El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.
Los bienes suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.
Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:
ESPECIFICACIONES TÉCNICAS
|
|
ESPECIFICACIONES TÉCNICAS |
|
|
ÍTEM N° |
DESCRIPCIÓN |
EXIGIDO |
|
1 |
Software de Escaneo de Vulnerabilidad en Infraestructura |
Se requiere una solución que permita identificar y gestionar efectivamente las vulnerabilidades de los activos tecnológicos. Se requiere un software con suscripción por un término de 12 meses para 1600 activos de TI, entre ellos estaciones de trabajo, servidores, dispositivos de red, plataformas de virtualización y otros sistemas conectados. La solución deberá estar basada en un sistema de gestión centralizada on-premises y múltiples escáneres distribuidos sin límites en cantidad de instancias. Debe contar con escáneres públicos disponibles en Internet para escanear infraestructura pública sin necesidad de implementar escáneres para este propósito. Debe admitir montar múltiples organizaciones lógicas de forma de gestionar la plataforma en modalidad multi-tenancy y que los datos de cada tenant no se vean comprometidos por usuarios que no corresponda. Debe estar basado en un catálogo de vulnerabilidades que incluyan más de 170 mil evaluaciones diferentes y al menos 67 mil vulnerabilidades conocidas por un período no menor a 15 años. Debe proveer un mecanismo de priorización de vulnerabilidades automático basado en la probabilidad de explotación y que ofrezca información alternativa al CVSS (Common Vulnerability Scoring System) basada en Inteligencia de amenazas reales recabada de diversas fuentes como Deep Web, Dark Web, redes sociales, sitios de divulgación y otros centros de investigación. Debe ser capaz de evaluar, no solo vulnerabilidades, sino auditar configuraciones y compararlas contra las mejores prácticas y frameworks de seguridad tales como CIS, CERT, CISA STIG, PCI y otros para la totalidad de activos licenciados, incluidos equipos de red, infraestructura de virtualización, Windows, Linux, Bases de Datos, Aplicaciones y otros sistemas. Estas auditorías podrán ser personalizables por la organización. Esta funcionalidad es también conocida como Policy Compliance. Se requiere esta capacidad sin límites de licenciamiento. Debe contar con la posibilidad de definir objetivos para ser cumplidos por las diferentes áreas usuarias de la solución a fin de asegurar y medir la efectividad de las prácticas de gestión mediante un tablero de cumplimiento. Dichos objetivos pueden estar alineados con normativas como CIS, ISO o personalizada y utilizar métricas de evaluación. Ejemplo, el 90% de los sistemas deben haber sido escaneados en los últimos 30 días, el 100% de los sistemas deben estar libres de vulnerabilidades de Alta criticidad con antigüedad mayor a 120 días, etc. La solución debe crear automáticamente planes de remediación con actividades recomendadas concretas y estimaciones sobre cuál será el impacto en la reducción de riesgo previo a su ejecución. Esta capacidad deberá ser global y permitirá aplicar filtros por grupo de activos específico. Todos los elementos que conforman la solución deben ser actualizables automáticamente con intervención opcional de un administrador, incluyendo nuevas versiones de software/firmware, updates de contenido (nuevas vulnerabilidades) y feeds de inteligencia. La solución debe contar con una API completa para integración mediante scripting automatizado y exportación de datos mediante llamados. Esta API deberá estar liberada y documentada y no deberá tener limitaciones de licencias en cantidad de llamados o sistemas que la consultan. Si no existe una licencia ilimitada, considerar la de mayor capacidad disponible. La solución debe tener una gestión de usuarios con las siguientes características: 1- Debe estar basada en roles y permisos que limiten el acceso a conjuntos de datos puntuales, grupos de activos y a acciones concretas tales como reporting, análisis, escaneo, aceptar riesgos o reclasificarlos, etc. 2- Debe integrarse con sistemas LDAP. 3- Debe permitir autenticación SAML para integración con soluciones de Single Sign-On tales como Okta, OneLogin o Microsoft ADFS. Tanto la consola como los escáneres deben ser desplegables en modalidad software y appliance virtual en VMware y Hyper-V. Debe permitir la configuración y almacenamiento seguro de credenciales de usuario para escanear mediante cuentas locales y de dominio Windows, cuentas ssh para sistemas Unix/Linux y dispositivos de red. Deberá permitir elevar privilegios mediante su y sudo y no deberá tener limitaciones en cantidad de credenciales. Además, el sistema deberá integrarse con soluciones de bóvedas digitales como Cyberark, Centrify, Beyondtrust y otras. La solución debe ser capaz de generar un inventario de activos, poblándolo mediante escaneos de descubrimiento sin límites de licenciamiento. Debe también permitir agregar activos importándolos de fuentes externas. Debe auto-clasificar los activos por diversos criterios tales como localización, red en la que se encuentra, tipo de dispositivo, propietario o responsable del dispositivo, criticidad para el negocio, se ha sido escaneado o no, si se cuentan con credenciales funcionales o no, si está comprometido por malware y otros criterios de agrupamiento. La solución debe agrupar activos que posean una base de datos, que posean aplicaciones web, que no resuelvan nombre, que contengan vulnerabilidades explotables y otras agrupaciones dinámicas mediante reglas. Debe ser capaz de obtener vulnerabilidades de estaciones de trabajo en Internet (teletrabajo) y otros ambientes no conectados a la red del organismo, e inalcanzables por un escáner, mediante agente Windows, Linux y MacOS. Los agentes deberán reportar dichas vulnerabilidades a un servicio en Internet que luego pueda ser consultado por la consola on-premise. Debe contar con escaneos que solo auditen la existencia o inexistencia de parches de todo tipo de sistemas (Windows Desktop, Unix/Linux, equipos de red, aplicaciones y otras plataformas). Debe mantener registro de estado de vulnerabilidades por activo, de modo de identificar vulnerabilidades que, habiendo sido remediadas, volvieron a surgir en nuevos escaneos. Deben registrarse las fechas de primera aparición, última aparición y reaparición. La solución debe ser capaz de identificar sistemas comprometidos por malware y otros códigos maliciosos. También deberá ser capaz de identificar la ejecución y nivel de firmas del sistema de Antimalware presente en el dispositivo. Debe reportar vulnerabilidades que sean explotables, establecer el nivel de madurez del código de exploit (si aplica), documentar de que forma se explota (malware, acceso remoto, con o sin credenciales), si el exploit está presente en frameworks reconocidos tales como Metasploit, Canvas, Core y otras. Debe contar con capacidades de reporting y dashboards completamente personalizables mediante gráficos, texto, filtros, querys y lógicas complejas. Además, deberá contar con más de 300 templates listos para ser usados y editables. No deberá estar limitado por licenciamiento y si lo estuviese, considerar el módulo de reporting más completo incluyendo plantillas de cumplimiento CIS, ISO27001, y PCI. Debe ser capaz de integrarse a un Centro de Operaciones de Seguridad (SOC) mediante alertas automatizadas independientes y nativas en el producto como así también integrarse a una solución de SIEM y de Orquestación (SOAR). Indicar la capacidad de integración con Splunk, IBM QRadar, LogRhythm, Siemplify, Simlane. Se espera que la solución alerte cuando se detecten nuevas vulnerabilidades críticas en sistemas relevantes, nuevas vulnerabilidades asociadas a una amenaza conocida y otras reglas personalizables. |
|
2 |
Software de Escaneo de Vulnerabilidad en Web |
La solución debe poder realizar escaneos de vulnerabilidades (escaneos), evaluación de configuración y cumplimiento (línea de base y cumplimiento), indicaciones y patrones de código malicioso conocido. Se requiere de un Software con suscripción por un término de 12 meses para target 10. La solución debe proporcionar una gestión del flujo de trabajo de corrección basada en políticas, incluida la creación y la asignación automática de registros de problemas. La solución puede basarse en la nube pública con escáneres propios ubicados en la nube pública y escáneres instalados en la infraestructura del cliente (en las instalaciones). Las actualizaciones de amenazas deben realizarse periódicamente al menos una vez al mes sin interrupción de los servicios. Acceso a la configuración de seguridad y administración de la solución: a) Todos los datos almacenados en los servidores de la solución deben estar encriptados y tener registros de acceso; b) la solución debe permitir la creación de al menos 20 cuentas para gestión y acceso a informes sin costo adicional. Debe ser posible acceder a la solución por los principales dispositivos de acceso, entre ellos: Computadoras de escritorio y tipo Notebook, con los siguientes sistemas operativos: Linux 32/64bits y Windows 3/64bits, a través de navegadores de Internet estándar (W3C). Implementar rutinas de respaldo y recuperación para configuraciones, usuarios, perfiles e información/transacciones. Implementar el acceso simultáneo y concurrente de múltiples usuarios a la solución, para investigación y edición, preservando la integridad de los datos La solución debe contar con un banco de vulnerabilidades actualizado: información utilizada por las herramientas que permiten conocer las vulnerabilidades. Proporcionar funcionalidad de alerta para permitir la corrección proactiva de posibles fallas de seguridad. Contar con parámetros que permitan definir hora, fecha y frecuencia de búsquedas de vulnerabilidades. Permitir la visualización acumulada de los últimos resultados obtenidos para cada uno de los activos, por medios gráficos e informativos, facilitando el seguimiento de la evolución de las medidas correctivas en el tiempo. Permitir la visualización de todas las vulnerabilidades encontradas para una aplicación en particular, agrupadas en tipo y clase de ataque. Recomendar el mejor punto para la corrección de las vulnerabilidades encontradas. Permitir la visualización, inserción y edición de información o notas específicas para cada una de las vulnerabilidades encontradas, incluyendo ítems como: Usuario Responsable, Nivel de Riesgo para el Negocio, entre otros. Brindar una sección que le permita ver la evolución de las vulnerabilidades a lo largo del tiempo, fallas abiertas, falsos positivos, fallas corregidas e historial de actividad y también brindarle cambiar el estado de cada una de las vulnerabilidades, permitiéndole eliminar falsos positivos, vulnerabilidades o regresar ellos al estado "abierto". Debe poner a disposición los siguientes informes, en diferentes formatos, incluidos PDF y XML. Los informes deben estar de acuerdo con el estándar de la industria y de acuerdo con OWASP Top 10 y Sans CWE Top 25. Informe técnico de vulnerabilidad de la aplicación, que contiene solo fallas para una aplicación web en particular. Informe gerencial con el ranking de activos clave por clasificación de riesgo para el negocio. La interfaz administrativa de la solución debe contar con mecanismos de auditoría que le permitan identificar eventos que involucren: autenticación de usuarios, gestión de usuarios, reglas de escaneo y gestión de gestión realizada. Tener una capacidad de análisis incremental, que realiza análisis solo en un conjunto de códigos/páginas modificadas a partir de una "línea de base" determinada, lo que permite la reducción del tiempo total de análisis. La solución debe permitir la inclusión de comentarios y también debe permitir registrar el nombre del usuario responsable de estas marcas, así como la inserción de comentarios adicionales en las vulnerabilidades encontradas, manteniendo el historial en análisis posteriores. La solución debe suministrarse junto con documentación técnica completa y actualizada, que contenga manuales, guías de instalación y configuración, mejores prácticas, entre otros, en formato de archivo electrónico "Portable Document Format" (PDF) o en páginas "HTML", Medio de acceso electrónico direcciones al depósito de dicha documentación. Permita que el usuario defina filtros para los resultados de un escaneo, lo que le permite enfocarse en ciertos tipos de señalamientos, tales como: tipo de vulnerabilidad, riesgo, grado de confiabilidad, API donde se encontró, archivo o directorio donde se encuentra el código fuente, etc. La solución debe admitir el envío automático de informes a destinatarios específicos. Permitir especificar niveles de permisos en informes para usuarios y grupos específicos. La solución de análisis dinámico de vulnerabilidades deberá permitir al menos 10 (diez) alteraciones simultáneas de aplicaciones y usuarios conectados simultáneamente. Los escaneos simultáneos son pruebas de vulnerabilidad para la identificación de vulnerabilidades en diferentes aplicaciones realizadas en paralelo y al mismo tiempo. Admite los siguientes protocolos:
Compatibilidad con el esquema de autenticación OTP. Admite formularios basados en HTML: automatizados, con secuencias de comandos; No automatizado, inicio de sesión único, certificados de cliente SSL e implementaciones personalizadas. Comprenda que la aplicación solicita iniciar una nueva sesión, utilizando un cierto tipo de token como método para identificar solo esta sesión. Admite los siguientes tokens de administración de sesión:
Permitir la configuración para la detección automática de sesión del valor de actualización de sesión: el escáner intentará detectar tokens de sesión en su propia cuenta y decidirá qué tokens se deben rastrear/actualizar automáticamente durante el escaneo. Proporcionar al usuario la opción de admitir sesiones concurrentes. Proporcionar al usuario la capacidad de especificar un retraso de solicitud. Proporcione al usuario la opción de definir una profundidad máxima de rastreo. Identifique los nombres de host recién descubiertos. Admitir el envío de formulario automatizado. Detecta páginas de error y 40 respuestas personalizadas. Soporta redirección HTTP, Meta Refresh y JavaScript. Proporcione al usuario la capacidad de limitar las solicitudes redundantes. Debe existir la capacidad de optimizar (ajustar) un rastreador para limitar las solicitudes de estas páginas redundantes. Debería poder analizar y comprender al menos los contenidos codificados en los siguientes tipos de codificación: IS0-8859- y UTF. Autocompletar no deshabilitado en los parámetros de contraseña. Capacidad de forzar la navegación por URL sin estar autorizado (navegar "registrado" sin iniciar sesión). Contar las siguientes características de escaneos y ejecuciones:
Contar con una extensa base de ataques conocidos de paquetes y componentes de terceros como OWASP, NIST, SANS, CVE, etc., incluyendo aplicaciones desarrolladas en diversas plataformas. Esta base de firma debe actualizarse con frecuencia a través de Internet y debe tener capacidad de reconocimiento de versión y vulnerabilidad de paquetes de terceros, incluidos los más utilizados, como WordPress, Drupal, Joomla y Plone. Permitir la visualización de todas las páginas (URLs) encontradas en la última evaluación, con posibilidad de búsqueda por palabra clave. Permitir la visualización de objetos relacionados con la aplicación web, incluidos hosts bloqueados, correos electrónicos y cookies, con la posibilidad de búsqueda por palabra clave. Referencia en más de una base de datos de registro de patrones de ataque, al menos CVE o CWE ID. Evidencia de la ejecución de los ataques demostrando los puntos donde la aplicación es vulnerable. Contar con integración del rastreador de problemas (Jira, Azure DevOps, GitHub, Gitlab, Bugzilla, Mantis) Debería poder mostrar las solicitudes de herramientas y las respuestas proporcionadas por la aplicación web durante la prueba. Permitir la selección o eliminación de pruebas de seguridad que pueden causar indisponibilidad, como denegación de servicio (DOS). Herramientas de soporte para crear solicitudes y análisis de respuestas de aplicaciones web, API y servicios web como Postman Collections. |
|
|
Horario de cobertura y Periodo |
De lunes a viernes de 8:30 a 18:00 Hs y sábados de 8:30 a 12:00 hs, durante 12 meses |
Propuesta de planilla de precios
|
Nº |
Descripción del Bien y/o Servicio |
Cantidad |
Unidad de Medida del Bien y/o Servicio |
Presentación |
Precio Unitario (IVA incluido) |
Precio Total (IVA incluido) |
|
1 |
Software de Escaneo de Vulnerabilidad en Infraestructura |
1 |
Anual |
Unidad |
|
|
|
2 |
Software de Escaneo de Vulnerabilidad en Web |
1 |
Anual |
Unidad |
|
|
La entrega de los bienes se realizará de acuerdo al Plan de Entrega y Cronograma de Cumplimiento, indicado en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el Proveedor indicados a continuación:
|
Nº |
Descripción del Bien y/o Servicio |
Cantidad |
Unidad de Medida del Bien y/o Servicio |
Lugar de prestación del Bien y/o Servicio |
Ejecución de los Servicios |
|
1 |
Software de Escaneo de Vulnerabilidad en Infraestructura |
1 |
anual |
Gerencia Departamental de Administración de Seguridad TIC - Banco Nacional de Fomento |
Una vez firmado el contrato, el oferente tendrá 7 (siete) días hábiles para la instalación y puesta en funcionamiento. |
|
2 |
Software de Escaneo de Vulnerabilidad en Web |
1 |
anual |
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indica a continuación:
No aplica
El documento requerido para acreditar el cumplimiento contractual, será:
Serán presentados 1 (un) Acta de entrega
Frecuencia: una vez
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA (se indica la fecha que debe presentar según la carta de invitación) |
|
Acta de recepción 1 |
Acta de recepción |
Conforme al Plan de Entregas |
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.
La Convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.
1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante de la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.
2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.
3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad de bienes requeridos, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.
En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.
La comunicación de la adjudicación a los oferentes será como sigue:
1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.
2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.
3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.
4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.
5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.
Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.
La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.
La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.
La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.
Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.
|
|
|
|
|
|
|
|
2. Documentos. Consorcios |
|
|
|
|