bases administrativas
Transcripción
bases administrativas
1 BASES ADMINISTRATIVAS CONCURSO N° 014-2015 PER1001711 (PER 152) ADQUISICION E IMPLEMENTACION DE UNA SOLUCION DE SEGURIDAD PERIMETRAL BASES ADMINISTRATIVAS I. GENERALIDADES 1.1. ENTIDAD CONVOCANTE Nombre : Programa de apoyo a la política de aseguramiento universal en salud en el Perú, a través del Seguro Integral de Salud Domicilio : Calle Martin de Murua N° 206 Dpto. 302 Urb. Maranga - San Miguel Teléfono/Fax: : 514-5555 (Anexo 8001 y 8003) Correo electrónico: : [email protected] 1.2. OBJETO DEL PROCESO DE SELECCIÓN El presente proceso de selección tiene por objetivo la Adquisición e Implementación de una Solución de Seguridad Perimetral. 1.3. VALOR REFERENCIAL El valor referencial asciende a S/. 1´471,532.17 (Un Millón Cuatrocientos setenta y un mil Quinientos Treinta y Dos con 17/100 nuevos soles), incluido los impuestos de Ley y cualquier otro concepto que incida en el costo total de la presente adquisición. IMPORTANTE: Las propuestas económicas no pueden exceder el monto consignado en las Bases como valor referencial. No existe un límite mínimo como tope para efectuar dichas propuestas. 1.4. FUENTE DE FINANCIAMIENTO El presente proceso de selección será cargado a la línea presupuestaria A_05_09_05 en cogestión del Programa. 1.5. SISTEMA DE CONTRATACIÓN El presente proceso se rige por el sistema de suma alzada, de acuerdo con lo establecido en el expediente de contratación respectivo. 1.6. ALCANCES DEL REQUERIMIENTO La presente adquisición a contratar está definido en las especificaciones técnicas mínimas que forman parte de las presentes bases administrativas. 1.7. PLAZO DE PRESTACIÓN El plazo de la prestación será por un periodo de ciento siete (107) días calendario, contados a partir del día siguiente de suscrito el contrato. 1.8. DERECHO APLICABLE 1.8.1 Marco legal de la Cooperación Técnica Belga en Perú La Agencia Belga de Desarrollo - CTB es una Sociedad Anónima según las normas legales de Bélgica, con una personería jurídica propia. Además está definida en su acta de creación que es una Sociedad Anonima de Derecho Público con Finalidad Social, lo que significa que los beneficios a final de cada gestión se reinvierten en proyectos sociales. Todas las acciones están en manos del Estado Belga, pero la CTB funciona con su propia estructura legal y orgánica, cumpliendo con las normas belgas del mercado público y de las empresas estatales. Cada Representación de la CTB en los múltiples países donde ésta opera, constituye una sucursal de la CTB de Bruselas (ver sitio Web http://www.btcctb.org/). 1.8.2 Convenios de Cooperación bilateral directa a) Convenio General de Cooperación entre la República del Perú y el Reino de Bélgica En el marco del Convenio General de Cooperación firmado entre el Reino de Bélgica y la República del Perú, la Representación goza de determinado grado de privilegios y exoneraciones específicas. La CTB en Perú no está sujeta a pago de impuestos, lo que tiene como consecuencia 2 la imposibilidad de actuar como agente de retención de impuestos, pero sí debe cumplir con todo lo establecido en la legislación laboral. b) Convenio Específico La ejecución del Programa de apoyo a la política de aseguramiento universal en salud en el Perú, a través del SIS, está regulada por un Convenio Específico y un Documento Técnico y Financiero, que establece la modalidad ejecución del programa. Las entidades ejecutoras son directamente responsables de la ejecución del Programa y de la administración de los recursos belgas, dando cumplimiento a los objetivos trazados en cada uno de sus componentes. Cualquier modificación a los términos del Convenio requiere del acuerdo escrito de las partes. c) Manual de procedimiento administrativo Los procedimientos administrativos se rigen en base al manual de gestión administrativa de proyectos/programas y su adenda Nº 1, las observaciones y apelaciones que se presenten a los procesos en ejecución, son revisadas por el Responsable Administrativo y Financiero de la Unidad de Facilitación, quien en coordinación con el Director Nacional y el Co director Internacional, resolverán cualquier reclamo o apelación, siendo esta la última instancia. 1.9. SOBRE LOS FORMATOS No se aceptarán modificaciones a los formatos anexados a este documento. 3 II. PROCESO DE SELECCIÓN 2.1 CRONOGRAMA Etapa Fecha Publicación 24/05/2015 Registro de Participantes Del 25/05/2015 al 09/06/2015 Formulación de consultas a las Hasta el Bases 01/06/2015 Absolución de Consultas a las 04/06/2015 Bases Integracion de Bases Lugar y hora Diario de Circulacion Nacional(El Comercio – Seccion Licitaciones), Página web de la CTB (http://www.btcctb.org/en/tenders) y la página web del SIS (http://www.sis.gob.pe/Portal/paginas/proceso_seleccion.html) Se registrarán en las instalaciones del Programa, en calle Martín de Murua N° 206 Dpto. 302 Urb. Maranga – San Miguel o al correo electronico: [email protected] , en el horario 08:30 hrs a 17:00 hrs Se presentarán en las instalaciones del Programa, en calle Martín de Murua N° 206 Dpto. 302 Urb. Maranga – San Miguel o al correo electronico: [email protected] Se notificará a todos los postores a través del correo electrónico que para el efecto hayan indicado. Se notificará a todos los postores a través del correo electrónico que para el efecto hayan indicado y en la página del SIS 08/06/2015 (http://www.sis.gob.pe/Portal/paginas/proceso_seleccion.html Se realizará en acto público, en presencia de un Notario Público, en calle Martín de Murua N° 206 3er. Piso Dpto. 302 Urb. Maranga 18/06/2015, – San Miguel. Presentación de propuestas a las 10:00 En este acto público se levantará un acta, la misma que será hrs suscrita por los miembros del Comité Especial, los veedores y postores que así lo deseen. Del Calificación y evaluación de 19/06/2015 propuestas. al 23/06/2015 Se realizará en acto público, en presencia de un Notario Público, en calle Martín de Murua N° 206 3er. Piso Dpto. 302 Urb. Maranga 24/06/2015, Otorgamiento de la buena – San Miguel. a las 10:00 pro(*). En este acto público se levantará un acta, la misma que será hrs suscrita por los miembros del Comité Especial, los veedores y postores que así lo deseen. (*) Fecha tentativa 2.2 REGISTRO DE PARTICIPANTES El registro de los participantes se realizará en las instalaciones del Programa SISTEC o al correo electrónico: [email protected] , según las fechas señaladas en el cronograma, en la cual deberán de manifestar su interés en participar en el proceso de selección, debiendo indicar los siguientes datos de la empresa: Razón social, RUC, nombre del representante legal de la empresa, dirección, teléfono, contacto y correo. NOTA: Aquel postor que no se registró como participante al proceso de selección, no podrá presentar consultas y tampoco propuestas al concurso. 2.3 FORMULACION DE CONSULTAS La formulación de consultas a las bases, se presentarán en las instalaciones del Programa SISTEC sito: Calle Martín de Murua N° 206 3er. Piso Dpto. 302 Urb. Maranga – San Miguel o al correo electrónico: [email protected] , durante las fechas programadas según cronograma. 2.4 PRESENTACION DE PROPUESTAS La presentación de propuesta se realizará en ACTO PÚBLICO, debiéndose tener en cuenta lo siguiente: 4 La presentación de propuestas se realizará en acto público, en la fecha y hora señaladas en el cronograma del proceso. El acto se inicia cuando el Comité Especial empieza a llamar a los participantes en el orden en que se registraron para participar en el proceso, para que entreguen sus propuestas. Si al momento de ser llamado el participante no se encuentra presente, se le tendrá por desistido. Si algún participante es omitido, podrá acreditarse con la presentación de la constancia de su registro como participante. Para la presentación de propuestas, las personas naturales podrán concurrir personalmente o a través de su apoderado debidamente acreditado ante el Comité Especial, mediante carta poder simple (Formato N° 1). Las personas jurídicas lo harán por medio de su representante legal acreditado con copia simple del documento registral vigente que consigne dicho cargo o a través de su apoderado acreditado con carta poder simple suscrita por el representante legal, a la que se adjuntará el documento registral vigente que consigne la designación del representante legal, expedido con una antigüedad no mayor de treinta (30) días calendario a la presentación de propuestas. (Formato Nº 1) Los integrantes de un consorcio no podrán presentar propuestas individuales ni conformar más de un consorcio. Las propuestas se presentarán en dos (2) sobres cerrados y estarán dirigidas al Programa SISTEC, conforme al siguiente detalle: SOBRE N° 1: Propuesta Técnica. El sobre será rotulado: Señores: PROGRAMA DE APOYO A LA POLITICA DE ASEGURAMIENTO UNIVERSAL EN SALUD EN EL PERU, A TRAVES DEL SIS Att.: Dirección del Programa CONVOCATORIA CONCURSO N° 014-2015 PER1001711 OBJETO DEL PROCESO: ADQUISICION E IMPLEMENTACION DE UNA SOLUCION DE SEGURIDAD PERIMETRAL SOBRE N° 01: PROPUESTA TÉCNICA NOMBRE / RAZON SOCIAL DEL POSTOR SOBRE Nº 2: Propuesta Económica. El sobre será rotulado: Señores: PROGRAMA DE APOYO A LA POLITICA DE ASEGURAMIENTO UNIVERSAL EN SALUD EN EL PERU, A TRAVES DEL SIS Att.: Dirección del Programa CONVOCATORIA CONCURSO N° 014-2015 PER1001711 OBJETO DEL PROCESO: ADQUISICION E IMPLEMENTACION DE UNA SOLUCION DE SEGURIDAD PERIMETRAL SOBRE N° 02: PROPUESTA ECONOMICA NOMBRE / RAZON SOCIAL DEL POSTOR Los postores deberán de presentar dos (2) sobres de la propuesta técnica (original y copia) y un (1) sobre de la propuesta económica. 5 2.5 CONTENIDO DE LAS PROPUESTAS Toda la documentación presentada en la propuesta debe contar con la firma, sello y numeración. No se aceptarán firmas escaneadas y sellos con firmas. 2.5.1 SOBRE N° 1 - PROPUESTA TÉCNICA Se presentará en un (01) original y una (01) copia simple. El sobre Nº 1 contendrá, además de un índice de documentos1, la siguiente documentación: Documentación de presentación obligatoria: a. Declaración Jurada de datos del postor. Cuando se trate de Consorcio, esta declaración jurada será presentada por cada uno de los consorciados. (Anexo 1). b. Declaración Jurada Simple, según modelo del (Anexo 2) de las presentes Bases. c. Copia Simple de la ficha RUC o constitución de la empresa o copia literal de registros públicos, en donde demuestre que se encuentra constituida la empresa para el objeto de desarrollar Soluciones de Seguridad Perimetral. d. Promesa Formal de Consorcio, de ser el caso, consignando los integrantes, el representante común, el domicilio común y el porcentaje de participación. (Anexo 3). La promesa formal de consorcio deberá ser suscrita por cada uno de sus integrantes. En caso de no establecerse en la promesa formal de consorcio las obligaciones, se presumirá que los integrantes del consorcio ejecutarán conjuntamente el objeto del proceso de selección, por lo cual cada uno de sus integrantes deberá cumplir con los requisitos exigidos en las Bases del proceso. Se presume que el representante común del consorcio se encuentra facultado para actuar en nombre y representación del mismo en todos los actos referidos al proceso de selección, suscripción y ejecución del contrato, con amplias y suficientes facultades. e. Declaración jurada de ausencia de incompatibilidades. (Anexo 4). f. El postor deberá ser representante autorizado del fabricante, para lo cual deberá presentar una carta del fabricante o en su defecto deberá indicar el link público del fabricante donde se evidenciará que es un partner autorizado con las certificaciones para la solución ofertada. Acreditación: Se acreditará mediante la presentación de la carta del fabricante o en su defecto deberá indicar el link público del fabricante. El postor deberá acreditar al menos dos (02) implementaciones de características similares (firewall o firewalll UTM), las mismas que se deberán acreditar con las constancias o actas respectivas. Equipo Técnico Mínimo Un (01) Jefe de Proyecto Profesional Bachiller o Titulado en Ingeniería de Computación, Informática, Electrónica, Telecomunicaciones o afines, con una experiencia no menor de cinco (05) 1 La omisión del índice no descalifica la propuesta, ya que su presentación no tiene incidencia en el objeto de la convocatoria. 6 años en Gestión de Proyectos de Tecnologías de la Información o como Jefe y/o Supervisor de Proyectos TI. Acreditación: El Bachiller o Título profesional se acreditará mediante la presentación de copia simple de Bachiller o Título profesional. La experiencia del jefe del proyecto se deberá acreditar la experiencia con las constancias o certificado de trabajo. Un (01) Especialista en Firewall UTM El postor deberá contar con un (01) ingeniero o técnico en Computación, Informática, Electrónica, Telecomunicaciones o afines certificado por el fabricante de los firewall UTM. Deberá presentar al menos dos (02) constancias de participación de proyectos con equipos similares. Acreditación: El Bachiller o título profesional o Título Técnico se acreditará mediante la presentación de copia simple del Bachiller o Título profesional o Titulo Técnico. La experiencia del especialista se deberá acreditar la experiencia con las constancias o certificado de trabajo. Un (01) Ingeniero certificado en Sistema de Registro de Eventos y Reportes para Firewall Acreditación: El Bachiller o título profesional o Título Técnico en Computación, Informática, Electrónica, Telecomunicaciones o afines se acreditará mediante la presentación de copia simple del bachiller o título profesional o título técnico y el certificado en sistema de registro de eventos y reportes para Firewall. Un (01) Especialista en IPS El postor deberá contar con un (01) Ingeniero o técnico en Computación, Informática, Electrónica, Telecomunicaciones o afines certificado por el fabricante del Sistema IPS. Deberá presentar al menos dos (02) constancias de participación de proyectos con equipos similares. Acreditación: El Bachiller o título profesional o Título Técnico se acreditará mediante la presentación de copia simple del bachiller o título profesional o título técnico y el certificado por el fabricante del Sistema IPS. Un (01) Ingeniero en Ingeniería de Computación, Informática, Electrónica, Telecomunicaciones o afines certificado en el Sistema de Control, Monitoreo, Log y Reportes para IPS g. Cuadro comparativo de Propuesta Técnica. (Anexo 5). IMPORTANTE: La omisión de alguno de los documentos enunciados acarreará la no admisión de la propuesta. La propuesta debe de estar debidamente firmada y sellada en todas las hojas. No se aceptarán propuestas firmadas con firmas escaneadas, se considerarán como no admitidas. Todos los documentos que contengan información referida a los requisitos para la admisión de las propuestas y factores de evaluación se presentarán en idioma castellano. Documentación de presentación facultativa: 7 a. Factor Plazo de entrega: Presentar la declaración jurada, ofertando su mejor plazo de entrega. Anexo 6 b. Factor Experiencia del postor: Se evaluará considerando el monto facturado según cuadro de evaluación por el postor por el objeto de la adquisición (Implementación de solución de Seguridad Perimetral), durante un periodo de NO MAYOR A OCHO (08) AÑOS a la fecha de la presentación de propuestas. El postor deberá presentar copia simple de trabajos o contratos u órdenes de compra y su respectiva conformidad por la prestación efectuada; o comprobantes de pago cuya cancelación se acredite documental y fehacientemente (estado de cuenta del sistema financiero, cheque u otro medio de pago). Anexo 7 Adicionalmente, para acreditar experiencia adquirida en consorcio, deberá presentarse copia simple de la promesa formal de consorcio o el contrato de consorcio. c. Factor Cumplimiento de la prestación: Se evaluará el nivel de cumplimiento del postor, respecto de los contratos presentados para acreditar la experiencia del postor, en función al número de constancias de prestación presentada. Las constancias o certificados deben de indicar como mínimo la denominación del objeto. Monto y la calificación del servicio. Anexo 8 d. Factor Mejora Técnicas: El postor deberá presentar una declaración jurada ofertando las mejoras técnicas. Anexo 9 El postor será responsable de la exactitud y veracidad de los documentos presentados en su propuesta. En caso exista contradicción entre la información presentada en la propuesta técnica, la propuesta será descalificada. 2.4.2 SOBRE Nº 2 - PROPUESTA ECONÓMICA La propuesta económica se presentará sólo en original. El sobre N° 2 propuesta económica, deberá contener obligatoriamente lo siguiente: a. Oferta económica en nuevos soles, incluidos todos los tributos, seguros, transportes, inspecciones, pruebas y de ser el caso, los costos laborales conforme a la legislación vigente, así como cualquier otro concepto que pueda tener incidencia sobre el costo de la presente adquisición (Anexo 10). El Programa no reconocerá pago adicional de ninguna naturaleza. El monto total de la propuesta económica y los subtotales que lo componen, deberán ser expresados con dos decimales. 2.5 EVALUACION DE LA PROPUESTA La Evaluación de la Propuesta Técnica se realizará de acuerdo a lo señalado en el cronograma. La admisibilidad considerará los requerimientos técnicos mínimos contenidos en las presente Bases Administrativas, de modo que las propuestas que no cumplan dichos requerimientos serán desestimadas y no se procederá a realizar las respectivas evaluaciones. Evaluación Técnica Las propuestas técnicas que cumplan con los requerimientos técnicos mínimos se evaluarán sobre una calificación máxima de cien (100) puntos y según los criterios de evaluación. Evaluación Económica La evaluación económica consistirá en asignar el puntaje máximo establecido a la propuesta económica de menor monto. Al resto de las propuestas se les asignará un puntaje inversamente proporcional según la siguiente fórmula: Pi = (precio de la propuesta más baja/Precio propuesta i) x 100 Propuesta ganadora 8 Se seleccionará la propuesta que obtenga el mayor puntaje total el cual se calculará según la fórmula siguiente: Calificación final = Puntaje Técnico x 0.60 + Puntaje Económico x 0.40 Nota: se otorga el peso ponderado de 60% a la propuesta técnica y 40% a la propuesta económica 2.6 OTORGAMIENTO DE LA BUENA PRO El Comité Evaluación procederá a otorgar la Buena Pro a la propuesta ganadora, dando a conocer los resultados del proceso de selección a través de un cuadro comparativo en el que se consignará el orden de prelación en que han quedado calificados los postores, detallando los puntajes técnico, económico y total obtenidos por cada uno de ellos. En el supuesto que dos o más propuestas empaten se procederá a seleccionar a la propuesta ganadora aquella que haya obtenido el mejor puntaje técnico, en caso se mantenga el empate se utilizará como último criterio de desempate, a través de sorteo a los postores que hayan empatado. Al terminar el acto público se levantará un acta, la cual será suscrita por el Notario, por todos los miembros del Comité de Evaluación y por los postores que deseen hacerlo. NOTA: En caso, que algún postor tenga alguna observación o apelación, podrá manifestar el mismo día del resultado del otorgamiento de Buena Pro, para lo cual tendrá que presentar un escrito en las instalaciones del Programa SISTEC. En ese momento, quedará suspendido el proceso por un plazo de cinco (05) días calendario, para resolver cualquier reclamo o apelación, pudiendo ser ampliado a criterio del programa, previa comunicación a los interesados. 2.7 REQUISITOS PARA LA SUSCRIPCIÓN DEL CONTRATO El postor ganador de la Buena Pro deberá presentar los siguientes documentos para suscribir el contrato: a) Copia de DNI del Representante Legal. b) Copia de la vigencia del poder del representante legal de la empresa. c) Copia de la constitución de la empresa y sus modificatorias debidamente actualizado. d) Copia del RUC de la empresa e) Carta de autorización para realizar la transferencia en Código de cuenta interbancario (CCI). f) Contrato de consorcio con firmas legalizadas de los integrantes, de ser el caso. g) Domicilio para efectos de la notificación durante la ejecución del contrato. h) Carta fianza, garantizando el fiel cumplimiento de la prestación, por el importe del 10% del monto adjudicado. i) Declaración Jurada precisando que no se encuentra inhabilitado para contratar con el Estado. j) Detalle de los precios unitarios por cada bien (impresora de tipo 1, impresoras de tipo 2 y servidor incluyendo el software), que contiene la propuesta económica. 2.8 PLAZO PARA LA SUSCRIPCIÓN DEL CONTRATO El postor ganador de la buena pro deberá presentar toda la documentación requerida para la suscripción del contrato en el plazo máximo de cinco (05) días calendarios, contados a partir del día siguiente de la etapa de otorgamiento de Buena Pro. La citada documentación deberá ser presentada Calle Martin de Murua N° 206 Dpto. 302 – Urb. Maranga - San Miguel o al correo electronico [email protected] 2.9 DE LAS GARANTÍAS 2.9.1 GARANTÍA DE FIEL CUMPLIMIENTO 9 El postor ganador, antes de la firma del contrato, deberá entregar una carta fianza bancaria como garantía de fiel cumplimiento del contrato, a favor de la Cooperación Técnica Belga – CTB, con RUC N° 20505342195. Esta deberá ser emitida por una suma equivalente al diez por ciento (10%) del monto del contrato original y tener vigencia hasta la conformidad de la recepción de la prestación a cargo del contratista. 2.9.2 REQUISITOS DE LAS GARANTÍAS Las garantías que se presenten deberán ser incondicionales, solidarias, irrevocables y de realización automática en el país al sólo requerimiento del PROGRAMA SISTEC. Deberán ser emitidas por empresas que se encuentren bajo la supervisión de la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones, y deben estar autorizadas para emitir garantías; o estar considerado en la lista actualizada de bancos extranjeros de primera categoría que periódicamente pública el Banco Central de Reserva del Perú. 2.9.3 EJECUCIÓN DE GARANTÍAS La garantía de fiel cumplimiento se ejecutará a simple requerimiento de la Entidad en el supuesto que el contratista no hubiere renovado antes de la fecha de vencimientos o sólo cuando la resolución por la cual la Entidad resuelve el contrato por causa imputable al contratista, haya quedado consentida. 2.10 FORMA DE PAGO La forma de pago se realizará a favor del contratista, en una (1) armada habiéndose realizado la entrega de la totalidad de bienes adquiridos, considerando presentar los siguientes requisitos: Factura Guía de remisión con la sello de recepción y firma de conformidad por parte del Almacén Central. Informe de conformidad por parte de la Oficina General de Tecnologías de la Información del Seguro Integral de Salud. 10 ESPECIFICACIONES TECNICAS MINIMAS NOMBRE DE LA ADQUISICIÓN: ADQUISICIÓN E IMPLEMENTACIÓN DE UNA SOLUCIÓN DE SEGURIDAD PERIMETRAL 1. Dirección / Gerencia / UDR: Oficina General de Tecnología de la Información OGTI – SIS 2. Objetivo y Justificación El Seguro Integral de Salud, para cumplir eficientemente su función, requiere el fortalecimiento de la seguridad perimetral en su Sede Central a través de la adquisición de Firewalls-UTM y Sistema de Prevención de Intrusiones que permitan monitorear la seguridad, prevenir intentos de ataques a la red de la institución, lo cual minimiza el riesgo de inoperatividad de los servicios y garantiza la seguridad de los usuarios del SIS y por ende a las Entidades Prestadoras de Salud. 3. Especificaciones de bienes y servicios 3.1. Lista de Bienes Adquirir N° de Artículo Descripción de los Bienes Cantidad Unidad física Lugar de entrega final Plazo de Entrega 1 Firewall UTM Dos (02) Unidades Sede Central del SIS: Calle Carlos Gonzáles 212, Urb. Maranga, San Miguel Cuarenta y cinco (45) días calendario, se contabilizará a partir del día siguiente de suscrito el contrato. 2 Puntos de Acceso Dieciocho (18) Unidades Sede Central del SIS: Calle Carlos Gonzáles 212, Urb. Maranga, San Miguel Cuarenta y cinco (45) días calendario, se contabilizará a partir del día siguiente de suscrito el contrato. 3 Sistema de Administración Centralizada de FW Uno (01) Unidad Sede Central del SIS: Calle Carlos Gonzáles 212, Urb. Maranga, San Miguel Cuarenta y cinco (45) días calendario, se contabilizará a partir del día siguiente de suscrito el contrato. 4 Sistema de Registro de Eventos y Reportes para Firewall Uno (01) Unidad Sede Central del SIS: Calle Carlos Gonzáles 212, Urb. Maranga, San Miguel Cuarenta y cinco (45) días calendario, se contabilizará a partir del día siguiente de suscrito el contrato. 5 Sistema de Prevención Contra Intrusos Uno (01) Unidad Sede Central del SIS: Calle Carlos Gonzáles 212, Urb. Maranga, San Miguel Cuarenta y cinco (45) días calendario, se contabilizará a partir del día siguiente de suscrito el contrato. 6 Sistema de Control, Monitoreo, log y reportes IPS Uno (01) Unidad Sede Central del SIS: Calle Carlos Gonzáles 212, Urb. Maranga, San Miguel Cuarenta y cinco (45) días calendario, se contabilizará a partir del día siguiente de suscrito el contrato. 11 3.2. Especificaciones Técnicas de Bienes 3.2.1.Firewall. Cantidad requerida: Dos (02) Unidades Funcionalidades del Firewall - Solución de Firewall UTM deberá implementarse sobre un nodo bajo el esquema que se acuerde con el SIS, de modo que permita la alta disponibilidad de las aplicaciones y servicio de dos nodos. Al mismo tiempo se desea disponer de sistemas con el mejor desempeño de control y protección de amenazas, tales como virus, malware, gusanos y ataque vector; entre otras características se describen a continuación. Para ello se requiere dos (02) equipos appliance de propósito específico con sistema operativo propietario del mismo fabricante, que se encontrarán ubicados en el site principal en High Availability en modalidad Activo-Activo; y un (01) equipo appliance destinado para el site de contingencia. - La solución ofertada no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. - No se aceptarán equipos reciclados, re ensamblados o reacondicionados, tampoco se aceptarán aquellos que tengan la denominación “refurbished”, “remarketing” o su equivalente comercial. Adjuntar carta del fabricante de los equipos, especificando que los sistemas propuestos en modelo y número de serie son de primera venta. - Cada Firewall deberá tener una fecha de fabricación no mayor a 12 meses, de reciente fabricación. No se aceptarán equipos usados o reutilizados. - Cada Firewall deberá considerar como mínimo de 1 UR en formato appliance. - Cada Firewall debe soportar un Throughput de 10 Gbps. - Cada Firewall debe soportar 1’000,000 conexiones concurrentes. - Cada Firewall debe tener catorce (14) interfaces 10/100/1000 Mbps (para manejar zonas de seguridad entre externas, privadas y DMZ’s). - Soporte de direcciones IP estáticas y dinámicas (DHCP y PPPoE) en la interfaz externa. - Deberá tener el siguiente desempeño o performance a nivel de inspección de contenido de: o IPS throughput mínimo: 6 Gbps. o Antivirus Throughput mínimo basado en Proxy: 4 Gbps. - El equipo debe ser del tipo UTM, incorporando funciones de Gateway AntiVirus en modo Proxy o Archivo/File, filtrado de URL trabajando en modo proxy transparente (no se requiere configuración alguna en los navegadores de los clientes), AntiSpam en modo proxy transparente e IPS en modo flujo, además debe disponer de protección contra amenazas de día cero, control de aplicaciones, mecanismos o reglas de prevención de fuga de datos y protección contra amenazas persistentes avanzadas. - Soporte mínimo de 100 reglas predefinidas de prevención de fuga de información o 100 firmas personalizadas de prevención de Fuga de información. - Soporte de implementación de políticas de seguridad en capa de aplicación (capa 7), también conocidos como Proxies de Aplicación o Control de Aplicación. 12 - - - Se deben incluir políticas de seguridad en capa de aplicación preconfiguradas para el soporte de los siguientes protocolos comunes: HTTP, HTTPS, POP3, SMTP, FTP, DNS, SIP y H323. Se debe soportar IPV4/IPV6. Se deberá incluir en las políticas de Firewall el control de usuarios, interactuando con servidores RADIUS, Secure ID, LDAP y Active Directory Se debe soportar autenticación transparente hacia servidores Active Directory (Single Sign-On). No debe haber límites en cantidad de usuarios conectados. Soporte de servicio Dynamic DNS en caso de ser configurado con dirección IP dinámica. El equipo debe tener defensas contra ataques fragmentados. Para esto debe ser capaz de re ensamblar paquetes fragmentados antes de pasarlos a la red interna. Se debe permitir la configuración de umbrales para la detección de ataques de inundación (flood) y denegación de servicio (DoS). Se debe soportar detección de anomalías de protocolo (Protocol Anomaly Detection– PAD) para DNS y otros protocolos comunes. Todas las funcionalidades del firewall UTM deben de estar licenciadas. Soporte de VPN - El throughput de VPN IPSEC de 6 Gbps. - Soporte de VPN’ s Móviles (Usuario – Equipo). - Debe soportar 1,000 VPN´s Móviles usando protocolo IPSec, si se requiere licenciamiento adicional este ya deberá estar incluido en la propuesta de la solución. - Debe soportar 1,000 VPN´s Móviles concurrentes usando protocolo SSL, si se requiere licenciamiento adicional este ya deberá estar incluido en la propuesta de la solución. - Capacidad de descargar el software de cliente SSL desde el firewall. - Disponibilidad de SW de cliente SSL para Windows XP, Windows Vista, Windows 7/8; y MAC OS. - Soporte de VPN´s entre oficinas (Equipo – Equipo). - Debe soportar al menos 2,000 VPN´s entre oficinas usando protocolo IPSec. - El appliance deberá poder interactuar con cualquier otro producto de otra marca que tenga soporte de IPSec estándar. - Debe permitir VPN´s con clientes en S.O. Android y IOS - Mecanismos de encriptación soportados DES, 3DES, AES 128-, 192-, 256bit - Mecanismos de autenticación soportada SHA-1, SHA2-256, MD5, IKE PreShared Key, 3rd Party Cert. - Dead Peer Detection (DPD) u otra funcionalidad para detectar el peer remoto cuando no es alcanzable, falle o esté inoperativo. - Soporte para VPN Failover (re-establecimiento de la VPN sobre el segundo enlace en caso de fallas del enlace principal) - El throughput de VPN IPSEC de 6 Gbps. - Debe integrar un doble nivel de seguridad mediante sistemas de terceros o propietarios (se proveerá todo lo necesario en hardware y/o Software para el establecimiento de 50 usuarios como mínimo en la VPN). Filtrado de Contenido Web - Deberá tener un mínimo de 70 categorías. 13 - - Capacidad de soportar funcionalidad de Filtrado de contenido en la misma caja vía suscripción adicional, la cual deberá estar incluida en la presente propuesta. El filtrado de contenido deberá incluir la opción de Filtrado por Categorías. Esta opción de Filtrado deberá ser configurable por grupos de usuarios. Debe permitir establecer excepciones para el filtrado de contenido. Debe permitir crear políticas diferenciadas por usuarios, grupos, dominios y según horas del día. Deberá contar con un servicio de reputación en la nube (Internet) que permita bloquear el acceso a Websites que contengan contenido malicioso aun cuando no se haya definido un bloqueo por categoría o por listas negras. Gateway Antivirus - Capacidad mínima de throughput basada en proxy o archivo de 4 Gbps - Capacidad de soportar funcionalidad de Anti-virus en la misma caja vía suscripción adicional, la cual deberá estar incluida en la presente propuesta. - La actualización del Antivirus deberá ser programable y automática; aunque también debe poder realizarse en forma manual. - El Antivirus debe tener servicios de cuarentena. - El Antivirus debe soportar configuración de patrones para permitir filtrado de contenidos. - Soporte de bloqueo de Spyware. - Escaneo de archivos comprimidos (.zip, .tar) - Soporte para los principales protocolos: HTTP, FTP, SMTP y POP3 Anti SPAM - Capacidad de soportar Anti-spam vía suscripción adicional desde la misma caja. Debe estar incluido, licenciado y habilitado. - La capacidad AntiSpam deberá poder consultar una base de datos donde se revise por lo menos dirección IP del emisor del mensaje, URL’s contenidos dentro del mensaje y checksum del mensaje, como mecanismos para detección de SPAM. - Capacidad para soportar escaneo de spam en modo transparente de 1000 buzones como mínimo. - El Antispam deberá tener servicio de cuarentena activado. Se debe considerar 1 TB de almacenamiento total como mínimo. - El Antispam debe integrar antivirus en el análisis de spam (detección de epidemias de virus). - El Antispam debe permitir bloquear spam en múltiples idiomas. - Capacidad de bloquear spam basado en imágenes además de spam basado en texto. - En caso de que el UTM no soporte alguna de las funcionalidades antes descritas en esta sección, se deberá considerar al menos un (01) appliance para tal fin considerando que debe proteger al menos 1000 buzones de correos. - El equipo debe tener la posibilidad de filtrar contenidos dentro de los protocolos más comunes. Como por ejemplo, se debe poder filtrar por tipo de contenido MIME la información que puede ser desplegada vía HTTP. - El equipo debe proteger a servidores de correo electrónico internos contra Relay abierto o spam Relay. Se deben poder configurar en el equipo los dominios para los que acepte el correo electrónico. 14 Servicio de Prevención de Intrusiones (IPS) - Capacidad mínima de throughput de 6 Gbps - Capacidad de soportar funcionalidad de IPS en la misma caja vía suscripción adicional. Con licencia activada para prevenir ataques a nivel de segmentos de VLAN’s entre las DMZ´y LAN’s de SIS. - La actualización del IPS deberá ser programable y automática; aunque también debe poder realizarse en forma manual. - El IPS deberá realizar análisis en capa de aplicación, así también definir el nivel de severidad de dicho ataque a fin de generar alarmas remotas. - Bloqueo automático de fuentes conocidas de ataques - Soporte para los principales protocolos: HTTP, FTP, SMTP y POP3 - Se debe incluir protección contra amenazas avanzadas y persistentes (Advanced Persistent Threats), incluyendo Protección contra botnets. - El servicio de IPS se habilitará sólo en segmentos de Red internos usando VLAN’s cuyos servicios deben ser monitoreados antes de aplicarse acciones de bloqueo. Control de Aplicaciones - Deberá tener un control detallado como mínimo de 1,500 aplicaciones organizadas por categorías. - Deberá contar con firmas y el análisis sofisticado de comportamientos para identificar las aplicaciones que intentan ingresar a su red, independientemente de la dirección de destino o el protocolo L7; esto incluye las aplicaciones encriptados, diseñadas específicamente para eludir medidas de seguridad comunes. - Deberá establecer políticas de uso aceptables para usuarios y grupos por categoría, aplicación y sub-función de las aplicaciones para lograr la máxima flexibilidad. - Deberá bloquear el uso de aplicaciones como YouTube, MSN Messenger, Skype y P2P. - Podrá habilitar el acceso a Facebook, Twitter y a otros sitios de redes sociales. - Deberá poder habilitar Windows Live Messenger para mensajería instantánea, pero no habilitar la transmisión de archivos. - Deberá limitar el uso de aplicaciones de streaming media en horarios específicos. - Deberá contar con herramientas de visibilidad, tanto en tiempo real como histórica, de lo que se está evaluando en su red para generar un informe sobre el uso de las aplicaciones. - Esta información podrá ser utilizada para demostrar el cumplimiento, evaluar la necesidad del usuario y perfeccionar las políticas de uso aceptables. - Soporte para filtrado de aplicaciones de mensajería instantánea (MSN, Yahoo, Skype, etc.) y P2P (Gnutella, Ed2K, Kazaa, etc.) a nivel de capa de aplicación y no de puertos. - Deberá soportar la inspección del trafico SSL. Capacidades de Networking y Alta Disponibilidad - Número de interfaces: Catorce (14) interfaces 10/100/1000 BaseT. Estas interfaces deben ser configurables como cualquiera de los tres tipos de zonas de seguridad (externa, privada o DMZ) - Soporte de ECMP (Equal Cost Multi-Path) o mecanismo MultiWAN con la finalidad de utilizar balanceo de enlace por failover o umbral de tráfico sobre las rutas o interfaces. - Deberá dar soporte para NAT y PAT. 15 - Capacidad Inalámbrica - Soportar balanceo de cargas para servidores internos Soporte de: NAT estático (Port Forwarding), NAT dinámico, NAT One-toOne, IPSec NAT Traversal y NAT basado en políticas Soporte de VLAN´s: Deben soportar 100 VLAN´s. Soporte para agregación de puertos 802.3ad dinámico, estático y active/backup El appliance deberá proveer control de ancho de banda por políticas que permita integrar usuarios, grupos de usuarios y protocolos. Debe presentar la utilización del ancho de banda utilizado por interfaces. En modalidad Router/NAT deberá tener soporte para Static Route, Dynamic Route (RIP), NAT 1-to-1. Soporte de alta disponibilidad activo/pasivo y activo/activo. Soporte para enrutamiento basado en políticas (Policy Based Routing). Esto permite escoger por qué interfaz externa será enviado el tráfico en base a parámetros provistos por el administrador. Soporte Cluster Activo-Activo El Firewall debe soportar como controlador para la gestión, configuración y seguimiento de eventos de Access Point del mismo fabricante u otro cuya compatibilidad, este certificada. Debe estar incluido, licenciado y habilitado. Se debe controlar hasta 50 Access Point y debe configuración de Portal Cautivo y HotSpot Se debe disponer de todas las licencias para inscribir los Access Point. Soporte de autenticación 802.1X para cada Access Point. Soporte de MAC filtering y reporte de clientes. Soporte de VLAN Tagging. La solución Firewall UTM ofertada no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. 3.2.2.Puntos de Acceso (AP). Dieciocho (18) Access Point de clasificación Indoor con tres (03) años de garantía. Administrable a través del Firewall Controlador mencionado en la sección anterior. Cada AP debe contar con su arreglo de antenas de manera interna. Cada AP debe trabajar en banda dual 2,4Ghz y 5Ghz, hasta dos (02) radios en un mismo equipo. Cada AP debe soportar IEEE 802.11a/b/g/n, 802.11i, 803.3 af/at, 802.1Q. Cada AP debe contar con capacidad 2x2 MIMO. Cada AP debe tener capacidad de hasta 10 SSID por radio. Cada AP debe soportar una transmisión de datos de hasta 600 Mps Cada AP debe disponer de una potencia de Transmisión de 20 dBm Cada AP debe permitir PoE+ 802.3at.(25.5 W) Cada AP debe soportar hasta 50 usuarios Cada AP debe incluir un accesorio de montaje en pared o techo, superficies planas. La solución Puntos de Acceso ofertada no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para 16 comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. 3.2.3.Sistema de Administración Centralizada de Firewall El Sistema de administración centralizada de los appliances UTM deberá integrarse a través de una interfaz de administración gráfica en tiempo real. El Sistema de administración centralizada deberá monitorear y desconectar en tiempo real los usuarios internos o externos de los equipos de seguridad desde la consola de administración principal sin necesidad de políticas de seguridad. Debe permitir el envío de alarmas del equipo a través del protocolo SNMP V2 / V3 o email. Deberá permitir la gestión de múltiples equipos simultáneamente. Deberá permitir la centralización de configuración y monitoreo de todos los dispositivos de seguridad UTM. Así como todas sus funciones de protección de red. Deberá permitir la creación de VPN´s entre equipos de manera dinámica. Permitir la edición de políticas de seguridad de manera gráfica. Soporte para múltiples operadores y administradores. Soporte de roles distintos, permitiendo la creación según la necesidad del administrador de seguridad. Posibilidad de administrar el firmware de los dispositivos de seguridad, permitiendo programar y aplicar actualizaciones de sistema operativo de forma desatendida a un equipo o grupo de equipos administrados por la consola, reduciendo tiempos de operación y administración del personal que administra los equipos de seguridad. Deberá contar con un almacenamiento interno mínimo de un (01) TB efectivo con configuración al menos en RAID-1 (discos en espejo). La solución deberá ser montada en un Rack de 19”. Deberá disponer de dos (02) interfaces 10/100/1000 RJ45. El Sistema de Administración Centralizada de Firewall ofertado, no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de la propuesta. En caso que el sistema de Administración sea formato Servidor debe contar con las siguientes características mínimas: 17 64 GB de memoria RAM instalada en bancos de DDR-4 a 2133Mhz Memoria Soporte Crecimiento Al menos 768 GB de memoria Al menos 24 bancos de memoria DDR4 Dos (2) discos internos de 200 GB efectivo como mínimo en RAID 1 para el S.O. SAS de 2.5” de altura a 15Krpm Almacenamiento interno Una capacidad de un (01) TB efectiva como mínimo en RAID 5 para data SAS de 2.5” de altura 10Krpm Soporte al menos 24 discos internos Soporte crecimiento en discos interno al menos 24TB Controlador Raid Conexión LAN / SAN Soporte de al menos dos SD Card como mínimo de 32 GB Tarjeta Controladora interna con soporte a RAID 0, 1, 5, 6, 10, 50, and 60 4 puertos de 1 Gigabit Tarjeta de FC Dual 8 GB para conectar con equipo de Almacenamiento de propiedad del SIS Marca: NETAPP y Modelo: FAS2240-2. Se deberá mostrar matriz de compatibilidad. Se debe incluir los cables necesarios. DVD Fuente de Poder Sistemas Operativos Soportados Slots de expansión Licencia Garantía Administración Mantenimiento Soporte de tarjeta virtualizadora dual port 10GBase-T Capacidad de Virtualizar hasta 256 dispositivos PCIe Multibunner interna o externa Redundante 650W – Hot plug como mínimo Microsoft Windows Server Red Hat Enterprise Linux VMware Seis (06) slots PCIe Gen 3 como mínimo. Una (01) Licencia, Windows Server Enterprise 2008 o superior OLP NL Gobierno; o Linux Con soporte por tres (03) años según corresponda. Tres (03) años de partes y mano de obra 7x24 con cuatro (04) horas de tiempo de respuesta. Puerto de consola para la configuración, monitoreo y administración remota del servidor. Mínimo un (01) mantenimiento preventivo de limpieza interna al finalizar cada año durante el periodo de la garantía propuesta 3.2.4.Sistema de Registro de Eventos y Reportes para Firewall Características 18 El Sistema de registro de eventos y reportes; deberán ser implementados en la sede central del SIS. El Sistema de registro de eventos/reportes a proporcionar deberán ser basado en appliance o en caso contrario, software del mismo fabricante del UTM sobre un servidor con S.O. Windows o Linux, con todas las características, soporte y componentes necesarios para su completa operación. En caso de ser software se deberá proveer del servidor HW adecuado necesario para este fin con todas las licencias necesarias incluido el S.O. Dicho HW deberá cumplir con los requisitos mínimos especificados por el fabricante de la Solución de Seguridad y la marca y modelo de dicho servidor deberá figurar como soportado por el fabricante del software, y deberá tener el formato RACK para poder ser montado en un gabinete. Se deberá considerar un appliance o sistema para administración y otro appliance o sistema para registro de eventos y reportes. Sistemas separados en HW. El Sistema de administración centralizada, y el Sistema de registro de eventos y reportes deberá poder gestionar, registrar los eventos y generar reportes de todos los equipos incluidos en la presente propuesta. El Sistema de registro de eventos y reportes deberá contar con un almacenamiento interno no menor de dos (02) TB disponible con configuración al menos en RAID-1 (discos en espejo). La solución deberá ser montada en un Rack de 19’’; incluidos los servidores si fuera el caso. Cada sistema o appliance deberá disponer de 2 interfaces 10/100/1000 RJ45. En caso que el sistema de Registro de Eventos y Reportes para Firewall sea formato Servidor debe contar con las siguientes características mínimas: 19 64 GB de memoria RAM instalada en bancos de DDR-4 a 2133Mhz Memoria Soporte Crecimiento Al menos 768 GB de memoria Al menos 24 bancos de memoria DDR4 Dos (2) discos internos de 200 GB efectivo como mínimo en RAID 1 para el S.O. SAS de 2.5” de altura a 15Krpm Almacenamiento interno Una capacidad de dos (02) TB efectiva como mínimo en RAID 5 para data SAS de 2.5” de altura 10Krpm Soporte al menos 24 discos internos Soporte crecimiento en discos interno al menos 24TB Soporte de al menos dos SD Card como mínimo de 32 GB Controlador Raid Tarjeta Controladora interna con soporte a RAID 0, 1, 5, 6, 10, 50, and 60 4 puertos de 1 Gigabit Conexión LAN / SAN Tarjeta de FC Dual 8 GB para conectar con equipo de Almacenamiento de propiedad del SIS Marca: NETAPP y Modelo: FAS2240-2. Se deberá mostrar matriz de compatibilidad. Se debe incluir los cables necesarios. Soporte de tarjeta virtualizadora dual port 10GBase-T Capacidad de Virtualizar hasta 256 dispositivos PCIe DVD Multibunner interna o externa Fuente de Poder Redundante 650W – Hot plug como mínimo Microsoft Windows Server Sistemas Operativos Red Hat Enterprise Linux Soportados VMware Slots de Seis (06) slots PCIe Gen 3 como mínimo. expansión Una (01) Licencia, Windows Server Enterprise 2008 o superior OLP NL Licencia Gobierno; o Linux Con soporte por tres (03) años según corresponda. Tres (03) años de partes y mano de obra 7x24 con cuatro (04) horas de Garantía tiempo de respuesta. Puerto de consola para la configuración, monitoreo y administración Administración remota del servidor. Mínimo un (01) mantenimiento preventivo de limpieza interna al finalizar Mantenimiento cada año durante el periodo de la garantía propuesta Registro de Eventos y Reportes (Registros) - - La solución ofertada debe permitir la implementación de un servidor de Registros externos o Appliance con la finalidad de centralizar el almacenamiento de Registros. El servicio de Registros debe ser basado en TCP y utilizar basado en SQL como: MySQL, MS-SQL, PostgreSQL u otros - a fin de garantizar la escalabilidad y protección de registros. 20 Deben poderse definir múltiples servidores de Registros o definir instancias de registros independientemente para cada firewall central y remoto. - La transmisión de registros debe hacerse de manera encriptada. - Se deben soportar reportes que combinen múltiples registros y múltiples servidores o instancias de registros. - Debe soportar reportes mínimos como: Consumo de tráfico o ancho de banda por políticas e interfaces, Reporte de ataques y amenazas Análisis de Amenazas, Consumo de Navegación Web Filtering por usuario, dominio e IP, Reporte de Actividad del Uso de Web Filtering, Reporte del DLP, Reporte de Antispam. - Se deben soportar como mínimo, reportes con 50 registros o salidas, permitiendo la programación de envió vía mail en horario y recurrencia - Se debe poder configurar alertas vía email o consola cuando exceda el tamaño máximo definido para la base de datos de registros. - Se debe permitir generar reportes en formatos PDF y HTML. - Se deben incluir plantillas de reportes de manera de facilitar la creación de reportes. - Se debe poder automatizar la generación de reportes. - Se debe ofrecer un portal web para la visualización de reportes. - Deberá contar con un almacenamiento interno no menor de dos (02) TB efectivos con configuración al menos en RAID-1 (discos en espejo). - Debe soportar el procesar un ratio de 2 GB de registros al día. - Deberá disponer de dos (02) interfaces 10/100/1000 RJ45. - La solución deberá ser montada en un Rack de 19”. - En caso de ser un servidor sus especificaciones técnicas deben de exceder lo recomendado por el fabricante. El Sistema de Registro de Eventos y Reportes para Firewall ofertado, no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. - Sistema de Prevención Contra Intrusos Cantidad requerida Un (01) unidades Funcionalidades del IPS - La solución IPS debe basarse en software y hardware basado en appliance y del mismo fabricante, el cual tenga la capacidad de realizar el monitoreo y prevención de manera transparente para los usuarios y servicios. - La solución IPS debe ser de propósito específico, dedicado, único para la Prevención de Intrusos, permitiendo aplicar mecanismos o reglas para protección con ataques de Denegación de Servicios Distribuidos y Malware. - La solución de IPS no deberá ser de equipos reciclados, re-ensamblados o reacondicionados, tampoco se aceptarán aquellos que tengan la denominación “re-furbished”, “re-marketing” o su equivalente comercial. Adjuntar carta del fabricante indicando lo solicitado. - Solución de IPS debe permitir la protección de los servicios públicos del SIS, a través de dos enlaces de perímetro con dos proveedores de servicio de internet. - Se requiere de un (01) equipo en formato appliance capaz de soportar mecanismo de alta disponibilidad en modo Cluster Activo-Activo. 21 - - - - - La solución debe implementarse y operar en la capa 2 del modelo de OSI, por lo que las interfaces de monitoreo no requieren de una dirección IP, ni MAC, deberá comportarse como un cable. La solución IPS deberá contar con actualización de firmas mediante un archivo de actualización y/o de manera automática. La solución IPS debe ser de última generación en formato de 1 UR como mínimo (Unidad de Rack) dedicado para la prevención de intrusiones y control de tráfico malicioso. La solución IPS debe ser capaz de inspeccionar el tráfico asociado como mínimo en tres (segmentos) distintos de redes diferentes. La solución IPS debe incluir un mecanismo de bypass interno, integrado al sistema IPS en la totalidad de los puertos y/o segmentos utilizados. El monitoreo de los servicios debe ser transparente para los usuarios y la solución IPS debe operar en la capa 2 del modelo de OSI, por lo que las interfaces no requieren de una dirección IP ni una dirección MAC. La solución IPS podrá configurarse en modo transparente; es decir, de detección en línea, pero sin bloquear tráfico. El sistema sólo alerta que eventos serían bloqueados. La solución IPS debe disponer de fuente de poder AC redundante interna. Las dos fuentes deben ser hot swappable, Mínimo 02 fuentes internas. Actualización periódica de las funcionalidades presentes en la solución propuesta por tres (03) años. Capacidades de Networking y Alta Disponibilidad - La solución IPS debe disponer de un Throughput mínimo de 600 Mbps. - La solución IPS debe soportar como mínimo un crecimiento de hasta 80% más de su Throughput con sólo activación de licencia. - La solución IPS debe disponer de un Mínimo 200,000 Sesiones concurrentes: - Interfaces de monitoreo y análisis: Mínimo seis (06) puertos Ethernet 10/100/1000 BaseTX, RJ45 o Mínimo tres (3) segmentos - Latencia de Inspección no debe exceder los 100µs. - Alta disponibilidad Modos de configuración en Clúster Activo-Activo. - Bypass Interno incorporado para todos los segmentos y/o puertos, Ethernet 10/100/1000 BaseTX, RJ45. - El IPS opcionalmente podrá aplicar la capacidad virtual appliance bajo el criterio de asignar procesador y memoria a cada contexto virtual. El proveedor deberá indicar sustento debido, con manuales y carta de fabricante. Seguridad y Políticas - Capacidad de soportar combinación de las modalidades IDS (pasivo) e IPS (en línea) dentro del mismo equipo funcionando a la vez, donde permita cambiar fácilmente del modo de prevención a detección de intrusos para no congestionar la red. - Soportar funcionamiento pasivo como un IDS (sistema de detección de intrusos), con alertas de ataque, tráfico malicioso o no deseado, sin interferir con el tráfico. - Capacidad de crear reglas o políticas independientes por cada segmento de red, cada interface o zona de seguridad definida. - Capacidad de analizar y crear reglas en ambas direcciones de tráfico. Debe realizar inspección bidireccional. - Capacidad de analizar el comportamiento de tráfico o de red y permitir aplicar reglas de manera manual o automática. 22 - - - - - - - Capacidad de aplicar reglas de manera manual o automática de acuerdo a los eventos. Así mismo, la solución IPS debe disponer de un proceso de validación manual antes de aplicar o crear de manera automatizada una regla. Capacidad mínima de soportar protección contra ataques del tipo: CrossSite Scrtiping y SQL Injections, DDoS, DoS, IP fragmentation, Low-and-slow, exploit; Spam; Code Injections, Remote Code Execution, Modified Packet. Modified SMB/MSRPC, Malware y Spyware. Capacidad mínima de usar técnicas de detección de ataques como: Firmas o patrones de ataques y vulnerabilidades, Directory Traversals, Data File Análisis, Scan y Reconnaissance, RFC Compliance Checking, Protocol Anomaly Detection, Protocol Validation, TCP Retransmissions, Fragmented Packect. Capacidad mínima de Protección de Aplicaciones Web, Mail servers, FTP servers, vulnerabilidades DNS, SIP, SNMP, Vulnerabilidades Microsoft, Protocolos LAN, RPC, NetBios, Telnet. Capacidad mínima de disponer de mecanismos o reglas de denegación de Servicios mínimas como: Port Scan, SYN flood, TCP y UDP flood, Ratebased para los servicios públicos. Capacidad de identificar, detectar y registrar anomalías de Ataques de Denegación de servicio, Malware y amenazas Zero-day. Capacidad de soportar el bloqueo dinámico de intrusos pudiendo bloquear el tráfico del ataque a partir de la dirección IP y puerto del atacante, dirección IP y puerto del atacado o una combinación de ambos por un período específico de tiempo o permanentemente a partir de un ataque detectado. Permitir acciones de bloqueo y/o alerta, como mínimo descarte de paquete y sesión (drop), reset de la conexión, ignorar y solo registrar. Opcionalmente capacidad de soportar ataques de DDoS basados en DNS , HTTP y NTP. Gestión, Administración y Monitoreo - La solución IPS debe contar con funcionalidades de administración y monitoreo, parar ello debe contar con un (01) puerto de administración Ethernet RJ45, adicional a las interfaces de análisis solicitadas. - Debe permitir la configuración y administración por web (https) y/o interfaz GUI. - Debe soportar estadísticas de todo el tráfico en tiempo real a través de la interfaz gráfica de usuario (GUI). - Debe integrar autentificación vía RADIUS. - Debe disponer de protección de ataques man-in-the middle desde su consola de gestión, mediante la conexión segura a través de SSL. - Debe soportar la configuración de usuarios administradores y de monitoreo para la interface de configuración en modo grafico (GUI). - Debe soportar la clasificación de usuarios en grupos. - Debe soportar el refuerzo de la longitud del password, expiración, y alerta de fecha de expiración. - Debe soportar la configuración del número de intentos fallidos de login. - Debe permitir envío de logs de eventos a servidores Syslog. - Debe permitir envío de notificaciones vía SNMP y correo electrónico. El Sistema de Prevención Contra Intrusos ofertado, no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta 23 información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. 3.2.5.Sistema de Control de Monitoreo, Log y Reporte IPS Características - La solución IPS debe soportarse e integrarse sobre un sistema de administración centralizada que permita controlar, configurar, monitorear, registrar y reportar todo evento y estadística producto del análisis de tráfico y de los eventos de seguridad del IPS. - El sistema de control, monitoreo, log y reportes debe proveerse en formato Servidor o appliance con las siguientes características mínimas: 64 GB de memoria RAM instalada en bancos de DDR-4 a 2133Mhz Memoria Soporte Crecimiento Al menos 768 GB de memoria Al menos 24 bancos de memoria DDR4 Dos (2) discos internos de 200 GB efectivo como mínimo en RAID 1 para el S.O. SAS de 2.5” de altura a 15Krpm Almacenamiento interno Una capacidad de un (01) TB efectiva como mínimo en RAID 5 para data SAS de 2.5” de altura 10Krpm Soporte al menos 24 discos internos Soporte crecimiento en discos interno al menos 24TB Controlador Raid Conexión LAN / SAN Soporte de al menos dos SD Card como mínimo de 32 GB Tarjeta Controladora interna con soporte a RAID 0, 1, 5, 6, 10, 50, and 60 4 puertos de 1 Gigabit Tarjeta de FC Dual 8 GB para conectar con equipo de Almacenamiento de propiedad del SIS Marca: NETAPP y Modelo: FAS2240-2. Se deberá mostrar matriz de compatibilidad. Se debe incluir los cables necesarios. DVD Fuente de Poder Sistemas Operativos Soportados Slots de expansión Licencia Soporte de tarjeta virtualizadora dual port 10GBase-T Capacidad de Virtualizar hasta 256 dispositivos PCIe Multibunner interna o externa Redundante 650W – Hot plug como mínimo Microsoft Windows Server Red Hat Enterprise Linux VMware Seis (06) slots PCIe Gen 3 como mínimo. Una (01) Licencia, Windows Server Enterprise 2008 o superior OLP NL Gobierno; o Linux Con soporte por tres (03) años según corresponda. 24 Garantía Administración Mantenimiento - - Tres (03) años de partes y mano de obra 7x24 con cuatro (04) horas de tiempo de respuesta. Puerto de consola para la configuración, monitoreo y administración remota del servidor. Mínimo un (01) mantenimiento preventivo de limpieza interna al finalizar cada año durante el periodo de la garantía propuesta. El sistema debe soportar la gestión mínima de dos (02) soluciones de IPS. El sistema debe visualizar e identificar conexiones bloqueadas, así como anomalías de protocolos que circulan por la red. El sistema debe Incluir funcionalidades de análisis y reportes. El sistema debe reportar todo el tráfico monitoreado en tiempo real, permitiendo revisar la utilización y flujo de cada segmento. El sistema debe proporcionar detalles acerca del tipo de tráfico y flujos. Todas las estadísticas deben ser en tiempo real. El sistema debe proporcionar la identificación de la fuente del ataque y visibilidad del servicio atacado. El sistema de monitoreo, registro y reportes debe proporcionar un análisis de seguridad de ataques directamente desde la GUI y vía Portal Web (HTTP). El sistema de monitoreo, registro y reportes debe permitir revisar eventos de ataques directamente de la GUI o Portal Web (HTTP) con poca intervención manual. El Sistema de Control de Monitoreo, Log y Reporte IPS ofertado, no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. 4. Capacitación La capacitación deberá ser impartida sólo para el personal del SIS con un mínimo de seis (06) personas en las instalaciones del Proveedor, o un centro autorizado de capacitación, donde deberá incluirse equipos para realizar pruebas de acuerdo a lo enseñado. El Horario deberá ser coordinado entre el SIS y el proveedor. Se debe incluir cursos del fabricante con su correspondiente examen para los temas: Administración de Firewall. Gestión del Sistema de Administración Centralizada para Firewalls. Gestión del Sistema de Registro de Eventos y Reportes para Firewalls. Administración del Sistema de Prevención Contra Intrusos. Gestión del Sistema de Registro de Eventos y Reportes para IPS. La capacitación deberá de programarse cuarenta y cinco (45) días calendario después de entregados los equipos en el almacén del SEGURO INTEGRAL DE SALUD. Nota: Como los cursos son programados por el fabricante, el postor deberá entregar un acta que garantice la inscripción y reserva de los cupos de los cursos mencionados. Duración de las capacitaciones (adjuntar documentación pública de los cursos del fabricante): 25 Para el conjunto de Administración de Firewall, Gestión del Sistema de Administración Centralizada para Firewalls y Gestión del Sistema de Registro de Eventos y Reportes para Firewalls debe brindarse 24 horas en total como mínimo. Para el conjunto de Administración del Sistema de Prevención Contra Intrusos, Gestión del Sistema de Registro de Eventos y Reportes para IPS debe brindarse 24 horas en total como mínimo. Se deberá entregar la documentación de todas las capacitaciones en un CD y de manera impresa. 5. Garantía La propuesta deberá considerar una garantía para reemplazo de los componentes físicos defectuosos y para cambios a configuraciones defectuosas durante los tres (03) años posteriores a la entrega de los equipos en los almacenes del SIS. Debe cubrir los componentes físicos del sistema de almacenamiento y las funcionalidades y/o software incluido. La Garantía del Proveedor deberá de considerar: Firewalls UTM, Sistema de Prevención Contra Intrusos, Sistema Centralizado de Firewall-UTM, Access Points; Sistema de log y reportes de Firewall-UTM, Sistema de Control, monitoreo, log y reportes del IPS. Cambio de componentes defectuosos sin costo durante tres (03) años y un tiempo de entrega por reemplazo de componentes, equipo o sistema defectuoso de por lo menos ocho (08) horas, luego aprobado el cambio. La garantía también incluye resolución de problemas por mal funcionamiento de la solución o cada componente de la solución, por nuevas implementaciones en situ, por errores de configuración, por fallas de firmware, upgrade/downgrade o software fallido o malo, debiéndose ejecutar por los responsables del soporte del proveedor. El postor deberá de presentar Carta de Garantía Avalada por el Fabricante. 6. Soporte Técnico El soporte deberá brindarse durante tres (03) años desde la implementación de la solución. Soporte Local Soporte de 24x7x365, con dos (02) horas de apertura y reconocimiento de caso; y ocho (08) horas de resolución de problemas, fallas y errores de configuración. Soporte en Idioma Español. En caso de caída o falla del equipo, el proveedor deberá contar con Firewalls UTM, Sistema de Prevención Contra Intrusos, Sistema Centralizado de Firewall-UTM, Sistema de log y reportes de Firewall-UTM, Sistema de Control, monitoreo, log y reportes del IPS que deberá reemplazar a los equipos dañados. El proceso de RMA no debe superar las ochos (08) horas desde que fue aprobado y no debe incurrir en costos para la institución. El equipo o equipos de RMA deben ser entregados en la Sede Central del SIS en Lima y configurados convenientemente. 26 El servicio de soporte local requiere de dos Ingenieros certificados de la Marca de los Firewalls UTM y Sistema de Prevención Contra Intrusos. Se debe adjuntar copia de los certificados junto con la propuesta del postor. El servicio de soporte local debe emitir mensualmente los registros de eventos atendidos, así como también llevar una bitácora de registros sobre los eventos de soporte, durante el periodo que culmine el contrato. El Postor deberá contar o subcontratar al mismo representante de la marca, un Security Operation Center o SOC para la atención de los requerimientos post implementación del SIS. El postor deberá presentar e incluir como parte de su propuesta el procedimiento de escalamiento de soporte para garantizar la continuidad del servicio ofertado. Centros de Servicio – Prestaciones Accesorias que debe brindar el postor El Centro de Servicio debe incluir lo siguiente: - - - - Brindar servicio gestionado remoto, ilimitado, de los equipos propuestos, previa solicitud del SIS, por el plazo que dure el contrato. Brindar Servicio de Soporte Correctivo, solicitado por el SIS, ante cualquier tipo de incidente que altere el buen funcionamiento de los equipos. De ser necesario, será Centro de Servicio quien eleve el caso al Soporte del fabricante. Brindar monitoreo de las plataformas en línea a través del Centro de Servicio 24x7x365, en el cual se indica el estado de la plataforma. El Centro de Servicio debe contar con una herramienta Online disponible 24x7 para la atención de solicitudes por parte del personal del SIS. El centro de servicios deberá responder y atender directamente la solicitud en la primera comunicación. El tiempo de resolución de un incidente que afecte la disponibilidad del servicio de cualquier sistema y/o equipo de la solución no debe ser mayor a dos (02) horas. El tiempo de resolución de un ticket por cambio de configuración u otro que no afecte el servicio de SIS, no debe ser mayor a ocho (08) horas. El Centro de Servicio debe entregar reportes una vez por mes o a petición del SIS. Todos los tickets o llamadas telefónicas deben estar registrados en la herramienta Online. El SIS podrá ingresar a ver el estado de atención de un ticket hasta su resolución. Soporte del Fabricante Periodo de cobertura de tres (03) tres años para todos los componentes, tanto en los dispositivos, equipos y el sistema operativo de los equipos. Soporte de 24x7x365, con cuatro (04) horas de apertura y reconocimiento de caso. Soporte en Idioma Español. Este soporte es Independiente del soporte local. Otros a considerar: - Número ilimitado de apertura de casos al año. Soporte vía web y teléfono. 27 - - Instalación de parches de software y upgrades. Acceso a documentación técnica. Uso del Return Merchandise Authorization (RMA). El fabricante debe efectuar el diagnóstico previo para autorizar la ejecución del sistema RMA y el consecuente reemplazo. Será responsabilidad del proveedor, gestionar la ejecución y cumplimiento del RMA con el fabricante. Considerar que la entrega del hardware aprobado por RMA, será en la sede central del SIS. 7. Asesoría especializada In Situ ó Remoto El servicio de soporte del proveedor, deberá incluir asesoría para cambios en la configuración inicial implementada o en producción. El proveedor deberá incorporarse a las reuniones que el SIS demande. 8. Mantenimiento El mantenimiento debe brindarse durante los tres (3) años desde la implementación del servicio. 8.1. Mantenimiento Preventivo El servicio de Mantenimiento Preventivo deberá ser brindado por el representante de la marca. La propuesta deberá incluir dos (02) mantenimientos preventivos anuales durante tres (03) años, a partir de la implementación de la solución. El mantenimiento preventivo considerará la revisión y prueba de los componentes de la presente solución. Las pruebas a realizar deberán incluir una prueba de la operatividad de toda la solución con la finalidad de confirmar que los equipos y la configuración se encuentran operando en los rangos esperados. Se dará tanto a nivel físico como lógico a todos los componentes de la solución excepto el rack o gabinete. El postor presentará un detalle de las labores que realizará en cada mantenimiento y entregará un informe al final de cada mantenimiento, realizando además las labores correctivas que sean necesarias. La fecha y hora serán acordadas con OGTI del SIS a fin de minimizar su impacto. 8.2. Mantenimiento Correctivo La propuesta deberá considerar la atención y corrección de incidencias reportadas por el SIS para los elementos de la presente solución. Este servicio deberá brindarse a solicitud del SIS con la modalidad 24x7 (24 horas diarias, 7 días a la semana), y considerando un tiempo máximo de respuesta de dos (02) horas para criticidad alta. 9. Duración de la Implementación de la Solución. La implementación de la solución comprende todas las actividades relacionadas a la instalación de equipos e infraestructura, y las pruebas iniciales de la solución. 28 ETAPA DOCUMENTACIÓN PREVIA A LA IMPLEMENTACIÓN. COMPRENDE PLAZO DE EJECUCIÓN Levantamiento de la Arquitectura de red y configuración de los actuales Firewalls. Antes de la instalación, el proveedor deberá levantar la arquitectura de red implementada actualmente donde intervienen los Firewalls. Deberá también levantar la información de los diversos perfiles y plantillas existentes, así como las políticas actuales existentes. Informe previo de configuración de la solución anterior a su instalación. Antes de la instalación y configuración de los equipos, el proveedor deberá elaborar un informe del diseño de la implementación a realizarse. El informe debe incluir el diseño de la implementación a realizarse y debe estar basado en reuniones con la Unidad de Tecnología de la OGTI del SIS. Debe ser presentado y aprobado por la OGTI antes del inicio de la configuración de los equipos. El informe debe mostrar la equivalencia o reemplazo de las políticas y perfiles actuales existentes y los que se implementaran. Cuarenta y cinco (45) días calendario, contados a partir del día siguiente de suscrito el contrato. Plan de Trabajo Elaborar el plan de trabajo y el cronograma de actividades a realizar por la implementación de la solución ofertada. Incluir en el plan, (un protocolo) de pruebas a ejecutarse en etapas identificadas como hitos en el cronograma de actividades propuesto por el proveedor. Análisis de Riesgos Elaborar matriz de riegos donde se identifique los riesgos a presentarse en la implementación de la solución ofertada. Elaborar Plan de contingencia. Arranque del Proyecto Presentación Kick Off y Acta de Constitución del Proyecto. 29 Entrega de los bienes ofertados. ENTREGA DE EQUIPOS CONFIGURACION Firewall UTM (2). Puntos de Acceso (18). Sistema de Administración Centralizada de FW (1) Sistema de Registro de Eventos y Reportes para Firewall (1). Sistema de Prevención Contra Intrusos (1). - Sistema de Control, Monitoreo, log y reportes IPS (1). Configuración de los Firewalls, Sistema de Prevención Contra Intrusos, Sistemas de Administración Centralizada y Generación de Reportes para Firewall y Sistema de Control, Monitoreo, Log y Reportes del Sistema de Prevención contra Intrusos. - CAPACITACION Cincuenta (45) días calendarios, contados a partir de la entrega de los Firewalls en el almacén del SIS. Migración de las políticas de seguridad configuradas en los firewalls actuales en nuevos firewalls que son parte de la solución adquirida. Pruebas unitarias aisladas Acta de conformidad Técnica. Antes de la puesta en Produccion INSTALACION y VALIDACION Cuarenta y cinco (45) días calendario, contados a partir del día siguiente de suscrito el contrato. Instalación; puesta en producción. Plan de pruebas Ejecución del plan de pruebas : Configuración de equipos. Software de administración de firewall y prevención contra intrusos. Integración con plataforma tecnológica actual. Debe guardar coherencia con el plan, (un protocolo) de pruebas incluido en la DOCUMENTACIÓN PREVIA A LA IMPLEMENTACIÓN. Acta de conformidad de las pruebas de operatividad y funcionamiento de la solución ofertada. Capacitación al personal que asigne OGTI. Administración de Firewall. Gestión del Sistema de Administración Centralizada para Firewalls. Gestión del Sistema de Registro de Eventos y Reportes para Firewalls. Administración del Sistema de Prevención Contra Intrusos. Cinco (5) días calendarios, contados a partir del fin de la Configuración de los Firewalls. Dos (02) días calendario posterior a la configuración. Cuarenta y cinco (45) días calendario, contados a partir del día siguiente de la entrega de los equipos. 30 Gestión del Sistema de Registro de Eventos y Reportes para IPS POST PRODUCCIÓN Seguimiento en producción Acompañamiento post producción. Atención de ajustes y/o cambios de configuraciones. - - CIERRE Cinco (05) días calendario, desde el fin de la implementación de la solución (incluido el plan de pruebas). Informe final de la ejecución del Plan de Trabajo Al final de la ejecución del plan de trabajo se deberá entregar una ayuda memoria del trabajo realizado con los manuales y documentación técnica respectiva de los equipos entregados y las configuraciones realizadas, así como un diagrama con el detalle de la interconexión de los equipos instalados en la solución. Diez (10) días calendario, desde el fin de la implementación de la solución (incluido el plan de pruebas). Entrega de la solución Acta de conformidad de la implementación y operatividad de la solución ofertada. El proveedor deberá firmar un acuerdo de confidencialidad donde se compromete a mantener la confidencialidad de la información entregada por el SIS. El proveedor deberá tomar las medidas para asegurar que el personal que intervenga en el proyecto guarde la confidencialidad de la información a la cual tienen acceso. La implementación de la solución ofertada será de Ciento Siete (107) días calendario contados a partir de la firma del contrato. CRONOGRAMA DE IMPLEMENTACIÓN DE FIREWALLS ETA PA 45 DOCUMENTACIÓN PREVIA A LA IMPLEMENTACIÓN. 45 ENTREGA DE EQUIPOS 45 90 CIERRE 102 107 2 INSTALACION Y VALIDACION POST PRODUCCIÓN 97 50 CONFIGURACIÓN CAPACITACIÓN 95 45 5 10 La implementación de la solución se debe dar a manera de mentoría con el personal que designe la OGTI del SIS; según el “Informe previo de configuración de la solución anterior a su instalación” indicado en la sección de Plazo de Ejecución de las Prestaciones. 31 Se deberá realizar la instalación y configuración de los equipos Firewall UTM, IPS y los equipos de Administración Centralizada, Registro de Eventos y Reportes en el Centro de Datos del SIS ubicado en la Ciudad de Lima. Luego de integrar la configuración de los equipos instalados en la sede central del SIS, y haberlos integrado a los sistemas de Administración Centralizada, Sistema de Registro de Eventos y Reportes; y luego de las pruebas unitarias se procederá a dar la conformidad técnica por parte de la OGTI. Las pruebas de la solución ofertada serán aprobadas mediante el Acta de Conformidad de Pruebas. El personal encargado de la configuración de los equipo debe ser asignado hasta finalizar con la conformidad del servicio. No se aceptará cambios de personal sin algún fundamento. El postor deberá acreditar mediante un contrato firmado, el compromiso del ingeniero certificado hasta finalizar el servicio, con un Acta de Compromiso. El personal encargado de la configuración deberá tener la disponibilidad horaria para poder realizar el cambio y pruebas en horarios dentro y fuera de oficina incluidos fines de semana, según lo determine SIS. La implementación será coordinada Unidad de Tecnología de la Información del SIS (UTIOGTI). 10. Perfil del Postor El Proveedor deberá ser representante autorizado del fabricante, para lo cual deberá presentar una carta del fabricante o en su defecto deberá indicar el link público del fabricante donde se evidenciará que es un partner autorizado con las certificaciones para la solución ofertada. El proveedor deberá acreditar al menos dos (02) implementaciones de características similares (Firewall ó Firewall UTM), las mismas que se deberán acreditar con las constancias o actas respectivas. Equipo Técnico mínimo - Un (01) Jefe de Proyecto Profesional Bachiller o Titulado, con una experiencia no menor de cinco (05) años en Gestión de Proyectos de Tecnologías de la Información o como Jefe y/o Supervisor de Proyectos de TI. Documentos a presentar: Copia legalizada de Bachiller o Título del Profesional Al menos dos (02) Constancias de participación en proyectos de implementación similares, ejecutados en los últimos cinco (05) años. - Un (01) Especialista en Firewall UTM El postor deberá contar con un (01) Ingeniero o técnico certificado por el fabricante de los Firewall UTM. Deberá presentar al menos dos (02) constancias de participación de proyectos con equipos similares. 32 - Un (01) Ingeniero certificado en Sistema de Registro de Eventos y Reportes para Firewall - Un (01) Especialista en IPS El postor deberá contar con un (01) Ingeniero o técnico certificado por el fabricante del Sistema IPS. Deberá presentar al menos dos (02) constancias de participación de proyectos con equipos similares. - Un (01) Ingeniero certificado en el Sistema de Control, Monitoreo, log y Reportes para IPS 11. Obligaciones El postor presentará tanto la metodología de manejo y control de riesgos como un plan de contingencias a aplicar en forma efectiva para la implementación de cada Ítem de la presente solución, a fin de minimizar los riesgos inherentes del despliegue, la misma que será evaluada y aprobada por la OGTI-SIS. Adicionalmente, el postor estará obligado a corregir de manera inmediata y por su cuenta daños causados a la infraestructura existente y garantizar el funcionamiento de la solución implementada. El postor deberá comprometerse a guardar la más absoluta reserva de la información a la que tendrá acceso a fin de garantizar la seguridad e integridad de los procesos, programas, datos e información pertenecientes al SIS. Adicionalmente, el postor se comprometerá a no violar la confidencialidad, seguridad, y propiedad de los archivos, programas y aplicaciones, absteniéndose a efectuar cualquier cambio, transacción, modificación y adición de información a los archivos, programas y aplicaciones sin la respectiva autorización por escrito de la OGTI-SIS, no pudiendo facilitar a terceros información alguna. Este compromiso deberá realizarse mediante una declaración jurada. 33 CRITERIOS DE EVALUACION EVALUACIÓN TÉCNICA (Puntaje Máximo: 100 Puntos) CRITERIOS DE EVALUACIÓN Los criterios de evaluación para evaluar la propuesta técnica son los siguientes: METODOLOGÍA PARA SU ASIGNACIÓN FACTORES DE EVALUACIÓN PLAZO DE ENTREGA Se evaluará en función al plazo de entrega ofertado, el cual debe mejorar el plazo de entrega establecido como requerimiento técnico mínimo. Entrega de equipos en la Sede Central: Se acreditará mediante la presentación de declaración jurada. (Anexo Nº 6) Mayor a 30 días y menor o igual a 44 días calendario : 2 puntos Menor ó igual a 30 dias calendario 3 puntos PUNTAJE 3 puntos Se acreditará mediante la presentación de declaración jurada. (Anexo N° 11) MEJORA TECNICA Criterio: Caracteristicas Técnicas MEJORA 1: THROUGHPUT ANTIVIRUS BASADO EN PROXY DE Mayor a 4 y menor o igual a 5 Gbps 2 puntos Mayor a 5 y menor o igual a 6 Gbps 3 puntos Mayor a 6 Gbps 5 puntos 5 puntos MEJORA 2: THROUGHPUT DE IPS Mayor a 6 y menor o igual a 7 Gbps 3 puntos Mayor a 7 Gbps 5 puntos 5 puntos MEJORA 3: FILTRADO DE CONTENIDO WEB 34 Mayor a 70 y menor o igual Categorías a 100 Mayor a 100 Categorías 3 puntos 5 puntos 5 puntos MEJORA 4: CONTOL DE APLICACIONES Mayor a 1500 y menor o igual a 1700 Aplicaciones 3 puntos Mayor a 1700 Aplicaciones 5 puntos 5 puntos Criterio: Certificaciones MEJORA POSTOR 1: CERTIFICACION DEL Cuenta con certificación a nivel de EXPERTO del fabricante MEJORA 2: CERTIFICACIONES EQUIPO TECNICO 7 puntos 7 puntos DEL El equipo cuenta con al menos un ingeniero de sistemas, electrónico o afines con algunas Certificaciones internacionales en Seguridad de la Información (CISO - Chief Information Security Officer emitida por EC-Council, ISO 27002 - Information Security Foundations emitida por EXIN, ITIL® Service Design Certificate emitida por Exin, CRISC emitida por ISACA). 7 puntos Que tenga dos (02) Certificaciones 3 Puntos Que tenga tres (03) Certificaciones 7 Puntos Criterio: Capacitaciones MEJORA 1: CAPACITACION EN NORMA ISO Capacitación en ISO 27002 para 6 personas EXPERIENCIA DEL POSTOR 7 puntos 7 puntos La experiencia se acreditará mediante copia simple de: contratos u órdenes de 35 compra, y su respectiva conformidad por la venta efectuada; o comprobantes de pago cuya cancelación se acredite documental y fehacientemente, con [Vouchers, estados de cuenta, abono en cuenta, cheque, conformidad por la venta efectuada], correspondientes a un máximo de veinte (20) contrataciones. Además, los postores deberán presentar el Formato Nº7 referido a la Experiencia del Postor. Criterio: Se evaluará considerando el monto facturado acumulado por el postor por la M = Monto facturado acumulado por el venta de switches y provisión servicios en postor por la venta de bienes iguales y/o networking, durante un periodo de NO similares al objeto de la convocatoria MAYOR A OCHO (8) AÑOS a la fecha de la presentación de propuestas. M > 3 veces el valor del monto referencial 30 puntos M > 1 veces el valor del monto referencial y <= 3 veces el valor del monto referencial 15 puntos 40 puntos Valor referencial: S/. XXX,XXX.XX Acreditación: Mediante la presentación de un máximo de diez (10) constancias de prestación o cualquier otro documento que, independientemente de su denominación, indique, como mínimo, lo siguiente: CUMPLIMIENTO DE LA PRESTACIÓN 1. La identificación del contrato u orden de compra, indicando como mínimo su objeto. 2. El monto correspondiente; esto es, el importe total al que asciende el contrato, comprendiendo las variaciones por adicionales, reducciones, reajustes, etc., que se hubieran aplicado durante la ejecución contractual. 36 3. Las penalidades en que hubiera incurrido el contratista durante la ejecución de dicho contrato. 16 puntos Se debe utilizar la siguiente fórmula de evaluación: PCP= PF x CBC NC Donde: PCP = Puntaje a otorgarse al postor. Criterio: Se evaluará el nivel de cumplimiento del postor, respecto de los contratos presentados para acreditar la experiencia del postor, en función al número PF = Puntaje máximo al postor. de constancias de prestación presentadas. NC = Número de contrataciones presentadas para acreditar la experiencia del postor. CBC = Número de prestación válidas. constancias de PUNTAJE TOTAL 100 puntos RESUMEN DE EVALUACIÓN DE PROPUESTA TÉCNICA. N° ITEM PUNTAJE 1 Experiencia del postor 40 2 Cumplimiento de la prestación 16 3 Plazo de entrega 3 4 Mejora Técnica 41 Total (100 puntos) 100 IMPORTANTE: Para acceder a la etapa de evaluación económica, el postor deberá obtener un puntaje técnico mínimo de sesenta (60) puntos, caso contrario será descalificado. 37 F O R M A T O S CARTA PODER Lima, [CONSIGNAR CIUDAD Y FECHA] Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS – PROGRAMA SISTEC Presente.- REF.: Concurso N° 014-2015 PER1001711 (PER 152) [CONSIGNAR NOMBRE DEL POSTOR (PERSONA NATURAL, PERSONA JURÍDICA Y/O CONSORCIO)], identificado con DNI [CONSIGNAR EN CASO DE SER PERSONA NATURAL] y Nº RUC Nº [CONSIGNAR EN CASO DE SER PERSONA JURÍDICA], debidamente representado por su [CONSIGNAR SI SE TRATA DE REPRESENTANTE LEGAL EN CASO DE SER PERSONA JURÍDICA O DEL REPRESENTANTE COMÚN EN CASO DE CONSORCIOS, ASÍ COMO SU NOMBRE COMPLETO], identificado con DNI Nº […………], tenemos el agrado de dirigirnos a ustedes, en relación con la Convocatoria Concurso N° 014-2015 PER1001711 1° Convocatoria, a fin de acreditar a nuestro apoderado: [CONSIGNAR NOMBRE DEL APODERADO] identificado con DNI Nº [………], quien se encuentra en virtud a este documento, debidamente autorizado a realizar todos los actos vinculados al proceso de selección. Para tal efecto, se adjunta copia simple de la ficha registral vigente del suscrito. 2 …..………………………….………………….. Firma, Nombres y Apellidos del postor o Representante legal o común, según corresponda 2 Incluir dicho párrafo sólo en el caso de personas jurídicas. 38 ANEXO 1 DECLARACIÓN JURADA DE DATOS DEL POSTOR Lima, [CONSIGNAR CIUDAD Y FECHA] Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) Estimados señores: El que se suscribe, ……………………. (Postor y/o Representante Legal de..................EN CASO DE PERSONA JURÍDICA), identificado con DNI Nº ................., RUC Nº ............., con poder inscrito en la localidad de ................ en la Ficha Nº ............ Asiento Nº ...........(EN CASO DE PERSONA JURÍDICA), DECLARO BAJO JURAMENTO que la siguiente información se sujeta a la verdad, para tal efecto agradeceré se sirvan tener en cuenta la siguiente información: Nombre o Razón Social Domicilio Legal RUC Teléfono Fax E mail: Lima,…………………..……… ....................................................................... Firma y sello del Representante Legal Nombre / Razón social del postor 39 ANEXO 2 DECLARACION JURADA Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) El que suscribe, (representante legal) de (Razón social) identificado con DNI. No.................... y con RUC…………., con domicilio legal en ................................... Declaro bajo juramento: - Que, luego de haber examinado las bases y demás documentos del presente proceso, y conociendo todas las condiciones existentes se ofrece la Adquisición e Implementación de una Solución de Seguridad Perimetral. - Que, mi representada no tiene impedimentos para participar en el proceso de selección ni para contratar con el Estado Peruano. - Que, conocemos, aceptamos y nos sometemos a las Bases Administrativas, condiciones y procedimientos de la Concurso N° 014-2015-PER1001711. - Que, somos responsables de la veracidad de los documentos e información que presentamos para efectos del presente Proceso de Selección. - Que, nos comprometemos a mantener nuestra oferta durante todo el proceso y a suscribir el contrato en caso de resultar favorecidos con la buena pro. - Que, conozco, acepto y ofrezco como mínimo a las especificaciones técnicas mínimas contenido en la Presente Bases Administrativas. [CONSIGNAR CIUDAD Y FECHA] …….......................................................... Firma, Nombres y Apellidos del postor o Representante legal o común, según corresponda 40 ANEXO 3 PROMESA FORMAL DE CONSORCIO (Sólo para el caso en que un consorcio se presente como postor) Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) Los suscritos declaramos expresamente que hemos convenido en forma irrevocable durante el lapso que dure el proceso de selección, para presentar una propuesta conjunta en el Concurso N° 014-2015PER1001711, responsabilizándonos solidariamente por todas las acciones y omisiones que provengan del citado proceso. Asimismo, en caso de obtener la buena pro, nos comprometemos a formalizar el contrato de consorcio. Designamos al Sr. ............................, identificado con D.N.I. Nº…………Como representante legal común del Consorcio, para efectos de participar en todas las etapas del proceso de selección y formalizar la contratación correspondiente. Adicionalmente, fijamos nuestro domicilio legal común en..................................... OBLIGACIONES DE ……..: 1. 2. OBLIGACIONES DE ……: 3. 4. % Participación % Participación Se deja expresa constancia de que las obligaciones y porcentajes antes mencionados han sido pactados por EL POSTOR, el mismo que será indicado en su contrato de consorcio, exclusivamente, para efectos de regular las relaciones internas entre sus integrantes, no resultando oponibles AL PROGRAMA SISTEC, ante la cual se obligan solidariamente; es decir, que los miembros del consorcio se encuentran individualmente obligados y responderán frente al PROGRAMA SISTEC por todas y cada una de las obligaciones asumidas en su calidad de POSTORES en mérito al presente proceso. [CONSIGNAR CIUDAD Y FECHA] ..…………………………………. Nombre, firma, sello y DNI del Representante Legal Consorciado 1 ………………………………….. Nombre, firma, sello y DNI del Representante Legal Consorciado 2 El consorciado deberá precisar el % de participación para la etapa de evaluación y para le ejecución del servicio. Aquel postor que no precise el % de participación, será descalificado. 41 ANEXO 4 DECLARACION JURADA DE AUSENCIA DE INCOMPATIBILIDADES Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) Conste por el presente documento, la Declaración Jurada de Ausencia de Incompatibilidades, que formulo Yo ……..……………..…...………………………, con L.E./ D.N.I. N°…….………………..…., estado civil …………………… y con domicilio en ………………….………………………..…, DECLARO BAJO JURAMENTO: (Marcar el recuadro que corresponde) Tener relación de parentesco, vínculo matrimonial o unión de hecho con directivo, trabajador o asesor del Programa de apoyo a la política de aseguramiento universal en salud en el Perú, a través del SIS, que señalo a continuación: (Indicar nombres y apellidos, grado de parentesco, cargo o posición que ocupa). No tener relación de parentesco, vínculo matrimonial o unión de hecho con directivo, trabajador o asesor del “Programa de apoyo a la política de aseguramiento universal en salud en el Perú, a través del SIS”. [CONSIGNAR CIUDAD Y FECHA] …….......................................................... Firma, Nombres y Apellidos del postor o Representante legal o común, según corresponda 42 Anexo 5 CUADRO COMPARATIVO DE PROPUESTA TECNICA Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS – PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) De nuestra consideración, Mediante el presente, el suscrito detalla el cuadro comparativo de propuesta técnica: REQUERIMIENTO MINIMO PROPUESTO # FOLIO DONDE SE EVIDENCIA FIREWALL Cantidad requerida: 02 unidades Marca Modelo Funcionalidades del Firewall Solución de Firewall UTM deberá implementarse dos (02) equipos appliance de propósito específico con sistema operativo propietario del mismo fabricante, que se encontrarán ubicados en el site principal en High Availability en modalidad Activo-Activo La solución ofertada no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. No se aceptarán equipos reciclados, re ensamblados o reacondicionados, tampoco se aceptarán aquellos que tengan la denominación “refurbished”, “remarketing” o su equivalente comercial. Adjuntar carta del fabricante de los equipos, especificando que los sistemas propuestos en modelo y número de serie son de primera venta. Cada Firewall deberá tener una fecha de fabricación no mayor a 12 meses, de reciente fabricación. No se aceptarán equipos usados o reutilizados. Cada Firewall deberá considerar como mínimo de 1 UR en formato appliance. Cada Firewall debe soportar un Throughput de 10 Gbps. Cada Firewall debe soportar 1’000,000 conexiones concurrentes. 43 Cada Firewall debe tener catorce (14) interfaces 10/100/1000 Mbps (para manejar zonas de seguridad entre externas, privadas y DMZ’s). Soporte de direcciones IP estáticas y dinámicas (DHCP y PPPoE) en la interfaz externa. Deberá tener el siguiente desempeño o performance a nivel de inspección de contenido de: o IPS throughput mínimo: 6 Gbps. o Antivirus Throughput mínimo basado en Proxy: 4 Gbps. El equipo debe ser del tipo UTM, incorporando funciones de Gateway Anti-Virus en modo Proxy o Archivo/File, filtrado de URL trabajando en modo proxy transparente (no se requiere configuración alguna en los navegadores de los clientes), AntiSpam en modo proxy transparente e IPS en modo flujo, además debe disponer de protección contra amenazas de día cero, control de aplicaciones, mecanismos o reglas de prevención de fuga de datos y protección contra amenazas persistentes avanzadas. Soporte mínimo de 100 reglas predefinidas de prevención de fuga de información o 100 firmas personalizadas de prevención de Fuga de información. Soporte de implementación de políticas de seguridad en capa de aplicación (capa 7), también conocidos como Proxies de Aplicación o Control de Aplicación. Se deben incluir políticas de seguridad en capa de aplicación pre-configuradas para el soporte de los siguientes protocolos comunes: HTTP, HTTPS, POP3, SMTP, FTP, DNS, SIP y H323. Se debe soportar IPV4/IPV6. Se deberá incluir en las políticas de Firewall el control de usuarios, interactuando con servidores RADIUS, Secure ID, LDAP y Active Directory Se debe soportar autenticación transparente hacia servidores Active Directory (Single Sign-On). No debe haber límites en cantidad de usuarios conectados. Soporte de servicio Dynamic DNS en caso de ser configurado con dirección IP dinámica. El equipo debe tener defensas contra ataques fragmentados. Para esto debe ser capaz de re ensamblar paquetes fragmentados antes de pasarlos a la red interna. Se debe permitir la configuración de umbrales para la detección de ataques de inundación (flood) y denegación de servicio (DoS). Se debe soportar detección de anomalías de protocolo (Protocol Anomaly Detection– PAD) para DNS y otros protocolos comunes. Todas las funcionalidades del firewall UTM deben de estar licenciadas. Soporte de VPN El throughput de VPN IPSEC de 6 Gbps. Soporte de VPN’ s Móviles (Usuario – Equipo). Debe soportar 1,000 VPN´s Móviles usando protocolo IPSec, si se requiere licenciamiento adicional este ya deberá estar incluido en la propuesta de la solución. 44 Debe soportar 1,000 VPN´s Móviles concurrentes usando protocolo SSL, si se requiere licenciamiento adicional este ya deberá estar incluido en la propuesta de la solución. Capacidad de descargar el software de cliente SSL desde el firewall. Disponibilidad de SW de cliente SSL para Windows XP, Windows Vista, Windows 7/8; y MAC OS. Soporte de VPN´s entre oficinas (Equipo – Equipo). Debe soportar al menos 2,000 VPN´s entre oficinas usando protocolo IPSec. El appliance deberá poder interactuar con cualquier otro producto de otra marca que tenga soporte de IPSec estándar. Debe permitir VPN´s con clientes en S.O. Android y IOS Mecanismos de encriptación soportados DES, 3DES, AES 128-, 192-, 256-bit Mecanismos de autenticación soportada SHA-1, SHA2-256, MD5, IKE Pre-Shared Key, 3rd Party Cert. Dead Peer Detection (DPD) u otra funcionalidad para detectar el peer remoto cuando no es alcanzable, falle o esté inoperativo. Soporte para VPN Failover (re-establecimiento de la VPN sobre el segundo enlace en caso de fallas del enlace principal) El throughput de VPN IPSEC de 6 Gbps. Debe integrar un doble nivel de seguridad mediante sistemas de terceros o propietarios (se proveerá todo lo necesario en hardware y/o Software para el establecimiento de 50 usuarios como mínimo en la VPN). Filtrado de contenido Web Deberá tener un mínimo de 70 categorías. Capacidad de soportar funcionalidad de Filtrado de contenido en la misma caja vía suscripción adicional, la cual deberá estar incluida en la presente propuesta. El filtrado de contenido deberá incluir la opción de Filtrado por Categorías. Esta opción de Filtrado deberá ser configurable por grupos de usuarios. Debe permitir establecer excepciones para el filtrado de contenido. Debe permitir crear políticas diferenciadas por usuarios, grupos, dominios y según horas del día. Deberá contar con un servicio de reputación en la nube (Internet) que permita bloquear el acceso a Websites que contengan contenido malicioso aun cuando no se haya definido un bloqueo por categoría o por listas negras. Gateway Antivirus Capacidad mínima de throughput basada en proxy o archivo de 4 Gbps Capacidad de soportar funcionalidad de Anti-virus en la misma caja vía suscripción adicional, la cual deberá estar incluida en la presente propuesta. La actualización del Antivirus deberá ser programable y automática; aunque también debe poder realizarse en forma manual. El Antivirus debe tener servicios de cuarentena. El Antivirus debe soportar configuración de patrones para permitir filtrado de contenidos. 45 Soporte de bloqueo de Spyware. Escaneo de archivos comprimidos (.zip, .tar) Soporte para los principales protocolos: HTTP, FTP, SMTP y POP3 Anti Spam Capacidad de soportar Anti-spam vía suscripción adicional desde la misma caja. Debe estar incluido, licenciado y habilitado. La capacidad AntiSpam deberá poder consultar una base de datos donde se revise por lo menos dirección IP del emisor del mensaje, URL’s contenidos dentro del mensaje y checksum del mensaje, como mecanismos para detección de SPAM. Capacidad para soportar escaneo de spam en modo transparente de 1000 buzones como mínimo. El Antispam deberá tener servicio de cuarentena activado. Se debe considerar 1 TB de almacenamiento total como mínimo. El Antispam debe integrar antivirus en el análisis de spam (detección de epidemias de virus). El Antispam debe permitir bloquear spam en múltiples idiomas. Capacidad de bloquear spam basado en imágenes además de spam basado en texto. En caso de que el UTM no soporte alguna de las funcionalidades antes descritas en esta sección, se deberá considerar al menos un (01) appliance para tal fin considerando que debe proteger al menos 1000 buzones de correos. El equipo debe tener la posibilidad de filtrar contenidos dentro de los protocolos más comunes. Como por ejemplo, se debe poder filtrar por tipo de contenido MIME la información que puede ser desplegada vía HTTP. El equipo debe proteger a servidores de correo electrónico internos contra Relay abierto o spam Relay. Se deben poder configurar en el equipo los dominios para los que acepte el correo electrónico. Servicio de Prevención de Intrusiones (IPS) Capacidad mínima de throughput de 6 Gbps Capacidad de soportar funcionalidad de IPS en la misma caja vía suscripción adicional. Con licencia activada para prevenir ataques a nivel de segmentos de VLAN’s entre las DMZ´y LAN’s de SIS. La actualización del IPS deberá ser programable y automática; aunque también debe poder realizarse en forma manual. El IPS deberá realizar análisis en capa de aplicación, así también definir el nivel de severidad de dicho ataque a fin de generar alarmas remotas. Bloqueo automático de fuentes conocidas de ataques Soporte para los principales protocolos: HTTP, FTP, SMTP y POP3 Se debe incluir protección contra amenazas avanzadas y persistentes (Advanced Persistent Threats), incluyendo Protección contra botnets. El servicio de IPS se habilitará sólo en segmentos de Red internos usando VLAN’s cuyos servicios deben ser monitoreados antes de aplicarse acciones de bloqueo. Control de Aplicaciones 46 Deberá tener un control detallado como mínimo de 1,500 aplicaciones organizadas por categorías. Deberá contar con firmas y el análisis sofisticado de comportamientos para identificar las aplicaciones que intentan ingresar a su red, independientemente de la dirección de destino o el protocolo L7; esto incluye las aplicaciones encriptados, diseñadas específicamente para eludir medidas de seguridad comunes. Deberá establecer políticas de uso aceptables para usuarios y grupos por categoría, aplicación y sub-función de las aplicaciones para lograr la máxima flexibilidad. Deberá bloquear el uso de aplicaciones como YouTube, MSN Messenger, Skype y P2P. Podrá habilitar el acceso a Facebook, Twitter y a otros sitios de redes sociales. Deberá poder habilitar Windows Live Messenger para mensajería instantánea, pero no habilitar la transmisión de archivos. Deberá limitar el uso de aplicaciones de streaming media en horarios específicos. Deberá contar con herramientas de visibilidad, tanto en tiempo real como histórica, de lo que se está evaluando en su red para generar un informe sobre el uso de las aplicaciones. Esta información podrá ser utilizada para demostrar el cumplimiento, evaluar la necesidad del usuario y perfeccionar las políticas de uso aceptables. Soporte para filtrado de aplicaciones de mensajería instantánea (MSN, Yahoo, Skype, etc.) y P2P (Gnutella, Ed2K, Kazaa, etc.) a nivel de capa de aplicación y no de puertos. Deberá soportar la inspección del trafico SSL. Capacidades de Networking y Alta Disponibilidad Número de interfaces: Catorce (14) interfaces 10/100/1000 BaseT. Estas interfaces deben ser configurables como cualquiera de los tres tipos de zonas de seguridad (externa, privada o DMZ) Soporte de ECMP (Equal Cost Multi-Path) o mecanismo MultiWAN con la finalidad de utilizar balanceo de enlace por failover o umbral de tráfico sobre las rutas o interfaces. Deberá dar soporte para NAT y PAT. Soportar balanceo de cargas para servidores internos Soporte de: NAT estático (Port Forwarding), NAT dinámico, NAT One-to-One, IPSec NAT Traversal y NAT basado en políticas Soporte de VLAN´s: Deben soportar 100 VLAN´s. Soporte para agregación de puertos 802.3ad dinámico, estático y active/backup El appliance deberá proveer control de ancho de banda por políticas que permita integrar usuarios, grupos de usuarios y protocolos. Debe presentar la utilización del ancho de banda utilizado por interfaces. En modalidad Router/NAT deberá tener soporte para Static Route, Dynamic Route (RIP), NAT 1-to-1. Soporte de alta disponibilidad activo/pasivo y activo/activo. 47 Soporte para enrutamiento basado en políticas (Policy Based Routing). Esto permite escoger por qué interfaz externa será enviado el tráfico en base a parámetros provistos por el administrador. Soporte Cluster Activo-Activo Capacidad Inalámbrica El Firewall debe soportar como controlador para la gestión, configuración y seguimiento de eventos de Access Point del mismo fabricante u otro cuya compatibilidad, este certificada. Debe estar incluido, licenciado y habilitado. Se debe controlar hasta 50 Access Point y debe configuración de Portal Cautivo y HotSpot Se debe disponer de todas las licencias para inscribir los Access Point. Soporte de autenticación 802.1X para cada Access Point. Soporte de MAC filtering y reporte de clientes. Soporte de VLAN Tagging. PUNTOS DE ACCESO (AP) Access Point de clasificación Indoor con tres (03) años de garantía Cantidad requerida: 18 unidades Marca Modelo Administrable a través del Firewall Controlador mencionado en la sección anterior. Cada AP debe contar con su arreglo de antenas de manera interna. Cada AP debe trabajar en banda dual 2,4Ghz y 5Ghz, hasta dos (02) radios en un mismo equipo. Cada AP debe soportar IEEE 802.11a/b/g/n, 802.11i, 803.3 af/at, 802.1Q. Cada AP debe contar con capacidad 2x2 MIMO. Cada AP debe tener capacidad de hasta 10 SSID por radio. Cada AP debe soportar una transmisión de datos de hasta 600 Mps Cada AP debe disponer de una potencia de Transmisión de 20 dBm Cada AP debe permitir PoE+ 802.3at.(25.5 W) Cada AP debe soportar hasta 50 usuarios Cada AP debe incluir un accesorio de montaje en pared o techo, superficies planas. La solución Puntos de Acceso ofertada no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. SISTEMA DE ADMINISTRACION CENTRALIZADA DE FIREWALL Cantidad requerida: 01 unidad 48 El Sistema de administración centralizada de los appliances UTM deberá integrarse a través de una interfaz de administración gráfica en tiempo real. El Sistema de administración centralizada deberá monitorear y desconectar en tiempo real los usuarios internos o externos de los equipos de seguridad desde la consola de administración principal sin necesidad de políticas de seguridad. Debe permitir el envío de alarmas del equipo a través del protocolo SNMP V2 / V3 o email. Deberá permitir la gestión de múltiples equipos simultáneamente. Deberá permitir la centralización de configuración y monitoreo de todos los dispositivos de seguridad UTM. Así como todas sus funciones de protección de red. Deberá permitir la creación de VPN´s entre equipos de manera dinámica. Permitir la edición de políticas de seguridad de manera gráfica. Soporte para múltiples operadores y administradores. Soporte de roles distintos, permitiendo la creación según la necesidad del administrador de seguridad. Posibilidad de administrar el firmware de los dispositivos de seguridad, permitiendo programar y aplicar actualizaciones de sistema operativo de forma desatendida a un equipo o grupo de equipos administrados por la consola, reduciendo tiempos de operación y administración del personal que administra los equipos de seguridad. Deberá contar con un almacenamiento interno mínimo de un (01) TB efectivo con configuración al menos en RAID-1 (discos en espejo). La solución deberá ser montada en un Rack de 19”. Deberá disponer de dos (02) interfaces 10/100/1000 RJ45. El Sistema de Administración Centralizada de Firewall ofertado, no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de la propuesta. En caso que el sistema de Administración sea formato Servidor debe contar con las siguientes características mínimas: Memoria: 64 GB de memoria RAM instalada en bancos de DDR-4 a 2133Mhz Soporte Crecimiento Al menos 768 GB de memoria Al menos 24 bancos de memoria DDR4 Almacenamiento interno: Dos (2) discos internos de 200 GB efectivo como mínimo en RAID 1 para el S.O. SAS de 2.5” de altura a 15Krpm Una capacidad de un (01) TB efectiva como mínimo en RAID 5 para data SAS de 2.5” de altura 10Krpm Soporte al menos 24 discos internos Soporte crecimiento en discos interno al menos 24TB Soporte de al menos dos SD Card como mínimo de 32 GB 49 Controlador Raid: Tarjeta Controladora interna con soporte a RAID 0, 1, 5, 6, 10, 50, and 60 Conexión LAN / SAN: 4 puertos de 1 Gigabit Tarjeta de FC Dual 8 GB para conectar con equipo de Almacenamiento de propiedad del SIS Marca: NETAPP y Modelo: FAS2240-2. Se deberá mostrar matriz de compatibilidad. Se debe incluir los cables necesarios. Soporte de tarjeta virtualizadora dual port 10GBase-T Capacidad de Virtualizar hasta 256 dispositivos PCIe DVD: Multibunner interna o externa Fuente de Poder: Redundante 650W – Hot plug como mínimo Sistemas Operativos Soportados: Microsoft Windows Server Red Hat Enterprise Linux VMware Slots de expansión: Seis (06) slots PCIe Gen 3 como mínimo. Licencia: Una (01) Licencia, Windows Server Enterprise 2008 o superior OLP NL Gobierno; o Linux Con soporte por tres (03) años según corresponda. Garantía: Tres (03) años de partes y mano de obra 7x24 con cuatro (04) horas de tiempo de respuesta. Administración: Puerto de consola para la configuración, monitoreo y administración remota del servidor. Mantenimiento: Mínimo un (01) mantenimiento preventivo de limpieza interna al finalizar cada año durante el periodo de la garantía propuesta SISTEMA DE REGISTRO DE EVENTOS Y REPORTES PARA FIREWALL Cantidad requerida: 01 unidad El Sistema de registro de eventos y reportes; deberán ser implementados en la sede central del SIS. El Sistema de registro de eventos/reportes a proporcionar deberán ser basado en appliance o en caso contrario, software del mismo fabricante del UTM sobre un servidor con S.O. Windows o Linux, con todas las características, soporte y componentes necesarios para su completa operación. En caso de ser software se deberá proveer del servidor HW adecuado necesario para este fin con todas las licencias necesarias incluido el S.O. Dicho HW deberá cumplir con los requisitos mínimos especificados por el fabricante de la Solución de Seguridad y la marca y modelo de dicho servidor deberá figurar como soportado por el fabricante del software, y deberá tener el formato RACK para poder ser montado en un gabinete. Se deberá considerar un appliance o sistema para administración y otro appliance o sistema para registro de eventos y reportes. Sistemas separados en HW. El Sistema de administración centralizada, y el Sistema de registro de eventos y reportes deberá poder gestionar, registrar los eventos y generar reportes de todos los equipos incluidos en la presente propuesta. 50 El Sistema de registro de eventos y reportes deberá contar con un almacenamiento interno no menor de dos (02) TB disponible con configuración al menos en RAID-1 (discos en espejo). La solución deberá ser montada en un Rack de 19’’; incluidos los servidores si fuera el caso. Cada sistema o appliance deberá disponer de 2 interfaces 10/100/1000 RJ45. En caso que el sistema de Registro de Eventos y Reportes para Firewall sea formato Servidor debe contar con las siguientes características mínimas: Memoria: 64 GB de memoria RAM instalada en bancos de DDR-4 a 2133Mhz Soporte Crecimiento Al menos 768 GB de memoria Al menos 24 bancos de memoria DDR4 Almacenamiento interno: Dos (2) discos internos de 200 GB efectivo como mínimo en RAID 1 para el S.O. SAS de 2.5” de altura a 15Krpm Una capacidad de un (01) TB efectiva como mínimo en RAID 5 para data SAS de 2.5” de altura 10Krpm Soporte al menos 24 discos internos Soporte crecimiento en discos interno al menos 24TB Soporte de al menos dos SD Card como mínimo de 32 GB Controlador Raid: Tarjeta Controladora interna con soporte a RAID 0, 1, 5, 6, 10, 50, and 60 Conexión LAN / SAN: 4 puertos de 1 Gigabit Tarjeta de FC Dual 8 GB para conectar con equipo de Almacenamiento de propiedad del SIS Marca: NETAPP y Modelo: FAS2240-2. Se deberá mostrar matriz de compatibilidad. Se debe incluir los cables necesarios. Soporte de tarjeta virtualizadora dual port 10GBase-T Capacidad de Virtualizar hasta 256 dispositivos PCIe DVD: Multibunner interna o externa Fuente de Poder: Redundante 650W – Hot plug como mínimo Sistemas Operativos Soportados: Microsoft Windows Server Red Hat Enterprise Linux VMware Slots de expansión: Seis (06) slots PCIe Gen 3 como mínimo. Licencia: Una (01) Licencia, Windows Server Enterprise 2008 o superior OLP NL Gobierno; o Linux Con soporte por tres (03) años según corresponda. Garantía: Tres (03) años de partes y mano de obra 7x24 con cuatro (04) horas de tiempo de respuesta. Administración: Puerto de consola para la configuración, monitoreo y administración remota del servidor. Mantenimiento: Mínimo un (01) mantenimiento preventivo de limpieza interna al finalizar cada año durante el periodo de la garantía propuesta Registro de Eventos y Reportes (Registros) 51 La solución ofertada debe permitir la implementación de un servidor de Registros externos o Appliance con la finalidad de centralizar el almacenamiento de Registros. El servicio de Registros debe ser basado en TCP y utilizar basado en SQL como: MySQL, MS-SQL, PostgreSQL u otros - a fin de garantizar la escalabilidad y protección de registros. Deben poderse definir múltiples servidores de Registros o definir instancias de registros independientemente para cada firewall central y remoto. La transmisión de registros debe hacerse de manera encriptada. Se deben soportar reportes que combinen múltiples registros y múltiples servidores o instancias de registros. Debe soportar reportes mínimos como: Consumo de tráfico o ancho de banda por políticas e interfaces, Reporte de ataques y amenazas Análisis de Amenazas, Consumo de Navegación Web Filtering por usuario, dominio e IP, Reporte de Actividad del Uso de Web Filtering, Reporte del DLP, Reporte de Antispam. Se deben soportar como mínimo, reportes con 50 registros o salidas, permitiendo la programación de envió vía mail en horario y recurrencia Se debe poder configurar alertas vía email o consola cuando exceda el tamaño máximo definido para la base de datos de registros. Se debe permitir generar reportes en formatos PDF y HTML. Se deben incluir plantillas de reportes de manera de facilitar la creación de reportes. Se debe poder automatizar la generación de reportes. Se debe ofrecer un portal web para la visualización de reportes. Deberá contar con un almacenamiento interno no menor de dos (02) TB efectivos con configuración al menos en RAID-1 (discos en espejo). Debe soportar el procesar un ratio de 2 GB de registros al día. Deberá disponer de dos (02) interfaces 10/100/1000 RJ45. La solución deberá ser montada en un Rack de 19”. En caso de ser un servidor sus especificaciones técnicas deben de exceder lo recomendado por el fabricante. El Sistema de Registro de Eventos y Reportes para Firewall ofertado, no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. SISTEMA DE PREVENCION CONTRA INTRUSOS Cantidad requerida: 01 unidad Marca Modelo Funcionalidades del IPS 52 La solución IPS debe basarse en software y hardware basado en appliance y del mismo fabricante, el cual tenga la capacidad de realizar el monitoreo y prevención de manera transparente para los usuarios y servicios. La solución IPS debe ser de propósito específico, dedicado, único para la Prevención de Intrusos, permitiendo aplicar mecanismos o reglas para protección con ataques de Denegación de Servicios Distribuidos y Malware. La solución de IPS no deberá ser de equipos reciclados, reensamblados o reacondicionados, tampoco se aceptarán aquellos que tengan la denominación “re-furbished”, “remarketing” o su equivalente comercial. Adjuntar carta del fabricante indicando lo solicitado. Solución de IPS debe permitir la protección de los servicios públicos del SIS, a través de dos enlaces de perímetro con dos proveedores de servicio de internet. Se requiere de un (01) equipo en formato appliance capaz de soportar mecanismo de alta disponibilidad en modo Cluster Activo-Activo. La solución debe implementarse y operar en la capa 2 del modelo de OSI, por lo que las interfaces de monitoreo no requieren de una dirección IP, ni MAC, deberá comportarse como un cable. La solución IPS deberá contar con actualización de firmas mediante un archivo de actualización y/o de manera automática. La solución IPS debe ser de última generación en formato de 1 UR como mínimo (Unidad de Rack) dedicado para la prevención de intrusiones y control de tráfico malicioso. La solución IPS debe ser capaz de inspeccionar el tráfico asociado como mínimo en tres (segmentos) distintos de redes diferentes. La solución IPS debe incluir un mecanismo de bypass interno, integrado al sistema IPS en la totalidad de los puertos y/o segmentos utilizados. El monitoreo de los servicios debe ser transparente para los usuarios y la solución IPS debe operar en la capa 2 del modelo de OSI, por lo que las interfaces no requieren de una dirección IP ni una dirección MAC. La solución IPS podrá configurarse en modo transparente; es decir, de detección en línea, pero sin bloquear tráfico. El sistema sólo alerta que eventos serían bloqueados. La solución IPS debe disponer de fuente de poder AC redundante interna. Las dos fuentes deben ser hot swappable, Mínimo 02 fuentes internas. Actualización periódica de las funcionalidades presentes en la solución propuesta por tres (03) años. Capacidades de Networking y Alta Disponibilidad La solución IPS debe disponer de un Throughput mínimo de 600 Mbps. La solución IPS debe soportar como mínimo un crecimiento de hasta 80% más de su Throughput con sólo activación de licencia. La solución IPS debe disponer de un Mínimo 200,000 Sesiones concurrentes 53 Interfaces de monitoreo y análisis: Mínimo seis (06) puertos Ethernet 10/100/1000 BaseTX, RJ45 o Mínimo tres (3) segmentos Latencia de Inspección no debe exceder los 100µs. Alta disponibilidad Modos de configuración en Clúster ActivoActivo. Bypass Interno incorporado para todos los segmentos y/o puertos, Ethernet 10/100/1000 BaseTX, RJ45. El IPS opcionalmente podrá aplicar la capacidad virtual appliance bajo el criterio de asignar procesador y memoria a cada contexto virtual. El proveedor deberá indicar sustento debido, con manuales y carta de fabricante. Seguridad y Políticas Capacidad de soportar combinación de las modalidades IDS (pasivo) e IPS (en línea) dentro del mismo equipo funcionando a la vez, donde permita cambiar fácilmente del modo de prevención a detección de intrusos para no congestionar la red. Soportar funcionamiento pasivo como un IDS (sistema de detección de intrusos), con alertas de ataque, tráfico malicioso o no deseado, sin interferir con el tráfico. Capacidad de crear reglas o políticas independientes por cada segmento de red, cada interface o zona de seguridad definida. Capacidad de analizar y crear reglas en ambas direcciones de tráfico. Debe realizar inspección bidireccional. Capacidad de analizar el comportamiento de tráfico o de red y permitir aplicar reglas de manera manual o automática. Capacidad de aplicar reglas de manera manual o automática de acuerdo a los eventos. Así mismo, la solución IPS debe disponer de un proceso de validación manual antes de aplicar o crear de manera automatizada una regla. Capacidad mínima de soportar protección contra ataques del tipo: Cross-Site Scrtiping y SQL Injections, DDoS, DoS, IP fragmentation, Low-and-slow, exploit; Spam; Code Injections, Remote Code Execution, Modified Packet. Modified SMB/MSRPC, Malware y Spyware. Capacidad mínima de usar técnicas de detección de ataques como: Firmas o patrones de ataques y vulnerabilidades, Directory Traversals, Data File Análisis, Scan y Reconnaissance, RFC Compliance Checking, Protocol Anomaly Detection, Protocol Validation, TCP Retransmissions, Fragmented Packect. Capacidad mínima de Protección de Aplicaciones Web, Mail servers, FTP servers, vulnerabilidades DNS, SIP, SNMP, Vulnerabilidades Microsoft, Protocolos LAN, RPC, NetBios, Telnet. Capacidad mínima de disponer de mecanismos o reglas de denegación de Servicios mínimas como: Port Scan, SYN flood, TCP y UDP flood, Rate-based para los servicios públicos. Capacidad de identificar, detectar y registrar anomalías de Ataques de Denegación de servicio, Malware y amenazas Zero-day. Capacidad de soportar el bloqueo dinámico de intrusos pudiendo bloquear el tráfico del ataque a partir de la dirección IP y puerto del atacante, dirección IP y puerto del atacado o una combinación de ambos por un período específico de tiempo o permanentemente a partir de un ataque detectado. 54 Permitir acciones de bloqueo y/o alerta, como mínimo descarte de paquete y sesión (drop), reset de la conexión, ignorar y solo registrar. Opcionalmente capacidad de soportar ataques de DDoS basados en DNS , HTTP y NTP Gestión, Administración y Monitoreo La solución IPS debe contar con funcionalidades de administración y monitoreo, parar ello debe contar con un (01) puerto de administración Ethernet RJ45, adicional a las interfaces de análisis solicitadas. Debe permitir la configuración y administración por web (https) y/o interfaz GUI. Debe soportar estadísticas de todo el tráfico en tiempo real a través de la interfaz gráfica de usuario (GUI). Debe integrar autentificación vía RADIUS. Debe disponer de protección de ataques man-in-the middle desde su consola de gestión, mediante la conexión segura a través de SSL. Debe soportar la configuración de usuarios administradores y de monitoreo para la interface de configuración en modo grafico (GUI). Debe soportar la clasificación de usuarios en grupos. Debe soportar el refuerzo de la longitud del password, expiración, y alerta de fecha de expiración. Debe soportar la configuración del número de intentos fallidos de login. Debe permitir envío de logs de eventos a servidores Syslog. Debe permitir envío de notificaciones vía SNMP y correo electrónico. El Sistema de Prevención Contra Intrusos ofertado, no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta SISTEMA DE CONTROL DE MONITOREO, LOG Y REPORTE IPS Cantidad requerida: 01 unidad Características La solución IPS debe soportarse e integrarse sobre un sistema de administración centralizada que permita controlar, configurar, monitorear, registrar y reportar todo evento y estadística producto del análisis de tráfico y de los eventos de seguridad del IPS. El sistema de control, monitoreo, log y reportes debe proveerse en formato Servidor o appliance con las siguientes características mínimas: Memoria: 64 GB de memoria RAM instalada en bancos de DDR-4 a 2133Mhz Soporte Crecimiento Al menos 768 GB de memoria Al menos 24 bancos de memoria DDR4 55 Almacenamiento interno: Dos (2) discos internos de 200 GB efectivo como mínimo en RAID 1 para el S.O. SAS de 2.5” de altura a 15Krpm Una capacidad de un (01) TB efectiva como mínimo en RAID 5 para data SAS de 2.5” de altura 10Krpm Soporte al menos 24 discos internos Soporte crecimiento en discos interno al menos 24TB Soporte de al menos dos SD Card como mínimo de 32 GB Controlador Raid: Tarjeta Controladora interna con soporte a RAID 0, 1, 5, 6, 10, 50, and 60 Conexión LAN / SAN: 4 puertos de 1 Gigabit Tarjeta de FC Dual 8 GB para conectar con equipo de Almacenamiento de propiedad del SIS Marca: NETAPP y Modelo: FAS2240-2. Se deberá mostrar matriz de compatibilidad. Se debe incluir los cables necesarios. Soporte de tarjeta virtualizadora dual port 10GBase-T Capacidad de Virtualizar hasta 256 dispositivos PCIe DVD: Multibunner interna o externa Fuente de Poder: Redundante 650W – Hot plug como mínimo Sistemas Operativos Soportados: Microsoft Windows Server Red Hat Enterprise Linux VMware Slots de expansión: Seis (06) slots PCIe Gen 3 como mínimo. Licencia: Una (01) Licencia, Windows Server Enterprise 2008 o superior OLP NL Gobierno; o Linux Con soporte por tres (03) años según corresponda. Garantía: Tres (03) años de partes y mano de obra 7x24 con cuatro (04) horas de tiempo de respuesta. Administración: Puerto de consola para la configuración, monitoreo y administración remota del servidor. Mantenimiento: Mínimo un (01) mantenimiento preventivo de limpieza interna al finalizar cada año durante el periodo de la garantía propuesta El sistema debe soportar la gestión mínima de dos (02) soluciones de IPS. El sistema debe visualizar e identificar conexiones bloqueadas, así como anomalías de protocolos que circulan por la red. El sistema debe Incluir funcionalidades de análisis y reportes. El sistema debe reportar todo el tráfico monitoreado en tiempo real, permitiendo revisar la utilización y flujo de cada segmento. El sistema debe proporcionar detalles acerca del tipo de tráfico y flujos. Todas las estadísticas deben ser en tiempo real. El sistema debe proporcionar la identificación de la fuente del ataque y visibilidad del servicio atacado. El sistema de monitoreo, registro y reportes debe proporcionar un análisis de seguridad de ataques directamente desde la GUI y vía Portal Web (HTTP). 56 El sistema de monitoreo, registro y reportes debe permitir revisar eventos de ataques directamente de la GUI o Portal Web (HTTP) con poca intervención manual. El Sistema de Control de Monitoreo, Log y Reporte IPS ofertado, no deberá encontrarse como “end-of-life” durante el periodo de la garantía; esto significa que deberá estar vigente para comercialización, fabricación y soporte, debiendo ser acreditado con información pública del fabricante y/o carta del fabricante, respaldando esta información. El periodo mínimo de vigencia tecnológica debe ser de cinco (05) años a partir de la presentación de propuesta. CAPACITACION La capacitación deberá ser impartida sólo para el personal del SIS con un mínimo de seis (06) personas en las instalaciones del Proveedor, o un centro autorizado de capacitación, donde deberá incluirse equipos para realizar pruebas de acuerdo a lo enseñado. El Horario deberá ser coordinado entre el SIS y el proveedor. Se debe incluir cursos del fabricante con su correspondiente examen para los temas: • Administración de Firewall. • Gestión del Sistema de Administración Centralizada para Firewalls. • Gestión del Sistema de Registro de Eventos y Reportes para Firewalls. • Administración del Sistema de Prevención Contra Intrusos. • Gestión del Sistema de Registro de Eventos y Reportes para IPS. Duración de las capacitaciones (adjuntar documentación pública de los cursos del fabricante): Para el conjunto de Administración de Firewall, Gestión del Sistema de Administración Centralizada para Firewalls y Gestión del Sistema de Registro de Eventos y Reportes para Firewalls debe brindarse 24 horas en total como mínimo. Para el conjunto de Administración del Sistema de Prevención Contra Intrusos, Gestión del Sistema de Registro de Eventos y Reportes para IPS debe brindarse 24 horas en total como mínimo. Se deberá entregar la documentación de capacitaciones en un CD y de manera impresa. todas las GARANTIA La propuesta deberá considerar una garantía para reemplazo de los componentes físicos defectuosos y para cambios a configuraciones defectuosas durante los tres (03) años posteriores a la entrega de los equipos en los almacenes del SIS. Debe cubrir los componentes físicos del sistema de almacenamiento y las funcionalidades y/o software incluido. La Garantía del Proveedor deberá de considerar: Firewalls UTM, Sistema de Prevención Contra Intrusos, Sistema Centralizado de Firewall-UTM, Access Points; Sistema de log y reportes de Firewall-UTM, Sistema de Control, monitoreo, log y reportes del IPS. 57 Cambio de componentes defectuosos sin costo durante tres (03) años y un tiempo de entrega por reemplazo de componentes, equipo o sistema defectuoso de por lo menos ocho (08) horas, luego aprobado el cambio. La garantía también incluye resolución de problemas por mal funcionamiento de la solución o cada componente de la solución, por nuevas implementaciones en situ, por errores de configuración, por fallas de firmware, upgrade/downgrade o software fallido o malo, debiéndose ejecutar por los responsables del soporte del proveedor. El postor deberá de presentar Carta de Garantía Avalada por el Fabricante. SOPORTE TECNICO El soporte deberá brindarse durante tres (03) años desde la implementación de la solución. Soporte Local Soporte de 24x7x365, con dos (02) horas de apertura y reconocimiento de caso; y ocho (08) horas de resolución de problemas, fallas y errores de configuración. Soporte en Idioma Español. En caso de caída o falla del equipo, el proveedor deberá contar con Firewalls UTM, Sistema de Prevención Contra Intrusos, Sistema Centralizado de Firewall-UTM, Sistema de log y reportes de Firewall-UTM, Sistema de Control, monitoreo, log y reportes del IPS que deberá reemplazar a los equipos dañados. El proceso de RMA no debe superar las ochos (08) horas desde que fue aprobado y no debe incurrir en costos para la institución. El equipo o equipos de RMA deben ser entregados en la Sede Central del SIS en Lima y configurados convenientemente. El servicio de soporte local requiere de dos Ingenieros certificados de la Marca de los Firewalls UTM y Sistema de Prevención Contra Intrusos. Se debe adjuntar copia de los certificados junto con la propuesta del postor. El servicio de soporte local debe emitir mensualmente los registros de eventos atendidos, así como también llevar una bitácora de registros sobre los eventos de soporte, durante el periodo que culmine el contrato. El Postor deberá contar o subcontratar al mismo representante de la marca, un Security Operation Center o SOC para la atención de los requerimientos post implementación del SIS. El postor deberá presentar e incluir como parte de su propuesta el procedimiento de escalamiento de soporte para garantizar la continuidad del servicio ofertado. Centros de Servicio – Prestaciones Accesorias que debe brindar el postor El Centro de Servicio debe incluir lo siguiente: Brindar servicio gestionado remoto, ilimitado, de los equipos propuestos, previa solicitud del SIS, por el plazo que dure el contrato. Brindar Servicio de Soporte Correctivo, solicitado por el SIS, ante cualquier tipo de incidente que altere el buen funcionamiento de los equipos. De ser necesario, será Centro de Servicio quien eleve el caso al Soporte del fabricante. 58 Brindar monitoreo de las plataformas en línea a través del Centro de Servicio 24x7x365, en el cual se indica el estado de la plataforma. El Centro de Servicio debe contar con una herramienta Online disponible 24x7 para la atención de solicitudes por parte del personal del SIS. El centro de servicios deberá responder y atender directamente la solicitud en la primera comunicación. El tiempo de resolución de un incidente que afecte la disponibilidad del servicio de cualquier sistema y/o equipo de la solución no debe ser mayor a dos (02) horas. El tiempo de resolución de un ticket por cambio de configuración u otro que no afecte el servicio de SIS, no debe ser mayor a ocho (08) horas. El Centro de Servicio debe entregar reportes una vez por mes o a petición del SIS. Todos los tickets o llamadas telefónicas deben estar registrados en la herramienta Online. El SIS podrá ingresar a ver el estado de atención de un ticket hasta su resolución. Soporte del Fabricante Periodo de cobertura de tres (03) tres años para todos los componentes, tanto en los dispositivos, equipos y el sistema operativo de los equipos. Soporte de 24x7x365, con cuatro (04) horas de apertura y reconocimiento de caso. Soporte en Idioma Español. Este soporte es Independiente del soporte local. Otros a considerar: - Número ilimitado de apertura de casos al año. Soporte vía web y teléfono. - Instalación de parches de software y upgrades. Acceso a documentación técnica. - Uso del Return Merchandise Authorization (RMA). - El fabricante debe efectuar el diagnóstico previo para autorizar la ejecución del sistema RMA y el consecuente reemplazo. Será responsabilidad del proveedor, gestionar la ejecución y cumplimiento del RMA con el fabricante. - Considerar que la entrega del hardware aprobado por RMA, será en la sede central del SIS. ASESORIA ESPECIALIZADA IN SITU O REMOTO El servicio de soporte del proveedor, deberá incluir asesoría para cambios en la configuración inicial implementada o en producción. El proveedor deberá incorporarse a las reuniones que el SIS demande. MANTENIMIENTO El mantenimiento debe brindarse durante los tres (03) años desde la implementación del servicio Mantenimiento Preventivo El servicio de Mantenimiento Preventivo deberá ser brindado por el representante de la marca. La propuesta deberá incluir dos (02) mantenimientos preventivos anuales durante tres (03) años, a partir de la implementación de la solución. 59 El mantenimiento preventivo considerará la revisión y prueba de los componentes de la presente solución. Las pruebas a realizar deberán incluir una prueba de la operatividad de toda la solución con la finalidad de confirmar que los equipos y la configuración se encuentran operando en los rangos esperados. Se dará tanto a nivel físico como lógico a todos los componentes de la solución excepto el rack o gabinete. El postor presentará un detalle de las labores que realizará en cada mantenimiento y entregará un informe al final de cada mantenimiento, realizando además las labores correctivas que sean necesarias. La fecha y hora serán acordadas con OGTI del SIS a fin de minimizar su impacto Mantenimiento Correctivo La propuesta deberá considerar la atención y corrección de incidencias reportadas por el SIS para los elementos de la presente solución. Este servicio deberá brindarse a solicitud del SIS con la modalidad 24x7 (24 horas diarias, 7 días a la semana), y considerando un tiempo máximo de respuesta de dos (02) horas para criticidad alta. [CONSIGNAR CIUDAD Y FECHA] ……….......................................................... Firma, Nombres y Apellidos del postor o Representante legal o común, según corresponda 60 Anexo 6 DECLARACIÓN JURADA DE PLAZO DE ENTREGA ADQUISICION E IMPLEMENTACION DE SOLUCION DE SEGURIDAD PERIMETRAL Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS – PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) De nuestra consideración, Mediante el presente, con pleno conocimiento de las condiciones que se exigen en las Bases Administrativas del proceso de la referencia, me comprometo a entregar los bienes objeto del presente proceso de selección en el plazo de: [CONSIGNAR EL PLAZO OFERTADO, EL CUAL DEBE SER EXPRESADO EN DÍAS CALENDARIO] días calendario, contados a partir del día siguiente de suscrito el contrato. [CONSIGNAR CIUDAD Y FECHA] …….......................................................... Firma, Nombres y Apellidos del postor o Representante legal o común, según corresponda 61 Anexo 7 EXPERIENCIA DEL POSTOR Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS – PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) Mediante el presente, el suscrito detalla la siguiente EXPERIENCIA DEL POSTOR: Nº CLIENTE OBJETO DEL CONTRATO N° CONTRATO / TIPO DE MONTO O/C / FECHA MONEDA IMPORTE CAMBIO FACTURADO COMPROBANT VENTA ACUMULADO E DE PAGO 1 2 3 4 5 6 7 8 9 1 0 TOTAL [CONSIGNAR CIUDAD Y FECHA] …….......................................................... Firma, Nombres y Apellidos del postor o Representante legal o común, según corresponda 62 Anexo 8 CUMPLIMIENTO DE LA PRESTACION Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS – PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) Mediante el presente, el suscrito detalla las siguientes prestaciones: Nº FECHA CLIENTE OBJETO DEL CONTRATO N° CONTRATO / O/C / COMPROBANTE DE PAGO 1 2 3 4 5 6 7 8 9 10 [CONSIGNAR CIUDAD Y FECHA] …….......................................................... Firma, Nombres y Apellidos del postor o Representante legal o común, según corresponda 63 ANEXO 9 MEJORAS TECNICAS Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS – PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) De nuestra consideración, Es grato dirigirme a usted, para hacer de su conocimiento que, de acuerdo a las bases, las mejoras técnicas ofertadas son: CRITERIO Características Técnicas MEJORA TECNICA OFERTADO # DE FOLIO DONDE SE EVIDENCIA MEJORA 1: THROUGHPUT DE ANTIVIRUS BASADO EN PROXY MEJORA 2: THROUGHPUT DE IPS MEJORA 3: FILTRADO DE CONTENIDO WEB MEJORA 4: CONTOL DE APLICACIONES Certificaciones MEJORA 1: CERTIFICACION DEL POSTOR Capacitaciones MEJORA 2: CERTIFICACIONES DEL EQUIPO TECNICO MEJORA 1: CAPACITACION EN NORMA ISO [CONSIGNAR CIUDAD Y FECHA] ……….......................................................... Firma, Nombres y Apellidos del postor o Representante legal o común, según corresponda 64 ANEXO 10 DETALLE DE LA PROPUESTA ECONÓMICA Señores Programa de Apoyo a la Política de Aseguramiento Universal en Salud en el Perú, a través del SIS – PROGRAMA SISTEC Presente.REF.: Concurso N° 014-2015 PER1001711 (PER 152) De nuestra consideración, Es grato dirigirme a usted, para hacer de su conocimiento que, de acuerdo con el valor referencial del presente proceso de selección y los Términos de Referencia, el detalle mi propuesta económica: CANTIDAD REFERENCIAL CONCEPTOS SUBTOTAL IMPUESTOS (IGV) MONTO TOTAL DE LA PROPUESTA ECONÓMICA La propuesta económica incluye todos los tributos, seguros, transportes, inspecciones, pruebas, y de ser el caso, los costos laborales conforme a la legislación vigente, así como cualquier otro concepto que le sea aplicable y que pueda tener incidencia sobre el costo del servicio a contratar, excepto la de aquellos postores que gocen de exoneraciones legales. La propuesta económica tiene una vigencia de hasta 60 días útiles [CONSIGNAR CIUDAD Y FECHA] ……….......................................................... Firma, Nombres y Apellidos del postor o Representante legal o común, según corresponda 65