En relación al punto b. Demostrar experiencia en contratos de similares características, resultados esperados y KPIs, donde se establecen parámetros específicos (MTTD, MTTR, porcentaje de falsos positivos, tiempo de inactividad, vulnerabilidades remediadas, amenazas identificadas y tasa de éxito en la contención), solicitamos amablemente a la convocante aclarar lo siguiente:
• ¿Dichos parámetros deben cumplirse de manera estricta en cada contrato presentado como experiencia en el punto “a”?
• Teniendo en cuenta que, en la práctica, cada cliente define sus propios SLA y KPIs conforme a sus necesidades particulares, ¿la evaluación considerará válidas experiencias donde algunos de los indicadores varíen respecto a los parámetros de referencia establecidos en el pliego?
Planteamos esta consulta debido a que podría resultar ambiguo evaluar la condición de “similares características” si se exige una coincidencia literal con todos los KPIs indicados, lo cual podría limitar injustificadamente la participación de oferentes con experiencia comprobada en servicios equivalentes.
En relación al punto b. Demostrar experiencia en contratos de similares características, resultados esperados y KPIs, donde se establecen parámetros específicos (MTTD, MTTR, porcentaje de falsos positivos, tiempo de inactividad, vulnerabilidades remediadas, amenazas identificadas y tasa de éxito en la contención), solicitamos amablemente a la convocante aclarar lo siguiente:
• ¿Dichos parámetros deben cumplirse de manera estricta en cada contrato presentado como experiencia en el punto “a”?
• Teniendo en cuenta que, en la práctica, cada cliente define sus propios SLA y KPIs conforme a sus necesidades particulares, ¿la evaluación considerará válidas experiencias donde algunos de los indicadores varíen respecto a los parámetros de referencia establecidos en el pliego?
Planteamos esta consulta debido a que podría resultar ambiguo evaluar la condición de “similares características” si se exige una coincidencia literal con todos los KPIs indicados, lo cual podría limitar injustificadamente la participación de oferentes con experiencia comprobada en servicios equivalentes.
Los KPIs son referenciales para evaluar similitud. No se exige cumplimiento estricto en cada contrato del punto "a", pero deben demostrarse resultados equivalentes o superiores mediante documentación
Adecuarse a lo solicitado en el PBC
2
Experiencia requerida
Con relación al punto a. Demostrar experiencia en servicios de diseño, implementación y operación de SOC. Para lo propio, se considerará dicha experiencia por medio de la presentación de contratos, facturas y actas de recepción final (enunciación taxativa). Los servicios mencionados podrán corresponder tanto a instituciones públicas como privadas en la República del Paraguay y haber sido ejecutados dentro del periodo de los últimos tres ejercicios contables (período comprendido entre los años 2022,2023,2024).
Entendemos que, conforme al estándar previsto en los pliegos, la experiencia podrá acreditarse mediante la presentación de contrato y/o facturas y/o actas de recepción final, atendiendo a que, en el caso de experiencias con entidades privadas, no suele emitirse acta de recepción final como ocurre en el sector público.
Favor confirmar si nuestra interpretación es correcta; en caso contrario, solicitamos se aclare el alcance del requisito.
Con relación al punto a. Demostrar experiencia en servicios de diseño, implementación y operación de SOC. Para lo propio, se considerará dicha experiencia por medio de la presentación de contratos, facturas y actas de recepción final (enunciación taxativa). Los servicios mencionados podrán corresponder tanto a instituciones públicas como privadas en la República del Paraguay y haber sido ejecutados dentro del periodo de los últimos tres ejercicios contables (período comprendido entre los años 2022,2023,2024).
Entendemos que, conforme al estándar previsto en los pliegos, la experiencia podrá acreditarse mediante la presentación de contrato y/o facturas y/o actas de recepción final, atendiendo a que, en el caso de experiencias con entidades privadas, no suele emitirse acta de recepción final como ocurre en el sector público.
Favor confirmar si nuestra interpretación es correcta; en caso contrario, solicitamos se aclare el alcance del requisito.
La enunciacion es taxativa. Adecuarse a lo solicitado en el PBC.
3
Experiencia requerida
Con relación al punto a. Demostrar experiencia en servicios de diseño, implementación y operación de SOC. Para lo propio, se considerará dicha experiencia por medio de la presentación de contratos, facturas y actas de recepción final (enunciación taxativa).
Se solicita taxativamente presentación de contratos, facturas y actas de recepción, en cambio, en los Requisitos documentales para la evaluación de la experiencia se menciona Copia de facturas, contratos y recepciones finales y/o Declaración jurada. Consultamos si el requisito de Declaración Jurada corresponde al punto “b” de la experiencia, caso contrario, favor aclarar.
Con relación al punto a. Demostrar experiencia en servicios de diseño, implementación y operación de SOC. Para lo propio, se considerará dicha experiencia por medio de la presentación de contratos, facturas y actas de recepción final (enunciación taxativa).
Se solicita taxativamente presentación de contratos, facturas y actas de recepción, en cambio, en los Requisitos documentales para la evaluación de la experiencia se menciona Copia de facturas, contratos y recepciones finales y/o Declaración jurada. Consultamos si el requisito de Declaración Jurada corresponde al punto “b” de la experiencia, caso contrario, favor aclarar.
La interpretacion es correcta.
Adecuarse a lo solicitado en el PBC.
4
Personal Técnico Requerido
Donde dice:
“a. Técnicos de Monitoreo SOC: Al menos cuatro (4) técnicos con experiencia mínima de 2 años en ciberseguridad. Estos deben figurar en la planilla IPS del mes anterior vencido.
b. Coordinador Técnico: Un (1) coordinador con experiencia mínima de dos (2) años, registrado en IPS, con las siguientes funciones…”
Solicitamos amablemente aclarar si para los técnicos de monitoreo SOC y el Coordinador Técnico se aceptado la presentación de planilla de IPS y/o contrato, ya que en la sección de capacidad técnica exigen figurar y estar registrado en la planilla de IPS respectivamente, en cambio, en la sección de requisitos documentales para evaluar el criterio de capacidad técnica, para el punto “d” menciona presentar copia de planilla de IPS y/o contrato.
Donde dice:
“a. Técnicos de Monitoreo SOC: Al menos cuatro (4) técnicos con experiencia mínima de 2 años en ciberseguridad. Estos deben figurar en la planilla IPS del mes anterior vencido.
b. Coordinador Técnico: Un (1) coordinador con experiencia mínima de dos (2) años, registrado en IPS, con las siguientes funciones…”
Solicitamos amablemente aclarar si para los técnicos de monitoreo SOC y el Coordinador Técnico se aceptado la presentación de planilla de IPS y/o contrato, ya que en la sección de capacidad técnica exigen figurar y estar registrado en la planilla de IPS respectivamente, en cambio, en la sección de requisitos documentales para evaluar el criterio de capacidad técnica, para el punto “d” menciona presentar copia de planilla de IPS y/o contrato.
Se podran presentar contratos pero los mismos indefectiblemente a su vez deberan figurar en la planilla IPS del mes anterior vencido segun lo solicitado. Adecuarse a lo solicitado en el PBC.
5
Personal Técnico Requerido
Donde dice:
“a. Técnicos de Monitoreo SOC: Al menos cuatro (4) técnicos con experiencia mínima de 2 años en ciberseguridad. Estos deben figurar en la planilla IPS del mes anterior vencido.
b. Coordinador Técnico: Un (1) coordinador con experiencia mínima de dos (2) años, registrado en IPS, con las siguientes funciones…”
Solicitamos amablemente aclarar si nuestra interpretación es correcta, entendemos que no será necesario que todos los técnicos de monitoreo y el coordinador estén inscriptos en IPS, esto considerando que en la sección de “sección de requisitos documentales para evaluar el criterio de capacidad técnica” se solicita presentar copia de planilla de IPS y/o contrato de los perfiles solicitados.
Donde dice:
“a. Técnicos de Monitoreo SOC: Al menos cuatro (4) técnicos con experiencia mínima de 2 años en ciberseguridad. Estos deben figurar en la planilla IPS del mes anterior vencido.
b. Coordinador Técnico: Un (1) coordinador con experiencia mínima de dos (2) años, registrado en IPS, con las siguientes funciones…”
Solicitamos amablemente aclarar si nuestra interpretación es correcta, entendemos que no será necesario que todos los técnicos de monitoreo y el coordinador estén inscriptos en IPS, esto considerando que en la sección de “sección de requisitos documentales para evaluar el criterio de capacidad técnica” se solicita presentar copia de planilla de IPS y/o contrato de los perfiles solicitados.
Lo solicitado aplica al minimo establecido en los requisitos de capacidad técnica. Adecuarse a lo solicitado en el PBC.
6
Profesional requerido
En el perfil requerido para el Implementador de Solución, se solicita:
• Certificación de Auditor Interno ISO 27001:2022
• Curso MGCTI y/o SCRUM y/o Seguridad de la Información
En ese sentido, solicitamos amablemente a la convocante confirmar lo siguiente:
1. ¿La certificación de Auditor Interno ISO 27001 puede ser emitida por cualquier entidad reconocida internacionalmente (ej. Bureau Veritas, BSI, SGS, AENOR), o se requiere que sea emitida por una entidad específica?
2. Con respecto al curso de SCRUM, solicitamos confirmar si se aceptará como válido cualquier curso o formación en metodologías ágiles que incluya SCRUM dentro de su contenido, aun cuando no cuente con una certificación formal emitida por entidades acreditadas como Scrum.org, PMI-ACP o similar.
En caso afirmativo, agradeceríamos saber si podría presentarse un certificado de gestión de proyectos.
3. ¿Es válido presentar certificados de cursos que hayan sido realizados en modalidad online, siempre que estén respaldados por instituciones reconocidas?
En el perfil requerido para el Implementador de Solución, se solicita:
• Certificación de Auditor Interno ISO 27001:2022
• Curso MGCTI y/o SCRUM y/o Seguridad de la Información
En ese sentido, solicitamos amablemente a la convocante confirmar lo siguiente:
1. ¿La certificación de Auditor Interno ISO 27001 puede ser emitida por cualquier entidad reconocida internacionalmente (ej. Bureau Veritas, BSI, SGS, AENOR), o se requiere que sea emitida por una entidad específica?
2. Con respecto al curso de SCRUM, solicitamos confirmar si se aceptará como válido cualquier curso o formación en metodologías ágiles que incluya SCRUM dentro de su contenido, aun cuando no cuente con una certificación formal emitida por entidades acreditadas como Scrum.org, PMI-ACP o similar.
En caso afirmativo, agradeceríamos saber si podría presentarse un certificado de gestión de proyectos.
3. ¿Es válido presentar certificados de cursos que hayan sido realizados en modalidad online, siempre que estén respaldados por instituciones reconocidas?
Se aceptaran certificaciones de Auditor Interno ISO 27001 emitido por entidades reconocidas Internacionalmente, la certificacion en SCRUM no es excluyente. Favor adecuarse a lo solicitado en el PBC
7
Capacidad técnica
En el apartado de Capacidad Técnica, donde se solicita que los técnicos de Monitoreo SOC y el Coordinador Técnico figuren en la planilla de IPS, solicitamos respetuosamente se considere la posibilidad de aceptar la presentación de la nómina de dichos profesionales, siempre que se acompañe la siguiente documentación:
• Contrato vigente con la empresa oferente.
• Currículum Vitae.
• Certificados de experiencia y capacitaciones exigidos en el pliego.
Se aclara que esta situación no afectará el cumplimiento de los requisitos técnicos ni operativos del proyecto, dado que los técnicos especializados en ciberseguridad, que forman parte de la nómina contractual del oferente, estarán plenamente disponibles y asignados a las tareas establecidas, conforme a los perfiles exigidos.
Esta flexibilidad permitiría fomentar una mayor participación de potenciales oferentes que implementan modelos de contratación modernos, sin comprometer la calidad ni la capacidad técnica del equipo propuesto.
En el apartado de Capacidad Técnica, donde se solicita que los técnicos de Monitoreo SOC y el Coordinador Técnico figuren en la planilla de IPS, solicitamos respetuosamente se considere la posibilidad de aceptar la presentación de la nómina de dichos profesionales, siempre que se acompañe la siguiente documentación:
• Contrato vigente con la empresa oferente.
• Currículum Vitae.
• Certificados de experiencia y capacitaciones exigidos en el pliego.
Se aclara que esta situación no afectará el cumplimiento de los requisitos técnicos ni operativos del proyecto, dado que los técnicos especializados en ciberseguridad, que forman parte de la nómina contractual del oferente, estarán plenamente disponibles y asignados a las tareas establecidas, conforme a los perfiles exigidos.
Esta flexibilidad permitiría fomentar una mayor participación de potenciales oferentes que implementan modelos de contratación modernos, sin comprometer la calidad ni la capacidad técnica del equipo propuesto.
Lo solicitado aplica al minimo establecido en los requisitos de capacidad tecnica. Adecuarse a lo solicitado en el PBC.
8
Perfiles y Certificaciones del Personal
Solicitamos respetuosamente a la convocante una aclaración respecto al requisito de certificación en gestión de riesgos exigido para el perfil de Líder de Proyecto.
Considerando que existen diversas metodologías y enfoques internacionalmente reconocidos en materia de gestión de riesgos, agradeceremos se confirme lo siguiente:
• ¿Se aceptarán certificaciones equivalentes en gestión de riesgos u otras certificaciones emitidas por entidades reconocidas, así como certificados de cursos o programas de formación en gestión de riesgos que estén respaldados por instituciones académicas o de formación técnica reconocidas?
• ¿Se considerarán válidas las certificaciones o formaciones en gestión de riesgos integradas dentro de programas más amplios, tales como diplomados en seguridad de la información o en gestión de proyectos, siempre que se pueda evidenciar el contenido específico relativo a gestión de riesgos?
Esta aclaración permitirá garantizar la correcta interpretación del requisito y asegurar la presentación de perfiles que cumplan adecuadamente con lo solicitado en el pliego.
Solicitamos respetuosamente a la convocante una aclaración respecto al requisito de certificación en gestión de riesgos exigido para el perfil de Líder de Proyecto.
Considerando que existen diversas metodologías y enfoques internacionalmente reconocidos en materia de gestión de riesgos, agradeceremos se confirme lo siguiente:
• ¿Se aceptarán certificaciones equivalentes en gestión de riesgos u otras certificaciones emitidas por entidades reconocidas, así como certificados de cursos o programas de formación en gestión de riesgos que estén respaldados por instituciones académicas o de formación técnica reconocidas?
• ¿Se considerarán válidas las certificaciones o formaciones en gestión de riesgos integradas dentro de programas más amplios, tales como diplomados en seguridad de la información o en gestión de proyectos, siempre que se pueda evidenciar el contenido específico relativo a gestión de riesgos?
Esta aclaración permitirá garantizar la correcta interpretación del requisito y asegurar la presentación de perfiles que cumplan adecuadamente con lo solicitado en el pliego.
Solicitamos respetuosamente a la convocante una aclaración respecto a la posibilidad de utilizar soluciones tecnológicas distintas a las mencionadas en el pliego.
En particular, se hace referencia en el documento a herramientas de código abierto como Wazuh, TheHive y osTicket para la operación del SOC. En ese sentido, solicitamos confirmar si:
1. ¿Es posible proponer una solución propietaria de SIEM/SOAR que cumpla con todas las funcionalidades exigidas en el pliego, incluyendo interoperabilidad, automatización, gestión de incidentes, threat hunting, cumplimiento normativo y generación de KPIs?
2. En caso afirmativo, ¿qué documentación técnica adicional se debe incluir para demostrar la equivalencia funcional con las herramientas mencionadas?
3. ¿La solución propietaria debe estar libre de costos de licenciamiento durante la vigencia del contrato, como se exige para el SIEM en el apartado de implementación del SOC?
La aceptación de esta flexibilidad permitiría garantizar que la propuesta cumpla con los objetivos operativos y normativos del SOC, sin comprometer la calidad ni la capacidad técnica requerida, asegurando al mismo tiempo la participación de oferentes que implementan soluciones tecnológicas modernas y robustas.
Solicitamos respetuosamente a la convocante una aclaración respecto a la posibilidad de utilizar soluciones tecnológicas distintas a las mencionadas en el pliego.
En particular, se hace referencia en el documento a herramientas de código abierto como Wazuh, TheHive y osTicket para la operación del SOC. En ese sentido, solicitamos confirmar si:
1. ¿Es posible proponer una solución propietaria de SIEM/SOAR que cumpla con todas las funcionalidades exigidas en el pliego, incluyendo interoperabilidad, automatización, gestión de incidentes, threat hunting, cumplimiento normativo y generación de KPIs?
2. En caso afirmativo, ¿qué documentación técnica adicional se debe incluir para demostrar la equivalencia funcional con las herramientas mencionadas?
3. ¿La solución propietaria debe estar libre de costos de licenciamiento durante la vigencia del contrato, como se exige para el SIEM en el apartado de implementación del SOC?
La aceptación de esta flexibilidad permitiría garantizar que la propuesta cumpla con los objetivos operativos y normativos del SOC, sin comprometer la calidad ni la capacidad técnica requerida, asegurando al mismo tiempo la participación de oferentes que implementan soluciones tecnológicas modernas y robustas.
El PBC menciona las herramientas de código abierto mas utilizadas como referencia, pero no prohíbe la presentacion de soluciones privativas mientras se respete lo establecido en el punto 2.4 de "Escalabilidad y Sostenibilidad" para evitar costos recurrentes de licenciamiento para el SNPP. Adecuarse a lo solicitado en el PBC.