Suministros y Especificaciones técnicas

El suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes serán suministrados por el proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el contrato.

Los bienes suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la contratante, mediante notificación a la misma de dicho rechazo.

Detalles de los productos y/o servicios con las respectivas especificaciones técnicas - CPS

Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:

  1. El Oferente debe proveer una solución de Servicio de SOC en las ubicaciones físicas que designe el BNF.
  2. El escenario de implementación del SOC BNF debe ser In-House.
  3. El proveedor debe implementar el servicio SIEM para el SOC que permita escalar nuevas incorporaciones de instituciones y sus contextos de seguridad sin que esto represente aumento de costos en licenciamiento. En cualquiera de los casos, el modelo de licenciamiento, si lo hubiera, debe ser tal a no requerir renovaciones o suscripciones adicionales o posteriores a la finalización del contrato
  4. El Servicio de SOC debe aportar como mínimo un dashboard con métricas básicas, además debe permitir la creación de nuevos dashboard informacionales para todo el equipo del SOC.
  5. Sistema de Ticket y gestión de Incidentes: el Proveedor, también dentro del contrato del SOC, debe realizar la implementación de un sistema de tickets de incidentes que debe ser integrado a los sistemas del SOC.
  6. El servicio de SOC debe incorporar al menos una herramienta de Orquestación / automatización (SOAR) que permita a los analistas de operaciones trabajar casos junto a los analistas de manejo de incidentes. Las herramientas de SOAR debe ser interoperable con todos los demás elementos del proyecto que el Oferente propone y las que están mencionadas en las presentes especificaciones.
  7. El SOAR debe permitir 12 usuarios analistas, como mínimo, en modalidad MSSP.
  8. El servicio de SOAR debe incluir y/o el proveedor encargarse de la configuración y personalización de los conectores para una cantidad ilimitada playbooks, sin costo adicional.
  9. El proveedor debe ofrecer una capacitación en el uso y manejo del SOAR y en el lenguaje de construcción de playbooks.
  10. El deployment podrá ser on-premise (virtual o físico) o como servicio.

 

Plataforma de repositorio seguro de evidencia:

  1. El Proveedor debe contar con un mecanismo o plataforma de gestión centralizada y segura de evidencia, integrable con los demás elementos del SOC, en la que los analistas podrán almacenar las evidencias o materiales de apoyos obtenidos o generados en el marco de la gestión de un incidente o investigación, incluido, pero no limitado a: logs, copias de archivos, artefactos maliciosos, imágenes o capturas, informes, etc. El Servicio podría formar parte o ser una funcionalidad nativa de alguno de los demás elementos proporcionados por el Oferente.
  2. El proveedor debe contar con mecanismos de trazabilidad detallados que permitan identificar mínimamente qué usuario realizó las siguientes operaciones (las que apliquen): subida y/o creación, accesos o lecturas, descargas, eliminaciones, ediciones. Igualmente debe contar con trazabilidad de las acciones propias de los usuarios, incluido, pero no limitado a: altas, bajas y modificaciones de usuarios, cambios de configuración y otras operaciones administrativas.
  3. La arquitectura de la plataforma debe incluir un cliente que pueda sincronizar de manera automática las evidencias almacenadas con el sistema de archivos de la PC del analista, mínimamente para Windows 10 o superior, MacOS y Linux (distribuciones basadas en Debian y RHEL)

 

Capa de Adquisición

Generalidades:

 

  1. El oferente debe proveer herramientas de despliegue que contemple los mecanismos para la captación de eventos relevantes en las redes y sistemas de las Sucursales y/o oficinas periféricas, pudiendo estos mecanismos ser: sensores y/o colectores, plataformas SIEM, o la integración a un SIEM existente.
  2. Para cada sucursal que se solicite incorporar, el Oferente debe realizar una caracterización de la infraestructura que le permita proponer una arquitectura de despliegue que garantice que cada sucursal sea vista como un único contexto de seguridad.
  3. Cada vez que el BNF desee incorporar una sucursal, éste comunicará al proveedor por los medios habilitados para el efecto, tales como correo electrónico, teams, u otros medios de recepción comprobable a cargo de la dependencia requirente).

 

Tecnología Lado Cliente:

  1. Para el despliegue de sensores y/o colectores:
    1. Los sensores y/o colectores podrían ser físicos o virtuales
    2. El sensor y/o colector debe ser capaz de capturar tráfico de red en formato de pcap.
    3. El sensor y/o colector debe ser capaz de interpretar logs distintos dispositivos en el escenario tecnológico de la institución que sean de interés para el SOC ( evtx, syslog ).
    4. El sensor y/o colector debe poder integrarse con la plataforma de SIEM propuesta. Además, es deseable que el sensor y/ o colector sea compatible con la mayor cantidad de tecnologías de SIEM, por ejemplo, basado en el stack ELK.
    5. El sensor y/o colector debe ser capaz de almacenar logs y/o pcaps con una retención de al menos unas 3 semanas.
    6. El sensor y/o colector debe contar con una interfaz web de gestión
    7. El sensor y/o colector debe ser compatible con el monitoreo por agentes y agentless en los activos de interés para la institución y/o para el SOC.

 

  1. Por cada sucursal, el proveedor debe personalizar la configuración del servidor y/o agentes, incluyendo mínimamente los parámetros establecidos conforme a parámetros que serán definidos de común acuerdo con el BNF, incluido, pero no limitado a:
    1. escaneos periódicos
    2. colección de logs
    3. monitoreo de integridad de archivos, incluido la auditoría de who-data
    4. funcionalidades de detección de anomalía y malware
    5. Securización y hardening conforme la documentación oficial, como mínimo.

 

  1. El proveedor debe proporcionar un módulo de auditoría continua y automatizada de vulnerabilidades que permita realizar un monitoreo proactivo, conocer la superficie de exposición, detectar vulnerabilidades. El módulo debe permitir auditar a partir de un rango de IP pública o dominio / sub-dominio. El módulo debe permitir auditar una cantidad ilimitada de IP o dominios.
    1. El módulo debe permitir el descubrimiento del stack tecnológico y servicio detrás de dicha IP o dominio, mediante técnicas de escaneo activos.
    2. El módulo mínimamente debe cubrir:
      1. escaneo de vulnerabilidades web (OWASP Top 10)
      2. fuzzing web
      3. escaneo de vulnerabilidades conocidas basado en servicios, mapeadas a CVE
    3. Debe permitir realizar el control y seguimiento de vulnerabilidades identificadas, incorporando un proceso de auditoría continua a través de históricos de evolución de éstas.
    4. Debe contar con un panel de Control, con roles de usuarios (administrador y de solo lectura)
    5. El panel de administración central web debe permitir al BNF tener la visibilidad total sobre las instancias de las sucursales clientes, así como informaciones estadísticas globales e informes técnicos y ejecutivos.
    6. Debe permitir generar alertas o notificaciones (correo electrónico u otro mecanismo) para el envío de los resultados del descubrimiento y evolución de vulnerabilidades

 

Inteligencia de Amenazas:

  1.   El proveedor debe implementar un servicio cuya plataforma o módulo de inteligencia de amenazas (CTI) integre las diversas fuentes de inteligencia, tanto públicas como privadas (provistas como parte del servicio de centro de operaciones de seguridad SOC, conforme especificaciones)
  2. La plataforma o módulo CTI del proveedor debe permitir a los analistas integrar información técnica (TTPs y observables) e información no-técnica (mínimamente información sobre la víctima, categorías, etc), relacionando cada pieza de información con su fuente primaria que lo sustente (un reporte, un evento MISP, etc.), permitiendo también la relación entre diferentes piezas de información. Mínimamente, debe ser posible establecer los siguientes atributos a cada observable:
  1. Hora y fecha de primera aparición (First seen)
  2. Hora y fecha de última aparición (Last seen)
  3. Nivel de confianza del observable
  4. Descripción del observable
  1. La plataforma o módulo CTI del proveedor puede estar incluida y/o ser un componente nativo del SIEM o SOAR o ser mediante una plataforma o instalación separada.
  1. El modelo de licenciamiento (si lo hubiera), debe permitir un crecimiento y escalabilidad tanto en la cantidad de fuentes de información integradas como en la cantidad de datos ingestados, sin que esto represente aumento de costos en licenciamiento.
  2. Debe permitir importar y exportar datos en formato csv y txt, como mínimo. También debe permitir exportar reportes en formato pdf.
  3. Debe también contar con conectores que permitan una integración simple con plataformas y fuentes conocidas, tanto de datos IoC y IoA, como de enriquecimiento de datos. Mínimamente debe contar con conectores y/o integración nativa con:
      1. CVE Database
      2. MISP
      3. MITRE ATT&CK
      4. VirusTotal
      5. URLHaus
      6. CISA Known Exploited Vulnerabilities Database
      7. HybridAnalysis
      8. Cukoo Sandbox
      9. Alguna plataforma de enriquecimiento sobre información sobre IPs (whois, reputación, histórico DNS, etc.)

Igualmente, debe contar con una API que permita construir la integración a otras plataformas. El proveedor deberá integrar la plataforma con los demás elementos del SOC, tal que permita enriquecer automáticamente el análisis e investigaciones de los analistas.

El SOC debe incorporar integraciones con Feeds de Inteligencia de amenazas comerciales (al menos 2) incluidos dentro del precio. La suscripción debe ser válida durante 12 meses desde su activación

 

Capa DFIR y Threat Hunting:

  1. El proveedor debe proveer un servicio cuya solución o plataforma para la adquisición de evidencia forense de manera rápida, escalable y remota, así como también todas las acciones de triage durante la investigación de un ataque.
  2. El Servicio debe contar con una solución o plataforma que permita un número ilimitado de analistas y un número ilimitado de análisis.
  3. Debe permitir la adquisición y análisis de sistemas Windows, distribuciones de Linux y MacOS
  1. Debe permitir mínimamente:
    1. Ejecución de herramientas de triage en remoto bajo demanda
    2. Ejecución de reglas YARA en los sistemas investigados
    3. Consulta de claves de registro
    4. Consulta de existencia de ficheros
    5. Realización de volcados de memoria en remoto bajo demanda
  2. Todas las funcionalidades y capacidades de análisis y obtención de datos y evidencias deben poder ser ejecutados de manera remota y de manera masiva y/o automatizable en todos los equipos de la red a analizar.

Calibración y soporte:

  1. El proveedor debe proveer la documentación y entrenamiento teórico-práctico respecto a los procedimientos de calibración de las plataformas, que permita ajustar los mecanismos de detección, defensa y respuesta a los escenarios de tecnologías a implementarse en el SOC, asegurando una transferencia de conocimiento completa al staff del BNF.
  2. El proveedor debe calibrar todos los elementos del SOC basado en el framework MITRE ATT&CK
  3. Con el objetivo de proporcionar evidencia cuantificable del progreso de las operaciones del SOC, así como los esfuerzos de las instituciones clientes, el servicio debe permitir generar, como mínimo, las siguientes métricas:

 

 

Categoría

Métrica o medición

Cumplimiento y
auditoría

Cantidad y criticidad de los hallazgos de los reportes de auditoría, revisiones, diagnósticos, etc (idealmente, filtrable por fuente/marco de referencia)

Porcentaje de sistemas de operaciones de seguridad verificado conforme estándar aplicable.

Cantidad de deficiencias principales entre el reporte previo y actual (aplica a auditorías, diagnósticos, revisiones, etc)

Tiempo promedio de resolución de hallazgos (filtrable por criticidad)

Tiempo abierto promedio de hallazgos no resueltos (filtrable por criticidad)

Tasa de finalización de auditorías de seguridad a tiempo/satisfactorias

 

 

Incidentes de
seguridad

Número de incidentes informados a los clientes afectados

Número de incidentes reportados por los controles de red (SIEM, AV, etc.)

Número de incidentes globales (filtrable por criticidad)

Número de incidentes escalados

Tiempo promedio entre la detección y el incidente (tiempo promedio de descubrimiento)

Tiempo promedio de recuperación/resolución (filtrable por criticidad y tipo)

Porcentaje de incidentes cuya causa raíz fue identificada y resuelta

Tiempo desde el último incidente crítico

Porcentaje de incidentes recurrentes

Número de ataques

Relación (ratio) entre incidente sobre ataques/amenazas (por tipo)

Tiempo promedio de incidente abierto

Ratio de incidentes (filtrable por tipo y criticidad)

Porcentaje de incidentes detectados por controles internos

Número de incidentes, por tipo y criticidad, durante un periodo dado (filtro dinámico)

 

 

Políticas, estándares
y procedimientos

Número o tasa de infracciones de incumplimiento de la política de operaciones de seguridad detectadas (podría ser más granular como "Porcentaje de contraseñas que cumplen con las políticas")

Número de instalaciones de software no aprobadas/sin licencia identificadas en equipos de clientes

Número de operaciones de seguridad importantes con documentos y procedimiento de seguridad probado

Número de infracciones de la política de operaciones de seguridad durante un período determinado

 

 

Inteligencia de
Amenazas

Tasa de encuentro: Número de indicadores de compromiso recibidos

Tasa de falsos positivos: número de indicadores redundantes

Número de indicadores internos vs. externos recopilados

Número de amenazas bloqueadas

 

 

Operaciones

Número de falsos positivos y falsos negativos (incidentes no monitoreados/atendidos), positivos verdaderos (incidentes correctamente identificados), y negativos verdaderos

Número de tickets generados (total y por analista)

Número de alertas de seguridad (según criticidad)

Número de eventos de seguridad (según criticidad)

Número de tickets sin resolver (total y por analista)

Tiempo promedio desde la creación del ticket hasta su cierre (total y por analista)

Tipo de ticket, clasificado por institución, por activos y otras categorías que pudieran aplicar

Origen del ticket (desde la perspectiva del activo de infraestructura)

Ratio de escalación de amenazas (desde Tier 1 hasta niveles de remediación)

Número de tickets identificados por criticidad

 

 

Configuración de
seguridad y gestión
de vulnerabilidades
y
parches/actualizaciones

Porcentaje de dispositivos/activos sin configuración segura o apropiada

Número de vulnerabilidades técnicas no parchadas/corregidas

Informe de estatus de actualización de servidores, por sistema operativo (global y por institución cliente)

Informe de estatus de actualización de dispositivos de usuario, por sistema operativo
(global y por institución cliente)

Informe de estatus de actualización de otro tipo de dispositivos (por ej. Dispositivos de red) (global y por institución cliente)

Informe de estatus de actualización de solución de protección de endpoint (antivirus/EDR o equivalente) (global y por institución cliente)

Número de vulnerabilidades descubiertas (filtrable por criticidad, por institución cliente y por criticidad del activo)

Porcentaje de activos/sistemas con y sin vulnerabilidades conocidas críticas

Tiempo promedio de actualización y/o mitigación de vulnerabilidades (filtrable por
criticidad, global y por institución cliente)

Cantidad o porcentaje de vulnerabilidades explotables (por criticidad, global y por
institución cliente)

 

 

Concienciación y
entrenamiento

Número de usuarios finales que realizaron los entrenamientos mediante la plataforma de concienciación desplegada como servicio del SOC

Niveles de concienciación de seguridad: puntaje de evaluaciones (si aplica), resultado de simulaciones de phishing o pruebas (promedio, total y por institución cliente), etc.

 

  1. El proveedor debe proveer un Servicio que permita ver todas las vistas de dashboard con las métricas definidas arriba en un panel y debe configurarlo de esta manera, asegurando la transferencia de conocimiento para la generación de otras métricas y otras vistas por parte del BNF en un futuro.
  2. Dentro del Servicio, el proveedor debe garantizar la asistencia técnica y soporte, durante toda la vigencia contractual, no limitado a:
  1. Resolución de problemas o dudas respecto a la configuración de los componentes.
  2. Resolución de errores en el funcionamiento del servicio respecto al comportamiento esperado, conforme las presentes especificaciones
  3. Actualización y/o instalación de parches del stack tecnológico, conforme estos fueran disponibilizados por los fabricantes

Transferencia de conocimiento:

  1. El proveedor debe encargarse de realizar una transferencia de conocimiento mínima de la plataforma y tecnologías de SOC, a todo el staff del SOC, incluido, pero no limitado a: analistas de todos los niveles, Security Engineer, Coordinador o Director SOC. Dicha transferencia de conocimiento debe incluir mínimamente:
    1. Explicación detallada de la arquitectura y topología de la solución instalada, con sus diferentes elementos (hardware/software)
    2. Entrenamiento teórico-práctica de la configuración, calibración y operación de cada uno de los elementos
  2. Las sesiones de capacitación deben realizarse in-situ.
  3. El proveedor debe proporcionar a la institución cliente un manual o guía tanto de usuario/operador como de administrador, de cada una de las herramientas que componen el SOC. La documentación deberá estar en formato digital o virtual (link a página web).

 

Servicios de operaciones:

  1. El proveedor debe presentar una propuesta de Servicios de Operaciones con dotación mínima de Personal Operativo basada en especificaciones de la siguiente tabla:

Los criterios de cada perfil se encuentran en Capacidad Técnica

      • SOC Analyst  cantidad 1 (uno)
      • Security Engineer cantidad 1 (uno)
      • SOC Manager/CSIRT Director cantidad 1 (uno)

 

Puestos

Cantidad

Rol

SOC Analyst

1

Recibe y analiza las alertas diariamente, categorizando por relevancia y urgencia; descartar falsos positivos y supervisa
y configurar herramientas de monitoreo de seguridad.

Aborda los incidentes de seguridad que fueron

determinados como reales.

Utiliza inteligencia de amenazas, como reglas actualizadas e indicadores de compromiso (IOC) para identificar los sistemas afectados y el alcance del ataque. Analiza los procesos en ejecución y las configuraciones en los sistemas

afectados. Lleva a cabo un análisis de inteligencia de amenazas en profundidad para determinar el origen, el tipo de ataque y los datos o sistemas afectados. Crea e implementa una estrategia de contención y recuperación.

Gestionar los incidentes críticos, que requieran análisis forenses más avanzados y/o operaciones de threat hunting, identificando las amenazas que han ingresado a la red y las brechas de seguridad y vulnerabilidades actualmente desconocidas.

Security Engineer

1

Administrar, configurar y asegurar el correcto
funcionamiento de las herramientas, tanto del core del SOC como de los sensores / colectores y demás elementos.

SOC
Manager/CSIRT
Director

1

Supervisar los procesos de gestión de incidentes de los analistas; administrar y priorizar las acciones durante el aislamiento, el análisis y la contención de un incidente; comunicar y coordinar cualquier requisito especial de incidentes de alta gravedad a las partes interesadas tanto internas como externas

 

  1. Cada perfil será incorporado de acuerdo a cada orden de servicio emitidas por el BNF. La empresa presentará el CV del personal propuesto de acuerdo a cada perfil y debe contar con la aprobación del BNF.
  2. La experiencia mínima indicada en la tabla anterior es orientativa, será responsabilidad del Oferente asegurar la correcta selección basado tanto en cualidades académicas, de experiencia y habilidades duras y blandas conforme al rol esperado. La exigencia de la experiencia específica podría modificarse en caso de que el perfil de un candidato propuesto tuviera otro tipo de cualidad, ya sea académica o de habilidades específicas, que fueran más provechosas para el rol, de común acuerdo con el BNF.
  3. Dicho personal debe prestar servicio en las instalaciones del BNF, a tiempo completo (carga laboral de 40 horas), en turnos distribuidos para cubrir un rango horario de oficina a ser definidas por el BNF.
    1. El trabajo remoto podría ser autorizado por BNF en casos particulares, de común acuerdo entre las partes, si es que resultara más provechoso para el BNF.
  4. Los analistas deben seguir los procedimientos definidos y acordados por el BNF, pudiendo éstos ser actualizados durante todo el contrato, como parte del proceso de mejora continua de las operaciones del SOC.
  5. En caso de que el analista renuncie, la empresa debe reemplazarlo por un perfil de características y/o capacidades equivalentes o mejores, en un plazo no mayor de 30 (treinta) días.

 

Traspaso de conocimiento del personal de SOC

El oferente debe prever el traspaso continuo de conocimiento sobre las nuevas amenazas o métodos para la mitigación de eventos a todo el personal incorporado por éste, así como también a los analistas actuales del BNF en materia de ciberseguridad incluido, pero no limitado a:

 

    1. Seguridad en redes, software y sistemas
    2. Gestión de incidentes, desde nivel básico a avanzado
    3. Threat hunting y forense
    4. Análisis de malware
    5. Inteligencia de amenazas
    6. Operaciones de Red Team / Blue Team / Purple Team

 

Obs.: Atendiendo que los nombres de cursos y la manera de expresar el contenido puede variar, la lista previa es referencial y enunciativa; el contenido específico deberá ser acordado con el BNF durante el proyecto.

El traspaso de conocimiento será preferentemente virtual, auto-gestionada (self-paced) y deberá prever laboratorios y ejercicios prácticos. Los temarios deben guardar relación directa con el rol y responsabilidades que la persona realiza.

  • Los cursos, ya sea individualmente o en su conjunto, debe ser mayor a 80 (ochenta) horas o su equivalente en créditos CPE (Educación Profesional Continua) o similar.
  • El BNF deberá poder supervisar en todo momento el progreso de las personas:
  1. Cursos iniciados y culminados
  2. La capacitación continua cubrirá, como máximo, 10 (diez) personas.
  3. -   Una vez terminada la capacitación, se expedirán certificados a los participantes.

El Servicio de SOC, deberá contar mínimamente con los siguientes componentes

Descripción del Bien y/o Servicio

Cantidad

Ejecución

1

Instalación y configuración del Core del SOC en la nube del banco (MS.Azure)

10
  1. Advanced Defense Technologies
  2. Global Threat Intelligence
  3. Threat Hunting
  4. Malware analysis and forensics
  5. Security Assessment
  6. Penetration Testing and Read Teaming
  7. Monitoring & Alerting
  8. Incident Response
  9. Advanced Security Traning
  10. API Subscripción

2

Implementación de colectores en los sistemas y servidores del banco

 10

Monitoreo.

3

Puesta en marcha del SOC con personales de los diferentes roles

4

Monitoreo.

4

Traspaso de conocimiento continuo de los diferentes roles.

10

Transferencia de conocimientos.

Una vez suscripto el contrato el oferente tendrá un plazo de 90 días hábiles/corridos, en coordinación con la Gerencia de Departamental de Administración de Seguridad TIC, para el traspaso de conocimientos

 

 

Identificación de la unidad solicitante y justificaciones

  • Identificar el nombre, cargo y la dependencia de la institución de quien solicita el llamado a ser publicado: Gerencia Departamental de Administración de Seguridad TIC Ricardo Rolón, Encargado de despacho.  
  • Justificación de la necesidad que se pretende satisfacer mediante la contratación a ser realizada:

El Centro de Operaciones de Seguridad (SOC), buscar garantizar la seguridad de la información de la entidad. El SOC permite la supervisión y administración de la seguridad del sistema de información a través de herramientas de recolección, correlación de eventos e intervención remota en todos los sistemas del Banco.
  • Justificación de la planificación: Se trata de un llamado periódico, para la contratación de un servicio en el cual se detecten ataques a nuestra infraestructura
  • Justificación las especificaciones técnicas establecidas: las especificaciones técnicas fueron establecidas teniendo en cuenta que el Banco actualmente no cuenta con un servicio de alerta temprana ante eventos relacionados a la seguridad de la información.

Plan de entrega de los bienes

La entrega de los bienes se realizará de acuerdo con el plan de entrega y cronograma de cumplimiento, indicados en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicados a continuación:

No aplica. 

Ítem

Descripción del bien

Cantidad

Unidad de medida

Lugar de entrega de los bienes

Fecha(s) final(es) de entrega de los bienes

(Indicar el N°)

(Indicar la descripción de los bienes)

(Insertar la cantidad de bienes a proveer)

(Indicar la unidad de medida de los bienes

(Indicar el nombre del lugar)

(Indicar la(s) fecha(s) de entrega requerida(s)

 

 

 

 

 

 

 

Plan de entrega de los servicios

 

 

Descripción del Bien y/o Servicio

Cantidad

Unidad de Medida del Servicio

Lugar de prestación del Servicio

Ejecución de los Servicios

1

SERVICIO DE CENTRO DE OPERACIONES DE SEGURIDAD SOC

12

Meses

El servicio deberá realizarse en forma mixta, tanto en Banco Nacional de Fomento, sito en Gerencia Departamental de Administración de Seguridad TIC y en forma remota los días sábado, domingo o feriado desde el local del Proveedor

Los servicios de SOC estarán disponibles 30 días hábiles siguientes a la suscripción del contrato e instalación de las herramientas por parte del Proveedor en las oficinas de la Gerencia Departamental de Administración de Seguridad TIC

 

Obs.: plazo de vigencia 12 meses

Planos y diseños

Para la presente contratación se pone a disposición los siguientes planos o diseños:

No aplica

Embalajes y documentos

El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:

No aplica

Inspecciones y pruebas

Las inspecciones y pruebas serán como se indican a continuación:

No aplica

Indicadores de Cumplimiento

El documento requerido para acreditar el cumplimiento contractual será:

  • Serán presentados: 12 informes
  • Frecuencia:  mensual

Planificación de indicadores de cumplimiento:

INDICADOR

TIPO

FECHA DE PRESENTACIÓN PREVISTA (se indica la fecha que debe presentar según la carta de invitación)

Informe 1

Informe

Conforme al plan de entregas

Informe 2

Informe

Informe 3

Informe

Informe 4

Informe

Informe 5

Informe

Informe 6

Informe

Informe 7

Informe

Informe 8

Informe

Informe 9

Informe

Informe 10

Informe

Informe 11

Informe

Informe 12

Informe

 

De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.

Criterios de Adjudicación

La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.

1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.

2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.

3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad requerida, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.

En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.

 

 

Notificaciones

La comunicación de la adjudicación a los oferentes será como sigue:

1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.

2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.

3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.

4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.

5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.

Audiencia Informativa

Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.

La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.

La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.

La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.

Documentación requerida para la firma del contrato

Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.

 

 

1. Personas Físicas / Jurídicas

a) Certificado de no encontrarse en quiebra o en convocatoria de acreedores expedido por la Dirección General de Registros Públicos;

b) Certificado de no hallarse en interdicción judicial expedido por la Dirección General de Registros Públicos;
c) Constancia de no adeudar aporte obrero patronal expedida por el Instituto de Previsión Social;

d) Certificado laboral vigente expedido por la Dirección de Obrero Patronal dependiente del Viceministerio de Trabajo, siempre que el sujeto esté obligado a contar con el mismo, de conformidad a la reglamentación pertinente - CPS;

e) En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación.
f) Certificado de Cumplimiento Tributario vigente a la firma del contrato.

2. Documentos. Consorcios

a) Cada integrante del consorcio que sea una persona física o jurídica deberá presentar los documentos requeridos para oferentes individuales especificados en los apartados precedentes.

b) Original o fotocopia del consorcio constituido.

c) Documentos que acrediten las facultades del firmante del contrato para comprometer solidariamente al consorcio.

d) En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación.