El suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes serán suministrados por el proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el contrato.
Los bienes suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la contratante, mediante notificación a la misma de dicho rechazo.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
|
ITEM N° 1 - SOLUCION DE SEGURIDAD PARA ACCESOS PRIVILEGIADOS (PAM) |
|
|
Especificaciones |
|
|
Generalidades del Servicio |
Requerimiento |
|
Debe ser diseñado de manera modular para adaptarse a aumentos en el uso, la adición de más plataformas o la implementación de esquemas de alta disponibilidad sin tener que pagar por licencias adicionales. Todo lo implementado y desarrollado quedara como propiedad del BNF. Al término de la vigencia de la solución el proveedor deberá entregar el código fuente de todo lo desarrollado. |
Exigido |
|
La solución debe ser basada en software y estar disponible como un servicio (SaaS) o mediante una suscripción para su implementación en la nube y/o en entornos físicos o virtualizados con infraestructura. |
Exigido |
|
Los componentes críticos de la solución, como la bóveda segura de credenciales, deben asegurar alta disponibilidad. Si es en la nube, deben cumplir con SOC2. Si es en implementaciones locales, nubes privadas o entornos híbridos, deben instalarse con alta disponibilidad, satélite o al menos DR en cada ubicación (sitio principal y alterno, con sincronización entre sitios). Asegurando que el proceso sea transparente para los usuarios conectados en caso de pérdida de comunicación y mecanismos para la recuperación ante desastres compatibles con soluciones de copia de seguridad y archivado disponibles en el mercado. |
Exigido |
|
Se debe incluir todo el hardware y software (licencias de sistemas operativos, aplicaciones de base), al mismo tiempo de lo especificado en el ítem 2, que sea necesario para el funcionamiento óptimo de la solución, mientras sea ofrecido el servicio. En el caso de requerirse de licencias Windows Server, estas serán provistas por el BNF a través de su contrato EA. La oferta debe incluir todas las actualizaciones disponibles del software provisto y el servicio de soporte técnico empresarial del fabricante y el partner/distribuidor local, en formato 24x7, durante el periodo del contrato. |
Exigido |
|
EL BNF dispondrá para la implementación de: |
Exigido |
|
Capacidades generales de la herramienta PAM |
Requerimiento |
|
Debe poder gestionar cuentas privilegiadas en al menos los siguientes sistemas operativos: Windows, Unix, Linux, AS400, MAC OS, ESX/ESXi, XenServers y Linux RedHat. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de al menos las siguientes Bases de datos: Oracle, MSSQL, Postgresql, DB2. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas basadas en al menos los siguientes servicios de directorio: Microsoft, Azure AD. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de dispositivos de red (Firewalls, Routers, Switches, APs, PBXs, NACs, Proxys). |
Exigido |
|
Debe poder gestionar cuentas privilegiadas en dispositivos de almacenamiento y permitir la conexión automática a cualquier almacenamiento, ya sea administrado por una interfaz web o sesiones SSH, sin exponer la contraseña privilegiada. |
Exigido |
|
Debe proveer mecanismos de protección que permitan ocultar recursos en un mismo segmento de red |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de Aplicaciones Cloud como Facebook, Google G Suite, Google Gmail, GitHub, Docker, LinkedIn, Instagram, Twitter, Amazon, Azure, VMware, Office 365, PaloAlto, RedHat. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de Saas/websites/web interfaces. |
Exigido |
|
Debe poder gestionar cuentas privilegiadas de redes sociales, tales como: Facebook, Instagram, Whatsapp, Linkedin, etc. |
Exigido |
|
Debe tener la capacidad de conectarse a cualquier dispositivo de red a través de SSH. |
Exigido |
|
Debe tener la capacidad de soportar cualquier repositorio de datos mediante conexión ODBC. |
Exigido |
|
Debe ser capaz de combinar múltiples reglas de acceso por cada usuario para establecer los permisos de acceso a través de microsegmentación. |
Exigido |
|
Debe tener la capacidad de permitir a través de un administrador definir y agregar cuentas privilegiadas. |
Exigido |
|
Debe ser posible establecer reglas de acceso de manera individual por cada recurso o grupo de recursos de red. |
Exigido |
|
Debe tener la capacidad de que un usuario pueda solicitar el uso de una cuenta privilegiada para una fecha u hora futura. |
Exigido |
|
Posibilidad de realizar búsquedas basadas en la lista de comandos o queries para trazabilidad y seguimiento de los mismos para futuras consultas sobre la biblioteca de videos generados por las sesiones de usuarios para identificar tiempos exactos de los queries o comandos que ocurren en dichos videos. |
Exigido |
|
Debe tener la capacidad de detectar dispositivos como máquinas virtuales, servidores físicos, estaciones de trabajo con sistema operativo Microsoft Windows para su administración en la solución. |
Exigido |
|
Debe poder integrarse a soluciones HSM (Hardware Security Module) |
Exigido |
|
Debe soportar integración con soluciones Two Factor Authentication (2FA). |
Exigido |
|
Debe contar con la flexibilidad para crear diferentes reglas de protección para ocultar recursos |
Exigido |
|
Debe soportar integración con al menos una solución de análisis de vulnerabilidades. |
Exigido |
|
Debe contar con una API REST (Interfaz de Programación de Aplicaciones) a través de servicios web para la gestión y el aprovisionamiento de la solución, lo que permitiría, la automatización de procesos |
Exigido |
|
Debe proporcionar un acceso remoto seguro (fuera de la red corporativa) sin necesidad de instalar clientes VPN en los dispositivos de los usuarios remotos, garantizando un acceso seguro con MFA sin modificar los recursos de autenticación corporativos como el AD. |
Exigido |
|
Debe contar con bloqueo de inicio de sesiones en los dispositivos, configurable para grupos de roles o grupos de usuarios |
Exigido |
|
Debe monitorear las sesiones, registrar, identificar, relacionar y contrarrestar todos los comportamientos inusuales, incluyendo servidores Linux/Unix, Windows, controladores de dominio de Microsoft Active Directory, estaciones de trabajo Windows, varios activos de red y de seguridad, así como aplicaciones cliente-servidor/web y servicios en la nube, ya sean IaaS, SaaS o PaaS. |
Exigido |
|
Debe permitir la identificación de acciones que indiquen abuso, comportamiento anormal y fuera de los estándares aprendidos o asignados, aplicando medidas automáticas de mitigación como la re-autenticación, suspensión y terminación de sesiones y rotación de credenciales privilegiadas en caso de actividad sospechosa de alto riesgo. Detección de casos como: recuperación de contraseñas de cuentas con privilegios en horarios o días irregulares según el perfil de comportamiento del usuario, acceso a cuentas con privilegios desde una dirección IP o subred inusual según el perfil de comportamiento del usuario, y conexión a un equipo con una cuenta con privilegios no administrada por la solución. |
Exigido |
|
Debe ser capaz de soportar controles duales y permitir diferentes configuraciones de aprobaciones, por ejemplo, cuando un usuario solicita una contraseña. Esto debe incluir la capacidad de enviar notificaciones automáticas por correo electrónico. |
Exigido |
|
Debe ser capaz de soportar flujos de trabajo flexibles para designar múltiples aprobadores, por ejemplo, requerir dos o más aprobaciones antes de autorizar el acceso. |
Exigido |
|
debe ser capaz de generar registros de los procesos de flujo de trabajo y tener la habilidad de generar informes o realizar auditorías. |
Exigido |
|
Debe incluir licencias para 150 usuarios administradores, con acceso remoto seguro SSL. |
Exigido |
|
Seguridad de la aplicación |
Requerimiento |
|
Debe ser capaz de integrarse con métodos de autenticación empresariales, como LDAP, Windows SSO, PKI, RADIUS y mecanismos de autenticación propios. |
Exigido |
|
Debe ser capaz de cifrar todos los datos, incluyendo credenciales, secretos y sesiones grabadas. |
Exigido |
|
Debe asegurar la integridad de los registros al almacenarlos y acceder a ellos de manera segura. |
Exigido |
|
Debe ser capaz de restringir la visualización de contraseñas controladas por otros departamentos de la compañía a ciertos administradores. |
Exigido |
|
Todas las comunicaciones que se realicen hacia la solución y desde la solución deben estar cifradas. |
Exigido |
|
Gestión de claves y cuentas privilegiadas |
Requerimiento |
|
Debe ser capaz de cambiar contraseñas en intervalos configurables de días, meses o años. |
Exigido |
|
Debe ser capaz de cambiar varias contraseñas al mismo tiempo para un solo sistema o para sistemas agrupados bajo un criterio común. |
Exigido |
|
Debe ser capaz de asignar contraseñas a un valor random |
Exigido |
|
Debe permitir que un administrador cambie manualmente una contraseña en cualquier momento. |
Exigido |
|
Debe ser capaz de cambiar automáticamente el valor de una contraseña después de un tiempo especificado de un check-out |
Exigido |
|
Debe ser capaz de cambiar de forma automática la contraseña de una cuenta que acaba de ser definida en el sistema |
Exigido |
|
Debe ser capaz de realizar verificación automática del valor de una contraseña en el sistema correspondiente. |
Exigido |
|
Debe ser capaz de sincronizar de forma automática contraseñas que se hayan detectado como out of sync o que se haya perdido, sin utilizar herramientas externas de restauración. |
Exigido |
|
Debe permitir la configuración de una longitud mínima y complejidad para las contraseñas de cuentas de súper usuarios en todos los sistemas. |
Exigido |
|
Debe ser capaz de conservar el historial de contraseñas. |
Exigido |
|
Debe ser capaz de gestionar cuentas de súper usuario que hayan sido renombradas de su nombre predeterminado. |
Exigido |
|
Debe ser capaz de soportar conexiones transparentes a un dispositivo objetivo sin necesidad de ver o ingresar la contraseña durante la conexión. |
Exigido |
|
Debe ser capaz de soportar conexiones directas a dispositivos de administración UNIX/LINUX (SSH) y permitir la grabación de la sesión. |
Exigido |
|
Debe permitir la gestión de al menos 1.000 activos en su bóveda de contraseñas. |
Exigido |
|
Reportes y Auditoría |
Requerimiento |
|
Debe ser capaz de mostrar en una vista rápida todas las actividades relacionadas con una cuenta privilegiada, como el restablecimiento de una contraseña o sesiones de administración utilizando dicha cuenta. |
Exigido |
|
Debe registrar toda información conocida sobre un usuario a medida que se otorga o deniega el acceso. |
Exigido |
|
Debe ser capaz de generar reportes de forma periódica, bajo demanda o en forma programada |
Exigido |
|
Debe registrar todos los accesos de usuarios, incluyendo el tráfico permitido y denegado. |
Exigido |
|
Debe ser capaz de generar informes detallados y programados que incluyan información como reportes de privilegios, actividad de usuarios, inventario de cuentas privilegiadas, inventario de aplicaciones y reportes de cumplimiento, entre otros. |
Exigido |
|
Debe ser capaz de auditar y generar reportes de todas las modificaciones administrativas realizadas en el sistema. |
Exigido |
|
Debe cumplir con las siguientes normativas: GDPR e ISO27001 |
Exigido |
|
Integración de la Solución |
Requerimiento |
|
Posibilidad de integrarse con soluciones tipo SIEM |
Exigido |
|
Integración con directorios LDAP/AD |
Exigido |
|
Integración con al menos una solución de Scanner de vulnerabilidades |
Exigido |
|
Análisis de Comportamiento de Usuario (UBA) |
Requerimiento |
|
Debe fundamentarse en algoritmos de aprendizaje automático no supervisados. Los modelos estadísticos para los casos de uso deben estar preparados y calibrados. |
Exigido |
|
Debe evaluar el riesgo de autenticación mediante la verificación del comportamiento histórico de la identidad minimamente a través de los siguientes atributos: Día de la semana, Horario de acceso, origen y longitud de la sesión. |
Exigido |
|
Debe soportar la verificación de la postura del usuario final funciona sin la inclusión de software adicional de terceros |
Exigido |
|
Debe permitir la configuración de niveles de riesgo personalizados en función del comportamiento del usuario. |
Exigido |
|
Debe permitir tomar decisiones y acciones, como permitir el inicio de sesión único (Single Sign On), solicitar autenticación multifactor (MFA), denegar la autenticación, entre otros, en función del nivel de riesgo asignado a la cuenta de usuario. |
Exigido |
|
Debe proporcionar a los administradores de la solución la capacidad de examinar datos históricos a través de paneles, filtros y gráficos configurables, verificar alertas y los factores que las influenciaron, y explorar eventos capturados y sus atributos. |
Exigido |
|
Debe proporcionar gráficos de línea de tiempo, gráficos circulares, mapas con la geolocalización de eventos, gráficos de barras, tablas analíticas y mapas de relaciones. Sus dimensiones y categorías deben ser personalizables. |
Exigido |
|
Debe permitir como mínimo personalizar las visitas de los dashboards predefinidos mediante la aplicación de filtros de manera local en la plataforma y permitir la extracción de datos para conectar mediante APls a herramientas de Bl a fin de permitir ampliar el manejo de información generada por la herramienta. |
Exigido |
|
Monitoreo/Grabación de Actividad Privilegiada |
Requerimiento |
|
Debe ser capaz de grabar sesiones privilegiadas en sistemas como Windows, servidores virtuales, Linux, equipos de comunicaciones, bases de datos y aplicaciones web. |
Exigido |
|
Debe ser capaz de realizar búsquedas basadas en la lista de comandos o queries (query) para trazabilidad y seguimiento de los mismos para futuras consultas sobre la biblioteca de videos generadas por las sesiones de usuarios para identificar tiempos exactos de los queries (query) o comandos que ocurren en dichos videos. |
Exigido |
|
Debe ser capaz de restringir la ejecución de comandos y aplicaciones que se ejecuten con cuentas privilegiadas gestionadas por la solución, sin necesidad de realizar configuraciones en los sistemas objetivo. |
Exigido |
|
Debe ser capaz de intervenir y/o finalizar remotamente una sesión en tiempo real en caso de actividad sospechosa o si es requerido por un administrador o auditor. |
Exigido |
|
Gestión de llaves SSH |
Exigido |
|
Se requiere un método para identificar llaves SSH pares, llaves huérfanas y relaciones de confianza dentro de la organización |
Exigido |
|
Debe ser capaz de almacenar de forma segura y controla el acceso a las llaves privadas SSH |
Exigido |
|
Debe ser capaz de permitir la automatización de rotación de llaves |
Exigido |
|
Acceso Remoto Privilegiado a Terceros |
Requerimiento |
|
Deberá poder gestionar un acceso privilegiado hacia la infraestructura interna a usuarios internos y terceros remotos fuera de la red interna tan solo en minutos sin necesidad de tener una VPN |
Exigido |
|
Para otorgar accesos privilegiados remotos la solución no debe requerir de instalación de agentes ni configuraciones de conexiones VPN |
Exigido |
|
Para otorgar accesos privilegiados remotos la solución proveida deberá soportar autenticaciones de multifactor basadas en al menos una de las siguientes opciones: biométricos, sms, correo electrónico o tokens. |
Exigido |
|
La solución debe contar con la posibilidad de integrarse con aplicaciones de terceros para agregar una capa adicional de seguridad en la autenticación de usuarios externos, mediante biométricos o algún otro factor para teléfonos inteligentes iOS y Android |
Exigido |
|
Para otorgar accesos privilegiados remotos la solución no debe requerir usar contraseñas como métodos de autenticación. |
Exigido |
|
La seguridad de la plataforma de autenticación para accesos remotos debe estar acorde a uno de los siguientes estándares de seguridad: OWASP, NIST o CIS. |
Exigido |
|
Debe incluir licencias para 100 usuarios de tercero. |
Exigido |
|
Gestión de Privilegios para Endpoints (EPM) |
Requerimiento |
|
La protección y el control de los privilegios deben ser proporcionados por agentes instalados en el sistema operativo de las estaciones de trabajo. |
Exigido |
|
Debe proporcionar opciones de ejecución sin necesidad de notificación previa: desde aplicaciones con privilegios en modo explícito y transparente, monitoreadas desde aplicaciones en modo explícito y transparente, con limitaciones de aplicación en modo explícito y transparente. |
Exigido |
|
Debe tener la capacidad de evaluar la reputación del archivo ejecutado a partir de al menos una fuente externa y ofrecer la opción de enviar archivos sospechosos para su análisis de malware en soluciones comerciales. |
Exigido |
|
Debe soportar al menos estaciones de trabajo: Windows 7 x32 y x64, Windows 8/8.1 x32 y x64, Windows 10 x32 y x64 |
Exigido |
|
Debe ser factible establecer reglas de control para permitir y bloquear la ejecución de aplicaciones utilizando las funcionalidades instaladas en el sistema operativo de destino, independientemente de si el acceso al activo se realiza a través de monitores/grabadoras de sesión o directamente en el recurso. |
Exigido |
|
Debe ser factible establecer reglas para controlar el nivel de privilegio utilizado en la ejecución de aplicaciones permitidas que utilizan las funcionalidades instaladas en el sistema operativo de destino, independientemente de si el acceso al activo se realiza a través de monitores/grabadoras de sesión o directamente en el recurso. |
Exigido |
|
Debe ser factible implementar el control de nivel de privilegios independientemente del permiso que el usuario tenga localmente en el activo o dominio, permitiendo a los usuarios con restricciones realizar actividades de nivel administrativo. |
Exigido |
|
Debe permitir acceder a aplicaciones y archivos, cuando se incluyen en reglas, individualmente o en grupos. |
Exigido |
|
Debe ser posible la liberación de emergencia de la ejecución de comandos y la elevación de privilegios sin deshabilitar la solución si el usuario está sin conexión. |
Exigido |
|
Debe tener una integración con el Control de Cuentas de Usuarios (UAC) de Windows y contener informes del uso de mensajes a los usuarios realizados por UAC |
Exigido |
|
Debe permitir que se muestren mensajes personalizados antes de que una aplicación se ejecute o se bloquee |
Exigido |
|
Debe permitir exigir las directivas de control de acceso a los usuarios, de tal forma a ampliar las opciones de control de seguridad para la protección de la herramienta. |
Exigido |
|
Los usuarios solo deben poder establecer canales de comunicación con los sitios protegidos que fueron autorizados para cada usuario tras el proceso de autenticación. |
Exigido |
|
Debe ser posible implementar la verificación de CheckSum de archivos, los parámetros permitidos y la firma del fabricante para objetos de solución reutilizables. |
Exigido |
|
Debe prevenir el robo de credenciales en entornos de autenticación Microsoft (LSASS, SAM, etc.) y en aplicaciones de uso y administración de plataformas y browsers. |
Exigido |
|
Debe permitir la elevación de privilegios utilizando Autenticación Multifactor (MFA) adaptativo, que permita la configuración de múltiples factores para aplicar antes de la elevación de privilegios en una estación de trabajo o servidor, permitiendo así verificar la identidad antes de la elevación del privilegio. |
Exigido |
|
Debe incluir al menos 100 agentes de elevación de privilegios para estaciones de trabajo Windows. |
Exigido |
|
Autenticación Multifactor (MFA) |
Requerimiento |
|
Debe ser capaz de cumplir mínimamente los siguientes casos de uso para solicitar uno y más factores de autenticación: |
Exigido |
|
Aplicaciones web integradas en la autenticación simplificada - funciones SSO. |
Exigido |
|
En las pantallas de inicio de sesión y desbloqueo de los sistemas operativos Windows. Autenticación multifactor para soluciones VPN a través de RADIUS o SAML. |
Exigido |
|
Cualquier dispositivo o sistema operativo que admita RADIUS. Complemento para ADFS (IDP, proveedor de identidad), servicios de federación de Active Directory. |
Exigido |
|
Debe ser posible configurar reglas de acceso que exijan la validación de autenticación multifactor de manera individual. |
Exigido |
|
A petición mediante el protocolo Oauth y las API de REST. |
Exigido |
|
Para realizar el restablecimiento de contraseña de servicio automático o desbloqueo de usuario. |
Exigido |
|
Debe ser capaz de ofrecer mínimamente al menos uno de los siguientes métodos para múltiples factores de autenticación: |
Exigido |
|
Usuario y contraseña de los directorios admitidos en la solución. |
Exigido |
|
A través de la aplicación móvil iOS y Android, que ofrece soporte para (Biometría FaceID, Biometría a través del lector digital, notificación para aprobar o rechazar una autenticación, Geolocalización a través de GPS coordenadas e IDatabase) |
Exigido |
|
Soporte tokens OATH OTP. Autenticación en la pantalla de inicio de sesión a través de QRcode (Passwordless) sin necesidad de introducir el usuario y la contraseña, con la opción de forzar la biometría en el dispositivo móvil. |
Exigido |
|
Entrega de código a través de SMS y llamada de voz. |
Exigido |
|
Preguntas de seguridad Notificaciones de correo electrónico y teléfono móvil |
Exigido |
|
OTP tokens (en línea, fuera de línea, por correo electrónico y Hardware). |
Exigido |
|
Debe ser capaz de soportar autenticadores que admiten FIDO2 / U2F, que admiten mínimamente: |
Exigido |
|
• Windows Hello. |
Exigido |
|
• Google Titan Key |
Exigido |
|
• MacOS TouchID. |
Exigido |
|
• Microsoft Authenticator |
Exigido |
|
• Google Authenticator |
Exigido |
|
Debe ser capaz de soportar confirmación de código mediante al menos una de las siguientes opciones: biométricos, SMS, correo electrónico o Tokens. |
Exigido |
|
Debe ser capaz de soportar clientes de Oath OTP (por ejemplo, Google Authenticator). |
Exigido |
|
Debe soportar integraciones con soluciones de seguridad de terceros robustas como: Cisco Duo Security. |
Exigido |
|
Debe permitir el restablecimiento de contraseña y el desbloqueo del usuario, desde el panel de administración. |
Exigido |
|
Debe soportar autenticación dinámica basada en el contexto de riesgo y seguridad, permitiendo la creación de un perfil para cada usuario, aprovechando los atributos históricos y situacionales específicos del mismo, como la ubicación, el dispositivo, la red, el horario y el índice de riesgo de comportamiento. |
Exigido |
|
Debe permitir el análisis de las solicitudes de autenticación con los estándares históricos, asignación de índice de riesgo a cada intento de inicio de sesión, generación de alertas y creación de directivas de bloqueo para que se activen cuando se detecte un comportamiento anómalo y se simplifique el acceso cuando se entienda que el usuario es legítimo. |
Exigido |
|
Debe permitir a los usuarios agregar y modificar factores de autenticación directamente en un portal con una definición de período de omisión de autenticación multifactor. |
Exigido |
|
Debe proporcionar informes y paneles personalizables que detallen la información en tiempo real sobre las actividades de autenticación, como errores de autenticación secundarios, intentos de inicio de sesión correctos y los factores de autenticación más utilizados. |
Exigido |
|
Soporte de MFA (Autenticación Multifactor) incluido para el total de las licencias adquiridas. |
Exigido |
|
Single Sign On (SSO) |
Requerimiento |
|
Debe permitir la configuración de las aplicaciones web mínimamente a través de al menos uno de los siguientes protocolos y métodos, para por lo menos 20 usuarios administradores: |
Exigido |
|
• SAML 2.0 |
Exigido |
|
• Modo cliente Oauth 2.0 |
Exigido |
|
• WS-Federation |
Exigido |
|
• Conexión OpenID |
Exigido |
|
• Ntlm |
Exigido |
|
• Modo de servidor Oauth 2.0 |
Exigido |
|
• HTTP Basic |
Exigido |
| • ADFS | Exigido |
|
• Extensión en el navegador para capturar aplicaciones web que utilizan el formulario con el usuario y la contraseña y realizar la finalización automática del inicio de sesión y la contraseña de forma automatizada. Esta información debe almacenarse de forma segura en la solución para la finalización automática en futuros inicios de sesión en estas aplicaciones. |
Exigido |
|
Debe permitir la inyección de usuario y contraseña para los administradores de sesiones web, conforme a cumplir con las mejores prácticas para la protección de accesos y basado en el cumplimiento de concesiones de privilegios a usuarios. |
Exigido |
|
Debe exigir al usuario de la autenticación para el acceso a las aplicaciones web, conforme a cumplir con las mejores prácticas para la protección de accesos y las concesiones a privilegios a usuarios. |
Exigido |
|
Debe disponer de un servicio de directorio para almacenar identidades en la solución, sin depender de la sincronización con otros servicios de directorio on-premise o en la nube de terceros. |
Exigido |
|
El servicio de directorio de soluciones debe tener la capacidad de exigir que la personalización de atributos pueda ser realizada en credenciales y dispositivos gestionados en la plataforma, de manera a tener mayor flexibilidad en la creación de grupos de usuarios. |
Exigido |
|
Debe admitir la integración con los servicios de directorio en la nube y on-premises, lo que debe admitir mínimamente: |
Exigido |
|
• Microsoft Active Directory. |
Exigido |
|
• Microsoft Azure AD |
Exigido |
|
• LDAP |
Exigido |
|
Las integraciones con un directorio de terceros no deben sincronizarse con estas bases de datos, es decir, cargar todo el directorio configurado en la nube, la solución debe actuar como intermediario entre los servicios de directorio de terceros y la solución. |
Exigido |
|
Debe tener la capacidad de integrarse a LOS PROVEEDORES DE IDENTIDAD (IDP) de los socios comerciales de la organización mediante la federación realizada por la plataforma, sin la necesidad de crear nuevas identidades en la infraestructura. De forma tal que los protocolos como: LDAP, SAML, OpenID y otros puedan ser empleados para brindar acceso a las identidades federadas. |
Exigido |
|
Periodo de Suscripción |
Requerimiento |
|
Suscripción de la plataforma por un periodo de 3 años |
Exigido |
|
ITEM N° 2 CLUSTER DE SERVIDORES PARA LA BOVEDA DE CONTRASEÑAS |
|
|
Especificaciones |
|
|
Generalidades del Servicio |
Requerimiento |
|
Marca |
Exigido |
|
Modelo |
Exigido |
|
Cantidad: Dos (2) |
Exigido |
|
Factor en forma: Rackeable de 2U máximo. |
Exigido |
|
Procesador |
Requerimiento |
|
• Cantidad instalada en el equipo: Dos (2) |
Exigido |
|
• Cantidad máxima soportada por el equipo: Dos (2) |
Exigido |
|
Características de cada procesador: |
Exigido |
|
• Cantidad de cores: 16C/32T como mínimo |
Exigido |
|
• Frecuencia: 2.0 GHz como mínimo. |
Exigido |
|
Memoria: |
Requerimiento |
|
• Cantidad instalada: 128 GB como mínimo. |
Exigido |
|
• Tipo de memoria: DDR4400 MT/s RDIMM o superior. |
Exigido |
|
• Capacidad máxima de memoria soportado por el equipo: 4 TB como mínimo |
Exigido |
|
• Cantidad máxima de slots soportados por el equipo: 16 slots como mínimo. |
Exigido |
|
• Tipos de protección soportadas: ECC, Memory Mirroring, Patrol Scrubbing y Memory Sparing como mínimo |
Exigido |
|
Almacenamiento |
Requerimiento |
|
10 (diez) unidades SATA SSD de 3.84TB o superior. |
Exigido |
| El equipo debe contar con dos (2) unidades SSD tipo M.2 internos (en configuración espejada RAID 1) de al menos 960 GB cada uno para el arranque del Sistema Operativo. | Exigido |
|
2 (dos) unidades SATA SSD de 1.92TB o superior. |
Exigido |
|
Capacidad de albergar hasta 24 unidades de 2.5 SAS/SATA (SFF) frontales y al menos dos (2) unidades de 2.5 SAS /SATA/NVME (SFF) en Bahías traseras |
Exigido |
|
El equipo debe poder soportar discos SAS y SATA. |
Exigido |
|
Controladora de discos: |
Exigido |
|
• 8 GB de cache tipo Flash o superior |
Exigido |
|
• Soporte para RAID 0, 1, 5, 10, 50 |
Exigido |
|
Ranuras de Expansión |
Requerimiento |
|
2 slots PCIe, con posibilidad de ampliar a 4 slots PCIe a futuro como mínimo. |
Exigido |
|
Interfaces de periféricos |
Requerimiento |
|
Puertos USB: tres unidades (por lo menos uno de 3.0) |
Exigido |
|
Gráfico DB-15: una unidad posterior. |
Exigido |
|
Serial: con capacidad de poder agregar una unidad a futuro. |
Exigido |
|
Tarjeta Gráfica |
Requerimiento |
|
Puerto grafico de 16MB integrado con resolución máxima de 1920x1200, 16bpp, 60Hz. |
Exigido |
|
Fuente de alimentación |
Requerimiento |
|
Fuente de alimentación redundante de 1100W (1+1) Hot Plug o superior. |
Exigido |
|
Comunicaciones |
Requerimiento |
|
Al menos 4 (cuatro) puertos de 1 GbE Base-T y dos (2) tarjetas PCle de 4 (cuatro) Puertos de 10/25Gb SFP28 como mínimo. |
Exigido |
|
Sistema Operativos Soportados |
Requerimiento |
|
Windows Server 2019 o superior |
Exigido |
|
VMware ESXi 8.0 o superior |
Exigido |
|
Características RAS |
Requerimiento |
|
Diagnóstico de fallas de hardware en el equipo mediante LEDs indicadores; y también debe contar con análisis predictivo de fallas que cubra los siguientes componentes del sistema: procesador, regulador de voltaje, memoria, discos, controladores de disco, fuente de poder y ventiladores. |
Exigido |
|
Administración |
Requerimiento |
|
Puerto dedicado RJ-45 con soporte de Consola Remota |
Exigido |
|
Kit de Montaje en Rack y Accesorios |
Requerimiento |
|
Proporcionar el kit completo de: cables, transceivers, fibra óptica conectores, soportes, organizadores y demás accesorios requeridos para el montaje y funcionamiento correcto del servidor en el rack. |
Exigido |
|
Certificado de Calidad |
Requerimiento |
|
La marca ofertada debe contar con certificación ISO 9001 y 14001 como mínimo. |
Exigido |
|
Garantía |
Requerimiento |
|
5 (cinco) años con el máximo nivel de Soporte Empresarial 24x7 de la marca y del proveedor local |
Exigido |
Nombre, cargo y la dependencia de la Institución de quien solicita el llamado a ser publicado: Ricardo Rolón, Encargado de Despacho, Gerencia Departamental de Administración de Seguridad de TIC.
Justificación de la necesidad que se pretende satisfacer mediante la contratación a ser realizada: La adquisición de una solución de seguridad para accesos privilegiados permitirá al Banco Nacional de Fomento proteger la infraestructura y aplicaciones del uso indebido de usuarios de alto privilegio.
Justificar la planificación: El llamado busca satisfacer una necesidad temporal.
Justificación de las especificaciones técnicas establecidas: Las Especificaciones Técnicas fueron establecidas en base a estándares internacionales de gestión de la seguridad de la información para la adquisición una solución de Gestión de Accesos Privilegiados, con el fin de controlar, auditar, supervisar y brindar protección para todos los usuarios de alto privilegio de los sistemas del BNF.
La entrega de los bienes se realizará de acuerdo con el plan de entrega y cronograma de cumplimiento, indicados en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicados a continuación:
|
Ítem |
Descripción del Bien |
Cantidad |
Unidad de Medida |
Lugar de prestación de los bienes |
Fecha(s) final(es) de entrega de los bienes |
|
1 |
SOLUCION DE SEGURIDAD PARA ACCESO PRIVILEGIADO |
1
|
Unidad |
Gerencia Departamental de Administración de Seguridad TIC, en Casa Matriz. |
El proveedor dispondrá de 30 días hábiles para la entrega de los bienes y 90 (noventa) días hábiles a partir del día siguiente de la entrega efectiva de los bienes para la finalización de la instalación y puesta en funcionamiento. |
|
2 |
CLÚSTER DE SERVIDORES DE BÓVEDA DE CONTRASEÑAS |
2 |
Unidad |
No Aplica.
Para la presente contratación se pone a disposición los siguientes planos o diseños:
No aplica
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indican a continuación:
No aplica
El documento requerido para acreditar el cumplimiento contractual será:
Serán presentados 1(un) Acta de recepción definitiva.
Frecuencia: una vez
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA (se indica la fecha que debe presentar según la carta de invitación) |
|
Acta de recepción |
Acta de recepción |
Conforme al plan de entregas |
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.
La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.
1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.
2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.
3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad requerida, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.
En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.
La comunicación de la adjudicación a los oferentes será como sigue:
1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.
2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.
3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.
4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.
5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.
Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.
La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.
La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.
La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.
Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.
|
1. Personas Físicas / Jurídicas |
|
a) Certificado de no encontrarse en quiebra o en convocatoria de acreedores expedido por la Dirección General de Registros Públicos; |
|
b) Certificado de no hallarse en interdicción judicial expedido por la Dirección General de Registros Públicos; |
| c) Constancia de no adeudar aporte obrero patronal expedida por el Instituto de Previsión Social; |
|
d) Certificado laboral vigente expedido por la Dirección de Obrero Patronal dependiente del Viceministerio de Trabajo, siempre que el sujeto esté obligado a contar con el mismo, de conformidad a la reglamentación pertinente - CPS; |
|
e) En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación. |
| f) Certificado de Cumplimiento Tributario vigente a la firma del contrato. |
|
2. Documentos. Consorcios |
|
a) Cada integrante del consorcio que sea una persona física o jurídica deberá presentar los documentos requeridos para oferentes individuales especificados en los apartados precedentes. |
|
b) Original o fotocopia del consorcio constituido. |
|
c) Documentos que acrediten las facultades del firmante del contrato para comprometer solidariamente al consorcio. |
|
d) En el caso que suscriba el contrato otra persona en su representación, acompañar poder suficiente del apoderado para asumir todas las obligaciones emergentes del contrato hasta su terminación. |