El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.
Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
Objetivo del Proyecto
El objetivo principal de este proyecto es que la institución, cuente con equipos de alta performance en tema de seguridad de datos, secuestro de información o ataques de diferentes indoles tecnológicos.
Tener un SBDS (Sistema de Detección y Prevención de Intrusiones) y un firewall ofrece beneficios como protección contra amenazas cibernéticas, detección de intrusiones en tiempo real, bloqueo de accesos no autorizados y filtrado de tráfico malicioso, lo cual garantiza la seguridad de los sistemas y datos.
Como complemento a estos dos equipos anteriormente citados, seria de mucha importancia contar con licencias de Software de una plataforma de seguridad cibernética, que utiliza tecnología avanzada para identificar y remediar vulnerabilidades en tiempo real, protegiendo los sistemas y datos contra posibles ataques cibernéticos.
Logrando así una solución integral para garantizar la seguridad de los sistemas informáticos.
ítems Solicitados
|
item |
Descripción |
|
1 |
Equipo para SISTEMA de ANALISIS DE TRAFICO para DETECCION Y RESPUESTA DE RED (NDR) |
|
2 |
Cortafuegos de próxima generación (Next Generation Firewall) |
|
3 |
Software de Gestión centralizada de Seguridad en tiempo real y Procesos automatizados |
Descripción de los ítems solicitados
Ítem 1: Equipo Informático para Análisis y Detección de Trafico de Red.
|
Equipo para SISTEMA de ANALISIS DE TRAFICO para DETECCION Y RESPUESTA DE RED (NDR) |
|||
|
Características |
Mínimo Exigido |
||
|
Marca/Modelo |
Indicar |
||
|
Origen |
Indicar |
||
|
Cantidad |
1 (uno) |
||
|
Puertos |
8 puertos GE |
Exigido |
|
|
8 puertos SFP |
Exigido |
|
|
|
2 puertos SFP+ |
Exigido |
|
|
|
1 RJ45 Serial |
Exigido |
|
|
|
1 RJ45 Ethernet de Administración |
Exigido |
|
|
|
Storage interno |
Deberá contar con al menos 1 TB para el registro de eventos y análisis |
Exigido |
|
|
Soporte de Sesiones |
750.000 o superior |
Exigido |
|
|
Sesiones nuevas por segundo |
30.000 o superior |
Exigido |
|
|
Análisis de Servidores de la red |
128 mínimamente |
Exigido |
|
|
Análisis de terminales de la red |
4000 mínimamente |
Exigido |
|
|
Alimentación |
100-240V AC 50/60 Hz |
Exigido |
|
|
Temperatura de operación |
0 40°C o rango superior |
Exigido |
|
|
Humedad de operación |
10 95% o rango superior |
Exigido |
|
|
Formato |
Rackeable de 2 U como máximo |
Exigido |
|
|
Función primaria |
Deberá ser un equipo o hardware dedicado catalogado como equipo NDR, para el análisis de tráfico y detección de Amenazas de red. |
Exigido |
|
|
Ante la detección de algún evento de amenazas deberá emitir alertas y órdenes de acción para mitigación de la amenaza |
Exigido |
|
|
|
No será aceptado equipos no dedicados para esta funcionalidad especifica. |
Exigido |
|
|
|
Detalles |
La instalación misma del dispositivo por sí sola, no deberá afectar el funcionamiento de red. La institución realizara las configuraciones en los switches existentes para la operación del mismo |
Exigido |
|
|
Puntos de Análisis |
Deberá ser conectado al Switch principal |
Exigido |
|
|
Deberá ser conectado al Switch de Servidores |
Exigido |
|
|
|
Deberá ser conectado a otros puntos específicos de análisis en caso de ser requerido posteriormente |
Exigido |
|
|
|
El Honey pot deberá ser conectado al switch de servidores como un servidor y adicionalmente otros puntos en caso de ser requerido. |
Exigido |
|
|
|
Identificación de Aplicaciones |
|||
|
Deberá permitir la identificación de las aplicaciones como Ofimática, IM, P2P, correo electrónico, transferencia de archivos, correo electrónico, juegos en línea, medios en streaming, en por lo menos 55 categorías incluyendo soporte para Android e IOS (podrá ser verificado con una captura de pantalla de un equipo similar que se encuentre operando de la marca ofertada) |
Exigido |
|
|
|
Deberá poseer una base de datos de no menos de 6.000 aplicaciones actualmente las cuales deberán ser actualizadas periódicamente de manera automática en el equipo, por parte del fabricante (podrá ser verificado con un captura de pantalla de un equipo similar que se encuentre operando de la marca ofertada) |
Exigido |
|
|
|
Deberá realizar estadísticas multidimensionales, basadas en zonas, interface de usuario, ubicación y dirección IP respecto a las aplicaciones y los usuarios |
Exigido |
|
|
|
Detección de Virus |
|||
|
El análisis de tráfico, deberá permitir la detección de virus de la red en tiempo real y deberá poseer una base de datos de al menos 13 millones de firmas de virus conocidos. |
Exigido |
|
|
|
Deberá soportar el escaneo de archivos de los siguientes formatos y aplicaciones: gzip, zip, bzip, tar, rar, ms office, html, mail, jpeg, elf, pe, riff, pdf y otros |
Exigido |
|
|
|
Deberá permitir el escaneo de virus y captura de paquetes para los protocolos http, smtp. Pop3, imap4, ftp, smb, sitios web maliciosos mínimamente. |
Exigido |
|
|
|
Deberá poseer una base de datos de virus, que deberán ser actualizadas de manera automática desde el fabricante de la solución |
Exigido |
|
|
|
Deberá permitir el análisis de virus de archivos comprimidos |
Exigido |
|
|
|
Detección de SPAM |
|||
|
Deberá permitir la detección, clasificación y prevención de SPAM en tiempo real para protocolos SMTP y POP3 |
Exigido |
|
|
|
Deberá permitir la especificación de SPAM confirmado, sospechoso, masivo y volumen válido mínimamente. |
Exigido |
|
|
|
La detección deberá ser independiente del idioma, formato y contenido del mensaje mínimamente. |
Exigido |
|
|
|
Deberá permitir la definición de listas blancas por parte del usuario. |
Exigido |
|
|
|
Análisis de SANDBOX |
|||
|
Deberá permitir el análisis de archivos sospechosos ya sea en un equipo Sandbox local y a la nube (Sandbox de fabricante) para su análisis exhaustivo |
Exigido |
|
|
|
Deberá soportar protocolos HTTP, SMTP, POP3, IMAP4 y FTP, SMB mínimamente |
Exigido |
|
|
|
Deberá soportar archivos del tipo o formato pe, apk, jar, Ms-office, pdf, swf, rar, zip, scripts, mínimamente |
Exigido |
|
|
|
Deberá proveer un reporte de análisis de comportamiento completo para archivos maliciosos |
Exigido |
|
|
|
Deberá realizar un Intercambio global de inteligencia sobre amenazas, bloqueo de amenazas en tiempo real |
Exigido |
|
|
|
Deberá poseer Múltiples motores de detección estática filtran rápidamente archivos normales y amenazas conocidas |
Exigido |
|
|
|
Deberá permitir la Visualización de amenazas desconocidas basada en registros, informes, información de monitoreo, informes de comportamiento de archivos |
Exigido |
|
|
|
Análisis de Intrusiones |
|||
|
Deberá poseer una base de datos de mmás de 15.000 firmas, detección de anomalías de protocolo y detección basada en la tasa actualizables de manera automática por el equipo desde la pagina del fabricante |
Exigido |
|
|
|
Deberá permitir la especificación manual de Firmas personalizadas, actualización de firmas push or pull automático y manual, enciclopedia integrada de amenazas |
Exigido |
|
|
|
Deberá poseer permitir la detección de anomalías de protocolo, incluyendo HTTP, SMTP, IMAP, POP3, DNS, SUNRPC, TELNET y otros |
Exigido |
|
|
|
Deberá incluir detección de ataques a servidores web con captura de paquetes, del tipo desbordamiento de búfer, inyección SQL y detección de ataques por scripting de cross-site, inundación de http request, verificación iframe mínimamente |
Exigido |
|
|
|
Debe permitir la detección de contraseña débil bajo parámetros de longitud mínima configurables para protocolos http, ftp, smtp, pop3, imap, telnet mínimamente, asi como la especificación de listas de contraseñas consideradas débiles y/o no apropiadas. |
Exigido |
|
|
|
Detección de Comportamiento Anormal |
|||
|
Debe permitir el Modelado de comportamiento basado en L3-L7 tráfico de la línea de base para revelar comportamientos anómalos en la red, tales como análisis HTTP, spider, spam |
Exigido |
|
|
|
Debe permitir detección de ataques DDoS incluyendo por inundación, Sockstress, zip de la muerte, reflexión, consultas DNS, SSL y aplicaciones DDoS |
Exigido |
|
|
|
Debe permitir la inspección del tráfico de un túnel encriptado para aplicaciones desconocidas |
Exigido |
|
|
|
Actualizaciones en tiempo real, online, de la base de datos de datos del comportamiento anormal |
Exigido |
|
|
|
Debe detectar de ataques de fuerza bruta RDP/VNC/SMB/SSH/FTP, TOR basado en peticiones HTTP sospechosas |
Exigido |
|
|
|
Detección de Avanzada de Amenazas |
|||
|
Debe permitir la detección avanzada de malware basada en el comportamiento |
Exigido |
|
|
|
Debe permitir la detección de más de 2000 familias de programas maliciosos conocidos y desconocidos, incluyendo virus, desbordamiento, gusanos, troyanos, etc. |
Exigido |
|
|
|
Actualizaciones en tiempo real, en línea de comportamiento de malware |
Exigido |
|
|
|
Análisis de Correlación de Amenazas |
|||
|
Debe permitir la correlación entre las amenazas desconocidas, comportamiento anormal y comportamiento de la aplicación para descubrir amenazas y ataques potenciales |
Exigido |
|
|
|
Debe permitir reglas de correlación multidimensional, actualización diaria automática en la nube |
Exigido |
|
|
|
Simulacion de HoneyPot |
|||
|
Debe poseer la función conocida como honeypot (carnada) de simulación de servidor |
Exigido |
|
|
|
Debe realizar la simulación de servidores con aplicaciones bajo los protocolos FTP, HTTP, MySQL, SSH, TELNET mínimamente |
Exigido |
|
|
|
El Sistema debe permitir la simulación de multiples servidores simultáneamente |
Exigido |
|
|
|
Deteccion de Ataques |
|||
|
Debe permitir la detección de Ataques de Protocolos Anormales |
Exigido |
|
|
|
Debe permitir la detección de Detección de Denegación de Servicios/ |
Exigido |
|
|
|
Debe permitir la detección de Denegación Servicios Distribuidos, Incluyendo Inundaciones de Trafico SYN, Inundaciones de Consultas DNS |
Exigido |
|
|
|
Debe permitir la detección de Ataques ARP y ARP Spoofing por relación IP-MAC e inspección de paquetes ARP |
Exigido |
|
|
|
Debe permitir la detección de ataques WEB basados en reglas WAF para protocolo HTTP anormal, ataque DDoS, ataque de inyección, ataque entre sitios, ataque de vulnerabilidad especial, fuga de información, acceso de detección, software malicioso, acceso ilegal a recursos |
Exigido |
|
|
|
Debe permitir la creación de una lista blanca en la función de detección WEB |
Exigido |
|
|
|
Gestión de Amenazas |
|||
|
Debe realizar Acciones para cambiar el estado de los eventos de amenaza, a abierto, falso positivo, fijo, ignorar, confirmado |
Exigido |
|
|
|
Debe permitir lista blanca de eventos de amenazas, incluido el nombre de amenaza, IP de origen/destino, conteo de aciertos, mínimamente |
Exigido |
|
|
|
Debe permitir operación con las plataformas de firewall e IPS de la misma para bloquear la amenaza |
Exigido |
|
|
|
Limpieza al servidor/computador para amenazas y reevaluación de la seguridad del host, de un solo clic |
Exigido |
|
|
|
Debe permitir Servicio de integración para Endpoint con sistema de sysmon |
Exigido |
|
|
|
Debe realizar la búsqueda y captura de paquetes de Amenazas |
Exigido |
|
|
|
Debe soportar el mapeo bajo el marco MITRE ATT&CK de eventos de amenazas |
Exigido |
|
|
|
Monitoreo de Eventos sospechosos |
|||
|
Pantalla dinámica en tiempo real con Ubicación en Mapa Geográfico desde que países se están recibiendo las amenazas, Nivel de Riesgo del Sistema, Nivel de Amenazas por cantidad y criticidad de eventos, Servidores en Riesgo, Enpoints en riesgo, grafico de de Indicadores de Compromiso en el tiempo, Gráfico de Tráfico anormal de servidores Amenazas en tiempo real, Tendencia de riesgo de servidores y endpoints |
Exigido |
|
|
|
Deberá presentar también una pantalla con monitor de servidores y endpoints en riesgo, monitor de tipo de amenazas, Servidores y endpoints con más alto riesgo y mapa geográfico desde la cual por mayor cantidad provienen los riesgos, eventos nuevos descubiertos |
Exigido |
|
|
|
Deberá presentar una pantalla con detalles de servidores donde se indiquen la cantidad y tipo de eventos como Ataques externos, Botnet conectados externamente, comando y control, transferencia de archivos externos, así como escaneos internos y ataques internos |
Exigido |
|
|
|
Cada evento deberá tener seleccionarse por criticidad, comportamiento, etiqueta de ataque, tipo de ataque, origen y destino. Adicionalmente un análisis de la amenaza, contenido del ataque, inicio y fin de la amenaza, histórico de eventos idénticos en la red, y topología de la amenaza que deberá indicar gráficamente el origen y destino/s de la amenaza |
Exigido |
|
|
|
Para los eventos, deberá adicionalmente especificarse detalles de taticas basadas en el marco Mitre Att&ck, y el nombre de dominio sospechoso utilizado |
Exigido |
|
|
|
Log y Reportes |
|||
|
Debe permitir mínimamente tres informes predefinidos: Seguridad, Flujo e Informes |
Exigido |
|
|
|
Debe permitir informes definidos por el usuario |
Exigido |
|
|
|
Debe permitir la exportación de reportes en formato pdf a través de correo electrónico y ftp |
Exigido |
|
|
|
Los registros deben incluir eventos, redes, amenazas y registros de configuración y podrán ser exportados por syslog y correo electrónico |
Exigido |
|
|
|
Debe permitir la agre agregación de registros de AV y la agregación de registros de botnets |
Exigido |
|
|
|
Debe permitir el filtrado de los registros basados en preferencias específicas como Severidad de Amenaza, Aplicación, Origen/destino, Resultado de ataque mínimamente |
Exigido |
|
|
|
Debe permitir el filtrado de los registros basados en preferencias especifica motor de detección como Detección de intrusiones, Defensa de ataques, Antivirus, Comportamiento anormal, Detección avanzada de amenazas, Sandbox, Honeypot, Antispam, Detección Botnet, ataque web mínimamente |
Exigido |
|
|
|
Administración |
|||
|
Debe permitir la Identificación, Monitoreo Interno de Equipos de Red y Servidores de Red, Nombre, Sistema Operativo, Browser, Tipos y registro de estadísticas, de amenazas de Red |
Exigido |
|
|
|
Debe permitir el Acceso via conexiones HTTP/HTTPS, SSH, Telnet, consola |
Exigido |
|
|
|
Debe permitir Alertas sobre la condición de dispositivos, incluyendo el uso de la CPU, uso de memoria, uso de disco, nuevas sesiones y sesiones simultáneas, el ancho de banda de la interfaz, temperatura del chasis y la temperatura de la CPU |
Exigido |
|
|
|
Debe permitir Alertas de ancho de banda basadas en las aplicaciones y las nuevas conexiones |
Exigido |
|
|
|
Soporte para tres tipos de alertas: correo electrónico, mensaje de texto, de trampa |
Exigido |
|
|
|
Monitoreo desde la nube |
|||
|
Deberá incluir un servicio de registro del equipo a la nube el cual permita su monitoreo las 24hr |
Exigido |
|
|
|
Deberá soportar conexiones desde un web browser, una aplicación para Android asi como dispositivos MAC |
Exigido |
|
|
|
Licencias |
|||
|
Deberá incluirse la garantía del equipo por un periodo no menor a 36 meses |
Exigido |
|
|
|
Deberá incluirse licencias de detección de Aplicaciones, Comportamiento anormal, Detección comportamiento de malware, detección de Botnet C&C, Reputacion IP, detección de ataques web, AV, IPS, AntiSpam, Sandbox, Servicio de monitoreo desde la nube por un periodo no menor a 36 meses |
Exigido |
|
|
|
El equipo deberá contar con un soporte del fabricante, con la modalidad de 3 Años, 5x8 NBD (cinco días de la semana de lunes a viernes, durante las 8 horas laborables de cada día.)
|
|
|
|
|
El oferente deberá presentar autorización del fabricante y del distribuidor en Paraguay dirigida a la convocante donde le autorice para presentar e implementar la solución |
Exigido |
|
|
|
El oferente deberá presentar al menos 1 técnico certificado de la marca ofertada |
Exigido |
|
|
ítem 2 : Cortafuegos de próxima generación (Next Generation Firewall) - Equipo de Mitigación de Amenazas Avanzadas descubiertas
|
Características |
Mínimo Exigido |
|
|
Marca |
|
|
|
Modelo |
|
|
|
Descripción: |
Deberá poseer motores de reconocimiento y bloqueo automáticos de amenazas según las indicaciones más abajo |
Exigido |
|
|
Deberá integrase con el equipo del item1 de modo a recibir comandos para mitigación de amenazas avanzadas detectadas |
Exigido |
|
|
|
Interfaces Requeridas |
8 x RJ-45 (GbE) que pueden ser configurados como WAN, LAN indistintamente |
Exigido |
|
|
1 x Puerto de consola RJ45 |
Exigido |
|
|
|
2 x USB |
Exigido |
|
|
|
1 x Administración RJ-45 Ethernet |
Exigido |
|
|
|
Características de desempeño |
Throughput de Firewall debe permitir un desempeño ≥ 5 Gbps |
Exigido |
|
|
Throughput de VPN IPsec: ≥ 2,5 Gbps |
Exigido |
|
|
|
Throughput de Antivirus: ≥ 2,0 Gbps |
Exigido |
|
|
|
Throughput de IPS debe permitir un desempeño ≥ 3,2 Gbps |
Exigido |
|
|
|
Throughput de NGFW (trafico HTTP, control de Applicaciones, e IPS habilitado application control and IPS enabled; habilitado ≥ 1,7 Gbps |
Exigido |
|
|
|
Throughput de Proteccion contra amenazas (tráfico HTTP, Control de Applicaciones, IPS, AV y filtradoURL habilitado ≥ 800 Mbps |
Exigido |
|
|
|
Sesiones concurrentes: ≥ 1 millon |
Exigido |
|
|
|
Nuevas sesiones / seg: ≥ 48.000 |
Exigido |
|
|
|
Políticas de Firewall:≥ 8.000 |
Exigido |
|
|
|
Numero de instancias virtuales soportados ≥: 5 |
Exigido |
|
|
|
|
Este equipo inicialmente deberá ser conectado en modo L2 transparente con conexiones LAG de 2 puertos de entrada y 2 puertos de conexión a la red principal y deberá permitir la operación de completa de modo Firewall en caso de ser necesario. |
Exigido |
|
|
Características de Hardware |
Factor de forma: ≤ 2RU |
Exigido |
|
|
AC Power: al menos 1 fuente de alimentación 220Vac 50Hz. |
Exigido |
|
|
|
Almacenamiento interno: 8 GB o superior |
Exigido |
|
|
|
Rango de temperatura de operación: 0°C a +40°C o rango superior |
Exigido |
|
|
|
Seguridad de datos |
La solución propuesta debe tener control de la transferencia de archivos en función de su tipo, tamaño y nombre |
Exigido |
|
|
La solución propuesta debe contar con identificación del protocolo de archivos, incluyendo HTTP, FTP, SMTP, POP3 y SMB |
Exigido |
|
|
|
La solución propuesta debe contar con identificación de firmas y sufijos de archivos para más de 100 tipos de archivos |
Exigido |
|
|
|
La solución propuesta debe contar con filtrado de contenidos para los protocolos HTTP-GET, HTTP-POST, FTP y SMTP |
Exigido |
|
|
|
La solución propuesta debe contar con identificación de MI y auditoría del comportamiento de la red |
Exigido |
|
|
|
La solución propuesta debe filtrar los archivos transmitidos por HTTPS mediante el proxy SSL y SMB |
Exigido |
|
|
|
Firewall |
La solución propuesta debe soportar los siguientes modos de funcionamiento: NAT/ruta, transparente (bridge) y mixto |
Exigido |
|
|
La solución propuesta debe soportar objetos de política: predefinidos, personalizados, políticas agregadas, agrupación de objetos |
Exigido |
|
|
|
La solución propuesta debe soportar políticas de seguridad basada en la aplicación, la función y la geolocalización |
Exigido |
|
|
|
La solución propuesta debe soportar puertas de enlace a nivel de aplicación y soporte de sesiones: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323 |
Exigido |
|
|
|
La solución propuesta debe tener soporte de NAT y ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN |
Exigido |
|
|
|
La solución propuesta debe contar con configuración de NAT: por política y tabla central de NAT |
Exigido |
|
|
|
La solución propuesta debe soportar VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing |
Exigido |
|
|
|
La solución propuesta debe contar con vista de la gestión global de las políticas |
Exigido |
|
|
|
La solución propuesta debe contar con inspección de redundancia de políticas de seguridad, grupo de políticas, reversión de la configuración de políticas, políticas agregadas |
Exigido |
|
|
|
La solución propuesta debe contar con asistente de políticas para facilitar el despliegue de políticas detalladas |
Exigido |
|
|
|
La solución propuesta debe contar con análisis de políticas y limpieza de políticas inválidas |
Exigido |
|
|
|
La solución propuesta debe contar con política global de DNS |
Exigido |
|
|
|
La solución propuesta debe contar con horarios: únicos y recurrentes |
Exigido |
|
|
|
La solución propuesta debe contar con apoyo a la importación y exportación de políticas |
Exigido |
|
|
|
Conectividad y sistema de ruteo |
La solución propuesta debe soportar enrutamiento dinámico (OSPF, BGP, RIPv2). |
Exigido |
|
|
La solución propuesta debe soportar enrutamiento estático y por políticas. |
Exigido |
|
|
|
La solución propuesta debe soportar rutas controladas por la aplicación. |
Exigido |
|
|
|
La solución propuesta debe soportar DHCP, NTP, servidor DNS y proxy DNS integrados |
Exigido |
|
|
|
La solución propuesta debe soportar modo Tap - se conecta al puerto SPAN |
Exigido |
|
|
|
La solución propuesta debe soportar los siguientes modos de interfaz: sniffer, puerto agregado, loopback, VLANs (802.1Q y Trunking) |
Exigido |
|
|
|
La solución propuesta debe soportar conmutación y enrutamiento de capa 2 y capa 3 |
Exigido |
|
|
|
La solución propuesta debe soportar multidifusión (PIM-SSM) |
Exigido |
|
|
|
La solución propuesta debe soportar el despliegue de cable virtual (capa 1) transparente en línea |
Exigido |
|
|
|
VPN |
La solución propuesta debe soportar VPN Ipsec y sus siguientes funcionalidades: |
|
|
|
Modo IPsec Fase 1: modo de protección de ID agresivo y principal |
Exigido |
|
|
|
Opciones de aceptación de pares: cualquier ID, ID específico, ID en el grupo de usuarios de acceso telefónico |
Exigido |
|
|
|
Soporta IKEv1 e IKEv2 (RFC 4306) |
Exigido |
|
|
|
Método de autenticación: certificado y clave precompartida |
Exigido |
|
|
|
Soporte de configuración del modo IKE (como servidor o cliente) |
Exigido |
|
|
|
DHCP sobre IPsec |
Exigido |
|
|
|
Caducidad de la clave de cifrado IKE configurable, frecuencia de mantenimiento de la vida de la NAT |
Exigido |
|
|
|
Fase 1/Fase 2 Propuesta de encriptación: DES, 3DES, AES128, AES192, AES256 |
Exigido |
|
|
|
Autenticación de la propuesta de la fase 1/fase 2: MD5, SHA1, SHA256, SHA384, SHA512 |
Exigido |
|
|
|
IKEv1 soporta los grupos DH 1,2,5,19,20,21,24 |
Exigido |
|
|
|
IKEv2 soporta los grupos DH 1,2,5,14,15,16,19,20,21,24 |
Exigido |
|
|
|
XAuth como modo de servidor y para usuarios de acceso telefónico |
Exigido |
|
|
|
Detección de pares muertos |
Exigido |
|
|
|
Detección de repeticiones |
Exigido |
|
|
|
Autokey keep-alive para la Fase 2 SA |
Exigido |
|
|
|
La solución propuesta debe soportar la compatibilidad con el ámbito de VPN IPsec: permite múltiples inicios de sesión de VPN SSL personalizados asociados a grupos de usuarios (rutas de URL, diseño) |
Exigido |
|
|
|
La solución propuesta debe soportar las opciones de configuración de VPN IPsec: basadas en rutas o en políticas |
Exigido |
|
|
|
La solución propuesta debe soportar los siguientes modos de implementación de VPN IPsec: puerta de enlace a puerta de enlace, malla completa, hub-and-spoke, túnel redundante, terminación de VPN en modo transparente |
Exigido |
|
|
|
La solución propuesta debe soportar el inicio de sesión único evita los inicios de sesión simultáneos con el mismo nombre de usuario |
Exigido |
|
|
|
La solución propuesta debe tener limitación de usuarios concurrentes en el portal SSL |
Exigido |
|
|
|
La solución propuesta debe tener un módulo de reenvío de puertos SSL VPN cifra los datos del cliente y los envía al servidor de aplicaciones |
Exigido |
|
|
|
La solución propuesta debe admitir clientes que funcionan con iOS, Android y Windows XP/Vista, incluido el sistema operativo Windows de 64 bits |
Exigido |
|
|
|
La solución propuesta debe tener comprobación de la integridad del host y del sistema operativo antes de las conexiones del túnel SSL |
Exigido |
|
|
|
La solución propuesta debe tener comprobación de host MAC por portal |
Exigido |
|
|
|
La solución propuesta debe tener la opción de limpieza de la caché antes de finalizar la sesión de SSL VPN |
Exigido |
|
|
|
La solución propuesta debe tener modo cliente y servidor L2TP, L2TP sobre IPsec y GRE sobre IPsec |
Exigido |
|
|
|
La solución propuesta debe poder ver y gestionar las conexiones IPsec y SSL VPN |
Exigido |
|
|
|
La solución propuesta debe poder realizar PnPVPN |
Exigido |
|
|
|
La solución propuesta debe poder realizar VTEP para el túnel unicast estático VxLAN |
Exigido |
|
|
|
Control de aplicaciones |
Debe soportar más de 6000 aplicaciones verificables en la interface gráfica de un equipo de la Línea ofertada que pueden filtrarse por nombre, categoría, subcategoría, tecnología y riesgo. Deberán poder ser actualizadas automáticamente de la página del fabricante |
Exigido |
|
|
Debe tener aplicación que contenga una descripción, factores de riesgo, dependencias, puertos típicos utilizados y URLs para referencias adicionales |
Exigido |
|
|
|
Debe soportar las siguientes acciones: bloquear, restablecer la sesión, monitoreo y traffic shapping |
Exigido |
|
|
|
Debe proporcionar supervisión y estadísticas multidimensionales para las aplicaciones en la nube, incluyendo la categoría de riesgo y las características |
Exigido |
|
|
|
Traffic Shaping / QoS |
La solución propuesta debe tener túneles de ancho de banda máximo/garantizado o base de IP/usuario |
Exigido |
|
|
La solución propuesta debe tener asignación de túneles basada en el dominio de seguridad, la interfaz, la dirección, el usuario/grupo de usuarios, el servidor/grupo de servidores, la aplicación/grupo de aplicaciones, TOS, VLAN |
Exigido |
|
|
|
La solución propuesta debe asignar el ancho de banda por tiempo, por prioridad o por reparto equitativo del ancho de banda |
Exigido |
|
|
|
La solución propuesta debe soportar Tipo de Servicio (TOS) y Servicios Diferenciados (DiffServ) |
Exigido |
|
|
|
La solución propuesta debe tener asignación prioritaria del ancho de banda restante |
Exigido |
|
|
|
La solución propuesta debe tener máximas conexiones simultáneas por IP |
Exigido |
|
|
|
La solución propuesta debe poder asignar el ancho de banda en función de la categoría de la URL |
Exigido |
|
|
|
La solución propuesta debe limitar el ancho de banda retrasando el acceso para el usuario o la IP |
Exigido |
|
|
|
La solución propuesta debe realizar la limpieza automática de la caducidad y limpieza manual del tráfico utilizado por el usuario |
Exigido |
|
|
|
Balanceo carga del servidor |
La solución propuesta debe soportar hashing ponderado, conexión mínima ponderada y round-robin ponderado |
Exigido |
|
|
La solución propuesta debe soportar protección de la sesión, persistencia de la sesión y control del estado de la sesión |
Exigido |
|
|
|
La solución propuesta debe contar con comprobación del estado del servidor, supervisión de la sesión y protección de la sesión |
Exigido |
|
|
|
Blanceo de carga de Enlace |
La solución propuesta debe contar con equilibrio de la carga de los enlaces bidireccionales |
Exigido |
|
|
La solución propuesta debe contar con equilibrio de la carga de los enlaces salientes: enrutamiento basado en políticas, incluyendo ECMP, tiempo, ponderado y enrutamiento ISP integrado; detección activa y pasiva de la calidad del enlace en tiempo real y selección de la mejor ruta |
Exigido |
|
|
|
La solución propuesta debe soportar el equilibrio de carga de los enlaces entrantes y ser compatible con SmartDNS y la detección dinámica |
Exigido |
|
|
|
La solución propuesta debe soportar la conmutación automática de enlaces en función del ancho de banda, la latencia, el jitter, la conectividad, la aplicación, etc. |
Exigido |
|
|
|
La solución propuesta debe soportar la inspección del estado del enlace con ARP, PING y DNS |
Exigido |
|
|
|
Descifrado SSL |
La solución propuesta debe soportar la identificación de aplicaciones para el tráfico cifrado SSL |
Exigido |
|
|
La solución propuesta debe contar con habilitación de IPS para el tráfico cifrado SSL |
Exigido |
|
|
|
La solución propuesta debe contar con habilitación de AV para el tráfico cifrado SSL |
Exigido |
|
|
|
La solución propuesta debe contar con filtro de URL para el tráfico cifrado SSL |
Exigido |
|
|
|
La solución propuesta debe soportar lista blanca de tráfico cifrado SSL |
Exigido |
|
|
|
La solución propuesta debe soportar el modo de descarga del proxy SSL |
Exigido |
|
|
|
La solución propuesta debe soportar la identificación de aplicaciones, DLP, sandbox IPS, AV para el tráfico descifrado del proxy SSL de SMTPS/POP3S/IMAPS |
Exigido |
|
|
|
Autenticación |
Debe soportar base de datos local de usuarios |
Exigido |
|
|
Debe soportar la autenticación remota de usuarios: TACACS+, LDAP, Radius, Active Directory |
Exigido |
|
|
|
Debe soportar el inicio de sesión único: Windows AD |
Exigido |
|
|
|
Debe soportar la autenticación de 2 factores: Soporte de terceros, servidor de tokens integrado con físico y SMS |
Exigido |
|
|
|
Debe soportar políticas basadas en usuarios y dispositivos |
Exigido |
|
|
|
Debe soportar la sincronización de grupos de usuarios basada en AD y LDAP |
Exigido |
|
|
|
Debe tener soporte para 802.1X, SSO Proxy |
Exigido |
|
|
|
Debe contar con WebAuth: personalización de la página, prevención de grietas forzadas, soporte de IPv6 |
Exigido |
|
|
|
Debe tener autenticación basada en la interfaz |
Exigido |
|
|
|
Debe contar con ADSSO sin agente (sondeo AD) |
Exigido |
|
|
|
Debe poder utilizar la sincronización de la autenticación basada en el monitor SSO |
Exigido |
|
|
|
Debe admitir la autentificación de usuarios basada en IP y en MAC |
Exigido |
|
|
|
Debe soportar que el servidor Radius emite la política de seguridad del usuario a través de un mensaje CoA |
Exigido |
|
|
|
Antivirus |
La solución propuesta debe tener actualizaciones de firmas manuales, automáticas, push o pull |
Exigido |
|
|
La solución propuesta debe añadir o eliminar manualmente la firma MD5 en la base de datos AV |
Exigido |
|
|
|
La solución propuesta debe de soportar firma MD5 cargando a la nube sandbox, y añadiendo o eliminando manualmente en la base de datos local |
Exigido |
|
|
|
La solución propuesta debe de soportar antivirus basado en flujo: los protocolos incluyen HTTP, SMTP, POP3, IMAP, FTP/SFTP, SMB |
Exigido |
|
|
|
La solución propuesta debe soportar análisis de virus de archivos comprimidos |
Exigido |
|
|
|
Administración |
La solución propuesta debe tener acceso de gestión: HTTP/HTTPS, SSH, telnet, consola |
Exigido |
|
|
La solución propuesta debe de tener integración de sistemas: SNMP, syslog, alianzas |
Exigido |
|
|
|
La solución propuesta debe tener despliegue rápido: Autoinstalación USB, ejecución local y remota de scripts |
Exigido |
|
|
|
La solución propuesta debe contar con un tablero de control dinámico en tiempo real y widgets de seguimiento de la información. |
Exigido |
|
|
|
La solución propuesta debe tener soporte de idiomas: inglés o español como mínimo |
Exigido |
|
|
|
Registros e informes |
Debe poder tener instalaciones de registro: almacenamiento local 64 GB o superior; hasta 6 meses de almacenamiento de registros con almacenamiento de expansión (disco duro SSD), servidor syslog |
Exigido |
|
|
Debe tener el registro cifrado e integridad de los registros con carga programada de registros por lotes de HSA |
Exigido |
|
|
|
Debe tener el registro fiable mediante la opción TCP (RFC 3195) |
Exigido |
|
|
|
Debe tener los registros de tráfico detallados: reenviados, sesiones violadas, tráfico local, paquetes no válidos, URL, etc. |
Exigido |
|
|
|
Debe tener registros completos de eventos: auditorías de la actividad del sistema y de la administración, enrutamiento y redes, VPN, autenticaciones de usuarios, eventos relacionados con Wi-Fi |
Exigido |
|
|
|
Debe tener la opción de resolución de nombres de IP y puertos de servicio |
Exigido |
|
|
|
Debe tener la opción de formato de registro de tráfico breve |
Exigido |
|
|
|
Debe contar con al menos tres informes predefinidos: Informes de seguridad, de flujo y de red |
Exigido |
|
|
|
Debe permitir informes definidos por el usuario |
Exigido |
|
|
|
Debe tener los informes para exportar en PDF, Word y HTML por correo electrónico y FTP |
Exigido |
|
|
|
Estadísticas y control |
Debe soportar las estadísticas y seguimiento de aplicaciones, URL y eventos de amenazas |
Exigido |
|
|
Debe soportar las estadísticas y análisis de tráfico en tiempo real |
Exigido |
|
|
|
Debe proporcionar la información del sistema, como la sesión simultánea, el CPU, la memoria y la temperatura |
Exigido |
|
|
|
Debe proporcionar las estadísticas y supervisión del tráfico iQOS, supervisión del estado de los enlaces |
Exigido |
|
|
|
Debe tener el soporte de colección de información del tráfico y reenvío vía Netflow (v9.0) |
Exigido |
|
|
|
Filtrado de URLs |
La solución propuesta debe de contar con inspección de filtrado web basada en el flujo |
Exigido |
|
|
La solución propuesta debe tener filtrado web definido manualmente basado en la URL, el contenido web y el encabezado MIME |
Exigido |
|
|
|
La solución propuesta debe tener filtrado web dinámico con base de datos de categorización en tiempo real basada en la nube: más de 140 millones de URL con 64 categorías (8 de ellas relacionadas con la seguridad) |
Exigido |
|
|
|
Anulación del perfil de filtrado web: permite al administrador asignar temporalmente diferentes perfiles al usuario/grupo/IP |
Exigido |
|
|
|
Filtro web de categorías locales y anulación de la clasificación de categorías |
Exigido |
|
|
|
Admite la lista de direcciones permitidas y la lista de bloqueadas |
Exigido |
|
|
|
IPS |
Debe contar con detección de anomalías en los protocolos, detección basada en la velocidad, firmas personalizadas, actualizaciones de firmas manuales o automáticas push o pull, con enciclopedia de amenazas integrada |
Exigido |
|
|
Debe contar con acciones del IPS: por defecto, supervisar, bloquear, restablecer (IP del atacante o IP de la víctima, interfaz de entrada) con tiempo de caducidad |
Exigido |
|
|
|
Debe contar con opción de registro de paquetes |
Exigido |
|
|
|
Debe incluir una base de datos de firmas de IPS con por lo menos 15.200 firmas verificables en la interface gráfica de un equipo de la Línea ofertada, y que pueden ser actualizadas automáticamente desde la página del fabricante |
Exigido |
|
|
|
Debe contar con selección basada en filtros: gravedad, objetivo, sistema operativo, aplicación o protocolo |
Exigido |
|
|
|
Debe contar exención de IP de firmas específicas de IPS |
Exigido |
|
|
|
Debe contar con modo sniffer IDS |
Exigido |
|
|
|
Debe Protección Dos basadas en la tasa de IPv4 e IPv6 con ajustes de umbral contra la inundación de TCP Syn, el escaneo de puertos TCP/UDP/SCTP, el barrido ICMP, la inundación de sesiones TCP/UDP/ SCIP/ICMP (origen/destino) |
Exigido |
|
|
|
Debe contar con bypass activo con interfaces de bypass |
Exigido |
|
|
|
Debe contar con configuración de prevención predefinida |
Exigido |
|
|
|
Debe poder realizar captura de paquetes de amenazas IPS (con almacenamiento de expansión) |
Exigido |
|
|
|
Alta disponibilidad |
La solución propuesta debe soportar interfaces redundantes de latidos del corazón para alta disponibilidad |
Exigido |
|
|
La solución propuesta debe soportar los modos Activo/Pasivo, Activo/Activo |
Exigido |
|
|
|
La solución propuesta debe soportar la sincronización de sesiones independientes |
Exigido |
|
|
|
La solución propuesta debe Interfaz de gestión reservada para HA |
Exigido |
|
|
|
La solución propuesta debe soportar la conmutación por error: |
Exigido |
|
|
|
Monitorización de puertos, enlaces locales y remotos |
Exigido |
|
|
|
Conmutación por error de estado |
Exigido |
|
|
|
Recuperación en menos de un segundo |
Exigido |
|
|
|
Notificación de fallos |
Exigido |
|
|
|
La solución propuesta debe soportar las siguientes opciones de despliegue: |
|
|
|
|
HA con agregación de enlaces |
Exigido |
|
|
|
Malla completa HA |
Exigido |
|
|
|
HA geográficamente dispersa |
Exigido |
|
|
|
Reputación IP |
La solución propuesta debe identificar y filtrar el tráfico procedente de las direcciones IPs de riesgo, como hosts de botnets, spammers, nodos Tor, hosts vulnerados y ataques de fuerza bruta. |
Exigido |
|
|
La solución propuesta debe soportar el registro, eliminación de paquetes o bloqueo de diferentes tipos de tráfico IP de riesgo |
Exigido |
|
|
|
La solución propuesta debe soportar la actualización periódica de la base de datos de firmas de reputación IP |
Exigido |
|
|
|
Sandbox |
La solución propuesta debe soportar la subida de los archivos maliciosos a la sandbox de la nube para su análisis |
Exigido |
|
|
La solución propuesta debe soportar protocolos como HTTP/HTTPS, POP3, IMAP, SMTP, FTP y SMB |
Exigido |
|
|
|
La solución propuesta debe soportar tipos de archivos como PE, ZIP, RAR, Office, PDF, APK, JAR, SWF y Script |
Exigido |
|
|
|
La solución propuesta debe tener dirección de la transferencia de archivos y control del tamaño de los mismos |
Exigido |
|
|
|
Proporcionar un informe completo de análisis del comportamiento de los archivos maliciosos |
Exigido |
|
|
|
Intercambio de información sobre amenazas a nivel mundial, bloqueo de amenazas en tiempo real |
Exigido |
|
|
|
La solución propuesta debe soportar el modo solo detección sin subir archivos |
Exigido |
|
|
|
Configuración de la lista de URLs permitidas/bloqueadas |
Exigido |
|
|
|
Prevención de Command and Control de botnet |
La solución propuesta debe descubrir el host de la red de bots de la intranet mediante la supervisión de las conexiones de C&C y bloquear otras amenazas avanzadas como la red de bots y el ransomware |
Exigido |
|
|
La solución propuesta debe actualizar periódicamente las direcciones de los servidores de la red de bots |
Exigido |
|
|
|
La solución propuesta debe tener prevención para IP y el dominio del C&C |
Exigido |
|
|
|
La solución propuesta debe admitir la detección de tráfico TCP, HTTP y DNS |
Exigido |
|
|
|
La solución propuesta debe permitir lista de permisos y bloqueos basada en la dirección IP o el nombre de dominio |
Exigido |
|
|
|
La solución propuesta debe soportar la detección de DNS sinkhole y DNS tunneling |
Exigido |
|
|
|
La solución propuesta debe soportar la detección de la DGA |
Exigido |
|
|
|
Endpoint Control |
La solución propuesta debe tener soporte para identificar la IP del punto final, la cantidad de puntos finales, el tiempo en línea, el tiempo fuera de línea y la duración en línea |
Exigido |
|
|
La solución propuesta debe soportar 10 sistemas operativos incluyendo Windows, iOS, Android, etc. |
Exigido |
|
|
|
La solución propuesta debe admitir la consulta basada en la IP, la cantidad de puntos finales, la política de control y el estado, etc. |
Exigido |
|
|
|
La solución propuesta debe soportar la identificación de la cantidad de puntos finales a los que se accede a través de la capa 3, el registro y la interferencia en la IP sobrepasada |
Exigido |
|
|
|
La solución propuesta debe soportar la visualización de la página de redireccionamiento después de la operación de interferencia personalizada |
Exigido |
|
|
|
La solución propuesta debe admitir operaciones de bloqueo en IP sobrepasadas |
Exigido |
|
|
|
La solución propuesta debe soportar la identificación de usuarios y control del tráfico para los servicios de escritorio remoto de Windows Server |
Exigido |
|
|
|
Defense Attack |
La solución propuesta debe de contar con defensa contra ataques de protocolos anormales |
Exigido |
|
|
La solución propuesta debe contar con defensa contra ataques de inundación, incluyendo inundación ICMP, inundación UDP, inundación de consulta DNS, inundación de consulta DNS recursiva, inundación de respuesta DNS, inundación SYN |
Exigido |
|
|
|
La solución propuesta debe contar con defensa contra la falsificación de ARP y la falsificación de ND |
Exigido |
|
|
|
La solución propuesta debe contar con defensa contra el escaneo y la suplantación de identidad, incluida la suplantación de direcciones IP, el barrido de direcciones IP y el escaneo de puertos |
Exigido |
|
|
|
La solución propuesta debe contar con defensa DoS/DDoS, incluyendo el ataque de ping de la muerte, el ataque de lágrima, el fragmento IP, la opción IP, el ataque pitufo o frágil, el ataque de tierra, el paquete ICMP grande, el ataque WinNuke |
Exigido |
|
|
|
La solución propuesta debe contar con lista de permisos para la dirección IP de destino |
Exigido |
|
|
|
Soporte de Función ZTNA
|
Debe soportar en caso de ser requerido acceso con funciones de Zero-Trust |
Exigido |
|
|
Debe soportar configuración de políticas basadas en etiquetas ZTNA y recursos de aplicación con protección de seguridad y seguridad de datos |
Exigido |
|
|
|
Debe soportar ajuste dinámico de autorización en políticas cuando el estado del endpoint cambia |
Exigido |
|
|
|
Debe soportar transición suave de clientes SSL VPN a solución ZTNA |
Exigido |
|
|
|
Debe soportar paquete de autenticación simple (SPA) |
Exigido |
|
|
|
Debe soportar administración de permisos a nivel de nombre de dominio |
Exigido |
|
|
|
Debe soportar auto selección de Gateway optimo |
Exigido |
|
|
|
|
El firewall debe ser del mismo fabricante que el analizador de manera a asegurar el correcto funcionamiento de la solución. |
Exigido |
|
|
|
El equipo deberá contar con un soporte del fabricante, con la modalidad de 3 Años, 5x8 NBD (cinco días de la semana de lunes a viernes, durante las 8 horas laborables de cada día.)
|
Exigido |
|
|
El oferente deberá presentar autorización del fabricante y del distribuidor en Paraguay dirigida a la convocante donde le autorice para presentar e implementar la solución |
Exigido |
|
|
|
El oferente deberá presentar al menos 1 técnico certificado de la marca ofertada |
Exigido |
|
|
|
Monitoreo desde la nube |
|||
|
Deberá incluir un servicio de registro del equipo a la nube el cual permita su monitoreo las 24hr |
Exigido |
|
|
|
Deberá soportar conexiones desde un web browser, una aplicación para Android asi como dispositivos MAC |
Exigido |
|
|
|
Licenciamiento y actualizaciones |
El licenciamiento de todas las funcionalidades debe ser ilimitado en cuanto a usuarios, cajas de correo, conexiones, equipos que pasan a través de la solución, limitándola solamente por el desempeño del equipo. La vigencia de las actualizaciones para los servicios de IPS, Antivirus (AV), Filtrado URL, QoS, IPR, C2, AS, y Sandbox debe proveerse por el periodo de 36 meses. |
Exigido |
|
|
Instalación |
Se deberán realizar todas las configuraciones en el equipo conforme requerimientos de la convocante. |
Exigido |
|
|
Técnicos certificados |
El oferente deberá contar con al menos 1 (un) técnico certificado por la fábrica para la instalación y configuración de los equipos ofertados |
Exigido |
|
|
ISO |
ISO 9001, ISO14001 o similar del equipo ofertado, Certificación ICSA labs. |
Exigido |
|
|
Autorización |
El oferente deberá ser representante o distribuidor autorizado de los bienes ofertados. Se deberá presentar una Autorización del Fabricante para presentar oferta asi como también del distribuidor en Paraguay. |
Exigido |
|
|
Garantía de fábrica |
El equipo ofertado deberá contar con una garantía de fábrica de al menos 3 años. Esta garantía permite el acceso a las actualizaciones de SW del equipo sin costo para la convocante durante el periodo de garantía. |
Exigido |
|
|
Soporte técnico |
Se deberá incluir en la oferta el soporte técnico 24/7 por el oferente durante el periodo de garantía del fabricante. |
Exigido |
|
|
Documentaciones |
Catálogos y Especificaciones originales del Equipo Ofertado. Serán considerados como catálogos y especificaciones originales del equipo ofertado todo material que pueda ser descargado de la web del fabricante. |
Exigido |
|
Ítem 3: Software de Gestión centralizada de Seguridad en tiempo real y Procesos automatizados
|
Software de Gestión centralizada de Seguridad y Procesos automatizados. |
|||||
|
Características |
Mínimo Exigido |
||||
|
Marca |
|
||||
|
Modelo |
|
||||
|
Cantidad |
50 (Cincuenta) |
||||
|
PLATAFORMAS |
La plataforma debe ser Cloud - SaaS La plataforma debe tener visibilidad y cobertura en tiempo real para los sistemas operativos y aplicaciones de su organización, es decir, cualquier cambio en el inventario (instalación / desinstalación / cambio de aplicaciones y / o activos debe reflejarse instantáneamente en su panel de control) La plataforma debe proporcionar una solución integrada para la gestión de vulnerabilidades, la priorización de riesgos y la corrección en una plataforma. La plataforma debe correr en alguna de las Clouds más usadas Debe contar por lo menos con dos métodos de autenticación (Ej :User y pass, mail de verificación, SAML2 with IDPs) La plataforma debe tener la posibilidad de instalar un proxy en la red para poder hacer patching caching El proxy debe correr en al menos sistema Linux Ubuntu o Red Hat El proxy no debe tener costo adicional |
Exigido |
|
|
|
|
CARACTERISTICAS PRINCIPALES |
Evaluación continua Reconocimiento automático de aplicaciones Priorización de amenazas basada en activos Priorización de vulnerabilidades combinada con inteligencia interna. Priorización y reparación de vulnerabilidades de un extremo a otro Proceso de clasificación de riesgos para priorizar la corrección de vulnerabilidades descubiertas. Clasificación de riesgo basada en activos Clasificación de riesgo por aplicaciones Debe presentar la clasificación de riesgo y priorizar las vulnerabilidades a corregir en orden de criticidad no solo desde CVE, sino también en relación al contexto de desempeño y la situación del entorno. Mapeo de priorización Administración de parches para Windows OS Administración de parches para aplicaciones de terceros en Windows Administración de parches para Linux OS Administración de parches para aplicaciones de terceros en Linux Administración de parches para Mac OS Detección de vulnerabilidades en tiempo real Detenga la explotación de software en tiempo real Debe tener la funcionalidad para agregar protección contra una vulnerabilidad, sin necesariamente aplicar el parche ("parche virtual"). Información heredada de CVE Actualización constante de vulnerabilidades Debe admitir al menos el número de vulnerabilidades heredadas igual o superior a 160.000 Debe identificar parches de seguridad en los sistemas operativos Debe permitir la ejecución de comandos en todos los puntos finales que tengan agentes. Programación de la instalación de parches o ejecución de scripts Posibilidad de ejecutar acciones automáticas pre-configuradas y customizadas (Auto Actions) Posibilidad de generar scripts en la misma plataforma para Windows, Linux y Mac Protección contra vulnerabilidades del día 0 Motor de acciones recomendadas Ejecute scripts de corrección en toda la plataforma. Permitir el despliegue de los agentes por línea de comandos Permitir la implementación de los agentes a través de la GPO Debe soportar varios roles de usuarios. Debe poder segregar diferentes activos entre diferentes grupos de usuarios con diferentes niveles de permisos. |
Exigido |
|
|
|
|
AGENTES |
Los agentes deben poder escanear al menos las plataformas Windows, Linux y Mac. Los agentes deben poder parchear al menos las plataformas Windows, Linux y Mac. El agente debe poder parchearse a sí mismo. El agente puede estar protegido por parche virtual. |
Exigido |
|
|
|
|
INTEGRACIONES y REPORTES |
La plataforma debe soporta integraciones con cualquier software via API Debe soportar integraciones via SAML2 con los sistemas más conocidos ( ej : Okta, Ping Identity y mas ). Genere informes sobre vulnerabilidades encontradas en uno de los siguientes tipos: formatos PDFm con exportación a CSV, PDF: · Resumen ejecutivo, con información resumida sobre el escaneo. · Informe detallado, con toda la información técnica necesaria para que los lectores reproduzcan los problemas identificados. Debe tener un tablero con resultados en tiempo real de las vulnerabilidades existentes Informe de riesgo integrado en la misma plataforma Soporte de informes de riesgos de múltiples aplicaciones. |
Exigido |
|
|
|
|
|
El software deberá contar con un soporte del fabricante, con la modalidad de 1 Año, 5x8 NBD (cinco días de la semana de lunes a viernes, durante las 8 horas laborables de cada día.) |
|
|
|
|
|
El oferente deberá presentar autorización del fabricante y del distribuidor en Paraguay dirigida a la convocante donde le autorice para presentar e implementar la solución |
Exigido |
|
|
||
|
El oferente deberá presentar al menos 1 técnico certificado de la marca ofertada |
Exigido |
|
|
||
La entrega de los bienes se realizará de acuerdo al plan de entrega y cronograma de cumplimiento, indicado en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicado a continuación:
|
Ítem |
Nombre del Bien |
Cantidad |
Unidad de medida del bien |
Lugar donde los bienes serán entregados |
Fecha(s) final(es) de entrega de los bienes |
|
1 |
Sistema de análisis de tráfico para detección y respuesta de Red |
1 |
unidad |
Humaitá 145 Edificio Planeta I |
Una vez emitida la orden de servicio y recepcionada por el oferente adjudicado, en un plazo máximo de 30 (treinta) días corridos. |
|
2 |
Cortafuegos de próxima generación (Next Generation Firewall) |
1 |
unidad |
Humaitá 145 Edificio Planeta I |
Una vez emitida la orden de servicio y recepcionada por el oferente adjudicado, en un plazo máximo de 30 (treinta) días corridos. |
|
3 |
Software de gestión centralizada de seguridad en tiempo real y procesos automatizados |
1 |
unidad |
Humaitá 145 Edificio Planeta I |
Una vez emitida la orden de servicio y recepcionada por el oferente adjudicado, en un plazo máximo de 90 (noventa) días corridos. |
NO APLICA.
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indica a continuación:
No aplica
El documento requerido para acreditar el cumplimiento contractual, será:
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA |
|
Notas de Remisión / Actas de recepción 1 y 2 |
Notas de Remisión / Actas de recepción 1 y 2 |
30 días a partir del retiro de la OC |
|
Nota de Remisión/ Acta de recepción 3 |
Nota de Remisión/ Acta de recepción 3 |
90 días a partir del retiro de la OC |
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.
La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.
1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante de la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.
2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.
3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad de Bienes requeridos, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.
En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la Convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.
La comunicación de la adjudicación a los oferentes será como sigue:
1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.
2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.
3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.
4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.
5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.
Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.
La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.
La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.
La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.
Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.
|
|
|
|
|
|
|
|
2. Documentos. Consorcios |
|
|
|
|