Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Términos de referencia
El Servicio tiene por objeto implementar una solución administrativa, jurídica y técnica,
bajo la modalidad de contrato “llave en mano” o "turn key contract", para el desarrollo
de la infraestructura tecnológica y la gestión de la IOFE que estará a cargo de la AAC,
y comprende la planificación, diseño, desarrollo, instalación, configuración y puesta en
operación de la solución.
Con la publicación del nuevo Reglamento de la Ley 27269, aprobado por el Decreto
Supremo 052-2008-PCM, se han dado nuevas disposiciones para impulsar la prestación
de servicios de gobierno electrónico, haciendo posible el ejercicio del derecho
ciudadano de acceso a servicios públicos electrónicos seguros para la realización de
transacciones de gobierno electrónico con las entidades de la Administración Pública.
3.1 General
3.2 Específicos
Es requisito para el análisis, diseño y puesta en producción del sistema, que la Firma
Consultora provea las licencias de aplicaciones de diagramación UML, cases, diseño de base
de datos y las demás que sean necesarias para brindar el servicio.
Para la lista de servicio de confianza, la Firma Consultora deberá proveer los siguientes
equipos y software:
Servidor de aplicaciones.
Licencia para el servidor de aplicaciones
01 Certificado Digital SSL para el servidor.
La seguridad del servidor Web tomará la seguridad perimetral de INDECOPI, la misma que
incluye el servicio del firewall en uso.
Plazo de
Articulo No Descripción Cantidad entrega
1 Chasis Rackeable estándar 42U 1 60 días
2 Servidores dual Core 2 60 días
3 Hardware criptográfico HSM (Hardware Security Module) 2 60 días
4 Dispositivos para la captura de huella digital 10 60 días
5 Certificados digitales personales de firma digital 10 60 días
6 Hardware Certificado Digital SSL para el servidor 2 60 días
7 Licencias de Base de datos Relacional 2 60 días
8 Licencia para el Servidor de Aplicaciones 2 60 días
9 Software Software de Virtualización 2 6 días
Arquitectura de Solución
Sistema Informático Portal WEB Indecopi
Aplicación:
Aplicación:
• Acreditación-LC
• Acreditación XML
Servidor de • Huella Digital
Servidor de Usuario
Aplicación • Firma digital
Aplicación de la WEB
Usuario
INDECOPI
Hardware
Criptográfico
Publicación
BD
Base de Datos
• Acreditación
• Huella Digital
El sistema deberá soportar las actividades de los distintos usuarios que participarán en el
flujo del proceso de acreditación, de acuerdo a los roles que se les asigne, asegurando la
debida secuencia de las actividades, incluyendo el uso de la pasarela de pago
corporativo de Indecopi en el proceso de pago en línea correspondiente. Esas actividades
se podrán agrupar de acuerdo al tipo y etapa del proceso en que se realicen.
Las actividades a considerar dentro del flujo del sistema serán las siguientes:
En aquellas actividades donde se requiera de firma digital, el usuario deberá hacer uso
del dispositivo de lectura de huella digital instalado en su PC y de su certificado digital.
Los documentos electrónicos que se requieran en el sistema (generados en formato
PDF), se almacenarán en la base de datos como imágenes, siendo este caso el del
Certificado de Acreditación.
El flujo descrito servirá para las solicitudes de acreditación definidas en las guías de
acreditación para Entidades de Certificación y entidades conexas definidas por Indecopi,
entre ellas las Entidades Certificadoras (EC):
Acreditación como EC raíz y EC de nivel subsiguiente
Acreditación como EC de nivel subsiguiente
Autorización para la realización de certificación cruzada con otras ECs.
El modelo lógico de la base de datos que contenga los datos de la entidad acreditada,
será el recomendado por la Norma europea ETSI TS102 231 versión 3.1.1 ó superior
(actualizada a la última versión si fuera el caso), véase el Anexo N° 03 – Modelo Lógico
recomendado para la Base de Datos- BD. Cada uno de los campos correspondientes será
validado por INDECOPI de acuerdo a la información que proporcione el sistema de
gestión documental del antes descrito proceso de acreditación de los Prestadores de
Servicios de Certificación Digital y afines.
La base de datos del sistema será alimentada por la información de la base de datos del
sistema de gestión documental del proceso de acreditación
El acceso a la Lista de Confianza será vía el Portal Web de INDECOPI y los usuarios serán
anónimos, permitiendo como mínimo la atención concurrente de 10 usuarios.
Procedimientos de Acreditación
Tomando como norma los procedimientos del Reglamento General de Acreditación de INDECOPI
(Reglamento CNB-acr-01-R versión 06 2007-12-12) y el Reglamento Específico de Acreditación
Entidad de Certificación – EC, los procedimientos de acreditación que considerará el sistema
informático serán los siguientes:
1. Procedimiento de Acreditación
2. Procedimiento de Mantenimiento de la Acreditación
3. Procedimiento de Renovación
4. Procedimiento de Notificación de Cambios
5. Procedimientos de Suspensión y Cancelación
Al tercer mes de iniciada la etapa operativa, INDECOPI asignará las oficinas para
realizar las pruebas del sistema. Las pruebas de uso se realizaran con los servidores
de producción definidos para el presente servicio.
INMUEBLE
Ambientes de oficina y mobiliario necesario para que el personal de la Firma Consultora
desarrolle las pruebas del sistema con los accesos a la red y a los sistemas con los que
deba conectarse e interactuar.
SISTEMAS
Estándares de desarrollo de sistemas, bases de datos y de seguridad que INDECOPI
deba proporcionar a la Firma Consultora.
INMUEBLE
Ambientes de oficina y mobiliario donde se realizará el desarrollo del sistema.
Hardware
Las Computadoras necesarias para el personal destinado al servicio.
Los servidores de producción con la capacidad de almacenamiento de datos suficiente
para la información de los procesos descritos, considerando como mínimo, que
anualmente se registrarán 30 procesos de acreditación.
Software
Para las computadoras que utilizará el personal:
Licencias de antivirus
Licencias de los sistemas operativos y aplicativos utilizados para el desarrollo de
sistemas, diagramación UML, cases, diseño de base de datos y demás que sean necesarios.
Metodologías y Procedimientos
La metodología deberá incluir las actividades de diseño, pruebas piloto y pruebas de validación.
Productos a entregar
Establecer la eficiente gestión del servicio, así como la coordinación con INDECOPI y el personal
de la Firma Consultora para cumplir, dentro de los plazos establecidos, con los objetivos del
servicio y con todos los requerimientos previstos en las actividades a contratar.
Para permitir la correcta ejecución de los servicios materia del presente concurso, la Firma
Consultora deberá asignar a un Gerente de Proyecto, el mismo que deberá ser un profesional de
primer nivel que cumpla el perfil requerido, y con una gran vocación de servicio.
Como parte de las actividades que deberá desarrollar el Gerente de Proyecto se pueden
mencionar las siguientes:
Liderar el Equipo del servicio para alcanzar los objetivos del Servicio
Gestionar el cumplimiento del Plan del servicio, los planes que lo conforman, las metas,
plazos y cronogramas, establecidos para el servicio.
Administrar el personal asignado al servicio (selección, evaluación permanente, capacitación,
incentivos, movimientos).
Mantener actualizada la matriz de productos a entregar, descritos en el numeral
10.PRODUCTOS A ENTREGAR, y Obligaciones del Servicio, según procedimiento definido por
el INDECOPI.
Velar por el cumplimiento del plan de productos a entregar.
Coordinar la ejecución del servicio, de manera permanente, con el INDECOPI.
Participar en las reuniones del Comité de Gerencia y Comité Operativo y presentar los
informes de avance que competan a cada comité.
Velar por el cumplimiento de la metodología de gestión de proyectos, las metodologías
definidas para la ejecución del servicio.
Velar por el cumplimiento de los procedimientos definidos por el INDECOPI para el Servicio y
por los que se establezcan durante el mismo.
Otras que estime el INDECOPI.
El detalle del perfil requerido para el Gerente de Proyecto se encuentra en el Anexo Nº 07 -
Perfil del personal requerido para el Servicio
La Firma Consultora que obtenga la buena pro del Servicio, de ser necesario, ajustará el Plan del
servicio propuesto en los aspectos que el INDECOPI considere que deben ser reforzados, la
versión resultante será considerada como el Plan base del servicio. Este ajuste se realizará
durante la Etapa Pre-Operativa del Servicio. El Plan base del servicio deberá ser validado y
aprobado por el INDECOPI, para lo cual la Firma Consultora deberá presentarlo en el primer
comité operativo durante la etapa Pre-Operativa.
Este comité velará por la correcta marcha del servicio, siendo éste la instancia máxima para la
toma de decisiones en la conducción del servicio y se reunirá mensualmente o a solicitud del
INDECOPI. Este comité estará compuesto como mínimo por los siguientes integrantes:
Por el INDECOPI
Responsable de la Gerencia de Tecnologías de la Información o quien haga sus veces.
Responsable de la Comisión de Normalización y de Fiscalización de Barreras
Comerciales No Arancelarias (CNB) o quien haga sus veces.
Coordinador de Proyectos o quien haga sus veces.
El personal que el INDECOPI estime conveniente.
Por la Firma Consultora
Gerente de Proyecto y/o Jefe de Proyecto
Otros que la Firma Consultora considere.
En este comité se tratan todos los temas referentes a la continuidad del servicio y los productos
a entregar, descritos en el numeral 10.PRODUCTOS A ENTREGAR. Este comité se reunirá
semanalmente o a requerimiento del INDECOPI y estará conformado como mínimo por las
siguientes personas:
Por el INDECOPI
Coordinador por parte de la Comisión de Normalización y de Fiscalización de Barreras
Comerciales No Arancelarias o quien haga sus veces.
Coordinador de Proyecto o quien haga sus veces.
El personal que el INDECOPI estime conveniente.
Por la Firma Consultora
Gerente de Proyecto y/o Jefe de Proyecto
Ver SP.
Responsabilidades de INDECOPI
RECURSOS HUMANOS
Proveer del personal idóneo para la ejecución del servicio.
Nº Característica Descripción
Nº Característica Descripción
Nº Característica Descripción
Nº Característica Descripción
Nº Característica Descripción
Nº Característica Descripción
(*) El Indecopi tiene estandarizado como producto para su Base de Datos Institucional: ORACLE
Standarad Edition 10G a ser migrado en el futuro a la versión 11 G.
Por políticas de seguridad de Indecopi la información técnica detallada de las aplicaciones que la
solución requiera interoperar se proporcionará al postor ganador en la fase de planificación de la
solución.
7. Licencia para el Servidor de Aplicaciones.
Nº Característica Descripción
Nº Característica Descripción
Nº Característica Descripción
http://www.indecopi.gob.pe/ArchivosPortal/estatico/servicios/normalizacion/SNA-acr-01R.pdf
CAPÍTULO III
ASPECTOS GENERALES DEL PROCEDIMIENTO DE ACREDITACIÓN COMO EC
Este tipo de acreditación deberá ser solicitada por la ECERNEP (y la ECEP respectiva) para
efectos de su incorporación en la IOFE.
La acreditación como EC de nivel subsiguiente se solicita para Entidades que emiten certificados
digitales para usuarios finales, personas naturales o jurídicas.
Este tipo de acreditación deberá ser solicitada por las ECEPs para efectos de su incorporación a
la IOFE.
Artículo 7°.- Autorización para la realización de certificación cruzada con otras ECs
1La longitud de clave privada mínima debe ser de 1024 bits y el certificado debe ser renovado
como máximo anualmente.
2c. Los certificados a nivel de entidad final –usuarios– deben ser generados de manera individual
y separados para las siguientes funciones: cifrado y firma (no repudio) o autenticación. Las
funciones de firma y autenticación son compatibles y pueden ser realizadas con un mismo
certificado.
CAPÍTULO IV
SOLICITUD DE ACREDITACIÓN Y DOCUMENTOS SUSTENTATORIOS
Los documentos que se acompañen deberán encontrarse en idioma español. Si las fuentes
originales provinieran de otro idioma, éstas deberán ser traducidas de manera oficial.
La relación de documentos antes señalada no es taxativa. En tal sentido, la CNB podrá
considerar y solicitar cualquier documentación adicional que sea necesaria a efectos de poder
tomar una decisión informada sobre la acreditación o no del solicitante.
Los documentos deberán estar conforme a lo establecido en la Guía de Acreditación de Entidad
de Certificación – EC versión 3.3 y sus anexos, según corresponda.
Artículo 25°.- Software, hardware y demás componentes adecuados para las prácticas
de certificación y las condiciones de seguridad adicionales
En caso que alguno de los elementos relativos al sistema de gestión o software, hardware y
demás componentes sean administrados por un tercero, la entidad solicitante deberá demostrar
su vinculación con aquél asegurando la viabilidad de sus servicios bajo dichas condiciones y la
disponibilidad de estos elementos para evaluación y supervisión que la AAC considere
necesarias.
La vinculación a que se alude en el punto anterior puede ser demostrada a través de un
contrato, acuerdo, convenio de outsourcing u otro tipo de documentación permitida bajo el
ordenamiento peruano.
En este caso, la AAC tiene derecho a precisar los términos bajo los cuales se rigen este tipo de
servicios de certificación digital.
1c. En el caso de países con los cuales la AAC hubiera celebrado un acuerdo de reconocimiento
mutuo, se deberá acompañar la documentación siguiente:
1- Acreditación otorgada en el país de origen de la solicitante.
2- Hacer referencia a la fecha de celebración del acuerdo de reconocimiento mutuo entre la
institución competente del país de la solicitante y la AAC.
2d. En el caso que se solicite la acreditación como EC de nivel subsiguiente, la documentación a
acompañar es la siguiente:
1- Únicamente se acompañará la Resolución de acreditación de la EC Raíz, siempre y cuando la
gestión de los certificados digitales sea realizada en la misma infraestructura montada para la EC
Raíz acreditada.
2- Deberá encontrarse especificado en la CP y CPS de la solicitante las condiciones de gestión de
certificados digitales conforme a lo establecido en el punto anterior.
CAPÍTULO V
EVALUACIÓN DOCUMENTARIA Y TÉCNICA
Artículo 33°.- Evaluación documentaria
Dentro del procedimiento de acreditación, la etapa de evaluación documentaría será llevada a
cabo en estricta observancia de lo establecido en el Reglamento General.
El procedimiento de evaluación técnica se rige por los lineamientos establecidos para tales
efectos por el Reglamento General.
En ambas etapas, el Comité evaluador deberá emitir pronunciamiento claro y debidamente
fundamentado.
Artículo 36°.- Evaluación de las CP, CPS, la Política y el Plan de Privacidad, la Política
de Seguridad y los requerimientos de Usabilidad
El objetivo de esta evaluación es examinar la adecuación de las CP y CPS, la Política y el Plan de
Privacidad, la Política de Seguridad y los requerimientos de Usabilidad de la EC solicitante con
los Lineamientos del documento del APEC, la Norma Marco sobre Privacidad y las normas ISO
17799 o ISO 27001, respectivamente.
El procedimiento de evaluación se realizará sobre la base de los documentos acompañados para
tales efectos por la EC solicitante.
De considerarlo necesario, el Comité Evaluador podrá solicitar documentación complementaria o
la realización de una evaluación o auditoría en las instalaciones de la EC.