TERMINOS DE REFERENCIA

REQUERIMIENTOS TÉCNICOS MÍNIMOS

1. DENOMINACION DE LA CONTRATACIÓN
Servicio de software SaaS (Software as a Service) para la centralización, seguimiento
y control de procesos judiciales, procedimientos administrativos e investigaciones
penales, que a su vez se relacione a las páginas del CEJ (Aplicativo de Consulta de
Expedientes Judiciales) del Poder Judicial y del sistema del INDECOP!.

2. FINALIDAD PÚBLICA.
Brindar herramientas que faciliten la gestión efectiva para garantizar un adecuado
seguimiento y control de los procesos judiciales, procedimientos ante INDECOPI e
investigaciones penales, a fin de salvaguardar los intereses del Banco.

3. VINCULACIÓN CON EL OBJETIVO META DEL PO!

Objetivo Estratégico 3: Lograr niveles de excelencia en los procesos.
Gererte Legal (E)
Gina Granadino
4. ANTECEDENTES:
La Subgerencia Asuntos Procesales (la SAP) de la Gerencia Legal, realiza como
parte de sus funciones, la representación y defensa legal en las investigaciones y los
procesos en materia civil, penal, laboral, constitucional, contencioso administrativo,
--£ntre otros casos; y, procedimientos administrativos sobre protección y defensa del
consumidor, en los que está comprendido el Banco de la Nación y sus trabajadores,
a nivel nacional.

La SAP lleva el registro completo de los actos procesales de cada uno de los casos.
Está información se registra en archivos Excel y es utilizada para el seguimiento y
consulta del estado de los casos y actos procesales programados por los órganos del
Sistema de Administración de Justicia e Indecopi, así como de las acciones que
realiza por la SAP como parte de la atención de cada caso.

El manejo de información en archivos Excel hace que la elaboración de los reportes

de estado para informara la alta dirección, gerencias de línea o los involucrados en
cualquiera de los procesos y procedimientos iniciados, tome varios días de trabajo,
toda vez que se requiere validar el estado conforme los actos procesales del falso
expediente, actualizar el Excel de seguimiento y la revisión del documento del
expediente.

En tal sentido, se requiere de un servicio de Software que se encuentre relacionado

con los buscadores de expedientes del Poder Judicial (consulta de expedientes
Judiciales) y el sistema de INDECOPI (consulta de expedientes INDECOPI), el cual
permitirá obtener herramientas que faciliten la gestión efectiva de las incidencias
diarias en los procesos y procedimientos.

5. OBJETIVOS DE LA CONTRATACIÓN:
 OBJETIVO GENERAL
Fortalecer la labor de gestión de cada uno de los expedientes judiciales y
administrativos ante Indecopi en los que se encuentra comprendido el Banco
de la Nación y/o sus funcionarios, automatizando el registro y seguimiento de
cada expediente judicial a cargo de la SAP.

OBJETIVOS ESPECIFICOS
Y” Contratar una suscripción a una solución tecnológica para el registro y
seguimiento de los expedientes judiciales y administrativos ante Indecopi
gestionados por la SAP.
Contar con documentación histórica en formato digital.
ASA SSNSS

Proporcionar información fidedigna, oportuna y resguardada.

Optimizar el seguimiento de cada uno de los actos procesales.
Disminuir el tiempo de actualización de información de los casos.
Optimizar la emisión de los reportes e informes de gestión.
Brindar seguridady fiabilidad en la información.
Ahorro en tiempo de búsqueda.

Gererite Legal (E) 6. SISTEMA DE CONTRATACION:

Suma Alzada.

fe. ALCANCES Y DESCRIPCION DEL SERVICIO

ACTIVIDADES A REALIZAR

. ETAPA PRE-OPERATIVA
a) Configuración de la solución de seguimiento de expedientes judiciales. La
solución debe contar con la funcionalidad indicada en el ítem 7.2.2
Alcance de la Solución.
b) Carga masiva de los expedientes judiciales y administrativos ante
indecopi. El BN entregará la información en formato Excel al contratista,
máximo a los diez (10) días calendario de iniciada la etapa pre-operativa.
c) Las Instrucciones y los lineamientos para el uso de la solución de
seguimiento de expedientes judiciales y administrativos ante Indecopi, se
programarán en la reunión kick off.
d) Estos instructivos y lineamientos deberán ser proporcionados para la
correcta ejecución del servicio al personal de la Gerencia Legal y los
Asesores Legales Externos (ALE) a nivel nacional, máximo a los cuarenta
y cinco (45) días calendario de iniciada la etapa pre-operativa, mediante
entrega virtual.
e) Conforme a lo indicado en el literal anterior, se deberán realizar como
mínimo siete (7) sesiones virtuales, las cuales están orientadas a queel
personal del BN y ALE a nivel nacional, adquiera los conocimientos,
habilidades y destrezas del manejo de la solución, detallados en los
instructivos y lineamientos que proporcionará el contratista. Cada sesión
debe tener una duración mínima de Thora y media.
H El contratista deberá entregar al BN los accesos, video instructivo,
manuales y toda documentación técnica y funcional de la solución parala
 ejecución del seguimiento de los procesosjudiciales ante el Sistema de
Administración de Justicia y de los procedimientos administrativos ante
Indecopi, como máximo a los 15 días calendarios de suscrito el contrato.
El BN deberá realizar la verificación y puesta en marcha del adecuado
funcionamiento del servicio de software SaaS (Software as a Service).

741.2. ETAPA OPERATIVA

Puesta en marcha de la solución de seguimiento de procesosjudiciales y

procedimientos administrativos ante Indecopi. La solución debe estar
disponible 24x7.
Atención de incidentes y solicitudes de soporte del BN.
El BN podrá seguir proporcionando, durante esta etapa, archivos Excel
con expedientes judiciales y procedimientos administrativos ante
Indecopi, para que el contratista realice la carga en la solución.
: 0 A
Gerente Legal (E) d) Asegurar el cumplimiento de lo establecido en el ftem 7.2 Alcance del
Gina“Granadino Servicio.

Para las actividades a realizar se debe aplicar la metodología de trabajo

expuesta en el APENDICE “A”.

7.2. ALCANCE DEL SERVICIO

7.2.1. Alcance del Servicio

a. Hosting de la aplicación:
El contratista debe permitir el acceso a la aplicación a través de
Internet, operando en sus servidores en forma remota. El hosting
debe incluir una capacidad de hasta 10 GB para usode la aplicación,
almacenamiento de información en la Base de Datos y cualquier otro
recurso utilizado que consuma capacidad de almacenamiento. Se
entiende que el uso de almacenamiento es para documentos de
formato pdf, docx, doc y xIsx, ocr. Cumpliendo los estándares técnicos
de interoperabilidad (Servicio Web).

b. Servidores:
El contratista debe asegurar el correcto funcionamiento y
disponibilidad de los servidores en donde sealoja la solución con el
fin de que el servicio de suscripción brindado al BN no sea
interrumpido.

c. Soporte:
El contratista debe proporcionar el/los número(s) telefónico(s) y
correo(s) electrónico(s) de cada contacto para dar soporte técnico al
BN. El soporte que se brinde al BN como parte de la suscripción de la
solución se realizará a través de las personas de contacto que se
designen en el contrato, como mínimo deberán señalar dos (2)
personas de contacto. El soporte debe ser proporcionado, de lunes a
 viernes, excepto días festivos de 08:30 a 17:30 horas, hora Perú. Los
SLAs delservicio se detallan a continuación:
El contratista debe atender los problemaso fallas que se presente en
la solución en los siguientes tiempos máximos:
(1) para asuntos de emergencia: 24 horas
(ii) para asuntos graves: 48 horas
(iii) para asuntos leves: 72 horas

“ Se entiende como “asuntos de emergencia” a todos aquellos que

dificulten o impidan que el BN pueda usar el sistema.
« Los “asuntos graves” son aquellos que, aunque no impidan su uso
y funcionamiento, de forma definitiva o grave, el BN no pueda
acceder a sus reportes, a sus procesos/procedimientos de manera
completa, precisa y adecuada y generen, impidan o dificulten que
los usuarios puedan ingresar sus comentarios o trabajos diarios al
- GerentéLegal (E)
Gina Granadina sistema.
=. Los “asuntos leves”, son aquellos que no se consideren de
emergencia o graves.

El Contratista debe atender los reclamos y solicitudes de soporte del

BN en el tiempo máximo de doce (12) horas (por teléfono, email, chat,
u otros medios de comunicación), luego de lo cual comunicará al BN
el tiempo estimado de solución, que no podrá ser superior a los limites
mencionados anteriormente. Las horas mencionadas como máxima
son horas laborales de acuerdo al siguiente horario, dentro del rango
de 8:30 a 17:30 horas, horario de Perú de lunes a viernes excluyendo
feriados.

Ante una eventual interrupción del servicio por causa imputable al

contratista, dentro del rango de 8:30 a 17:30 horas, el contratista
deberá cursar comunicación inmediata al BN (por correo electrónico
que se proporcionará al contratista en la etapa pre-operativa), así
comoelaborar un informe de la incidencia dirigido al BN, en un plazo
máximo de 03 días calendario, contados desde la fecha de ocurrido
el evento.

El Contratista no asumirá la responsabilidad total o parcial cuando los

errores sean ocasionados directa o indirectamente por el sistema del
Poder Judicial y/o Indecopi.

. Capacidad
La aplicación debe estar diseñada para un manejo ilimitado de
usuarios y una capacidad de por lo menos veinte mil (20,000)
expedientes judiciales y administrativos ante Indecopi.
 Se debe poder gestionar en el sistema de seguimiento, tantos
expedientes del BN, judiciales y administrativos ante Indecopi como
se requiera, en forma simultánea, dentro de la capacidad solicitada.

e. Respaldos:
El contratista debe respaldar de manera total en sus sistemas
semanalmente la base de datos del BN y almacenará, por lo menos,
los últimos cuatro (4) respaldos. Adicionalmente, el contratista, debe
remitir trimestralmente al BN los respaldos de la solución a contratar
(de todos los procesos judiciales y procedimientos administrativos
ante Indecopi a nivel nacional).

Adicionalmente a lo indicado debe tener un backup o respaldo diario

de manera incremental que le permita operar al BN sin pérdida de
información por algún problema.

Alfinalizar el período del servicio el contratista deberá proporcionar al

É
Gereníe Legal (E) BN el backup o respaldo completo de la base de datos de toda la
Gina"Granadino
información de los expedientes del BN, judiciales y administrativos
ante Indecopi (datos y documentos). El backup o respaldo deberá ser
proporcionado máximoa los cinco (05) días calendarios posteriores a
la terminación de contrato.

Las bases de datos de respaldo (backup) a ser entregadas al BN por

el contratista, pueden o podrán ser restauradasutilizando un software
compatible para el BN (MsSQL, Oracle, DB2 u otro)

f. Actualizaciones a la solución:
Las actualizaciones de la solución durante el periodo del servicio,
deben estar a disposición del BN sin costo adicional de manera
automática. El contratista deberá informar sobre dichas
actualizaciones al menos con cinco (05) días calendarios de
anticipación previos a su despliegue.

7.2.2. Alcance de la solución

La solución para el seguimiento de expedientes judiciales y
administrativos ante Indecopi debe contar con las siguientes
funcionalidades:

a. Portafolio de expedientes Judiciales y administrativos ante

Indecopi
El sistema debe permitir al usuario registrar información adicional de
los expedientes judiciales y administrativos (Indecopi) a partir de la
información registrada en las páginas web del Poder Judicial y del
Indecopi, respectivamente. Si el proceso judicial o el procedimiento

5
 administrativo no se encuentra en la web del Poder Judicial o la web
del Indecopi, se debe poder agregar los datos de éstos de forma
manual, como por ejemplo los procesos judiciales de indole penal.

Para cada proceso judicial y procedimiento administrativo registrado,

se debe mostrar sus datos generales , usuarios involucrados, datos
judiciales y datos económicos. Además, se debe mostrar los
movimientos y novedades del proceso o procedimiento que se extrae
de forma automática de las páginas web del Poder Judicial
(información y archivos) o de Indecopi (según corresponda), o que
son registrados por los abogados a cargo del caso (información y
archivos).

El sistema debe permitir al usuario actualizar los datos del proceso

judicial y del procedimiento administrativo ante Indecopi: Datos
Ging" Granadino Generales, Usuarios involucrados, datos judiciales, partes
involucradas, datos económicos y observaciones. Los datos que son
obtenidos del Poder Judicial o de Indecopi (según corresponda)
deben ser sólo de consulta,

Asociar un flujo de trabajo a cada proceso/procedimiento o asignar

tareas particulares a cualquier usuario involucrado.

. Conexión a la página del Poder Judicial e Indecopi:

El sistema debe estar conectado a las páginas del Poder Judicial y de

las comisiones de Indecopi para que el BN reciba de forma automática
los movimientos de sus expedientes judiciales y administrativos,

El BN entiende que las actualizaciones automáticas de la información

de sus procesos/procedimientos dependen de la operatividad de la
página web del Poder Judicial de Perú o Indecopi según corresponda.

La información que ya se encuentra almacenada en el sistema,

deberá estar siempre disponible aun así las páginas antes indicadas
estén inoperativas.

. Flujos de Trabajo
El sistema debe permitir al usuario crear estructuras internas de
trabajo que permitan definir una serie de etapas consecutivas y tareas
asociadas a cada etapa, las cuales deben cumplirse para finalizar la
tramitación de los expedientes judiciales y administrativos que se
asacien al flujo escogido.

. Módulo de Tareas
 El sistema debe permitir al usuario organizar las tareas de los
abogados con títulos de tareas, personas responsables y plazos
determinados para entregarlas. Además, debe permitir filtrar por
tareas pendientes y usuarios responsables. Los estados de las tareas
deben ser: Aprobada, Rechazada y En Progreso; y dependiendo de
su fecha límite se deben de identificar con un color predeterminado.

. Resumen de los movimientos

El sistema debe permitir al usuario descargar un documento en
formato Word, Excel o similar con el resumen de todos los
movimientos que ha tenido un proceso. La historia del
proceso/procedimiento se debe de ordenar desde la fecha más
reciente a la más antigua.
4
LAO
Gereñíte Legal (E)
GinaGranadino Buscador:
El sistema debe permitir al usuario realizar búsqueda de expedientes
judiciales y administrativos ante Indecopi que cumplan con los
criterios de la palabra ingresada. Además, debe contar con una serie
de filtros que permita encontrar procesos y pocedimientos según los
datos específicos. Deben existir filtros numéricos, de texto y de
selección múltiple. Se debe permitir guardar filtros usados
frecuentemente.

Las búsquedas realizadas en los expedientes judiciales y

administrativos deben relacionarse con los camposregistrados en las
páginas del CEJ e Indecopi, así como con los nuevos campos creados
por el BN.

Descargar Reportes en Excel

*

El sistema debe permitir al usuario descargar reportes dinámicos en

formato Excel con las columnas que desee visualizar en el
documento. Se pueden tener tipos de reportes dinámicos pre
configurados por el usuario, listos para ejecutar.

. Calendario
El sistema debe permitir al usuario agendar eventos como audiencias
o plazos. El calendario debe mostrar en forma mensual, semanal y
diaria, las fechas de vencimiento de todos los eventos y tareas
asociadas a los expedientesjudiciales y administrativos del Portafolio.
El calendario debe exportarse a Excel u otro compatible con los
aplicativos del BN.

Novedades
El sistema debe permitir al usuario filtrar por rangos de fecha y
mostrar todos los movimientos del proceso/procedimiento, ocurridos
 dentro de ese periodo de tiempo. El sistema debe mostrar la
información que además debe permitir ser filtrada por materia,
abogado o usuario responsable y otros. El sistema debe permitir al
usuario descargar la información en formato Excel u otro compatible
con los aplicativos del BN.

Jj. Procesos Congelados

Además de que el sistema alerte cuando ha sucedido un movimiento
o actuación en los procesos, también debe alertar cuando ha
transcurrido un tiempo previamente establecido y no se ha tenido
, alguna actuación. Esta alerta facilitará el seguimiento de los casos por
Geténte Lega! (E) vencimiento de plazos y opere la caducidad de la acción o la
Sina Granadino prescripción. La alerta debe funcionar aplicando un número dedías a
la materia para que todoslos casosrelacionadosa ella cumplan dicha
regla.

i k. Módulo de Usuarios
, El sistema debe permitir al BN crear los perfiles de los usuarios
(abogados, ALE, etc.) y darle permisos según diseño perfilado para el
correcto manejo de la solución, en coordinación con el contratista; así
como registrar sus últimos ingresos y movimientos y exportarlos en
un archivo Excel u otro compatible con los aplicativos del BN.

L Plantillas
El sistema debe permitir al usuario crear plantillas de documentos
predefinidos que luego se puedan asociar y descargar con la
información de los expedientes judiciales y procedimientos
administrativos.

m.Integraciones:
La solución debe contar con una API pública y Webhooks de calidad
asegurada, que permita al BN realizar la integración con sus sistemas
internos. Debe proporcionar la documentación técnica para el uso de
la API y webhooks.

7.3. PROCEDIMIENTO DE CONTRATACION

7.3.1. DELA REUNION DE KICK OFF

La reunión de kick off del proyecto se deberá realizar durante los
primeros siete (07) días calendario posteriores a la suscripción del
contrato respectivo, durante la etapa pre-operativa.
 7.4. LUGAR Y PLAZO DE PRESTACIÓN DEL SERVICIO
74.41. LUGAR DE PRESTACION DEL SERVICIO

El servicio será ejecutado fuera de las instalaciones del BN, sin

embargo, de ser necesaria la participación del contratista de forma
presencial, el BN proporcionará el ambiente en coordinación entre el
personal designado porel contratista, y el personal asignado porla:SAP.

74.2. PLAZO DE PRESTACION DEL SERVICIO

El plazo máximo para la ejecución del servicio es de setecientos treinta
(730) días calendario, contados desde el día siguiente hábil de la
suscripción del contrato respectivo.

7.4.2.1. Etapa Pre Operativa: Tendrá una duración de cuarenta y cinco

(45) días calendario contados desde el día hábil siguiente de la
AR suscripción del contrato respectivo.
+
Gereñte Legal (E)
Gina Granadino
7.4.2.2. Etapa Operativa: Seiscientos ochenta y cinco (685) días
calendario, contados desde el día siguiente de concluida la
etapa pre operativa.

MEDIDAS DE CONTROL DURANTE LA EJECUCION CONTRACTUAL

75th. AREAS QUE COORDINARAN CON EL CONTRATISTA

La coordinación con el contratista será realizada por la Gerencia Legal

y la SAP.

7.5.2. AREAS QUE BRINDARAN LA CONFORMIDAD

La conformidad estará a cargo de la SAP / Jefatura de la Sección

Procesos Judiciales y Administrativos / Jefatura de la Sección Procesos
Laborales.

7.6. FORMA DE PAGO

El pago del servicio contratado será realizado, previa conformidad emitida
según el numeral precedente, de la siguiente manera:

Porcentajes Cportunidad del Pago

Cuando se produzcan y concluyan, a satisfacción
del BN, los eventossiguientes:

- Informe de actividades realizadas durante la

etapa pre Operativa.
 Cuarenta por Entrega de video instructivo y los manuales
ciento (40%) correspondientes.
- Acta de entrega de accesos a la solución de
seguimiento de expedientes judiciales y
administrativos ante Indecop!.
- Acta de entrega de usuarios,
- Registro y operatividad de los expedientes
judiciales y administrativos ante Indecopi en la
solución.
- Instrucciones y lineamientos al personal de la
Gerencia L.egal y ALE a nivel nacional.

A los trescientos (300) días calendario siguientes

Diez por ciento a la suscripción del contrato. El contratista deberá
(10%) presentar un informe del servicio prestado, para
+ Gerente Legal (E) la posterior entrega del Acta de Conformidad
GinaGranadino respectiva.
A los trecientos noventa (390) días calendario
Cuarenta por siguientes a la suscripción del contrato. El
ciento (40%) contratista deberá presentar un informe del
servicio prestado, para la posterior entrega del
Acta de Conformidad respectiva.
A los setecientos treinta (730) días calendario
siguientes a la suscripción del contrato. El
Diez porciento contratista deberá presentar un informe del
(10%) servicio prestado y entregar el backup final que
contenga toda la información almacenada en la
solución, para la posterior entrega del Acta de
Conformidad respectiva.

Para efectos del pago dela contraprestación ejecutada por el contratista en la

forma señalada, la Entidad debe contar con la siguiente documentación
presentada por el Contratista:

Carta dirigida al Subgerente de Compras — Gerencia de Logística

Acta de Conformidad emitida por la SAP
Comprobante de pago.

La SAPconjuntamente con la Sección Procesos Laborales y la Sección

Procesos Judiciales y Administrativos, será la encargada de emitir el Acta de
Conformidad al contratista.

El contratista deberá remitir a la SAP un informe de la prestación del servicio,

bajo los lineamientos y formato establecido en la reunión Kick off, dentro de
los primeros cinco (05) días calendario posteriores a las fechas programadas
en el cuadro precedente.

10
 7.7. Reglamentos Técnicos, Normas Metrológicas y/o sanitarias nacionales
Certificado SSL y Tráfico Encriptado el cual amerita que los servicios que
ofrezcan a través del protocolo http over SSL, también conocido como https
garantice que el sistema está verificado y certificado por SSL.

8. RESPONSABILIDADES
8.1. Responsabilidades dei contratista
a) El contratista es el único responsable ante el BN de cumplir con el servicio,
no pudiendo transferir esa responsabilidad a otras entidades ni terceros en
general.
b) El contratista debe desarrollar el servicio en sus respectivas instalaciones,
debiendo dar soporte al BN de forma remota y de ser necesario en forma
presencial. Si el contratista no logra solucionar cualquier pregunta o asunto
de forma remota, accederá a concurrir de forma presencial, para lo cual, en
coordinación con el personal asignado por la SAP deberá apersonarse a
¿ las instalaciones del BN en el día y hora señalada.
Gerente Legal (E) Cc) El contratista, una vez iniciado el servicio, se comprometerá a cumplir con
Gina Granadino los estándares y demáspolíticas de seguridad de la información vigente en
el BN.

Todoslos trabajos que el contratista realice de acuerdo con el contrato estarán

É sujetos a supervisión por el BN, en tanto resulte aplicable y en tiempo razonable.

CONTROLES DE SEGURIDAD DE LA INFORMACIÓN

ser El contratista debe presentar evidencia de la aplicación de los controles de seguridad
implementados y las pruebas de verificación realizadas de los controles listados en el
Apéndice B: CheckList de Requerimientos de Seguridad de Información para SAAS.

AT, M0. SEGURIDAD DE LA INFORMACIÓN

7 EN e El contratista se compromete a cumplir y aplicar en el servicio brindado, las políticas,
a a procedimientos y controles de los sistemas de gestión, metodologías, estándares y
AE otros establecidos por el BN.

El contratista debe contar con una certificación de seguridad de la información ISO

27001:2013 o como proveedor de servicios en la nube, basado en estándares
internacionales, el mismo que tiene que ser emitido por una Organización de Auditoría
independiente certificada:

El contratista debe cumplir como mínimo con los siguientes estándares de seguridad:

e |SONEC 27001 Seguridad de la Información.

» I¡SOAEC 27017 Controles de seguridad de la información basada en ISO/NIEC 27002,
especificamente para los Servicios en Nube.
s [SONEC 27018 Requisitos para la protección de la información de identificación
personal (PH) en Sistemas Cloud.

11
 Con la previa evaluación y conformidad respectiva, el BN autorizará todos los accesos
a recursos O herramientas propias de la institución y que son requeridos por el
contratista para la prestación del presente servicio. Una vezfinalizado el contrato, todos
los accesos serán retirados.

El contratista debe tomar medidas de protección de la información del BN que se

encuentre almacenada en los equipos y/o dispositivos que requieran mantenimiento
fuera de las instalaciones del BN, para ello debe cumplir con las Políticas Específicas
de Seguridad de la Información establecidas para tal fin.

El contratista debe reportar incidentes, eventos u otro riesgo potencial de seguridad de

la información para el BN fin de realizar la investigación correspondiente.

E - El contratista se compromete, a brindar todas las facilidades necesarias para que el BN

Gerente Legal (E) : : . : iz os
GinaGranadino audite y/o monitoree sobre los aspectos de seguridad de la información de los servicios
e información materia del contrato y sobre los aspectos de almacenamiento de datos,
así como acceso de los usuarios a la solución.

El contratista exime de toda responsabilidad al BN, sus empleados y funcionarios, por

cualquierlitigio, acción legal o procedimiento administrativo, reclamación o demanda
“que pudiera derivarse de cualquier trasgresión o supuesta trasgresión de cualquier
patente, uso de modelo, diseño registrado, marca registrada, derechos de autor o
cualquier otro derecho de propiedad intelectual que estuviese registrado o de alguna
otra forma existente a la fecha del contrato debido a la instalación del bien (servicio de
suscripción SaaS)por parte del contratista o el uso de los mismos por parte del BN.

El contratista garantiza al BN que durante el servicio que brindará, respetará todos los
derechos de propiedad intelectual referidos en el Decreto Legislativo N* 822 — Ley
sobre el Derecho de Autor, normas modificatorias y complementarias; por lo que se
compromete agarantizar que todo el software y las herramientas utilizadas no vulneran
ninguna normativa, contrato, derecho, interés, patentes, legalidad. o propiedad de
terceros referidos en el decreto en mención.

. CONFIDENCIALIDAD DE LA INFORMACIÓN
El contratista se obliga a mantener y guardar estricta reserva y absoluta confidencialidad
sobre todos los documentos e información del BN a los que tenga acceso en ejecución
del presente contrato. En tal sentido, el contratista debe abstenerse de divulgar tales
documentos e información, sea en forma directa o indirecta, a personas naturales o
jurídicas, salvo autorización expresa y por escrito del BN. Asimismo, el contratista
conviene en que toda la información suministrada en virtud de este contrato es
confidencial y de propiedad del BN, no pudiendo el contratista usar dicha información
para uso propio o para dar cumplimiento a otras obligaciones ajenas a las del presente
contrato.

12
 Los datos de carácter personal entregados por el BN al contratista, y obtenidos por éste
durante la ejecución del servicio, única y exclusivamente podrán ser aplicados o
utilizados para el cumplimiento de los fines del presente documento contractual. El
contratista se compromete a cumplir con lo indicado en la Ley N” 29733, Ley de
protección de datos personales, su reglamento y sus modificatorias.

El contratista se hace responsable de cualquier reclamo, denuncia, proceso judicial,

procedimiento administrativo u otro iniciado contra el BN con motivo del incumplimiento
de cualquiera de las obligaciones establecidas en el presente contrato en relación a las
bases de datos personales del BN y en su condición de encargado de las mismas,

Gerente Legal (E)

conforme a lo establecido en la Ley N* 29733 — Ley de Protección de Datos Personales
Giña Granadino y su respectivo reglamento. El contratista asumirá las costas y costos correspondientes,
sustituyéndose en el lugar del BN y asumiendo cualquier monto por daños o perjuicios,
indemnizaciones, multas, u otras sanciones que pudiera recibir. El contratista se
compromete a someterse a los controles y auditorias que pretenda realizar el BN, a
efectos de verificar el cumplimiento por parte del contratista de la implementación de las
»Íedidas de seguridad adoptadas.

El contratista debe adoptar las medidas de índole técnica y organizativa necesarias para
que sus trabajadores, directores, accionistas, proveedores y en general, cualquier
persona que tenga relación con el contratista no divulgue a ningún tercero los
documentos e informaciones a los que tenga acceso, sin autorización expresa y por
escrito del BN, garantizandola seguridad de los datos de carácter personal y evitar su
alteración. Asimismo, el contratista se hace responsable por la divulgación que se pueda
producir, y asume el pago de la indemnización por daños y perjuicios que la autoridad
competente determine.

El contratista se compromete a devolver todo el material que le haya proporcionado el

BN a los dos (02) días hábiles siguientes de la culminación o resolución del contrato,
LE SSE sin que sea necesario un requerimiento previo. Sin embargo, el contratista se encuentra
Y
SS db facultado a guardar copia de los documentos producto del resultado del servicio
prestado, siendo el BN el único que pueda accedera dicha información. Dicha copia no
puede ser dada a terceros, salvo autorización expresa y por escrito del BN.

La obligación de confidencialidad establecida en la presente cláusula seguirá vigente

incluso luego de la culminación del presente contrato, hasta por cinco (05) años.

El incumplimiento de lo establecido en la presente cláusula, por parte del contratista,

constituye causal de resolución del presente contrato, la cual se llevará a cabo de
conformidad con el artículo 165% del Reglamento de la Ley de Contrataciones del
Estado; sin perjuicio de los mayores gastos por daños.

12. VICIOS OCULTOS

La recepción conforme del servicio, no enerva el derecho del BN a reclamar
posteriormente por defectos o vicios ocultos.

13
 El contratista es responsable porla calidad ofrecida y por los vicios ocultos por un plazo
no menor de un (01) año, contados a partir de la última conformidad otorgada por el
BN, Durante dicho periodo, el contratista está obligado a levantar inconformidades que
se detecten con posterioridad al pago.

La negativa a levantar las observaciones durante el periodo indicado en el párrafo

precedente, constituye infracción, por lo cual el BN se reserva el derecho a iniciar los
trámites legales que correspondan, sin perjuicio del reclamo por los daños.
Gerente Legal (E)
Gind Granadino
Las discrepancias referidas a defectos o vicios ocultos deben ser sometidas a
conciliación y/o arbitraje. En dicho caso, el plazo de caducidad se computa a partir de
la última conformidad otorgada por el BN hasta treinta (30) días hábiles adicionales al
- plazo indicado en el segundopárrafo.

DE LAS OTRAS PENALIDADES

: ¿241 BN aplicará otras penalidades, distintas a la penalidad por mora, cuando el
contratista se encuentre inmerso en cualquiera de los siguientes supuestos:

Otras Penalidades
N? Supuestos de aplicación Forma de Procedimiento
de penalidad cálculo
Por incorrecta aplicación
de los estándares y 0,1 UIT por
4 aspectos técnicos del BN cada
descritos en el presente ocurrencia
documento.

Por incumplimiento de los 0.1 UIT por

2 acuerdos de reunión cada
plasmados en las actas. ocurrencia.

Por incumplimiento de los

SLAs en cuanto a los Para la aplicación de una
niveles del servicio que el 0.1 UIT por penalidad el BN informará
3 contratista debe cada por escrito al contratista, el
proporcionar al BN ocurrencia. mismo que tendrá un
establecidos en el período de diez (10) días
presente documento calendario para efectuar
Por excederse del tiempo su descargo. Si el
promedio de respuesta de descargo presentado por
2 horas por parte del el contratista no es
4 proveedor, en solucionarel 0.05 UIT por aceptado por el BN, se
incorrecto o deficiente cada procederá a ejecutar la
funcionamiento del ocurrencia. penalidad orrespondiente,
software.

14
 Por no arrojar resultados
de la búsqueda realizada
de algún expediente
5 judicial o administrativo 0.1 UIT por
que se encuentra cada
registrado en los sistemas ocurrencia.
del Poder Judicial y del .
INDECOP1.
Por no brindar los
instructivos y lineamientos
al personal de la Gerencia
Legal y/o ALE a nivei 0.1 UNT por cada
5 E
Gerente Legal (E) 6 nacional, dentro de los ocurrencia.
Gina Granadino cuarenta y cinco (45) días
calendario de iniciada la
etapa pre-operativa, por
causa imputable al
contratista
Por no cumplir con todos
7 los requerimientos 0.2 UIT por
establecidos en la etapa cada
pre-operativa y operativa ocurrencia.

Las penalidades se deducen de los pagos a cuenta o del pago final, según corresponda;
O si fuera necesario,

De conformidad con el literal b del artículo 164% del Reglamento de la Ley de

Contrataciones del Estado, el BN podrá resolver el contrato en caso el contratista haya
llegado a acumular el monto máximo de la penalidad por mora o el monto máximo para
otras penalidades, en la ejecución de la prestación del servicio a su cargo, sin perjuicio
de las acciones que tome por responsabilidad civil o penal correspondiente, por los
mayores daños. Para ello remitirá una comunicación notarial al contratista, indicando
que el contrato ha quedado resuelto,

. DISPOSICIONES POR EL ESTADO DE EMERGENCIA NACIONAL COVID-19

De acuerdo a lo establecido en el Decreto Supremo N* 103-2020-EF, el contratista

deberá sujetarse a los protocolos y procedimientos establecidos por el BN, en caso
fuere necesario su asistencia o concurrencia obligatoria a reuniones presenciales que
le sean requeridas.

. PREVENCIÓN DEL LAVADO DE ACTIVOS Y DEL FINANCIAMIENTO DEL

TERRORISMO

“El Contratista deberá presentar Declaración Jurada de conocer que EL BANCO es

una Entidad Financiera sujeta al cumplimiento del Reglamento de Gestión de Riesgos
de lavado de Activos y del Financiamiento del Terrorismo, aprobado por resolución
SBS N* 2660-2015 y que se obliga a proporcionar información necesaria a fin de dar
cumplimiento a lo dispuesto en los artículos 36* y 37* del mencionado Reglamento,

15
 así como cualquier otra norma legal sobre esta materia, desde su entrada en
vigencia”.

Asimismo, se solicitará al proveedor proporcionar la siguiente información a la

presentación de propuestas.

e Nombres y Apellidos completos o denominación o razón social, el caso se trate de

una personajurídica.
e Registro Único de Contribuyentes (RUC), O registro equivalente para no
domiciliados, de ser el caso.
Tipo u número de documento de Identidad, en caso de trate de una persona natural.
Dirección dela oficina o local principal.
Años de Experiencia en el mercado.
Rubros en los que el proveedor brinda sus productos o servicios.
e tdentificación de los accionistas, socios o asociados que tengan direcla O
entéLegal (E) indirectamente el 25 % del capital social, aporte o participación de la persona jurídica
unaGranadino
y del nombre del representante legal, considerando la información requerida para
las personas naturales.
e Declaración Jurada de no contar con antecedentes penales del proveedor, de ser el
caso.
No encontrarse incluido en la lista emitida por la Oficina de Control de Activos
Extranjeros del Departamento de Tesoro de los Estados Unidos de América (OFAC)

Nota.- Deberá ser considerado como un “Requisito de Admisibilidad”.

16
 APÉNDICE “A”

METODOLOGÍA DE GESTIÓN DE PROYECTOS

Los lineamientos atienden a un marco metodológico adoptado por la Gerencia de

Informática del BN para la gestión de los proyectos orientados a tecnologías de información,
los cuales se adecuan a las disposiciones establecidas por el Banco en la gestión de
proyectos internos, tal como se muestra en el siguiente gráfico.

arm
Metro Ao >,

aDesarrollar e

cam, > yo
i
ANrc
SS

eDmarollarelacia ámerlos recursos 3

S as "e
de consiitución ria organización «del proyecto
aSecuenciarigs Act d
É
|

arls dursción de las ; «Cerraral Proyecio

Gerénte Legal; (E) vidades i eRecopilarias i
ú a . Dezarrollarel cronograma
gain i mo lecciones
E
|
,
É
íña Granadino aEstimerdos
£: 67 US costos
LOios z proyecto
Frat , aprendidas
p

«Desarrollar el presupuesto E *Tratarlos riesgos prono

s
«ider

=Plani nde zarabios 7

Planificar las adquisiciones ¿ i
«Seleccionar los proveedores : 4
É a
e :3
, o 3
trabaja del proyecte 3
elos cambios á
.
z
7
. Controler los recursos rs E
E : , Adiránistrar fos contratos g

17
 APENDICE “B”
CheckList de Requerimientos de Seguridad de Información para SAAS

Se deben identificar todos los componentes de la

aplicación que son afectados o necesarios.

Se deben identificar todos los componentes, como

bibliotecas, módulos y sistemas externos que no forman
¡ parte de la aplicación pero que la aplicación utiliza para
funcionar.

[Se debe definir una arquitectura de alto nivel para la

J aplicación.

|Todos los componentes de la aplicación, bibliotecas,

módulos, frameworks, plataforma y sistemas operativos
deben estar libres de vulnerabilidades conocidas.

La aplicación tiene una clara separación entre la capa de

Gereníé Legal (E)
Gina«Granadino | datos, la capa de controlador y la capa de visualización,
de modo que las decisiones de seguridad se puedan
aplicar a sistemas de confianza.

3 Todas las páginas y recursos de forma predeterminada

¡deben requerir autenticación, excepto los destinados
específicamente a ser públicos.

Los formularios que contienen credenciales no deben

ser rellenados por la aplicación. El pre llenado de la
solicitud implica que las credenciales se almacenan en
exto sin formato o un formato reversible, lo cual está
prohibido explícitamente.

Todos los controles de autenticación se deben aplicar en

el lado del servidor.

Toda autenticación debe fallar de forma segura para

garantizar que un atacante no puedeiniciar sesión.

Los campos de entrada de contraseña deben cumplir

con los requisitos de complejidad de contraseñas,
ndicadas en las Política Específica de Seguridad dé
nformación.

18
 JLas aplicaciones deben proporcionar un mecanismo
para que Jos usuarios cambien su contraseña cuando lo
consideren necesario. De cumplimiento obligatorio para
aplicaciones que realizan tratamiento de datos

¡Toda funcionalidad de cambio de contraseña debe

ncluir la contraseña anterior, nueva contraseña y
contraseña de confirmación,

[Todas las decisiones de autenticación (incluso las que

an fallado) deben estar en el log, sin almacenar
3

nformación sensible o contraseñas.

lLas credenciales se deben transportar utilizando un

Jenlace cifrado adecuado y que todas las
|páginas/funciones que requieren que un usuario ingrese
Gerente Legal (E)
Giría Granadino | credenciales utilicen un enlace cifrado.

La función de contraseña olvidada y otras mecanismos

| de recuperación no debe revelar la contraseña actual y
a nueva contraseña que no se envían en texto plano al

La enumeración de información no debe ser posible

| mediante el inicio de sesión, el restablecimiento de
¡contraseña o la funcionalidad de cuenta olvidada.

Definir mecanismos de anti-automatización para evitar

que se realicen ataques que eviten la comprobación de
credenciales, fuerza bruta y ataques de bloqueo de
4 cuenta.

Todaslas credenciales de autenticación para acceder a

una aplicación deben estar cifradas y almacenadas en
un lugar protegido.

¿Validar que no exista contraseñas predeterminadas en

| uso para la aplicación o cualquier componente utilizado
por la aplicación (como "admin / password").

El sistema tiene medidas para bloquear el uso de

contraseñas comúnmente elegidasy frases débiles.

19
 Las claves de la API y las contraseñas no se incluyen en
el código fuente ni en los repositorios de código fuente
en línea.

Ningún usuario o contraseña deben estár incluidas en el

código fuente, o repositorios de código fuente en línea.

Las sesiones se deben invalidar cuando el ustario cierra

la sesión.

Las sesiones deben invalidarse después de un período

de inactividad.

El ID de sesión nunca se debe divulgar en URL,

nte Legal (E) mensajes de error o registros.
L ¿Granadino

Validar que los 1D de sesión son suficientemente

largos, aleatorios y únicos en la base de sesión activa
correcta.

Validar que el metodo TRACE se encuentre

deshabilitado en el servidor HTTP

Renovar el ID de sesion al autenticarse el usuario O

asignarlo únicamente después
de la autenticación, para que el identificador de la
sesión anterior no sea utilizable.

La autenticación o reautenticación exitosa genera nueva|.

sesión y nuevo ID de sesión.

El acceso a los registros debe estar protegido, de tal

manera que sólo los objetos o datos autorizados sean
accesibles; sin que a través de la manipulación de
parámetros se pueda acceder a registros no autorizados
o modificar la cuenta de otro usuario.

Los controles de acceso debenfallar de forma segura.

Las mismas reglas de control de acceso implicadas por

ta capa de presentación se deben aplicar en el lado del
servidor.

20
 | Compruebe que existe el principio del privilegio mínimo:
¡los usuarios sólo deben poder acceder a funciones,
larchivos de datos, URL, controladores, servicios y otros
recursos para los que poseen una autorización
l específica. Esto implica la protección contra el spoofing
| y la elevación delprivilegio.

| Las aplicaciones no deben permitir el descubrimiento o

| divulgación de metadatos de archivos o directorios

odas las decisiones de control de accesos se deben

incluir en Log (incluidas las que han fallado).

| El entorno de ejecución y los controles de seguridad

L síífe Legal (E) deben controlar adecuadamente la cantidad de datos
Gina Granadino
ue se copian sobre un área de memoria reservada a tal
efecto

] Las rutinas de validación de entrada se deben aplicar en

¡el lado del servidor.

¡Todas las consultas SQL, HQL, OSQL, NOSQL y

] procedimientos almacenados, llamadas de
procedimientos almacenados deben estar protegidos
por el uso de sentencias preparadas o parametrización
de consultas, y por lo tanto. no ser susceptibles a la
inyección de SQL

Todas las variables de cadena colocadas en HTML o en

otro código de cliente web deben estar bien codificadas
| para asegurar que la aplicación no sea susceptible de
ataques Cross Site Scripting (XSS)

| Los errores de validación de entrada del lado del servidor

resultan en el rechazo de la solicitud y estas mismas
quedan registradas.

¡Compruebe que un único control de validación de

| entrada es utilizado por la aplicación para cada tipo de
| datos que se aceptan.

| La aplicación no es susceptible a la inyección de LDAP,

o que los controles de seguridad impiden la inyección de
LDAP.

21
 La aplicación no es susceptible a la Inyección de
Comando del SO o quelos controles de seguridad evitan
a Inyección de Comando del SO.

La aplicación no es susceptible a la inclusión remota de

archivos (RFI) o inclusión de archivos locales (LF!)
cuando se utiliza contenido que es una ruta de acceso a

r Legal (E)
(xa Granadino
La aplicación tiene defensas contra ataques de
contaminación de parámetros HTTP, sobre todo si el
| marco de aplicación no hace distinción sobre el origen
Ide los parámetros de solicitud (GET, POST, cookies,
encabezados, entorno, etc.)

¿| La validación del lado del cliente se utiliza como

segundalínea de defensa, además de la validación del
ado del servidor.

Los datos de entrada están validados, no sólo los

campos de formulario HTML, sino todas las fuentes de
entrada, como las llamadas REST, los parámetros de
consulta, los encabezados HTTP, las cookies, los
archivos por lotes, los feeds RSS, etc. usando la
validación positiva (lista blanca), entonces formas
menores de validación como greylisting (eliminación de
cadenas mal conocidas) O rechazando entradas
negativas (blacklisting).

Los algoritmos criptográficos utilizados por la aplicación

se han validado contra FIPS 140-2 o un estándar
equivalente (1ISONEC 15408)

La información personal sensible debe almacenarse

O AES 128 bit o superior;

y TDES Teclas de doble longitud;
1) RSA 1024 bits o superior;
0 ECC 160bits o superior;

22
 | y asegurarse de que la comunicación se realiza a través
de canales protegidos.

Todaslas claves y contraseñas son reemplazables y se

generan o reemplazan en el momento dela instalación.

Compruebe que la aplicación no genera mensajes de

error. ni rastreos de pila que contienen datos
confidenciales que podrían ayudar a un atacante,
incluido el ID de sesión, versiones de software /
framework e información personal.

La lógica de manejo de errores en los controles de

seguridad impide el acceso de forma predeterminada.
Gerente Legal (E)
Giná Granadino Los controles de registro de seguridad proporcionan la
capacidad de registrar los eventos de falla identificados
como relevantes para la seguridad.

Cada evento de registro incluye la información

necesaria que permita una investigación detallada de la
línea de tiempo cuando ocurre un evento.

Los registros de seguridad están protegidos contra el

acceso no autorizado y la modificación.

La aplicación no registra datos confidenciales tal como

se definen en las leyes o reglamentos locales de
privacidad, datos sensibles organizativos definidos par
una evaluación de riesgos o datos de autenticación
confidenciales que podrían ayudar al atacante, incluidos
identificadores de sesión, contraseñas, hashes o tokens
API.

La aplicación debe permitir que los registros de eventos

críticos envien alarmas y notificaciones tiempo real al
administrador que corresponda, mediante correo
electrónico.

Las fuentes de tiempo deben sincronizarse para

asegurar que los registros tengan el tiempo correcto

Todos los datos sensibles que se envían al servidor

deben ir en el cuerpo del mensaje HTTP o cabeceras,
no utilizar los parámetros de URL para enviar datos
sensibles.
 | En el servidor, todas las copias en caché o temporales
| de datos confidenciales almacenados estén protegidas
| contra acceso no autorizado o purgadas/ invalidadas
después de que el usuario autorizado acceda a los
datos confidenciales.

Los datos almacenados en el almacenamiento del lado

del cliente (como el almacenamiento local HTMLO5, el
almacenamiento de sesiones, IndexedDB, cookies
Iregulares o cookies Flash) no contienen datos
| confidenciales.
Gerente Legal (E)
Gina Granadino Se registra el acceso a datos confidenciales, si los datos
¡se recogen bajo directivas de protección de datos
| relevantes o cuando se requiere el registro de accesos.

Utilizar TLS 1.1 o superior para todas las conexiones

| (incluidas las conexiones externas y de back-end) que
estén autenticadas o que implican datos o funciones
¡sensibles y no usar protocolos inseguros o nocifrados.

Todas las conexiones a sistemas extemos que

impliquen información o funciones sensibles estén
autenticadas.

Los encabezados HTTP Strict Transport Security se

incluyen en todas las solicitudes y en todos los
subdominios.

Sólo se utilizan algoritmos y protocolos fuertes, a través

ide toda la jerarquía de certificados, incluidos los
¡certificados raíz y intermediarios de la autoridad de
certificación seleccionada.

¡Los valores de TLS están en línea con la práctica

¡principal actual, particularmente cuando las
configuraciones y algoritmos comunes se vuelven
inseguros.

La aplicación debe aceptar sólo un conjunto definido de

métodos de solicitud HTTP requeridos, como GET y
POST, y los métodosnoutilizados (por ejemplo, TRACE,
PUT y DELETE)se bloquean explícitamente.

24
 Cada respuesta HTTP debe contener un encabezado de
ípo de contenido que especifica un conjunto de
caracteres seguros (por ejemplo, UTF-8, ISO 8859-1).

| Compruebe que los encabezados HTTP o cualquier

parte de la respuesta HTTP no exponen información de
| versión detallada de los componentes del sistema.

Los archivos obtenidos de fuentes no confiables son

validados para ser del tipo esperado y validados por el
antivirus para evitar la carga de contenido malicioso
¿ conocido.

| El servidor Web o de aplicaciones está configurado de

forma predeterminada para denegar el acceso a
| recursos o sistemas remotos situados fuera de la Web
o del servidor de aplicaciones.
Geré Legal (E) |
Giña Granadino
| Utilizar autenticación y autorización basadas en sesión.
¡No hacer uso de "claves API" estáticas y similares.

Utilizar el mismo estilo de codificación entre el cliente y

el servidor.

El acceso a las funciones de administración y

administración dentro de la Aplicación de servicios web
está limitado a administradores de servicios web.

Todas las entradas están limitadas a un límite de tamaño

datos, deben codificarse, en particular cuando los

componentes están en contenedores diferentes o en
sistemas diferentes.

Los componentes de terceros deben provenir de

repositorios de confianza.

Los componentes deben estar actualizados con la (s)

configuración (es) y versiones de seguridad apropiadas.
Esto debe incluir la eliminación de configuraciones
innecesarias y carpetas como aplicaciones de ejemplo,
documentación de la plataforma y usuarios
predeterminados o de ejemplo.

25
 Las implementaciones de aplicaciones estén
adecuadamente protegidas, contenidas o aisladas para
retrasar y disuadir a los atacantes de atacar otras

Los procesos de creación y despliegue de aplicaciones

se realicen de forma segura.

Gereñhte Legal (E)

Gina Granadino

26