Suministros y Especificaciones técnicas

Esta sección constituye el detalle de los bienes y/o servicios con sus respectivas especificaciones técnicas - EETT, de manera clara y precisa para que el oferente elabore su oferta. Salvo aquellas EETT de productos ya determinados por plantillas aprobadas por la DNCP.

El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.

Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y convenios modificatorios.

El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.

Identificación de la unidad solicitante y justificaciones

En este apartado la convocante deberá indicar los siguientes datos:

  • Identificar el nombre, cargo y la dependencia de la Institución de quien solicita el llamado a ser publicado:

El presente llamado a ser publicado ha sido solicitado por: el Departamento de Ciberseguridad, dependiente de la Gerencia de Tecnología de la Información y Comunicaciones (GTIC), del Banco Central del Paraguay, de acuerdo a las necesidades de la Institución y con aprobación de la máxima autoridad. El funcionario responsable del área requirente según Dictamen Técnico: Luis Fernando Vera (en carácter de Director del Departamento de Ciberseguridad).

  • Justificar la necesidad que se pretende satisfacer mediante la contratación a ser realizada: 

LOTE 1 - SERVICIO DE TEST DE PENETRACIÓN Y REVISIÓN DE SEGURIDAD FÍSICA Y LÓGICA DEL BCP:

El Banco Central del Paraguay (BCP) cuenta con múltiples sistemas y equipos informáticos, algunos de ellos de misión crítica tales como el SIPAP (Sistemas de Pago del Paraguay), el SPI (Sistemas de Pagos Instantáneos), SWIFT, SEOG, SML, GRP, entre otros; los cuales requieren que se garanticen la disponibilidad, confidencialidad e integridad de la información procesada y almacenada en su infraestructura tecnológica y se encuentran protegidos por algunas leyes vigentes. En este concepto es necesario que la seguridad de todos estos sistemas y servicios tecnológicos sean verificados y certificados por un tercero independiente que cuente con profesionales especializados y certificados para el efecto. El BCP, como proveedor de los sistemas anteriormente mencionados, debe garantizar a sus clientes (instituciones financieras y entes estatales) el compromiso asumido de que su información está segura.

LOTE N° 2 - SERVICIO DE SEGURIDAD DE LA INFORMACIÓN:

El BCP debe hacer frente a múltiples amenazas de ciberseguridad, tanto externas como ataques de hackers, software malicioso y otros tipos malwares, como internas, tales como pérdida o fuga de información, ingresos no autorizados a sistemas o errores de los propios funcionarios, sean o no malintencionados.

Por otro lado, constantemente el BCP tiene la necesidad de poner en producción nuevos servicios y tecnologías, o revisar y publicar nuevas normativas teniendo en cuenta la importancia de la información que genera y administra, siempre con el fin de satisfacer requerimientos de seguridad internos y/o de sus clientes.

  • Justificar la planificación:

Con relación a la planificación, se indica que: se trata de un llamado periódico, sucesivo ya que la necesidad es continua.

  • Justificar las especificaciones técnicas establecidas:

Las especificaciones técnicas establecidas se justifican en: las necesidades actuales de la Institución, en su infraestructura. Las especificaciones técnicas de esta convocatoria están diseñadas, para cubrir necesidades relacionadas con el cumplimiento desde el Departamento de Ciberseguridad con los estándares en materia de ciberseguridad reconocidos internacionalmente.

Especificaciones Técnicas "CPS"

Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:

El propósito de la Especificaciones Técnicas (EETT), es el de definir las características técnicas de los bienes que la convocante requiere. La convocante preparará las EETT detalladas teniendo en cuenta que:

-      Las EETT sirven de referencia para verificar el cumplimiento técnico de las ofertas y posteriormente evaluarlas. Por lo tanto, unas EETT bien definidas facilitarán a los oferentes la preparación de ofertas que se ajusten a los documentos de licitación, y a la convocante el examen, evaluación y comparación de las ofertas.

-      En las EETT se deberá estipular que todos los bienes o materiales que se incorporen en los bienes deberán ser nuevos, sin uso y del modelo más reciente o actual, y que contendrán todos los perfeccionamientos recientes en materia de diseño y materiales, a menos que en el contrato se disponga otra cosa.

-      En las EETT se utilizarán las mejores prácticas. Ejemplos de especificaciones de adquisiciones similares satisfactorias en el mismo sector podrán proporcionar bases concretas para redactar las EETT.

-      Las EETT deberán ser lo suficientemente amplias para evitar restricciones relativas a manufactura, materiales, y equipo generalmente utilizados en la fabricación de bienes similares.

-      Las normas de calidad del equipo, materiales y manufactura especificadas en los Documentos de Licitación no deberán ser restrictivas. Se deberán evitar referencias a marcas, números de catálogos u otros detalles que limiten los materiales o artículos a un fabricante en particular. Cuando sean inevitables dichas descripciones, siempre deberá estar seguida de expresiones tales como “o sustancialmente equivalente” u “o por lo menos equivalente”, remitiendo la aclaración respectiva.  Cuando en las ET se haga referencia a otras normas o códigos de práctica particulares, éstos solo serán aceptables si a continuación de los mismos se agrega un enunciado indicando otras normas emitidas por autoridades reconocidas que aseguren que la calidad sea por lo menos sustancialmente igual.

-      Asimismo, respecto de los tipos conocidos de materiales, artefactos o equipos, cuando únicamente puedan ser caracterizados total o parcialmente mediante nomenclatura, simbología, signos distintivos no universales o marcas, únicamente se hará a manera de referencia, procurando que la alusión se adecue a estándares internacionales comúnmente aceptados.

 

-      Las EETT   deberán describir detalladamente los siguientes requisitos con respecto a por lo menos lo siguiente:

(a)      Normas de calidad de los materiales y manufactura para la producción y fabricación de los bienes.

(b)      Lista detallada de las pruebas requeridas (tipo y número).

(c)       Otro trabajo adicional y/o servicios requeridos para lograr la entrega o el cumplimiento total.

(d)      Actividades detalladas que deberá cumplir el proveedor, y consiguiente participación de la convocante.

(e)      Lista detallada de avales de funcionamiento cubiertas por la garantía, y las especificaciones de las multas aplicables en caso de que dichos avales no se cumplan.

-              Las EETT deberán especificar todas las características y requisitos técnicos esenciales y de funcionamiento, incluyendo los valores máximos o mínimos aceptables o garantizados, según corresponda.  Cuando sea necesario, la convocante deberá incluir un formulario específico adicional de oferta (como un Anexo a la de Oferta), donde el oferente proporcionará la información detallada de dichas características técnicas o de funcionamiento con relación a los valores aceptables o garantizados.

Cuando la convocante requiera que el oferente proporcione en su oferta datos sobre una parte de o todas las Especificaciones Técnicas, cronogramas técnicos, u otra información técnica, la convocante deberá detallar la información requerida y la forma en que deberá ser presentada por el oferente en su oferta.

Si se debe proporcionar un resumen de las EETT, la convocante deberá insertar la información en la tabla siguiente. El oferente preparará un cuadro similar para documentar el cumplimiento con los requerimientos.

Detalle de los bienes y/o servicios

Los bienes y/o servicios deberán cumplir con las siguientes especificaciones técnicas y normas:

GENERALIDADES

  • PORCENTAJE DE LA GARANTÍA DE MANTENIMIENTO DE OFERTA

El porcentaje indicado en el SICP para la Garantía de Mantenimiento de Oferta es del 5% cinco por ciento.

  • RESPONSABILIDADES GENERALES DEL PROVEEDOR:
  1. El Proveedor deberá suministrar todos los bienes o servicios de acuerdo con las condiciones establecidas en el pliego de bases y condiciones y sus adendas, así como en el Contrato y sus adendas.
  2. El Proveedor será responsable de cualquier indemnización por daños causados en el marco de la ejecución del contrato por él o su personal a los funcionarios y/o a terceros, y/o a los bienes de éstos, y/o a los bienes o instalaciones o imagen reputacional de la Contratante; por causas imputables al mismo.
  3. Responder por todo incumplimiento o consecuencia imputable al mismo, derivados de la incorrecta o incompleta ejecución de lo contratado.
  4. Contratar y mantener el personal calificado necesario para la realización de los servicios requeridos. Cumplir con todas las leyes laborales y de Seguridad Social vigentes. Asumir todos los riesgos en los términos del Código del Trabajo vigente, liberando al BCP de cualquier responsabilidad al respecto.
  5. Cumplir con todas las medidas de seguridad que se requieran respecto a su personal, a fin de evitar accidentes de trabajo durante la ejecución contractual.
  6. El Proveedor deberá indemnizar y eximir de cualquier responsabilidad a la contratante y a sus empleados y funcionarios, por cualquier litigio, acción legal o procedimiento administrativo, reclamación, demanda, pérdida, daño, costo y gasto cualquiera sea su naturaleza, incluidos los honorarios y gastos de representación legal, en los cuales pueda incurrir la contratante como resultado de riesgos profesionales o muerte de los empleados del Proveedor, sea reclamado por el trabajador o sus causahabientes durante la vigencia del contrato. Como riesgos profesionales se entenderán los accidentes de trabajo y enfermedades profesionales. Se considerarán igualmente accidentes del trabajo los hechos constituidos por caso fortuito o fuerza mayor inherentes al trabajo que produzcan las mismas lesiones.
  • CONFIDENCIALIDAD DE LA INFORMACIÓN

De acuerdo a lo indicado en la Sección Especificaciones técnicas y Suministros Requeridos, el personal del  Proveedor deberá firmar un Compromiso de Confidencialidad de la Información en los términos del Formulario de la Sección Formularios del PBC.

 

MODALIDAD DE LA CONTRATACIÓN

CONTRATO ABIERTO POR MONTO

LOTE N° 1: SERVICIO DE TEST DE PENETRACIÓN Y REVISIÓN DE SEGURIDAD FÍSICA Y LÓGICA DEL BCP

                            MONTO MÁXIMO: G. 400.000.000.-

                            MONTO MÍNIMO: G. 200.000.000.-

LOTE N° 2 - SERVICIO DE SEGURIDAD DE LA INFORMACIÓN

                            MONTO MÁXIMO: G. 200.000.000.-

                            MONTO MÍNIMO: G. 100.000.000.-

 

ESPECIFICACIONES TÉCNICAS

LOTE N° 1 - SERVICIO DE TEST DE PENETRACIÓN Y REVISIÓN DE SEGURIDAD FÍSICA Y LÓGICA DEL BCP

Servicio de Test de Intrusión, Pruebas de Denegación de Servicios, Red Team y Ejercicios de Crisis Cibernética del BCP

INTRODUCCIÓN

En vista a la importancia que tiene la seguridad de la información para toda organización y al hecho de que el fortalecimiento de la seguridad es un proceso dinámico y constante, el Banco Central del Paraguay (en adelante BCP) ha dispuesto la contratación de los servicios profesionales especializados en dicha materia.

Como fuera mencionado más arriba, asegurar las infraestructuras tecnológicas implica el desarrollo de actividades en forma constante y sistemática, y abarcan aspectos normativos, de procedimientos, de personas, tecnológicos, entre otros. Por otra parte, estos procesos deben acompañar de manera cercana y flexible a todo el ciclo de vida de los elementos a asegurar, lo cual incluye naturalmente contar con profesionales con la debida capacitación y formación en seguridad de la información.

Tomando en cuenta lo mencionado, es que el BCP solicita la prestación de servicios de seguridad de la información en la modalidad de Servicio bajo demanda, en formato remoto y on-site, para lo cual cada requerimiento del BCP será aprobado y ejecutado por separado, en base al esfuerzo en horas para la ejecución del trabajo, teniendo en cuenta el costo por hora ofertado en la presente licitación.

Será el Departamento de Ciberseguridad (en adelante DCS) del BCP, el área encargada de la administración y control del servicio prestado. El DCS nombrará a un supervisor (de aquí en adelante El Supervisor) que actuará como contraparte para todas las relaciones con el Proveedor.

GENERALIDADES

Dependiendo de cada actividad y necesidad del BCP, los servicios deberán prestarse en el Banco Central del Paraguay, sito en Av. Federación Rusa y Augusto Roa Bastos o de manera remota.

Si bien cada personal del Proveedor deberá disponer de sus propias herramientas de trabajo (notebook, acceso a internet, útiles de oficina, etc.), en el caso de que el servicio se realice en las instalaciones del BCP, este pondrá a disposición del personal un servicio limitado de conexión a Internet y un escritorio para el desarrollo de sus actividades.

La infraestructura tecnológica del BCP distribuida entre el sitio primario y secundario, está compuesta de la siguiente manera (lista referencial, no limitativa):

Servidores: +400 (cuatrocientos)

Routers de red: +10 (diez)

Switches de capa 3: +6 (seis)

Switches de capa 2: +30 (treinta)

Bases de datos: +20 (veinte)

Firewalls de red: +15 (quince)

Escritorios y móviles: +1200 (mil doscientos)

Appliances: +50 (cincuenta)

METODOLOGÍA DE TRABAJO Y FACTURACIÓN

Con base en las necesidades del BCP, El Supervisor solicitará al Proveedor la realización de algún determinado servicio, definiendo las actividades del trabajo a realizar. Con base a esta solicitud, el Proveedor deberá remitir al Supervisor una descripción del servicio a ser efectuado, con sus respectivos entregables, además de la estimación en horas del mismo. En el caso de que la propuesta sea aceptada, el Proveedor deberá ejecutar el trabajo de acuerdo con el detalle remitido en la cantidad de horas aprobadas y con base en los delineamientos del Supervisor. Todo el servicio será controlado por El Supervisor o por quien éste designe.

Para todos los proyectos o servicios solicitados el proveedor deberá asignar una persona del plantel presentado para cada lote, que deberá realizar el trabajo de manera presencial y servir de nexo para con el resto del plantel.

El Proveedor podrá presentar las facturas por los servicios autorizados y aprobados únicamente cuando estos hayan finalizado totalmente y los mismos cuenten con la total conformidad por parte del Supervisor. Solo podrán ser facturadas las horas que efectivamente hayan sido utilizadas en la ejecución del servicio y que se encuentren debidamente respaldadas por órdenes de servicio u otra documentación equivalente, y en ningún caso podrá facturarse por encima de las horas aprobadas. En ningún caso el Proveedor podrá transferir los costos de viáticos, traslado, o similares al BCP, siendo posible únicamente la facturación con base en las horas demandadas para el servicio en cuestión.

REQUERIMIENTOS GENERALES PARA EL LOTE N° 1

Ante la solicitud de servicios para el Lote N° 1, el plantel técnico del Proveedor deberá determinar las vulnerabilidades, amenazas y/o riesgos de ciberseguridad a los cuales se encuentran expuestos las aplicaciones, la infraestructura tecnológica, los procesos y procedimientos del BCP, además de las posibles mejoras que puedan ser implementadas.

Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones del BCP, para cualquiera de sus sitios de procesamiento. Es requerido que las pruebas en cuestión incluyan necesariamente pruebas manuales, además de la utilización de herramientas automatizadas.

Se requerirá indicar la postura de seguridad, en 5 (cinco) valores posibles (ej.: Muy Alto, Alto, Medio, Bajo, Muy Bajo), de cualquiera de estos elementos que sean objeto de estas pruebas y la implementación de las mejoras propuestas.

El Proveedor deberá ofrecer un tiempo de respuesta no mayor a 48 (cuarenta y ocho) horas hábiles tras haber sido aceptada la propuesta técnica para la ejecución del servicio.

El plantel técnico deberá detallar qué metodología(s) utilizará para cada uno de los servicios solicitados. La metodología seleccionada deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología deberá basarse en OTP (OWASP).

Dependiendo de cada caso, el Proveedor deberá proveer los informes que correspondan, a solicitud y entera conformidad del Supervisor. Estos pudieran ser:

    1. Descripción detallada de la(s) metodología(s) a utilizar durante el servicio.
    2. Plan de trabajo a desarrollar.
    3. Lista detallada de todos los servicios, aplicaciones y equipos evaluados.
    4. Detalle cronológico de cada procedimiento realizado.
    5. Lista y detalle técnico de los hallazgos identificados en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones.
    6. Resultados del análisis de tráfico.
    7. Documentos de certificación del estado de la seguridad, para cualquier momento dado y para cualquier elemento.
    8. Normas, políticas o demás documentación relevante.
    9. Ordenes de servicio y demás documentaciones que acrediten el tiempo total de horas utilizadas en la realización del servicio.
    10. Resumen ejecutivo.
    11. Otros informes que El Supervisor solicite.

El Proveedor podrá facilitar cualquier otro informe o documentación final que considere oportuno, con base a las metodologías utilizadas, conclusiones y/o sugerencias técnicas.

El Proveedor debe simular todos los ataques que sean convenientes según el tipo de objetivo a testar, en coordinación y aprobación con El Supervisor. Entre ellos se mencionan algunos de los más importantes (lista referencial, no limitativa):

Ingeniería Social / Phishing

Inyección SQL

Man-in-the-middle

Ataques de monitorización y autenticación

XSS (Cross-site scripting)

Brute-force

DoS / DDoS

Zerodays

Buffer Overflow

Smurf / MAC Spoofing

DHCP spoofing

DNS hijacking / pharming

Escaneo y Cracking de paquetes y contraseñas

ARP Cache Poisoning

VLAN Hopping

IP Redirections

Session Hijacking

Session Replay

DHCP and DNS Weaknesses

Advanced Attacks

Protocol Fuzzing

APT (Advance Persisten Threat)

Lateral Movement

Ejercicios de Redteam

Para las pruebas de intrusión externa o servicio remoto, el plantel técnico deberá disponer de su propia conexión que tenga acceso a la nube pública de internet, quedando a exclusivo cargo del Proveedor cualquier gasto o responsabilidad asociada al uso de la misma. El horario de realización de estas pruebas será acordado y coordinado con el Supervisor.

Para las pruebas de intrusión interna o servicios on-site, el BCP proveerá el ambiente desde el cual deberá realizar las pruebas, quedando a cargo del plantel técnico todo gasto de movilidad que sea necesario. El horario de los trabajos será acordado y coordinado con el Supervisor.

Para todos los proyectos o servicios solicitados el proveedor deberá asignar una persona del plantel presentado para este lote, que deberá realizar el trabajo de manera presencial o servir de nexo para con el resto del plantel.

Para la estimación de las horas de servicio, el oferente deberá adecuarse a los siguientes tipos de servicio:

  1. Alcance Tipo 1: Este servicio se corresponde con aquellos test de intrusión que, ya sea por el tipo de servicio a ejecutar, la cantidad de módulos (direcciones IP, campos, páginas web, usuarios, o similar) a testear, o el nivel de complejidad de los test a ejecutar, serán considerados como de Alcance Bajo, para los cuales podrán ser estimados hasta 40 horas de servicio. Se corresponde con las siguientes características:
    1. Tipo de servicio: Pentest Infraestructura, aplicaciones web o de escritorio internas.
    2. Modalidad: Grey box, White box.
    3. Cantidad de módulos: Hasta 20 unidades.
    4. Complejidad: Baja y Media.
  2. Alcance Tipo 2: Este servicio se corresponde con aquellos test de intrusión que, ya sea por el tipo de servicio a ejecutar, la cantidad de módulos (direcciones IP, campos, páginas web, usuarios o similar) a testear, o el nivel de complejidad de los test a ejecutar, serán considerados como de Alcance Intermedio, para los cuales podrán ser estimados entre 40 y 60 horas de servicio.
    1. Tipo de servicio: Pentest Infraestructura, aplicaciones web, móviles o de escritorio (internas y externas), intrusión física, análisis de tráfico de red.
    2. Modalidad: Grey box, White box, Black box.
    3. Cantidad de módulos: Hasta 30 unidades.
    4. Complejidad: Baja y Media.
  3. Alcance Tipo 3: Este servicio se corresponde con aquellos test de intrusión que, ya sea por el tipo de servicio a ejecutar, la cantidad de módulos (direcciones IP, campos, páginas web, o similar) a testear, o el nivel de complejidad de los test a ejecutar, serán considerados como de Alcance Alto, para los cuales podrán ser estimados entre 60 y 80 horas de servicio.
    1. Tipo de servicio: Pentest Infraestructura, aplicaciones web, móviles o de escritorio (internas y externas), ingeniería social, intrusión física, análisis de tráfico de red, ejercicios de redteam.
    2. Modalidad: Grey box, White box, Black box.
    3. Cantidad de módulos: Hasta 40 unidades.
    4. Complejidad: Baja, Media y Alta.
  4. Alcance Tipo 4: Este servicio se corresponde con aquellos test de intrusión que, ya sea por el tipo de servicio a ejecutar, la cantidad de módulos (direcciones IP, campos, o similar) a testear, o el nivel de complejidad de los test a ejecutar, serán considerados como de Alcance Muy Alto, para los cuales podrán ser estimados más de 80 horas de servicio.
    1. Tipo de servicio: Pentest Infraestructura, aplicaciones web, móviles o de escritorio (internas y externas), ingeniería social, intrusión física, análisis de tráfico de red, ejercicios de redteam, ejercicios de crisis.
    2. Modalidad: Grey box, White box, Black box.
    3. Cantidad de módulos: Más de 40 unidades.
    4. Complejidad: Baja, Media y Alta.
  5. Recertificación: Este servicio se corresponde con aquellos test de intrusión que tienen como objetivo revalidar los hallazgos y vulnerabilidades detectados en un servicio de Pentest anterior. Para el efecto, deberán estimarse en atención al siguiente detalle:
    1. Alcance Tipo 1: Hasta 12 horas
    2. Alcance Tipo 2: Hasta 18 horas
    3. Alcance Tipo 3: Hasta 24 horas
    4. Alcance Tipo 4: Hasta el 30% de las horas estimadas en el pentest inicial.

La estimación de horas en ningún caso podrá incluir el tiempo dedicado a la preparación de los informes. El tiempo dedicado a la preparación de informes queda a exclusiva responsabilidad y cargo del oferente.

ESPECIFICACIONES TÉCNICAS DE LOS SERVICIOS SOLICITADOS EN LOS LOTES N° 1 Y 2

En este apartado se describen las especificaciones técnicas relativas a la prestación de los servicios de seguridad de la información requeridos y demás información pertinente. Cada oferta deberá indicar el cumplimiento, entendimiento y aceptación de cada aspecto definido a continuación bajo el formato de Cumple/ No Cumple

Se requiere la provisión de servicios especializados en seguridad de la información, que incorporen metodologías reconocidas y aceptadas internacionalmente, de acuerdo con las buenas prácticas y estándares de seguridad de la información.

A continuación, se describen los requerimientos para cada Lote, cuya/s planilla/s deberá/n ser completada/s, firmada/s y presentada/s por el Oferente en su oferta:

PLANILLA DE REQUERIMIENTOS DEL LOTE N° 1: SERVICIO DE TEST DE INTRUSIÓN, PRUEBAS DE DENEGACIÓN DE SERVICIOS, RED TEAM Y EJERCICIOS DE CRISIS CIBERNÉTICA DEL BCP

CARACTERISTICA

DESCRIPCION

REQUERIDO

1. Servicios Requeridos
  1. Pruebas de intrusión internas: el Proveedor debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica del BCP, desde distintos escenarios, hacia y desde cualquiera de sus sitios de procesamiento. Las modalidades podrán ser del tipo White Box, Grey Box o Black Box.

Exigido
  1. Pruebas de intrusión externas: el Proveedor debe ser capaz de realizar pruebas de intrusión a toda la infraestructura tecnológica del BCP desde el exterior, es decir, desde Internet. Para cada caso se proveerán las direcciones IP públicas a través de las cuales se realizarán los test de intrusión. Las modalidades podrán ser del tipo White Box, Grey Box o Black Box.

Exigido
  1. Pruebas de intrusión a las aplicaciones Web y móviles: el Proveedor debe ser capaz de realizar pruebas de intrusión a las aplicaciones web y móviles del BCP, aplicando metodologías reconocidas internacionalmente, como el OWASP o similares. Para estos casos, el BCP proveerá el entorno desde el cual se realizarán las pruebas. Tipo White Box, Grey Box o Black Box.

Exigido
  1. Pruebas de intrusión a las aplicaciones de escritorio: el Proveedor debe ser capaz de realizar pruebas de intrusión a las aplicaciones de escritorio del BCP, sean estas adquiridas de terceros o de propio desarrollo del BCP. Para estos casos, el BCP proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box, Grey Box o Black Box.

Exigido
  1. Análisis de tráfico de red: el Proveedor debe ser capaz de realizar el análisis del tráfico de la red corporativa, cableada e inalámbrica, con el objeto de evaluar anomalías, ataques, tipo de cifrado de datos, entre otros. Para estos casos, el BCP proveerá el entorno tecnológico desde el cual se realizarán las pruebas. Tipo White Box, Grey Box o Black Box.

Exigido
  1. Pruebas de intrusión físicas: el Proveedor debe ser capaz de realizar pruebas de intrusión física en las instalaciones y sitios de procesamiento de información del BCP, en cualquiera de sus edificios. Para estos casos, el BCP proveerá el entorno necesario desde el cual se realizarán las pruebas. Tipo White Box, Grey Box o Black Box.

Exigido
  1. Pruebas de intrusión del tipo Ingeniería Social/Phishing: el Proveedor debe ser capaz de realizar pruebas de intrusión del tipo Ingeniería Social/Phishing o similares, sean estos en forma remota o presencial, en las instalaciones y sitios de procesamiento de información del BCP, en cualquiera de sus edificios. Para estos casos, el BCP indicará el entorno necesario desde el cual se realizarán las pruebas. Queda bajo exclusiva responsabilidad del oferente la provisión de cualquier complemento, herramienta o tecnología que puedan ser requeridos para la ejecución de las pruebas, o para validar su grado de éxito.

Exigido
  1. Servicio de Soporte para la aplicación de mejoras de seguridad: el Proveedor debe ser capaz de realizar evaluaciones del nivel de seguridad de cualquier elemento, proceso o sistema del BCP, tanto desde el punto de vista de ciberseguridad como de la identificación, análisis y gestión de riesgos, proponiendo mejoras a estos, y de realizar las implementaciones de las mejoras que sean requeridas, de acuerdo con el caso. Dependiendo de la gravedad del requerimiento, el BCP podrá solicitar asistencia inmediata por parte del Proveedor.

Exigido
  1. Servicio de ejercicios de Red team y de crisis: el Proveedor debe ser capaz de realizar ejercicios de Redteam y de crisis para simular diferentes escenarios de ataque y verificar la capacidad de la infraestructura tecnológica para detectar y responder a estos ataques.

Exigido
  1. Análisis de seguridad informática forense Respuesta a incidentes de seguridad: el Proveedor debe ser capaz de realizar asistencia especializada para los casos en los que se requieran de servicios de auditoría de seguridad informática forense y revisión de logs, o cuando se requieran de servicios especializados ante la ocurrencia de un incidente de seguridad, como pudiera tratarse de algún tipo de ataque o evento de riesgo para la seguridad del BCP. Dependiendo de la gravedad del requerimiento, el BCP podrá solicitar asistencia in-situ en un plazo no mayor a 24 (veinticuatro) horas por parte del Proveedor.

Exigido

2. Plantel técnico
  1. Personal técnico de soporte requerido: Se requiere un plantel técnico conformado como mínimo por 3 (tres) miembros (se debe identificar quién es el Líder del Plantel Técnico), de los cuales al menos 2 (dos) deberán contar con residencia permanente en la República del Paraguay. Los profesionales propuestos deben ser diferentes a los presentados para el Lote N° 2, en caso de presentar ofertas para ambos lotes.

Exigido
  1. Experiencia específica del Líder del Plantel Técnico: Debe ser Analista de sistemas y/o Ingeniero de Sistemas Informáticos o afines.

Debe contar con al menos 2 (dos) de las siguientes certificaciones relacionadas con pruebas de intrusión: CEH, OSCP, OSCE, GPEN, GXPN, GWAPT, LPT u otras reconocidas internacionalmente.

Debe contar con al menos una de las siguientes certificaciones relacionadas con gobernanza de seguridad de la información: ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISSP, GISP, CISM, CISA u otras reconocidas internacionalmente.

Debe contar con experiencia demostrable igual o mayor a 10 años en actividades de pruebas de intrusión.

Exigido
  1. Experiencia específica del Plantel Técnico: Se requiere que el plantel técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en test de penetración o pruebas de intrusión de seguridad de la información igual o mayor a 20 (veinte) años.

Exigido
  1. Experiencia en Servicios de Test de Intrusión: Se requiere que la suma de experiencia comprobable de los miembros del plantel presentado sea al menos de 1000 (mil) horas de servicio exitoso ejecutado, realizados a entidades nacionales y/o internacionales, durante el periodo comprendido en los años 2020 a 2025. Solo se podrán contabilizar tests de intrusión o similares que hayan requerido como mínimo 20 horas de servicio, y para todos los casos se deberá indicar la cantidad de horas efectivamente ejecutadas por el profesional para ese proyecto en concreto. En caso de que esta información se encuentre en periodo de tiempo diferentes, tales como días, semanas o meses, se contabilizará a razón de 8 horas por día, 40 horas por semana, 120 horas por mes.

Exigido
  1. Certificaciones del plantel técnico: Se requiere que al menos 2 de los miembros del plantel técnico cuenten con al menos una certificación relacionada a pruebas de intrusión.

Se aceptarán las siguientes certificaciones: CEH, OSCP, GPPT, OSWE, OSCE, GPEN, GXPN, CHEE, CPHE GWAPT, LPT u otras reconocidas internacionalmente.

Exigido

 

PLANILLA DE REQUERIMIENTOS DEL LOTE N° 2: SERVICIO DE SEGURIDAD DE LA INFORMACIÓN

CARACTERISTICA

DESCRIPCION

REQUERIDO

1. Servicios Requeridos
  1. Servicio de soporte en desarrollo de planes y programas de seguridad: El Proveedor debe ser capaz de proponer, definir, describir y desarrollar todas las documentaciones necesarias relacionadas a la gestión de planes y programas corporativos de ciberseguridad o seguridad de la información, incluyendo previsiones a futuro y acorde a los objetivos estratégicos del BCP.

Exigido
  1. Servicio de soporte en la redacción de políticas y normas de seguridad: El Proveedor debe ser capaz de redactar en forma detallada todo tipo de documentaciones asociadas a sistemas de gestión de seguridad de la información, políticas, normas, procedimientos, guías, entre otros, de ciberseguridad o seguridad de la información, de tal manera a ofrecer un soporte a la gestión operativa del DCS.

Exigido
  1. Servicio de soporte para la adecuación a estándares y buenas prácticas de seguridad: El Proveedor debe ser capaz de ofrecer las guías, directrices y recomendaciones, al igual que la redacción de los documentos necesarios, que permitan al BCP fortalecer sus procesos internos de adecuación a los estándares y buenas prácticas de ciberseguridad o seguridad de la información, tales como el conjunto de normas ISO 27000, ISO 22300, NIST, ISACA, SANS, CIS Controls, entre otros. Este servicio podría incluir la definición de nuevos estándares y análisis GAP de cumplimiento.

Exigido
  1. Servicio de soporte para el análisis y diseño en seguridad de la información: El Proveedor debe ser capaz de realizar el análisis y diseño de la seguridad de toda la infraestructura tecnológica y de procesos del BCP, con el fin de determinar mejoras de diseño, configuración, procedimientos o similares que permitan fortalecer la seguridad de los mismos, en cualquiera de sus fases. Para el efecto, deberá ser capaz de evaluar tecnologías, características técnicas, identificación y análisis de riesgos, amenazas, entre otros. Se podrá requerir la asistencia en el desarrollo de las estrategias o metodologías de gestión de riesgos, o en la implementación de estas. Esto puede incluir también la recomendación de nuevas herramientas o sistemas de ciberseguridad.

Exigido

 
  1. Servicio de Soporte en capacitación y concienciación: El Proveedor debe ser capaz de definir y realizar planes y proyectos de capacitación y concienciación con base en las necesidades, y llevarlas a cabo dentro del BCP. Esta capacitación podrá ser implementada a través de talleres, charlas, documentos para distribución masiva a través de medios electrónicos, o cualquier otro mecanismo que a criterio del Supervisor sea necesario.

Exigido

2. Plantel técnico
  1. Personal técnico de soporte requerido: Se requiere un plantel técnico conformado como mínimo por 3 (tres) miembros (se debe identificar el Líder del Plantel Técnico), de los cuales al menos 2 (dos) deberá contar con residencia permanente en la República del Paraguay. Los profesionales propuestos deben ser diferentes a los presentados para el Lote N° 1, en caso de presentar ofertas para ambos lotes.

Exigido
  1. Experiencia específica del Líder del Plantel Técnico: Debe ser Analista de sistemas y/o Ingeniero de Sistemas Informáticos y/o afines. Debe contar con al menos dos de las siguientes certificaciones: CCISO, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISM, CDPSE, CISA, GISP, Certified NIST Cybersecurity Framework Lead Implementer (CSF LI). Debe contar con experiencia demostrable igual o mayor a 10 años en actividades de soporte de seguridad de la información.

Exigido
  1. Experiencia especifica del Plantel Técnico: Se requiere que el plantel técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en consultorías de seguridad de la información igual o mayor a 20 (veinte) años.

Exigido
  1. Certificaciones del plantel técnico en Seguridad de la Información: Se requiere que al menos 2 de los miembros del plantel técnico cuenten con al menos una certificación relacionada a las áreas de seguridad de la información. Se aceptarán las siguientes certificaciones: Comptia Security+, CCISO, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISM, CDPSE, GIAC, Certified NIST Cybersecurity Framework Lead Implementer (CSF LI) o CISA.

Exigido
  1. Experiencia en Servicios de Soporte en Seguridad de la Información realizados anteriormente: Se requiere que la suma de experiencia comprobable de los miembros del plantel presentado sea al menos de 1000 (mil) horas de servicio exitoso ejecutado, realizados a entidades nacionales y/o internacionales, durante el periodo comprendido en los años 2020 a 2025. Solo se podrán contabilizar servicios de soporte que hayan requerido como mínimo 20 horas de servicio, y para todos los casos se deberá indicar la cantidad de horas efectivamente ejecutadas por el profesional para ese proyecto en concreto. En caso de que esta información se encuentre en periodo de tiempo diferentes, tales como días, semanas o meses, se contabilizará a razón de 8 horas por día, 40 horas por semana, 120 horas por mes.

Exigido

PERSONAL E INFRAESTRUCTURA

  • Proveídos por el BCP

El Departamento de Ciberseguridad asignará el personal responsable que actuará de contrapartida técnica y que certificará las pruebas técnicas y los entregables del servicio realizado (el Supervisor).

  • Proveídos por el Proveedor

Propiedad Intelectual: Todas las documentaciones producto de este servicio pasarán a formar parte de la propiedad intelectual del Banco Central del Paraguay.  El Proveedor deberá suministrar al BCP la versión impresa y digital de estas documentaciones.

El Proveedor deberá contar con herramientas de trabajo propias, tales como notebook o software especial, según el caso.

 

PLANTEL TÉCNICO DE TODOS LOS LOTES

El Oferente deberá presentar con su oferta una carta en carácter de declaración jurada, en la cual manifieste que el personal técnico asignado está capacitado para realizar los servicios descriptos en la presente Sección.

El BCP se reserva el derecho de realizar una evaluación técnica al personal asignado para el servicio por el Proveedor durante la ejecución del Contrato, si así considere necesario, a fin de evaluar el desempeño del mismo, pudiendo solicitar el remplazo del personal que no califique para la realización de los trabajos contratados. La evaluación técnica incluirá la verificación de conocimientos y habilidades relacionados al perfil técnico solicitado.

El Proveedor deberá mantener durante todo el plazo de prestación del servicio el personal técnico mínimo requerido. En caso de remplazo del personal propuesto en su oferta, el nuevo personal deberá cumplir con los requisitos mínimos exigidos en la presente Sección.

El Oferente deberá presentar el Curriculum Vitae y los documentos del personal técnico mínimo requerido para cada Lote conforme al formato establecido a continuación:

Formato del Curriculum Vitae de cada personal interviniente que el Oferente deberá presentar con su oferta:

LOTE N° 1 - Líder de Plantel técnico

Datos Personales

Requerimientos

Documentación de respaldo

Nombre(s)

Especificar

 

Apellido(s)

Especificar

 

Fecha de Nacimiento

Especificar

 

N° de documento de identidad

Especificar

Adjuntar fotocopia simple de C.I.

Formación Académica*

Exigido

Nivel Terciario

 

 

Carrera

Especificar

 

Universidad

Especificar

 

Año de Egreso

Especificar

 

Certificaciones**

Exigido

CEH, OSCP, OSCE, GPEN, GXPN, GWAPT, LPT, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISSP, CISM, CISA, GIAC GISP, otro.

Especificar

 

Experiencia Específica***

Exigido

1.1 - Lugar de Trabajo

Especificar

 

1.2 Periodo

Especificar

 

1.3 - Trabajo Realizado

Especificar

 

 

 

 

2.1 - Lugar de Trabajo

Especificar

 

2.2 Periodo

Especificar

 

2.3 - Trabajo Realizado

Especificar

 

Servicios de Test de Intrusión o similares****

Exigido

 

Test de intrusión, externos o internos, realizados a entidades nacionales y/o internacionales.

Especificar

 

 

LOTE N° 1 - Otros miembros del plantel técnico

Datos Personales

Requerimientos

Documentación de respaldo

Nombres

Especificar

 

Apellidos

Especificar

 

Fecha de Nacimiento

Especificar

 

N° de documento de identidad

Especificar

Adjuntar fotocopia simple de C.I.

Certificaciones**

Exigido

CEH, OSCP, GPPT, OSWE, OSCE, GPEN, GXPN, CHEE, CPHE GWAPT, LPT, otro.

Especificar

 

Experiencia Específica***

Exigido

1.1 - Lugar de Trabajo

Especificar

 

1.2 Periodo

Especificar

 

1.3 - Trabajo Realizado

Especificar

 

 

 

 

2.1 - Lugar de Trabajo

Especificar

 

2.2 Periodo

Especificar

 

2.3 - Trabajo Realizado

Especificar

 

Servicios de Test de Intrusión o similares****

Exigido

 

Test de intrusión, externos o internos, realizados a entidades nacionales y/o internacionales.

Especificar

 

* El Oferente deberá adjuntar la fotocopia simple del título del Nivel terciario (exigido para el líder del plantel técnico), conforme a lo especificado en el apartado 2. Plantel técnico de la planilla de requerimientos del Lote N° 1.

** Se requiere que los otros miembros del plantel técnico (2 miembros) cuenten con al menos una certificación en test de intrusión. El Líder del Plantel técnico deberá contar con al menos 2 certificaciones en test de intrusión y al menos 1 en seguridad de la información. El Oferente deberá presentar fotocopia simple de los documentos que acrediten las certificaciones realizadas, conforme a lo especificado en el apartado 2. Plantel técnico de la planilla de requerimientos del Lote N° 1.

*** Se requiere que el plantel técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en test de penetración o pruebas de intrusión de seguridad de la información igual o mayor a 20 (veinte) años. El Líder del Plantel técnico deberá contar con al menos 10 (diez) años de experiencia demostrable. El Oferente deberá presentar fotocopia simple de los documentos que acrediten la experiencia solicitada, conforme a lo especificado en el apartado 2. Plantel técnico de la planilla de requerimientos del Lote N° 1.

**** Se requiere que la suma de experiencia comprobable de los miembros del plantel presentado sea al menos de 1000 (mil) horas de servicio exitoso ejecutado, realizados a entidades nacionales y/o internacionales, durante el periodo comprendido en los años 2020 a 2025. Solo se podrán contabilizar tests de intrusión que hayan requerido como mínimo 20 horas de servicio, y para todos los casos se deberá indicar la cantidad de horas efectivamente ejecutadas por el profesional para ese proyecto en concreto. En caso de que esta información se encuentre en periodo de tiempo diferentes, tales como días, semanas o meses, se contabilizará a razón de 8 horas por día, 40 horas por semana, 120 horas por mes. El Oferente deberá presentar fotocopia simple de los documentos que acrediten la realización del servicio citado, conforme a lo especificado en el apartado 2. Plantel técnico de la planilla de requerimientos del Lote N° 1.

LOTE N° 2 - Líder del plantel técnico

Datos Personales

Requerimientos

Documentación de respaldo

Nombres

Especificar

 

Apellidos

Especificar

 

Fecha de Nacimiento

Especificar

 

N° de documento de identidad

Especificar

Adjuntar fotocopia simple de C.I.

Formación Académica*

Exigido

Nivel Terciario

 

 

Carrera

Especificar

 

Universidad

Especificar

 

Año de Egreso

Especificar

 

Certificación**

Exigido

CCISO, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISM, CDPSE, CISA, GIAC GISP, Certified NIST Cybersecurity Framework Lead Implementer (CSF LI), otro.

Especificar

 

Experiencia Específica***

Exigido

1.1 - Lugar de Trabajo

Especificar

 

1.2 Periodo

Especificar

 

1.3 - Trabajo Realizado

Especificar

 

 

 

 

2.1 - Lugar de Trabajo

Especificar

 

2.2 Periodo

Especificar

 

2.3 - Trabajo Realizado

Especificar

 

Servicios de Seguridad de la Información****

Exigido

 

Servicios de Seguridad de la Información

Especificar

 

 

LOTE N° 2 - Otros miembros del plantel técnico

Datos Personales

Requerimientos

Documentación de respaldo

Nombres

Especificar

 

Apellidos

Especificar

 

Fecha de Nacimiento

Especificar

 

N° de documento de identidad

Especificar

Adjuntar fotocopia simple de C.I.

Certificación**

Exigido

CompTIA Security+, CCISO, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, CISM, CDPSE, Certified NIST Cybersecurity Framework Lead Implementer (CSF LI), CISA, otro.

Especificar

 

Experiencia Específica***

Exigido

1.1 - Lugar de Trabajo

Especificar

 

1.2 Periodo

Especificar

 

1.3 - Trabajo Realizado

Especificar

 

 

 

 

2.1 - Lugar de Trabajo

Especificar

 

2.2 Periodo

Especificar

 

2.3 - Trabajo Realizado

Especificar

 

Servicios de Seguridad de la Información****

Exigido

 

Servicios de Seguridad de la Información

Especificar

 

El Oferente deberá adjuntar la fotocopia simple del título del Nivel terciario (exigido para el líder del plantel técnico), conforme a lo especificado en el apartado 2. Plantel técnico de la planilla de requerimientos del Lote N° 2.

** Se requiere que los otros miembros del plantel técnico (2 miembros) cuenten con al menos una certificación en seguridad de la información. El Líder del Plantel técnico deberá contar con al menos 2 certificaciones en seguridad de la información. El Oferente deberá presentar fotocopia simple de los documentos que acrediten las certificaciones realizadas, conforme a lo especificado en el apartado 2. Plantel técnico de la planilla de requerimientos del Lote N° 2.

*** Se requiere que el plantel técnico presentado (cualquiera de sus miembros o en sumatoria) cuente con una experiencia específica demostrable en servicios de soporte de seguridad de la información igual o mayor a 20 (veinte) años. El Líder del Plantel técnico deberá contar con al menos 10 (diez) años de experiencia demostrable. El Oferente deberá presentar fotocopia simple de los documentos que acrediten la experiencia solicitada, conforme a lo especificado en el apartado 2. Plantel técnico de la planilla de requerimientos del Lote N° 2.

**** Se requiere que la suma de experiencia comprobable de los miembros del plantel presentado sea al menos de 1000 (mil) horas de servicio exitoso ejecutado, realizados a entidades nacionales y/o internacionales, durante el periodo comprendido en los años 2020 a 2025. Solo se podrán contabilizar tests de intrusión que hayan requerido como mínimo 20 horas de servicio, y para todos los casos se deberá indicar la cantidad de horas efectivamente ejecutadas por el profesional para ese proyecto en concreto. En caso de que esta información se encuentre en periodo de tiempo diferentes, tales como días, semanas o meses, se contabilizará a razón de 8 horas por día, 40 horas por semana, 120 horas por mes. El Oferente deberá presentar fotocopia simple de los documentos que acrediten la realización del servicio citado, conforme a lo especificado en el apartado 2. Plantel técnico de la planilla de requerimientos del Lote N° 2.

GENERALIDADES

ADMINISTRACIÓN DEL CONTRATO: La administración de los contratos estará a cargo del Departamento de Ciberseguridad dependiente de la Gerencia de Tecnología de la Información y Comunicaciones (GTIC).

GARANTÍA DE BUEN SERVICIO Y CALIDAD: a ser emitida por el Oferente mediante una Nota en carácter de declaración jurada a nombre de la Convocante, por todo el plazo de vigencia del contrato. Durante ese período, correrá a su cargo, por cuenta propia y sin costo para la Convocante, las modificaciones que correspondan, cuando se observasen fallas y/o deficiencias en el servicio contratado, por causas que le fueran imputables.

COMPROMISO DE CONFIDENCIALIDAD: El personal interviniente del Proveedor deberá firmar un Compromiso de Confidencialidad de la Información, dado que el personal contratado podría acceder a información confidencial de la institución.

BOLETAS DE SERVICIO: el Proveedor deberá presentar un registro de los servicios realizados, en el cual conste la fecha, lugar y descripción del trabajo realizado de inicio a fin, así como las horas ejecutadas al efecto. Una copia deberá proveerse al Supervisor.

De las MIPYMES

En procedimientos de Menor Cuantía, la aplicación de la preferencia reservada a las MIPYMES prevista en el artículo 34 inc b) de la Ley N° 7021/22 ‘’De Suministro y Contrataciones Públicas" será de conformidad con las disposiciones que se emitan para el efecto. Son consideradas Mipymes las unidades económicas que, según la dimensión en que organicen el trabajo y el capital, se encuentren dentro de las categorías establecidas en el Artículo 4° de la Ley N° 7444/25 QUE MODIFICA LA LEY Nº 4457/2012 ‘’PARA LAS MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS’’, y se ocupen del trabajo artesanal, industrial, agroindustrial, agropecuario, forestal, comercial o de servicio.

Plan de entrega de los bienes

La entrega de los bienes se realizará de acuerdo al plan de entrega, indicado en el presente apartado. El proveedor se encuentra facultado a documentarse sobre cada entrega. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicado a continuación:

No aplica

Plan de prestación de los servicios

La prestación de los servicios se realizará de acuerdo al plan de prestación, indicados en el presente apartado. El proveedor se encuentra facultado a documentarse sobre cada prestación.

Lote/ Ítem

Descripción del servicio

Cantidad

Unidad de medida

Lugar y horario de prestación de los servicios

Plazo de prestación/ejecución de los servicios

Plazo de vigencia del Contrato

De acuerdo a la Lista de Precios publicada en el SICP.

De acuerdo a la Lista de Precios publicada en el SICP.

De acuerdo a las cantidades solicitadas por el área administradora del contrato al Proveedor, durante la ejecución del contrato.

De acuerdo a la Lista de Precios publicada en el SICP.

Los servicios serán ejecutados a demanda del BCP. Dependiendo de cada actividad, necesidad y requerimiento de la Contratante los servicios deberán prestarse On-Site (Oficinas del BCP sito en Av. Federación Rusa y Augusto Roa Bastos) y/o de manera remota.

Los servicios requeridos serán prestados en los plazos a ser establecidos por el área administradora del Contrato para cada caso.

El plazo de vigencia del Contrato será de 24 (veinticuatro) meses contados a partir de la fecha que será establecida al efecto en la Orden de Inicio, la cual será emitida dentro del plazo de 10 (diez) días hábiles desde la suscripción del contrato.

Planos y diseños

Para la presente contratación se pone a disposición los siguientes planos o diseños:

No aplica

Embalajes y documentos

El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:

No aplica

Inspecciones y pruebas

Las inspecciones y pruebas serán como se indica a continuación:

La Contratante fiscalizará la ejecución del Contrato a través del área administradora del Contrato. Se verificará que lo ejecutado cumpla a cabalidad con lo establecido en la Sección Suministros Requeridos Especificaciones técnicas y en la Lista de Precios; y se adecuen al Plan de Entrega de los Bienes o Servicios del presente PBC.

1. El proveedor realizará todas las pruebas y/o inspecciones de los Bienes, por su cuenta y sin costo alguno para la contratante.

2. Las inspecciones y pruebas podrán realizarse en las instalaciones del Proveedor o de sus subcontratistas, en el lugar de entrega y/o en el lugar de destino final de entrega de los bienes, o en otro lugar indicado en este apartado.

Cuando dichas inspecciones o pruebas sean realizadas en recintos del Proveedor o de sus subcontratistas se le proporcionarán a los inspectores todas las facilidades y asistencia razonables, incluso el acceso a los planos y datos sobre producción, sin cargo alguno para la Contratante.

3. La Contratante o su representante designado tendrá derecho a presenciar las pruebas y/o inspecciones mencionadas en la cláusula anterior, siempre y cuando éste asuma todos los costos y gastos que ocasione su participación, incluyendo gastos de viaje, alojamiento y alimentación.

4. Cuando el proveedor esté listo para realizar dichas pruebas e inspecciones, notificará oportunamente a la contratante indicándole el lugar y la hora. El proveedor obtendrá de una tercera parte, si corresponde, o del fabricante cualquier permiso o consentimiento necesario para permitir a la contratante o a su representante designado presenciar las pruebas o inspecciones.

5. La Contratante podrá requerirle al proveedor que realice algunas pruebas y/o inspecciones que no están requeridas en el contrato, pero que considere necesarias para verificar que las características y funcionamiento de los bienes cumplan con los códigos de las especificaciones técnicas y normas establecidas en el contrato. Los costos adicionales razonables que incurra el Proveedor por dichas pruebas e inspecciones serán sumados al precio del contrato, en cuyo caso la contratante deberá justificar a través de un dictamen fundado en el interés público comprometido. Asimismo, si dichas pruebas y/o inspecciones impidieran el avance de la fabricación y/o el desempeño de otras obligaciones del proveedor bajo el Contrato, deberán realizarse los ajustes correspondientes a las Fechas de Entrega y de Cumplimiento y de las otras obligaciones afectadas.

6. El proveedor presentará a la contratante un informe de los resultados de dichas pruebas y/o inspecciones.

7. La contratante podrá rechazar algunos de los bienes o componentes de ellos que no pasen las pruebas o inspecciones o que no se ajusten a las especificaciones. El proveedor tendrá que rectificar o reemplazar dichos bienes o componentes rechazados o hacer las modificaciones necesarias para cumplir con las especificaciones sin ningún costo para la contratante. Asimismo, tendrá que repetir las pruebas o inspecciones, sin ningún costo para la contratante, una vez que notifique a la contratante.

8. El proveedor acepta que ni la realización de pruebas o inspecciones de los bienes o de parte de ellos, ni la presencia de la contratante o de su representante, ni la emisión de informes, lo eximirán de las garantías u otras obligaciones en virtud del contrato.