Suministros y Especificaciones técnicas

Esta sección constituye el detalle de los bienes y/o servicios con sus respectivas especificaciones técnicas - EETT, de manera clara y precisa para que el oferente elabore su oferta. Salvo aquellas EETT de productos ya determinados por plantillas aprobadas por la DNCP.

El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.

Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.

Identificación de la unidad solicitante y justificaciones

En este apartado la convocante deberá indicar los siguientes datos:

  • Identificar el nombre,  cargo  y  la dependencia de la Institución de quien solicita el procedimiento de contratación a ser publicado.

  •               Viviana Gamarra, Encargado Interina de Seguridad de la Información. 

  • Justificación de la necesidad que se pretende satisfacer mediante la contratación a ser realizada.

  •             Revisiones de vulnerabilidades en la infraestructura interna (hardware y software), direcciones IP Publicas y servicios expuestos que son utilizados por las IFIS, IFPS y OEE

  • Justificación de la planificación, si se trata de un procedimiento de contratación periódico o sucesivo,  o si el mismo responde a una necesidad temporal.

  • Se trata de un servicio periódicamente contratado, con una duración total de 24 meses.

  • Justificación de las especificaciones técnicas establecidas.

  •             Las revisiones independientes garantizar que la seguridad implementada en la afd se encuentra alineada a las mejores prácticas. Así tambien existen regulaciones específicas sobre la necesidad de este servicio, en donde indican que la seguridad debe ser realizada en forma anual.

Especificaciones técnicas - CPS

Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:

  1. CANTIDAD DE SERVICIOS

Ítem

Descripción

Unidad de Medida

Cantidad

Mínima

Cantidad

Máxima

1

Servicio de Ethical Hacking, según especificaciones técnicas

Horas

500

1000
  1. OBJETO

Prestar servicios de seguridad de la información en la modalidad de Servicio bajo Demanda.

  1. CONFIDENCIALIDAD (Cumple/No Cumple)

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización de la AFD. El Oferente como cada uno de los miembros del plantel en forma particular, deberán firmar acuerdos de confidencialidad con la AFD.

Cada una de las partes protegerá la información obtenida durante el desarrollo del trabajo de la misma manera en que protege su propia información confidencial, haciéndose responsable por cualquier daño/perjuicio que se pudiera ocasionar por el uso indebido de la información accedida. La AFD podrá disponer para su uso de todos los entregables, que no incluyen metodología ni software utilizado. Salvo autorización de los responsables de la AFD, una vez finalizado el trabajo se procederá a eliminar toda copia electrónica y/o impresa de la información obtenida de cualquiera de los equipos informáticos del personal afectado al trabajo.

  1. CONDICIONES PARA LA PRESTACION DE SERVICIOS (Cumple/No cumple)

La AFD se reserva el derecho de rescindir el Contrato, con causa justificada, toda vez que considere que el servicio prestado por el Oferente no cumpla con las especificaciones técnicas requeridas y el nivel de servicio esperado.

La AFD se reserva el derecho de aceptar o rechazar la nómina del personal presentado en cualquier momento mientras dure el contrato, debiendo el Oferente proponer un personal para reemplazar al anterior en un plazo no mayor a 30 días calendario y en las condiciones establecidas en el documento de conformidad.

El Oferente debe dedicarse en forma exclusiva, o al menos contar con una división técnica dedicada y exclusiva, al rubro de Seguridad de la Información (servicios de seguridad, test de intrusión, ciber seguridad, capacitación en seguridad, entre otros).

  1. SERVICIOS SOLICITADOS

En este apartado se describen las especificaciones técnicas relativas a la prestación de los servicios de seguridad requeridos y demás información pertinente.

Se requiere del servicio de técnicos certificados y especializados en seguridad de la información, que apliquen metodologías reconocidas y aceptadas internacionalmente, de acuerdo a las buenas prácticas y estándares de seguridad de la información. A continuación se describen los requerimientos solicitados.

CARACTERISTICA

DESCRIPCION

REQUERIDO
  1. Servicios requeridos de seguridad de la información
    1. Pruebas de intrusión internas: El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica de la AFD, desde distintos escenarios, hacia y desde cualquiera de sus sitios de procesamiento. Las modalidades podrán ser del tipo Gray Box y Black Box.

Exigido

 
    1. Pruebas de intrusión externas: El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica de la AFD desde el exterior, es decir, desde Internet. Para cada caso se proveerán las direcciones IP públicas a través de las cuales se realizarán los test de intrusión. Las modalidades podrán ser del tipo Gray Box y Black Box. Se realizará al menos 1 prueba de test de intrusión externa durante la vigencia del contrato por año.

Exigido

 
    1. Pruebas de intrusión a las aplicaciones Web: El Oferente debe ser capaz de realizar pruebas de intrusión a las aplicaciones web de la AFD, aplicando metodologías reconocidas internacionalmente, como OWASP. Para estos casos, la AFD proveerá el entorno desde el cual se realizaran las pruebas. Las modalidades podrán ser del tipo Gray Box y Black Box.

Exigido

 
    1. El servicio de pruebas deberá proponer incluir recomendaciones de seguridad con Soporte para la aplicación de mejoras de seguridad: El Oferente debe ser capaz de realizar evaluaciones del nivel de seguridad de cualquier elemento, proceso o sistema de la AFD, tanto desde el punto de seguridad informática como de la identificación, análisis y gestión de riesgos, proponiendo mejoras a los mismos, y de realizar las implementaciones de las mejoras que sean requeridas, de acuerdo al caso.

Exigido
  1. Plantel técnico, experiencia y capacidades técnicas de sus miembros propuestos
    1. Cantidad de personal de soporte presentado: Se deberá presentar un plantel técnico conformado por al menos 3 (tres) personas con estudios universitarios graduados o cursando la carrera de las áreas de Informática, ciencias de la computación, telecomunicaciones, seguridad informática y/o Auditoría; con capacidad de satisfacer los servicios con certificación CEH.

Exigido
    1. Experiencia específica en Ethical Hacking: Se deberá contar con al menos 5 años de experiencia específica de los miembros del plantel.

Exigido
    1. Servicios de Soporte en Seguridad de la Información realizados anteriormente: Se requiere que 2 (dos) o más miembros del plantel presentado hayan participado en forma exitosa de 4 (cuatro) o más servicios de Ethical Hacking en empresas o instituciones publicas y/o privadas, realizada durante los últimos 5 (cinco) años con experiencia en lo solicitado en el pliego.

Exigido
    1. Se deberá presentar un plantel técnico conformado por técnicos certificados, al  menos 2 (dos) o más miembros del plantel presentado, cuenten con:
    • Al menos 1 (un) Técnico con Certificación CEH vigente
    • Al menos 1 (un) Técnico con Certificaciones en CISSP,  ISO 27001, OSCP vigente.

Exigido
  1. METODOLOGÍA DE TRABAJO

Con base a las necesidades de la AFD,  se solicitará al Oferente la realización de algún determinado servicio, definiendo las actividades del trabajo a realizar, a partir de esta solicitud, el Oferente deberá remitir a la AFD  el detalle de los trabajos a realizar, indicando las actividades que realizará para la consecución de los objetivos requeridos,  horas-hombre que demandará el servicio, entregables y el personal técnico involucrado. Todos los trabajos a realizar deberán ser aprobados previamente por la AFD para su ejecuciónEn ningún caso El Oferente podrá transferir los costos de viáticos, traslado, u otros conceptos a la AFD, siendo posible únicamente la facturación en base a las horas demandadas para el servicio en cuestión.

Ante la solicitud de servicios de testeos de Seguridad, el plantel técnico deberá determinar las vulnerabilidades, amenazas y/o riesgos de seguridad de la información a los cuales se encuentran expuestos las aplicaciones, los datos e informaciones, la infraestructura tecnológica, los procesos y procedimientos de la AFD, además de las posibles mejoras que puedan ser implementadas.

Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones de la AFD.

La infraestructura tecnológica de la AFD, está compuesta de la siguiente manera (lista referencial, no limitativa):

  • Servidor  1 IBM  (4 hojas)
  • Equipos de Comunicaciones: 5 (cinco)
  • Estaciones de Trabajo: 120 (ciento veinte)
  • Controladora Wireless: 1 (una)
  • Aplicación Web Interna: 2 (dos)
  • Direcciones IP públicas: 7 (siete)

 El Oferente debe simular todos los ataques que sean convenientes según el tipo de objetivo a testar, en coordinación con la AFD. Entre ellos se mencionan algunos de los más importantes (lista referencial, no limitativa):

  • SQL Injection
  • Ransomware
  • Man-in-the-middle
  • XSS (Cross-site scripting)
  • Brute-force Attack
  • Buffer Overflow
  • Smurf / MAC Spoofing
  • DHCP spoofing
  • DNS hijacking / pharming
  • ARP Cache Poisoning
  • VLAN Hopping
  • IP Redirections
  • Session Hijacking
  • Session Replay
  • Protocol Fuzzing
  • Escaneo y Cracking de paquetes y contraseñas

El plantel técnico deberá detallar qué metodología(s) de trabajo utilizará para cada uno de los servicios solicitados. La metodología de trabajo seleccionada deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología de trabajo deberá basarse en OWASP.

Dependiendo de cada caso, el Oferente deberá proveer los informes que correspondan, a solicitud y entera conformidad de la AFD. Estos pudieran ser:

1.       Descripción detallada de la(s) metodología(s) de trabajo (s) a utilizar durante el servicio.

2.       Plan de trabajo a desarrollar.

3.       Lista detallada del personal involucrado, servicios, aplicaciones y equipos evaluados.

4.       Detalle cronológico de cada procedimiento realizado.

5.       Lista y detalle técnico de las vulnerabilidades detectadas en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones y recomendaciones de seguridad a ser implementadas para subsanar esta vulnerabilidad.

6.       Normas, políticas o demás documentación relevante.

7.       Soporte de capacitación y concientización.

8.       Otros informes relacionados a los servicios descriptos en este pliego que puedan ser solicitados.

El Oferente podrá facilitar cualquier otro informe o documentación final que considere oportuno, en base a las metodologías de trabajos utilizadas, conclusiones y/o sugerencias técnicas.

En caso de eventuales daños o perjuicios de cualquier tipo causado a la AFD o a algún tercero en la ejecución del servicio, El Oferente deberá hacerse responsable de la remediación y asumir los costos de los mismos antes de la finalización del servicio.

Los informes solicitados por deberán ser firmados digitalmente conforme lo establecido en la legislación vigente de la Firma Digital en Paraguay para su entrega,

Para las pruebas de intrusión el plantel técnico deberá disponer de su propia conexión con acceso a la nube pública de internet, quedando a exclusivo cargo del plantel técnico cualquier gasto o responsabilidad asociada al uso del mismo. Para las pruebas de intrusión interna o servicios on-site que pudiera requerir el área de Seguridad de la Información, la AFD proveerá el ambiente desde el cual se deban realizar las pruebas.  Las actividades serán coordinadas con el Responsable de Seguridad de la Información de la AFD.

El propósito de la Especificaciones Técnicas (EETT), es el de definir las carácteristicas técnicas de los bienes que la convocante requiere. La convocante preparará las EETT detalladas teniendo en cuenta que:

-      Las EETT constituyen los puntos de referencia contra los cuales la convocante podrá verificar el cumplimiento técnico de las ofertas y posteriormente evaluarlas. Por lo tanto, unas EETT bien definidas facilitarán a los oferentes la preparación de ofertas que se ajusten a los documentos de licitación, y a la convocante el examen, evaluación y comparación de las ofertas.

-      En las EETT se deberá estipular que todos los bienes o materiales que se incorporen en los bienes deberán ser nuevos, sin uso y del modelo más reciente o actual, y que contendrán todos los perfeccionamientos recientes en materia de diseño y materiales, a menos que en el contrato se disponga otra cosa.

-      En las EETT se utilizarán las mejores prácticas. Ejemplos de especificaciones de adquisiciones similares satisfactorias en el mismo sector podrán proporcionar bases concretas para redactar las EETT.

-      Las EETT deberán ser lo suficientemente amplias para evitar restricciones relativas a manufactura, materiales, y equipo generalmente utilizados en la fabricación de bienes similares.

-      Las normas de calidad del equipo, materiales y manufactura especificadas en los Documentos de Licitación no deberán ser restrictivas. Siempre que sea posible deberán especificarse normas de calidad internacionales . Se deberán evitar referencias a marcas, números de catálogos u otros detalles que limiten los materiales o artículos a un fabricante en particular. Cuando sean inevitables dichas descripciones, siempre deberá estar seguida de expresiones tales como “o sustancialmente equivalente” u “o por lo menos equivalente”.  Cuando en las ET se haga referencia a otras normas o códigos de práctica particulares, éstos solo serán aceptables si a continuación de los mismos se agrega un enunciado indicando otras normas emitidas por autoridades reconocidas que aseguren que la calidad sea por lo menos sustancialmente igual.

-      Asimismo, respecto de los tipos conocidos de materiales, artefactos o equipos, cuando únicamente puedan ser caracterizados total o parcialmente mediante nomenclatura, simbología, signos distintivos no universales o marcas, únicamente se hará a manera de referencia, procurando que la alusión se adecue a estándares internacionales comúnmente aceptados. 

-      Las EETT   deberán describir detalladamente los siguientes requisitos con respecto a por lo menos lo siguiente:

(a)      Normas de calidad de los materiales y manufactura para la producción y fabricación de los bienes.

(b)      Lista detallada de las pruebas requeridas (tipo y número).

(c)       Otro trabajo adicional y/o servicios requeridos para lograr la entrega o el cumplimiento total.

(d)      Actividades detalladas que deberá cumplir el proveedor, y consiguiente participación de la convocante.

(e)      Lista detallada de avales de funcionamiento cubiertas por la garantía, y las especificaciones de las multas aplicables en caso de que dichos avales no se cumplan.

-              Las EETT deberán especificar todas las características y requisitos técnicos esenciales y de funcionamiento, incluyendo los valores máximos o mínimos aceptables o garantizados, según corresponda.  Cuando sea necesario, la convocante deberá incluir un formulario específico adicional de oferta (como un Anexo al Formulario de Presentación de la Oferta), donde el oferente proporcionará la información detallada de dichas características técnicas o de funcionamiento con relación a los valores aceptables o garantizados.

Cuando la convocante requiera que el oferente proporcione en su oferta una parte de o todas las Especificaciones Técnicas, cronogramas técnicos, u otra información técnica, la convocante deberá especificar detalladamente la naturaleza y alcance de la información requerida y la forma en que deberá ser presentada por el oferente en su oferta.

Si se debe proporcionar un resumen de las EETT, la convocante deberá insertar la información en la tabla siguiente. El oferente preparará un cuadro similar para documentar el cumplimiento con los requerimientos.

Detalle de los bienes y/o servicios

Los bienes y/o servicios deberán cumplir con las siguientes especificaciones técnicas y normas:

  1. CANTIDAD DE SERVICIOS

Ïtem

Descripción

Unidad de Medida

Cantidad

Mínima

Cantidad

Máxima

1

Servicio de Ethical Hacking, según especificaciones técnicas

Horas

500

1000

 

CARACTERISTICA

DESCRIPCION

REQUERIDO
  1. Servicios requeridos de seguridad de la información
  1. Pruebas de intrusión internas: El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica de la AFD, desde distintos escenarios, hacia y desde cualquiera de sus sitios de procesamiento. Las modalidades podrán ser del tipo Gray Box y Black Box.

Exigido

 
  1. Pruebas de intrusión externas: El Oferente debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica de la AFD desde el exterior, es decir, desde Internet. Para cada caso se proveerán las direcciones IP públicas a través de las cuales se realizarán los test de intrusión. Las modalidades podrán ser del tipo Gray Box y Black Box. Se realizará al menos 1 prueba de test de intrusión externa durante la vigencia del contrato por año.

Exigido

 
  1. Pruebas de intrusión a las aplicaciones Web: El Oferente debe ser capaz de realizar pruebas de intrusión a las aplicaciones web de la AFD, aplicando metodologías reconocidas internacionalmente, como OWASP. Para estos casos, la AFD proveerá el entorno desde el cual se realizaran las pruebas. Las modalidades podrán ser del tipo Gray Box y Black Box.

Exigido

 
  1. El servicio de pruebas deberá proponer incluir recomendaciones de seguridad con Soporte para la aplicación de mejoras de seguridad: El Oferente debe ser capaz de realizar evaluaciones del nivel de seguridad de cualquier elemento, proceso o sistema de la AFD, tanto desde el punto de seguridad informática como de la identificación, análisis y gestión de riesgos, proponiendo mejoras a los mismos, y de realizar las implementaciones de las mejoras que sean requeridas, de acuerdo al caso.

Exigido
  1. Plantel técnico, experiencia y capacidades técnicas de sus miembros propuestos
  1. Cantidad de personal de soporte presentado: Se deberá presentar un plantel técnico conformado por al menos 3 (tres) personas con estudios universitarios graduados o cursando la carrera de las áreas de Informática, ciencias de la computación, telecomunicaciones, seguridad informática y/o Auditoría; con capacidad de satisfacer los servicios con certificación CEH.

Exigido
  1. Experiencia específica en Ethical Hacking: Se deberá contar con al menos 5 años de experiencia específica de los miembros del plantel.

Exigido
  1. Servicios de Soporte en Seguridad de la Información realizados anteriormente: Se requiere que 2 (dos) o más miembros del plantel presentado hayan participado en forma exitosa de 4 (cuatro) o más servicios de Ethical Hacking en empresas o instituciones publicas y/o privadas, realizada durante los últimos 5 (cinco) años con experiencia en lo solicitado en el pliego.

Exigido
  1. Se deberá presentar un plantel técnico conformado por técnicos certificados, al  menos 2 (dos) o más miembros del plantel presentado, cuenten con:
  • Al menos 1 (un) Técnico con Certificación CEH vigente
  • Al menos 1 (un) Técnico con Certificaciones en CISSP,  ISO 27001, OSCP vigente.

Exigido

 

De las MIPYMES

Para los procedimientos de Menor Cuantía, este tipo de procedimiento de contratación estará preferentemente reservado a las MIPYMES, de conformidad al artículo 34 inc b) de la Ley N° 7021/22 ‘’De Suministro y Contrataciones Públicas". Son consideradas Mipymes las unidades económicas que, según la dimensión en que organicen el trabajo y el capital, se encuentren dentro de las categorías establecidas en el Artículo 5° de la Ley N° 4457/2012 ‘’PARA LAS MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS’’, y se ocupen del trabajo artesanal, industrial, agroindustrial, agropecuario, forestal, comercial o de servicio

Plan de prestación de los servicios

La prestación de los servicios se realizará de acuerdo con el plan de prestaciòn, indicados en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicados a continuación:

Ítem

Descripción del servicio

Unidad de medida 

Lugar donde los servicios serán prestados

Fecha(s) final(es) de ejecución de los servicios

1

 Servicio de Ethical Hacking, según especificaciones técnicas

horas

 Para las pruebas de intrusión el plantel técnico deberá disponer de su propia conexión con acceso a la nube pública de internet, quedando a exclusivo cargo del plantel técnico cualquier gasto o responsabilidad asociada al uso del mismo. Para las pruebas de intrusión interna o servicios on-site que pudiera requerir el área de Seguridad de la Información, la AFD proveerá el ambiente desde el cual se deban realizar las pruebas.  Las actividades serán coordinadas con el Responsable de Seguridad de la Información de la AFD Con base en las necesidades de la AFD, se solicitará al oferente la realización del servicio, el cual se deberá llevar adelante desde la comunicación de la orden de servicio respectiva, en un plazo no mayor a 30 días contado desde la recepción del mismo, durante el plazo de vigencia del contrato, de 24 meses. 

Planos y diseños

Para la presente contratación se pone a disposición los siguientes planos o diseños:

No aplica

Embalajes y documentos

El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:

No aplica

Inspecciones y pruebas

Las inspecciones y pruebas serán como se indica a continuación:

No aplica

Indicadores de Cumplimiento

El documento requerido para acreditar el cumplimiento contractual, será:

Serán cargadas las actas de recepción por cada evento ocurrido durante la vigencia del contrato, pues la frecuencia del servicio es variable. 

 

Planificación de indicadores de cumplimiento:

 

INDICADOR

TIPO

FECHA DE PRESENTACIÓN PREVISTA

(se indica la fecha que debe presentar según el PBC)
Documento de solicitud de los servicios Acta/Nota de Conformidad del área técnica administradora del contrato

Desde el inicio de la vigencia del contrato, por cada evento ocurrido durante el plazo de vigencia de 24 meses. 

De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.