Diferencias entre la versión 9 y 10 del Pliego de la Licitación 438168 - Adquisición de Solución de Seguridad para Accesos Privilegiados y Clúster de Bóveda de Contraseñas (SBE) - Ad Referéndum.

ITEM N° 1 - SOLUCION DE SEGURIDAD PARA ACCESOS PRIVILEGIADOS (PAM)

Especificaciones

Generalidades del Servicio

Requerimiento

Los componentes críticos de la solución, como la bóveda segura de credenciales, deben asegurar alta disponibilidad. Si es en la nube, deben cumplir con SOC2. Si es en implementaciones locales, nubes privadas o entornos híbridos, deben instalarse con alta disponibilidad, satélite o al menos DR en cada ubicación (sitio principal y alterno, con sincronización entre sitios). Asegurando que el proceso sea transparente para los usuarios conectados en caso de pérdida de comunicación y mecanismos para la recuperación ante desastres compatibles con soluciones de copia de seguridad y archivado disponibles en el mercado.

Exigido

Se debe incluir todo el hardware y software (licencias de sistemas operativos, aplicaciones de base), al mismo tiempo de lo especificado en el ítem 2, que sea necesario para el funcionamiento óptimo de la solución, mientras sea ofrecido el servicio. En el caso de requerirse de licencias Windows Server, estas serán provistas por el BNF a través de su contrato EA. La oferta debe incluir todas las actualizaciones disponibles del software provisto y el servicio de soporte técnico empresarial del fabricante y el partner/distribuidor local, en formato 24x7, durante el periodo del contrato.

Exigido

EL BNF dispondrá para la implementación de:
Sitio primario: Hasta 7 máquinas virtuales, cada una como máximo de 40 vCPUs, 64 GB de RAM y 500 GB HDD, en un Hipervisor
Sitio secundario: Hasta 7 máquinas virtuales, cada una como máximo de 40 vCPUs, 64 GB de RAM y 500 GB HDD, en un Hipervisor

Exigido

Capacidades generales de la herramienta PAM

Requerimiento

Debe poder gestionar cuentas privilegiadas en al menos los siguientes sistemas operativos: Windows, Unix, Linux, AS400, MAC OS, ESX/ESXi, XenServers y Linux RedHat.

Exigido

Debe poder gestionar cuentas privilegiadas de Saas/websites/web interfaces.

Exigido

Debe poder gestionar cuentas privilegiadas de redes sociales, tales como: Facebook, Instagram, Whatsapp, Linkedin, etc.

Exigido

Debe tener la capacidad de conectarse a dispositivo de red a través de SSH.

Exigido

Debe tener la capacidad de que un usuario pueda solicitar el uso de una cuenta privilegiada para una fecha u hora futura.

Exigido

Posibilidad de realizar búsquedas basadas en la lista de comandos o queries para trazabilidad y seguimiento de los mismos para futuras consultas sobre la biblioteca de videos generados por las sesiones de usuarios para identificar tiempos exactos de los queries o comandos que ocurren en dichos videos.

Exigido

Debe tener la capacidad de detectar dispositivos como máquinas virtuales, servidores físicos, estaciones de trabajo con sistema operativo Microsoft Windows para su administración en la solución.

Exigido

Debe poder integrarse a soluciones HSM (Hardware Security Module)

Exigido

Debe soportar integración con soluciones Two Factor Authentication (2FA).

Exigido

Debe contar con la flexibilidad para crear diferentes reglas de protección para ocultar recursos

 Exigido

Debe soportar integración con al menos una solución de análisis de vulnerabilidades.

Exigido

Debe contar con una API REST (Interfaz de Programación de Aplicaciones) a través de servicios web para la gestión y el aprovisionamiento de la solución, lo que permitiría, la automatización de procesos

Exigido

Debe proporcionar un acceso remoto seguro (fuera de la red corporativa) sin necesidad de instalar clientes VPN en los dispositivos de los usuarios remotos, garantizando un acceso seguro con MFA sin modificar los recursos de autenticación corporativos como el AD.

Exigido

Debe contar con bloqueo de inicio de sesiones en los dispositivos, configurable para grupos de roles o grupos de usuarios.

Exigido 

Debe monitorear las sesiones, registrar, identificar, relacionar y contrarrestar todos los comportamientos inusuales, incluyendo servidores Linux/Unix, Windows, controladores de dominio de Microsoft Active Directory, estaciones de trabajo Windows, varios activos de red y de seguridad, así como aplicaciones cliente-servidor/web y servicios en la nube, ya sean IaaS, SaaS o PaaS.

Exigido

debe ser capaz de generar registros de los procesos de flujo de trabajo y tener la habilidad de generar informes o realizar auditorías.

Exigido

Debe incluir licencias para 150 usuarios administradores, con acceso remoto seguro SSL.

Exigido

Reportes y Auditoría

Requerimiento

Debe ser capaz de auditar y generar reportes de todas las modificaciones administrativas realizadas en el sistema.

Exigido

Debe cumplir con las siguientes normativas: GDPR e ISO27001.

Exigido

Integración de la Solución

Requerimiento

Posibilidad de integrarse con soluciones tipo SIEM

Exigido

Integración con directorios LDAP/AD

Exigido

Integración con al menos una solución de Scanner de vulnerabilidades

Exigido

Análisis de Comportamiento de Usuario (UBA)

Requerimiento

Debe fundamentarse en algoritmos de aprendizaje automático no supervisados. Los modelos estadísticos para los casos de uso deben estar preparados y calibrados.

Exigido

Debe evaluar el riesgo de autenticación mediante la verificación del comportamiento histórico de la identidad minimamente a través de los siguientes atributos: Día de la semana, Horario de acceso, origen y longitud de la sesión.

Exigido

Debe proporcionar gráficos de línea de tiempo, gráficos circulares, mapas con la geolocalización de eventos, gráficos de barras, tablas analíticas y mapas de relaciones. Sus dimensiones y categorías deben ser personalizables.

Exigido

Debe permitir como mínimo personalizar las visitas de los dashboards predefinidos mediante la aplicación de filtros de manera local en la plataforma y permitir la extracción de datos para conectar mediante APls a herramientas de Bl a fin de permitir ampliar el manejo de información generada por la herramienta.

Exigido

Monitoreo/Grabación de Actividad Privilegiada

Requerimiento

Debe ser capaz de grabar sesiones privilegiadas en sistemas como Windows, servidores virtuales, Linux, equipos de comunicaciones, bases de datos y aplicaciones web.

Exigido

Debe ser capaz de realizar búsquedas basadas en la lista de comandos o queries (query) para trazabilidad y seguimiento de los mismos para futuras consultas sobre la biblioteca de videos generadas por las sesiones de usuarios para identificar tiempos exactos de los queries (query) o comandos que ocurren en dichos videos.

Exigido

 Debe ser capaz de restringir la ejecución de comandos y aplicaciones que se ejecuten con cuentas privilegiadas gestionadas por la solución, sin necesidad de realizar configuraciones en los sistemas objetivo.

Exigido

Acceso Remoto Privilegiado a Terceros

Requerimiento

Deberá poder gestionar un acceso privilegiado hacia la infraestructura interna a usuarios internos y terceros remotos fuera de la red interna tan solo en minutos sin necesidad de tener una VPN

Exigido

Para otorgar accesos privilegiados remotos la solución no debe requerir de instalación de agentes ni configuraciones de conexiones VPN

Exigido

Para otorgar accesos privilegiados remotos la solución proveida deberá soportar autenticaciones de multifactor basadas en al menos una de las siguientes opciones: biométricos, sms, correo electrónico o tokens.

Exigido

La solución debe contar con la posibilidad de integrarse con aplicaciones de terceros para agregar una capa adicional de seguridad en la autenticación de usuarios externos, mediante biométricos o algún otro factor para teléfonos inteligentes iOS y Android

Exigido

Para otorgar accesos privilegiados remotos la solución no debe requerir usar contraseñas como métodos de autenticación.

Exigido

La seguridad de la plataforma de autenticación para accesos remotos debe estar acorde a uno de los siguientes estándares de seguridad: OWASP, NIST o CIS.

Exigido

Debe incluir licencias para 100 usuarios de tercero.

Exigido

Gestión de Privilegios para Endpoints (EPM)

Requerimiento

Debe permitir que se muestren mensajes personalizados antes de que una aplicación se ejecute o se bloquee

Exigido

Debe permitir exigir las directivas de control de acceso a los usuarios, de tal forma a ampliar las opciones de control de seguridad para la protección de la herramienta.

Exigido

Los usuarios solo deben poder establecer canales de comunicación con los sitios protegidos que fueron autorizados para cada usuario tras el proceso de autenticación.

Exigido 

Autenticación Multifactor (MFA)

Requerimiento

Para realizar el restablecimiento de contraseña de servicio automático o desbloqueo de usuario.

Exigido

Debe ser capaz de ofrecer mínimamente al menos uno de los siguientes métodos para múltiples factores de autenticación:

Exigido

Usuario y contraseña de los directorios admitidos en la solución.

Exigido

A través de la aplicación móvil iOS y Android, que ofrece soporte para (Biometría FaceID, Biometría a través del lector digital, notificación para aprobar o rechazar una autenticación, Geolocalización a través de GPS coordenadas e IDatabase)

Exigido

Soporte tokens OATH OTP. Autenticación en la pantalla de inicio de sesión a través de QRcode (Passwordless) sin necesidad de introducir el usuario y la contraseña, con la opción de forzar la biometría en el dispositivo móvil.

Exigido

Entrega de código a través de SMS y llamada de voz.

Exigido

Preguntas de seguridad Notificaciones de correo electrónico y teléfono móvil

Exigido

OTP tokens (en línea, fuera de línea, por correo electrónico y Hardware).

Exigido

Debe ser capaz de soportar autenticadores que admiten FIDO2 / U2F/OTP, que admiten al menos uno de los siguientes:

Exigido

• Windows Hello.

Exigido

• Microsoft Authenticator

Exigido

• Google Authenticator

Exigido

• MacOS TouchID.

Exigido

• Google Titan Key

Exigido

Debe ser capaz de soportar confirmación de código mediante al menos una de las siguientes opciones: biométricos, SMS, correo electrónico o Tokens.

Exigido

Debe ser capaz de soportar clientes de OAth OTP (por ejemplo, Google Authenticator).

Exigido

Debe soportar integraciones con soluciones de seguridad de terceros robustas como: Cisco Duo Security

Exigido

Debe permitir el restablecimiento de contraseña y el desbloqueo del usuario, desde el panel de administración.

Exigido

Debe soportar autenticación dinámica basada en el contexto de riesgo y seguridad, permitiendo la creación de un perfil para cada usuario, aprovechando los atributos históricos y situacionales específicos del mismo, como la ubicación, el dispositivo, la red, el horario y el índice de riesgo de comportamiento.

Exigido

Soporte de MFA (Autenticación Multifactor) incluido para el total de las licencias adquiridas.

             Exigido

Single Sign On (SSO)

Requerimiento

Debe permitir la configuración de las aplicaciones web mínimamente a través de al menos uno de los siguientes protocolos y métodos, para por lo menos 20 usuarios administradores:

Exigido

• SAML 2.0

Exigido

• Modo cliente Oauth 2.0

Exigido

• ADFS

Exigido

• Conexión OpenID

Exigido

• Ntlm

Exigido

• Modo de servidor Oauth 2.0

Exigido

• HTTP Basic

Exigido

• Ws- Federaction

Exigido

• Extensión en el navegador para capturar aplicaciones web que utilizan el formulario con el usuario y la contraseña y realizar la finalización automática del inicio de sesión y la contraseña de forma automatizada. Esta información debe almacenarse de forma segura en la solución para la finalización automática en futuros inicios de sesión en estas aplicaciones.

Exigido

Debe permitir la inyección de usuario y contraseña para los administradores de sesiones web, conforme a cumplir con las mejores prácticas para la protección de accesos y basado en el cumplimiento de concesiones de privilegios a usuarios.

Exigido

Debe exigir al usuario de la autenticación para el acceso a las aplicaciones web, conforme a cumplir con las mejores prácticas para la protección de accesos y las concesiones a privilegios a usuarios.

Exigido

Debe disponer de un servicio de directorio para almacenar identidades en la solución, sin depender de la sincronización con otros servicios de directorio on-premise o en la nube de terceros.

Exigido

El servicio de directorio de soluciones debe tener la capacidad de exigir que la personalización de atributos pueda ser realizada en credenciales y dispositivos gestionados en la plataforma, de manera a tener mayor flexibilidad en la creación de grupos de usuarios.

Exigido

Debe admitir la integración con los servicios de directorio en la nube y on-premises, lo que debe admitir mínimamente:

Exigido

• Microsoft Active Directory.

Exigido

• Microsoft Azure AD

Exigido

• LDAP

Exigido

Las integraciones con un directorio de terceros no deben sincronizarse con estas bases de datos, es decir, cargar todo el directorio configurado en la nube, la solución debe actuar como intermediario entre los servicios de directorio de terceros y la solución.

Exigido

Debe tener la capacidad de integrarse a LOS PROVEEDORES DE IDENTIDAD (IDP) de los socios comerciales de la organización mediante la federación realizada por la plataforma, sin la necesidad de crear nuevas identidades en la infraestructura. De forma tal que los protocolos como: LDAP, SAML, OpenID y otros puedan ser empleados para brindar acceso a las identidades federadas.

Exigido

Periodo de Suscripción

Requerimiento

Suscripción de la plataforma por un periodo de 3 años

Exigido

ITEM N° 2 CLUSTER DE SERVIDORES PARA LA BOVEDA DE CONTRASEÑAS

Especificaciones

Generalidades del Servicio

Requerimiento

Marca

Exigido

Modelo

Exigido

Cantidad: Dos (2)

Exigido

Factor en forma: Rackeable de 2U máximo.

Exigido

Procesador

Requerimiento

• Cantidad instalada en el equipo: Dos (2)

Exigido

• Cantidad máxima soportada por el equipo: Dos (2)

Exigido

Características de cada procesador:

Exigido

• Cantidad de cores: 16C/32T como mínimo

Exigido

• Frecuencia: 2.0 GHz como mínimo.

Exigido

Memoria:

Requerimiento

• Cantidad instalada: 128 GB como mínimo.

Exigido

• Tipo de memoria: DDR4400 MT/s RDIMM o superior.

Exigido

• Capacidad máxima de memoria soportado por el equipo: 4 TB como mínimo

Exigido

• Cantidad máxima de slots soportados por el equipo: 16 slots como mínimo.

Exigido

• Tipos de protección soportadas: ECC, Memory Mirroring, Patrol Scrubbing y Memory Sparing como mínimo

Exigido

Almacenamiento

Requerimiento

10 (diez) unidades SATA SSD de 3.84TB o superior.

Exigido

El equipo debe contar con dos (2) unidades SSD tipo M.2 internos (en configuración espejada RAID 1) de al menos 960 GB cada uno para el arranque del Sistema Operativo.

Exigido

2 (dos) unidades SATA SSD de 1.92TB o superior.

Exigido

Capacidad de albergar hasta 24 unidades de 2.5 SAS/SATA (SFF) frontales y al menos dos (2) unidades de 2.5 SAS /SATA/NVME (SFF) en Bahías traseras

Exigido

El equipo debe poder soportar discos SAS y SATA

Exigido

Controladora de discos:

Exigido

• 8 GB de cache tipo Flash o superior

Exigido

• Soporte para RAID 0, 1, 5, 10, 50

Exigido

Ranuras de Expansión

Requerimiento

2 slots PCIe, con posibilidad de ampliar a 4 slots PCIe a futuro como mínimo.

Exigido

Interfaces de periféricos

Requerimiento

Puertos USB: tres unidades (por lo menos uno de 3.0)

Exigido

Gráfico DB-15: una unidad posterior.

Exigido

Serial: con capacidad de poder agregar una unidad a futuro.

Exigido

Tarjeta Gráfica

Requerimiento

Puerto grafico de 16MB integrado con resolución máxima de 1920x1200, 16bpp, 60Hz.

Exigido

Fuente de alimentación

Requerimiento

Fuente de alimentación redundante de 1100W (1+1) Hot Plug o superior

Exigido

Comunicaciones

Requerimiento

Al menos 4 (cuatro) puertos de 10 GbE Base-T y dos (2) tarjetas PCle de 4 (cuatro) Puertos de 10/25Gb SFP28 como mínimo.

Exigido

Sistema Operativos Soportados

Requerimiento

Windows Server 2019 o superior

Exigido

VMware ESXi 8.0 o superior

Exigido

Características RAS

Requerimiento

Diagnóstico de fallas de hardware en el equipo mediante LEDs indicadores; y también debe contar con análisis predictivo de fallas que cubra los siguientes componentes del sistema: procesador, regulador de voltaje, memoria, discos, controladores de disco, fuente de poder y ventiladores.

Exigido

Administración

Requerimiento

Puerto dedicado RJ-45 con soporte de Consola Remota

Exigido

Kit de Montaje en Rack y Accesorios

Requerimiento

Proporcionar el kit completo de: cables, transceivers, fibra óptica conectores, soportes, organizadores y demás accesorios requeridos para el montaje y funcionamiento correcto del servidor en el rack.

Exigido

Certificado de Calidad

Requerimiento

La marca ofertada debe contar con certificación ISO 9001 y 14001 como mínimo.

Exigido

Garantía

Requerimiento

5 (cinco) años con el máximo nivel de Soporte Empresarial 24x7 de la marca y del proveedor local

Exigido