Teniendo en cuenta la respuesta a la consulta sobre el punto 2.1.2
Podría la convocante aclarar el numero de servidores ya sean físicos o virtuales donde corren las instancias de Base de Datos, ya que nuestra solución no se licencia por instancias, sino por cantidad de servidores de DB.-
"Tal como establece el PBC, la cantidad mínima de instancias de base de datos requeridas es de 20 (veinte); favor considerar que, en atención a las buenas prácticas de seguridad, siempre es recomendable instalar un servidor principal y uno secundario para cada instancia a fin de soportar HA".
Podría la convocante aclarar el numero de servidores ya sean físicos o virtuales donde corren las instancias de DB, por ejemplo si son efectivamente 20 servidores o si en en algun servidor corren mas de una instancia ? ademas como menciona el esquema HA, cual de las instancias posee infraestructura de HA y de ser asi cual seria la cantidad en modalidad Activo - Activo y en Activo - Pasivo, ya que estos datos son necesarios para poder licenciar en forma correcta la solucion
Teniendo en cuenta la respuesta a la consulta sobre el punto 2.1.2
Podría la convocante aclarar el numero de servidores ya sean físicos o virtuales donde corren las instancias de Base de Datos, ya que nuestra solución no se licencia por instancias, sino por cantidad de servidores de DB.-
"Tal como establece el PBC, la cantidad mínima de instancias de base de datos requeridas es de 20 (veinte); favor considerar que, en atención a las buenas prácticas de seguridad, siempre es recomendable instalar un servidor principal y uno secundario para cada instancia a fin de soportar HA".
Podría la convocante aclarar el numero de servidores ya sean físicos o virtuales donde corren las instancias de DB, por ejemplo si son efectivamente 20 servidores o si en en algun servidor corren mas de una instancia ? ademas como menciona el esquema HA, cual de las instancias posee infraestructura de HA y de ser asi cual seria la cantidad en modalidad Activo - Activo y en Activo - Pasivo, ya que estos datos son necesarios para poder licenciar en forma correcta la solucion
En referencia al punto 2.1.19 -
La solución deberá soportar al menos las siguientes plataformas de Bases de Datos:
- Oracle 10g y superiores
- SQL Server 2000 y superiores
- Oracle RAC
- Sybase 16 y superiores
- MySQL 5.1 y superiores
- PostgreSQL 9.2 y superiores
Teniendo en cuenta que los fabricantes de las bases en algunas versiones mencionadas en el pliego han dado el EOS (End of Support) que ya no poseen soporte del fabricante, por lo tanto tampoco poseen soporte de la herramienta a ser presentada
- Oracle 10 - EOS 2010
- SQL Server2000 - EOS 2013
- Mysql 5.1 - EOS 2013
- Postgress 9.2 - EOS 2017, podria la convocante aceptar soluciones que soporten desde
Oracle 11gR2
SQL Server 2012
Oracle RAC 11gR2
MySQL 5.7
PostgressSQL 9.4
En referencia al punto 2.1.19 -
La solución deberá soportar al menos las siguientes plataformas de Bases de Datos:
- Oracle 10g y superiores
- SQL Server 2000 y superiores
- Oracle RAC
- Sybase 16 y superiores
- MySQL 5.1 y superiores
- PostgreSQL 9.2 y superiores
Teniendo en cuenta que los fabricantes de las bases en algunas versiones mencionadas en el pliego han dado el EOS (End of Support) que ya no poseen soporte del fabricante, por lo tanto tampoco poseen soporte de la herramienta a ser presentada
- Oracle 10 - EOS 2010
- SQL Server2000 - EOS 2013
- Mysql 5.1 - EOS 2013
- Postgress 9.2 - EOS 2017, podria la convocante aceptar soluciones que soporten desde
Oracle 11gR2
SQL Server 2012
Oracle RAC 11gR2
MySQL 5.7
PostgressSQL 9.4
En relación al punto 2.1.20 donde hace referencia a
Debe permitir la creación de alertas de desviaciones de los parámetros establecidos en la línea base
Podria la convocante aclarar a que hace referencia o si hace mencion a la deteccion de un comportamiento anomalo sobre el comportamiento normal de la DB, por ejemplo la deteccion de SQLinjection
En relación al punto 2.1.20 donde hace referencia a
Debe permitir la creación de alertas de desviaciones de los parámetros establecidos en la línea base
Podria la convocante aclarar a que hace referencia o si hace mencion a la deteccion de un comportamiento anomalo sobre el comportamiento normal de la DB, por ejemplo la deteccion de SQLinjection
No. Favor remitirse al PBC. Esta funcionalidad hace referencia a la capacidad de la solución de detectar comportamiento diferente (anómalo) de los usuarios regulares y autorizados, al conocer el uso normal que realizan en la BD. A manera estrictamente referencial, solo como ejemplo y de manera no limitativa, esto incluye la capacidad de detectar si un usuario que solo hace "select", de manera inusual comienza a intentar "update" o "insert" en la base de datos, con lo cual emitiría una alerta de desviación de línea base.
14
Consulta soporte
En referencia al punto 2.5.1, hace mencion a la modalidad 24x7x8. Podria la convocante aclarar el punto
Favor ajustarse a lo establecido en la Adenda del PBC.
15
Shadow IT
En referencia al punto 1.2.23
La solución debe contar con la posibilidad de detectar el uso de cloud applications (Shadow IT) y gestionar cuales de ellas son prohibidas, y cuáles permitidas, pudiendo investigar cuales usuarios incumplen las políticas
Podria la convocante aclarar el punto en cuestion, por ejemplo si hace referencia a la detección del uso de dropbox que pudiera estar comprometiendo la seguridad de la entidad
En referencia al punto 1.2.23
La solución debe contar con la posibilidad de detectar el uso de cloud applications (Shadow IT) y gestionar cuales de ellas son prohibidas, y cuáles permitidas, pudiendo investigar cuales usuarios incumplen las políticas
Podria la convocante aclarar el punto en cuestion, por ejemplo si hace referencia a la detección del uso de dropbox que pudiera estar comprometiendo la seguridad de la entidad
En referencia al punto 1.2.24
Debe detectar el mal uso de los recursos de navegación generados por los usuarios internos. Este monitoreo debe ser realizado a través de la integración con una herramienta tipo Secure Web Gateway (a traves de ICAP u otro protocolo estandard), para el monitoreo de categorías e indicadores de compromiso para identificar posibles accesos a sitios maliciosos no categorizados.
La convocante podría tener en cuenta que para el cumplimiento de este punto, es necesario contar con los datos necesario que deberan ser proveidos por el Secure Gateway, ya que el SIEM solo analiza los datos recibidos
En referencia al punto 1.2.24
Debe detectar el mal uso de los recursos de navegación generados por los usuarios internos. Este monitoreo debe ser realizado a través de la integración con una herramienta tipo Secure Web Gateway (a traves de ICAP u otro protocolo estandard), para el monitoreo de categorías e indicadores de compromiso para identificar posibles accesos a sitios maliciosos no categorizados.
La convocante podría tener en cuenta que para el cumplimiento de este punto, es necesario contar con los datos necesario que deberan ser proveidos por el Secure Gateway, ya que el SIEM solo analiza los datos recibidos
En las Especificaciones técnicas del ítem 1, 1.2 Funcionalidades, apartado 1.2.37 se indica:
Debe permitir capturar información a través de: Syslog, SNMPv2, SNMPv3, XML, OPSEC, WMI, RDEP, SDEE, Unix Pipe, API, Windows Event Logs. Así mismo debe permitir la personalización para que también esté disponible para fuentes únicas, como aplicaciones internas.
Solicitamos a la convocante que el punto RDEP sea considerado opcional debido a que no se trata de un estándar de la industria y sólo limita la participación de potenciales oferentes.
En las Especificaciones técnicas del ítem 1, 1.2 Funcionalidades, apartado 1.2.37 se indica:
Debe permitir capturar información a través de: Syslog, SNMPv2, SNMPv3, XML, OPSEC, WMI, RDEP, SDEE, Unix Pipe, API, Windows Event Logs. Así mismo debe permitir la personalización para que también esté disponible para fuentes únicas, como aplicaciones internas.
Solicitamos a la convocante que el punto RDEP sea considerado opcional debido a que no se trata de un estándar de la industria y sólo limita la participación de potenciales oferentes.
Favor remitirse al PBC. Se requiere asegurar compatibilidad con toda la infraestructura de red actual, incluyendo nuestros sensores IDS/IPS, por lo cual el protocolo RDEP es solicitado. Al respecto, les recordamos a los oferentes que tanto WMI como Windows Event Logs no son estándares de la industria, sin embargo son igualmente requeridos porque forman parte de la infraestructura del BCP que debe ser protegida, por lo cual la solución ofertada debe soportarlos.
18
EXPERIENCIA ITEM 1
Punto Experiencia requerida, se solicita “Demostrar la experiencia en haber proveído e instalado la solución ofertada con contrato/s ejecutado/s, y/o facturas, y/o recepciones finales por un monto equivalente al 30 % como mínimo del monto total ofertado en la presente licitación, de los: años 2015 al 2020”
Solicitamos a la convocante que la experiencia requerida pueda ser demostrada también con la experiencia del fabricante en la instalación y provisión de la solución. De este modo la convocante se estaría asegurando igualmente de la experiencia y el apoyo de la marca ofertada y no afectará de ningún modo con la implementación de la solución.
Punto Experiencia requerida, se solicita “Demostrar la experiencia en haber proveído e instalado la solución ofertada con contrato/s ejecutado/s, y/o facturas, y/o recepciones finales por un monto equivalente al 30 % como mínimo del monto total ofertado en la presente licitación, de los: años 2015 al 2020”
Solicitamos a la convocante que la experiencia requerida pueda ser demostrada también con la experiencia del fabricante en la instalación y provisión de la solución. De este modo la convocante se estaría asegurando igualmente de la experiencia y el apoyo de la marca ofertada y no afectará de ningún modo con la implementación de la solución.
Favor remitirse al PBC. Para el BCP es fundamental que la contratada cuente con la experiencia necesaria para la implementación y el mantenimiento de la solución ofertada durante toda la duración del contrato, en particular porque esta solución representa uno de los componentes núcleo de toda la estrategia de ciberseguridad del BCP.
19
ítem 1, 1.2 Funcionalidades
En las Especificaciones técnicas del ítem 1, 1.2 Funcionalidades, apartado 1.2.44 se indica:
Debe permitir enlazar directamente fuentes externas como Bugtraq, ICE, CVE, Datastorm, MSDB y otros.
Solicitamos que éste punto sea considerado opcional debido a que no aplica puesto que el banco NO utiliza ninguna de éstas fuentes externas y sólo limita la participación de potenciales oferentes.
En las Especificaciones técnicas del ítem 1, 1.2 Funcionalidades, apartado 1.2.44 se indica:
Debe permitir enlazar directamente fuentes externas como Bugtraq, ICE, CVE, Datastorm, MSDB y otros.
Solicitamos que éste punto sea considerado opcional debido a que no aplica puesto que el banco NO utiliza ninguna de éstas fuentes externas y sólo limita la participación de potenciales oferentes.