ID Nº 412.433.-

Al respecto, cumplimos en informar la modificación de las fechas topes de respuesta, Inicio de Carga, Cierre de Propuestas, Etapa Competitiva, Entrega y Apertura Física de las ofertas, quedando conforme a lo establecidoque se realizan modificaciones en el SistemaPliego de InformaciónBases y Condiciones, conforme se indican a continuación:

5. SUMINISTROS REQUERIDOS ESPECIFICACIONES TÉCNICAS

//

Detalles de los productos y/o servicios con las respectivas especificaciones técnicas - CPS

Exigencias de carácter técnico/funcional que debe cumplir la propuesta del oferente:

1. La solución deberá estar basada en un servicio de monitoreo proactivo de detección de fraude mediante diferentes técnicas que tengan por objeto detectar de manera temprana, y proactiva la aparición de ocurrencias fraudulentas del nombre del BNF, su nombre de dominio, sus marcas, sus marcas registradas, sus lemas, sus slogans, etc., en el Internet. La solución deberá ser capaz de identificar patrones y comportamientos específicos que ocurren típicamente en las primeras etapas de un ataque de suplantación de identidad.
2. El servicio debe estar soportado por tecnología, que no conlleve la compra de ningún dispositivo de seguridad, por ejemplo, Firewalls, IPS, Web Firewalls, etc.
3. El servicio ofertado para el monitoreo de detección de fraude mediante intentos de suplantación de identidad (Phishing), mediante uso indebido de derechos de marca en el ciberespacio, u otros comportamientos típicos de casos de Cibercrimen deberá ser en modalidad 24x7.
4. El servicio ofertado deberá permitir además ejecutar acciones que tiendan a eliminar o detener el fraude, ya sea que el mismo haya sido detectado por el propio servicio o bien denunciado por el BNF.
5. El servicio ofertado deberá ser capaz de mostrar los casos supuestos de fraude que son detectados y permitir al BNF elegir qué acciones tomar en cada caso, pudiendo el BNF elegir automatizar el derribo o desmontaje de los sitios fraudulentos detectados.
6. El servicio debe cubrir todo el ciclo de vida de una alerta o detección de fraude, desde que se inicia hasta que se elimina la alerta como consecuencia de las acciones o medidas tomadas.
7. El servicio de antiphishing y debe poder detectar en tiempo real ataques para evitar así, el riesgo operativo asociado a este tipo de ataque.
8. El servicio de búsquedas en el Ciberespacio debe poder identificar intentos o hechos que comprometan la marca del Banco Nacional de Fomento o comprometan su información.
9. El servicio de detección de fraude debe ser capaz de detectar por lo menos, intentos de phishing, app fraudulentas, app clonadas en tiendas no oficiales, ataques de DNS, abusos de marca, uso indebido y no autorizado de marcas, ataques de tipo cibersquating, ataques de tipo typosquiting, búsquedas de sitios SSL, búsqueda en páginas frontales, búsqueda de aplicaciones móviles en tiendas oficiales y tiendas paralelas, búsqueda en redes sociales, búsqueda en publicidades en los motores de búsqueda.
10. El servicio debe ser capaz de procesar informes forenses DMARC y agregarlos a listas gestionadas de posibles intentos de fraudes para su análisis posterior y aplicación de contramedidas.
11. El servicio debe poder gestionar de manera automática y/o manual los buzones de abuso del BNF. Cantidad: 20 correos mensuales. Se aclara que las cantidades mencionadas son meramente estimativas y se encuentran sujeta a variación.
12. El servicio debe combatir el phishing, haciendo una mezcla de varias técnicas que deben ser mencionadas por el proponente; entre ellas el monitoreo de dominios de primer nivel, .biz, .com, .net, .org; etc. También se deben monitorear dominios de segundo nivel.
13. El servicio deberá ser capaz de agregar periódicamente nuevos puntos de búsqueda del sistema de dominios mundial.
14. El proveedor del servicio deberá ser capaz de informar mediante publicaciones la cantidad de nuevos hosts detectados, así como también nuevos puntos de entrada y registro de dominios.
15. El servicio de monitoreo debe tener la capacidad de detectar ampliamente y a nivel global movimientos sociales y/o riesgos de fuga de información en el ciberespacio que hagan referencia a los nombres de dominio, marcas, marcas registradas, lemas, slogans, etc., objetos del servicio de detección de fraude.
16. La solución debe de identificar y desactivar el uso no autorizado de material con contenido protegido por leyes de propiedad intelectual y/o leyes de protección de marca o de uso indebido no autorizado de marcas que sean objeto del servicio de detección de fraude.
17. La solución debe monitorear la referencia y el uso de nombres o términos en redes sociales, sitios de foros, noticias y portales multimedia para identificar el uso indebido de éstos y/o ataques a la marca protegida capturando y catalogando la información disponible como contenido, imagen, origen y fecha.
18. La solución debe ser capaz de detectar y desactivar cuentas falsas en las diferentes redes sociales que estén suplantando la identidad de la compañía protegida. A modo de ejemplo: Facebook, Instagram, Twitter son las redes sociales en las que tiene presencia el banco.
19. La solución debe ser capaz de detectar y gestionar la desactivación de sitios de suplantación de identidad o uso no autorizado de marcas.
20. La solución debe ser capaz de ofrecer un portal de gestión de detecciones, gestión de medidas, autorización de desmontajes o derribos (takedown), el acceso al portal debe ser mediante credenciales privadas y con diferentes perfiles. Cantidad anual: 10 (takedown) de Phishing y 10 (takedown) de App Clonada en sitio no oficiales. Se aclara que las cantidades mencionadas son meramente estimativas y se encuentran sujetas a variación.
21. El servicio ofrecido debe contar con un portal o consola de administración, en la que se tenga la capacidad de monitoreo en tiempo real de la actividad anómala de phishing, reporte de nuevos casos, seguimiento de incidentes, estadísticas de gestión, reportes de incidentes en tiempo real e historial de casos, entre otros.
22. El servicio debe incluir los respectivos análisis de los datos de los incidentes. Debe incluir los detalles de los incidentes, tales como: posibles causas, fuentes de los ataques, tomando en cuenta la evidencia que esté disponible. Recolección de evidencia (cuando sea posible) para análisis forense posterior. Sus respectivas recomendaciones para aseguramiento de la plataforma transaccional.
23. El servicio de monitoreo debe notificar alertas a través de diversas canales de comunicación, tales como, correo electrónico, portal de administración, entre otros.
24. La consola de administración debe tener la capacidad de generar reportes personalizados para usuarios finales, dependiendo de sus permisos y roles.
25. El servicio debe estar complementado con una plataforma de soporte 7x24x365, capaz de administrar los eventos, pudiendo ser estos problemas de operación que se presenten en servicio prestado, cumpliendo determinados acuerdos de niveles de servicio.
26. El servicio deberá ofrecer herramientas para navegadores web que instaladas en los equipos permitan minimizar el impacto de ataques de phishing, las herramientas ofrecidas de manera gratuita podrán ser instaladas por clientes del Banco en sus navegadores web.
27. El proveedor del servicio debe ser capaz de ofrecer como medida adicional un servicio de análisis de phishing, capaz de analizar e informar sobre la morfología del ataque, su origen, las técnicas del mismo. Cantidad de aplicaciones a proteger del Banco Nacional de Fomento: Cantidad 3 (tres): Play Store, App Store y Huawei Store. Se aclara que las cantidades de aplicaciones mencionadas son meramente estimativas y se encuentran sujetas a variación. Cantidad de dominios a proteger del Banco Nacional de Fomento: www.bnf.gov.py.

//

Todos los demás requisitos establecidos en el Pliego de Bases y Condiciones permanecen sin variación.

Se detectaron modificaciones en las siguientes cláusulas:

Sección: Suministros requeridos - especificaciones técnicas

• Detalles de los productos y/o servicios con las respectivas especificaciones técnicas - CPS
• Plan de entrega de los servicios

Se puede realizar una comparación de Contrataciones Públicas (SICP).esta versión del pliego con la versión anterior en el siguiente enlace: https://www.contrataciones.gov.py/licitaciones/convocatoria/412433-servicio-antiphishing-autenticacion-mensajes-informes-conformidad-basada-dominio-ban-1/pliego/11/diferencias/10.html?seccion=adenda