Consulta:

En el Pliego de Bases y Condiciones, en la sección de Suministros Requeridos – Especificaciones Técnicas – Ítem 11 (Adecuación del Sistema de Seguridad de Red Perimetral), se establece la necesidad de agregar un equipo adicional para alcanzar la redundancia en la seguridad perimetral del Datacenter Principal. Observamos, sin embargo, que el Pliego requiere una cantidad total de tres (3) unidades.

Con el objetivo de optimizar tanto la inversión como la eficiencia operativa, sugerimos que la Convocante considere especificar equipos de mayor rendimiento para la seguridad perimetral, lo cual permitiría alcanzar la redundancia y los niveles de seguridad requeridos con un menor número de unidades. Esto aportaría beneficios en términos de eficiencia económica y simplificación de la infraestructura, reduciendo así la complejidad operativa y los costos de mantenimiento.

Adicionalmente, se solicita a la Convocante revisar el requerimiento de que “los equipos ofertados deberán ser idénticos al equipo existente en la institución en sus componentes de hardware y software”, ya que este criterio representa un direccionamiento hacia una marca o modelo específico, limitando la igualdad de participación entre los oferentes y restringiendo la competencia sin una justificación técnica suficiente. Teniendo en cuenta principalmente que este no es llamado de excepción por dependencia tecnológica, por lo que no existe el argumento técnico suficiente para sustentar este requisito.

Argumentación Técnica: La redundancia en la seguridad perimetral de un Datacenter puede lograrse efectivamente mediante el uso de equipos de alta capacidad de procesamiento y rendimiento, especialmente si están diseñados para manejar picos de tráfico y proteger contra amenazas avanzadas. El requerimiento de tres unidades idénticas puede ser técnicamente innecesario si se especifican equipos de mayor performance, los cuales permitirían cubrir las necesidades de seguridad y redundancia con una infraestructura menos compleja y más fácil de gestionar. Esto no solo reduce costos de adquisición y mantenimiento, sino que también simplifica la gestión operativa del Datacenter, manteniendo al mismo tiempo altos estándares de seguridad.

Argumentación Legal: De acuerdo con el artículo 45 de la Ley N° 7021/2022 de Suministro y Contrataciones Públicas, los pliegos de bases y condiciones deben evitar requisitos que sin justificación técnica suficiente limiten la participación o direccionen el proceso hacia una marca o modelo específico, salvo que existan necesidades técnicas probadas. La exigencia de equipos “idénticos” puede interpretarse como una restricción de competencia que infringe el principio de igualdad de participación. Proponemos que se flexibilicen estos términos para permitir la inclusión de alternativas técnicamente equivalentes que cumplan con los requisitos de rendimiento y redundancia, asegurando así una mayor participación y competitividad en el proceso de selección.

Consulta:

En el Pliego de Bases y Condiciones, en la sección de Suministros Requeridos – Especificaciones Técnicas – Grupo 1 y 2 - Ítem 11 (Adecuación del Sistema de Seguridad de Red Perimetral), se establece que los equipos deben contar con al menos catorce (14) interfaces 1GE RJ45. Solicitamos a la Convocante reconsiderar este requisito, y aceptar equipos con al menos seis (6) puertos o interfaces de 1GE RJ45, dado que la misión principal de estos equipos es la protección de borde del Datacenter.
La configuración estándar en este tipo de sistemas de seguridad perimetral suele implicar la conexión con el Core del Datacenter, utilizando enlaces de mayor capacidad (como 10GE o superiores) para asegurar el rendimiento y capacidad de tráfico necesarios. La cantidad de catorce interfaces 1GE RJ45 puede ser excesiva y no esencial para la funcionalidad requerida, lo que podría restringir la participación de oferentes que dispongan de equipos equivalentes y compatibles con la arquitectura de red del Datacenter, pero con menor cantidad de interfaces de 1GE RJ45.
Además, solicitamos a la Convocante revisar la exigencia de que “los equipos ofertados deberán ser idénticos al equipo existente en sus componentes de hardware y software”, ya que este requisito podría limitar injustificadamente la competencia al direccionar la adquisición hacia una marca o modelo específico, afectando el principio de igualdad de condiciones entre oferentes.
Argumentación Técnica: Para la protección perimetral de un Datacenter, el uso de múltiples interfaces de alta capacidad (1GE o superiores) es comúnmente requerido solo en sistemas donde el tráfico distribuido o segmentado es vital. Sin embargo, en configuraciones estándares de borde, los enlaces de alta capacidad, como 10GE, suelen ser preferidos para la conectividad principal al Core del Datacenter, mientras que el uso de múltiples interfaces de 1GE puede no aportar valor adicional al rendimiento o seguridad de la red. Al permitir un menor número de interfaces 1GE RJ45, la Convocante facilitaría la participación de equipos de especificaciones equivalentes y de alto rendimiento que cumplan con los requerimientos sin comprometer la operatividad o seguridad del sistema.
Argumentación Legal: Según el artículo 45 de la Ley N° 7021/2022 de Suministro y Contrataciones Públicas, los pliegos de bases y condiciones deben evitar especificaciones excesivamente restrictivas, especialmente cuando no son técnicamente indispensables. La exigencia de equipos “idénticos” en hardware y software puede interpretarse como un posible direccionamiento que restringe la competencia sin justificación técnica suficiente. Flexibilizar estos términos permitiría una mayor variedad de equipos que cumplan con las exigencias de seguridad y rendimiento, fomentando la participación en condiciones de igualdad, como lo establece la normativa.

Consulta:

En el Pliego de Bases y Condiciones, específicamente en el apartado de Suministros Requeridos – Especificaciones Técnicas – Grupo 1 y 2 - Ítem 11 (Adecuación del Sistema de Seguridad de Red Perimetral), se establece que el oferente debe demostrar la capacidad de brindar soporte técnico local en Paraguay durante el periodo de garantía. Este requisito incluye la presentación de certificados de capacitación técnica de al menos dos técnicos en áreas específicas (seguridad, servidores, switches, routers, y software de virtualización). Dichos técnicos deben ser parte del plantel permanente del oferente o contar con la posibilidad de ser subcontratados.
No obstante, observamos que el requisito no define con claridad los aspectos técnicos específicos relacionados con la capacidad de instalación y configuración del equipo ofertado, lo cual es fundamental para asegurar la operatividad efectiva del sistema de seguridad de red perimetral en el entorno institucional. Solicitamos respetuosamente a la Convocante que especifique con mayor detalle los criterios de experiencia y competencia necesarios para la instalación y configuración del equipo, asegurando así que los técnicos certificados cuenten con la experiencia práctica y conocimientos especializados que garanticen el cumplimiento efectivo de los objetivos del proyecto.
Argumentación Técnica: La configuración e instalación adecuada de un sistema de seguridad de red perimetral exige habilidades avanzadas y específicas en administración de redes y seguridad informática, así como en la integración de dispositivos en infraestructuras críticas. Sin una claridad técnica en los requisitos de experiencia y competencia para la instalación y configuración, existe un riesgo de que el servicio contratado no cumpla con los estándares de operatividad y seguridad deseados. Detallar estos requisitos evitaría interpretaciones ambiguas, permitiendo que los oferentes demuestren una capacidad técnica probada, especialmente en la puesta en marcha y soporte de equipos complejos como firewalls, sistemas de enrutamiento y virtualización.
Argumentación Legal: Conforme al artículo 45 de la Ley N° 7021/2022 de Suministro y Contrataciones Públicas, los pliegos deben evitar requisitos vagos que puedan limitar o direccionar la participación sin justificación técnica, garantizando igualdad en el proceso de contratación. Además, el artículo 121 de la Ley N° 7021/2022 establece que las contrataciones deben permitir la participación en condiciones de igualdad para todos los oferentes. Por lo tanto, detallar los requisitos específicos sobre la capacidad técnica en instalación y configuración asegura no solo la competencia justa, sino que respalda la calidad del servicio y los resultados esperados, alineándose con los principios de igualdad y transparencia establecidos en la ley.

Consulta:

En el Pliego de Bases y Condiciones, específicamente en la sección de Suministros Requeridos – Especificaciones Técnicas – Grupo 1 y 2 - Ítem 11 (Adecuación del Sistema de Seguridad de Red Perimetral), se solicita un MTBF (Mean Time Between Failures) de 120,000 horas para los equipos. Solicitamos respetuosamente que la Convocante considere aceptar equipos con un MTBF mínimo de 80,000 horas, lo cual representaría aproximadamente diez años de vida útil operativa.
Este período coincide con los ciclos habituales de avance tecnológico en seguridad de redes, que demandan renovaciones en el rendimiento y en las funcionalidades para adaptarse a nuevas exigencias de seguridad. Una especificación de MTBF más flexible permitiría la participación de equipos de alta calidad y rendimiento, alineados con los ciclos de actualización tecnológica sin comprometer la funcionalidad o fiabilidad del sistema de seguridad.
Adicionalmente, solicitamos a la Convocante revisar la exigencia de que “los equipos ofertados deberán ser idénticos al equipo existente en la institución en sus componentes de hardware y software”. Este requerimiento podría interpretarse como una limitación a la competencia al orientar la compra hacia una marca o modelo específico, restringiendo la igualdad de participación entre los oferentes sin una justificación técnica suficiente.
Argumentación Técnica: Un MTBF de 80,000 horas (cerca de diez años) representa un estándar robusto y adecuado en términos de vida útil para los sistemas de seguridad de red, especialmente considerando el ritmo de avance tecnológico en este sector. Equipos con MTBF de este nivel ofrecen un rendimiento confiable y pueden ser actualizados con nuevas funcionalidades y mejoras de rendimiento, permitiendo que la infraestructura se mantenga alineada con los desarrollos y necesidades actuales de seguridad. La especificación de un MTBF de 120,000 horas podría resultar excesiva y excluir alternativas tecnológicas igualmente válidas, que podrían adaptarse mejor a un entorno de rápida evolución tecnológica.
Argumentación Legal: De acuerdo con el artículo 45 de la Ley N° 7021/2022, de Suministro y Contrataciones Públicas, los pliegos de bases y condiciones deben evitar requisitos técnicos excesivamente restrictivos, en especial aquellos que puedan limitar la competencia sin una justificación técnica clara. Además, exigir que los equipos “sean idénticos en hardware y software” podría interpretarse como un direccionamiento hacia una marca o modelo específicos, lo que contraviene el principio de igualdad de participación establecido en la ley. Permitir un MTBF de 80,000 horas y flexibilizar el requerimiento de "identicidad" en hardware y software facilitaría la participación de más proveedores, fomentando la competitividad en igualdad de condiciones.

Consulta:

En el Pliego de Bases y Condiciones, en la sección de Suministros Requeridos – Especificaciones Técnicas – Grupo 1 y 2 - Ítem 11 (Adecuación del Sistema de Seguridad de Red Perimetral), se especifica que la solución de VPN debe soportar integración con protocolos de autenticación tales como LDAP, RADIUS, ACE Management Servers (SecurID), y certificados de cliente autenticados por autoridades de certificación confiables (CAs). Solicitamos respetuosamente a la Convocante que considere establecer como opcional la integración con el protocolo RSA ACE o SecurID, y permita en su lugar opciones alternativas como OAuth2 Server, PICC 4A Server, entre otros.
Esto facilitaría una mayor participación de proveedores que ofrezcan soluciones de VPN igualmente eficientes y adaptadas al contexto operativo, sin estar limitados a un solo protocolo específico. De este modo, se ampliaría la gama de soluciones disponibles, garantizando la interoperabilidad y el cumplimiento de los requisitos de seguridad.
Argumentación Técnica: La interoperabilidad en sistemas de seguridad de red es un elemento clave para lograr una infraestructura de autenticación robusta y escalable. Protocolos como OAuth2, ampliamente utilizados en entornos modernos, pueden ofrecer el mismo nivel de seguridad y eficiencia que RSA ACE o SecurID, asegurando así la autenticación segura de los usuarios sin depender de un solo tipo de tecnología. La flexibilidad en la selección de protocolos de autenticación permite adaptar la solución a diferentes arquitecturas de red y maximizar la compatibilidad con el equipamiento actual y futuro, asegurando que la infraestructura de VPN pueda integrar una variedad de opciones de autenticación sin pérdida de calidad o seguridad.
Argumentación Legal: El artículo 45 de la Ley N° 7021/2022, de Suministro y Contrataciones Públicas, estipula que los pliegos de bases y condiciones deben evitar requisitos restrictivos que limiten la competencia sin justificación técnica. La exigencia de soporte exclusivo para protocolos como RSA ACE o SecurID puede ser interpretada como un direccionamiento hacia una tecnología o marca específica, lo cual restringe la participación de oferentes con soluciones tecnológicamente equivalentes. Flexibilizar este requerimiento permitiría la participación de una mayor diversidad de proveedores y opciones tecnológicas, promoviendo la igualdad de condiciones y fomentando una competencia efectiva, tal como establece la normativa.

Consulta:

En el Pliego de Bases y Condiciones, específicamente en Suministros Requeridos – Especificaciones Técnicas – Grupo 1 y 2 - Ítem 11 (Adecuación del Sistema de Seguridad de Red Perimetral), se establece que la solución de VPN debe integrar los siguientes protocolos de autenticación: LDAP, RADIUS, ACE Management Servers (SecurID), y certificados de cliente autenticados por autoridades de certificación confiables (CAs). Solicitamos a la Convocante considerar hacer opcional el soporte de integración con el protocolo RSA ACE o SecurID y, en su lugar, incluir como requisito el soporte para protocolos de autenticación ampliamente utilizados, tales como TACACS+.
La inclusión de TACACS+, un protocolo de autenticación ampliamente difundido y compatible con múltiples sistemas de seguridad, permitiría a los oferentes proporcionar una solución de VPN igualmente robusta, sin limitar la competencia a opciones específicas de autenticación. Esto ampliaría la posibilidad de participación y facilitaría la integración de soluciones eficientes y adecuadas a las necesidades de seguridad de la red institucional.
Argumentación Técnica: La interoperabilidad en los protocolos de autenticación de VPN es esencial para garantizar que los sistemas de seguridad de red se integren eficazmente con la infraestructura tecnológica existente. TACACS+ es un protocolo estándar ampliamente compatible, especialmente en entornos donde es necesaria la autenticación centralizada y la gestión de acceso de usuarios en la red. Su inclusión como requisito técnico garantiza una flexibilidad y adaptabilidad óptimas, ya que este protocolo es igualmente eficaz en la protección de la red perimetral y asegura el cumplimiento de los niveles de seguridad exigidos. El soporte para RSA ACE o SecurID puede limitar la competitividad, ya que son soluciones de autenticación propietarias, mientras que TACACS+ permite una mayor variedad de opciones en el mercado sin comprometer los estándares de seguridad.
Argumentación Legal: Conforme al artículo 45 de la Ley N° 7021/2022, de Suministro y Contrataciones Públicas, los pliegos deben evitar especificaciones restrictivas o direccionamientos que limiten la participación de los oferentes sin razones técnicas claras. La exigencia de protocolos de autenticación específicos, como RSA ACE o SecurID, podría interpretarse como un posible direccionamiento hacia tecnologías propietarias que restringen la igualdad de participación. Establecer el soporte para TACACS+ como requisito y dejar opcionales los protocolos RSA ACE o SecurID ampliaría la competencia y se alinearía con el principio de igualdad de condiciones en la contratación pública, facilitando una oferta de productos equivalentes técnicamente y promoviendo la transparencia en el proceso.

Consulta:

En el Pliego de Bases y Condiciones, en la sección de Suministros Requeridos – Especificaciones Técnicas – Grupo 1 y 2 - Ítem 11 (Adecuación del Sistema de Seguridad de Red Perimetral), se solicita que la solución soporte autenticación mediante certificado IKE PKI. Solicitamos respetuosamente a la Convocante que se especifique el tipo de autenticación específica que debe soportar la solución solicitada, aclarando si se requiere un tipo particular de implementación de IKE PKI o algún formato específico de certificado para asegurar la compatibilidad y la adecuación de las propuestas.

Esta solicitud de especificación adicional es importante para que los oferentes comprendan con precisión los requerimientos técnicos y puedan presentar propuestas alineadas con las expectativas y necesidades específicas de seguridad de la institución. Una mayor claridad en los detalles de autenticación evitará interpretaciones ambiguas que puedan afectar la igualdad de condiciones y asegurar una evaluación justa de las ofertas.

Argumentación Técnica: La autenticación mediante certificados IKE PKI (Internet Key Exchange Public Key Infrastructure) puede implementarse de varias formas y con distintos tipos de certificados, dependiendo de los protocolos de seguridad de red utilizados y los requisitos específicos de interoperabilidad y compatibilidad. Es fundamental para los oferentes conocer el tipo específico de autenticación y los formatos de certificados que se esperan (por ejemplo, certificados X.509, PKCS#12) para garantizar la funcionalidad de la solución en el contexto de seguridad de red perimetral de la institución. Sin esta precisión, existe el riesgo de que se presenten soluciones que no cumplan con las necesidades de autenticación, lo que podría afectar la seguridad y operatividad de la infraestructura de red.

Argumentación Legal: Conforme al artículo 45 de la Ley N° 7021/2022, de Suministro y Contrataciones Públicas, las especificaciones en los pliegos de bases y condiciones deben ser claras y detalladas para evitar interpretaciones ambiguas que puedan limitar la participación o afectar la equidad en la evaluación de ofertas. La falta de precisión en el tipo de autenticación mediante IKE PKI podría ser interpretada como una restricción innecesaria, que impide a los oferentes preparar propuestas adecuadas y compite con el principio de igualdad de participación. Al proporcionar una mayor claridad sobre los requisitos de autenticación, la Convocante fomenta una competencia justa y equitativa, respetando los principios de transparencia y competencia efectiva en el proceso de contratación pública.

Consulta:

En las Especificaciones Técnicas del Pliego de Bases y Condiciones, se establece que el firewall deberá contar con una función de resolución de direcciones vía DNS, para que las conexiones hacia dominios maliciosos sean resueltas por el firewall como direcciones IPv4 e IPv6 previamente definidas. Solicitamos respetuosamente a la Convocante que aclare este requisito, en particular el alcance y los parámetros específicos de la función de resolución DNS solicitada.
Esta aclaración es fundamental para entender si el firewall debe integrar características adicionales de control de DNS, tales como listas de bloqueo específicas, actualización automática de listas de dominios maliciosos, o si debe resolver a direcciones particulares de manera personalizada. Esta precisión permitiría a los oferentes ajustar sus propuestas a los requisitos exactos de seguridad deseados, facilitando así una evaluación clara y equitativa de las ofertas.
Argumentación Técnica:
La funcionalidad de resolución DNS en un firewall puede implicar una variedad de configuraciones y niveles de protección. Dependiendo de los objetivos específicos de seguridad, el firewall puede requerir integración con bases de datos de amenazas en tiempo real o configurarse para interceptar solicitudes DNS y redirigirlas hacia direcciones IP predeterminadas. Sin una especificación clara sobre el alcance y los parámetros de la función de resolución DNS, los oferentes pueden interpretar el requerimiento de diferentes maneras, lo cual podría llevar a variaciones significativas en las propuestas, afectando la comparabilidad y la alineación con los objetivos de seguridad del sistema.
Argumentación Legal:
El artículo 45 de la Ley N° 7021/2022, de Suministro y Contrataciones Públicas, establece que los pliegos de bases y condiciones deben evitar ambigüedades y brindar una claridad técnica que permita a los oferentes comprender completamente los requisitos para preparar sus propuestas. La falta de precisión en este requerimiento puede interpretarse como una limitación que afecta la igualdad de participación, al no asegurar que todos los oferentes tengan la misma comprensión de los requisitos de seguridad. Proporcionar una aclaración detallada sobre esta funcionalidad fomentará una competencia justa y equitativa, alineada con los principios de transparencia y accesibilidad en el proceso de contratación pública.

Consulta:

En las Especificaciones Técnicas del Pliego de Bases y Condiciones se solicita que los equipos ofertados cuenten con la capacidad de enviar logs para sistemas de monitoreo externos, comúnmente denominados SIEM (Security Information and Event Management), de manera simultánea. Solicitamos respetuosamente a la Convocante que aclare este requisito, especificando los parámetros técnicos necesarios para asegurar la compatibilidad y funcionalidad en el envío de logs hacia plataformas SIEM.
Específicamente, solicitamos que se detalle si los equipos deben contar con capacidades específicas, tales como soporte para múltiples destinos de log, protocolos de transmisión de logs (por ejemplo, Syslog, HTTPS, etc.), formatos de log estándar (CEF, LEEF, JSON), y si se espera que el envío a los sistemas SIEM ocurra en tiempo real o bajo configuraciones específicas de intervalo de envío. Esta precisión permitiría a los oferentes ajustar sus propuestas a los requerimientos de monitoreo y seguridad necesarios, favoreciendo una evaluación técnica justa y precisa.
Argumentación Técnica: La integración de equipos de red con sistemas SIEM para la transmisión de logs puede implicar diversos niveles de configuración y compatibilidad, dependiendo de los protocolos, formatos y configuraciones de envío requeridos. Las especificaciones técnicas de estos elementos son esenciales para asegurar que los equipos ofrezcan un flujo de datos en tiempo real y compatible con la infraestructura de monitoreo externo. Sin claridad en estos detalles, los oferentes pueden interpretar el requisito de distintas maneras, generando inconsistencias en las propuestas que afecten tanto la capacidad de los equipos como la comparabilidad entre ofertas.
Argumentación Legal: El artículo 45 de la Ley N° 7021/2022, de Suministro y Contrataciones Públicas, establece que las especificaciones en los pliegos de bases y condiciones deben ser claras y detalladas para evitar ambigüedades que afecten la igualdad de condiciones entre los oferentes. La falta de precisión en este requisito puede interpretarse como una limitación, al no asegurar que todos los oferentes comprendan por igual los parámetros técnicos de envío de logs para sistemas SIEM. Proporcionar detalles específicos sobre este requisito técnico garantiza una competencia justa y equitativa, respetando los principios de transparencia y accesibilidad en el proceso de contratación pública.

Consulta:

Pliego de Bases y Condiciones/SUMINISTROS REQUERIDOS – ESPECIFICACIONES TÉCNICAS/ Grupo 1y 2 - ITEM 11. Adecuación del Sistema de Seguridad de Red Perimetral/ se solicita lo siguiente:
“Autenticación vía certificado IKE PKI”
Se solicita a la Convocante pueda especificar qué tipo de autenticación debería soportar la solución requerida. Se vuelve a hacer este pedido esto considerando que en la consulta anterior, la respuesta fue esquiva, ignorando la ley de contrataciones de igualdad de participación entre todos los oferentes