Solicitamos amablemente a la convocante poder ampliar el plazo de entrega de 45 a 60 días aproximadamente, de tal manera a dar mayor participación a potenciales oferentes
Solicitamos amablemente a la convocante poder ampliar el plazo de entrega de 45 a 60 días aproximadamente, de tal manera a dar mayor participación a potenciales oferentes
En referencia a la consulta realizada, se manifiesta que los criterios establecidos se han realizado conforme a la necesidad de cumplir con las EETT y objetivos institucionales, que la DNCP ha establecido estrategias para asegurar la mayor participación posible de oferentes, por ende, la Convocante solicita que se ajuste a lo solicitado en el PBC
12
Categoría de la Certificación EPEAT
En el Pliego de Bases y Condiciones, en la sección de SUMINISTROS REQUERIDOS – ESPECIFICACIONES TÉCNICAS – CPS, Computador Tipo Estándar, en el ítem 24 - Certificación, se solicita:
“Deberá contar con certificación EPEAT comprobable desde el sitio web del mismo.”
Al respecto, solicitamos a la convocante, aclarar la categoría que mínimamente deberían contar los equipos en cuanto a la Certificación EPEAT, considerando que la misma cuenta con las categorías de Bronce, Silver y Gold. Lo recomendable es que sea mínimamente la categoría Silver, considerando que la Bronce cuenta con 0% en reducción de componentes nocivos para la salud, razón por la cual todas las instituciones incluyendo el nuevo estándar de equipos informáticos a ser lanzado por la MITIC (según audiencia) se establece Silver como mínimo, cabe destacar que la certificación EPEAT Silver es una regulación critica donde se controlan la materia prima en la que son fabricados los componentes, de manera a que no sean tóxicos para los usuarios que manipulan los equipos y además que a futuro los mismo son reciclables y amigables con el medio ambiente.
En el Pliego de Bases y Condiciones, en la sección de SUMINISTROS REQUERIDOS – ESPECIFICACIONES TÉCNICAS – CPS, Computador Tipo Estándar, en el ítem 24 - Certificación, se solicita:
“Deberá contar con certificación EPEAT comprobable desde el sitio web del mismo.”
Al respecto, solicitamos a la convocante, aclarar la categoría que mínimamente deberían contar los equipos en cuanto a la Certificación EPEAT, considerando que la misma cuenta con las categorías de Bronce, Silver y Gold. Lo recomendable es que sea mínimamente la categoría Silver, considerando que la Bronce cuenta con 0% en reducción de componentes nocivos para la salud, razón por la cual todas las instituciones incluyendo el nuevo estándar de equipos informáticos a ser lanzado por la MITIC (según audiencia) se establece Silver como mínimo, cabe destacar que la certificación EPEAT Silver es una regulación critica donde se controlan la materia prima en la que son fabricados los componentes, de manera a que no sean tóxicos para los usuarios que manipulan los equipos y además que a futuro los mismo son reciclables y amigables con el medio ambiente.
Ante la consulta realizada, se manifiesta que la Certificación EPEAT cuenta con varias categorías, que la Convocante considera que los equipos deben de contar con alguna de ellas, que no limita contar con una categoría silver, u otra; ya que la Convocante busca asegurar con este requisito que los oferentes participantes cuenten con un es un registro global que ayuda a las organizaciones y a las personas a identificar los equipos electrónicos con un menor impacto ambiental. Ante esto la Convocante considera que el producto debe cumplir con los criterios de EPEAT, sin considerar las categorías la cual cuenta con aprobación del MITIC.
13
EPEAT
Solicitamos a la convocante que mantenga las especificaciones técnicas publicadas y aprobadas por MITIC, según el certificado Nro. 5554. Según la audiencia realizada por MITIC y DNCP, en la que se presentó el borrador para las especificaciones técnicas del tipo 3 de computadoras, objeto de este llamado, no se prevé la exigencia del nivel Silver de EPEAT para el tipo de equipos solicitado.
Además, pedimos a la convocante que verifique en el sitio web oficial de EPEAT (https://www.epeat.net/) la información relacionada con la consulta anterior sobre la supuesta consideración del nivel bronce con un 0% en la reducción de componentes nocivos para la salud y el medio ambiente. Esta aseveración sobre el nivel bronce resulta infundada, ya que dicho nivel no incluye equipos tóxicos para la salud. De ser así, no tendría sentido que la propia matriz GEC mantenga la categoría bronce dentro de EPEAT.
Es importante destacar que los niveles EPEAT Bronce, Plata y Oro fomentan la innovación y la competencia sana entre las marcas participantes. Los niveles EPEAT Plata y Bronce indican que los productos cumplen con un conjunto amplio y sólido de criterios, lo que los convierte en una opción de compra más sostenible. Además, el Global Electronics Council (GEC) promociona que todos los equipos registrados en EPEAT son beneficiosos tanto para las personas como para el planeta.
Solicitamos a la convocante que mantenga las especificaciones técnicas publicadas y aprobadas por MITIC, según el certificado Nro. 5554. Según la audiencia realizada por MITIC y DNCP, en la que se presentó el borrador para las especificaciones técnicas del tipo 3 de computadoras, objeto de este llamado, no se prevé la exigencia del nivel Silver de EPEAT para el tipo de equipos solicitado.
Además, pedimos a la convocante que verifique en el sitio web oficial de EPEAT (https://www.epeat.net/) la información relacionada con la consulta anterior sobre la supuesta consideración del nivel bronce con un 0% en la reducción de componentes nocivos para la salud y el medio ambiente. Esta aseveración sobre el nivel bronce resulta infundada, ya que dicho nivel no incluye equipos tóxicos para la salud. De ser así, no tendría sentido que la propia matriz GEC mantenga la categoría bronce dentro de EPEAT.
Es importante destacar que los niveles EPEAT Bronce, Plata y Oro fomentan la innovación y la competencia sana entre las marcas participantes. Los niveles EPEAT Plata y Bronce indican que los productos cumplen con un conjunto amplio y sólido de criterios, lo que los convierte en una opción de compra más sostenible. Además, el Global Electronics Council (GEC) promociona que todos los equipos registrados en EPEAT son beneficiosos tanto para las personas como para el planeta.
Ante la consulta realizada, se manifiesta que la Certificación EPEAT cuenta con varias categorías, que la Convocante considera que los equipos deben de contar con alguna de ellas, que no limita contar con una categoría silver, u otra; ya que la Convocante busca asegurar con este requisito que los oferentes participantes cuenten con un es un registro global que ayuda a las organizaciones y a las personas a identificar los equipos electrónicos con un menor impacto ambiental. Ante esto la Convocante considera que el producto debe cumplir con los criterios de EPEAT, sin considerar las categorías la cual cuenta con aprobación del MITIC.
14
Plazo de Entrega
se solicita amablemente a la convocante, reever la posibilidad de aumentar el plazo de entrega de los bienes solicitados a 60 dias, como bien lo menciona si es una necesidad de la convocante es preciso manejar los plazos de los tiempos de importacion y entrega a menos que solo se cuenten con equipos que ya estan en plaza o de marcas no representadas.
favor aumentar el plazo de entrega a 60 dias para tener mayor participacion de oferentes teniendo en cuenta el articulo de ibre participacion, esto es una condicionante para descartar a la mayoria de los fabricantes teniendo en cuenta que es una cantidad de equipos importante la que se solicita.
se solicita amablemente a la convocante, reever la posibilidad de aumentar el plazo de entrega de los bienes solicitados a 60 dias, como bien lo menciona si es una necesidad de la convocante es preciso manejar los plazos de los tiempos de importacion y entrega a menos que solo se cuenten con equipos que ya estan en plaza o de marcas no representadas.
favor aumentar el plazo de entrega a 60 dias para tener mayor participacion de oferentes teniendo en cuenta el articulo de ibre participacion, esto es una condicionante para descartar a la mayoria de los fabricantes teniendo en cuenta que es una cantidad de equipos importante la que se solicita.
En referencia a la consulta realizada, se manifiesta que los criterios establecidos se han realizado conforme a la necesidad de cumplir con las EETT y objetivos institucionales, que la DNCP ha establecido estrategias para asegurar la mayor participación posible de oferentes, por ende, la Convocante solicita que se ajuste a lo solicitado en el PBC
15
EPEAT
Se Solicita amablemente a la convocante la posibilidad de solicitar el EPEAT SILVER, ya que estmamos hablando de una contratacion para uno de los ministerios mas importantes del Pais, no os parece pertinente e importante requerir en estas especificaciones tecnicas solicitadas la certificacion EPEAT SILVER para garantizar la contratacion ya que estamos hablando de la Defensa del Pais.
favor tener en cuenta y solicitar como exigido la certificacion EPEAT SILVER
Se Solicita amablemente a la convocante la posibilidad de solicitar el EPEAT SILVER, ya que estmamos hablando de una contratacion para uno de los ministerios mas importantes del Pais, no os parece pertinente e importante requerir en estas especificaciones tecnicas solicitadas la certificacion EPEAT SILVER para garantizar la contratacion ya que estamos hablando de la Defensa del Pais.
favor tener en cuenta y solicitar como exigido la certificacion EPEAT SILVER
Ante la consulta realizada, se manifiesta que la Certificación EPEAT cuenta con varias categorías, que la Convocante considera que los equipos deben de contar con alguna de ellas, que no limita contar con una categoría silver, u otra; ya que la Convocante busca asegurar con este requisito que los oferentes participantes cuenten con un es un registro global que ayuda a las organizaciones y a las personas a identificar los equipos electrónicos con un menor impacto ambiental. Ante esto la Convocante considera que el producto debe cumplir con los criterios de EPEAT, sin considerar las categorías la cual cuenta con aprobación del MITIC.
16
CERTIFICACION ISO 27001
La certificación ISO 27001 se centra en los sistemas de gestión de la seguridad de la información (SGSI). Esta certificación evalúa los procesos, políticas y tecnologías que una institución utiliza para proteger su PROPIA información (En este Caso Unidad Administrativa Financiera Nro. 2 / Ministerio de Defensa Nacional), y no está diseñada para certificar bienes físicos, como computadoras por ejemplo que son el objeto de este llamado. Su objetivo es asegurar que los sistemas y procedimientos de seguridad de la entidad certificada cumplan con los estándares internacionales.
Por lo tanto, solicitamos que se excluya este requisito del llamado, dado que el propósito de esta convocatoria es la adquisición de bienes y no la implementación de un sistema de gestión de seguridad de la información que sería la manera de que la convocante haga uso del esta Certificación. Si la institución convocante necesita implementar medidas de seguridad de su información, debería considerar lanzar una convocatoria específica para obtener la certificación ISO 27001 o una equivalente. En caso de que la institución busque implementar la seguridad de su información, debería definir claramente el alcance del sistema de gestión, establecer políticas, evaluar riesgos y amenazas, implementar controles, declarar la aplicabilidad de los controles, establecer objetivos claros, asegurar la competencia del personal, mantener la documentación adecuada, realizar auditorías internas, entre otros requisitos, ya que todos estos aspectos deben ser considerados para el cumplimiento de la certificación por parte de la entidad a certificarse (Unidad Administrativa Financiera Nro. 2 / Ministerio de Defensa Nacional), ningún oferente está autorizado a realizar la certificación a terceros, no teniendo la facultad de implementarlos en el contexto de esta convocatoria.
Es importante aclarar que la responsabilidad de establecer un sistema de gestión de seguridad de la información recae en la institución convocante, y no en el oferente.
Por otro lado, la DNCP en su observación, ya ha manifestado su postura de que este requisito podría ser limitante, lo cual es cierto.
También, de la respuesta proporcionada por la convocante, al mencionar que “El objetivo de las certificaciones ISO 27001 o superiores es establecer un sistema de gestión de seguridad de la información en las empresas participantes”, resulta sin sentido, ya que contar con un sistema de gestión de seguridad de la información por parte del oferente es y seria irrelevante si la institución convocante no dispone de la infraestructura, los sistemas y el personal capacitado para gestionar su información adecuadamente.
Mencionan además que esta certificación es necesaria por parte del oferente “para la realización del servicio post venta”, sin tener en cuenta que, en la mayoría de los casos, los oferentes adjudicados no realizan los servicios de garantía, derivando estos servicios a los Centros Autorizado de Servicio (CAS). Por lo tanto, resulta aún más irrelevante que el oferente tenga la certificación ISO 27001 si el CAS, que efectivamente llevará a cabo el servicio, no cuenta con dicha certificación. Por lo expuesto, solicitamos dejar sin efecto este requerimiento.
La certificación ISO 27001 se centra en los sistemas de gestión de la seguridad de la información (SGSI). Esta certificación evalúa los procesos, políticas y tecnologías que una institución utiliza para proteger su PROPIA información (En este Caso Unidad Administrativa Financiera Nro. 2 / Ministerio de Defensa Nacional), y no está diseñada para certificar bienes físicos, como computadoras por ejemplo que son el objeto de este llamado. Su objetivo es asegurar que los sistemas y procedimientos de seguridad de la entidad certificada cumplan con los estándares internacionales.
Por lo tanto, solicitamos que se excluya este requisito del llamado, dado que el propósito de esta convocatoria es la adquisición de bienes y no la implementación de un sistema de gestión de seguridad de la información que sería la manera de que la convocante haga uso del esta Certificación. Si la institución convocante necesita implementar medidas de seguridad de su información, debería considerar lanzar una convocatoria específica para obtener la certificación ISO 27001 o una equivalente. En caso de que la institución busque implementar la seguridad de su información, debería definir claramente el alcance del sistema de gestión, establecer políticas, evaluar riesgos y amenazas, implementar controles, declarar la aplicabilidad de los controles, establecer objetivos claros, asegurar la competencia del personal, mantener la documentación adecuada, realizar auditorías internas, entre otros requisitos, ya que todos estos aspectos deben ser considerados para el cumplimiento de la certificación por parte de la entidad a certificarse (Unidad Administrativa Financiera Nro. 2 / Ministerio de Defensa Nacional), ningún oferente está autorizado a realizar la certificación a terceros, no teniendo la facultad de implementarlos en el contexto de esta convocatoria.
Es importante aclarar que la responsabilidad de establecer un sistema de gestión de seguridad de la información recae en la institución convocante, y no en el oferente.
Por otro lado, la DNCP en su observación, ya ha manifestado su postura de que este requisito podría ser limitante, lo cual es cierto.
También, de la respuesta proporcionada por la convocante, al mencionar que “El objetivo de las certificaciones ISO 27001 o superiores es establecer un sistema de gestión de seguridad de la información en las empresas participantes”, resulta sin sentido, ya que contar con un sistema de gestión de seguridad de la información por parte del oferente es y seria irrelevante si la institución convocante no dispone de la infraestructura, los sistemas y el personal capacitado para gestionar su información adecuadamente.
Mencionan además que esta certificación es necesaria por parte del oferente “para la realización del servicio post venta”, sin tener en cuenta que, en la mayoría de los casos, los oferentes adjudicados no realizan los servicios de garantía, derivando estos servicios a los Centros Autorizado de Servicio (CAS). Por lo tanto, resulta aún más irrelevante que el oferente tenga la certificación ISO 27001 si el CAS, que efectivamente llevará a cabo el servicio, no cuenta con dicha certificación. Por lo expuesto, solicitamos dejar sin efecto este requerimiento.
Se aclara a todos los potenciales oferentes que la certificación ISO 27001/2013 similar o superior es requerido en el Pliego de Bases y Condiciones por las siguientes razones, Esta certificación garantiza que el oferente adjudicado cuente con conocimiento y prácticas internacionales auditados periódicamente por organismos internacionales en bases a los más altos estándares de seguridad de la información, esta institución en todos sus departamentos maneja información crítica y sensible de defensa que no pueden ser filtradas a ningún sitio, en las especificaciones técnicas se solicita en el apartado 22 Garantía (escrita) lo siguiente: "Mínimo 36 meses. Incluye: Soporte de atención de Hardware, Mano de Obra y Repuestos incluyendo traslado de los equipos de la oficina del cliente al proveedor y viceversa a cargo del proveedor" de acuerdo a este requisito establecido por el MITIC, el soporte de atención, mano de obra, repuestos y traslado lo debe realizar la empresa adjudicada durante el periodo requerido y no así por el Centro Autorizado de Servicios (CAS), razón por la cual se solicita que el alcance de la certificación sea en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico de manera a garantizar que durante el periodo de garantía, los equipos con información de la institución sea manejada por una empresa capacitada, con conocimiento previo y prácticas de resguardo de la información para que la misma no pueda ser filtrada o utilizada maliciosamente en perjuicio del estado.
Es importante señalar que el presente requisito, tiene como objetivo el resguardo de la información perteneciente a esta Institución la cual se encarga de la seguridad nacional, por tanto, los bienes a ser adquiridos serían utilizados por personas de altos mandos dentro de la cadena de seguridad, por lo que ante una eventual falla técnica con necesidad de reposiciones o reparaciones fuera de la Institución deberá ser bajo el resguardo, seguridad y confiabilidad de la empresa adjudicada, teniendo en cuenta que tendrá acceso a toda información de seguridad nacional, por lo que resulta altamente indispensable contar con el presente certificado, teniendo en cuenta que la convocante ante posibles eventos de cobertura técnica por parte del adjudicado, no puede considerar irrelevante el cumplimiento de normas que resguarden toda información perteneciente a la Convocante, considerando que el presente requisito busca satisfacer las necesidades públicas con la oportunidad, calidad y el costo que asegure al Estado Paraguayo las mejores condiciones, los mejores resultados y el logro de las metas propuestas, a través de la utilización adecuada de los recursos públicos conforme lo establece el Art 4° Principios Rectores, inc. c Economía, Eficacia y Eficiencia de la Ley 7021 de Suministro y Contrataciones Públicas.
También se manifiesta que la Convocante en todo momento cuenta con ciertas con obligaciones con el oferente adjudicado, el cual debe de hacerse responsable de toda falla que pudiera surgir, y no así ante terceros como los son los centros autorizados de servicio; la Convocante cuenta con personal capacitado para el cumplimiento de las exigencias establecidas en el PBC, porque considera que dicho requisito es fundamental para el cumplimiento satisfactorio de las necesidades de la Convocante.
También se pone a conocimiento que la Convocante ha actuado conforme a las normativas establecidas por la DNCP, conforme lo establece el Art 4° Principios Rectores, inc. d Igualdad y Libre Competencia, de la Ley 7021 de Suministro y Contrataciones Públicas; considerando que existen varias empresas dentro del mercado nacional que cumplen con los requisitos establecidos, sin ser un criterio limitante y con las posibilidades ser participe del presente proceso.
Es por ello que la convocante se mantiene en lo establecido en el PBC, y se solicita que remitan al mismo.
17
Plan de entrega de los bienes
se solicita amablemente a la convocante, reever la posibilidad de aumentar el plazo de entrega de los bienes solicitados a 60 dias, como bien lo menciona si es una necesidad de la convocante es preciso manejar los plazos de los tiempos de importacion y entrega a menos que solo se cuenten con equipos que ya estan en plaza o de marcas no representadas. favor aumentar el plazo de entrega a 60 dias para tener mayor participacion de oferentes
se solicita amablemente a la convocante, reever la posibilidad de aumentar el plazo de entrega de los bienes solicitados a 60 dias, como bien lo menciona si es una necesidad de la convocante es preciso manejar los plazos de los tiempos de importacion y entrega a menos que solo se cuenten con equipos que ya estan en plaza o de marcas no representadas. favor aumentar el plazo de entrega a 60 dias para tener mayor participacion de oferentes
En referencia a la consulta realizada, se manifiesta que los criterios establecidos se han realizado conforme a la necesidad de cumplir con las EETT y objetivos institucionales, que la DNCP ha establecido estrategias para asegurar la mayor participación posible de oferentes, por ende, la Convocante solicita que se ajuste a lo solicitado en el PBC
18
Capacidad Técnica - Certificación ISO 27001/2013
Donde menciona: El oferente deberá acreditar la Certificación ISO 27001/2013, similiar o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico, la certificación similar o superior debe basarse en los mismos criterios que solicita o certifica la norma ISO 27001/2013 con respecto a la gestión de la seguridad, confidencialidad e integridad de los datos.
La certificación ISO 27001 corresponde a los sistemas de gestión de la seguridad de la información (SGSI), ya que evalúa evalúa los procesos, políticas y tecnologías que una institución o empresa utiliza para proteger su PROPIA información (para este Caso en particular la Unidad Administrativa Financiera Nro. 2 / Ministerio de Defensa Nacional), y la certificación mencionada no está diseñada para certificar bienes físicos, como las computadoras que son el objeto de este llamado. El objetivo de la certificación es asegurar que los sistemas y procedimientos de seguridad de la empresa o entidad certificada cumplan con los estándares internacionales. Por lo tanto, solicitamos que se excluya este requisito del llamado, dado que el propósito de esta convocatoria es la adquisición de bienes y no la implementación de un sistema de gestión de seguridad de la información que sería la manera de que la convocante haga uso del esta Certificación. Si la institución convocante necesita implementar medidas de seguridad de su información, debería considerar lanzar una convocatoria específica para obtener la certificación ISO 27001 o una equivalente. En caso de que la institución busque implementar la seguridad de su información, debería definir claramente el alcance del sistema de gestión, establecer políticas, evaluar riesgos y amenazas, implementar controles, declarar la aplicabilidad de los controles, establecer objetivos claros, asegurar la competencia del personal, mantener la documentación adecuada, realizar auditorías internas, entre otros requisitos, ya que todos estos aspectos deben ser considerados para el cumplimiento de la certificación por parte de la entidad a certificarse (Unidad Administrativa Financiera Nro. 2 / Ministerio de Defensa Nacional), ningún oferente está autorizado a realizar la certificación a terceros, no teniendo la facultad de implementarlos en el contexto de esta convocatoria. Es importante aclarar que la responsabilidad de establecer un sistema de gestión de seguridad de la información recae en la institución convocante, y no en el oferente. Por otro lado, la DNCP en su observación, ya ha manifestado su postura de que este requisito podría ser limitante, lo cual es cierto. También, de la respuesta proporcionada por la convocante, al mencionar que “El objetivo de las certificaciones ISO 27001 o superiores es establecer un sistema de gestión de seguridad de la información en las empresas participantes”, resulta sin sentido, ya que contar con un sistema de gestión de seguridad de la información por parte del oferente es y seria irrelevante si la institución convocante no dispone de la infraestructura, los sistemas y el personal capacitado para gestionar su información adecuadamente. Mencionan además que esta certificación es necesaria por parte del oferente “para la realización del servicio post venta”, sin tener en cuenta que, en la mayoría de los casos, los oferentes adjudicados no realizan los servicios de garantía, derivando estos servicios a los Centros Autorizado de Servicio (CAS). Por lo tanto, resulta aún más irrelevante que el oferente tenga la certificación ISO 27001 si el CAS, que efectivamente llevará a cabo el servicio, no cuenta con dicha certificación. Por lo expuesto, solicitamos dejar sin efecto este requerimiento.
Donde menciona: El oferente deberá acreditar la Certificación ISO 27001/2013, similiar o superior con alcance en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico, la certificación similar o superior debe basarse en los mismos criterios que solicita o certifica la norma ISO 27001/2013 con respecto a la gestión de la seguridad, confidencialidad e integridad de los datos.
La certificación ISO 27001 corresponde a los sistemas de gestión de la seguridad de la información (SGSI), ya que evalúa evalúa los procesos, políticas y tecnologías que una institución o empresa utiliza para proteger su PROPIA información (para este Caso en particular la Unidad Administrativa Financiera Nro. 2 / Ministerio de Defensa Nacional), y la certificación mencionada no está diseñada para certificar bienes físicos, como las computadoras que son el objeto de este llamado. El objetivo de la certificación es asegurar que los sistemas y procedimientos de seguridad de la empresa o entidad certificada cumplan con los estándares internacionales. Por lo tanto, solicitamos que se excluya este requisito del llamado, dado que el propósito de esta convocatoria es la adquisición de bienes y no la implementación de un sistema de gestión de seguridad de la información que sería la manera de que la convocante haga uso del esta Certificación. Si la institución convocante necesita implementar medidas de seguridad de su información, debería considerar lanzar una convocatoria específica para obtener la certificación ISO 27001 o una equivalente. En caso de que la institución busque implementar la seguridad de su información, debería definir claramente el alcance del sistema de gestión, establecer políticas, evaluar riesgos y amenazas, implementar controles, declarar la aplicabilidad de los controles, establecer objetivos claros, asegurar la competencia del personal, mantener la documentación adecuada, realizar auditorías internas, entre otros requisitos, ya que todos estos aspectos deben ser considerados para el cumplimiento de la certificación por parte de la entidad a certificarse (Unidad Administrativa Financiera Nro. 2 / Ministerio de Defensa Nacional), ningún oferente está autorizado a realizar la certificación a terceros, no teniendo la facultad de implementarlos en el contexto de esta convocatoria. Es importante aclarar que la responsabilidad de establecer un sistema de gestión de seguridad de la información recae en la institución convocante, y no en el oferente. Por otro lado, la DNCP en su observación, ya ha manifestado su postura de que este requisito podría ser limitante, lo cual es cierto. También, de la respuesta proporcionada por la convocante, al mencionar que “El objetivo de las certificaciones ISO 27001 o superiores es establecer un sistema de gestión de seguridad de la información en las empresas participantes”, resulta sin sentido, ya que contar con un sistema de gestión de seguridad de la información por parte del oferente es y seria irrelevante si la institución convocante no dispone de la infraestructura, los sistemas y el personal capacitado para gestionar su información adecuadamente. Mencionan además que esta certificación es necesaria por parte del oferente “para la realización del servicio post venta”, sin tener en cuenta que, en la mayoría de los casos, los oferentes adjudicados no realizan los servicios de garantía, derivando estos servicios a los Centros Autorizado de Servicio (CAS). Por lo tanto, resulta aún más irrelevante que el oferente tenga la certificación ISO 27001 si el CAS, que efectivamente llevará a cabo el servicio, no cuenta con dicha certificación. Por lo expuesto, solicitamos dejar sin efecto este requerimiento.
Se aclara a todos los potenciales oferentes que la certificación ISO 27001/2013 similar o superior es requerido en el Pliego de Bases y Condiciones por las siguientes razones, Esta certificación garantiza que el oferente adjudicado cuente con conocimiento y prácticas internacionales auditados periódicamente por organismos internacionales en bases a los más altos estándares de seguridad de la información, esta institución en todos sus departamentos maneja información crítica y sensible de defensa que no pueden ser filtradas a ningún sitio, en las especificaciones técnicas se solicita en el apartado 22 Garantía (escrita) lo siguiente: "Mínimo 36 meses. Incluye: Soporte de atención de Hardware, Mano de Obra y Repuestos incluyendo traslado de los equipos de la oficina del cliente al proveedor y viceversa a cargo del proveedor" de acuerdo a este requisito establecido por el MITIC, el soporte de atención, mano de obra, repuestos y traslado lo debe realizar la empresa adjudicada durante el periodo requerido y no así por el Centro Autorizado de Servicios (CAS), razón por la cual se solicita que el alcance de la certificación sea en Servicio de Soporte técnico y de seguridad de hardware del área de Tecnología para el Sector Publico de manera a garantizar que durante el periodo de garantía, los equipos con información de la institución sea manejada por una empresa capacitada, con conocimiento previo y prácticas de resguardo de la información para que la misma no pueda ser filtrada o utilizada maliciosamente en perjuicio del estado. Es importante señalar que el presente requisito, tiene como objetivo el resguardo de la información perteneciente a esta Institución la cual se encarga de la seguridad nacional, por tanto, los bienes a ser adquiridos serían utilizados por personas de altos mandos dentro de la cadena de seguridad, por lo que ante una eventual falla técnica con necesidad de reposiciones o reparaciones fuera de la Institución deberá ser bajo el resguardo, seguridad y confiabilidad de la empresa adjudicada, teniendo en cuenta que tendrá acceso a toda información de seguridad nacional, por lo que resulta altamente indispensable contar con el presente certificado, teniendo en cuenta que la convocante ante posibles eventos de cobertura técnica por parte del adjudicado, no puede considerar irrelevante el cumplimiento de normas que resguarden toda información perteneciente a la Convocante, considerando que el presente requisito busca satisfacer las necesidades públicas con la oportunidad, calidad y el costo que asegure al Estado Paraguayo las mejores condiciones, los mejores resultados y el logro de las metas propuestas, a través de la utilización adecuada de los recursos públicos conforme lo establece el Art 4° Principios Rectores, inc. c Economía, Eficacia y Eficiencia de la Ley 7021 de Suministro y Contrataciones Públicas. También se manifiesta que la Convocante en todo momento cuenta con ciertas con obligaciones con el oferente adjudicado, el cual debe de hacerse responsable de toda falla que pudiera surgir, y no así ante terceros como los son los centros autorizados de servicio; la Convocante cuenta con personal capacitado para el cumplimiento de las exigencias establecidas en el PBC, porque considera que dicho requisito es fundamental para el cumplimiento satisfactorio de las necesidades de la Convocante. También se pone a conocimiento que la Convocante ha actuado conforme a las normativas establecidas por la DNCP, conforme lo establece el Art 4° Principios Rectores, inc. d Igualdad y Libre Competencia, de la Ley 7021 de Suministro y Contrataciones Públicas; considerando que existen varias empresas dentro del mercado nacional que cumplen con los requisitos establecidos, sin ser un criterio limitante y con las posibilidades ser participe del presente proceso. Es por ello que la convocante se mantiene en lo establecido en el PBC, y se solicita que remitan al mismo.