AUTORIDAD NACIONAL DEL SERVICIO CIVIL T A.GRE.FR.03...

"Decenio de las Personas con Discapacidad en el Perú" "Año de la Promoción de la Industria Responsable y del Compromiso Climático"

AUTORIDAD NACIONAL DEL SERVICIO CIVIL

T A.GRE.FR.03 Especificación Técnica 0792014

Adquisición de Equipamiento para Control de Amenazas .$'~

o o '~'\ nformáticas de Última Generación ara la Autoridad Nacional del Servicio Civil

Autoridad Nacional del Servicio Civil - SERVIR

Oficina General de Administración y Finanzas Subjefatura de Tecnologías de la Información

Noviembre 2014


Contenido

1,_ ANTECEDENTES ..•.•.•••••••.•..••••••.•.•.•.••••••••.•.•.•••••••••.••••••••.•.•••••.•.••••.•.••.•..••.•.•••••.•.•.••••.••.•.••••••••..•.••••.••••.••••• 2

b FINALIDAD PÚBLICA •.•••••••.••.•.•••••••••.•••••••••••••.••••••.•.••.•.•••.•.•.•••••••••••••••••••••..•..•••••.•.••••••••.••.••••••••.••••••••..••.• 2

3. OBJETIVOS •.••••••••••••.••.••••••.••.•••••••.•••••••••••••.•.•••••••••••.••••••••••.•.••••.•.•.•..•••••.•••.•••••.••••.••••••.•.••.•••.••.•.••••.•.••.•••• 2

3.1 Objetivo general del proyecto ............................................................................................ 2 3.2 Objetivos Específicos del Servicio ....................................................................................... 2

ALCANCE ••••••••.•.•••.••••..•••.•.•••••.•.•.•.•••••••..•.••••••.•.•••••••••.•.•••••••••••.•••••••••..•.••.••••.••••.•••••••••.•.••••••.••••••.••.•••••••••• 3

DESCRIPCIÓN DE LA ADQUISICIÓN ........................................................... : ............................................... 8

ORGANIZACIÓN DEL PROYECT0 •••.•.••.•••••.••••.•.•••••••.•.••••••••••.•••••••..•.••••••••••.•..•••••.••.••••.•••••.•••••.•••.•••••••..•. 11

6.1 Objetivo ............................................................................................................................ 11 6.2 Gerencia del proyecto ...................................................................................................... 11 6.3 Marco normativo del proyecto ............................................................................................... 11

7. ENTREGABLES •••••.•.••..•••••..•.•••••••••••••••••••••••.•••••••.•••..•••••••.•.•.••••••••.••.•••••••••.••.•••••.•.•••••••••••••••••.••.••••••••.•••• 12

8. RESTRICCIONES .••.•••••••••.•..•••••••••••••••••••••.•.•••••••••.•••..•••••.•.•.•.••••••.•.••••••••••••.••.•••••.•••••••.•.••••••••..••••••••.•.••••• 13

9. ASUNCIONES Y EXCLUSIONES ••.••••••••.•.•••••••••.•.•..•••••••••.•.••••••••.••••.•••••••.••.•••••.•.•••••••.•.••.••••••.•.••••••.••••• 14

10. PACTO DE CONFIDENCIALIDAD •••.•••••.•••.•••••••.•••..•••••••••.•.••••••••.•.•••••••.•.••.•••••••••.••••••.••••••••.••.•••••.••••.••• 14

11. PROPIEDAD INTELECTUAL DE LOS PRODUCTOS •••••••.•..•••••••••.•..•.••••••..•..•••••.•.•••••••.•.•••••••••.•.••••••.•.•••• 14

12. TRANSFERENCIA TECNOLÓGICA •••••••.••••.••••••••••..••••••••••••••••••.•.•.•••••••••.•••••••.•.••.•••••..••••••••••.•.••••.•••..•••• 15.

13. REQUERIMIENTOS DE GARANTÍA, SOPORTE Y MANTENIMIENTO ................................................... 15

14. FORMA DE PAG0 ..•••••••••••.•.••••••••••••••.•••••••••••.••••••••••.••••••••••.•••••••••.••••••••••••.•••••••••••••••••.•••.•••••••.•••••••••• 15

1

"Decenio de las Personas con Discapacidad en el Perú"

"Año de la Promoción de la Industria Responsable y del Compromiso Climático"

ESPECIFICACIONES TÉCNICAS

1. Antecedentes

Mediante Decreto Legislativo N" 1023 se crea la Autoridad Nacional del Servicio Civil - SERVIR como organismo técnico especializado y rector del Sistema Administrativo de Gestión de Recursos Humanos del Estado, encargado de establecer, desarrollar y ejecutar la política del Estado respecto del Servicio Civil.

La Oficina de Administración y Finanzas (en adelante OGAFL a través del área de Tecnologías de la Información (en adelante TI) coadyuva al fortalecimiento de la organización mediante la adecuada gestión de tecnologías de información y de los recursos informáticos, y es el encargado de llevar adelante la gestión de los proyectos tecnológicos desarrollados por la Entidad. Es por ello que se requiere de la contratación de una persona jurídica que proporcione el Equipamiento necesario con que se pueda realizar el Control de Amenazas Informáticas de Última Generación para la Autoridad Nacional del Servicio Civil.

2. Finalidad Pública.

SERVIR, mediante la OGAF y a través de SJTI para mm1m1zar los riesgos de amenazas, vulnerabilidades de su sistema de información así como la necesidad de optimizar los servicios tecnológicos críticos, coadyuva al fortalecimiento de la organización mediante la adecuada gestión de tecnologías de información y de recursos informáticos, encargándose de llevar adelante la gestión de los proyectos tecnológicos desarrollados por la Entidad. Por tanto la

"'~ Autoridad Nacional del Servicio Civil requiere fortalecer el equipamiento tecnológico para o ' ~)proteger y controlar las Amenazas Informáticas de Ultima Generación con la finalidad de '/continuar y mantener la operatividad de los sistemas informáticos en beneficio de los servicios

brindados por la Institución a usuarios internos y externos

Por encargo de OGAF, la SJTI requiere la contratación de una persona jurídica para la Adquisición del equipamiento tecnológico para proteger y controlar las Amenazas Informáticas de Última Generación para la Autoridad Nacional del Servicio Civil.

3. Objetivos

3.1 Objetivo general del proyecto

• Proteger activos de la organización contra malware de última generación, obteniendo equipos específicamente diseñado para detectar y soportar ataques cibernéticos.

3.2 Objetivos Específicos del Servicio

• Prevenir posibles ataques cibernéticos.

• Identificar los diversos comportamientos de software malicioso.

• Controlar y mitigar posibles riesgos ante amenazas de programas desconocidos.

• Detectar amenazas informáticas de tipo malware, tipo Zero, botnets, entre otras.

1

Pasaje Francisco de Zel<:~ 150 Piso 1D, Jesús Maria lima 11, Perú T: 51·1-2063370

2

¡----_L_.:__


4. Alcance

SERVIR requiere equipos para realizar la implementación de un sistema de detección de softwares diseñados para transferir información a repositorios en internet que han sido implementados con fines nocivos, robar archivos confidenciales, claves etc. Por tanto se requiere equipamiento que permita implementar dicho servicio, con el fin de prevenir diversos ataques a la infraestructura tecnológica de las organizaciones.

Se requiere equipamiento que permita detectar de manera proactiva el comportamiento de los diversos software que fueron diseñados para dañar la infraestructura tecnológica de la organización, siendo capaz de emitir reportes para las sedes designadas por SERVIR.

Características Técnicas

ltem REQUERIMIENTO

Cantidad de dispositivos

2 Marca 3 Modelo

4 Tipo de Solución

REQUERIMIENTO Un (01) equipo, al que se accederá a través de un canal seguro htt s o or línea de comando SSL .

Appliance de Propósito Específico con capacidad para la detección y bloqueo de malware avanzado.

Adicional al malware conocido, deberá estar en la capacidad de detectar los nuevos tipos de ciberataques tales como zero-day, APT, malware polimórfíco; los cuales sobrepasan los sistemas de seguridad informática convencional ya instalados en la red de SERVIR. Esto deberá ser demostrable por la marca ofertada a través de información fidedigna proporcionada por el fabricante de la herramienta

Análisis en base a tráfico no menos a 20 Mbps por el appliance. Esto quiere decir que el dispositivo no debe desechar paquetes para el Throughput indicado. Los modos en los que se podrá desplegar son:

lnline block/monitor SPAN!TAP

4.1 Throughput, inspección

Incorpora políticas de detección por defecto, se podrán customizar implementación e reglas y políticas.

4.4 Tipos de interfaz

4.5 Detalles técnicos del dispositivo

l Pasaje Francisco de Zela 150 Piso 10 Jesús Maria

"•HWW .. SBtviLgob.!)0 ' , .. · ' Lima 11, Peru

T:Sl-1-2063370

Para hacer la inspección trabajará en base a los siguiente protocolos:

HTTP FTP IRC TCP

Teniendo también la capacidad de analizar tráfico DNS y UDP.

Puertos de administración: Dos (02) 10/100/1000 Puertos BASET. Puertos de monitoreo: Dos (02) 10/100/1000 Puertos BASE-T

Máquinas virtuales: no menor a 06 máquinas virtuales (de desarrollo propietario dirigido para detección de malware, no

úblicas o definidas ara otro uso

3


La solución debe soportar y tener activas las siguientes características:

Pasaje Francisco de Ze la 150 Piso 10, Jesús Maria

líma 11, Perú T: 51·1·2063370

Un disco: no menor disco a 500GB Alimentación: Conmutación automática 100 - 240 VAC de onda completa, frecuencia 50-60Hz .. Temperatura de operación: 10°C- 35°C Formato: 01 unidad de rack Alojamiento: Cabe en bastidor de 19 pulgadas. Fuente de Alimentación: Simple

La plataforma debe demostrar fehacientemente la capacidad de detectar malware de día cero, malware polimórfico, Botnets/heuristic bot detections y otros APT (Advanced persistent Threats- Amenazas Persistentes Avanzadas) en la red interna y en las comunicaciones hacia y desde internet (tráfico inbound y tráfico outbound).

La plataforma deberá tener también la capacidad en escalabilidad de detectar software malicioso que se aprovecha de vulnerabilidades conocidas, sitios web maliciosos.

El análisis se debe realizar en el appliance (en el dispositivo) de manera proactiva y no debe ser realizado a través de enviar la información para análisis externa (a la nube) para inspección, dado ue ello afecta la se uridad de la información de SERVIR. Debe tener la capacidad de emular los siguientes sistemas operativos: Windows XP, en todas sus versiones. Windows 7 versiones de 32 y 64 bits, lo que implica que esté en la capacidad de identificar amenazas para estaciones con Win8. MAC OSX La solución debe proporcionar protección contra ataques basados en web. Debe proteger de ataques originados en la web como son descargas de archivos maliciosos y callbacks de malware llamadas remotas a servidores CnC

Debe actuar en tiempo real, de modo que informe acerca de la presencia del malware moderno en la red interna, a nivel de usuario por IP y por hostname. Para informar, deberá incluir un análisis profundo de amenazas catalogadas por nombre de la amenaza, severidad, IP Host, Host Name, cantidad de infecciones, cantidad de callbacks; así como también el despliegue de comportamiento al detalle de la amenaza:

Capacidades nocivas del thread: Robo de data, comportamiento malicioso, cambios que realiza al Sistema operativo. Identificación de comandos Raw asociados al software malicioso. Información mínima de cada host afectado: Cantidad, tipo, nombre, severidad, dirección IP servidor de C&C, fecha y hora de detección del cada malware, puertos usados por el thread. URLs iniciales que generaron la infección. Indicar si hubiera malware desconocido, debiendo proporcionar la siguiente información: MD5, tipo de archivo, protocolo usado, cantidad de ocurrencias, ejecutable del malware.

Por cada una de las infecciones por malware detectadas, mostrar los siguientes campos como mínimo:

Detalles de comunicación de la amenaza PCAP IP Source Encabezados (fuente) Detalle de los cambios realizados al sistema operativo, indicando claramente las alertas maliciosas detectadas durante el análisis del com ortamiento de la amenaza, el

4

x ~ ~r :? " ~iA~< "

;lltta~iilm~l'IZ~a, ,,, , , , , ,', :melrlE~m:sa·~ me!ilim:isnm~,' "Decenio de las Personas con Discapacidad en el Perú"


Pasaje Frandsco de Zela 150 Piso 10, Jesús Mari;¡¡ Líma 11, Perú T: 51+206.3370

tipo y la versión del sistema operativo (análisis forense en línea que proporciona contexto a profundidad de la amenaza detectada).

La solución será capaz de proporcionar información de cuantas veces el equipo ha sido infectado y bloqueada la comunicación. Así también del Malware _gue lo ha infectado. La información forense deberá ser entregada en tiempo real mostrando el nivel de compromiso del ataque, pudiendo el administrador con ello tomar decisiones acertadas y en línea con el negocio La herramienta debe ser capaz de ejecutar el código sospechoso, URL's y entorno del sistema operativo, diversos tipos de archivos en un entorno virtual de inspección dentro del mismo dispositivo. Para ello realizará tanto análisis estático como dinámico en el sistema. Para realizar el análisis no debe requerir la "alimentación" de información o firmas por parte de otros elementos de seguridad informática de la red de SERVIR. Debe soportar la ejecución e inspección de los siguientes tipos de archivos, como mínimo: 3gp, asf, avi, bat, chm, cmd, com, csv, dll, doc, docx, exe, flv, gif, hop, hml, htm, hwp, ico, jar, jpg, js, lnk, midi, mov, mp3, mp4, mpg, pdf, png, ppsx, ppt, pptx, qt, rm, rmi, rtf, swf, tiff, url, vbs, vcf, ves, wav, wma, wsf, xls, xlsx, xml. El Sistema de Protección de Malware debe tener la capacidad de bloquear llamadas a servidores remotos (Callbacks) de manera eficiente y automatizada.

En el caso de ataques de Día Cero, el Sistema de Protección de Malware deberá bloquear la habilidad del Malware para realizar llamadas C&C (comando & control), de esa manera dejándolo inerte y previniendo perdida de información, así como proporcionar un valioso tiempo para la remediación de la amenaza. Esto significa que deberá detectar y prevenir malware avanzado, ataques del tipo Zero Day y Amenazas persistentes avanzadas dirigidas sin necesidad de haber sido reconocidas previamente por una base de firmas.

- Esta capacidad es importante cuando se debe proteger maquinas que puedan haber sido infectadas mientras se encontraron fuera del ambiente controlado de SERVIR y se encuentren realizando callbacks desde la red de SERVIR.

La solución debe registrar y almacenar evidencia de la ejecución de malware en el entorno virtual de inspección como son direcciones IP, protocolos empleados, puertos y protocolos utilizados por el malware, y todo el proceso de ejecución y comunicación del ciclo de vida del malware.

Estas máquinas deben venir pre definidas en el appliance ofertado por el fabricante de la tecnología y listas para entrar en operación. No se aceptarán procesos manuales de definición de máquinas virtuales para appliances o servidores dado que afectan la eficiencia y permiten el error humano.

El entorno de inspección virtual debe ser capaz de emular el sistema operativo y el browser como si se tratara del equipo host comunicándose a los servidores web que intentan infectar al equipo.

5


1

Pasaje Francisco de Zei<J 150 Piso 10, Jesús Maria Lima 11, Perú T: 51-1-2063370

Esto significa que deberá, de manera proactiva, detectar los cinco estados del ciclo de vida de los ataques modernos ante la persistencia de un malware cuando se trate de un ataque por malware inbound:

Exploit, Dropper, Callback, Data Exfiltration, lateral spread, La herramienta debe contar con mecanismos de bloqueo de tráfico aun cuando su configuración y despliegue en red corresponda al modo monitoreo (TAP/SPAN) permitiendo utilizar TCP Reset y Out-of-Band Blocking. La herramienta debe ser capaz de soportar reglas estáticas de análisis YARA, así como también cargar reglas customizadas por SERVIR. La solución deberá permitir el análisis de archivos de tipo comprimido como son ZIP, RAR, 7-ZIP y TNEF. El entorno de análisis virtual debe ser capaz de entregar todos los hallazgos de malware en un archivo comprimido como evidencia y para posibles análisis forenses posteriores. La solución debe ser capaz de soportar XFF (X-Forwarded For). Contar con un módulo de Reporteo que emita reportes al menos de: - Reportes sobre las principales Alertas (actividad actual o históricos) - Reportes en un rango de fechas, Sensor/Site y rango de direcciones IP. - Reportes detallados de llamadas a casa, identificando cuando sea posible la localización de la IP.

La solución debe utilizar técnicas de análisis XOR'd en busca de trafico malicioso encriptado.

En el proceso de detección de malware la solución deberá ser capaz de:

- Soportar Zero Day Browser Exploit Protection - Soportar Zero Day Application Exploit Protection - Soportar Zero Day Web Object Exploit Protection - Soportar Zero Day C&C Callback Protection - Soportar Local Virtual Machine/Sandbox Analysis

Deberá detectar tráfico malicioso de la red, tales como DNS queries a Botnet C&Cs

Debe soportar y tener la funcionalidad Modalidad lnline Fail Open and Fail Clase, Permite también la integración de Externa! Fail open kits.

La solución debe permitir enviar notificaciones en en diversos formatos requeridos por el entorno de SUNARP, ya sean estas por Syslog, SNMP, http o email, a diversas plataformas (tales como SIEM).

La solución d.ebe utilizar una Red de Inteligencia Global que le permita beneficiarse de la información recogida por los esfuerzos de investigación del fabricante, en la que los suscriptores reciben y opcionalmente comparten inteligencia, programas maliciosos, como los ataques de día cero y los destinos de devolución de llamada.

El servicio de actualización deberá operar sobre un canal seguro (HTTPS).

6

10

11


El equipo podrá ser administrador por WEBUI, SSH para línea de comandos.

La solución podrá permitir la autenticación al sistema usando servicios de autenticación tales como RADIUS, TACACS+, LDAP, ANO LDAPS. Actualización disponible de contenidos, sistemas operativo y VM por un (01) año. El equipo debe tener licenciados todos los servicios requeridos en este cuadro de requerimientos por mínimo un (01) año. Este licenciamiento debe estar incluido en la oferta.

- La garantía del equipo será por un período de un (01) año.

Deberá considerar las licencias de: - Dispositivo - Actualización de contenidos - Soporte

La entrega, instalación, prueba de operación y demás tareas

Soporte propias de la implementación deberá realizarse en un tiempo no mayor de 45 días calendarios luego de entregada la orden de compra. El Proveedor capacitará a 04 personas que SERVIR disponga,

Capacitación con un mínimo de 08 horas, on site y sin costo para SERVIR. La capacitación deberá ser brindada por personal certificado en la marca ofertada.

La solución debe incluir todos los elementos pasivos como conectores, cables y accesorios necesarios para el equipamiento ofertado.

El personal encargado de realizar los trabajos que la adecuación amerita deberá tener todo el equipamiento de seguridad necesario y los uniformes que lo identifiquen y diferencian de otros proveedores.

El postor garantizará la seguridad física de los trabajadores de la Autoridad Nacional del Servicio Civil.

El postor garantizará la continuidad de las operaciones luego de la culminación de los trabajos ya sea por etapas o finales.

El equipo deberá cumplir con todo lo requerido como si se implementará una solución integral de tipo llave en mano. Debe incluirse materiales (cables, etiquetas, ordenadores de cables, todo tipo de equipamiento, herramientas, entre otros.).

El postor es el único responsable ante SERVIR a fin de cumplir con la prestación de lo ofertado y contratado, no transfiriendo dicha responsabilidad a otras entidades o terceros.

El equipo debe ser instalado y puesto en funcionamiento de manera básica como aprte de la instalación.

El postor deberá programar una programación de actividades para cumplir con lo ofertado .

7 WWI<'LServiLgZJb.pe Piso 10, Jesús Maria

. 1..

Pasaje Francisco rle Zela 150

· · . lima 11, Perú T: 51·1·2063370

{/Decenio de las Personas con Discapacidad en el Perú"


Los daños ocasionados por el postor durante la ejecuCion de los trabajos sobre la propiedad de terceros, será cubierto por este, sin perjuicio de la institución.

S. Descripción de la adquisición:

El postor deberá contar con una carta de presentación de la sucursal o subsidiaria local

del fabricante de la solución ofertada establecidos en el Perú, que lo acredite como

persona natural o jurídica con autorización para realizar la implementación de los

sistemas de monitoreo propuestos; y que los componentes que involucren dicha solución,

también cuenten con la acreditación de ser comercializados, instalados, configurados para

puesta a producción.

El postor deberá informar las características técnicas garantizadas del software que está

ofreciendo. El no cumplimiento de alguna de las características descalifica la propuesta.

• Consideraciones mínimas:

a) Garantía comercial

Alcance de la garantía: Contra defectos de diseño y/o fabricación, averías, entre otros, por un mal funcionamiento o pérdida total de los bienes contratados, derivados de desperfectos o fallas ajenas al uso normal o habitual de los bienes, no detectables al momento que se otorgó la conformidad. Periodo de garantía: Garantía del fabricante para toda la solución ofertada por un periodo de DOS (02) años.

b) Mantenimiento preventivo.

Por un periodo de DOS (02) años, en el cual el proveedor deberá realizar por lo menos dos (02) mantenimientos al año a todos los equipos ofertados. Así mismo el proveedor deberá detallar el cronograma de mantenimiento de los equipos indicando el procedimiento del mismo y condiciones necesarias.

e) Soporte técnico.

Se debe incluir el Servicio de Soporte y Mantenimiento Preventivo 02 veces por año y Mantenimiento Correctivo por 03 años bajo la modalidad 8x5 por medio de un SOC instalado en Lima para garantizar el correcto funcionamiento de los mismos y un tiempo de respuesta no mayor a 4 horas, iniciándose ambos a partir del día siguiente a la firma del acta de conformidad de la prestación principal, bajo las siguientes condiciones.

Los serv1c1os de mantenimiento correctivo de las soluciones deberán estar disponibles sin límite de horas por intervención, ni cantidad de intervenciones

1

Pasaje Francisco de ZeiB 150 , Piso 10 Jesús Maria

'•JV'y·•,p.J,JASf!:fVlf',it,ODY~)€ 1

•· Lima 11, Perú T: 51·1·2063370

8


mensuales del personal del proveedor; dándose por atendido un problema cuando es solucionado en su totalidad.

El proveedor deberá concluir con la solución del problema en un plazo no mayor cuatro (04) horas; de ser mayor el plazo el proveedor deberá entregar, una solución con similares o mayores características técnicas para reemplazar éste, hasta que concluya con la solución del problema.

El personal técnico del proveedor, para solucionar un problema o incidente reportado, deberá apersonarse a las instalaciones, salvo que previamente y por mutuo acuerdo entre el personal técnico de ambas partes, se convenga que dicho soporte sea telefónico.

Proveerá información del estado del problema reportado.

Para situaciones que se pueden calificar como críticas, el proveedor deberá generar un procedimiento alternativo para evitar el problema o una solución temporal de parche en espera de una solución definitiva.

El personal de soporte del proveedor deberá ser certificado por la solución propuesta con comprobada experiencia y solvencia para la solución de los problemas e incidentes que pudieran presentarse.

No podrá modificarse el nivel, calidad, periodicidad, categoría o cualquier otra característica de estos servicios durante el período de garantía, sin consentimiento.

Mano de obra y repuestos para cualquier servicio de atención por hardware.

Mantenimiento preventivo dos veces al año en las instalaciones en horario a coordinar con personal de la SubJefatura de Tecnologías de la Información

Mantenimiento correctivo cada vez que se presente una falla o mal funcionamiento propio de la solución.

Deberá garantizarse un stock de repuestos originales que cubran los requerimientos de los servicios de mantenimiento preventivo y correctivo por un periodo no menor a cinco (03) años.

Requisitos del proveedor y/o personal

Del Postor:

El Postor deberá ser un canal autorizado por el fabricante, la empresa postora deberá entregar la siguiente documentación como parte de su propuesta técnica:

;¡.. Documentos que acrediten cumplimiento de los requerimientos mínimos de acuerdo a las características técnicas señaladas en el presente documento. Debiendo sustentar con documentación técnica cada uno de los puntos requeridos.

Carta de garantía del postor especificando el soporte técnico una vez acabada la instalación (soporte telefónico, in situ, por profesionales de

9

1

Pasaje Francisco de Zei<J 150 . . Piso 10, Jesús M<Jda ·wwwserv1cgotl.pe

Lima 11, Perú T:Sl-1-2063370


comprobada experiencia en instalaciones similares) por el tiempo que dure la garantía.

>- Carta de garantía del postor en la cual se certifique que los bienes a ofertar deberán de ser nuevos (de primer uso), originales de marca, con una garantía mínima de 02 años.

Carta de garantía del postor en la cual se garantice la atención técnica en un plazo no mayor de dos (02) horas desde el reporte del incidente.

El postor se comprometerá a prestar asistencia técnica permanente durante el período de garantía, para el mantenimiento y/o administración de los equipos de comunicación con la finalidad de asegurar el normal funcionamiento de los mismos cuando sea requerido.

El postor debe dar servicio de monitoreo remoto de los equipos en 5x8 por medio de un SOC instalado en Lima para garantizar el correcto funcionamiento de los mismos (presentar Declaración Jurada).

El SOC deberá contar con la participación de una persona que sea ITIL expert certificado.

Carta de garantía donde el postor garantice que en caso de presentarse una falla durante el período de garantía y esta no pueda ser resuelta, se procederá al reemplazo del componente o equipo que presente la falla en un plazo máximo de ocho (08) horas desde el reporte de la avería, con otro equipo de igual o superiores características. Así mismo el plazo máximo para la reparación del equipo afectado no deberá exceder los 60 días calendarios, luego de los cuales el proveedor deberá brindar un equipo de igual o superiores características, en reemplazo del equipo averiado, de forma permanente.

Carta de garantía del postor en el que se certifique el cumplimiento de los mantenimientos correctivos y preventivos requeridos en el presente documento.

Carta de garantía del postor en el que se comprometa a brindar la Capacitación especializada al personal técnico de la SubJefatura de Tecnología de la Información de acuerdo a lo descrito con respecto a todo el equipamiento adquirido.

Del personal

Del equipo de Consultores:

Se requieren los siguientes consultores

01 Consultor gerente de proyecto; Titulado y con colegiatura vigente en alguna de las siguientes carreras: ingeniería de sistemas, informática, computación o telecomunicaciones, se debe demostrar por lo menos 5 años de experiencia laboral en seguridad de la información, debe poseer estudios en seguridad de la información.

02 Consultor especialista;

10

1

Pasaje Frandsco de Zei<J 15D ., , , , .. , .. ,"" . " Piso 10, Jesús Maria •.JW N •. A1f VIL.,úb.,L

" líma 11, Perú T: 51-1-2063370

"Decenio de las Personas con Discapacidad en el Perú" "Año de la Promoción de la Industria Responsable y del Compromiso Climático" Bachiller en alguna de las siguientes: ingeniería de sistemas informática, computación o telecomunicaciones, con 3 años de experiencia profesional como mínimo y certificado en la herramienta ofertada: a. ISO 27002 y 27002

6. Organización del proyecto

6.1 Objetivo

Asegurar la eficiencia, operatividad y calidad del servicio. El proveedor deberá presentar en su propuesta la organización necesaria para el desarrollo del servicio en sus diversas etapas.

6.2 Gerencia del proyecto

El proveedor asignará un gerente de proyecto que asegurará una gestión eficaz del servicio y una comunicación adecuada con SERVIR, quien se reserva el derecho de evaluarlo a fin de determinar

"'~"' su idoneidad para el puesto, pudiendo solicitar su cambio si a su juicio no cumple con sus ~~funciones satisfactoriamente. i? j

Las actividades que cuando menos deberá realizar el gerente de proyecto son las siguientes:

Dirigir la implementación del servicio.

Supervisar el desarrollo general del proyecto y el control de las actividades diarias.

Presentar el plan de gestión del proyecto en las reuniones de informe programadas.

Asegurar el cumplimiento de los estándares de calidad del servicio.

Gestión del personal asignado al proyecto.

Coordinar de manera permanente con SERVIR.

6.3 Marco normativo del desarrollo del proyecto

a. La adquisicón y/o servicio se desarrollará cumpliendo lo indicado en el: Ley de Concesiones Eléctricas Norma DGE- Terminología en Electricidad

Norma DGE -Símbolos Gráficos en Electricidad

Reglamento Nacional de Edificaciones

Normas Técnicas Peruanas

Reglamento de Enchufes y Tomacorrientes

NTP de Interruptores

Reglamento Técnico de Conductores y Cables Eléctricos

Reglamento de Seguridad e Higiene Ocupacional

ANSI/EIA/TIA-568B/569/606 Comercial Building Telecommunications Wiring Standard 568-B Estándar de Cableado de Telecomunicaciones de Edificio Comercial. 569 Estándares de Edificio Comercial para rutas y espacios de Telecomunicaciones

570 Estándar de cables de telecomunicaciones Residencial y pequeño comercio

606-A El Estándar de administración para la infraestructura de telecomunicaciones

para edificios comerciales.

607 Requisitos de Puesta a tierra y aislamiento de Edificio Comercial para Telecomunicaciones.

l Pasaje frandsco rle Zelil 150 . . . Piso 10, Jesús Maria

WWW.SB;fV\LgZJÚ,J)€ • · Lima 11, Perú

T: 51·1-2063370

11


Otros.

b. Directivas a tomar en cuenta para la elaboración del proyecto

Para el desarrollo del proyecto también se tomarán en cuenta las directivas dadas por las siguientes instituciones peruanas:

INDECOPI OSINERG-MIN INDECI Cuerpo General de Bomberos Voluntarios del Perú Defensoría del Pueblo Ministerio de Energía y Minas Ministerio de la Producción

Entrega bies

La empresa proveedora entregará la siguiente documentación durante las etapas de desarrollo del proyecto.(Si aplicará)

• Carpeta Técnica conteniendo folletos y/o documentación de las características de los

materiales que se utilizarán. Esta carpeta deberá incluir obligatoriamente las marcas,

modelos y especificaciones técnicas de los materiales y equipos.

• Metrado de materiales, si la calidad del material utilizado está en duda, el Coordinador

de Servir estará en potestad de solicitar el cambio del mismo.

• Cronograma de trabajo indicando las etapas calendarizadas en las que se realizarán los

trabajos con el fin de agilizar permisos de acceso.

• Manuales originales de todos los equipos y componentes, impresos y en archivo digital.

• Toda la documentación de la implementación materia del contrato.

El plazo de entrega incluye la entrega, instalación y configuración por default de los bienes adquiridos, en un plazo máximo de veinte (20) días calendarios considerados a partir del día siguiente de la firma del contrato respectivo y/o recepción de la orden de compra.

EL POSTOR deberá entregar documentación técnica (brochure, catálogos o similares) que acredite el cumplimiento de las especificaciones técnicas señaladas en el presente documento, indicando punto por punto su cumplimiento y señalando el número de folio donde se pueda realizar la verificación.

EL POSTOR se compromete, a no reasignar ni remover a ninguno de los miembros que formen parte del equipo de trabajo del proyecto. Si debiera producirse un reemplazo, el/la reemplazante deberá ser aprobado por la Unidad de Tecnologías de Información y reunir al menos las mismas habilidades, competencias y experiencia que el/la reemplazado/a.

Capacitación:

El postor deberá capacitar al personal que la Subjefatura de Tecnologías de la Información,

indique en lo que respecta a instalación, configuración y administración de la solución

Pasaje Francisco de Zela 150 Piso 10, Jesús Maria

Lima 11, Perú T: 51-1-2063370

12


ofertada, entregando los certificados que acrediten la participación y dominio de la solución.

El horario y lugar de la capacitación será coordinado con la Subjefatura de Tecnologías de

Información de la Oficina General de Administración y Finanzas.

Para el entrenamiento el postor deberá considerar un ingeniero que cuente con las siguientes certificaciones: Ingeniero certificado de la plataforma, instructor certificado en Cloud computing y cloud technologies advanced, Auditor líder ISO 27001.

8. Restricciones

• Servir no asume ninguna responsabilidad por accidentes laborales del personal del Proponente.

• El tiempo de implementación de la adquisición será 20 días calendario como máximo.

• La entrega de los bienes materia de la convocatoria será realizada en el almacén, los bienes serán verificados por el personal de la Unidad de Tecnologías de Información La instalación se realizara en la siguiente dirección:

• El servicio se llevará a cabo en Pasaje Francisco de Zela Nro. 150 Piso 10, Jesús María.

• La Entidad efectuará la contraprestación correspondiente al valor adjudicado de la prestación principal mediante dos pagos:

• El pago se realizará al 100% de lo contratado, luego que se emita la conformidad referida a la entrega de los equipos propuestos en hardware y software necesario para la implementación, así como la puesta en marcha por default.

• Las conformidades deberán ser emitidas por la SubJefatura de Tecnologías de la Información de la Entidad. El plazo para emitir la conformidad es de diez {10) días calendarios contados a partir de la recepción de la prestación.

Servicios de Garantía y Soporte:

• Dos {02) años o con mantenimiento preventivo mínimo de 02 veces al año.

• Mantenimiento correctivo, incluyendo cambio de partes, mano de obra, atención 24x7. Tiempo de atención on site de 02 horas desde el momento de reportada la falla.

• El Tiempo de Reparación Máximo será de acuerdo a lo señalado en el presente documento.

1

Pasaje Francisco de Zela 150

www.snrvir.gnb.oe Piso 10, Jasús. · Maria · Lima 11, Perú

T: 51·1·2063370

13


9. Asunciones y exclusiones

• Es responsabilidad de SERVIR:

o Proveer la información necesaria al proveedor del servicio para que ejecute eficientemente el servicio requerido.

o Establecer los requerimientos del servicio. o Proporcionar los criterios de modificaciones del servicio y controlar que el proveedor

opere bajo dichos criterios. o Establecer normas y controles de seguridad para garantizar que la información y

entregables no sufran alteraciones y evitar que estén expuestos a personas que no autorizadas.

o SERVIR se reserva la potestad de constatar la información presentada.

• Es responsabilidad del contratista:

o Ejecutar puntual y eficientemente el servicio contratado. o Cumplir con los estándares establecidos por SERVIR. o Cumplir con los entrega bies oportunamente según cronograma establecido. o El horario normal del equipo de trabajo del contratista será de SERVIR, de 9:00a.m a

7:00p.m de lunes a viernes. o Durante el período de prestación del servicio, se evaluarán los tiempos de respuesta y la

calidad del servicio, a fin de que SERVIR determine las correcciones necesarias si fuera el caso.

10. Pacto de Confidencialidad

A la firma del contrato de servicio, el proveedor queda expresamente obligado a mantener absoluta confidencialidad y reserva sobre la información fruto del análisis, implementación o cualquier otro aspecto relacionado con SERVIR, no pudiendo difundir, aplicar ni comunicar a terceros información a la que haya tenido acceso durante la ejecución del mismo, no pudiendo copiar o utilizar esta información con fin distingo al objeto del mismo ni tampoco ceder a otros ni siquiera a efectos de conservación. Esta obligación se mantendrá incluso después de la conclusión del contrato.

11. Propiedad intelectual de los productos

El proveedor acepta expresamente que los derechos patrimoniales y conexos de propiedad intelectual sobre los productos y documentación generada que se entreguen al amparo de la presente consultoría corresponden únicamente a la Autoridad Nacional del Servicio Civil con exclusividad y a todos los efectos.

Pasaje Francisco de Zela 150 Piso 10, Jesús Maria Lima 11, Perú T: 51-1-2.063370

14


12. Transferencia tecnológica

Durante la ejecución del servicio, el postor se compromete en todo momento a facilitar al personal designado por la Oficina de Administración y Finanzas y la Oficina de Planeamiento y Presupuesto, toda la información y documentación que éste solicite para disponer de un pleno conocimiento de las circunstancias en que se desarrollan los servicios contratados, así como los eventuales problemas que se presentaran y de las tecnologías, métodos y herramientas utilizados para resolverlos.

13. Requerimientos de garantía, soporte y mantenimiento.

• La garantía que deberá presentar el postor ganador debe ser emitida por el Fabricante de los componentes de la solución ofertada.

• La garantía deberá contemplar el cambio de componentes incluyendo el serv1c1o ante el incumplimiento por falla de origen de los componentes, por falla de los parámetros de performance solicitados y por falla de las aplicaciones garantizadas. Estos cambios se realizarán a solicitud nuestra y comprobación del postor o fabricante de la falla.

14. Forma de pago

• El pago se hará efectivo luego de comprobada la conformidad del servicio a cargo de SJTI, que pertenece a la OGAF.

• La conformidad del Servicio, otorgada por la SubJefatura de Tecnologías de la Información de la Entidad, no enerva su derecho a reclamar posteriormente por defectos o vicios ocultos, conforme a lo dispuesto por la Ley de Contrataciones del Estado.

• El plazo de responsabilidad es por dos (02) años. • La forma de pago será de la siguiente manera:

• 100% a la conformidad de acuerdo al cumplimiento de lo requerido.

15

1

Pasaje Francisco de Zela 150 , . , . Piso 10, Jesús Maria www.serv1r.gob.pe

lima 11, Perú T: 51·1·2063370

AUTORIDAD NACIONAL DEL SERVICIO CIVIL T A.GRE.FR.03...

Documents

Transcript of AUTORIDAD NACIONAL DEL SERVICIO CIVIL T A.GRE.FR.03...