El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.

Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.

ESPECIFICACIONES TÉCNICAS

1. CANTIDAD DE SERVICIOS

2. OBJETO

Prestar servicios de seguridad de la información en la modalidad de Servicio bajo Demanda por un plazo de 24 meses.

3. CONFIDENCIALIDAD (Cumple/No Cumple)

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización de la AFD. El Oferente como cada uno de los miembros del plantel en forma particular, deberán firmar acuerdos de confidencialidad con la AFD.

Cada una de las partes protegerá la información obtenida durante el desarrollo del trabajo de la misma manera en que protege su propia información confidencial, haciéndose responsable por cualquier daño/perjuicio que se pudiera ocasionar por el uso indebido de la información accedida. La AFD podrá disponer para su uso de todos los entregables, que no incluyen metodología ni software utilizado. Salvo autorización de los responsables de la AFD, una vez finalizado el trabajo se procederá a eliminar toda copia electrónica y/o impresa de la información obtenida de cualquiera de los equipos informáticos del personal afectado al trabajo.

4. CONDICIONES PARA LA PRESTACION DE SERVICIOS (Cumple/No cumple)

La AFD se reserva el derecho de rescindir el Contrato, con causa justificada, toda vez que considere que el servicio prestado por el Oferente no cumpla con las especificaciones técnicas requeridas y el nivel de servicio esperado.

La AFD se reserva el derecho de aceptar o rechazar la nómina del personal presentado en cualquier momento mientras dure el contrato, debiendo el Oferente proponer un personal para reemplazar al anterior en un plazo no mayor a 30 días calendario y en las condiciones establecidas en el documento de conformidad.

El Oferente debe dedicarse en forma exclusiva, o al menos contar con una división técnica dedicada y exclusiva, al rubro de Seguridad de la Información (servicios de seguridad, test de intrusión, ciber seguridad, capacitación en seguridad, entre otros).

5. SERVICIOS SOLICITADOS

En este apartado se describen las especificaciones técnicas relativas a la prestación de los servicios de seguridad requeridos y demás información pertinente.

Se requiere del servicio de técnicos certificados y especializados en seguridad de la información, que apliquen metodologías reconocidas y aceptadas internacionalmente, de acuerdo a las buenas prácticas y estándares de seguridad de la información. A continuación se describen los requerimientos solicitados.

6. METODOLOGÍA DE TRABAJO

Con base a las necesidades de la AFD,  se solicitará al Oferente la realización de algún determinado servicio, definiendo las actividades del trabajo a realizar, a partir de esta solicitud, el Oferente deberá remitir a la AFD  el detalle de los trabajos a realizar, indicando las actividades que realizará para la consecución de los objetivos requeridos,  horas-hombre que demandará el servicio, entregables y el personal técnico involucrado. Todos los trabajos a realizar deberán ser aprobados previamente por la AFD para su ejecución.  En ningún caso El Oferente podrá transferir los costos de viáticos, traslado, u otros conceptos a la AFD, siendo posible únicamente la facturación en base a las horas demandadas para el servicio en cuestión.

Ante la solicitud de servicios de testeos de Seguridad, el plantel técnico deberá determinar las vulnerabilidades, amenazas y/o riesgos de seguridad de la información a los cuales se encuentran expuestos las aplicaciones, los datos e informaciones, la infraestructura tecnológica, los procesos y procedimientos de la AFD, además de las posibles mejoras que puedan ser implementadas.

Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones de la AFD.

La infraestructura tecnológica de la AFD, está compuesta de la siguiente manera (lista referencial, no limitativa):

• Servidor  1 IBM  (4 hojas)
• Equipos de Comunicaciones: 5 (cinco)
• Estaciones de Trabajo: 100 (cien)
• Controladora Wireless: 1 (una)
• Aplicación Web Interna: 2 (dos)
• Direcciones IP públicas: 5 (cinco)

 El Oferente debe simular todos los ataques que sean convenientes según el tipo de objetivo a testar, en coordinación con la AFD. Entre ellos se mencionan algunos de los más importantes (lista referencial, no limitativa):

• SQL Injection
• Man-in-the-middle
• XSS (Cross-site scripting)
• Brute-force Attack
• Buffer Overflow
• Smurf / MAC Spoofing
• DHCP spoofing
• DNS hijacking / pharming
• ARP Cache Poisoning
• VLAN Hopping
• IP Redirections
• Session Hijacking
• Session Replay
• Protocol Fuzzing
• Escaneo y Cracking de paquetes y contraseñas

El plantel técnico deberá detallar qué metodología(s) de trabajo utilizará para cada uno de los servicios solicitados. La metodología de trabajo seleccionada deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología de trabajo deberá basarse en OWASP.

Dependiendo de cada caso, el Oferente deberá proveer los informes que correspondan, a solicitud y entera conformidad de la AFD. Estos pudieran ser:

1.       Descripción detallada de la(s) metodología(s) de trabajo (s) a utilizar durante el servicio.

2.       Plan de trabajo a desarrollar.

3.       Lista detallada del personal involucrado, servicios, aplicaciones y equipos evaluados.

4.       Detalle cronológico de cada procedimiento realizado.

5.       Lista y detalle técnico de las vulnerabilidades detectadas en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones y recomendaciones de seguridad a ser implementadas para subsanar esta vulnerabilidad.

6.       Normas, políticas o demás documentación relevante.

7.       Soporte de capacitación y concientización.

8.       Otros informes relacionados a los servicios descriptos en este pliego que puedan ser solicitados.

El Oferente podrá facilitar cualquier otro informe o documentación final que considere oportuno, en base a las metodologías de trabajos utilizadas, conclusiones y/o sugerencias técnicas.

En caso de eventuales daños o perjuicios de cualquier tipo causado a la AFD o a algún tercero en la ejecución del servicio, El Oferente deberá hacerse responsable de la remediación y asumir los costos de los mismos antes de la finalización del servicio.

Los informes solicitados por deberán ser firmados digitalmente conforme lo establecido en la legislación vigente de la Firma Digital en Paraguay para su entrega,

Para las pruebas de intrusión el plantel técnico deberá disponer de su propia conexión con acceso a la nube pública de internet, quedando a exclusivo cargo del plantel técnico cualquier gasto o responsabilidad asociada al uso del mismo. Para las pruebas de intrusión interna o servicios on-site que pudiera requerir el área de Seguridad de la Información, la AFD proveerá el ambiente desde el cual se deban realizar las pruebas.  Las actividades serán coordinadas con el Responsable de Seguridad de la Información de la AFD.

• Nombre,  cargo  y  la dependencia de la Institución de quien solicita el llamado a ser publicado: Viviana Gamarra, Coordinadora de Seguridad de la Información de la AFD
• Necesidad que se pretende satisfacer mediante la contratación a ser realizada: Contratar el servicio de seguridad de la información en la modalidad de Servicio bajo Demanda.
• Planificación: se trata de una necesidad periódica, siendo su último antecedente el llamado a Licitación por Concurso de Ofertas con ID N° 376.268 adjudicado durante la ejecución del PAC 2020. 
• Especificaciones técnicas establecidas: elaboradas por el área solicitante, junto con la estimación de costo. 

No aplica

No aplica

No aplica

No aplica

Serán presentados informes eventuales dentro del plazo de vigencia del contrato. Total: de acuerdo a la cantidad de uso del servicio.  

Planificación de indicadores de cumplimiento:

La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.

La comunicación de la adjudicación a los oferentes será como sigue:

1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.

2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.

3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.

4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.

5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.

Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.

La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.

La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.

La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.