Esta sección constituye el detalle de los bienes y/o servicios con sus respectivas especificaciones técnicas - EETT, de manera clara y precisa para que el oferente elabore su oferta. Salvo aquellas EETT de productos ya determinados por plantillas aprobadas por la DNCP.
El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.
Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.
En este apartado la convocante deberá indicar los siguientes datos:
Viviana Gamarra, Encargado Interina de Seguridad de la Información.
Brindar soporte para la actualización y/o elaboración de políticas, procedimientos u otras actividades necesarias para el área de Seguridad de la Información a fin de analizar riesgos, proponer mejoras a la seguridad implementada en la AFD.
Se trata de un servicio periódicamente contratado, con una duración total de 24 meses.
Este servicio permitirá a la AFD actualizar el marco normativo de seguridad de la información, contar con informes analizando situaciones de riesgos acerca de la seguridad de la información o proponiendo mejoras basados en las mejores prácticas o nuevas regulaciones que pudieran aplicarse al contexto de la AFD.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
|
Descripción |
Unidad de medida |
Cantidad mínima |
Cantidad máxima |
|
|
1 |
Servicio de Seguridad de la Información, según especificaciones técnicas. |
Hora |
150 |
300 |
Prestar servicios de seguridad de la información en la modalidad de Servicio bajo Demanda y on-site por 24 meses.
La AFD se reserva el derecho de rescindir el Contrato, con causa justificada, toda vez que considere que el servicio prestado por el Oferente no cumpla con las especificaciones técnicas requeridas y el nivel de servicio esperado.
La AFD se reserva el derecho de aceptar o rechazar la nómina del personal presentado en cualquier momento mientras dure el contrato, debiendo el Oferente proponer un personal para reemplazar al anterior en un plazo no mayor a 30 días calendario y en las condiciones establecidas en el documento de conformidad.
El Oferente debe dedicarse en forma exclusiva, o al menos contar con una división técnica dedicada y exclusiva, al rubro de Seguridad de la Información.
En este apartado se describen las especificaciones técnicas relativas a la prestación de los servicios de seguridad requeridos y demás información pertinente. Se requiere del servicio de profesionales certificados y especializados en seguridad de la información, que apliquen metodologías reconocidas y aceptadas internacionalmente, de acuerdo con las buenas prácticas y estándares de seguridad de la información. Todas las documentaciones producto de este servicio pasarán a formar parte de la propiedad intelectual de la Agencia Financiera de Desarrollo. A continuación, se describen los requerimientos solicitados.
|
CARACTERISTICA |
DESCRIPCION |
REQUERIDO |
OFERTADO |
|
Cumple / No Cumple |
|||
|
1.1. Soporte en desarrollo de planes y programas de seguridad: El Oferente debe ser capaz de proponer, definir, describir y desarrollar todas las documentaciones necesarias relacionadas a la gestión de planes y programas corporativos de seguridad de la información, incluyendo previsiones a futuro y acorde a los objetivos estratégicos de la AFD. |
Exigido |
|
|
|
1.2. Soporte en la redacción de políticas y normas de seguridad: El Oferente debe ser capaz de redactar en forma detallada todo tipo de documentaciones asociadas a sistemas de gestión de seguridad de la información, políticas, normas, procedimientos, guías, entre otros, de seguridad de la información a fin de fortalecer los procesos internos de adecuación a los estándares y mejores prácticas de seguridad de la información, tales como el conjunto de normas Manual de Gobierno y Control de Tecnología de la Información de la SIB del Banco Central del Paraguay, Controles de Ciberseguridad MITICS, ISO 27.000, ISO 22.300, NIST, CIS, ISO 31000, entre otros. Este servicio podría incluir la definición de nuevos estándares y análisis GAP de cumplimiento. A ofrecer un soporte a la gestión operativa del área de Seguridad de la Información de la AFD. |
Exigido |
|
|
|
1.3. Soporte para el análisis y diseño en seguridad de la información: El Oferente debe ser capaz de realizar el análisis y diseño de la seguridad de toda la infraestructura tecnológica y de procesos de la AFD, con el fin de determinar que mejoras de diseño, configuración, procedimientos o similares que permitan fortalecer la seguridad de estos, en cualquiera de sus fases. Para el efecto, deberá ser capaz de evaluar tecnologías, características técnicas, identificación y análisis de riesgos, amenazas, entre otros relacionados a las tecnologías y los procesos de la AFD analizados. Se podrá requerir la asistencia en el desarrollo de las metodologías de gestión de riesgos, o en su implementación. Esto puede incluir también la recomendación de nuevas herramientas o sistemas de seguridad de la información. |
Exigido |
|
|
|
1.4. Análisis de seguridad informática forense Respuesta a incidentes de seguridad: El Oferente debe ser capaz de realizar asistencia especializada para los casos en los que se requieran de servicios de auditoría de seguridad informática forense y revisión de logs, o cuando se requieran de servicios especializados ante la ocurrencia de un incidente de seguridad, como pudiera tratarse de algún tipo de ataque o evento de riesgo para la seguridad a la AFD. Dependiendo de la gravedad del requerimiento, la AFD podrá solicitar asistencia in-situ en un plazo no mayor a 2 (dos) horas por parte del Oferente. |
Exigido |
|
|
|
1.5. Soporte en capacitación y concientización: El Oferente debe ser capaz de definir y realizar planes y proyectos de capacitación y concientización en base a las necesidades, y llevarlas a cabo dentro de la AFD. Esta capacitación podrá ser implementada a través de talleres, charlas, documentos para distribución masiva a través de medios electrónicos, o cualquier otro mecanismo que deberán ser analizados en conjunto (AFD y Oferente) para su utilización. |
Exigido |
|
|
|
1.6. Soporte para la Gestión de Continuidad del Negocio: El Oferente debe ser capaz de realizar análisis de riesgos y evaluaciones de los procesos definidos como críticos en la continuidad del negocio basándose en la norma ISO 22301 y las políticas y procedimientos vigentes en la AFD. |
|
|
|
|
2. Plantel técnico, experiencia y capacidades técnicas de sus miembros |
2.1 Cantidad de personal de soporte presentado: Se deberá presentar un plantel técnico conformado por al menos 3 (tres) personas con estudios universitarios graduados de las áreas de Informática con capacidad de satisfacer los servicios. |
Exigido |
|
|
2.2 Experiencia específica en Seguridad de la Información: El Oferente deberá contar con al menos 10 años de experiencia específica demostrable en los servicios solicitados |
Exigido |
|
|
|
2.3 Servicios de Soporte en Seguridad de la Información realizados anteriormente: Se requiere que los miembros del plantel presentado hayan participado en forma exitosa de 5 (cinco) o más servicios de soporte o consultorías de Seguridad de la Información en empresas o instituciones de similar o mayor envergadura que la AFD en los servicios solicitados, realizada durante los últimos 5 (cinco) años. |
Exigido |
|
|
|
2.4 Certificaciones del plantel técnico en Seguridad de la Información: Se requiere que los miembros del plantel presentado, cuenten con certificaciones relacionadas a las áreas de seguridad de la información de la siguiente manera: |
Exigido |
|
|
|
- Al menos 1 (uno) de sus miembros deberán contar con certificaciones tales como: ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISM, CCISO, CDPSE. |
Exigido |
|
|
|
- Al menos 1 (uno) de sus miembros cuenten con las certificaciones SixSIGMA, ISO 9001, CISSP, ISO 31000, TOGAF, COBIT 5. |
Exigido |
|
|
|
- Al menos 1 (uno) de sus miembros cuenten con CISSP,CEH, CSA |
Exigido |
|
|
|
|
El Oferente deberá presentar curriculum vitae del personal técnico requerido, acompañado de la fotocopia de sus titulos y certificaciones. |
Exigido |
|
Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización de la AFD. El Oferente como cada uno de los miembros del plantel en forma particular, deberán firmar acuerdos de confidencialidad con la AFD.
Cada una de las partes protegerá la información obtenida durante el desarrollo del trabajo de la misma manera en que protege su propia información confidencial, haciéndose responsable por cualquier daño/perjuicio que se pudiera ocasionar por el uso indebido de la información accedida. La AFD podrá disponer para su uso de todos los entregables, que no incluyen metodología ni software utilizado. Salvo autorización de los responsables de la AFD, una vez finalizado el trabajo se procederá a eliminar toda copia electrónica y/o impresa de la información obtenida de cualquiera de los equipos informáticos del personal afectado al trabajo.
El propósito de la Especificaciones Técnicas (EETT), es el de definir las carácteristicas técnicas de los bienes que la convocante requiere. La convocante preparará las EETT detalladas teniendo en cuenta que:
- Las EETT constituyen los puntos de referencia contra los cuales la convocante podrá verificar el cumplimiento técnico de las ofertas y posteriormente evaluarlas. Por lo tanto, unas EETT bien definidas facilitarán a los oferentes la preparación de ofertas que se ajusten a los documentos de licitación, y a la convocante el examen, evaluación y comparación de las ofertas.
- En las EETT se deberá estipular que todos los bienes o materiales que se incorporen en los bienes deberán ser nuevos, sin uso y del modelo más reciente o actual, y que contendrán todos los perfeccionamientos recientes en materia de diseño y materiales, a menos que en el contrato se disponga otra cosa.
- En las EETT se utilizarán las mejores prácticas. Ejemplos de especificaciones de adquisiciones similares satisfactorias en el mismo sector podrán proporcionar bases concretas para redactar las EETT.
- Las EETT deberán ser lo suficientemente amplias para evitar restricciones relativas a manufactura, materiales, y equipo generalmente utilizados en la fabricación de bienes similares.
- Las normas de calidad del equipo, materiales y manufactura especificadas en los Documentos de Licitación no deberán ser restrictivas. Siempre que sea posible deberán especificarse normas de calidad internacionales . Se deberán evitar referencias a marcas, números de catálogos u otros detalles que limiten los materiales o artículos a un fabricante en particular. Cuando sean inevitables dichas descripciones, siempre deberá estar seguida de expresiones tales como “o sustancialmente equivalente” u “o por lo menos equivalente”. Cuando en las ET se haga referencia a otras normas o códigos de práctica particulares, éstos solo serán aceptables si a continuación de los mismos se agrega un enunciado indicando otras normas emitidas por autoridades reconocidas que aseguren que la calidad sea por lo menos sustancialmente igual.
- Asimismo, respecto de los tipos conocidos de materiales, artefactos o equipos, cuando únicamente puedan ser caracterizados total o parcialmente mediante nomenclatura, simbología, signos distintivos no universales o marcas, únicamente se hará a manera de referencia, procurando que la alusión se adecue a estándares internacionales comúnmente aceptados.
- Las EETT deberán describir detalladamente los siguientes requisitos con respecto a por lo menos lo siguiente:
(a) Normas de calidad de los materiales y manufactura para la producción y fabricación de los bienes.
(b) Lista detallada de las pruebas requeridas (tipo y número).
(c) Otro trabajo adicional y/o servicios requeridos para lograr la entrega o el cumplimiento total.
(d) Actividades detalladas que deberá cumplir el proveedor, y consiguiente participación de la convocante.
(e) Lista detallada de avales de funcionamiento cubiertas por la garantía, y las especificaciones de las multas aplicables en caso de que dichos avales no se cumplan.
- Las EETT deberán especificar todas las características y requisitos técnicos esenciales y de funcionamiento, incluyendo los valores máximos o mínimos aceptables o garantizados, según corresponda. Cuando sea necesario, la convocante deberá incluir un formulario específico adicional de oferta (como un Anexo al Formulario de Presentación de la Oferta), donde el oferente proporcionará la información detallada de dichas características técnicas o de funcionamiento con relación a los valores aceptables o garantizados.
Cuando la convocante requiera que el oferente proporcione en su oferta una parte de o todas las Especificaciones Técnicas, cronogramas técnicos, u otra información técnica, la convocante deberá especificar detalladamente la naturaleza y alcance de la información requerida y la forma en que deberá ser presentada por el oferente en su oferta.
Si se debe proporcionar un resumen de las EETT, la convocante deberá insertar la información en la tabla siguiente. El oferente preparará un cuadro similar para documentar el cumplimiento con los requerimientos.
Los bienes y/o servicios deberán cumplir con las siguientes especificaciones técnicas y normas:
|
Descripción |
Unidad de medida |
Cantidad mínima |
Cantidad máxima |
|
|
1 |
Servicio de Seguridad de la Información, según especificaciones técnicas. |
Hora |
150 |
300 |
Para los procedimientos de Menor Cuantía, este tipo de procedimiento de contratación estará preferentemente reservado a las MIPYMES, de conformidad al artículo 34 inc b) de la Ley N° 7021/22 ‘’De Suministro y Contrataciones Públicas". Son consideradas Mipymes las unidades económicas que, según la dimensión en que organicen el trabajo y el capital, se encuentren dentro de las categorías establecidas en el Artículo 5° de la Ley N° 4457/2012 ‘’PARA LAS MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS’’, y se ocupen del trabajo artesanal, industrial, agroindustrial, agropecuario, forestal, comercial o de servicio
La prestación de los servicios se realizará de acuerdo con el plan de prestaciòn, indicados en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicados a continuación:
|
Ítem |
Descripción del servicio |
Cantidad Min |
Cantidad Max |
Unidad de medida de los servicios |
Lugar donde los servicios serán prestados |
Fecha(s) final(es) de ejecución de los servicios |
|
1 |
Servicio de Seguridad de la Información, según especificaciones técnicas | 150 | 300 |
horas |
Oficinas de la AFD, sito en Herib Campos Cervera Nº 886 c/ Aviadores del Chaco, Edificio Australia |
El proveedor deberá prestar el servicio desde la entrada en vigencia del contrato y hasta la culminación del mismo, y se emitirá una orden de servicio por cada evento, cuyo plazo de ejecución será en un plazo no mayor a 30 días corridos, posteriores a su emisión y recepción por parte del Proveedor. |
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indica a continuación:
No aplica
El documento requerido para acreditar el cumplimiento contractual, será:
|
Planificación de indicadores de cumplimiento:
|
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.