El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.

Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.

1. El Jefe del Departamento de Tecnología Informática, Lic. Giancarlo González Britez solicita el llamado a Licitación Pública Nacional.

2. El presente pedido se encuentra previsto en el Programa Anual de Contrataciones (PAC) y obedece a la necesidad de poder contratar la Actualización de Licencias, Soporte y mantenimiento para Equipo de Control de Amenazas Centralizadas ( UTM SonicWall).

3. Se trata de un llamado sucesivo a fin de garantizar el servicio de Actualización de Licencias, Soporte  y Mantenimiento de Equipo de Control de Amenazas Centralizadas (UTM Sonicwall).

4. El objeto de las Especificaciones Técnicas Establecer las condiciones mínimas a ser cumplidas para la obtención de la actualización de licencias y soporte y mantenimiento preventivo y correctivo de los equipos de Control de Amenazas Centralizadas (UTM SONICWALL).

ESPECIFICACIONES TÉCNICAS - Nº: 070524

Actualización de Licencias, Soporte y mantenimiento para Equipo de Control de Amenazas Centralizadas (UTM SonicWall)

Objeto: Establecer las condiciones mínimas a ser cumplidas para la obtención de la actualización de licencias y soporte y mantenimiento preventivo y correctivo de los equipos de Control de Amenazas Centralizadas (UTM SONICWALL), bajo el fiel cumplimiento de lo establecido en la Planilla de Datos Garantizados que acompaña esta planilla de especificaciones técnicas.

De las especificaciones técnicas obligatorias: El proveedor deberá especificar concretamente en su propuesta para el objeto, servicios y soporte que atiendan obligatoriamente, las siguientes especificaciones técnicas. Además de completar la Planilla de Datos Garantizados que se provee.

Situación Actual: La institución cuenta con dos equipos Sonic Wall NSA los cuales operan en modalidad standalone conectados a proveedores de internet.

La institución tiene implementado ambos equipos en modalidad HA y pretende la actualización de las licencias que poseen los equipos, además de un servicio de soporte y mantenimiento que mejore la performance para hacer frente a los nuevos ciberataques en tiempo real.

1 - Licencias Solicitadas para SONICWALL:

1.1. Content Filtering:

Contar con un filtro de contenido integrado al NGFW para la clasificación de páginas web con al menos 55 (cincuenta y cinco) categorías diferentes, con mecanismo automático de actualización y consulta.

Soporte a Youtube en modo restringido

Ser capaz de forzar el uso del safe search en google y bing

Evitar el uso de URLs embebidas (por ejemplo Google Translate) para evadir el filtrado web

Soportar mecanismos de Autenticación: RADIUS, TACACS+, Active Directory, LDAP, base de datos interna, Reconocimiento transparente de usuario del LDAP, reconocimiento de usuarios presentes en Terminal services (Windows y Citrix) y usuarios locales

Reconocimiento transparente (sin validación adicional) de los usuarios ya autenticados a través de un RADIUS server usando información de RADIUS accounting.

Definición de cuota diaria, semanal o mensual de tiempo de conexión o de tráfico generado por cada usuario.

Filtrado de páginas web sobre usuarios que no estén dentro de la red a través de un cliente de filtrado web.

1.2. Capture Advanced Threat Protection:

El sistema deberá contar con tecnología de análisis de malware de códigos desconocidos en un sistema aislado (Sandbox) donde se ejecutará e inspeccionará el comportamiento del código.

El sistema Sandbox operará como un servicio basado en la nube sin necesidad de hardware adicional.

El sistema de Sandbox deberá contar con múltiples motores de detección para reducir las técnicas de evasión.

El sistema deberá usar al menos tres motores de Sandbox, incluyendo inspección en memoria en tiempo real.

El sistema deberá hacer un bloqueo del código que se está descargando hasta que se defina un veredicto.

Servicio online de detección de virus en la nube con capacidad de reconocimiento de más de 70 millones de amenazas el cual se puedan enviar muestras resumidas del tráfico para detectar códigos maliciosos.

Filtrado de conexiones a centros de control de Botnets basado en reputación de direcciones IP.

Controles de localización geográfica basados en la dirección IP de origen para hacer reglas de conexión por país bien sea de manera general o por reglas de firewall.

El sistema deberá analizar archivos ejecutables (PE), DLLs, PDFs, Archivos de Office, Comprimidos, JAR, APKs para múltiples sistemas operativos (Windows, Android, MAC OSX).

Implemente detección y bloqueo inmediato de malware que utilice un mecanismo de explotación en archivos en formato PDF, y la solución debe inspeccionar archivos PDF con hasta 10Mb.

El sandbox deberá permitir excepciones por tipo de archivos y por su resumen MD5.

La tecnología de máquinas virtuales debe soportar diferentes sistemas operativos, para permitir el análisis completo del comportamiento del malware o código malicioso sin utilizar firmas.

Soporte para envío manual de archivos para análisis a través del servicio Sandbox.

El sistema deberá contar con reportes sobre los archivos enviados a análisis y su veredicto, el reporte deberá incluir sistema operativo y detalles del archivo analizado.

1.3. Gateway Anti-Virus / Anti- Spyware:

Rendimiento de Gateway Antivirus de 8.0 Gbps o superior usando el modo de operación (Proxy o Flow) que brinda la máxima seguridad.

Analizar, tráfico entrante y saliente mínimo de los siguientes protocolos aplicativos:

HTTP, SMTP, IMAP, POP3, FTP, CIFS/NETBIOS, y esta debe estar completamente integrada a la administración del dispositivo appliance

Escaneo de virus o spyware sobre protocolos basados en stream TCP, como Mensajería Instantánea y P2P

Análisis antivirus sin limitación del tamaño del archivo transferido y sin que esto afecte la efectividad de la detección de amenazas.

El sistema antivirus deberá contar con la certificación Antivirus ICSA labs.

Actualizaciones automáticas con un intervalo mínimo de búsqueda de actualizaciones de 1 hora.

Para las amenazas de día cero, la solución debe tener la capacidad de prevenir el ataque antes de que se creen las firmas. Debe tener un módulo Anti-Virus y Anti-Bot integrado en el propio dispositivo de seguridad.

La solución debe contar con una nube de inteligencia propietaria del fabricante donde este se encarga de actualizar toda la base de seguridad de los dispositivos a través de firmas.

1.4. Application Firewall Service and networking:

La Cantidad Mínima de sub-interfaces VLANs será de 500

Enrutamiento basado en políticas para que el tráfico sea enrutado a las diferentes interfaces basado en el servicio, la direcciones IP de origen o de destino.

Enrutamiento basado en la aplicación, por ejemplo, Office 365 se encaminan por una interface de salida a internet mientras que YouTube se encamina por otra.

Enrutamiento basado en políticas basado en el Full Qualified Domain Name FQDN.

Equal Cost Multipath para balanceo de rutas a través de múltiples canales.

Tecnología SD-WAN para interconectar sedes remotas usando enlaces de internet de bajo costo pero con alta calidad de conexión.

Enrutamiento: BGP, OSPF, RIPv1/v2, rutas estáticas y Multicast.

Link aggregation tanto estático como dinámico.

Redundancia de puertos

Capacidad de realizar backups de la configuración automáticamente también respaldarlos en la nube.

Port Mirroring

(QoS) Garantizar comunicaciones críticas con 802.1p, etiquetado DSCP y reasignación de tráfico VoIP en la red.

Protección contra ataques DDoS / DoS.

Balanceo de carga de múltiples interfaces WAN utilizando los métodos Round Robin, Spillover o Percentage.

La cantidad mínima de conexiones que el sistema deberá soportar en modo firewall será de al menos 8 Millones.

Soportar 129 mil conexiones por segundo.

El Rendimiento mínimo de Firewall de 17 Gbps usando la metodología de medición basada en el RFC 2544.

Certificación ICSSA Labs para Firewall.

Certificación Common Criteria NDPP, Firewall e IPS.

Certificación FIPS 140-2.

Deberá soportar DNS Sinkhole.

Deberá soportar DNS Tunnel Detection.

1.5. Intrusion Prevention:

Rendimiento mínimo en IPS : 10 Gbps

Para proteger el entorno contra ataques, los dispositivos de protección deben contar con un módulo IPS integrado en el propio dispositivo firewall, con una consola de administración unificada y monitoreo de los dispositivos de seguridad, con soporte para al menos 3.000 firmas

Protección de ataques de inundación (flood) a nivel de UDP, ICMP y el conocido SYN Flood

Permitir al administrador ejecutar acciones sobre los eventos de IPS como bloquear el tráfico, registrar o capturar el tráfico generado por el ataque.

El IPS podrá inspeccionar el tráfico entre las zonas internas de la red

Deberá contar con mecanismos de antievasión

Filtro de bloqueo hacia centros de comando y control de botnets.

Filtro de bloqueo por localización geográfica granular por cada regla de firewall.

1.6. App Control:

El rendimiento mínimo del sistema de control de aplicaciones será de 10.5 Gbps

Identificar, categorizar, controlar y visualizar tráfico de más de 3600 aplicaciones agrupadas en al menos 25 Categorías.

Las aplicaciones se deben identificar independientemente del Stack o del puerto (TCP, UDP, etc.) que usen

Las políticas de control de aplicaciones se podrán hacer granular por dirección IP, usuario, grupos de usuarios locales o de LDAP/Active Directory y basado en horarios.

Creación de reglas de control de ancho de banda de las aplicaciones soportadas.

Reportar en tiempo real cuales de las aplicaciones soportadas están siendo usadas, que usuario o dirección IP lo está haciendo y cuánto tráfico está cursando.

1.7. DPI-SSL/TLS/SSH:

Inspección de Aplicaciones, IPS, antivirus y filtrado de páginas web sobre comunicaciones cifradas por TLS (Transport Layer Security) tales como HTTPS sin importar si opera sobre el puerto 443 u otro.

El sistema de inspección profunda de paquetes deberá funcionar bidireccionalmente.

El sistema de inspección profunda de paquetes deberá operar sin proxies para evitar problemas de latencia.

El Rendimiento en Inspección SSL será mínimo de 2 Gbps.

Inspección de tráfico cifrado sobre SSH.

Se podrán definir excepciones al tráfico cifrado por dominios o por categorías de páginas web.

Soportar conexiones DPI SSL hasta 450 mil.

1.8. High Availability:

Alta Disponibilidad (HA) entre 2 equipos R.

1.9. VPN SSL:

La cantidad mínima de túneles VPN Site to Site soportados será 6.000

El Mínimo Rendimiento de VPNs 3DES/AES será de 10 Gbps usando la metodología de medición basada en el RFC 2544.

El sistema contará con mínimo 2000 Licencias de cliente VPN para acceso remoto.

El sistema permitirá autenticación biométrica para las conexiones VPN.

1.10. Analytics Software:

Centro de Capturas de Seguridad (Capture Security Center).

Proporcionar un agente de informes de flujos para el análisis del tráfico de las aplicaciones y datos sobre el uso mediante protocolos IPFIX o NetFlow para ofrecer una supervisión en tiempo real e histórica. Ofrecer a los administradores una interfaz para supervisar visualmente su red en tiempo real. Identificar aplicaciones y páginas web con gran demanda de ancho de banda, visualizar el uso de las aplicaciones por usuarios y anticiparse a ataques y amenazas en la red.

Visor en tiempo real personalizable mediante funciones de arrastrar y soltar.

• Pantalla de informes en tiempo real con filtrado de un solo clic.

• Dashboard de los flujos principales con botones de "Visualizar por" de un solo clic.

• Pantalla de informes de flujos con cinco pestañas de atributos de flujos adicionales.

• Pantalla de análisis de flujos con potentes funciones de correlación y dinamización.

• Visor de sesiones para el desglose profundo de sesiones individuales y paquetes.

Análisis del tráfico de aplicaciones, visión del tráfico de aplicaciones, del uso del ancho de banda y de las amenazas de seguridad, prestaciones de análisis forenses y resolución de problemas.

(Dos)  2 - Cantidad de Licencias  - Para 1 (uno) equipo.

(Tres) 3 - Cantidad de Usuarios - 3000 (tres mil)

(Cuatro) 4 - Actualizaciones - (Tres) 3 años

5. Servicio de Soporte y Mantenimiento:

5.1. Instalación y configuración

5.2. Soporte y Garantía: Periodo: (Tres) 3 años.

Actualización de versiones. Soporte Técnico local, con técnicos certificados por 3 (tres) años en la modalidad 24 x 7 -  3 (tres) años.

5.3. Certificación del Fabricante: El proveedor deberá presentar la Autorización del fabricante para proveer el software y brindar soporte específico para la presente licitación.

5.4. Técnicos Certificados: El oferente deberá presentar con la oferta, al menos 2 (dos) certificados SonicWall Network Security Administrador (SNSA) vigente a la fecha de presentación de la oferta en la marca, que avale la formación.

Los técnicos deben formar parte del plantel de la empresa oferente, comprobable en IPS que avale la formación de un técnico de la empresa. 

Ítem	Descripción del Servicio	Especificaciones Técnicas y Normas
1	Actualización de Licencias, Soporte  y Mantenimiento de Equipo de Control de Amenazas Centralizadas (UTM Sonicwall)	EE.TT. N° 070524

 

Para los procedimientos de Menor Cuantía, este tipo de procedimiento de contratación estará preferentemente reservado a las MIPYMES, de conformidad al artículo 34 inc b) de la Ley N° 7021/22 ‘’De Suministro y Contrataciones Públicas". Son consideradas Mipymes las unidades económicas que, según la dimensión en que organicen el trabajo y el capital, se encuentren dentro de las categorías establecidas en el Artículo 5° de la Ley N° 4457/2012 ‘’PARA LAS MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS’’, y se ocupen del trabajo artesanal, industrial, agroindustrial, agropecuario, forestal, comercial o de servicio

Ítem	Nombre del Servicio	Cantidad de meses	Unidad de Medida de los Servicios	Lugar donde los servicios serán prestados	Plazo(s) final(es) de  Ejecución de los  Servicios
1.	Actualización de Licencias, Soporte  y Mantenimiento de Equipo de Control de Amenazas Centralizadas (UTM Sonicwall)	36	Mes	Sede Central de ANDE en Asunción, situada sobre Avda. España N°1268 y Padre Cardozo 5° Piso, Dpto. de Tecnología Informática	Los siete (7) días de la semana durante las veinticuatro (24) horas, durante treinta y seis (36) meses, contados a partir suscripción del contrato (*)

Los servicios deberán ejecutarse según indique la Unidad que Administra el Contrato. 

El Proveedor deberá cumplir el servicio de acuerdo a lo establecido en las Especificaciones Técnicas.

No aplica

ANDE - LPN 1831-2024 Asunción - Paraguay.

Las inspecciones y pruebas se realizarán conforme a lo indicado en las Especificaciones Técnicas, si los mismos se ajustan a las características generales y técnicas consignadas en las Especificaciones Técnicas de la Convocante.

El Proveedor acepta que ni la realización de pruebas o inspecciones de los Bienes o de parte de ellos, ni la presencia de la Contratante o de su representante, ni la emisión de informes de resultados de pruebas, lo eximirán de las garantías u otras obligaciones en virtud del Contrato.

Garantizar que los fondos obtenidos de una licitación pública no sean destinados a fines ilícitos y Observar y Respetar el Código de Ética Institucional de la Administración Nacional de Electricidad (ANDE), publicado en www.ande.gov.py.

Inspecciones de la Contratante:

Una vez que el Proveedor haya cumplido con lo establecido en el Plan de Entregas en el lugar indicado en el mismo, se procederá a una inspección y verificación de los bienes y/o servicios, con los documentos pertinentes.

Documentos de Recepción Informe Técnico Mensual y Recepción Definitiva:

La Contratante, a través de la Unidad Administradora del Contrato, verificará que los bienes entregados y/o servicios ejecutados, se hayan ajustado a las Especificaciones Técnicas y demás documentos contractuales, para proceder a la emisión del Informe Técnico Mensual de la prestación de servicio, a pedido del Proveedor o de oficio, dentro de los treinta (30) días calendario siguientes a la entrega efectuada de conformidad al Plan de Entregas del Contrato o sus eventuales prórrogas autorizadas por la Contratante.

Una vez finiquitado la prestación del servicio, la Unidad Administradora del Contrato, efectuará las comprobaciones de que el Proveedor ha cumplido satisfactoriamente con todo lo previsto en los documentos del contrato y emitirá dentro de los siguientes treinta (30) días calendario, el Acta de Recepción Definitiva.

La emisión del Acta de Recepción Definitiva significará el cumplimiento por parte del Proveedor de sus obligaciones contractuales, y le dará derecho a solicitar la cancelación de la Garantía de Cumplimiento del Contrato.

En caso que el Proveedor incurra en atrasos en la entrega de los bienes y/o servicios y le fuere aplicada la multa correspondiente en el Acta de Recepción Definitiva se dejará constancia de ello.

INDICADOR	TIPO	FECHA DE PRESENTACIÓN PREVISTA
Informe Técnico Mensual de Prestación de Servicio	Informe Técnico Mensual de Prestación de Servicio	Conforme al Plan de Entrega y a las Inspecciones y Pruebas indicados en el Pliego de Bases y Condiciones de la Sección Suministros Requeridos - Especificaciones Técnicas.
Acta de Recepción Definitiva	Acta de Recepción Definitiva	Conforme a las Inspecciones y Pruebas indicados en el Pliego de Bases y Condiciones de la Sección Suministros Requeridos - Especificaciones Técnicas y a las Conforme a las Condiciones Contractuales.