Consulta 1
Consulta sobre la interpretación de los requisitos de la Garantía de Mantenimiento de la Oferta
En relación con lo establecido en el apartado “19. Garantía de Mantenimiento de la Oferta”, se indica que:
“Si, según lo especificado en la IAO 19.1, se debe presentar una Garantía de Mantenimiento de la Oferta, esta debe ser una garantía pagadera a primer requerimiento y tendrá cualquiera de las formas siguientes, a opción del Oferente, y será emitida por una institución de prestigio de un país elegible:
(a) (b) una garantía incondicional emitida por un banco o una institución financiera no bancaria (como una compañía de seguros, finanzas o avales);”
Sin embargo, en el apartado IAO 19.1 se establece lo siguiente:
“Se exigirá una Garantía de Mantenimiento de la Oferta. La oferta deberá incluir una Garantía de Mantenimiento emitida por un Banco conforme al formulario incluido en la Sección IV Formularios de la Oferta.”
Dado que en el primer apartado se contempla la posibilidad de que la garantía sea emitida por una institución financiera no bancaria, mientras que en la IAO 19.1 se especifica que debe ser emitida por un banco, En este sentido, solicitamos que se acepten ambas formas de emisión.
Consulta 1
Consulta sobre la interpretación de los requisitos de la Garantía de Mantenimiento de la Oferta
En relación con lo establecido en el apartado “19. Garantía de Mantenimiento de la Oferta”, se indica que:
“Si, según lo especificado en la IAO 19.1, se debe presentar una Garantía de Mantenimiento de la Oferta, esta debe ser una garantía pagadera a primer requerimiento y tendrá cualquiera de las formas siguientes, a opción del Oferente, y será emitida por una institución de prestigio de un país elegible:
(a) (b) una garantía incondicional emitida por un banco o una institución financiera no bancaria (como una compañía de seguros, finanzas o avales);”
Sin embargo, en el apartado IAO 19.1 se establece lo siguiente:
“Se exigirá una Garantía de Mantenimiento de la Oferta. La oferta deberá incluir una Garantía de Mantenimiento emitida por un Banco conforme al formulario incluido en la Sección IV Formularios de la Oferta.”
Dado que en el primer apartado se contempla la posibilidad de que la garantía sea emitida por una institución financiera no bancaria, mientras que en la IAO 19.1 se especifica que debe ser emitida por un banco, En este sentido, solicitamos que se acepten ambas formas de emisión.
Favor tomar en cuenta la IAO 19.1 página 65 del pliego, en donde se requiere garantía bancaria
12
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Estimados Sres.,
Las consultas son:
1) ¿Cuánto tiempo considera el soporte Wazuh?
2) El soporte es 24x7 según criticidad y con ticketing con contacto directo con el fabricante Wazuh. ¿Cómo se acredita el “contacto directo”?, ¿a través del oferente o el MITIC?
3) El babysitting (90 días), ¿qué alcance tiene?, ¿aplica el SLA de máximo 72 horas?
16-10-2025
20-10-2025
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Estimados Sres.,
Las consultas son:
1) ¿Cuánto tiempo considera el soporte Wazuh?
2) El soporte es 24x7 según criticidad y con ticketing con contacto directo con el fabricante Wazuh. ¿Cómo se acredita el “contacto directo”?, ¿a través del oferente o el MITIC?
3) El babysitting (90 días), ¿qué alcance tiene?, ¿aplica el SLA de máximo 72 horas?
1. El soporte técnico deberá ser provisto durante todo el período de vigencia del contrato.
2. El contacto directo con el fabricante se acredita mediante la contratación del soporte oficial de Wazuh o de un partner autorizado, lo cual debe estar respaldado con documentación contractual o certificaciones emitidas por el fabricante. Este contacto será gestionado por el oferente, garantizando la comunicación fluida con Wazuh.
3. El período de babysitting de 90 días tiene como objetivo verificar que la instalación solicitada en la orden de trabajo haya sido realizada en su totalidad y esté funcionando correctamente. Durante este tiempo, se supervisa la estabilidad y el correcto funcionamiento de la solución implementada. El SLA de máximo 72 horas será aplicado conforme a lo estipulado en el pliego para la atención de incidentes durante este período.
13
EXPERIENCIA
Consulta 2
Consulta sobre el requisito de experiencia en Soporte Técnico Wazuh – Lote 2
En relación con el requisito establecido para el Lote 2, se indica que:
“El oferente deberá acreditar al menos tres (3) servicios realizados en los últimos dos (2) años, mediante documentación que respalde su experiencia en Soporte Técnico Wazuh (contratos ejecutados, presupuestos aprobados, actas de entrega, facturas u órdenes de compra), acompañados en todos los casos de constancias de prestación satisfactoria emitidas por el cliente.”
En este contexto, solicitamos amablemente se acepte la presentación de dos (2) servicios relacionados en donde el oferente haya sido participe del servicio, debidamente documentados y con constancias de prestación satisfactoria, en lugar de los tres (3) exigidos, para efectos de evaluación de la oferta. En caso de que no que no sea aceptada los (2) servicios, acepten servicios realizados con herramientas similares (SIEM) o equivalentes a Wazuh, siempre que se trate de soluciones de monitoreo, detección de amenazas o gestión de seguridad, y que se presenten con la documentación de respaldo correspondiente y constancias de prestación satisfactoria.
Consulta 2
Consulta sobre el requisito de experiencia en Soporte Técnico Wazuh – Lote 2
En relación con el requisito establecido para el Lote 2, se indica que:
“El oferente deberá acreditar al menos tres (3) servicios realizados en los últimos dos (2) años, mediante documentación que respalde su experiencia en Soporte Técnico Wazuh (contratos ejecutados, presupuestos aprobados, actas de entrega, facturas u órdenes de compra), acompañados en todos los casos de constancias de prestación satisfactoria emitidas por el cliente.”
En este contexto, solicitamos amablemente se acepte la presentación de dos (2) servicios relacionados en donde el oferente haya sido participe del servicio, debidamente documentados y con constancias de prestación satisfactoria, en lugar de los tres (3) exigidos, para efectos de evaluación de la oferta. En caso de que no que no sea aceptada los (2) servicios, acepten servicios realizados con herramientas similares (SIEM) o equivalentes a Wazuh, siempre que se trate de soluciones de monitoreo, detección de amenazas o gestión de seguridad, y que se presenten con la documentación de respaldo correspondiente y constancias de prestación satisfactoria.
Considerando que el presente llamado tiene como objetivo la implementación de un Centro de Operaciones de Seguridad (SOC) para el fortalecimiento del CERT-PY, y que se busca consolidar un enfoque proactivo en la prevención, detección y respuesta ante incidentes de ciberseguridad en el ecosistema digital gubernamental, solicitamos que se establezca como requisito obligatorio que los oferentes cuenten con la certificación ISO/IEC 27001:2022.
Esta certificación internacional garantiza que el oferente dispone de un Sistema de Gestión de Seguridad de la Información (SGSI) implementado, auditado y alineado con las mejores prácticas internacionales, lo cual resulta fundamental para asegurar la calidad, confiabilidad y seguridad de los servicios a ser contratados en el marco de este proyecto.
Dado el carácter estratégico y sensible del entorno a implementar, consideramos que este requisito contribuirá significativamente a garantizar la idoneidad técnica y organizacional de los oferentes.
Considerando que el presente llamado tiene como objetivo la implementación de un Centro de Operaciones de Seguridad (SOC) para el fortalecimiento del CERT-PY, y que se busca consolidar un enfoque proactivo en la prevención, detección y respuesta ante incidentes de ciberseguridad en el ecosistema digital gubernamental, solicitamos que se establezca como requisito obligatorio que los oferentes cuenten con la certificación ISO/IEC 27001:2022.
Esta certificación internacional garantiza que el oferente dispone de un Sistema de Gestión de Seguridad de la Información (SGSI) implementado, auditado y alineado con las mejores prácticas internacionales, lo cual resulta fundamental para asegurar la calidad, confiabilidad y seguridad de los servicios a ser contratados en el marco de este proyecto.
Dado el carácter estratégico y sensible del entorno a implementar, consideramos que este requisito contribuirá significativamente a garantizar la idoneidad técnica y organizacional de los oferentes.
Agradecemos sinceramente el interés y la sugerencia planteada, valoramos la importancia de dicha certificación para garantizar la calidad y seguridad en proyectos de ciberseguridad.
Sin embargo, informamos que, en esta instancia, no se incorporará dicho requisito en las bases del llamado, considerando diversos factores relacionados con la naturaleza del proyecto y los criterios técnicos definidos.
No obstante, aseguramos que todos los oferentes deberán demostrar su capacidad técnica y cumplimiento con estándares adecuados para asegurar la idoneidad y confiabilidad necesarias para la implementación del SOC.
15
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Estimados Sres.,
Buenas tardes. Podrían ser tan amables de responder unas consultas, por favor? A saber:
1) ¿Cuáles son las fuentes (logsource o activos) a monitorear? Entregar el detalle.
2) ¿Tipos de activos a gestionar con el XDR (usuarios finales, servidores, sistemas operativos)?
16-10-2025
20-10-2025
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Estimados Sres.,
Buenas tardes. Podrían ser tan amables de responder unas consultas, por favor? A saber:
1) ¿Cuáles son las fuentes (logsource o activos) a monitorear? Entregar el detalle.
2) ¿Tipos de activos a gestionar con el XDR (usuarios finales, servidores, sistemas operativos)?
Lo solicitado se enmarca al soporte oficial 24x7 de Wazuh, por ende las fuentes son las soportadas por la solución. Los activos son determinados por las OEE siempre que sean soportados por la solución Wazuh.
16
CERTIFICACIONES ISO
Considerando que el presente llamado tiene como objetivo la implementación de un Centro de Operaciones de Seguridad (SOC) para el fortalecimiento del CERT-PY, y que se busca consolidar un enfoque proactivo en la prevención, detección y respuesta ante incidentes de ciberseguridad en el ecosistema digital gubernamental, solicitamos que se establezca como requisito obligatorio que los oferentes cuenten con la certificación ISO 9001:2015
La certificación ISO 9001 garantiza que el oferente dispone de un Sistema de Gestión de la Calidad (SGC) implementado y auditado conforme a estándares internacionales, lo cual resulta fundamental para asegurar la calidad, trazabilidad y mejora continua de los servicios a ser contratados en un entorno crítico como el de la ciberseguridad gubernamental.
Consideramos que este requisito contribuirá a asegurar la capacidad organizacional y operativa de los oferentes, en línea con los objetivos del proyecto.
Considerando que el presente llamado tiene como objetivo la implementación de un Centro de Operaciones de Seguridad (SOC) para el fortalecimiento del CERT-PY, y que se busca consolidar un enfoque proactivo en la prevención, detección y respuesta ante incidentes de ciberseguridad en el ecosistema digital gubernamental, solicitamos que se establezca como requisito obligatorio que los oferentes cuenten con la certificación ISO 9001:2015
La certificación ISO 9001 garantiza que el oferente dispone de un Sistema de Gestión de la Calidad (SGC) implementado y auditado conforme a estándares internacionales, lo cual resulta fundamental para asegurar la calidad, trazabilidad y mejora continua de los servicios a ser contratados en un entorno crítico como el de la ciberseguridad gubernamental.
Consideramos que este requisito contribuirá a asegurar la capacidad organizacional y operativa de los oferentes, en línea con los objetivos del proyecto.
Agradecemos sinceramente el interés y la sugerencia planteada, valoramos la importancia de dicha certificación para garantizar la calidad y seguridad en proyectos de ciberseguridad.
Sin embargo, informamos que, en esta instancia, no se incorporará dicho requisito en las bases del llamado, considerando diversos factores relacionados con la naturaleza del proyecto y los criterios técnicos definidos.
No obstante, aseguramos que todos los oferentes deberán demostrar su capacidad técnica y cumplimiento con estándares adecuados para asegurar la idoneidad y confiabilidad necesarias para la implementación del SOC.
17
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Estimados Sres.,
Buenas tardes. Quisiéramos consultar lo siguiente:
1) ¿Qué licencia Wazuh tienen actualmente y cuál tienen considerada para esta licitación? ¿Este costo lo asume el cliente o el proveedor?
2) ¿XDR utilizado y cantidad de licencias?
16-10-2025
20-10-2025
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Estimados Sres.,
Buenas tardes. Quisiéramos consultar lo siguiente:
1) ¿Qué licencia Wazuh tienen actualmente y cuál tienen considerada para esta licitación? ¿Este costo lo asume el cliente o el proveedor?
2) ¿XDR utilizado y cantidad de licencias?
1.En el llamado se solicita que la versión de Wazuh utilizada sea la última disponible al momento de la instalación.
2. Wazuh, el cual no implica la necesidad de licenciamiento.
18
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Buenas tardes. Podrían aclararnos lo siguiente, por favor:
1) No está considerado en la licitación, pero ¿tienen considerado un servicio de "CyberSOC as a Service" por el tiempo de duración del contrato? (Servicio adicional)
2) ¿La administración del XDR se debe considerar?
16-10-2025
21-10-2025
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Buenas tardes. Podrían aclararnos lo siguiente, por favor:
1) No está considerado en la licitación, pero ¿tienen considerado un servicio de "CyberSOC as a Service" por el tiempo de duración del contrato? (Servicio adicional)
2) ¿La administración del XDR se debe considerar?
1. No. El servicio de "CyberSOC as a Service" no está considerado dentro del alcance de esta licitación.
2. La administración de la solución debe estar contemplada en lo necesario para garantizar su correcta operación, configuración inicial, optimización y mantenimiento técnico, conforme a los requerimientos establecidos en el pliego.
19
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Buenas tardes. Quisiéramos consultar:
1) ¿Cuántos clusters necesitan?
2) ¿Tienen considerada la infraestructura para soportar los workers nodes? (Hardware)
3) El RFP indica clusterización del Wazuh, ¿esto lo hará GH en Paraguay o nosotros?
4) Sobre lo mismo, ¿los recursos serán provistos por el MITIC o hay que considerar equipamiento?
16-10-2025
21-10-2025
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Buenas tardes. Quisiéramos consultar:
1) ¿Cuántos clusters necesitan?
2) ¿Tienen considerada la infraestructura para soportar los workers nodes? (Hardware)
3) El RFP indica clusterización del Wazuh, ¿esto lo hará GH en Paraguay o nosotros?
4) Sobre lo mismo, ¿los recursos serán provistos por el MITIC o hay que considerar equipamiento?
1. La cantidad definitiva de clusters se determinará en función de la demanda, la carga de trabajo esperada, los requisitos de rendimiento específicos y la escalabilidad necesaria para el SOC Gubernamental. Por lo tanto, no se ata a un número en este momento, sino a lo que sea técnicamente necesario para cubrir los requisitos del servicio.
2. Sí, la infraestructura está considerada.
3. La clusterización es una responsabilidad técnica inherente al alcance.
4. No se debe considerar equipamiento adicional más allá de lo incluido en el Lote 3.
20
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Buenas tardes. Podrían indicarnos:
1) ¿Consumo de EPS (Eventos por segundo) o GB/día?
2) ¿Cuál es la cantidad de eventos por segundo (EPS) y el volumen diario de logs por OEE (Institución) para dimensionar la retención (3 meses indexado / 1 año archivado)? ¿Habrá límites por tenant?
16-10-2025
21-10-2025
Consultas de LPN N° 1/2025 Implementación de un SOC Gubernamental
Buenas tardes. Podrían indicarnos:
1) ¿Consumo de EPS (Eventos por segundo) o GB/día?
2) ¿Cuál es la cantidad de eventos por segundo (EPS) y el volumen diario de logs por OEE (Institución) para dimensionar la retención (3 meses indexado / 1 año archivado)? ¿Habrá límites por tenant?