Adenda

Las modificaciones al presente procedimiento de contratación son los indicados a continuación:

ADENDA PBC VERSIÓN 2 LPN N° 25/2025

Con relación a la LICITACIÓN PÚBLICA NACIONAL N° 25/2025 - SERVICIOS DE CIBERSEGURIDAD Y GESTIÓN TECNOLÓGICA - ID N° 464256, cumplimos en informar las siguientes modificaciones para la presente convocatoria:

Punto 1

El título ESPECIFICACIONES TÉCNICAS del apartado Detalle de los bienes y/o servicios de la Sección SUMINISTROS REQUERIDOS - ESPECIFICACIONES TÉCNICAS del PBC, en lo que respecta a los Lotes N° 2 y 3, queda redactado de la siguiente forma:

LOTE N° 2 - SERVICIO DE MONITOREO AVANZADO DE PROTECCIÓN DE MARCA Y AMENAZAS CIBERNÉTICAS

El objetivo de este ítem es incorporar un servicio de protección de la marca BCP Banco Central del Paraguay, que incluya: detección y mitigación de abusos de marca, phishing y actividades fraudulentas en donde la marca BCP sea mencionada (Aplicaciones, Foros, Sitios Web falsos publicados en la deep y dark web), procesos de takedown para eliminar información fraudulenta, protección de ejecutivos (Personal Superior del BCP) en entornos web y redes sociales a ser provisto a través de una plataforma.

A continuación, se detallan las especificaciones técnicas y los requisitos funcionales, de desempeño, seguridad y compatibilidad que deberá cumplir el servicio ofrecido:

Requisito	Detalle de las definiciones exigidas
Generalidades	La protección deberá contemplar al menos un dominio principal y al menos 20 subdominios.
	Cobertura de Fuentes: Monitoreo 24/7 de surface, deep y dark web.
	Plataforma SaaS como soporte al Monitoreo, disponible 24/7/365.
	Dashboards Personalizables con widgets que permitan filtros por criticidad y plantillas de informes.
	API REST y Webhooks: Endpoints para extracción de datos y notificaciones en tiempo real.
	Monitoreo y detección automatizada de dominios y/o subdominio del BCP.
	Detección de campañas Phishing que incluya la marca BCP y ejecutivos.
	Supervisión en Redes Sociales de cuentas falsas (LinkedIn, YouTube, Facebook, X, Instagram, entre otras), menciones en deep y dark web, foros maliciosos y otros tipos de sitios fraudulentos para la marca BCP.
	Monitoreo de Ejecutivos del BCP en Redes Sociales (LinkedIn, YouTube, Facebook, X, Instagram, entre otras), menciones en deep y dark web, foros maliciosos y otros tipos de sitios fraudulentos. Se requiere como mínimo el monitoreo de 10 (diez) ejecutivos.

	Modelos Adaptativos: Entrenamiento continuo con nuevas amenazas, credenciales expuestas y TTPs.
	Takedowns, eliminación de contenido malicioso en sitios fraudulentos como: deep y dark web, foros maliciosos y otros tipos de sitios. El proceso de takedown deberá contar con una aprobación manual para su posterior ejecución.
	Gestión granular de acceso a la plataforma mediante roles y permisos (RBAC)
	Reportes programables: Envío automático de informes diarios, semanales o bajo demanda.
	La plataforma debe soportar varios idiomas, el idioma requerido es el español y el deseable inglés. Además, debe contar con un diseño adaptativo (responsive).
	Conectividad con SIEM/SOAR: Ingesta de eventos en tiempo real vía syslog, API o conectores nativos.
Takedown	Soporte para email, APIs de hosting, redes sociales y marketplaces.
	Gestión de Casos: Ticketing integrado con historial, notas y escalamiento automático.
	Logs y Auditoría: Registros detallados para cumplimiento y revisión forense.
	Se requiere como mínimo 10 (diez) takedowns por todo el periodo de prestación del servicio.
Protección de Ejecutivos del BCP	Detección de Exposición de ejecutivos del BCP: Escaneo de documentos, foros y paste sites para datos personales.
	Alertas en Tiempo Real: Notificaciones push, email o SMS configurables por ejecutivo.
	Dashboard Personalizado: Vista dedicada por ejecutivo con información relevante sobre los casos reportados.
Soporte Técnico del Servicio	Los profesionales del proveedor asignados al servicio deberán trabajar en conjunto con el área correspondiente de GTIC para realizar las definiciones y configuraciones correspondientes en la solución (plataformas, herramientas y otros).
	El proveedor deberá contemplar la capacitación a funcionarios técnicos (como mínimo 4 funcionarios a ser designados por el administrador del contrato) de la solución utilizada para el servicio, la cual debe ser dictada por personal certificado en la solución y con una duración mínima de 20 horas. Además, el proveedor debe brindar acceso a las documentaciones de la solución.
	El servicio debe contemplar el soporte, monitoreo, configuraciones y adecuaciones de la solución utilizada para este servicio en el BCP; orientados a una modalidad de servicios gestionados, pudiendo desarrollarse el mismo on-site y/o remoto. Este servicio debe contar con el acompañamiento del proveedor y el fabricante en todo momento.

LOTE N° 3 - SERVICIO DE ASESORÍA TÉCNICA PARA LA GESTIÓN TECNOLÓGICA

Actualmente, la Gerencia de Tecnología de la Información y Comunicaciones (GTIC) tiene implementada la Gestión de Servicios de TI (IT Service Management) que se traduce en la Mesa de servicios para las asistencias tecnológicas que esta dependencia dispone para sus usuarios, tanto internos como externos del Banco Central del Paraguay (BCP). La misma cuenta con un esquema de atención de Nivel 1, que corresponde con el único punto de contacto en donde se reciben las solicitudes, reclamos, incidentes, etc. A su vez, dispone de un Nivel 2 de especialización que brinda un soporte avanzado a las áreas de desarrollo, infraestructura, redes, sistemas operativos y bases de datos.

Las prácticas ya implementadas con las herramientas de gestión de servicios ITSM de forma externa a los usuarios mediante el InvGate Service Desk y de forma interna para los equipos de TI mediante el Jira Services Manager que se encuentran vigentes.

Mediante el InvGate Service Desk la Mesa de Servicio provee:

Service Desk para los usuarios.
Catálogo de servicios de los usuarios.
Gestión de solicitudes de los usuarios.
Gestión de incidentes de los usuarios.

A su vez, la Mesa de servicios de TI demanda también otro tipo de servicios, tales como instalaciones, redes, cambios, entrega de equipos y otros requerimientos en el ámbito de la tecnología de la información.

Mediante Jira Services (Jira Software, Atlassian Access, Confluence, GitLab for Jira Cloud y Jira Service Management Cloud Premium (con Gestión de Activos)

Gestión de Proyectos de TI
Gestión de identidades y accesos para las herramientas Jira.
Gestión del conocimiento (Knowledge Management)
Integración continua y entrega continua (CI/CD)
Colaboración DevOps (DevOps Collaboration)
Gestión de activos y configuración (Asset & Configuration Management)
Gestión de problemas (Problem Management)

Adicionalmente la GTIC maneja y administra variados tipos de proyectos relacionado con la tecnología, incluyendo el nivel de operaciones y el desarrollo de sistemas; siendo una necesidad contar con la plataforma tecnológica de Jira Software que brinda la trazabilidad y ordenamiento de los proyectos, el desarrollo de software con su correspondiente ciclo de Integración Continua/Entrega Continua, enfoque que permite a los equipos de desarrollo producir software de alta calidad de manera más rápida y consistente.

El objetivo del servicio es ofrecer asesoría técnica para la continuidad de la Gestión de Servicios de TI, de tal manera a buscar la madurez en la gestión incorporando otras prácticas basadas en ITIL, tales como Gestión de cambios, Gestión de eventos, Gestión de Problemas, Gestión de Activos, Base de conocimiento; las mismas se llevarán adelante utilizando las plataformas existentes y en producción en el BCP, InvGate Service Desk y Jira Software.

Del mismo modo, incorporar la gestión de proyectos para mejorar la interacción entre los equipos de desarrollo de software y operaciones basado en el modelo Agile/DevOps.

Las acciones debidamente definidas y estructuradas permitirán por un lado mejorar el desempeño de las áreas de soporte brindado por la GTIC y por el otro potenciar y ordenar la interacción de los equipos de trabajo en el manejo de proyectos y desarrollo de software.

Las acciones definidas deberán alinearse a las buenas prácticas de ITIL V4 y metodologías agiles.

El servicio de gestión propuesto deberá cumplir con las siguientes características:

Requisito	Detalle de las definiciones exigidas
3.1	Se deben establecer los procesos y procedimientos de gestión de servicios basados en buenas prácticas del marco ITIL V4.
3.2	Se deben definir los procesos y procedimientos que incluyan/abarquen el catálogo de servicios de TIC, la gestión de solicitudes, gestión de incidentes y problemas, gestión de cambios y del conocimiento.
3.3	Se deben diseñar, desarrollar, implementar y mantener la mesa de servicios TIC (Tecnología de la Información y Comunicaciones) conforme a la oferta del catálogo de servicios TIC y la gestión integral de los mismos, de conformidad a las buenas prácticas reconocidas en la materia, contemplando como mínimo el marco ITIL V4.
3.4	El servicio ofrecido debe contemplar las normativas vigentes del BCP relacionadas a gestión de tecnología, seguridad y riesgos operativos.
3.5	El servicio ofrecido debe integrarse a los procesos actualmente aprobados y a los niveles de escalamiento existentes en la GTIC o, en su defecto, se debe prever la actualización de estos según corresponda.
3.6	Se debe definir la estructura de servicios de TIC y los roles, responsabilidades y áreas de soporte a implementar según se requiera.
3.7	El servicio debe incluir el relevamiento y rediseño de los procesos y procedimientos de gestión existentes, según sea necesario, estableciendo los flujos más adecuados para cada escenario contemplado. Se deben contemplar tanto los servicios a usuarios internos del BCP como a clientes externos, mayormente Entidades Financieras y Aseguradoras.
3.8	El servicio debe incluir el relevamiento y diagnóstico de los procesos y procedimientos actuales de la Mesa de servicios y el entendimiento de su funcionamiento actual, sus fortalezas y debilidades.
3.9	El servicio incluirá la definición y configuración de la estructura de la Mesa de Servicios TIC, la determinación completa del catálogo de servicios TIC, la determinación de los procesos y procedimientos ya mencionados, cuyos flujos serán definidos en la herramienta provista al efecto. Estas definiciones comprenderán los agentes/analistas, áreas, nivel de escalamiento y acuerdos de nivel de servicio.
3.10	El servicio debe implementar los procesos y procedimientos identificados en la herramienta InvGate Service Desk, y se debe capacitar a los agentes/analistas en su uso. Los servicios implementados deben poseer toda la documentación debidamente desarrollada, a conformidad de la GTIC.
3.11	El servicio debe incluir e implementar tableros e indicadores de desempeño de la Mesa de Servicios TIC, conforme a las necesidades de control y monitoreo de la GTIC.
3.12	El servicio debe incluir la definición y configuración de nuevos flujos de servicios de la Mesa de Servicios TIC, conforme a las necesidades que surjan por nuevas implementaciones o innovaciones de TIC.
3.13	El servicio debe incluir la suscripción a una solución/plataforma para la Gestión de proyectos; la cual se debe integrar de forma nativa a la herramienta InvGate Service Desk de tal manera a tener la visibilidad de los proyectos asociados con las solicitudes a nivel de gestión de servicios.
3.14	El servicio debe contemplar hasta 40 horas mensuales para soporte, monitoreo, configuraciones y adecuaciones de las herramientas utilizadas para este servicio en el BCP; orientados a una modalidad de servicios gestionados, pudiendo desarrollarse el mismo on-site y/o remoto.
3.15	Las suscripciones para las licencias de tipo agente/analista del InvGate Service Desk deberán ser válidas por un periodo de 24 meses, a partir del día siguiente de la finalización del periodo de licencia anterior, sin interrupción en la prestación del servicio.
3.16	El servicio debe incluir la capacitación a los agentes/analistas en el marco de la Mesa de Servicios TIC implementada, así como su operativa y administración relacionada.
3.17	Los procesos deben ser implementados sobre la plataforma InvGate Service Desk, dada la dependencia tecnológica de esta herramienta ya adquirida por el BCP, aprovechando todas sus funcionalidades, alertas, avisos, reglas de negocio, acuerdos de nivel de servicio (ANS o SLA por sus siglas en inglés).
3.18	El Proveedor deberá contemplar la suscripción de 51 (cincuenta y una) licencias de tipo agente/analista, en la nube para la herramienta InvGate Service Desk, a ser utilizadas en el marco de la ejecución del servicio.
3.19	Manuales e instructivos asociados a la Mesa de Servicios TIC implementada, así como documentación de flujos desarrollados en la herramienta InvGate Service Desk deberán ser entregados a la GTIC.
3.20	El Proveedor deberá contemplar la suscripción de la herramienta Jira Software Premium para al menos 50 (cincuenta) licencias de la herramienta de gestión de proyectos utilizada actualmente en el BCP, utilizadas actualmente en el marco de la ejecución del servicio, que permite incorporar un trabajo ordenado, trazable y metodológico entre las áreas de operaciones y desarrollo de software. Además, se deberán contemplar las licencias de Confluence que es el repositorio de contenido tipo base de conocimiento actualmente utilizado en el BCP, que permite llevar registro de las documentaciones relativas a los proyectos. Las mismas deberán ser válidas por un periodo de 24 meses, a partir del día siguiente de la finalización del periodo de licencia anterior, sin interrupción en la prestación del servicio.
3.21	El Proveedor deberá contemplar además la suscripción de la herramienta Jira Service Management de al menos 25 licencias utilizadas actualmente en el BCP para la gestión de activos de TI, para un máximo de 50.000 (cincuenta mil) activos por sitio y con capacidades de crecimiento de otras funcionalidades y/o módulos a futuro, a ser utilizadas en el marco de la ejecución del servicio. Las mismas deberán ser válidas por un periodo de 24 meses, a partir del día siguiente de la finalización del periodo de licencia anterior, sin interrupción en la prestación del servicio.
3.22	Debe integrarse con plataformas de comunicación empresarial como Microsoft Teams, Mattermost, Slack, Outlook.
3.23	Debe permitir la integración con LDAP y/o Active Directory para la autenticación y la gestión de usuarios y grupos.
3.24	El servicio gestionado contempla una etapa de implementación de nuevas prácticas de ITSM sobre la herramienta InvGate Service Desk y Jira Services Manager, utilizados en diferentes contextos en el BCP, que se complementan y permiten elevar el nivel de madurez y el valor de la gestión de servicios, proyectos y documentación de TI, así como también el acompañamiento para la implementación de prácticas modernas. Finalizada la misma, se contempla hasta 40 horas mensuales para la continuidad operativa y mejora continua.
3.25	Los profesionales del Proveedor asignados al servicio trabajarán en conjunto con el área correspondiente de GTIC para realizar las definiciones y configuraciones correspondientes en las herramientas.
3.26	El Proveedor deberá contemplar la capacitación a funcionarios técnicos de la solución utilizada para el servicio, la cual debe ser dictada por personal certificado en la solución.

Formato del Curriculum Vitae de cada personal interviniente que el Oferente deberá presentar con su oferta:

Datos Personales	Requerimientos	Documentación de respaldo
Nombre(s)	Especificar
Apellido(s)	Especificar
Fecha de Nacimiento	Especificar
N° de documento de identidad	Especificar	Adjuntar fotocopia simple de C.I.
Certificaciones	Exigido	Adjuntar la fotocopia simple de los documentos que acrediten las certificaciones.
ITIL v4	Para al menos dos miembros del equipo técnico responsable
Herramienta InvGate Service Desk	Para al menos dos miembros del equipo técnico responsable
Metodología de proyectos ágiles (Especificar)	Para al menos un miembro del equipo técnico responsable
Herramienta para gestión de proyectos: Jira	Para al menos un miembro del equipo técnico responsable
Experiencia Profesional	Exigido (al menos una referencia certificada para cada miembro del equipo técnico responsable)	Adjuntar fotocopia simple de referencias satisfactorias emitidas por un tercero, formalizadas por documentos que contengan la debida identificación y suscripción del emisor, complementadas con tickets de servicio y/o actas de conformidad de servicio y/o correos electrónicos y/o informes técnicos, que indiquen la experiencia profesional de los trabajos realizados con al menos una de las herramientas mencionadas.
Lugar de trabajo	Especificar
Periodo	Especificar
Trabajo realizado	Especificar

Punto 2

Se modifican las fechas establecidas en el SICP.

Atentamente.

Se detectaron modificaciones en las siguientes cláusulas:

Sección: Suministros requeridos - especificaciones técnicas

Detalle de los bienes y/o servicios

Se puede realizar una comparación de esta versión del pliego con la versión anterior en el siguiente enlace: https://www.contrataciones.gov.py/licitaciones/convocatoria/464256-lpn-n-25-2025-servicios-ciberseguridad-gestion-tecnologica/pliego/2/diferencias/1.html?seccion=adenda

La adenda es el documento emitido por la convocante, mediante la cual se modifican aspectos establecidos en las bases de la contratación. A los efectos legales, la adenda será considerada parte integrante del documento cuyo contenido modifique.

La convocante podrá introducir modificaciones cuando se ajuste a los parámetros establecidos en la Ley.

Las adendas serán difundidas en el SICP respetando los plazos establecidos en la resolución matriz de normas.

Obs: Cuando la convocante requiera prorrogar la fecha tope de presentación y apertura de ofertas, sin modificar los demás datos e información de las bases de la contratación, será difundida automáticamente a través del SICP y no se instrumentará a traves de adenda.