El suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes serán suministrados por el proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el contrato.

Los bienes suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la contratante, mediante notificación a la misma de dicho rechazo.

Exigencias de carácter técnico/funcional que debe cumplir la propuesta del oferente:

1. La solución deberá estar basada en un servicio de monitoreo proactivo de detección de fraude mediante diferentes técnicas que tengan por objeto detectar de manera temprana, y proactiva la aparición de ocurrencias fraudulentas del nombre del BNF, su nombre de dominio, sus marcas, sus marcas registradas, sus lemas, sus slogans, etc., en el Internet. La solución deberá ser capaz de identificar patrones y comportamientos específicos que ocurren típicamente en las primeras etapas de un ataque de suplantación de identidad.
2. El servicio debe estar soportado por tecnología, que no conlleve la compra de ningún dispositivo de seguridad, por ejemplo, Firewalls, IPS, Web Firewalls, etc.
3. El servicio ofertado para el monitoreo de detección de fraude mediante intentos de suplantación de identidad (Phishing), mediante uso indebido de derechos de marca en el ciberespacio, u otros comportamientos típicos de casos de Cibercrimen deberá ser en modalidad 24x7.
4. El servicio ofertado deberá permitir además ejecutar acciones que tiendan a eliminar o detener el fraude, ya sea que el mismo haya sido detectado por el propio servicio o bien denunciado por el BNF.
5. El servicio ofertado deberá ser capaz de mostrar los casos supuestos de fraude que son detectados y permitir al BNF elegir qué acciones tomar en cada caso, pudiendo el BNF elegir automatizar el derribo o desmontaje de los sitios fraudulentos detectados.
6. El servicio debe cubrir todo el ciclo de vida de una alerta o detección de fraude, desde que se inicia hasta que se elimina la alerta como consecuencia de las acciones o medidas tomadas.
7. El servicio de antiphishing y debe poder detectar en tiempo real ataques para evitar así, el riesgo operativo asociado a este tipo de ataque.
8. El servicio de búsquedas en el Ciberespacio debe poder identificar intentos o hechos que comprometan la marca del Banco Nacional de Fomento o comprometan su información.
9. El servicio de detección de fraude debe ser capaz de detectar por lo menos, intentos de phishing, app fraudulentas, app clonadas en tiendas no oficiales, ataques de DNS, abusos de marca, uso indebido y no autorizado de marcas, ataques de tipo cibersquating, ataques de tipo typosquiting, búsquedas de sitios SSL, búsqueda en páginas frontales, búsqueda de aplicaciones móviles en tiendas oficiales y tiendas paralelas, búsqueda en redes sociales, búsqueda en publicidades en los motores de búsqueda.
10. El servicio debe ser capaz de procesar informes forenses DMARC y agregarlos a listas gestionadas de posibles intentos de fraudes para su análisis posterior y aplicación de contramedidas.
11. El servicio debe poder gestionar de manera automática y/o manual los buzones de abuso del BNF. Cantidad: 20 correos mensuales. Se aclara que las cantidades mencionadas son meramente estimativas y se encuentran sujeta a variación.
12. El servicio debe combatir el phishing, haciendo una mezcla de varias técnicas que deben ser mencionadas por el proponente; entre ellas el monitoreo de dominios de primer nivel, .biz, .com, .net, .org; etc. También se deben monitorear dominios de segundo nivel.
13. El servicio deberá ser capaz de agregar periódicamente nuevos puntos de búsqueda del sistema de dominios mundial.
14. El proveedor del servicio deberá ser capaz de informar mediante publicaciones la cantidad de nuevos hosts detectados, así como también nuevos puntos de entrada y registro de dominios.
15. El servicio de monitoreo debe tener la capacidad de detectar ampliamente y a nivel global movimientos sociales y/o riesgos de fuga de información en el ciberespacio que hagan referencia a los nombres de dominio, marcas, marcas registradas, lemas, slogans, etc., objetos del servicio de detección de fraude.
16. La solución debe de identificar y desactivar el uso no autorizado de material con contenido protegido por leyes de propiedad intelectual y/o leyes de protección de marca o de uso indebido no autorizado de marcas que sean objeto del servicio de detección de fraude.
17. La solución debe monitorear la referencia y el uso de nombres o términos en redes sociales, sitios de foros, noticias y portales multimedia para identificar el uso indebido de éstos y/o ataques a la marca protegida capturando y catalogando la información disponible como contenido, imagen, origen y fecha.
18. La solución debe ser capaz de detectar y desactivar cuentas falsas en las diferentes redes sociales que estén suplantando la identidad de la compañía protegida. A modo de ejemplo: Facebook, Instagram, Twitter son las redes sociales en las que tiene presencia el banco.
19. La solución debe ser capaz de detectar y gestionar la desactivación de sitios de suplantación de identidad o uso no autorizado de marcas.
20. La solución debe ser capaz de ofrecer un portal de gestión de detecciones, gestión de medidas, autorización de desmontajes o derribos (takedown), el acceso al portal debe ser mediante credenciales privadas y con diferentes perfiles. Cantidad anual: 10 (takedown) de Phishing y 10 (takedown) de App Clonada en sitio no oficiales. Se aclara que las cantidades mencionadas son meramente estimativas y se encuentran sujetas a variación.
21. El servicio ofrecido debe contar con un portal o consola de administración, en la que se tenga la capacidad de monitoreo en tiempo real de la actividad anómala de phishing, reporte de nuevos casos, seguimiento de incidentes, estadísticas de gestión, reportes de incidentes en tiempo real e historial de casos, entre otros.
22. El servicio debe incluir los respectivos análisis de los datos de los incidentes. Debe incluir los detalles de los incidentes, tales como: posibles causas, fuentes de los ataques, tomando en cuenta la evidencia que esté disponible. Recolección de evidencia (cuando sea posible) para análisis forense posterior. Sus respectivas recomendaciones para aseguramiento de la plataforma transaccional.
23. El servicio de monitoreo debe notificar alertas a través de diversas canales de comunicación, tales como, correo electrónico, portal de administración, entre otros.
24. La consola de administración debe tener la capacidad de generar reportes personalizados para usuarios finales, dependiendo de sus permisos y roles.
25. El servicio debe estar complementado con una plataforma de soporte 7x24x365, capaz de administrar los eventos, pudiendo ser estos problemas de operación que se presenten en servicio prestado, cumpliendo determinados acuerdos de niveles de servicio.
26. El servicio deberá ofrecer herramientas para navegadores web que instaladas en los equipos permitan minimizar el impacto de ataques de phishing, las herramientas ofrecidas de manera gratuita podrán ser instaladas por clientes del Banco en sus navegadores web.
27. El proveedor del servicio debe ser capaz de ofrecer como medida adicional un servicio de análisis de phishing, capaz de analizar e informar sobre la morfología del ataque, su origen, las técnicas del mismo. Cantidad de aplicaciones a proteger del Banco Nacional de Fomento: Cantidad 3 (tres): Play Store, App Store y Huawei Store. Se aclara que las cantidades de aplicaciones mencionadas son meramente estimativas y se encuentran sujetas a variación. Cantidad de dominios a proteger del Banco Nacional de Fomento: www.bnf.gov.py.

• Nombre, cargo y la dependencia de la Institución de quien solicita el llamado a ser publicado: Ricardo Adolfo Rolón Alderete, Gerente Departamental - Gerencia Departamental de Administración de Seguridad de TIC.
• Justificación de la necesidad que se pretende satisfacer mediante la contratación a ser realizada: El Banco Nacional de Fomento BNF requiere la contratación del Servicio de Antiphishing y Autenticación de mensajes, informes y conformidad basada en el dominio del Banco (SBE) con el fin de minimizar la probabilidad de ocurrencia de ataques de suplantación de identidad a los sitios web del BNF. El servicio de detección de fraudes debe buscar contenido web de manera proactiva y evitar actividades fraudulentas. El servicio debe funcionar mediante el seguimiento de las ocurrencias del nombre del Banco, sus productos, y sus lemas en internet. Con este servicio podremos identificar sitios que pueden estar tratando de cometer fraude, construir ataques de phishing, intentar robo de identidad a través de suplantación, o están implicando fraudulentamente una relación inexistente con el Banco.
• Justificación de la planificación: Es un llamado que se realiza de manera sucesiva considerando que el monitoreo en la red internet es fundamental para prevenir los ciberataques, que cada año va en aumento
• Justificación las especificaciones técnicas establecidas: Las especificaciones Técnicas cumplen con las necesidades que tiene el Banco en términos de contar con un servicio de Antiphishing y prevención de ciberataques, y para dar cumplimiento a la Resolución SB. Nº 00179/2005 por la que se reglamenta los procedimientos de seguridad para las transacciones realizadas a través de medios electrónicos

No aplica

No aplica

No aplica

No aplica

Planificación de indicadores de cumplimiento:

Informes mensuales.

Serán presentados 36 (treinta y seis) informes.

Frecuencia: mensual.

La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.

1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.

2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.

3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad requerida, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.

En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.

La comunicación de la adjudicación a los oferentes será como sigue:

1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.

2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.

3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.

4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.

5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.

Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.

La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.

La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.

La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.