ANEXO ESPECIFICACIONES Y REQUERIMIENTOS

TÉCNICOS MÍNIMOS

ANEXO . ESPECIFICACIONES Y REQUERIMIENTOS

TÉCNICOS MÍNIMOS

1. Objeto: Adquisición e implementación de certificados de firma digital de funcionario público

y SIIF y certificados de seguridad - SSL de validación extendida y sitio seguro para la Agencia
Nacional de Minería.

2. CLASIFICACIÓN UNSPSC

CÓDIGO
UNSPSC SEGMENTO FAMILIA CLASE
43: Difusión de Tecnologías de 32: Software de
43233200 23: Software
Información y Telecomunicaciones seguridad y protección

3. CUADRO DE CANTIDADES

ÍTEM DESCRIPCIÓN CANTIDAD

1 Certificado SSL Premium EV, vigencia 1 año. 4

2 Certificado SSL Wildcard 1

Certificados de Firma digital SIIF Nación y VUCE,
3 50
certificados de firma digital en custodia (virtual)
Soporte técnico para la interfaz de programación de
4 aplicaciones (API) y componente de certificado en 1
custodia con que cuenta la ANM.

4. CARACTERISTICAS TÉCNICAS

4.1 Certificados SSL Premium EV Validación Extendida

Barra de direcciones Verde (validación extendida) que permite desplegar el nombre del titular del
certificado SSL en cualquier navegador.

Nivel de cifrado de mínimo 128 Bits hasta 256 Bits con Cifrado forzado SGC2 en el 100% de las
sesiones web.

Avenida Calle 26 No. 59-51 Torre 4 Piso 10, Bogotá D.C.

www.anm.gov.co
 ANEXO ESPECIFICACIONES Y REQUERIMIENTOS
TÉCNICOS MÍNIMOS

Compatibilidad con algoritmos de cifrado ECC (curva elíptica), DSA y RSA con la posibilidad de
generar un certificado SSL para la misma URL por cada algoritmo de cifrado (ECC, RSA y DSA).

Valor mínimo de garantía ($750.000 USD) por incumplimiento por parte del emisor del certificado.

Escaneo automático semanal en búsqueda de vulnerabilidades con reportes detallados en PDF.

Escaneo automático diario de malware para detectar códigos maliciosos en el código fuente del sitio
asegurado con el certificado SSL.

Sello de seguridad dinámico que permita visualizar que el sitio está libre de malware, que se analiza
periódicamente en búsqueda de vulnerabilidades, que el flujo de información entre navegador y
servidor es 100% confidencial y que la identidad propietaria del sitio ha sido verificada por un
tercero de confianza.

Sello en motores de búsqueda que permite en los motores de búsqueda de los navegadores web
mostrar el portal web asegurado con el certificado SSL un sello de seguridad.

Compatibilidad universal con navegadores y dispositivos móviles.

Número de SAN (Subject Alternative Names) que es compatible por cada Certificado SSL

Tiempo de obtención de cada Certificado SSL

Reemisión sin costo durante la vigencia del certificado.

Soporte técnico especializado con disponibilidad 7x24 totalmente en español, las líneas de soporte
deberán estar ubicadas Colombia.

3.3 Consola gestión certificados

La entrega de todos los certificados SSL deberá efectuarse a través de un sistema administrador de
infraestructura de llaves públicas o MPKI que permita:

 Gestionar la cantidad total de certificados SSL comprados por la entidad.

 Obtener el certificado SSL de forma INMEDIATA luego de cargada la petición (request o csr).
 La administración de los escaneos de seguridad (de malware y de vulnerabilidades) y la
generación de los reportes en PDF.
 Ingresar al sistema de administración del certificado SSL con un esquema seguro de
autenticación de doble factor con certificado digital.

Avenida Calle 26 No. 59-51 Torre 4 Piso 10, Bogotá D.C.

www.anm.gov.co
 ANEXO ESPECIFICACIONES Y REQUERIMIENTOS
TÉCNICOS MÍNIMOS

 Obtener un certificado SSL para la misma URL por cada algoritmo de cifrado (ECC, RSA y DSA).
 Creación de usuarios con perfiles de administrador.
 Acceso a la plataforma administradora de la red de la ANM

3.4 Funcionalidad de los certificados

El proponente debe apoyar el personal encargado de ejecutar las tareas de la instalación,

configuración, y puesta en producción de los certificados digitales y deberá hacerlo en conjunto con
el personal que la entidad designe, se debe entregar un instructivo o manual técnico de la
instalación, que permita a los funcionarios de la Entidad realizar instalaciones posteriores.

EI proponente debe brindar soporte, recomendaciones y asesoría, sobre conceptos técnicos

relacionados con los certificados digitales y sus efectos durante la vigencia del certificado o firma
digital.

El proponente debe apoyar a la entidad en la implementación de los certificados SSL en ambiente

de producción. En caso que la Entidad requiera hacer una migración de los servidores existentes a
nuevas versiones el proponente debe brindar asesoría y soporte en los procesos de instalación,
configuración, y puesta en producción de los certificados digitales durante la vigencia de los
certificados.

El Certificado Digital debe permitir al visitante validar que el sitio se encuentra protegido por un
certificado SSL y que puede verificar la autenticidad del certificado y la información del titular
directamente en el sitio.

El Certificado Digital debe permitir al visitante verificar que el sitio se encuentra libre de software
malicioso y que es un sitio de confianza.

El Certificado Digital deberá brindar para todos los resultados de búsqueda a través de los
principales buscadores de Internet (por ejemplo, Google) una relación con el sitio protegido.

Debe brindar un escaneo diario de software malicioso en el sitio protegido para evitar que algún
atacante publique malware en el sitio que pueda comprometer la confianza del sitio protegido.

3.5 Certificado SSL Wildcard

Avenida Calle 26 No. 59-51 Torre 4 Piso 10, Bogotá D.C.

www.anm.gov.co
 ANEXO ESPECIFICACIONES Y REQUERIMIENTOS
TÉCNICOS MÍNIMOS

Se requiere un certificado wildkcar para el dominio *.anm.gov.co además que estos certificados se
deben entregar en formato para instalación en Linux (crt y .cer) y Windows (.pfx), con sus respectivas
llaves.

3.6 Certificados de firma digital

Los certificados emitidos para la Agencia Nacional de Minería corresponderán a las necesidades y
de acuerdo a las siguientes características:

3.6.1 Método de Almacenamiento:

- Por hardware (físico) o

- Por software (virtual)

3.6.2 Tipo de Certificado:

- Certificados de Representación de Empresa/Entidad, o

- Certificados de Pertenencia a Empresa, o
- Certificados de Función Pública

3.6.3 Características

Los certificados digitales emitidos deben cumplir con el estándar UIT X.509 V3 y las disposiciones de
campos mínimos requeridos, definidas por la Ley 527 de 1999 Y el Decreto 1747 de 2000.

Los certificados digitales cuyo método de almacenamiento sea virtual deberán usar el componente
API de verificación de firma digital de documentos PDF y el componente API de firma en el cliente,
implementado en la Entidad.

Los certificados digitales cuyo método de almacenamiento sea por hardware o físicos el contratista,
deberá:

 Garantizar su entrega, funcionalidad y seguridad.

 Proveer al suscriptor una guía en medio extraíble para la instalación y configuración del
certificado digital.

 Entregar a solicitud de la entidad los certificados digitales almacenados en un dispositivo

criptográfico llamado token, en el tiempo indicado por el supervisor del contrato.

Avenida Calle 26 No. 59-51 Torre 4 Piso 10, Bogotá D.C.

www.anm.gov.co
 ANEXO ESPECIFICACIONES Y REQUERIMIENTOS
TÉCNICOS MÍNIMOS

 El emisor de los certificados de firma digital deberá estar acreditado por el Organismo
Nacional de Acreditación de Colombia – ONAC.

 Los certificados deben proveer la Confidencialidad, Integridad de los Datos, No repudio,

Identificación y autenticación, para los usuarios o suscriptores correspondientes.

3.6.4 Vigencia del certificado de firma digital

Cada certificado digital tendrá una vigencia de un año, contados a partir de la fecha de expedición,
para lo cual el contratista deberá notificar al supervisor del contrato, inmediatamente sea expedido
el certificado, a través del correo electrónico la fecha de expedición del certificado digital.

3.7 SOPORTE A COMPONENTE API DE FIRMA DIGITAL PARA DOCUMENTOS PDF, IMPLEMENTADO
EN LA ENTIDAD

Componente API de verificación de firma digital de documentos PDF.

Librería componente integrable de software en la funcionalidad de verificación de firma digital para

documentos en formato PDF que permita ser implementada en el lado del servidor y verificar firmas
digitales de manera automatizada. Este componente únicamente permite verificar firmas digitales
para documentos con formato PDF, no funciona con otros tipos de formato de documentos.

El contratista debe garantizar el suministro, soporte, actualización de versión, y/o ajustes requeridos
por la entidad, del componente API de verificación de firma digital con el que actualmente cuenta
la Agencia Nacional de Minería.

Componente de firma en cliente para documentos PDF:

El Componente API permite la firma digital y estampado cronológico de documentos PDF generados
en el servidor, mediante la identificación del certificado digital de firma a usar, desde el browser del
usuario usando una aplicación web de la institución. Componente compatible con navegadores de
Internet: Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Android y Opera y sistemas
operativos: Microsoft Windows, Linux y Mac OS.

El contratista debe garantizar el suministro, soporte y actualización de versión, y/o ajustes

requeridos por la entidad, del componente API de verificación de firma digital con el que
actualmente cuenta la Agencia Nacional de Minería.

4 SOPORTE TÉCNICO

Avenida Calle 26 No. 59-51 Torre 4 Piso 10, Bogotá D.C.

www.anm.gov.co
 ANEXO ESPECIFICACIONES Y REQUERIMIENTOS
TÉCNICOS MÍNIMOS

Se debe proporcionar a la entidad una asesoría en las actividades a desarrollar por parte de los
ingenieros de la firma contrattista, brindando soporte en todos los aspectos concernientes a los
certificados de firma digital y sitio seguro como mínimo:

 Dar soporte, durante la vigencia del certificado, con orientación de capacitación técnica,
explicación de estructuras y en general sobre asuntos que se consideren relacionados con la
implementación de los certificados digitales SSL y de firma digital.

 El servicio de soporte técnico deberá ser prestado en horario lunes a viernes de 7:30 a.m. a 4:30
p.m. y se deberá indicar los datos de contacto donde se solicitará el soporte en caso que la
entidad lo requiera.

 El proveedor deberá atender los requerimientos de soporte reportados y efectuará Asistencia

Técnica ante la presencia de fallas inicialmente de forma remota vía telefónica y se realizará un
diagnóstico del problema, si este diagnóstico determina que se requiere el servicio en sitio, se
deberá desplazar un técnico a las oficinas y en los horarios establecidos por la entidad.

 El servicio de soporte técnico, debe garantizar una adecuada operación de los productos
ofrecidos.

 El soporte y servicio debe brindarse en forma proactiva y preventiva con el fin de evitar, al
máximo, la interrupción del servicio y garantizar la operación correcta y permanente del
sistema.

5 TRANSFERENCIA CONOCIMIENTO

 El contratista dentro de sus actividades de soporte, deberá realizar mínimo 2 sesiones de

capacitación presencial para un número mínimo de 4 personas y se debe hacer entrega de
memorias y certificado de asistencia a la capacitación.

6 INFORME DE IMPLEMENTACIÓN

El contratista deberá entregar, previo al trámite de radicación de factura, un informe de

implementación y entrega de los certificados en formato de informe entregado por la ANM.

El informe deberá especificar las cantidades entregadas de cada producto.

Avenida Calle 26 No. 59-51 Torre 4 Piso 10, Bogotá D.C.

www.anm.gov.co
 ANEXO ESPECIFICACIONES Y REQUERIMIENTOS
TÉCNICOS MÍNIMOS

Se deberá relacionar los datos de funcionarios de la entidad que participaron en los procesos de
capacitación.

7 SGSI

El contratista debe cumplir con la política de seguridad de la información y la política de privacidad

de los datos de la ANM, así como con los requerimientos del SGSI de la ANM.

El contratista debe realizar el hardening sobre la solución, dados los análisis de vulnerabilidades
realizados por la ANM, con su respectivo plan de remediación. Esta información se debe entregar
de forma trimestral a la ANM.

El contratista deberá cumplir con la política de llaves criptográficas.

CONOCEMOS, ACEPTAMOS Y NOS COMPROMETEMOS A CUMPLIR CON TODOS LOS

REQUERIMIENTOS MÍNIMOS OBLIGATORIOS ESTABLECIDOS EN ESTE DOCUMENTO, LOS CUALES
SE ENTENDERÁN COMO OFERTA TÉCNICA MÍNIMA.

FIRMA DEL OFERENTE: ______________________________

NOMBRE DEL OFERENTE: ____________________________
NOMBRE DE LA EMPRESA OFERENTE: ___________________________

Avenida Calle 26 No. 59-51 Torre 4 Piso 10, Bogotá D.C.

www.anm.gov.co