El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.
Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
GENERALIDADES:
De acuerdo a lo establecido en la Res. DNCP N° 1930/20 Por la cual se dispone la utilización del Sistema de Información de Contrataciones Públicas para la presentación y apertura de ofertas electrónicas en los procedimientos de contratación:
El porcentaje indicado en el SICP para la Garantía de Mantenimiento de Oferta es del 5% cinco por ciento.
La adenda es el documento emitido por la convocante, mediante la cual se modifican aspectos establecidos en la convocatoria y/o en las bases de la licitación. La adenda será considerada parte integrante del documento cuyo contenido modifique.
La convocante podrá introducir modificaciones o enmiendas a los pliegos de bases y condiciones, siempre y cuando se ajuste a los parámetros establecidos en la Ley.
La convocante podrá prorrogar el plazo de presentación de ofertas a fin de dar a los posibles oferentes, un plazo razonable para que puedan tomar en cuenta la enmienda en la preparación de sus ofertas. Esta prórroga deberá quedar asentada en la adenda citada.
1. El Proveedor deberá suministrar todos los bienes o servicios de acuerdo con las condiciones establecidas en el pliego de bases y condiciones y sus adendas, así como en el Contrato y sus adendas.
2. El Proveedor será responsable de cualquier indemnización por daños causados en el marco de la ejecución del contrato por él o su personal a los funcionarios y/o a terceros, y/o a los bienes de éstos, y/o a los bienes o instalaciones o imagen reputacional de la Contratante; por causas imputables al mismo.
3. Responder por todo incumplimiento o consecuencia imputable al mismo, derivados de la incorrecta o incompleta ejecución de lo contratado.
4. Contratar y mantener el personal calificado necesario para la realización de los servicios requeridos. Cumplir con todas las leyes laborales y de Seguridad Social vigentes. Asumir todos los riesgos en los términos del Código del Trabajo vigente, liberando al BCP de cualquier responsabilidad al respecto.
5. Cumplir con todas las medidas de seguridad que se requieran respecto a su personal, a fin de evitar accidentes de trabajo durante la ejecución contractual.
6. El Proveedor deberá indemnizar y eximir de cualquier responsabilidad a la contratante y a sus empleados y funcionarios, por cualquier litigio, acción legal o procedimiento administrativo, reclamación, demanda, pérdida, daño, costo y gasto cualquiera sea su naturaleza, incluidos los honorarios y gastos de representación legal, en los cuales pueda incurrir la contratante como resultado de riesgos profesionales o muerte de los empleados del Proveedor, sea reclamado por el trabajador o sus causahabientes durante la vigencia del contrato. Como riesgos profesionales se entenderán los accidentes de trabajo y enfermedades profesionales. Se considerarán igualmente accidentes del trabajo los hechos constituidos por caso fortuito o fuerza mayor inherentes al trabajo que produzcan las mismas lesiones.
De acuerdo a lo indicado en la Sección Especificaciones técnicas y Suministros Requeridos, el personal del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información en los términos del Formulario de la Sección Formularios Adicionales.
MODALIDAD DE CONTRATACIÓN
Contrato Cerrado.
ESPECIFICACIONES TÉCNICAS
|
ESPECIFICACIONES TÉCNICAS |
|||
|
Requisito |
Detalle y definiciones |
REQUERIDO |
OFRECIDO |
|
LOTE N° 1 SERVICIOS SOC Y MESA DE AYUDA DE CIBERSEGURIDAD |
|||
|
ITEM N° 1 - Servicio Security Operations Center (SOC) |
|||
|
1.1.1 Generalidades del Servicio |
|||
|
1.1.1.1 |
Se solicita el servicio SOC (Security Operations Center) tercerizado implementado actualmente en el BCP (Digiware), por un plazo de 24 meses computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato, con las mismas condiciones en las que se tiene contratado el servicio. |
EXIGIDO |
|
|
ITEM N° 2 - Servicio de Mesa de Ayuda y Gestión de Incidentes de Ciberseguridad |
|||
|
1.2.1 Generalidades del servicio |
|||
|
1.2.1.1 |
Se solicita el servicio de suscripción a la herramienta Invgate Service Desk implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha a ser establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato. |
EXIGIDO |
|
|
1.2.1.2 |
Se deben incluir todas las licencias necesarias para al menos 20 agentes, sin limitaciones de usuarios clientes y capacidad de almacenamiento de por lo menos 100 GB. |
EXIGIDO |
|
|
1.2.1.3 |
El servicio debe incluir la provisión de un equipo de trabajo dedicado, compuesto como mínimo por 5 (cinco) técnicos, quienes realizarán las siguientes tareas: la gestión de incidentes de ciberseguridad, la operativa y administración de las herramientas de ciberseguridad del BCP y la gestión de la mesa de servicios implementada, con exclusividad absoluta para el BCP, hasta 40 horas semanales por cada técnico ya sea en modalidad onsite o remoto. |
EXIGIDO |
|
|
1.2.1.4 |
El servicio técnico contempla: Monitoreo de las alarmas de seguridad, revisión de alarmas y eventos de seguridad; análisis, evaluación y contención de primera línea de incidentes de seguridad; configuración de herramientas de seguridad, tales como firewalls, IPS, DLP, Antivirus, SIEM, Antispam, entre otros; configuración de reglas de correlación; configuración de las plataformas de mesa de servicios de seguridad; revisión técnica, auditoría de registros, test de seguridad e investigación y análisis forense de primer nivel; asistencia a usuarios finales para la resolución de casos; colaboración con el soporte externo de ciberseguridad. |
EXIGIDO |
|
|
1.2.1.5 |
Lugar de la prestación del servicio: On-Site (Oficinas del BCP) y/o Remoto, a definir con la contraparte del BCP. Horario de la prestación del servicio: On-Site en horario de 06:00 a 22:00, de lunes a viernes; Remoto disponible 24 horas, 7 días a la semana; horario a convenir con la contraparte del BCP. |
EXIGIDO |
|
|
1.2.1.6 |
Perfil requerido del personal: Entre 23 y 35 años. Estudiante y/o egresado de carreras de Informática. Debe poseer conocimientos sólidos en ciberseguridad, redes y gestión de incidentes, acreditable con por lo menos 40 horas de formación específica en ciberseguridad, a través de cursos o certificaciones sobre: administración y operación de herramientas de seguridad, test de intrusión, seguridad en redes e infraestructura tecnológica, entre otros. Experiencia laboral, al menos 1 (una) referencia certificada, acreditable con la presentación de la fotocopia simple de la referencia comprobable de los trabajos realizados que guarden relación con servicios de informática y/o ciberseguridad. El personal técnico que ejecutará el contrato deberá ser el designado por parte del Proveedor en su oferta. |
EXIGIDO |
|
|
1.2.1.7 |
Herramientas de trabajo: El BCP proveerá el equipamiento y el espacio adecuados cuando el servicio sea realizado en sus oficinas. El oferente deberá proveer de todas las herramientas cuando el servicio sea realizado de manera remota, de conformidad con los requerimientos técnicos y de seguridad del BCP. |
EXIGIDO |
|
|
1.2.1.8 |
La asistencia del equipo técnico en ningún caso representa compromiso laboral alguno entre los individuos y el BCP, siendo el oferente el único responsable del cumplimiento de todas las obligaciones laborales que correspondan según el caso (pago de salarios, vacaciones, aguinaldo, pagos jubilatorios, horas extras, viáticos, compensaciones, seguros, entre otros). El oferente exime al BCP de toda erogación y responsabilidad asociada a la prestación del servicio. |
EXIGIDO |
|
|
1.2.1.9 |
Durante la duración del contrato, el BCP se reserva el derecho de solicitar reemplazos al equipo técnico, y el oferente debe presentar un nuevo integrante en un plazo no mayor a 10 días hábiles, el cual deberá cumplir con los requisitos establecidos en el PBC. |
EXIGIDO |
|
|
1.2.1.10 |
Ante la ausencia de uno o más miembros del equipo por 3 (tres) días hábiles o más, cualquiera fuere la razón, el oferente será responsable de proveer un reemplazo temporal, hasta tanto el afectado se reintegre, sin perjuicios de las sanciones contractuales que correspondan. |
EXIGIDO |
|
|
LOTE N° 2 SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN DE SEGURIDAD DNS |
|||
|
ITEM N° 1 Servicio de suscripción a Solución de Seguridad DNS |
|||
|
2.1.1 Características de la solución |
|||
|
2.1.1.1 |
Se solicita el servicio de suscripción al Software de seguridad DNS, Cisco Umbrella Secure Internet Gateway Essentials implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato. |
EXIGIDO |
|
|
2.1.1.2 |
La Solución deberá estar basada en la nube (servicio SWG Cloud) y debe proveer análisis de consultas y resoluciones de DNS para al menos 800 usuarios. |
EXIGIDO |
|
|
LOTE N° 3 SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN DE SEGURIDAD PERIMETRAL DEFINIDA POR SOFTWARE |
|||
|
ITEM N° 1 Servicio de Suscripción a Solución de Seguridad Perimetral Definida por Software |
|||
|
3.1.1 Características de la Solución |
|||
|
3.1.1.1 |
Se solicita el servicio de suscripción a solución de seguridad perimetral definida por software Appgate SDP implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato. |
EXIGIDO |
|
|
3.1.1.2 |
Se deben incluir todas las licencias necesarias para al menos 980 usuarios, y con protección para 2 (dos) sitios o centro de datos. |
EXIGIDO |
|
|
LOTE N° 4 SERVICIO DE SUSCRIPCIÓN A SOLUCIONES DE CIBERSEGURIDAD |
|||
|
ITEM N° 1 - Servicio de suscripción a Solución de Análisis de Muestras de malware (Sandboxing) |
|||
|
4.1.1 Características principales de la Solución |
|||
|
4.1.1.1 |
Se solicita el servicio de suscripción a solución de análisis de muestras de malware (sandboxing) Trellix Virtual Advanced Threat Defense Appliance, implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato. |
EXIGIDO |
|
|
ITEM N° 2 - Servicio de suscripción a Solución de Seguridad Antimalware y EDR |
|||
|
4.2.1 Características principales de la Solución |
|||
|
4.2.1.1 |
Se solicita el servicio de suscripción a la solución de seguridad antimalware y EDR Trellix MVISION Protect Plus EDR para 1200 usuarios, implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato. |
EXIGIDO |
|
|
4.2.1.2 |
La Solución debe contar con un Registro Cloud de análisis de riesgo para al menos 25 mil diferentes servicios Cloud. |
EXIGIDO |
|
|
4.2.1.3 |
Para cada servicio cloud se deben evaluar al menos 50 atributos y 260 sub atributos de riesgo. |
EXIGIDO |
|
|
4.2.1.4 |
Debe monitorear si los servicios Cloud cuentan con las siguientes certificaciones: EU GDPR, Trustee / BBB, Safe Harbor, ISO 27018, FISMA, FedRAMP, CSA Star, HITRUST, ISO 27017, SAS 70 / SSAE16 / ISAE 3402, ITIL, DCAA / SOC 3, ISO 27001, SOC 2, PCI Compliance y HIPAA |
EXIGIDO |
|
|
4.2.1.5 |
La Solución debe poder mostrar la exposición de los servicios Cloud a vulnerabilidades como: Cloudbleed, Heartbleed, Poodle, Freak, Ghostwriter. |
EXIGIDO |
|
|
4.2.1.6 |
La Solución debe identificar intentos de fuga de información por servicios no corporativos a través del análisis de Machine Learning y UEBA, correlacionado con la actividad de los usuarios en los servicios. |
EXIGIDO |
|
|
4.2.1.7 |
La Solución debe contar con la capacidad de control (Bloquear/Permitir) con base en atributos de Riesgo de Shadow IT. |
EXIGIDO |
|
|
4.2.1.8 |
La Solución debe tener la capacidad de aplicar políticas de DLP al tráfico Web y de servicios de Shadow IT. |
EXIGIDO |
|
|
4.2.1.9 |
La Solución debe tener la capacidad de aplicar políticas a la información en la nube basado en: - Diccionarios. |
EXIGIDO |
|
|
4.2.1.10 |
- Palabras clave |
EXIGIDO |
|
|
4.2.1.11 |
- Grupos de usuarios |
EXIGIDO |
|
|
4.2.1.12 |
- Expresiones regulares |
EXIGIDO |
|
|
4.2.1.13 |
La Solución debe permitir a los administradores: personalizar vistas y reportes, basados en la información que deseen ver. |
EXIGIDO |
|
|
4.2.1.14 |
La consola debe permitir programar la ejecución de reportes y que estos sean enviados vía correo electrónico en formato PDF, CSV o XLS. |
EXIGIDO |
|
|
4.2.1.15 |
La Solución debe presentar un dashboard de madurez de implementación de la misma, donde se muestre el nivel de adopción de la herramienta en la entidad, comparativas anónimas con otros clientes de la misma vertical y recomendaciones de funcionalidades que deben ser implementadas. |
EXIGIDO |
|
|
ITEM N° 3 - Servicio de suscripción a Solución de Gestión de Vulnerabilidades |
|||
|
4.3.1 Características principales de la Solución |
|||
|
4.3.1.1 |
Se solicita el servicio de suscripción a la solución de gestión de vulnerabilidades Tenable implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato. |
EXIGIDO |
|
|
4.3.1.2 |
Se deben incluir todas las licencias necesarias para al menos 512 (quinientos doce) activos de TI, entre ellos estaciones de trabajo, servidores, dispositivos de red, plataformas de virtualización y otros sistemas conectados. |
EXIGIDO |
|
|
LOTE N° 5 - SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN DE DETECCIÓN Y RESPUESTA EXTENDIDA - XDR |
|||
|
ITEM N° 1 - Servicio de suscripción a Solución de Detección y Respuesta Extendida - XDR |
|||
|
5.1.1 Características principales de la Solución |
|||
|
5.1.1.1 |
Se solicita el servicio de suscripción a una Solución de Detección y Respuesta Extendida XDR, con el objetivo de facilitar la integración y la respuesta avanzada a incidentes de ciberseguridad, ejecución de playbooks y análisis de amenazas. La Solución debe tener, nativamente y sin ningún tipo de desarrollo adicional, integración con las soluciones de seguridad de endpoint y servidores con las cuales cuenta actualmente el BCP (Trellix MVISION Protect Plus EDR). |
EXIGIDO |
|
|
5.1.1.2 |
La Solución debe incluir nativamente capacidades tales como: agregación y correlación de eventos, recolección de eventos de distintas fuentes de datos y definición de políticas de retención de información. Toda la información generada debe poder ser consumida por la propia Solución para la toma de decisiones, de forma nativa, y sin ningún tipo de desarrollo por fuera de la Solución. |
EXIGIDO |
|
|
5.1.1.3 |
Se debe entregar todos los módulos de software necesarios para la correcta implementación de lo requerido en este ítem. Se deben incluir todas las licencias necesarias para al menos 750 EPS, con soporte y mantenimiento del fabricante por 24 meses computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato. |
EXIGIDO |
|
|
5.1.1.4 |
La solución debe tener la capacidad de integrar al menos 300 tecnologías diferentes, sin licenciamiento adicional. |
EXIGIDO |
|
|
5.1.1.5 |
La solución debe tener la capacidad de minimizar el impacto de un incidente. |
EXIGIDO |
|
|
5.1.1.6 |
La solución debe poder centralizar los datos recibidos con el fin de contar con visibilidad de las amenazas y vulnerabilidades. |
EXIGIDO |
|
|
5.1.1.7 |
La solución debe soportar expresiones regulares compatibles con Perl. |
EXIGIDO |
|
|
5.1.1.8 |
La solución debe soportar operaciones booleanas como AND, OR y NOT. |
EXIGIDO |
|
|
5.1.1.9 |
Debe utilizar un lenguaje de análisis de datos para consultas de eventos para su posterior análisis. |
EXIGIDO |
|
|
5.1.1.10 |
La solución debe soportar dentro de la anatomía del lenguaje utilizado al menos los siguientes aspectos: búsquedas, filtros, elementos sintaxis como día y hora, operadores de comparación, funciones hash criptográfica, variables de expansión, histograma. |
EXIGIDO |
|
|
5.1.1.11 |
La solución debe proveer la capacidad de asignar un nombre de clase genérico que se refiera a eventos, por ejemplo, proxies: Bluecoat, firewall: Palo Alto, etc. |
EXIGIDO |
|
|
5.1.1.12 |
La solución debe incluir al menos los siguientes métodos de autenticación: local, Radius, LDAP, Active Directory, Sigle sign-on. |
EXIGIDO |
|
|
5.1.1.13 |
La solución debe proporcionar un flujo de trabajo de incidentes para rastrear eventos. |
EXIGIDO |
|
|
5.1.1.14 |
Para el tránsito de todos los datos, debe realizarse con un cifrado SSL/TLS. |
EXIGIDO |
|
|
5.1.1.15 |
La solución debe soportar al menos tres formas de contactar al soporte: licencia de suscripción, chat de soporte, por el servicio de expertise on demand. |
EXIGIDO |
|
|
5.1.1.16 |
La solución debe soportar una consola maestra de alertas, con capacidad de personalizar dashboards, búsquedas, y resultados de búsquedas. |
EXIGIDO |
|
|
5.1.1.17 |
La solución debe soportar el uso de API para la administración, así como para integración de fuentes de datos, si así se requiere. |
EXIGIDO |
|
|
5.1.1.18 |
Los indicadores deben ser cargados a través de archivos CSV o JSON. |
EXIGIDO |
|
|
5.1.1.19 |
Los indicadores deben de incluir al menos los siguientes campos: Value, Notes, Risk, Type. |
EXIGIDO |
|
|
5.1.1.20 |
La solución debe de soportar dos tipos de reglas: las creadas por el fabricante y las personalizadas. |
EXIGIDO |
|
|
5.1.1.21 |
La solución debe mostrar un gráfico que muestre el porcentaje de las reglas habilitadas creadas por el fabricante que están siendo utilizadas y las que no. |
EXIGIDO |
|
|
5.1.1.22 |
Las reglas deben contener al menos la siguiente información: riesgo, nombre, estatus, opción de deshabilitar y ver la regla. |
EXIGIDO |
|
|
5.1.1.23 |
La solución debe permitir asignar una contraseña al reporte en formato pdf cuando éste sea enviado por correo electrónico. |
EXIGIDO |
|
|
5.1.1.24 |
La solución debe contar con un dashboard que muestre información sobre: estadísticas de eventos por segundo, estado general del dispositivo, eficacia de los sensores. |
EXIGIDO |
|
|
5.1.1.25 |
La solución debe mostrar en las tablas de alertas, al menos la siguiente información: riesgo, tipo, origen, primer evento, último evento, sumario, estado, hash. |
EXIGIDO |
|
|
5.1.1.26 |
La solución debe soportar la personalización de tablas de alertas. |
EXIGIDO |
|
|
5.1.1.27 |
La solución debe indicar el nivel de amenaza basado en la inteligencia que realice, tomando en consideración al menos los siguientes aspectos: el valor de un evento indeterminado, el valor de un evento benigno, el valor de un evento sospechoso, el valor de un evento malicioso. |
EXIGIDO |
|
|
5.1.1.28 |
La solución debe poder asignar alertas a los usuarios como parte del proceso de escalamiento y gestión de incidentes. |
EXIGIDO |
|
|
5.1.1.29 |
La solución debe incluir una vista sobre consejos de investigación, que permitan ofrecer mayor detalle a través de preguntas con consultas de búsqueda asociadas y así tener una mejor comprensión de la amenaza. |
EXIGIDO |
|
|
5.1.1.30 |
La solución debe poder exportar alertas a formato tipo JSON o CSV. |
EXIGIDO |
|
|
5.1.1.31 |
La solución debe soportar la búsqueda y descarga de transcripciones de PCAP. |
EXIGIDO |
|
|
5.1.1.32 |
La solución debe soportar al menos los siguientes tipos de log; security log, sysmon log, system log, application log, appLocker log, PowerShell Log, defender log, IIS log. |
EXIGIDO |
|
|
5.1.1.33 |
La solución debe soportar la identificación de actividad sospechosa a través del análisis del comportamiento indicado por detectores, incluyéndose al menos los siguientes: Beacon Detection, DNS Entropy Detection, DNS Fast-flux Detection, Geofeasibility Detetection, Credetial Misuse Detection, Unacknowledged Connection Detection, Anomalous WSman Activity Detection, Port Scanning Detection, Port Probing Detection, Data Theft (outbond) exfiltration Detection, Inbound Connections Detection, Server outbound Connections Detection, VPN Compromised Account Detection. |
EXIGIDO |
|
|
5.1.1.34 |
La solución debe ser compatible para procesar registros a través de los siguientes métodos: IETF, syslog, RFC5424, RFC3164. |
EXIGIDO |
|
|
5.1.1.35 |
La solución debe permitir la detección, validación, e investigación de alertas/amenazas, para así reconstruir el killchain de un ataque. |
EXIGIDO |
|
|
5.1.1.36 |
La solución debe proveer la capacidad de generar una puntuación de riesgo. |
EXIGIDO |
|
|
5.1.1.37 |
La solución debe tener la capacidad de minimizar el impacto de un incidente de forma automática. |
EXIGIDO |
|
|
5.1.1.38 |
La solución debe generar una investigación visual guiada con los detalles de una incidencia. |
EXIGIDO |
|
|
5.1.1.39 |
La solución debe tener integrado playbooks que automatizan las acciones de respuesta a las amenazas. |
EXIGIDO |
|
|
5.1.1.40 |
La solución debe crear correlaciones automáticamente, a partir de alertas, utilizando análisis estadístico. |
EXIGIDO |
|
|
5.1.1.41 |
La solución debe soportar alertas de terceros de más de 600 fuentes. |
EXIGIDO |
|
|
5.1.1.42 |
La solución debe ser una plataforma de operación SaaS que permita tomar control de incidentes desde la detección hasta la respuesta. |
EXIGIDO |
|
|
5.1.1.43 |
La solución debe detectar incidentes correlacionando datos de múltiples herramientas. |
EXIGIDO |
|
|
5.1.1.44 |
La solución debe asistir en la toma de decisiones a través de inteligencia contextual sobre amenazas. |
EXIGIDO |
|
|
5.1.1.45 |
La solución debe permitir centralizar la infraestructura y los datos de seguridad. |
EXIGIDO |
|
|
5.1.1.46 |
La solución debe tener la capacidad de mejorar la detección de amenazas y vulnerabilidades con análisis avanzados de comportamiento de los usuarios |
EXIGIDO |
|
|
5.1.1.47 |
La solución debe incluir paneles que brinden descripción del estado de las operaciones de seguridad tales como: - Numero de amenaza |
EXIGIDO |
|
|
5.1.1.48 |
- Puntaje de riesgo. |
EXIGIDO |
|
|
5.1.1.49 |
- Matriz de MITRE ATT&CK. |
EXIGIDO |
|
|
5.1.1.50 |
- Amenazas asignadas. |
EXIGIDO |
|
|
5.1.1.51 |
- Uso de datos dentro del entorno. |
EXIGIDO |
|
|
5.1.1.52 |
- Salud del entorno. |
EXIGIDO |
|
|
5.1.1.53 |
- Coincidencias de inteligencia que muestran actores e indicadores. |
EXIGIDO |
|
|
5.1.1.54 |
La solución debe permitir acciones para asignar, cerrar, suprimir, contener y exportar una alerta. |
EXIGIDO |
|
|
5.1.1.55 |
La solución debe soportar acciones para remediar la amenaza. |
EXIGIDO |
|
|
5.1.1.56 |
La solución debe ser capaz de proporcionar una representación visual de cada incidente y un resumen de lo que sucedió (vectores que estuvieron involucrados - como las alertas conectadas. entre sí). |
EXIGIDO |
|
|
5.1.1.57 |
La solución debe proporcionar información de los activos (host - usuario) basados en: - Clasificación de riesgo |
EXIGIDO |
|
|
5.1.1.58 |
- Etiquetarlos como activo VIP |
EXIGIDO |
|
|
5.1.1.59 |
- Exportar a un archivo CSV o JSON. |
EXIGIDO |
|
|
5.1.1.60 |
La solución debe permitir la integración para automatizar tareas frecuentes a través de playbooks proporcionados por: Azure, Cloudvisory, detección bajo de manda, serviceNow, VirusTotal. |
EXIGIDO |
|
|
5.1.1.61 |
La solución debe contar con un portal que permita agregar conexiones a la nube, abarcando plataformas como: Amazon Web Services (AWS), Google Cloud Platform (GCP), GSuite, Microsoft Azure, Microsoft 365 y Microsoft Teams. También se admiten alertas de proveedores como MimeCast, Proofpoint, MS Defender, Sophos (AV), TrendMicro y CrowdStrike. |
EXIGIDO |
|
|
5.1.1.62 |
La solución debe permitir configurar notificaciones por correo electrónico. |
EXIGIDO |
|
|
5.1.1.63 |
La solución debe mostrar información sobre cada táctica (Mitre ATT&CK) que se intentó durante el periodo de tiempo especificado. |
EXIGIDO |
|
|
5.1.1.64 |
La solución debe mostrar el número de técnicas (Mitre ATT&CK) que se utilizaron en el intento de la táctica. |
EXIGIDO |
|
|
5.1.1.65 |
La solución debe detallar el número de amenazas asociadas a cada técnica (Mitre ATT&CK). |
EXIGIDO |
|
|
5.1.1.66 |
La solución debe proporcionar una comprensión del flujo de ataque a través de un gráfico que muestre los siguientes nodos: - Múltiples herramientas. |
EXIGIDO |
|
|
5.1.1.67 |
- Múltiples fuentes. |
EXIGIDO |
|
|
5.1.1.68 |
- Alertas múltiples. |
EXIGIDO |
|
|
5.1.1.69 |
- Activos múltiples. |
EXIGIDO |
|
|
5.1.1.70 |
- Múltiples artefactos. |
EXIGIDO |
|
|
5.1.1.71 |
La solución debe tener la capacidad de agrupar una amenaza a través de una correlación o una alerta. |
EXIGIDO |
|
|
5.1.1.72 |
La solución debe mostrar un gráfico de tabla que contenga al menos la siguiente información: riesgo, tipo, total de activos, total de eventos, primer evento, último evento, origen/destino, resumen (summary), asignación, estatus. |
EXIGIDO |
|
|
5.1.1.73 |
La solución debe ser capaz de calcular el riesgo de un activo multiplicando la suma de los puntajes de riesgo de todas las alertas por el número de reglas para dividirse entre el total de alertas utilizando la siguiente escala o similar: 0-59: puntuación - severidad baja; 60-79: puntuación - severidad media; 80 - 99: puntuación - severidad alta; Mayor o igual a 100: puntuación - severidad crítica. |
EXIGIDO |
|
|
5.1.1.74 |
La solución debe tener la capacidad de realizar las siguientes acciones relacionadas con la amenaza: - Contener |
EXIGIDO |
|
|
5.1.1.75 |
- Eliminar |
EXIGIDO |
|
|
5.1.1.76 |
- Asignar a un usuario |
EXIGIDO |
|
|
5.1.1.77 |
- Cierre o suprimir |
EXIGIDO |
|
|
5.1.1.78 |
La solución debe tener la capacidad de realizar las siguientes acciones relacionadas con la amenaza: - Activar un playbook |
EXIGIDO |
|
|
5.1.1.79 |
- Realizar una reparación |
EXIGIDO |
|
|
5.1.1.80 |
La solución debe mostrar una gráfica sobre las actividades playbooks ejecutadas en la organización. |
EXIGIDO |
|
|
5.1.1.81 |
La solución debe permitir la visualización del diagrama de flujo que realiza el seguimiento de cada paso de la ejecución dentro del playbook. |
EXIGIDO |
|
|
5.1.1.82 |
La solución debe permitir que el diagrama de flujo de la actividad del playbook y los detalles de la acción puedan ser exportados a formato JSON. |
EXIGIDO |
|
|
5.1.1.83 |
La solución debe soportar la asignación de acciones de respuesta a los playbooks a través de artefactos relevantes como: hashes MD5, alertas, dominios, direcciones IP). |
EXIGIDO |
|
|
5.1.1.84 |
La solución debe contar con la capacidad de que el fabricante cree paquetes de reglas dedicadas a tipos específicos de detección como: suplantación de identidad, para Windows, etc. |
EXIGIDO |
|
|
5.1.1.85 |
La solución debe permitir visualizar la regla a través de una tabla la información donde se identifique: nombre, consulta (query), estatus, playbook, riesgo, creación. |
EXIGIDO |
|
|
LOTE N° 6 - SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN FIREWALL DE APLICACIÓN WEB (WAF) |
|||
|
ITEM N° 1 - Servicio de suscripción a Solución Firewall de Aplicación Web (WAF) |
|||
|
6.1.1 Características principales de la Solución |
|||
|
6.1.1.1 |
Se solicita el servicio de suscripción a solución firewall de aplicación web Barracuda 660 Vx implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 12 meses computados a partir de fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato. |
EXIGIDO |
|
|
6.1.1.2 |
La Solución debe contar con las siguientes características: |
EXIGIDO |
|
|
LOTE N° 7 SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN DE DETECCIÓN Y RESPUESTA PARA NETWORKING - NDR |
|||
|
ITEM N° 1 Servicio de suscripción a Solución de Detección y Respuesta para Networking - NDR |
|||
|
7.1.1 Características principales de la Solución: |
|||
|
7.1.1.1 |
Se solicita el servicio de suscripción a una Solución de ciberseguridad para la detección y respuesta a incidentes para networking, mediante el análisis de la metadatos del tráfico de red, para 300 fuentes, con el objetivo de realizar la medición e identificación de IoCs (indicadores de compromiso) a través de la técnica de detección continua de compromisos, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato. |
EXIGIDO |
|
|
7.1.1.2 |
La solución debe proporcionar, en modalidad de SaaS, la capacidad de medir el compromiso de la infraestructura tecnológica, en tiempo real, sin importar el formato enviado, siempre y cuando contenga la información necesaria. |
EXIGIDO |
|
|
7.1.1.3 |
La solución debe tener la capacidad de recolectar, procesar y analizar las consultas DNS de la organización para identificar qué activos (estaciones de trabajo, servidores, equipos de red, etc.) están intentando comunicarse con potenciales atacantes. |
EXIGIDO |
|
|
7.1.1.4 |
La solución debe tener la capacidad de recolectar, procesar y analizar los datos del Spambox para identificar quién y cómo están intentando atacar a la organización. |
EXIGIDO |
|
|
7.1.1.5 |
La solución debe incluir agentes o colectores para al menos sistemas operativos Windows 10 o superior y Windows Server 2012 o superior. |
EXIGIDO |
|
|
7.1.1.6 |
La solución debe poder ser implementada y debe tener la capacidad de realizar el proceso de recolección de datos sin la necesidad de hardware de propósito especifico, tal como network taps u otros. El proceso de recolección de datos para medir compromiso debe estar basado en metadatos. |
EXIGIDO |
|
|
7.1.1.7 |
El proceso de medición de compromiso debe estar basado en: consultas DNS, spambox, netflows, logs de proxy y/o firewall. |
EXIGIDO |
|
|
7.1.1.8 |
La solución debe tener la capacidad de clasificar el resultado de la medición de compromiso. Ejemplo: Malware, C&C, Phishing. |
EXIGIDO |
|
|
7.1.1.9 |
La solución debe almacenar datos de forma histórica de al menos 2 años. |
EXIGIDO |
|
|
7.1.1.10 |
La solución debe tener la capacidad de realizar una revisión histórica o 'playback' de nuevos ataques para identificar compromiso histórico basado en nueva información. |
EXIGIDO |
|
|
7.1.1.11 |
La solución debe identificar el origen del compromiso de manera precisa y sin la necesidad de la instalación de hardware de propósito específico. |
EXIGIDO |
|
|
7.1.1.12 |
El proceso de análisis de los metadatos de la organización debe estar basado en: - Correlación contra más de 80 fuentes de ciberinteligencia. |
EXIGIDO |
|
|
7.1.1.13 |
- Analizadores/algoritmos, supervisados o no, de machine learning e inteligencia artificial. |
EXIGIDO |
|
|
7.1.1.14 |
La solución debe implementar la capacidad de adicionar nuevas fuentes de ciberinteligencia con conceptos tales como BYOTI "Bring your own threat intelligence". |
EXIGIDO |
|
|
7.1.1.15 |
La solución debe proveer un portal web que sea accesible desde las últimas versiones estables de los navegadores Google Chrome, Firefox, Edge y Safari. |
EXIGIDO |
|
|
7.1.1.16 |
La solución debe incluir al menos uno de los siguientes métodos de autenticación: local, Radius, LDAP, Active Directory, Sigle sign-on. |
EXIGIDO |
|
|
7.1.2 Reportes y vistas |
|||
|
7.1.2.1 |
El portal debe contener una vista que provea estadísticas de los indicadores de compromiso. |
EXIGIDO |
|
|
7.1.2.2 |
La solución debe tener la opción de aplicar filtros predefinidos, como por fecha, ejemplo: Hoy, ayer, últimos 7 días, últimos 30 días. |
EXIGIDO |
|
|
7.1.2.3 |
La solución debe tener la opción de aplicar filtros por un periodo de tiempo personalizado. |
EXIGIDO |
|
|
7.1.2.4 |
La solución debe permitir agrupar los activos a través de etiquetas como: tipo de activos (estaciones de trabajo, servidores, equipos de red, etc.), grupos de usuarios, etc., de acuerdo con la necesidad de la organización. |
EXIGIDO |
|
|
7.1.2.5 |
La solución debe incluir frecuencia del compromiso por día de la semana y hora del día. Asimismo, debe mostrar la distribución del ataque basado en etiquetas previamente configuradas (ejemplo: usuario remoto, oficina central, IOT), también debe contar con recursos relacionados con los compromisos y con unas guías (playbooks) para cada tipo de ataque detectado. |
EXIGIDO |
|
|
7.1.2.6 |
La solución debe permitir mostrar los IoCs por cada compromiso detectado y se debe poder descargar directamente de la plataforma, en formato CSV. |
EXIGIDO |
|
|
7.1.2.7 |
La solución debe tener una vista de incidentes que permita gestionar incidentes abiertos, cerrar incidentes y silenciar incidentes llevando registro de las acciones tomadas en los mismos. |
EXIGIDO |
|
|
7.1.2.8 |
La solución debe incluir información del spambox como: volumen de correos analizados, destinatarios que reciben más spam, tendencias de ataques, días y horas de la semana en la que se recibe más correos maliciosos y correlación del spambox con respecto a la comunicación efectiva realizada hacia el potencial atacante. |
EXIGIDO |
|
|
7.1.2.9 |
La solución debe enviar reportes vía correo electrónico con información de resultados de la evaluación de compromiso. |
EXIGIDO |
|
|
7.1.2.10 |
La solución debe enviar notificación al correo electrónico del administrador de la plataforma o a los usuarios definidos en caso de la existencia de un indicador de compromiso detectado. |
EXIGIDO |
|
|
7.1.2.11 |
La solución debe tener la opción de configurar la periodicidad de las notificaciones, tales como: envío de correo con las alertas de la ultima hora o de las últimas 4 horas, etc. |
EXIGIDO |
|
|
7.1.2.12 |
La solución debe incluir en las notificaciones, el análisis de cada incidente basado en la matriz MITRE ATT&CK. |
EXIGIDO |
|
|
7.1.2.13 |
La solución debe permitir configurar la periodicidad de los reportes. Ejemplo: diario, semanal, bisemanal y mensual |
EXIGIDO |
|
|
7.1.3 Características y alertas |
|||
|
7.1.3.1 |
La solución debe poder responder de forma automática, conectándose vía API a la infraestructura tecnológica para ajustar las políticas de bloqueo pertinentes, ante la detección de un compromiso. |
EXIGIDO |
|
|
7.1.3.2 |
La solución debe incorporar capacidades automáticas de bloqueo con los fabricantes más reconocidos de la industria, tales como: Palo Alto Networks, Fortinet, Checkpoint, Cisco, entre otros. |
EXIGIDO |
|
|
7.1.3.3 |
La solución debe proporcionar una API de forma tal que la organización pueda construir la integración que requiera para propósitos de defensa o gestión de incidentes. |
EXIGIDO |
|
|
7.1.3.4 |
La solución debe tener la capacidad de realizar la descarga de información de amenazas en formato STIX. |
EXIGIDO |
|
|
7.1.3.5 |
La solución debe proporcionar el contexto de cada compromiso con referencias internas y externas para entender la naturaleza del mismo. |
EXIGIDO |
|
|
7.1.3.6 |
La solución debe permitir el direccionamiento del tráfico DNS a un DNS publico ofrecido por el proveedor. |
EXIGIDO |
|
|
7.1.3.7 |
La solución debe permitir consumir metadatos de plataformas de VPN para medición de compromiso de dispositivos remotos en modo full tunnel y split tunnel. |
EXIGIDO |
|
|
7.1.3.8 |
La solución debe proporcionar una API abierta para consumir metadatos, de forma que la organización pueda utilizarla para propósitos específicos. |
EXIGIDO |
|
|
7.1.3.9 |
La solución debe soportar colectores o su equivalente para los hipervisores VirtualBox, Hyper-V y VMware. |
EXIGIDO |
|
|
7.1.4 Calidad y capacidad del Talento Humano |
|||
|
7.1.4.1 |
El proveedor debe ofrecer la gestión de los incidentes generados en la solución en modalidad 7x24. |
EXIGIDO |
|
|
7.1.4.2 |
El alcance de la gestión de incidentes debe entregar al equipo de la organización la guía necesaria para la mitigación de estos, identificados por la solución. |
EXIGIDO |
|
|
7.1.4.3 |
El proveedor debe proporcionar el apoyo necesario para el despliegue de la solución. |
EXIGIDO |
|
|
7.1.4.4 |
El proveedor debe proporcionar resolución de dudas sobre la forma de mitigación de los compromisos detectados. |
EXIGIDO |
|
|
7.1.4.5 |
El proveedor debe disponibilizar entrenamiento/capacitación de la solución ofrecida para traspaso de conocimiento al personal para asegurar la correcta operación. |
EXIGIDO |
|
|
7.1.4.6 |
El proveedor debe incluir un plan de implementación, actualización u optimización, además del acompañamiento continuo a lo largo de la duración de la prestación del servicio. |
EXIGIDO |
|
Equipos y dispositivos existentes en el BCP:
|
Tipo |
Descripción |
Cantidad |
|
Server |
Total de Servidores Físicos |
50 |
|
Storage |
IBM, Dell |
7 |
|
Hipervisores |
ESXi 5, 6 |
34 |
|
Hipervisores |
HyperV |
2 |
|
Server |
CentOS Linux |
39 |
|
Server |
RedHat |
18 |
|
Server |
Generic Linux |
13 |
|
Server |
Microsoft Windows Server Otros |
54 |
|
Server |
Microsoft Windows Server 2012 |
60 |
|
Server |
Microsoft Windows Server 2016 |
3 |
|
MBD |
MS SQL |
5 |
|
MBD |
PostgreSQL |
1 |
|
MBD |
MySQL |
4 |
|
MBD |
Sybase |
4 |
|
MBD |
Oracle |
6 |
|
Server |
Servidor de archivos |
5 |
|
Server |
Servidor Exchange |
2 |
|
Firewall |
Checkpoint |
3 |
|
Firewall |
Cisco FTD |
2 |
|
Firewall |
Cisco ASA |
5 |
|
LB |
Citrix |
2 |
|
Router |
Cisco IOS |
3 |
|
Switch |
Cisco IOS |
70 |
|
Switch |
Cisco NX-OS |
15 |
|
Wireless |
Cisco WLAN Controller |
3 |
|
Wireless |
Cisco AP |
50 |
|
Proxy |
Forcepoint |
2 |
|
Usuarios |
Estaciones de trabajo (PCs, Notebooks) |
900 |
|
Usuarios |
Dispositivos móviles (Android/iOS) |
70 |
CONDICIONES GENERALES
Administración del Contrato: la administración del contrato estará a cargo del Departamento de Ciberseguridad del Banco Central del Paraguay.
Compromiso de Confidencialidad: el personal interviniente del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información, dado que podría acceder a información confidencial de la contratante, en los términos del Formulario incluido en la Sección Formularios. La firma del Compromiso de Confidencialidad se realizará al momento de la suscripción del Contrato. El Departamento de Ciberseguridad será el responsable de gestionar la firma de dicha documentación. En caso de que se incorpore nuevo personal del Proveedor se deberá gestionar la firma del Compromiso de Confidencialidad por parte de estos.
Área Técnica Administradora del Contrato: la administración del contrato estará a cargo del Departamento de Ciberseguridad.
Acuerdo de Nivel de Servicio: El Proveedor deberá suscribir un Acuerdo de Nivel de Servicio, bajo los siguientes términos:
Tiempo de respuesta a incidentes que afectan la disponibilidad del servicio:
Crítico: 2 (dos) horas desde la comunicación del incidente.
En caso de no cumplir con el plazo establecido, el Proveedor deberá comunicarlo por escrito mediante nota dirigida al DCS, indicando los motivos técnicos de su atraso. En estos casos, el Proveedor está obligado a proporcionar y mantener funcionando el servicio de respaldo/contingencia mientras dure la reparación y puesta a punto del servicio.
No crítico: 4 (cuatro) horas desde la comunicación del incidente.
El Proveedor facilitará el nombre, número telefónico y correo electrónico del contacto para gestionar los incidentes críticos y no críticos.
Informes y Actas: El Proveedor deberá elaborar de manera mensual un informe técnico de cumplimiento que contemple las actividades desarrolladas respecto al servicio que fuera adjudicado (deberá contener como mínimo fecha de la actividad, tareas realizadas, participantes, entre otros datos relacionados), así como un acta de conformidad por los trabajos mensuales que será suscrito en conjunto con el área administradora del contrato.
Lugar y Horario de Trabajo: la prestación de los servicios se realizará de manera presencial en las oficinas del Banco Central, sito en Av. Federación Rusa y Augusto Roa Bastos. Para casos excepcionales y previo acuerdo con la contraparte técnica administradora del contrato (Departamento de Ciberseguridad del BCP), se podrá realizar de manera remota, a través de herramientas tecnológicas tales como Microsoft Teams, acceso VPN a través de herramientas SDP o similares.
Plazo de vigencia del Contrato: el plazo de vigencia será a partir de la fecha que se establezca al efecto en la Orden de Inicio del Servicio, la cual será emitida dentro del plazo de 10 (diez) días hábiles desde la suscripción del Contrato, hasta el cumplimiento total de las obligaciones contractuales.
Plazo de prestación/ejecución de los servicios:
Para los Lotes 1, 2, 3, 4, 5 y 7: el plazo de prestación total de los servicios será de 24 (veinticuatro) meses contados a partir de la fecha que se establezca al efecto en la Orden de Inicio del Servicio, la cual será emitida dentro del plazo de 10 (diez) días hábiles, desde la suscripción del Contrato.
Para el Lote 6: el plazo de prestación total de los servicios será de 12 (doce) meses contados a partir de la fecha que se establezca al efecto en la Orden de Inicio del Servicio, la cual será emitida dentro del plazo de 10 (diez) días hábiles, desde la suscripción del Contrato.
•El presente llamado a ser publicado ha sido solicitado por: el Departamento de Ciberseguridad del Banco Central del Paraguay.
•La necesidad que se pretende satisfacer mediante la contratación realizada radica en: mantener y fortalecer las capacidades defensivas en materia de ciberseguridad de la Institución, y mejorar las capacidades técnicas y tecnológicas que le permitan ejecutar las operaciones de ciberseguridad esenciales, principalmente, en la detección, prevención, respuesta y recuperación de los eventos e incidentes de ciberseguridad, de la manera más automatizada posible, lo cual incluye: herramientas, personas, procesos y soporte externo especializado, desde un contexto centralizado, sin que se vean afectados los recursos humanos destinados a los procesos estratégicos o misionales del BCP.
•Con relación a la planificación, se indica que: se trata de un llamado periódico, sucesivo ya que la necesidad es continua.
•Las especificaciones técnicas establecidas se justifican en: las necesidades actuales de la Institución, en su infraestructura, conocimiento del área técnica, entre otros.
La entrega de los bienes se realizará de acuerdo al plan de entrega y cronograma de cumplimiento, indicado en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicado a continuación:
NO APLICA.
|
Ítems |
Descripción del servicio |
Cantidad |
Unidad de medida |
Lugar donde los servicios serán prestados |
Plazo de prestación/ejecución de los servicios |
Plazo de vigencia del Contrato |
|
De acuerdo a la Lista de Precios publicada en el SICP |
De acuerdo a la Lista de Precios publicada en el SICP |
De acuerdo a la Lista de Precios publicada en el SICP |
De acuerdo a la Lista de Precios publicada en el SICP |
Los servicios correspondientes a todos los lotes deberán ser realizados en el Banco Central del Paraguay, sito en Av. Federación Rusa y Augusto Roa Bastos o de manera remota para casos excepcionales y previo acuerdo con la contraparte técnica administradora del contrato (Departamento de Ciberseguridad del BCP). La comunicación se realizará a través de herramientas tecnológicas tales como Microsoft Teams o similares. |
Lotes 1, 2, 3, 4, 5 y 7: El plazo de prestación total de los servicios será de 24 (veinticuatro) meses contados a partir de la fecha que se establezca al efecto en la Orden de Inicio del Servicio, la cual será emitida dentro del plazo de 10 (diez) días hábiles, desde la suscripción del Contrato. Lote 6: El plazo de prestación total de los servicios será de 12 (doce) meses contados a partir de la fecha que se establezca al efecto en la Orden de Inicio del Servicio, la cual será emitida dentro del plazo de 10 (diez) días hábiles, desde la suscripción del Contrato. |
El plazo de vigencia será a partir de la fecha que se establezca al efecto en la Orden de Inicio del Servicio, la cual será emitida dentro del plazo de 10 (diez) días hábiles, desde la suscripción del Contrato, hasta el cumplimiento total de las obligaciones contractuales. |
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indica a continuación:
La Contratante fiscalizará la ejecución del Contrato a través del área administradora del Contrato. Se verificará que lo ejecutado cumpla a cabalidad con lo establecido en la Sección Suministros Requeridos Especificaciones técnicas y en la Lista de Precios; y se adecuen al Plan de Entrega de los Bienes o Servicios del presente PBC.
1. El proveedor realizará todas las pruebas y/o inspecciones de los Bienes, por su cuenta y sin costo alguno para la contratante.
2. Las inspecciones y pruebas podrán realizarse en las instalaciones del Proveedor o de sus subcontratistas, en el lugar de entrega y/o en el lugar de destino final de entrega de los bienes, o en otro lugar en este apartado.
Cuando dichas inspecciones o pruebas sean realizadas en recintos del Proveedor o de sus subcontratistas se le proporcionarán a los inspectores todas las facilidades y asistencia razonables, incluso el acceso a los planos y datos sobre producción, sin cargo alguno para la Contratante.
3. La Contratante o su representante designado tendrá derecho a presenciar las pruebas y/o inspecciones mencionadas en la cláusula anterior, siempre y cuando éste asuma todos los costos y gastos que ocasione su participación, incluyendo gastos de viaje, alojamiento y alimentación.
4. Cuando el proveedor esté listo para realizar dichas pruebas e inspecciones, notificará oportunamente a la contratante indicándole el lugar y la hora. El proveedor obtendrá de una tercera parte, si corresponde, o del fabricante cualquier permiso o consentimiento necesario para permitir a la contratante o a su representante designado presenciar las pruebas o inspecciones.
5. La Contratante podrá requerirle al proveedor que realice algunas pruebas y/o inspecciones que no están requeridas en el contrato, pero que considere necesarias para verificar que las características y funcionamiento de los bienes cumplan con los códigos de las especificaciones técnicas y normas establecidas en el contrato. Los costos adicionales razonables que incurra el Proveedor por dichas pruebas e inspecciones serán sumados al precio del contrato, en cuyo caso la contratante deberá justificar a través de un dictamen fundado en el interés público comprometido. Asimismo, si dichas pruebas y/o inspecciones impidieran el avance de la fabricación y/o el desempeño de otras obligaciones del proveedor bajo el Contrato, deberán realizarse los ajustes correspondientes a las Fechas de Entrega y de Cumplimiento y de las otras obligaciones afectadas.
6. El proveedor presentará a la contratante un informe de los resultados de dichas pruebas y/o inspecciones.
7. La contratante podrá rechazar algunos de los bienes o componentes de ellos que no pasen las pruebas o inspecciones o que no se ajusten a las especificaciones. El proveedor tendrá que rectificar o reemplazar dichos bienes o componentes rechazados o hacer las modificaciones necesarias para cumplir con las especificaciones sin ningún costo para la contratante. Asimismo, tendrá que repetir las pruebas o inspecciones, sin ningún costo para la contratante, una vez que notifique a la contratante.
8. El proveedor acepta que ni la realización de pruebas o inspecciones de los bienes o de parte de ellos, ni la presencia de la contratante o de su representante, ni la emisión de informes, lo eximirán de las garantías u otras obligaciones en virtud del contrato.
El documento requerido para acreditar el cumplimiento contractual, será:
Nota/Formulario de conformidad del área técnica.
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA |
|
Documentos de solicitud de los bienes/ servicios al Proveedor, si correspondiere, y Conformidad del área técnica administradora del contrato. |
|
En el marco de la ejecución contractual, de acuerdo con el plazo establecido en el Plan de Entrega de los bienes o servicios del presente PBC, el área administradora del contrato emitirá los documentos de solicitud al Proveedor, si correspondiere, y posteriormente, el/la Nota/Formulario/Providencia/Memorando de conformidad, exigida/o para el/los pago/s correspondiente/s. |
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.
La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.
1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante de la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.
2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.
3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad de Bienes requeridos, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.
En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la Convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.
La comunicación de la adjudicación a los oferentes será como sigue:
1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.
2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.
3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.
4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.
5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.
Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.
La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.
La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.
La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.
Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.
|
|
|
|
|
|
|
|
2. Documentos. Consorcios |
|
|
|
|