Secciones
Versión 9
Versión 10
Diferencias entre las versiones 9 y 10
Detalles de los productos y/o servicios con las respectivas especificaciones técnicas - CPS
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
|
ITEM N° 1 - SOLUCION DE SEGURIDAD PARA ACCESOS PRIVILEGIADOS (PAM) |
|
|
Especificaciones |
|
|
Generalidades del Servicio |
Requerimiento |
|
Debe ser diseñado de manera modular para adaptarse a aumentos en el uso, la adición de más plataformas o la implementación de esquemas de alta disponibilidad sin tener que pagar por licencias adicionales. Todo lo implementado y desarrollado quedara como propiedad del BNF. Al término de la vigencia de la solución el proveedor deberá entregar el código fuente de todo lo desarrollado. |
Exigido |
|
La solución debe ser basada en software y estar disponible como un servicio (SaaS) o mediante una suscripción para su implementación en la nube y/o en entornos físicos o virtualizados con infraestructura. |
Exigido |
|
Los componentes críticos de la solución, como la bóveda segura de credenciales, deben asegurar alta disponibilidad. Si es en la nube, deben cumplir con SOC2. Si es en implementaciones locales, nubes privadas o entornos híbridos, deben instalarse con alta disponibilidad, satélite o al menos DR en cada ubicación (sitio principal y alterno, con sincronización entre sitios). Asegurando que el proceso sea transparente para los usuarios conectados en caso de pérdida de comunicación y mecanismos para la recuperación ante desastres compatibles con soluciones de copia de seguridad y archivado disponibles en el mercado. |
Exigido |
|
Se debe incluir todo el hardware y software (licencias de sistemas operativos, aplicaciones de base), al mismo tiempo de lo especificado en el ítem 2, que sea necesario para el funcionamiento óptimo de la solución, mientras sea ofrecido el servicio. En el caso de requerirse de licencias Windows Server, estas serán provistas por el BNF a través de su contrato EA. La oferta debe incluir todas las actualizaciones disponibles del software provisto y el servicio de soporte técnico Premium del fabricante, al menos en formato 8x5, durante el periodo del contrato. |
Exigido |
|
EL BNF dispondrá para la implementación de: |
Exigido |
|
Capacidades generales de la herramienta PAM |
Requerimiento |
|
Debe poder gestionar cuentas privilegiadas en al menos los siguientes sistemas operativos: Windows, Unix, Linux, MAC OS, ESX/ESXi, XenServers y Linux RedHat. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de al menos las siguientes Bases de datos: Oracle, MSSQL, Postgresql, DB2. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas basadas en al menos los siguientes servicios de directorio: Microsoft, Azure AD. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de dispositivos de red (Firewalls, Routers, Switches, APs, PBXs, NACs, Proxys). |
Exigido |
|
Debe poder gestionar cuentas privilegiadas en dispositivos de almacenamiento y permitir la conexión automática a cualquier almacenamiento, ya sea administrado por una interfaz web o sesiones SSH, sin exponer la contraseña privilegiada. |
Exigido |
|
Debe proveer mecanismos de protección que permitan ocultar recursos en un mismo segmento de red |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de Aplicaciones Cloud como Facebook, Google G Suite, Google Gmail, GitHub, Docker, LinkedIn, Instagram, Twitter, Amazon, Azure, VMware, Office 365, PaloAlto, RedHat. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de Saas/websites/web interfaces. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de redes sociales: Facebook, Instagram, Whatsapp, Linkedin, etc. |
Exigido |
|
Debe tener la capacidad de conectarse a cualquier dispositivo de red a través de SSH. |
Exigido |
|
Debe tener la capacidad de soportar cualquier repositorio de datos mediante conexión ODBC. |
Exigido |
|
Debe ser capaz de combinar múltiples reglas de acceso por cada usuario para establecer los permisos de acceso a través de microsegmentación. |
Exigido |
|
Debe tener la capacidad de permitir a través de un administrador definir y agregar cuentas privilegiadas. |
Exigido |
|
Debe ser posible establecer reglas de acceso de manera individual por cada recurso o grupo de recursos de red. |
Exigido |
|
Debe tener la capacidad de que un usuario pueda solicitar el uso de una cuenta privilegiada para una fecha u hora futura. |
Exigido |
|
Posibilidad de realizar búsquedas dentro de los videos de auditoría. |
Exigido |
|
Debe tener la capacidad de detectar automáticamente nuevos dispositivos Laptops o PCs Windows, Servicios Windows (Windows Services), Scheduled Tasks, IIS Service Accounts, para su administración en la solución. |
Exigido |
|
Debe poder integrarse a soluciones HSM (Hardware Security Module) |
Exigido |
|
Debe soportar integración con soluciones Two Factor Authentication (2FA). |
Exigido |
|
Debe contar con la flexibilidad para crear diferentes reglas de protección para ocultar recursos |
Exigido |
|
Debe soportar integración con soluciones de análisis de vulnerabilidades. |
Exigido |
|
Debe contar con una API REST (Interfaz de Programación de Aplicaciones) a través de servicios web para la gestión y el aprovisionamiento de la solución, lo que permitiría, la automatización de procesos |
Exigido |
|
Debe proporcionar un acceso remoto seguro (fuera de la red corporativa) a los administradores sin necesidad de instalar clientes VPN en los dispositivos de los usuarios remotos, garantizando un acceso seguro con MFA sin modificar los recursos de autenticación corporativos como el AD. |
Exigido |
|
Debe contar con la opción de bloquear todo el tráfico de entrada o salida desde y hacia cualquier destino |
Exigido |
|
Debe monitorear las sesiones, registrar, identificar, relacionar y contrarrestar todos los comportamientos inusuales, incluyendo servidores Linux/Unix, Windows, controladores de dominio de Microsoft Active Directory, estaciones de trabajo Windows, varios activos de red y de seguridad, así como aplicaciones cliente-servidor/web y servicios en la nube, ya sean IaaS, SaaS o PaaS. |
Exigido |
|
Debe permitir la identificación de acciones que indiquen abuso, comportamiento anormal y fuera de los estándares aprendidos o asignados, aplicando medidas automáticas de mitigación como la re-autenticación, suspensión y terminación de sesiones y rotación de credenciales privilegiadas en caso de actividad sospechosa de alto riesgo. Detección de casos como: recuperación de contraseñas de cuentas con privilegios en horarios o días irregulares según el perfil de comportamiento del usuario, acceso a cuentas con privilegios desde una dirección IP o subred inusual según el perfil de comportamiento del usuario, y conexión a un equipo con una cuenta con privilegios no administrada por la solución. |
Exigido |
|
Debe ser capaz de soportar controles duales y permitir diferentes configuraciones de aprobaciones, por ejemplo, cuando un usuario solicita una contraseña. Esto debe incluir la capacidad de enviar notificaciones automáticas por correo electrónico. |
Exigido |
|
Debe ser capaz de soportar flujos de trabajo flexibles para designar múltiples aprobadores, por ejemplo, requerir dos o más aprobaciones antes de autorizar el acceso. |
Exigido |
|
debe ser capaz de generar registros de los procesos de flujo de trabajo y tener la habilidad de generar informes o realizar auditorías. |
Exigido |
|
Debe incluir licencias para 100 usuarios administradores, con acceso remoto seguro SSL. |
Exigido |
|
Seguridad de la aplicación |
Requerimiento |
|
Debe ser capaz de integrarse con métodos de autenticación empresariales, como LDAP, Windows SSO, PKI, RADIUS y mecanismos de autenticación propios. |
Exigido |
|
Debe ser capaz de cifrar todos los datos, incluyendo credenciales, secretos y sesiones grabadas. |
Exigido |
|
Debe asegurar la integridad de los registros al almacenarlos y acceder a ellos de manera segura. |
Exigido |
|
Debe ser capaz de restringir la visualización de contraseñas controladas por otros departamentos de la compañía a ciertos administradores. |
Exigido |
|
Todas las comunicaciones que se realicen hacia la solución y desde la solución deben estar cifradas. |
Exigido |
|
Gestión de claves y cuentas privilegiadas |
Requerimiento |
|
Debe ser capaz de cambiar contraseñas en intervalos configurables de días, meses o años. |
Exigido |
|
Debe ser capaz de cambiar varias contraseñas al mismo tiempo para un solo sistema o para sistemas agrupados bajo un criterio común. |
Exigido |
|
Debe ser capaz de asignar contraseñas a un valor random |
Exigido |
|
Debe permitir que un administrador cambie manualmente una contraseña en cualquier momento. |
Exigido |
|
Debe ser capaz de cambiar automáticamente el valor de una contraseña después de un tiempo especificado de un check-out |
Exigido |
|
Debe ser capaz de cambiar de forma automática la contraseña de una cuenta que acaba de ser definida en el sistema |
Exigido |
|
Debe ser capaz de realizar verificación automática del valor de una contraseña en el sistema correspondiente. |
Exigido |
|
Debe ser capaz de sincronizar de forma automática contraseñas que se hayan detectado como out of sync o que se haya perdido, sin utilizar herramientas externas de restauración. |
Exigido |
|
Debe permitir la configuración de una longitud mínima y complejidad para las contraseñas de cuentas de súper usuarios en todos los sistemas. |
Exigido |
|
Debe ser capaz de conservar el historial de contraseñas. |
Exigido |
|
Debe ser capaz de gestionar cuentas de súper usuario que hayan sido renombradas de su nombre predeterminado. |
Exigido |
|
Debe ser capaz de soportar conexiones transparentes a un dispositivo objetivo sin necesidad de ver o ingresar la contraseña durante la conexión. |
Exigido |
|
Debe ser capaz de soportar conexiones directas a dispositivos de administración UNIX/LINUX (SSH) y permitir la grabación de la sesión. |
Exigido |
|
Debe permitir la gestión de al menos 1.000 activos en su bóveda de contraseñas. |
Exigido |
|
Reportes y Auditoría |
Requerimiento |
|
Debe ser capaz de mostrar en una vista rápida todas las actividades relacionadas con una cuenta privilegiada, como el restablecimiento de una contraseña o sesiones de administración utilizando dicha cuenta. |
Exigido |
|
Debe registrar toda información conocida sobre un usuario a medida que se otorga o deniega el acceso. |
Exigido |
|
Debe ser capaz de generar reportes de forma periódica, bajo demanda o en forma programada |
Exigido |
|
Debe registrar todos los accesos de usuarios, incluyendo el tráfico permitido y denegado. |
Exigido |
|
Debe ser capaz de generar informes detallados y programados que incluyan información como reportes de privilegios, actividad de usuarios, inventario de cuentas privilegiadas, inventario de aplicaciones y reportes de cumplimiento, entre otros. |
Exigido |
|
Debe ser capaz de auditar y generar reportes de todas las modificaciones administrativas realizadas en el sistema. |
Exigido |
|
Debe cumplir con las siguientes normativas: GDPR, ISO27001, NIST 800-53 |
Exigido |
|
Integración de la Solución |
Requerimiento |
|
Posibilidad de integrarse con soluciones tipo SIEM |
Exigido |
|
Integración con directorios LDAP/AD |
Exigido |
|
Integración con soluciones de Scanner de vulnerabilidades |
Exigido |
|
Análisis de Comportamiento de Usuario (UBA) |
Requerimiento |
|
Debe fundamentarse en algoritmos de aprendizaje automático no supervisados. Los modelos estadísticos para los casos de uso deben estar preparados y calibrados. |
Exigido |
|
Debe evaluar el riesgo de autenticación mediante la verificación del comportamiento histórico de la identidad a través de los siguientes atributos: GeoVelocidad, Geolocalización, Día de la semana, Horario de acceso, Sistema operativo y Fallas de inicio de sesión consecutivas |
Exigido |
|
Debe soportar la verificación de la postura del usuario final funciona sin la inclusión de software adicional de terceros |
Exigido |
|
Debe permitir la configuración de niveles de riesgo personalizados en función del comportamiento del usuario. |
Exigido |
|
Debe permitir tomar decisiones y acciones, como permitir el inicio de sesión único (Single Sign On), solicitar autenticación multifactor (MFA), denegar la autenticación, entre otros, en función del nivel de riesgo asignado a la cuenta de usuario. |
Exigido |
|
Debe proporcionar a los administradores de la solución la capacidad de examinar datos históricos a través de paneles, filtros y gráficos configurables, verificar alertas y los factores que las influenciaron, y explorar eventos capturados y sus atributos. |
Exigido |
|
Debe proporcionar gráficos de línea de tiempo, gráficos circulares, mapas con la geolocalización de eventos, gráficos de barras, tablas analíticas y mapas de relaciones. Sus dimensiones y categorías deben ser personalizables. |
Exigido |
|
Debe permitir configurar dashboards personalizados. |
Exigido |
|
Monitoreo/Grabación de Actividad Privilegiada |
Requerimiento |
|
Debe ser capaz de grabar sesiones privilegiadas en sistemas como Windows, servidores virtuales, Linux, equipos de comunicaciones, bases de datos y aplicaciones web. |
Exigido |
|
Debe ser capaz de realizar búsquedas de comandos privilegiados dentro de las grabaciones de video. |
Exigido |
|
Debe ser capaz de restringir la ejecución de comandos y aplicaciones que se ejecuten con cuentas privilegiadas gestionadas por la solución, sin necesidad de realizar configuraciones en los sistemas objetivo. |
Exigido |
|
Debe ser capaz de intervenir y/o finalizar remotamente una sesión en tiempo real en caso de actividad sospechosa o si es requerido por un administrador o auditor. |
Exigido |
|
Gestión de llaves SSH |
Exigido |
|
Se requiere un método para identificar llaves SSH pares, llaves huérfanas y relaciones de confianza dentro de la organización |
Exigido |
|
Debe ser capaz de almacenar de forma segura y controla el acceso a las llaves privadas SSH |
Exigido |
|
Debe ser capaz de permitir la automatización de rotación de llaves |
Exigido |
|
Acceso Remoto Privilegiado a Terceros |
Requerimiento |
|
Deberá poder gestionar un acceso privilegiado hacia la infraestructura interna a usuarios internos y terceros remotos fuera de la red interna tan solo en minutos sin necesidad de tener una VPN |
Exigido |
|
Para otorgar accesos privilegiados remotos la solución no debe requerir de instalación de agentes ni configuraciones de conexiones VPN |
Exigido |
|
Para otorgar accesos privilegiados remotos la solución debe proveer autenticaciones de factor humano basadas en biométricos |
Exigido |
|
La solución debe contar con una aplicación de autenticación biométrica para teléfonos inteligentes iOS y Android |
Exigido |
|
Para otorgar accesos privilegiados remotos la solución no debe requerir usar contraseñas como métodos de autenticación. |
Exigido |
|
La seguridad de la plataforma de autenticación para accesos remotos debe estar acorde a estándares de seguridad OWASP, NIST y CAIQ |
Exigido |
|
Debe incluir licencias para 50 usuarios de tercero. |
Exigido |
|
Gestión de Privilegios para Endpoints (EPM) |
Requerimiento |
|
La protección y el control de los privilegios deben ser proporcionados por agentes instalados en el sistema operativo de las estaciones de trabajo. |
Exigido |
|
Debe proporcionar opciones de ejecución sin necesidad de notificación previa: desde aplicaciones con privilegios en modo explícito y transparente, monitoreadas desde aplicaciones en modo explícito y transparente, con limitaciones de aplicación en modo explícito y transparente. |
Exigido |
|
Debe tener la capacidad de evaluar la reputación del archivo ejecutado a partir de al menos una fuente externa y ofrecer la opción de enviar archivos sospechosos para su análisis de malware en soluciones comerciales. |
Exigido |
|
Debe soportar al menos estaciones de trabajo: Windows 7 x32 y x64, Windows 8/8.1 x32 y x64, Windows 10 x32 y x64 |
Exigido |
|
Debe ser factible establecer reglas de control para permitir y bloquear la ejecución de aplicaciones utilizando las funcionalidades instaladas en el sistema operativo de destino, independientemente de si el acceso al activo se realiza a través de monitores/grabadoras de sesión o directamente en el recurso. |
Exigido |
|
Debe ser factible establecer reglas para controlar el nivel de privilegio utilizado en la ejecución de aplicaciones permitidas que utilizan las funcionalidades instaladas en el sistema operativo de destino, independientemente de si el acceso al activo se realiza a través de monitores/grabadoras de sesión o directamente en el recurso. |
Exigido |
|
Debe ser factible implementar el control de nivel de privilegios independientemente del permiso que el usuario tenga localmente en el activo o dominio, permitiendo a los usuarios con restricciones realizar actividades de nivel administrativo. |
Exigido |
|
Debe permitir acceder a aplicaciones y archivos, cuando se incluyen en reglas, individualmente o en grupos. |
Exigido |
|
Debe ser posible la liberación de emergencia de la ejecución de comandos y la elevación de privilegios sin deshabilitar la solución si el usuario está sin conexión. |
Exigido |
|
Debe tener una integración con el Control de Cuentas de Usuarios (UAC) de Windows y contener informes del uso de mensajes a los usuarios realizados por UAC |
Exigido |
|
Debe permitir que se muestren mensajes personalizados antes de que una aplicación se ejecute o se bloquee |
Exigido |
|
Debe permitir la configuración de señuelos" tales como contraseñas y credenciales falsas del administrador local para la detección de ataques en curso y el bloqueo proactivo. |
Exigido |
|
Los usuarios solo deben poder establecer canales de comunicación con los sitios protegidos que fueron autorizados para cada usuario tras el proceso de autenticación. |
Exigido |
|
Debe ser posible implementar la verificación de CheckSum de archivos, los parámetros permitidos y la firma del fabricante para objetos de solución reutilizables. |
Exigido |
|
Debe prevenir el robo de credenciales en entornos de autenticación Microsoft (LSASS, SAM, etc.) y en aplicaciones de uso y administración de plataformas y browsers. |
Exigido |
|
Debe permitir la elevación de privilegios utilizando Autenticación Multifactor (MFA) adaptativo, que permita la configuración de múltiples factores para aplicar antes de la elevación de privilegios en una estación de trabajo o servidor, permitiendo así verificar la identidad antes de la elevación del privilegio. |
Exigido |
|
Debe incluir al menos 100 agentes de elevación de privilegios para estaciones de trabajo Windows. |
Exigido |
|
Autenticación Multifactor (MFA) |
Requerimiento |
|
Debe ser capaz de cumplir mínimamente los siguientes casos de uso para solicitar uno y más factores de autenticación: |
Exigido |
|
Aplicaciones web integradas en la autenticación simplificada - funciones SSO. |
Exigido |
|
En las pantallas de inicio de sesión y desbloqueo de los sistemas operativos Windows. Autenticación multifactor para soluciones VPN a través de RADIUS o SAML. |
Exigido |
|
Cualquier dispositivo o sistema operativo que admita RADIUS. Complemento para ADFS (IDP, proveedor de identidad), servicios de federación de Active Directory. |
Exigido |
|
Debe ser posible configurar reglas de acceso que exijan la validación de autenticación multifactor de manera individual. |
Exigido |
|
A petición mediante el protocolo Oauth y las API de REST. |
Exigido |
|
Para realizar el restablecimiento de contraseña de servicio automático o desbloqueo de usuario. |
Exigido |
|
Debe ser capaz de ofrecer mínimamente los siguientes métodos para múltiples factores de autenticación: |
Exigido |
|
Usuario y contraseña de los directorios admitidos en la solución. |
Exigido |
|
A través de la aplicación móvil iOS y Android, que ofrece soporte para (Biometría FaceID, Biometría a través del lector digital, notificación para aprobar o rechazar una autenticación, Geolocalización a través de GPS coordenadas e IDatabase) |
Exigido |
|
Soporte tokens OATH OTP. Autenticación en la pantalla de inicio de sesión a través de QRcode (Passwordless) sin necesidad de introducir el usuario y la contraseña, con la opción de forzar la biometría en el dispositivo móvil. |
Exigido |
|
Entrega de código a través de SMS y llamada de voz. |
Exigido |
|
Preguntas de seguridad Notificaciones de correo electrónico y teléfono móvil |
Exigido |
|
OTP tokens (en línea, fuera de línea, por correo electrónico y Hardware). |
Exigido |
|
Debe ser capaz de soportar autenticadores que admiten FIDO2 / U2F, que admiten mínimamente: |
Exigido |
|
• Windows Hello. |
Exigido |
|
• Google Titan Key |
Exigido |
|
• MacOS TouchID. |
Exigido |
|
Debe ser capaz de soportar confirmación de código por correo electrónico. |
Exigido |
|
Debe ser capaz de soportar clientes de Oath OTP (por ejemplo, Google Authenticator). |
Exigido |
|
Debe ser capaz de soportar preguntas y respuestas previamente configuradas. |
Exigido |
|
Debe permitir que los usuarios realicen el restablecimiento de contraseña y el desbloqueo del usuario, autoservicio mediante los múltiples métodos de factor de autenticación citados para la verificación positiva a través del portal de soluciones, Windows y la pantalla de inicio de sesión del sistema operativo MacOS, y a través de las API de REST que ofrece la solución. |
Exigido |
|
Debe soportar autenticación dinámica basada en el contexto de riesgo y seguridad aprendido por la solución, permitiendo la creación de un perfil para cada usuario, aprovechando los atributos históricos y situacionales específicos del mismo, como la ubicación, el dispositivo, la red, el horario y el índice de riesgo de comportamiento. |
Exigido |
|
Debe permitir el análisis de las solicitudes de autenticación con los estándares históricos, asignación de índice de riesgo a cada intento de inicio de sesión, generación de alertas y creación de directivas de bloqueo para que se activen cuando se detecte un comportamiento anómalo y se simplifique el acceso cuando se entienda que el usuario es legítimo. |
Exigido |
|
Debe permitir a los usuarios agregar y modificar factores de autenticación directamente en un portal con una definición de período de omisión de autenticación multifactor. |
Exigido |
|
Debe proporcionar informes y paneles personalizables que detallen la información en tiempo real sobre las actividades de autenticación, como errores de autenticación secundarios, intentos de inicio de sesión correctos y los factores de autenticación más utilizados. |
Exigido |
|
Soporte de MFA (Autenticación Multifactor) para 100 usuarios. |
Exigido |
|
Single Sign On (SSO) |
Requerimiento |
|
Debe permitir la configuración de las aplicaciones web mínimamente a través de los siguientes protocolos y métodos, para por lo menos 20 usuarios administradores: |
Exigido |
|
• SAML 2.0 |
Exigido |
|
• Modo cliente Oauth 2.0 |
Exigido |
|
• WS-Federation |
Exigido |
|
• Conexión OpenID |
Exigido |
|
• Ntlm |
Exigido |
|
• Modo de servidor Oauth 2.0 |
Exigido |
|
• HTTP Basic |
Exigido |
|
• Extensión en el navegador para capturar aplicaciones web que utilizan el formulario con el usuario y la contraseña y realizar la finalización automática del inicio de sesión y la contraseña de forma automatizada. Esta información debe almacenarse de forma segura en la solución para la finalización automática en futuros inicios de sesión en estas aplicaciones. |
Exigido |
|
Debe proporcionar una extensión avanzada del explorador solo para los administradores de soluciones, con el fin de asignar los campos de los formularios (normalmente inicio de sesión y contraseña) para que después de asignar el usuario administrado pueda incluir como una aplicación web para SSO en el catálogo general, lo que permite el SSO de aplicaciones que no admiten protocolos más modernos como SAML y Oauth. |
Exigido |
|
Debe soportar SSO a través de la autenticación integrada de Windows (IWA) que reutiliza el inicio de sesión de red para la autenticación en aplicaciones web, sin necesidad de introducir el usuario y la contraseña de nuevo. |
Exigido |
|
Debe admitir la personalización de respuestas SAML, como la asignación de atributos de directorio a atributos SAML, la capacidad de incluir lógica compleja para controlar las respuestas SAML y habilitar la visualización de la respuesta SAML configurada antes de su implementación. |
Exigido |
|
Debe disponer de un servicio de directorio para almacenar identidades en la solución, sin depender de la sincronización con otros servicios de directorio on-premise o en la nube de terceros. |
Exigido |
|
El servicio de directorio de soluciones debe tener la capacidad de ampliar su esquema configurando atributos personalizados para satisfacer requisitos empresariales complejos |
Exigido |
|
Debe admitir la integración con los servicios de directorio en la nube y on-premises, lo que debe admitir mínimamente: |
Exigido |
|
• Microsoft Active Directory. |
Exigido |
|
• Microsoft Azure AD |
Exigido |
|
• LDAP |
Exigido |
|
Las integraciones con un directorio de terceros no deben sincronizarse con estas bases de datos, es decir, cargar todo el directorio configurado en la nube, la solución debe actuar como intermediario entre los servicios de directorio de terceros y la solución. |
Exigido |
|
Debe tener la capacidad de configurar LOS PROVEEDORES DE IDENTIDAD (IDP) de los socios comerciales de la organización para dar acceso a identidades federadas en aplicaciones empresariales de la organización sin necesidad de crear una nueva identidad en la infraestructura, a través de la federación realizada a través del protocolo SAML. |
Exigido |
|
Periodo de Suscripción |
Requerimiento |
|
Suscripción de la plataforma por un periodo de 3 años |
Exigido |
|
ITEM N° 2 CLUSTER DE SERVIDORES PARA LA BOVEDA DE CONTRASEÑAS |
|
|
Especificaciones |
|
|
Generalidades del Servicio |
Requerimiento |
|
Marca |
Exigido |
|
Modelo |
Exigido |
|
Cantidad: Dos (2) |
Exigido |
|
Factor en forma: Rackeable de 2U máximo. |
Exigido |
|
Procesador |
Requerimiento |
|
• Cantidad instalada en el equipo: Uno (1) |
Exigido |
|
• Cantidad máxima soportada por el equipo: Dos (2) |
Exigido |
|
Características de cada procesador: |
Exigido |
|
• Cantidad de cores: 12 como mínimo |
Exigido |
|
• Frecuencia: 2.1 GHz como mínimo. |
Exigido |
|
Memoria: |
Requerimiento |
|
• Cantidad instalada: 64 GB como mínimo. |
Exigido |
|
• Tipo de memoria: DDR4 3200 RDIMM |
Exigido |
|
• Capacidad máxima de memoria soportado por el equipo: 8 TB como mínimo |
Exigido |
|
• Cantidad máxima de slots soportados por el equipo: 16 slots por procesador. |
Exigido |
|
• Tipos de protección soportadas: ECC, Memory Mirroring, Patrol Scrubbing y Memory Sparing como mínimo |
Exigido |
|
Almacenamiento |
Requerimiento |
|
10 (diez) unidades SAS de 2.4TB 10k o superior. |
Exigido |
|
2 (dos) unidades SATA de 480GB o superior. |
Exigido |
|
Capacidad de albergar hasta 16 discos SFF, con capacidad de crecimiento a 38 bahías a futuro. |
Exigido |
|
El equipo debe poder soportar discos SAS, SATA y NVMe. |
Exigido |
|
Controladora de discos: |
Exigido |
|
• 4 GB de cache tipo Flash o superior |
Exigido |
|
• Soporte para RAID 0, 1, 5, 10, 50 |
Exigido |
|
Ranuras de Expansión |
Requerimiento |
|
4 slots PCIe, con posibilidad de ampliar a 6 slots PCIe a futuro como mínimo. |
Exigido |
|
Interfaces de periféricos |
Requerimiento |
|
Puertos USB: cuatro unidades (por lo menos dos de 3.0) |
Exigido |
|
Gráfico DB-15: una unidad posterior. |
Exigido |
|
Serial: con capacidad de poder agregar una unidad a futuro. |
Exigido |
|
El equipo debe contar con la capacidad de agregar a futuro dos discos SSD tipo M.2 internos (en configuración espejada los mismos) para el S.O. o hypervisor. |
Exigido |
|
Tarjeta Gráfica |
Requerimiento |
|
Puerto grafico de 16MB integrado con resolución máxima de 1920x1200, 16bpp, 60Hz. |
Exigido |
|
Fuente de alimentación |
Requerimiento |
|
Fuente de alimentación redundante de 800W Platinum Hot Plug o similar. |
Exigido |
|
Comunicaciones |
Requerimiento |
|
Al menos 4 (cuatro) puertos de 1 GbE |
Exigido |
|
Sistema Operativos Soportados |
Requerimiento |
|
Windows Server 2016 o superior |
Exigido |
|
Red Hat Enterprise Linux 7.6 o superior |
Exigido |
|
SUSE Enterprise Linux Server 12 SP4 o superior |
Exigido |
|
VMware ESXi 6.5 U2 o superior |
Exigido |
|
Oracle Linux 7 o superior. |
Exigido |
|
Características RAS |
Requerimiento |
|
Diagnóstico de fallas de hardware en el equipo mediante LEDs indicadores; y también debe contar con análisis predictivo de fallas que cubra los siguientes componentes del sistema: procesador, regulador de voltaje, memoria, discos, controladores de disco, fuente de poder y ventiladores. |
Exigido |
|
Administración |
Requerimiento |
|
Puerto dedicado RJ-45 con soporte de Consola Remota opcional |
Exigido |
|
Kit de Montaje en Rack y Accesorios |
Requerimiento |
|
Proporcionar el kit completo de: cables, soportes, organizadores y demás accesorios requeridos para el montaje y funcionamiento correcto del servidor en el rack.
|
Exigido |
|
Certificado de Calidad |
Requerimiento |
|
La marca ofertada debe contar con certificación ISO 9001 y 14001 como mínimo. |
Exigido |
|
Garantía |
Requerimiento |
|
3 (tres) años |
Exigido |
Detalles de los productos y/o servicios con las respectivas especificaciones técnicas - CPS
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
|
ITEM N° 1 - SOLUCION DE SEGURIDAD PARA ACCESOS PRIVILEGIADOS (PAM) |
|
|
Especificaciones |
|
|
Generalidades del Servicio |
Requerimiento |
|
Debe ser diseñado de manera modular para adaptarse a aumentos en el uso, la adición de más plataformas o la implementación de esquemas de alta disponibilidad sin tener que pagar por licencias adicionales. Todo lo implementado y desarrollado quedara como propiedad del BNF. Al término de la vigencia de la solución el proveedor deberá entregar el código fuente de todo lo desarrollado. |
Exigido |
|
La solución debe ser basada en software y estar disponible como un servicio (SaaS) o mediante una suscripción para su implementación en la nube y/o en entornos físicos o virtualizados con infraestructura. |
Exigido |
|
Los componentes críticos de la solución, como la bóveda segura de credenciales, deben asegurar alta disponibilidad. Si es en la nube, deben cumplir con SOC2. Si es en implementaciones locales, nubes privadas o entornos híbridos, deben instalarse con alta disponibilidad, satélite o al menos DR en cada ubicación (sitio principal y alterno, con sincronización entre sitios). Asegurando que el proceso sea transparente para los usuarios conectados en caso de pérdida de comunicación y mecanismos para la recuperación ante desastres compatibles con soluciones de copia de seguridad y archivado disponibles en el mercado. |
Exigido |
|
Se debe incluir todo el hardware y software (licencias de sistemas operativos, aplicaciones de base), al mismo tiempo de lo especificado en el ítem 2, que sea necesario para el funcionamiento óptimo de la solución, mientras sea ofrecido el servicio. En el caso de requerirse de licencias Windows Server, estas serán provistas por el BNF a través de su contrato EA. La oferta debe incluir todas las actualizaciones disponibles del software provisto y el servicio de soporte técnico empresarial del fabricante y el partner/distribuidor local, en formato 24x7, durante el periodo del contrato. |
Exigido |
|
EL BNF dispondrá para la implementación de: |
Exigido |
|
Capacidades generales de la herramienta PAM |
Requerimiento |
|
Debe poder gestionar cuentas privilegiadas en al menos los siguientes sistemas operativos: Windows, Unix, Linux, AS400, MAC OS, ESX/ESXi, XenServers y Linux RedHat. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de al menos las siguientes Bases de datos: Oracle, MSSQL, Postgresql, DB2. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas basadas en al menos los siguientes servicios de directorio: Microsoft, Azure AD. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de dispositivos de red (Firewalls, Routers, Switches, APs, PBXs, NACs, Proxys). |
Exigido |
|
Debe poder gestionar cuentas privilegiadas en dispositivos de almacenamiento y permitir la conexión automática a cualquier almacenamiento, ya sea administrado por una interfaz web o sesiones SSH, sin exponer la contraseña privilegiada. |
Exigido |
|
Debe proveer mecanismos de protección que permitan ocultar recursos en un mismo segmento de red |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de Aplicaciones Cloud como Facebook, Google G Suite, Google Gmail, GitHub, Docker, LinkedIn, Instagram, Twitter, Amazon, Azure, VMware, Office 365, PaloAlto, RedHat. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de Saas/websites/web interfaces. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de redes sociales, tales como: Facebook, Instagram, Whatsapp, Linkedin, etc. |
Exigido |
|
Debe tener la capacidad de conectarse a cualquier dispositivo de red a través de SSH. |
Exigido |
|
Debe tener la capacidad de soportar cualquier repositorio de datos mediante conexión ODBC. |
Exigido |
|
Debe ser capaz de combinar múltiples reglas de acceso por cada usuario para establecer los permisos de acceso a través de microsegmentación. |
Exigido |
|
Debe tener la capacidad de permitir a través de un administrador definir y agregar cuentas privilegiadas. |
Exigido |
|
Debe ser posible establecer reglas de acceso de manera individual por cada recurso o grupo de recursos de red. |
Exigido |
|
Debe tener la capacidad de que un usuario pueda solicitar el uso de una cuenta privilegiada para una fecha u hora futura. |
Exigido |
|
Posibilidad de realizar búsquedas basadas en la lista de comandos o queries para trazabilidad y seguimiento de los mismos para futuras consultas sobre la biblioteca de videos generados por las sesiones de usuarios para identificar tiempos exactos de los queries o comandos que ocurren en dichos videos. |
Exigido |
|
Debe tener la capacidad de detectar dispositivos como máquinas virtuales, servidores físicos, estaciones de trabajo con sistema operativo Microsoft Windows para su administración en la solución. |
Exigido |
|
Debe poder integrarse a soluciones HSM (Hardware Security Module) |
Exigido |
|
Debe soportar integración con soluciones Two Factor Authentication (2FA). |
Exigido |
|
Debe contar con la flexibilidad para crear diferentes reglas de protección para ocultar recursos |
Exigido |
|
Debe soportar integración con al menos una solución de análisis de vulnerabilidades. |
Exigido |
|
Debe contar con una API REST (Interfaz de Programación de Aplicaciones) a través de servicios web para la gestión y el aprovisionamiento de la solución, lo que permitiría, la automatización de procesos |
Exigido |
|
Debe proporcionar un acceso remoto seguro (fuera de la red corporativa) sin necesidad de instalar clientes VPN en los dispositivos de los usuarios remotos, garantizando un acceso seguro con MFA sin modificar los recursos de autenticación corporativos como el AD. |
Exigido |
|
Debe contar con bloqueo de inicio de sesiones en los dispositivos, configurable para grupos de roles o grupos de usuarios |
Exigido |
|
Debe monitorear las sesiones, registrar, identificar, relacionar y contrarrestar todos los comportamientos inusuales, incluyendo servidores Linux/Unix, Windows, controladores de dominio de Microsoft Active Directory, estaciones de trabajo Windows, varios activos de red y de seguridad, así como aplicaciones cliente-servidor/web y servicios en la nube, ya sean IaaS, SaaS o PaaS. |
Exigido |
|
Debe permitir la identificación de acciones que indiquen abuso, comportamiento anormal y fuera de los estándares aprendidos o asignados, aplicando medidas automáticas de mitigación como la re-autenticación, suspensión y terminación de sesiones y rotación de credenciales privilegiadas en caso de actividad sospechosa de alto riesgo. Detección de casos como: recuperación de contraseñas de cuentas con privilegios en horarios o días irregulares según el perfil de comportamiento del usuario, acceso a cuentas con privilegios desde una dirección IP o subred inusual según el perfil de comportamiento del usuario, y conexión a un equipo con una cuenta con privilegios no administrada por la solución. |
Exigido |
|
Debe ser capaz de soportar controles duales y permitir diferentes configuraciones de aprobaciones, por ejemplo, cuando un usuario solicita una contraseña. Esto debe incluir la capacidad de enviar notificaciones automáticas por correo electrónico. |
Exigido |
|
Debe ser capaz de soportar flujos de trabajo flexibles para designar múltiples aprobadores, por ejemplo, requerir dos o más aprobaciones antes de autorizar el acceso. |
Exigido |
|
debe ser capaz de generar registros de los procesos de flujo de trabajo y tener la habilidad de generar informes o realizar auditorías. |
Exigido |
|
Debe incluir licencias para 150 usuarios administradores, con acceso remoto seguro SSL. |
Exigido |
|
Seguridad de la aplicación |
Requerimiento |
|
Debe ser capaz de integrarse con métodos de autenticación empresariales, como LDAP, Windows SSO, PKI, RADIUS y mecanismos de autenticación propios. |
Exigido |
|
Debe ser capaz de cifrar todos los datos, incluyendo credenciales, secretos y sesiones grabadas. |
Exigido |
|
Debe asegurar la integridad de los registros al almacenarlos y acceder a ellos de manera segura. |
Exigido |
|
Debe ser capaz de restringir la visualización de contraseñas controladas por otros departamentos de la compañía a ciertos administradores. |
Exigido |
|
Todas las comunicaciones que se realicen hacia la solución y desde la solución deben estar cifradas. |
Exigido |
|
Gestión de claves y cuentas privilegiadas |
Requerimiento |
|
Debe ser capaz de cambiar contraseñas en intervalos configurables de días, meses o años. |
Exigido |
|
Debe ser capaz de cambiar varias contraseñas al mismo tiempo para un solo sistema o para sistemas agrupados bajo un criterio común. |
Exigido |
|
Debe ser capaz de asignar contraseñas a un valor random |
Exigido |
|
Debe permitir que un administrador cambie manualmente una contraseña en cualquier momento. |
Exigido |
|
Debe ser capaz de cambiar automáticamente el valor de una contraseña después de un tiempo especificado de un check-out |
Exigido |
|
Debe ser capaz de cambiar de forma automática la contraseña de una cuenta que acaba de ser definida en el sistema |
Exigido |
|
Debe ser capaz de realizar verificación automática del valor de una contraseña en el sistema correspondiente. |
Exigido |
|
Debe ser capaz de sincronizar de forma automática contraseñas que se hayan detectado como out of sync o que se haya perdido, sin utilizar herramientas externas de restauración. |
Exigido |
|
Debe permitir la configuración de una longitud mínima y complejidad para las contraseñas de cuentas de súper usuarios en todos los sistemas. |
Exigido |
|
Debe ser capaz de conservar el historial de contraseñas. |
Exigido |
|
Debe ser capaz de gestionar cuentas de súper usuario que hayan sido renombradas de su nombre predeterminado. |
Exigido |
|
Debe ser capaz de soportar conexiones transparentes a un dispositivo objetivo sin necesidad de ver o ingresar la contraseña durante la conexión. |
Exigido |
|
Debe ser capaz de soportar conexiones directas a dispositivos de administración UNIX/LINUX (SSH) y permitir la grabación de la sesión. |
Exigido |
|
Debe permitir la gestión de al menos 1.000 activos en su bóveda de contraseñas. |
Exigido |
|
Reportes y Auditoría |
Requerimiento |
|
Debe ser capaz de mostrar en una vista rápida todas las actividades relacionadas con una cuenta privilegiada, como el restablecimiento de una contraseña o sesiones de administración utilizando dicha cuenta. |
Exigido |
|
Debe registrar toda información conocida sobre un usuario a medida que se otorga o deniega el acceso. |
Exigido |
|
Debe ser capaz de generar reportes de forma periódica, bajo demanda o en forma programada |
Exigido |
|
Debe registrar todos los accesos de usuarios, incluyendo el tráfico permitido y denegado. |
Exigido |
|
Debe ser capaz de generar informes detallados y programados que incluyan información como reportes de privilegios, actividad de usuarios, inventario de cuentas privilegiadas, inventario de aplicaciones y reportes de cumplimiento, entre otros. |
Exigido |
|
Debe ser capaz de auditar y generar reportes de todas las modificaciones administrativas realizadas en el sistema. |
Exigido |
|
Debe cumplir con las siguientes normativas: GDPR e ISO27001 |
Exigido |
|
Integración de la Solución |
Requerimiento |
|
Posibilidad de integrarse con soluciones tipo SIEM |
Exigido |
|
Integración con directorios LDAP/AD |
Exigido |
|
Integración con al menos una solución de Scanner de vulnerabilidades |
Exigido |
|
Análisis de Comportamiento de Usuario (UBA) |
Requerimiento |
|
Debe fundamentarse en algoritmos de aprendizaje automático no supervisados. Los modelos estadísticos para los casos de uso deben estar preparados y calibrados. |
Exigido |
|
Debe evaluar el riesgo de autenticación mediante la verificación del comportamiento histórico de la identidad minimamente a través de los siguientes atributos: Día de la semana, Horario de acceso, origen y longitud de la sesión. |
Exigido |
|
Debe soportar la verificación de la postura del usuario final funciona sin la inclusión de software adicional de terceros |
Exigido |
|
Debe permitir la configuración de niveles de riesgo personalizados en función del comportamiento del usuario. |
Exigido |
|
Debe permitir tomar decisiones y acciones, como permitir el inicio de sesión único (Single Sign On), solicitar autenticación multifactor (MFA), denegar la autenticación, entre otros, en función del nivel de riesgo asignado a la cuenta de usuario. |
Exigido |
|
Debe proporcionar a los administradores de la solución la capacidad de examinar datos históricos a través de paneles, filtros y gráficos configurables, verificar alertas y los factores que las influenciaron, y explorar eventos capturados y sus atributos. |
Exigido |
|
Debe proporcionar gráficos de línea de tiempo, gráficos circulares, mapas con la geolocalización de eventos, gráficos de barras, tablas analíticas y mapas de relaciones. Sus dimensiones y categorías deben ser personalizables. |
Exigido |
|
Debe permitir como mínimo personalizar las visitas de los dashboards predefinidos mediante la aplicación de filtros de manera local en la plataforma y permitir la extracción de datos para conectar mediante APls a herramientas de Bl a fin de permitir ampliar el manejo de información generada por la herramienta. |
Exigido |
|
Monitoreo/Grabación de Actividad Privilegiada |
Requerimiento |
|
Debe ser capaz de grabar sesiones privilegiadas en sistemas como Windows, servidores virtuales, Linux, equipos de comunicaciones, bases de datos y aplicaciones web. |
Exigido |
|
Debe ser capaz de realizar búsquedas basadas en la lista de comandos o queries (query) para trazabilidad y seguimiento de los mismos para futuras consultas sobre la biblioteca de videos generadas por las sesiones de usuarios para identificar tiempos exactos de los queries (query) o comandos que ocurren en dichos videos. |
Exigido |
|
Debe ser capaz de restringir la ejecución de comandos y aplicaciones que se ejecuten con cuentas privilegiadas gestionadas por la solución, sin necesidad de realizar configuraciones en los sistemas objetivo. |
Exigido |
|
Debe ser capaz de intervenir y/o finalizar remotamente una sesión en tiempo real en caso de actividad sospechosa o si es requerido por un administrador o auditor. |
Exigido |
|
Gestión de llaves SSH |
Exigido |
|
Se requiere un método para identificar llaves SSH pares, llaves huérfanas y relaciones de confianza dentro de la organización |
Exigido |
|
Debe ser capaz de almacenar de forma segura y controla el acceso a las llaves privadas SSH |
Exigido |
|
Debe ser capaz de permitir la automatización de rotación de llaves |
Exigido |
|
Acceso Remoto Privilegiado a Terceros |
Requerimiento |
|
Deberá poder gestionar un acceso privilegiado hacia la infraestructura interna a usuarios internos y terceros remotos fuera de la red interna tan solo en minutos sin necesidad de tener una VPN |
Exigido |
|
Para otorgar accesos privilegiados remotos la solución no debe requerir de instalación de agentes ni configuraciones de conexiones VPN |
Exigido |
|
Para otorgar accesos privilegiados remotos la solución proveida deberá soportar autenticaciones de multifactor basadas en al menos una de las siguientes opciones: biométricos, sms, correo electrónico o tokens. |
Exigido |
|
La solución debe contar con la posibilidad de integrarse con aplicaciones de terceros para agregar una capa adicional de seguridad en la autenticación de usuarios externos, mediante biométricos o algún otro factor para teléfonos inteligentes iOS y Android |
Exigido |
|
Para otorgar accesos privilegiados remotos la solución no debe requerir usar contraseñas como métodos de autenticación. |
Exigido |
|
La seguridad de la plataforma de autenticación para accesos remotos debe estar acorde a uno de los siguientes estándares de seguridad: OWASP, NIST o CIS. |
Exigido |
|
Debe incluir licencias para 100 usuarios de tercero. |
Exigido |
|
Gestión de Privilegios para Endpoints (EPM) |
Requerimiento |
|
La protección y el control de los privilegios deben ser proporcionados por agentes instalados en el sistema operativo de las estaciones de trabajo. |
Exigido |
|
Debe proporcionar opciones de ejecución sin necesidad de notificación previa: desde aplicaciones con privilegios en modo explícito y transparente, monitoreadas desde aplicaciones en modo explícito y transparente, con limitaciones de aplicación en modo explícito y transparente. |
Exigido |
|
Debe tener la capacidad de evaluar la reputación del archivo ejecutado a partir de al menos una fuente externa y ofrecer la opción de enviar archivos sospechosos para su análisis de malware en soluciones comerciales. |
Exigido |
|
Debe soportar al menos estaciones de trabajo: Windows 7 x32 y x64, Windows 8/8.1 x32 y x64, Windows 10 x32 y x64 |
Exigido |
|
Debe ser factible establecer reglas de control para permitir y bloquear la ejecución de aplicaciones utilizando las funcionalidades instaladas en el sistema operativo de destino, independientemente de si el acceso al activo se realiza a través de monitores/grabadoras de sesión o directamente en el recurso. |
Exigido |
|
Debe ser factible establecer reglas para controlar el nivel de privilegio utilizado en la ejecución de aplicaciones permitidas que utilizan las funcionalidades instaladas en el sistema operativo de destino, independientemente de si el acceso al activo se realiza a través de monitores/grabadoras de sesión o directamente en el recurso. |
Exigido |
|
Debe ser factible implementar el control de nivel de privilegios independientemente del permiso que el usuario tenga localmente en el activo o dominio, permitiendo a los usuarios con restricciones realizar actividades de nivel administrativo. |
Exigido |
|
Debe permitir acceder a aplicaciones y archivos, cuando se incluyen en reglas, individualmente o en grupos. |
Exigido |
|
Debe ser posible la liberación de emergencia de la ejecución de comandos y la elevación de privilegios sin deshabilitar la solución si el usuario está sin conexión. |
Exigido |
|
Debe tener una integración con el Control de Cuentas de Usuarios (UAC) de Windows y contener informes del uso de mensajes a los usuarios realizados por UAC |
Exigido |
|
Debe permitir que se muestren mensajes personalizados antes de que una aplicación se ejecute o se bloquee |
Exigido |
|
Debe permitir exigir las directivas de control de acceso a los usuarios, de tal forma a ampliar las opciones de control de seguridad para la protección de la herramienta. |
Exigido |
|
Los usuarios solo deben poder establecer canales de comunicación con los sitios protegidos que fueron autorizados para cada usuario tras el proceso de autenticación. |
Exigido |
|
Debe ser posible implementar la verificación de CheckSum de archivos, los parámetros permitidos y la firma del fabricante para objetos de solución reutilizables. |
Exigido |
|
Debe prevenir el robo de credenciales en entornos de autenticación Microsoft (LSASS, SAM, etc.) y en aplicaciones de uso y administración de plataformas y browsers. |
Exigido |
|
Debe permitir la elevación de privilegios utilizando Autenticación Multifactor (MFA) adaptativo, que permita la configuración de múltiples factores para aplicar antes de la elevación de privilegios en una estación de trabajo o servidor, permitiendo así verificar la identidad antes de la elevación del privilegio. |
Exigido |
|
Debe incluir al menos 100 agentes de elevación de privilegios para estaciones de trabajo Windows. |
Exigido |
|
Autenticación Multifactor (MFA) |
Requerimiento |
|
Debe ser capaz de cumplir mínimamente los siguientes casos de uso para solicitar uno y más factores de autenticación: |
Exigido |
|
Aplicaciones web integradas en la autenticación simplificada - funciones SSO. |
Exigido |
|
En las pantallas de inicio de sesión y desbloqueo de los sistemas operativos Windows. Autenticación multifactor para soluciones VPN a través de RADIUS o SAML. |
Exigido |
|
Cualquier dispositivo o sistema operativo que admita RADIUS. Complemento para ADFS (IDP, proveedor de identidad), servicios de federación de Active Directory. |
Exigido |
|
Debe ser posible configurar reglas de acceso que exijan la validación de autenticación multifactor de manera individual. |
Exigido |
|
A petición mediante el protocolo Oauth y las API de REST. |
Exigido |
|
Para realizar el restablecimiento de contraseña de servicio automático o desbloqueo de usuario. |
Exigido |
|
Debe ser capaz de ofrecer mínimamente al menos uno de los siguientes métodos para múltiples factores de autenticación: |
Exigido |
|
Usuario y contraseña de los directorios admitidos en la solución. |
Exigido |
|
A través de la aplicación móvil iOS y Android, que ofrece soporte para (Biometría FaceID, Biometría a través del lector digital, notificación para aprobar o rechazar una autenticación, Geolocalización a través de GPS coordenadas e IDatabase) |
Exigido |
|
Soporte tokens OATH OTP. Autenticación en la pantalla de inicio de sesión a través de QRcode (Passwordless) sin necesidad de introducir el usuario y la contraseña, con la opción de forzar la biometría en el dispositivo móvil. |
Exigido |
|
Entrega de código a través de SMS y llamada de voz. |
Exigido |
|
Preguntas de seguridad Notificaciones de correo electrónico y teléfono móvil |
Exigido |
|
OTP tokens (en línea, fuera de línea, por correo electrónico y Hardware). |
Exigido |
|
Debe ser capaz de soportar autenticadores que admiten FIDO2 / U2F, que admiten mínimamente: |
Exigido |
|
• Windows Hello. |
Exigido |
|
• Google Titan Key |
Exigido |
|
• MacOS TouchID. |
Exigido |
|
• Microsoft Authenticator |
Exigido |
|
• Google Authenticator |
Exigido |
|
Debe ser capaz de soportar confirmación de código mediante al menos una de las siguientes opciones: biométricos, SMS, correo electrónico o Tokens. |
Exigido |
|
Debe ser capaz de soportar clientes de Oath OTP (por ejemplo, Google Authenticator). |
Exigido |
|
Debe soportar integraciones con soluciones de seguridad de terceros robustas como: Cisco Duo Security. |
Exigido |
|
Debe permitir el restablecimiento de contraseña y el desbloqueo del usuario, desde el panel de administración. |
Exigido |
|
Debe soportar autenticación dinámica basada en el contexto de riesgo y seguridad, permitiendo la creación de un perfil para cada usuario, aprovechando los atributos históricos y situacionales específicos del mismo, como la ubicación, el dispositivo, la red, el horario y el índice de riesgo de comportamiento. |
Exigido |
|
Debe permitir el análisis de las solicitudes de autenticación con los estándares históricos, asignación de índice de riesgo a cada intento de inicio de sesión, generación de alertas y creación de directivas de bloqueo para que se activen cuando se detecte un comportamiento anómalo y se simplifique el acceso cuando se entienda que el usuario es legítimo. |
Exigido |
|
Debe permitir a los usuarios agregar y modificar factores de autenticación directamente en un portal con una definición de período de omisión de autenticación multifactor. |
Exigido |
|
Debe proporcionar informes y paneles personalizables que detallen la información en tiempo real sobre las actividades de autenticación, como errores de autenticación secundarios, intentos de inicio de sesión correctos y los factores de autenticación más utilizados. |
Exigido |
|
Soporte de MFA (Autenticación Multifactor) incluido para el total de las licencias adquiridas. |
Exigido |
|
Single Sign On (SSO) |
Requerimiento |
|
Debe permitir la configuración de las aplicaciones web mínimamente a través de al menos uno de los siguientes protocolos y métodos, para por lo menos 20 usuarios administradores: |
Exigido |
|
• SAML 2.0 |
Exigido |
|
• Modo cliente Oauth 2.0 |
Exigido |
|
• WS-Federation |
Exigido |
|
• Conexión OpenID |
Exigido |
|
• Ntlm |
Exigido |
|
• Modo de servidor Oauth 2.0 |
Exigido |
|
• HTTP Basic |
Exigido |
| • ADFS | Exigido |
|
• Extensión en el navegador para capturar aplicaciones web que utilizan el formulario con el usuario y la contraseña y realizar la finalización automática del inicio de sesión y la contraseña de forma automatizada. Esta información debe almacenarse de forma segura en la solución para la finalización automática en futuros inicios de sesión en estas aplicaciones. |
Exigido |
|
Debe permitir la inyección de usuario y contraseña para los administradores de sesiones web, conforme a cumplir con las mejores prácticas para la protección de accesos y basado en el cumplimiento de concesiones de privilegios a usuarios. |
Exigido |
|
Debe exigir al usuario de la autenticación para el acceso a las aplicaciones web, conforme a cumplir con las mejores prácticas para la protección de accesos y las concesiones a privilegios a usuarios. |
Exigido |
|
Debe disponer de un servicio de directorio para almacenar identidades en la solución, sin depender de la sincronización con otros servicios de directorio on-premise o en la nube de terceros. |
Exigido |
|
El servicio de directorio de soluciones debe tener la capacidad de exigir que la personalización de atributos pueda ser realizada en credenciales y dispositivos gestionados en la plataforma, de manera a tener mayor flexibilidad en la creación de grupos de usuarios. |
Exigido |
|
Debe admitir la integración con los servicios de directorio en la nube y on-premises, lo que debe admitir mínimamente: |
Exigido |
|
• Microsoft Active Directory. |
Exigido |
|
• Microsoft Azure AD |
Exigido |
|
• LDAP |
Exigido |
|
Las integraciones con un directorio de terceros no deben sincronizarse con estas bases de datos, es decir, cargar todo el directorio configurado en la nube, la solución debe actuar como intermediario entre los servicios de directorio de terceros y la solución. |
Exigido |
|
Debe tener la capacidad de integrarse a LOS PROVEEDORES DE IDENTIDAD (IDP) de los socios comerciales de la organización mediante la federación realizada por la plataforma, sin la necesidad de crear nuevas identidades en la infraestructura. De forma tal que los protocolos como: LDAP, SAML, OpenID y otros puedan ser empleados para brindar acceso a las identidades federadas. |
Exigido |
|
Periodo de Suscripción |
Requerimiento |
|
Suscripción de la plataforma por un periodo de 3 años |
Exigido |
|
ITEM N° 2 CLUSTER DE SERVIDORES PARA LA BOVEDA DE CONTRASEÑAS |
|
|
Especificaciones |
|
|
Generalidades del Servicio |
Requerimiento |
|
Marca |
Exigido |
|
Modelo |
Exigido |
|
Cantidad: Dos (2) |
Exigido |
|
Factor en forma: Rackeable de 2U máximo. |
Exigido |
|
Procesador |
Requerimiento |
|
• Cantidad instalada en el equipo: Dos (2) |
Exigido |
|
• Cantidad máxima soportada por el equipo: Dos (2) |
Exigido |
|
Características de cada procesador: |
Exigido |
|
• Cantidad de cores: 16C/32T como mínimo |
Exigido |
|
• Frecuencia: 2.0 GHz como mínimo. |
Exigido |
|
Memoria: |
Requerimiento |
|
• Cantidad instalada: 128 GB como mínimo. |
Exigido |
|
• Tipo de memoria: DDR4400 MT/s RDIMM o superior. |
Exigido |
|
• Capacidad máxima de memoria soportado por el equipo: 4 TB como mínimo |
Exigido |
|
• Cantidad máxima de slots soportados por el equipo: 16 slots como mínimo. |
Exigido |
|
• Tipos de protección soportadas: ECC, Memory Mirroring, Patrol Scrubbing y Memory Sparing como mínimo |
Exigido |
|
Almacenamiento |
Requerimiento |
|
10 (diez) unidades SATA SSD de 3.84TB o superior. |
Exigido |
| El equipo debe contar con dos (2) unidades SSD tipo M.2 internos (en configuración espejada RAID 1) de al menos 960 GB cada uno para el arranque del Sistema Operativo. | Exigido |
|
2 (dos) unidades SATA SSD de 1.92TB o superior. |
Exigido |
|
Capacidad de albergar hasta 24 unidades de 2.5 SAS/SATA (SFF) frontales y al menos dos (2) unidades de 2.5 SAS /SATA/NVME (SFF) en Bahías traseras |
Exigido |
|
El equipo debe poder soportar discos SAS y SATA. |
Exigido |
|
Controladora de discos: |
Exigido |
|
• 8 GB de cache tipo Flash o superior |
Exigido |
|
• Soporte para RAID 0, 1, 5, 10, 50 |
Exigido |
|
Ranuras de Expansión |
Requerimiento |
|
2 slots PCIe, con posibilidad de ampliar a 4 slots PCIe a futuro como mínimo. |
Exigido |
|
Interfaces de periféricos |
Requerimiento |
|
Puertos USB: tres unidades (por lo menos uno de 3.0) |
Exigido |
|
Gráfico DB-15: una unidad posterior. |
Exigido |
|
Serial: con capacidad de poder agregar una unidad a futuro. |
Exigido |
|
Tarjeta Gráfica |
Requerimiento |
|
Puerto grafico de 16MB integrado con resolución máxima de 1920x1200, 16bpp, 60Hz. |
Exigido |
|
Fuente de alimentación |
Requerimiento |
|
Fuente de alimentación redundante de 1100W (1+1) Hot Plug o superior. |
Exigido |
|
Comunicaciones |
Requerimiento |
|
Al menos 4 (cuatro) puertos de 1 GbE Base-T y dos (2) tarjetas PCle de 4 (cuatro) Puertos de 10/25Gb SFP28 como mínimo. |
Exigido |
|
Sistema Operativos Soportados |
Requerimiento |
|
Windows Server 2019 o superior |
Exigido |
|
VMware ESXi 8.0 o superior |
Exigido |
|
Características RAS |
Requerimiento |
|
Diagnóstico de fallas de hardware en el equipo mediante LEDs indicadores; y también debe contar con análisis predictivo de fallas que cubra los siguientes componentes del sistema: procesador, regulador de voltaje, memoria, discos, controladores de disco, fuente de poder y ventiladores. |
Exigido |
|
Administración |
Requerimiento |
|
Puerto dedicado RJ-45 con soporte de Consola Remota |
Exigido |
|
Kit de Montaje en Rack y Accesorios |
Requerimiento |
|
Proporcionar el kit completo de: cables, transceivers, fibra óptica conectores, soportes, organizadores y demás accesorios requeridos para el montaje y funcionamiento correcto del servidor en el rack. |
Exigido |
|
Certificado de Calidad |
Requerimiento |
|
La marca ofertada debe contar con certificación ISO 9001 y 14001 como mínimo. |
Exigido |
|
Garantía |
Requerimiento |
|
5 (cinco) años con el máximo nivel de Soporte Empresarial 24x7 de la marca y del proveedor local |
Exigido |
Detalles de los productos y/o servicios con las respectivas especificaciones técnicas - CPS
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
ITEM N° 1 - SOLUCION DE SEGURIDAD PARA ACCESOS PRIVILEGIADOS (PAM) | |
Especificaciones | |
Generalidades del Servicio | Requerimiento |
Debe ser diseñado de manera modular para adaptarse a aumentos en el uso, la adición de más plataformas o la implementación de esquemas de alta disponibilidad sin tener que pagar por licencias adicionales. Todo lo implementado y desarrollado quedara como propiedad del BNF. Al término de la vigencia de la solución el proveedor deberá entregar el código fuente de todo lo desarrollado. | Exigido |
La solución debe ser basada en software y estar disponible como un servicio (SaaS) o mediante una suscripción para su implementación en la nube y/o en entornos físicos o virtualizados con infraestructura. | Exigido |
Los componentes críticos de la solución, como la bóveda segura de credenciales, deben asegurar alta disponibilidad. Si es en la nube, deben cumplir con SOC2. Si es en implementaciones locales, nubes privadas o entornos híbridos, deben instalarse con alta disponibilidad, satélite o al menos DR en cada ubicación (sitio principal y alterno, con sincronización entre sitios). Asegurando que el proceso sea transparente para los usuarios conectados en caso de pérdida de comunicación y mecanismos para la recuperación ante desastres compatibles con soluciones de copia de seguridad y archivado disponibles en el mercado. | Exigido |
Se debe incluir todo el hardware y software (licencias de sistemas operativos, aplicaciones de base), al mismo tiempo de lo especificado en el ítem 2, que sea necesario para el funcionamiento óptimo de la solución, mientras sea ofrecido el servicio. En el caso de requerirse de licencias Windows Server, estas serán provistas por el BNF a través de su contrato EA. La oferta debe incluir todas las actualizaciones disponibles del software provisto y el servicio de soporte técnico | Exigido |
EL BNF dispondrá para la implementación de: | Exigido |
Capacidades generales de la herramienta PAM | Requerimiento |
Debe poder gestionar cuentas privilegiadas en al menos los siguientes sistemas operativos: Windows, Unix, Linux, AS400, MAC OS, ESX/ESXi, XenServers y Linux RedHat. | Exigido |
Debe poder gestionar cuentas privilegiadas de al menos las siguientes Bases de datos: Oracle, MSSQL, Postgresql, DB2. | Exigido |
Debe poder gestionar cuentas privilegiadas basadas en al menos los siguientes servicios de directorio: Microsoft, Azure AD. | Exigido |
Debe poder gestionar cuentas privilegiadas de dispositivos de red (Firewalls, Routers, Switches, APs, PBXs, NACs, Proxys). | Exigido |
Debe poder gestionar cuentas privilegiadas en dispositivos de almacenamiento y permitir la conexión automática a cualquier almacenamiento, ya sea administrado por una interfaz web o sesiones SSH, sin exponer la contraseña privilegiada. | Exigido |
Debe proveer mecanismos de protección que permitan ocultar recursos en un mismo segmento de red | Exigido |
Debe poder gestionar cuentas privilegiadas de Aplicaciones Cloud como Facebook, Google G Suite, Google Gmail, GitHub, Docker, LinkedIn, Instagram, Twitter, Amazon, Azure, VMware, Office 365, PaloAlto, RedHat. | Exigido |
Debe poder gestionar cuentas privilegiadas de Saas/websites/web interfaces. | Exigido |
Debe poder gestionar cuentas privilegiadas de redes sociales | Exigido |
Debe tener la capacidad de conectarse a cualquier dispositivo de red a través de SSH. | Exigido |
Debe tener la capacidad de soportar cualquier repositorio de datos mediante conexión ODBC. | Exigido |
Debe ser capaz de combinar múltiples reglas de acceso por cada usuario para establecer los permisos de acceso a través de microsegmentación. | Exigido |
Debe tener la capacidad de permitir a través de un administrador definir y agregar cuentas privilegiadas. | Exigido |
Debe ser posible establecer reglas de acceso de manera individual por cada recurso o grupo de recursos de red. | Exigido |
Debe tener la capacidad de que un usuario pueda solicitar el uso de una cuenta privilegiada para una fecha u hora futura. | Exigido |
Posibilidad de realizar búsquedas | Exigido |
Debe tener la capacidad de detectar | Exigido |
Debe poder integrarse a soluciones HSM (Hardware Security Module) | Exigido |
Debe soportar integración con soluciones Two Factor Authentication (2FA). | Exigido |
Debe contar con la flexibilidad para crear diferentes reglas de protección para ocultar recursos | Exigido |
Debe soportar integración con | Exigido |
Debe contar con una API REST (Interfaz de Programación de Aplicaciones) a través de servicios web para la gestión y el aprovisionamiento de la solución, lo que permitiría, la automatización de procesos | Exigido |
| Exigido |
Debe contar con | Exigido |
Debe monitorear las sesiones, registrar, identificar, relacionar y contrarrestar todos los comportamientos inusuales, incluyendo servidores Linux/Unix, Windows, controladores de dominio de Microsoft Active Directory, estaciones de trabajo Windows, varios activos de red y de seguridad, así como aplicaciones cliente-servidor/web y servicios en la nube, ya sean IaaS, SaaS o PaaS. | Exigido |
Debe permitir la identificación de acciones que indiquen abuso, comportamiento anormal y fuera de los estándares aprendidos o asignados, aplicando medidas automáticas de mitigación como la re-autenticación, suspensión y terminación de sesiones y rotación de credenciales privilegiadas en caso de actividad sospechosa de alto riesgo. Detección de casos como: recuperación de contraseñas de cuentas con privilegios en horarios o días irregulares según el perfil de comportamiento del usuario, acceso a cuentas con privilegios desde una dirección IP o subred inusual según el perfil de comportamiento del usuario, y conexión a un equipo con una cuenta con privilegios no administrada por la solución. | Exigido |
Debe ser capaz de soportar controles duales y permitir diferentes configuraciones de aprobaciones, por ejemplo, cuando un usuario solicita una contraseña. Esto debe incluir la capacidad de enviar notificaciones automáticas por correo electrónico. | Exigido |
Debe ser capaz de soportar flujos de trabajo flexibles para designar múltiples aprobadores, por ejemplo, requerir dos o más aprobaciones antes de autorizar el acceso. | Exigido |
debe ser capaz de generar registros de los procesos de flujo de trabajo y tener la habilidad de generar informes o realizar auditorías. | Exigido |
Debe incluir licencias para | Exigido |
Seguridad de la aplicación | Requerimiento |
Debe ser capaz de integrarse con métodos de autenticación empresariales, como LDAP, Windows SSO, PKI, RADIUS y mecanismos de autenticación propios. | Exigido |
Debe ser capaz de cifrar todos los datos, incluyendo credenciales, secretos y sesiones grabadas. | Exigido |
Debe asegurar la integridad de los registros al almacenarlos y acceder a ellos de manera segura. | Exigido |
Debe ser capaz de restringir la visualización de contraseñas controladas por otros departamentos de la compañía a ciertos administradores. | Exigido |
Todas las comunicaciones que se realicen hacia la solución y desde la solución deben estar cifradas. | Exigido |
Gestión de claves y cuentas privilegiadas | Requerimiento |
Debe ser capaz de cambiar contraseñas en intervalos configurables de días, meses o años. | Exigido |
Debe ser capaz de cambiar varias contraseñas al mismo tiempo para un solo sistema o para sistemas agrupados bajo un criterio común. | Exigido |
Debe ser capaz de asignar contraseñas a un valor random | Exigido |
Debe permitir que un administrador cambie manualmente una contraseña en cualquier momento. | Exigido |
Debe ser capaz de cambiar automáticamente el valor de una contraseña después de un tiempo especificado de un check-out | Exigido |
Debe ser capaz de cambiar de forma automática la contraseña de una cuenta que acaba de ser definida en el sistema | Exigido |
Debe ser capaz de realizar verificación automática del valor de una contraseña en el sistema correspondiente. | Exigido |
Debe ser capaz de sincronizar de forma automática contraseñas que se hayan detectado como out of sync o que se haya perdido, sin utilizar herramientas externas de restauración. | Exigido |
Debe permitir la configuración de una longitud mínima y complejidad para las contraseñas de cuentas de súper usuarios en todos los sistemas. | Exigido |
Debe ser capaz de conservar el historial de contraseñas. | Exigido |
Debe ser capaz de gestionar cuentas de súper usuario que hayan sido renombradas de su nombre predeterminado. | Exigido |
Debe ser capaz de soportar conexiones transparentes a un dispositivo objetivo sin necesidad de ver o ingresar la contraseña durante la conexión. | Exigido |
Debe ser capaz de soportar conexiones directas a dispositivos de administración UNIX/LINUX (SSH) y permitir la grabación de la sesión. | Exigido |
Debe permitir la gestión de al menos 1.000 activos en su bóveda de contraseñas. | Exigido |
Reportes y Auditoría | Requerimiento |
Debe ser capaz de mostrar en una vista rápida todas las actividades relacionadas con una cuenta privilegiada, como el restablecimiento de una contraseña o sesiones de administración utilizando dicha cuenta. | Exigido |
Debe registrar toda información conocida sobre un usuario a medida que se otorga o deniega el acceso. | Exigido |
Debe ser capaz de generar reportes de forma periódica, bajo demanda o en forma programada | Exigido |
Debe registrar todos los accesos de usuarios, incluyendo el tráfico permitido y denegado. | Exigido |
Debe ser capaz de generar informes detallados y programados que incluyan información como reportes de privilegios, actividad de usuarios, inventario de cuentas privilegiadas, inventario de aplicaciones y reportes de cumplimiento, entre otros. | Exigido |
Debe ser capaz de auditar y generar reportes de todas las modificaciones administrativas realizadas en el sistema. | Exigido |
Debe cumplir con las siguientes normativas: | Exigido |
Integración de la Solución | Requerimiento |
Posibilidad de integrarse con soluciones tipo SIEM | Exigido |
Integración con directorios LDAP/AD | Exigido |
Integración con | Exigido |
Análisis de Comportamiento de Usuario (UBA) | Requerimiento |
Debe fundamentarse en algoritmos de aprendizaje automático no supervisados. Los modelos estadísticos para los casos de uso deben estar preparados y calibrados. | Exigido |
Debe evaluar el riesgo de autenticación mediante la verificación del comportamiento histórico de la identidad minimamente a través de los siguientes atributos: | Exigido |
Debe soportar la verificación de la postura del usuario final funciona sin la inclusión de software adicional de terceros | Exigido |
Debe permitir la configuración de niveles de riesgo personalizados en función del comportamiento del usuario. | Exigido |
Debe permitir tomar decisiones y acciones, como permitir el inicio de sesión único (Single Sign On), solicitar autenticación multifactor (MFA), denegar la autenticación, entre otros, en función del nivel de riesgo asignado a la cuenta de usuario. | Exigido |
Debe proporcionar a los administradores de la solución la capacidad de examinar datos históricos a través de paneles, filtros y gráficos configurables, verificar alertas y los factores que las influenciaron, y explorar eventos capturados y sus atributos. | Exigido |
Debe proporcionar gráficos de línea de tiempo, gráficos circulares, mapas con la geolocalización de eventos, gráficos de barras, tablas analíticas y mapas de relaciones. Sus dimensiones y categorías deben ser personalizables. | Exigido |
| Exigido |
Monitoreo/Grabación de Actividad Privilegiada | Requerimiento |
Debe ser capaz de grabar sesiones privilegiadas en sistemas como Windows, servidores virtuales, Linux, equipos de comunicaciones, bases de datos y aplicaciones web. | Exigido |
Debe ser capaz de realizar búsquedas | Exigido |
Debe ser capaz de restringir la ejecución de comandos y aplicaciones que se ejecuten con cuentas privilegiadas gestionadas por la solución, sin necesidad de realizar configuraciones en los sistemas objetivo. | Exigido |
Debe ser capaz de intervenir y/o finalizar remotamente una sesión en tiempo real en caso de actividad sospechosa o si es requerido por un administrador o auditor. | Exigido |
Gestión de llaves SSH | Exigido |
Se requiere un método para identificar llaves SSH pares, llaves huérfanas y relaciones de confianza dentro de la organización | Exigido |
Debe ser capaz de almacenar de forma segura y controla el acceso a las llaves privadas SSH | Exigido |
Debe ser capaz de permitir la automatización de rotación de llaves | Exigido |
Acceso Remoto Privilegiado a Terceros | Requerimiento |
Deberá poder gestionar un acceso privilegiado hacia la infraestructura interna a usuarios internos y terceros remotos fuera de la red interna tan solo en minutos sin necesidad de tener una VPN | Exigido |
Para otorgar accesos privilegiados remotos la solución no debe requerir de instalación de agentes ni configuraciones de conexiones VPN | Exigido |
Para otorgar accesos privilegiados remotos la solución | Exigido |
La solución debe contar con | Exigido |
Para otorgar accesos privilegiados remotos la solución no debe requerir usar contraseñas como métodos de autenticación. | Exigido |
La seguridad de la plataforma de autenticación para accesos remotos debe estar acorde a | Exigido |
Debe incluir licencias para | Exigido |
Gestión de Privilegios para Endpoints (EPM) | Requerimiento |
La protección y el control de los privilegios deben ser proporcionados por agentes instalados en el sistema operativo de las estaciones de trabajo. | Exigido |
Debe proporcionar opciones de ejecución sin necesidad de notificación previa: desde aplicaciones con privilegios en modo explícito y transparente, monitoreadas desde aplicaciones en modo explícito y transparente, con limitaciones de aplicación en modo explícito y transparente. | Exigido |
Debe tener la capacidad de evaluar la reputación del archivo ejecutado a partir de al menos una fuente externa y ofrecer la opción de enviar archivos sospechosos para su análisis de malware en soluciones comerciales. | Exigido |
Debe soportar al menos estaciones de trabajo: Windows 7 x32 y x64, Windows 8/8.1 x32 y x64, Windows 10 x32 y x64 | Exigido |
Debe ser factible establecer reglas de control para permitir y bloquear la ejecución de aplicaciones utilizando las funcionalidades instaladas en el sistema operativo de destino, independientemente de si el acceso al activo se realiza a través de monitores/grabadoras de sesión o directamente en el recurso. | Exigido |
Debe ser factible establecer reglas para controlar el nivel de privilegio utilizado en la ejecución de aplicaciones permitidas que utilizan las funcionalidades instaladas en el sistema operativo de destino, independientemente de si el acceso al activo se realiza a través de monitores/grabadoras de sesión o directamente en el recurso. | Exigido |
Debe ser factible implementar el control de nivel de privilegios independientemente del permiso que el usuario tenga localmente en el activo o dominio, permitiendo a los usuarios con restricciones realizar actividades de nivel administrativo. | Exigido |
Debe permitir acceder a aplicaciones y archivos, cuando se incluyen en reglas, individualmente o en grupos. | Exigido |
Debe ser posible la liberación de emergencia de la ejecución de comandos y la elevación de privilegios sin deshabilitar la solución si el usuario está sin conexión. | Exigido |
Debe tener una integración con el Control de Cuentas de Usuarios (UAC) de Windows y contener informes del uso de mensajes a los usuarios realizados por UAC | Exigido |
Debe permitir que se muestren mensajes personalizados antes de que una aplicación se ejecute o se bloquee | Exigido |
Debe permitir | Exigido |
Los usuarios solo deben poder establecer canales de comunicación con los sitios protegidos que fueron autorizados para cada usuario tras el proceso de autenticación. | Exigido |
Debe ser posible implementar la verificación de CheckSum de archivos, los parámetros permitidos y la firma del fabricante para objetos de solución reutilizables. | Exigido |
Debe prevenir el robo de credenciales en entornos de autenticación Microsoft (LSASS, SAM, etc.) y en aplicaciones de uso y administración de plataformas y browsers. | Exigido |
Debe permitir la elevación de privilegios utilizando Autenticación Multifactor (MFA) adaptativo, que permita la configuración de múltiples factores para aplicar antes de la elevación de privilegios en una estación de trabajo o servidor, permitiendo así verificar la identidad antes de la elevación del privilegio. | Exigido |
Debe incluir al menos 100 agentes de elevación de privilegios para estaciones de trabajo Windows. | Exigido |
Autenticación Multifactor (MFA) | Requerimiento |
Debe ser capaz de cumplir mínimamente los siguientes casos de uso para solicitar uno y más factores de autenticación: | Exigido |
Aplicaciones web integradas en la autenticación simplificada - funciones SSO. | Exigido |
En las pantallas de inicio de sesión y desbloqueo de los sistemas operativos Windows. Autenticación multifactor para soluciones VPN a través de RADIUS o SAML. | Exigido |
Cualquier dispositivo o sistema operativo que admita RADIUS. Complemento para ADFS (IDP, proveedor de identidad), servicios de federación de Active Directory. | Exigido |
Debe ser posible configurar reglas de acceso que exijan la validación de autenticación multifactor de manera individual. | Exigido |
A petición mediante el protocolo Oauth y las API de REST. | Exigido |
Para realizar el restablecimiento de contraseña de servicio automático o desbloqueo de usuario. | Exigido |
Debe ser capaz de ofrecer mínimamente al menos uno de los siguientes métodos para múltiples factores de autenticación: | Exigido |
Usuario y contraseña de los directorios admitidos en la solución. | Exigido |
A través de la aplicación móvil iOS y Android, que ofrece soporte para (Biometría FaceID, Biometría a través del lector digital, notificación para aprobar o rechazar una autenticación, Geolocalización a través de GPS coordenadas e IDatabase) | Exigido |
Soporte tokens OATH OTP. Autenticación en la pantalla de inicio de sesión a través de QRcode (Passwordless) sin necesidad de introducir el usuario y la contraseña, con la opción de forzar la biometría en el dispositivo móvil. | Exigido |
Entrega de código a través de SMS y llamada de voz. | Exigido |
Preguntas de seguridad Notificaciones de correo electrónico y teléfono móvil | Exigido |
OTP tokens (en línea, fuera de línea, por correo electrónico y Hardware). | Exigido |
Debe ser capaz de soportar autenticadores que admiten FIDO2 / U2F, que admiten mínimamente: | Exigido |
• Windows Hello. | Exigido |
• Google Titan Key | Exigido |
• MacOS TouchID. | Exigido |
| • Microsoft Authenticator | Exigido |
| • Google Authenticator | Exigido |
Debe ser capaz de soportar confirmación de código | Exigido |
Debe ser capaz de soportar clientes de Oath OTP (por ejemplo, Google Authenticator). | Exigido |
| Exigido |
| Exigido |
| Exigido |
Debe permitir el análisis de las solicitudes de autenticación con los estándares históricos, asignación de índice de riesgo a cada intento de inicio de sesión, generación de alertas y creación de directivas de bloqueo para que se activen cuando se detecte un comportamiento anómalo y se simplifique el acceso cuando se entienda que el usuario es legítimo. | Exigido |
Debe permitir a los usuarios agregar y modificar factores de autenticación directamente en un portal con una definición de período de omisión de autenticación multifactor. | Exigido |
Debe proporcionar informes y paneles personalizables que detallen la información en tiempo real sobre las actividades de autenticación, como errores de autenticación secundarios, intentos de inicio de sesión correctos y los factores de autenticación más utilizados. | Exigido |
| Exigido |
Single Sign On (SSO) | Requerimiento |
Debe permitir la configuración de las aplicaciones web mínimamente a través de al menos uno de los siguientes protocolos y métodos, para por lo menos 20 usuarios administradores: | Exigido |
• SAML 2.0 | Exigido |
• Modo cliente Oauth 2.0 | Exigido |
• WS-Federation | Exigido |
• Conexión OpenID | Exigido |
• Ntlm | Exigido |
• Modo de servidor Oauth 2.0 | Exigido |
• HTTP Basic | Exigido |
| • ADFS | Exigido |
• Extensión en el navegador para capturar aplicaciones web que utilizan el formulario con el usuario y la contraseña y realizar la finalización automática del inicio de sesión y la contraseña de forma automatizada. Esta información debe almacenarse de forma segura en la solución para la finalización automática en futuros inicios de sesión en estas aplicaciones. | Exigido |
|
|
|
|
Debe | Exigido |
| Debe exigir al usuario de la autenticación para el acceso a las aplicaciones web, conforme a cumplir con las mejores prácticas para la protección de accesos y las concesiones a privilegios a usuarios. | Exigido |
Debe disponer de un servicio de directorio para almacenar identidades en la solución, sin depender de la sincronización con otros servicios de directorio on-premise o en la nube de terceros. | Exigido |
El servicio de directorio de soluciones debe tener la capacidad de | Exigido |
Debe admitir la integración con los servicios de directorio en la nube y on-premises, lo que debe admitir mínimamente: | Exigido |
• Microsoft Active Directory. | Exigido |
• Microsoft Azure AD | Exigido |
• LDAP | Exigido |
Las integraciones con un directorio de terceros no deben sincronizarse con estas bases de datos, es decir, cargar todo el directorio configurado en la nube, la solución debe actuar como intermediario entre los servicios de directorio de terceros y la solución. | Exigido |
Debe tener la capacidad de | Exigido |
Periodo de Suscripción | Requerimiento |
Suscripción de la plataforma por un periodo de 3 años | Exigido |
ITEM N° 2 CLUSTER DE SERVIDORES PARA LA BOVEDA DE CONTRASEÑAS | |
Especificaciones | |
Generalidades del Servicio | Requerimiento |
Marca | Exigido |
Modelo | Exigido |
Cantidad: Dos (2) | Exigido |
Factor en forma: Rackeable de 2U máximo. | Exigido |
Procesador | Requerimiento |
• Cantidad instalada en el equipo: | Exigido |
• Cantidad máxima soportada por el equipo: Dos (2) | Exigido |
Características de cada procesador: | Exigido |
• Cantidad de cores: | Exigido |
• Frecuencia: | Exigido |
Memoria: | Requerimiento |
|
|
|
|
• | Exigido |
| • Tipo de memoria: DDR4400 MT/s RDIMM o superior. | Exigido |
• | Exigido |
| • Cantidad máxima de slots soportados por el equipo: 16 slots como mínimo. | Exigido |
• Tipos de protección soportadas: ECC, Memory Mirroring, Patrol Scrubbing y Memory Sparing como mínimo | Exigido |
Almacenamiento | Requerimiento |
|
|
| Exigido |
| El equipo debe contar con dos (2) unidades SSD tipo M.2 internos (en configuración espejada RAID 1) de al menos 960 GB cada uno para el arranque del Sistema Operativo. | Exigido |
| 2 (dos) unidades SATA SSD de 1.92TB o superior. | Exigido |
Capacidad de albergar hasta | Exigido |
El equipo debe poder soportar discos | Exigido |
Controladora de discos: | Exigido |
• | Exigido |
• Soporte para RAID 0, 1, 5, 10, 50 | Exigido |
Ranuras de Expansión | Requerimiento |
| Exigido |
Interfaces de periféricos | Requerimiento |
Puertos USB: | Exigido |
Gráfico DB-15: una unidad posterior. | Exigido |
Serial: con capacidad de poder agregar una unidad a futuro. | Exigido |
|
|
Tarjeta Gráfica | Requerimiento |
Puerto grafico de 16MB integrado con resolución máxima de 1920x1200, 16bpp, 60Hz. | Exigido |
Fuente de alimentación | Requerimiento |
Fuente de alimentación redundante de | Exigido |
Comunicaciones | Requerimiento |
Al menos 4 (cuatro) puertos de 1 GbE Base-T y dos (2) tarjetas PCle de 4 (cuatro) Puertos de 10/25Gb SFP28 como mínimo. | Exigido |
Sistema Operativos Soportados | Requerimiento |
|
|
|
|
| Exigido |
VMware ESXi | Exigido |
|
|
Características RAS | Requerimiento |
Diagnóstico de fallas de hardware en el equipo mediante LEDs indicadores; y también debe contar con análisis predictivo de fallas que cubra los siguientes componentes del sistema: procesador, regulador de voltaje, memoria, discos, controladores de disco, fuente de poder y ventiladores. | Exigido |
Administración | Requerimiento |
Puerto dedicado RJ-45 con soporte de Consola Remota | Exigido |
Kit de Montaje en Rack y Accesorios | Requerimiento |
Proporcionar el kit completo de: cables, transceivers, fibra óptica conectores, soportes, organizadores y demás accesorios requeridos para el montaje y funcionamiento correcto del servidor en el rack.
| Exigido |
Certificado de Calidad | Requerimiento |
La marca ofertada debe contar con certificación ISO 9001 y 14001 como mínimo. | Exigido |
Garantía | Requerimiento |
| Exigido |