Bases Banda Ancha Al 06032015 - 20150312 - 103533 - 034

DIRECCIÓN DE ECONOMÍA Y FINANZAS DE LA POLICÍA NACIONAL DEL PERÚ
CONCURSO PUBLICO Nº 01-2015-DIREJADM-DIRLOG-DIVABA-PNP

“CONTRATACION DE SERVICIO DE BANDA ANCHA DE ACCESO A INTERNET PARA COMISARIAS A NIVEL NACIONAL Y
UNIDADES ESPECIALIZADAS A NIVEL NACIONAL, TRANSMISION DE DATOS IP VPN PARA COMPLEJOS POLICIALES Y
PUESTOS DE FRONTERAS PNP SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA”
BASES ESTÁNDAR DE CONCURSO

PÚBLICO PARA LA CONTRATACIÓN DE
SERVICIOS O PARA CONSULTORÍA EN
GENERAL
Aprobada mediante Directiva Nº 018-2012-OSCE/CD
SUB DIRECCIÓN DE NORMATIVIDAD – DIRECCIÓN TÉCNICO NORMATIVA

ORGANISMO SUPERVISOR DE LAS CONTRATACIONES DEL ESTADO - OSCE
SIMBOLOGÍA UTILIZADA:
Nº Símbolo Descripción
La información solicitada dentro de los corchetes sombreados debe ser completada
1 [ABC] / […….] por la Entidad durante la elaboración de las Bases.
Es una indicación, o información que deberá ser completada por la Entidad con
posterioridad al otorgamiento de la Buena Pro para el caso específico de la
2 [ABC] / […….] elaboración de la PROFORMA DEL CONTRATO; o por los contratistas, en el
caso de los ANEXOS y en la rotulación de los sobres de la Propuesta Técnica y
Económica.
IMPORTANTE: Se refiere a consideraciones importantes a tener en cuenta por el Comité Especial
3
 Abc o por los contratistas. Se debe registrar en color azul.
CARACTERÍSTICAS DEL DOCUMENTO:
Las Bases Estándar deben ser elaboradas en formato WORD, y deben tener las siguientes características:
Nº Características Parámetros
Superior : 2.5 cm Inferior: 2.5 cm
1 Márgenes
Izquierda: 2.5 cm Derecha: 2.5 cm
2 Fuente Arial
Normal: Para el contenido en general
3 Estilo de Fuente Cursiva: Para el encabezado y pie de página
Para las Consideraciones importantes (Ítem 3 del cuadro anterior)
Automático: Para el contenido en general

4 Color de Fuente
Azul : Para las Consideraciones importantes (Ítem 3 del cuadro anterior)
16 : Para las dos primeras hojas de las Secciones General y Específica

11 : Para el nombre de los Capítulos.
10 : Para el cuerpo del documento en general
5 Tamaño de Letra
9 : Para el encabezado y pie de página
Para el contenido de los cuadros, pudiendo variar, según la necesidad
8 : Para las Notas al pie
Justificada: Para el contenido en general y notas al pie.
6 Alineación Centrada : Para la primera página, los títulos de las Secciones y nombres de los
Capítulos.
7 Interlineado Sencillo
Anterior : 0
8 Espaciado
Posterior : 0
Para los nombres de las Secciones y para resaltar o hacer hincapié en algún
9 Subrayado
concepto
INSTRUCCIONES DE USO:
1. Una vez registrada la información solicitada dentro de los corchetes sombreados en gris, el texto
deberá quedar en letra tamaño 10, con estilo normal, sin formato de negrita y sin sombrear.
2. La nota IMPORTANTE no puede ser modificada ni eliminada en la Sección General. En el caso de la

Sección Específica debe seguirse la instrucción que se indica en dicha nota.
Elaborado en abril 2014

BASES ESTÁNDAR DE CONCURSO PÚBLICO PARA LA

CONTRATACIÓN DE SERVICIOS O PARA
CONSULTORÍA EN GENERAL1
CONCURSO PÚBLICO
Nº 01-2015- DIREJADM-DIRLOG-DIVABA-PNP
PRIMERA CONVOCATORIA
“CONTRATACION DE SERVICIO DE BANDA ANCHA DE

ACCESO A INTERNET PARA COMISARIAS A NIVEL
NACIONAL Y UNIDADES ESPECIALIZADAS A NIVEL
NACIONAL, TRANSMISION DE DATOS IP VPN PARA
COMPLEJOS POLICIALES Y PUESTOS DE FRONTERAS PNP
SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA
OSCURA”
1
Estas Bases se utilizarán para la contratación de servicios en general o para la contratación de servicios de
consultoría en general. Para tal efecto, se deberá tener en cuenta las siguientes definiciones:
4
Servicio en general: La actividad o labor que realiza una persona natural o jurídica para atender una necesidad de
la Entidad, pudiendo estar sujeta a resultados para considerar terminadas sus prestaciones.
SECCIÓN GENERAL
DISPOSICIONES COMUNES DEL PROCESO DE

SELECCIÓN
(ESTA SECCIÓN NO DEBE SER MODIFICADA EN NINGÚN EXTREMO, BAJO SANCIÓN DE NULIDAD)
5
CAPÍTULO I
ETAPAS DEL PROCESO DE SELECCIÓN
1.1. BASE LEGAL
- Ley N° 28411 - Ley General del Sistema Nacional del Presupuesto.

- Decreto Legislativo N° 1017 - Ley de Contrataciones del Estado, en adelante la
Ley.
- Decreto Supremo N° 184-2008-EF - Reglamento de la Ley de Contrataciones
del Estado, en adelante el Reglamento.
- Directivas del OSCE.
- Ley N° 27444 – Ley del Procedimiento Administrativo General.
- Código Civil.
- Ley 27806 – Ley de Transparencia y de Acceso a la Información Pública.
- Decreto Supremo Nº 007-2008-TR - Texto Único Ordenado de la Ley de
Promoción de la Competitividad, Formalización y Desarrollo de la Micro y
Pequeña Empresa y del acceso al empleo decente, Ley MYPE.
- Decreto Supremo Nº 008-2008-TR - Reglamento de la Ley MYPE.
Las referidas normas incluyen sus respectivas modificaciones, de ser el caso.
Para la aplicación del derecho deberá considerarse la especialidad de las normas

previstas en las presentes Bases.
1.2. CONVOCATORIA
Se efectuará de conformidad con lo señalado en el artículo 51 del Reglamento, en

la fecha señalada en el cronograma.
1.3. REGISTRO DE PARTICIPANTES
El registro de participantes se efectuará desde el día siguiente de la convocatoria y

hasta un (1) día hábil después de haber quedado integradas las Bases. En el caso
de propuestas presentadas por un consorcio, bastará que se registre uno (1) de
sus integrantes, de conformidad con el artículo 53 del Reglamento.
La persona natural o persona jurídica que desee participar en el proceso de

selección deberá contar con inscripción vigente en el Registro Nacional de
proveedores (RNP) conforme al objeto de la convocatoria. La Entidad verificará la
vigencia de la inscripción en el RNP y que no se encuentre inhabilitada para
contratar con el Estado.
Al registrarse, el participante deberá señalar la siguiente información: Nombres,

apellidos y Documento Nacional de Identidad (DNI), en el caso de persona natural;
razón social de la persona jurídica; número de Registro Único de Contribuyentes
(RUC); domicilio legal; teléfono y fax.
IMPORTANTE:

Para registrarse como participante en un proceso de selección convocado por las Entidades del Estado Peruano,
es necesario que los proveedores cuenten con inscripción vigente ante el Registro Nacional de Proveedores
(RNP) que administra el Organismo Supervisor de las Contrataciones del Estado (OSCE). Para obtener mayor
información, podrá ingresarse a la siguiente dirección electrónica: www.rnp.gob.pe.
6
1.4. FORMULACIÓN DE CONSULTAS A LAS BASES
Las consultas a las Bases serán presentadas por un periodo mínimo de cinco (5)
días hábiles, contados desde el día siguiente de la convocatoria, de conformidad
con lo establecido en el artículo 55 del Reglamento.
1.5. ABSOLUCIÓN DE CONSULTAS A LAS BASES
La decisión que tome el Comité Especial con relación a las consultas presentadas
constará en el pliego absolutorio que se notificará a través del SEACE, de
conformidad con lo establecido en el artículo 54 del Reglamento, en la fecha
señalada en el cronograma del proceso de selección.
El plazo para la absolución no podrá exceder de cinco (5) días hábiles contados
desde el vencimiento del plazo para recibir las consultas.
IMPORTANTE:

No se absolverán consultas a las Bases que se presenten extemporáneamente o que sean formuladas por
quienes no se han registrado como participantes.
1.6. FORMULACIÓN DE OBSERVACIONES A LAS BASES
Las observaciones a las Bases serán presentadas dentro de los cinco (5) días
hábiles siguientes de haber finalizado el término para la absolución de las
consultas, de conformidad con lo establecido en el artículo 57 del Reglamento.
1.7. ABSOLUCIÓN DE OBSERVACIONES A LAS BASES
El Comité Especial notificará la absolución de las observaciones a través del

SEACE, de conformidad con lo establecido en el artículo 56 del Reglamento, en la
fecha señalada en el cronograma del proceso de selección.
El plazo para la absolución no podrá exceder de los cinco (5) días hábiles desde el
vencimiento del plazo para recibir observaciones.
El Comité Especial debe incluir en el pliego de absolución de observaciones el

requerimiento de pago de la tasa por concepto de elevación de observaciones al
OSCE.
IMPORTANTE:

No se absolverán observaciones a las Bases que se presenten extemporáneamente o que sean formuladas por
quienes no se han registrado como participantes.
1.8. ELEVACIÓN DE OBSERVACIONES AL OSCE
El plazo para solicitar la elevación de observaciones para el pronunciamiento del

OSCE es de tres (3) días hábiles, computados desde el día siguiente de la
notificación del pliego absolutorio a través del SEACE.
Los participantes pueden solicitar la elevación de las observaciones para la

emisión de pronunciamiento, en los siguientes supuestos:
1. Cuando las observaciones presentadas por el participante no fueron acogidas

o fueron acogidas parcialmente;
2. Cuando a pesar de ser acogidas sus observaciones, el participante considere

que tal acogimiento continúa siendo contrario a lo dispuesto por el artículo 26
de la Ley, cualquier otra disposición de la normativa sobre contrataciones del
Estado u otras normas complementarias o conexas que tengan relación con
7
el proceso de selección; y
3. Cuando el participante considere que el acogimiento de una observación

formulada por otro participante resulta contrario a lo dispuesto por el artículo
26 de la Ley, cualquier otra disposición de la normativa sobre contrataciones
del Estado u otras normas complementarias o conexas que tengan relación
con el proceso de selección. En este caso, el participante debe haberse
registrado como tal hasta el vencimiento del plazo para formular
observaciones.
El Comité Especial, bajo responsabilidad, deberá remitir la totalidad de la

documentación requerida para tal fin por el TUPA del OSCE, a más tardar al día
siguiente de vencido el plazo para que los participantes soliciten la elevación de
observaciones.
La emisión y publicación del pronunciamiento en el SEACE, debe efectuarse dentro

de los diez (10) días hábiles siguientes de recibido el expediente completo por el
OSCE.
1.9. INTEGRACIÓN DE LAS BASES
Las Bases integradas constituyen las reglas definitivas del proceso de selección
por lo que deberán contener las correcciones, precisiones y/o modificaciones
producidas como consecuencia de la absolución de las consultas y de las
observaciones, las dispuestas por el pronunciamiento, así como las requeridas por
el OSCE en el marco de sus acciones de supervisión.
Una vez integradas, las Bases no podrán ser cuestionadas en ninguna otra vía ni
modificadas por autoridad administrativa alguna, bajo responsabilidad del Titular de
la Entidad. Esta restricción no afecta la competencia del Tribunal para declarar la
nulidad del proceso por deficiencias en las Bases.
El Comité Especial integrará y publicará las Bases teniendo en consideración los

siguientes plazos:
1. Cuando no se hayan presentado observaciones, al día siguiente de vencido el

plazo para formularlas.
2. Cuando se hayan presentado observaciones, al día siguiente de vencido el

plazo para que los participantes soliciten la elevación de dichas
observaciones para la emisión de pronunciamiento, siempre que ningún
participante haya hecho efectivo tal derecho.
3. Cuando se haya solicitado la elevación de observaciones, dentro de los dos

(2) días hábiles siguientes de notificado el pronunciamiento respectivo en el
SEACE.
Corresponde al Comité Especial, bajo responsabilidad, integrar las Bases y

publicarlas en el SEACE, conforme lo establecen los artículos 59 y 60 del
Reglamento.
De conformidad con el artículo 31 del Reglamento, el Comité Especial no podrá

efectuar modificaciones de oficio al contenido de las Bases, bajo responsabilidad.
8
1.10. FORMA DE PRESENTACIÓN DE PROPUESTAS Y ACREDITACIÓN
Todos los documentos que contengan información referida a los requisitos para la
admisión de propuestas y factores de evaluación se presentan en idioma castellano
o, en su defecto, acompañados de traducción oficial o sin valor oficial efectuada por
traductor público juramentado o traducción certificada efectuada por traductor
colegiado certificado, salvo el caso de la información técnica complementaria
contenida en folletos, instructivos, catálogos o similares, que puede ser presentada
en el idioma original. El contratista es responsable de la exactitud y veracidad de
dichos documentos.
Las propuestas se presentarán en dos (2) sobres cerrados, de los cuales el primero
contendrá la propuesta técnica y el segundo la propuesta económica.
Si las propuestas se presentan en hojas simples se redactarán por medios

mecánicos o electrónicos y serán foliadas correlativamente empezando por el
número uno.
Asimismo, cuando las propuestas tengan que ser presentadas total o parcialmente
mediante formularios o formatos, éstos podrán ser llenados por cualquier medio,
incluyendo el manual.
En ambos supuestos, las propuestas deben llevar el sello y la rúbrica del

contratista o de su representante legal o mandatario designado para dicho fin,
salvo que el contratista sea persona natural, en cuyo caso bastará que éste o su
apoderado, indique debajo de la rúbrica sus nombres y apellidos completos.
Las personas naturales podrán concurrir personalmente o a través de su

apoderado debidamente acreditado ante el Comité Especial, mediante carta poder
simple (Formato N° 1). Las personas jurídicas lo harán por medio de su
representante legal acreditado con copia simple del documento registral vigente
que consigne dicho cargo o a través de su apoderado acreditado con carta poder
simple suscrita por el representante legal, a la que se adjuntará el documento
registral vigente que consigne la designación del representante legal, expedido con
una antigüedad no mayor de treinta (30) días calendario a la presentación de
propuestas. (Formato Nº 1)
En el caso de consorcios, la propuesta puede ser presentada por el representante

común del consorcio, o por el apoderado designado por éste, o por el
representante legal o apoderado de uno de los integrantes del consorcio que se
encuentre registrado como participante, conforme a lo siguiente:
1. En el caso que el representante común del consorcio presente la propuesta,

éste debe presentar copia simple de la promesa formal de consorcio.
2. En el caso que el apoderado designado por el representante común del

consorcio presente la propuesta, este debe presentar carta poder simple
suscrita por el representante común del consorcio y copia simple de la
promesa formal de consorcio.
3. En el caso del representante legal o apoderado de uno de los integrantes del

consorcio que se encuentre registrado como participante, la acreditación se
realizará conforme a lo dispuesto en el sexto párrafo del presente numeral,
según corresponda.
IMPORTANTE:

Las Entidades someten a fiscalización posterior conforme a lo previsto en el artículo 32 de la Ley N° 27444, Ley
del Procedimiento Administrativo General, la documentación, declaraciones y traducciones presentadas por el
ganador de la Buena Pro.
9
1.11. PRESENTACIÓN DE PROPUESTAS
La presentación de propuestas se realiza en acto público, en la fecha y hora

señaladas en el cronograma del proceso.
El acto se inicia cuando el Comité Especial empieza a llamar a los participantes en

el orden en que se registraron para participar en el proceso, para que entreguen
sus propuestas. Si al momento de ser llamado el participante no se encuentra
presente, se le tendrá por desistido. Si algún participante es omitido, podrá
acreditarse con la presentación de la constancia de su registro como participante.
Los integrantes de un consorcio no podrán presentar propuestas individuales ni

conformar más de un consorcio.
IMPORTANTE:

En caso de convocarse según relación de ítems, los integrantes de un consorcio no podrán presentar propuestas
individuales ni conformar más de un consorcio en un mismo ítem, lo que no impide que puedan presentarse
individualmente o conformando otro consorcio en ítems distintos.
En el caso que el Comité Especial rechace la acreditación del apoderado,

representante legal o representante común, según corresponda en atención al
numeral 1.10, y este exprese su disconformidad, se anotará tal circunstancia en el
acta y el Notario (o Juez de Paz) mantendrá la propuesta y los documentos de
acreditación en su poder hasta el momento en que el participante formule
apelación. Si se formula apelación se estará a lo que finalmente se resuelva al
respecto.
Después de recibidas las propuestas, el Comité Especial procederá a abrir los

sobres que contienen la propuesta técnica de cada contratista, a fin de verificar que
los documentos presentados por cada contratista sean los solicitados en las Bases.
En el caso que de la revisión de la propuesta se adviertan defectos de forma, tales

como errores u omisiones subsanables en los documentos presentados que no
modifiquen el alcance de la propuesta técnica, o la omisión de presentación de uno
o más documentos que acrediten el cumplimiento de los requerimientos técnicos
mínimos —siempre que se trate de documentos emitidos por autoridad pública
nacional o un privado en ejercicio de función pública, tales como autorizaciones,
permisos, títulos, constancias y/o certificados que acrediten estar inscrito o integrar
un registro, y otros de naturaleza análoga, para lo cual deben haber sido obtenidos
por el contratista con anterioridad a la fecha establecida para la presentación de
propuestas—, se actuará conforme lo dispuesto en el artículo 68 del Reglamento.
Este es el único momento en que puede otorgarse plazo para subsanar la
propuesta técnica.
En el caso de advertirse que la propuesta no cumple con lo requerido por las

Bases, y no se encuentre dentro de los supuestos señalados en el párrafo anterior,
se devolverá la propuesta, teniéndola por no admitida, salvo que el contratista
exprese su disconformidad, en cuyo caso se anotará tal circunstancia en el acta y
el Notario (o Juez de Paz) mantendrá la propuesta en su poder hasta el momento
en que el contratista formule apelación. Si se formula apelación se estará a lo que
10
finalmente se resuelva al respecto.
Después de abierto cada sobre que contiene la propuesta técnica, el Notario (o

Juez de Paz) procederá a sellar y firmar cada hoja de los documentos de la
propuesta técnica. A su vez, si las Bases han previsto que la evaluación y
calificación de las propuestas técnicas se realice en fecha posterior, el Notario (o
Juez de Paz) procederá a colocar los sobres cerrados que contienen las
propuestas económicas dentro de uno o más sobres, los que serán debidamente
sellados y firmados por él, por los miembros del Comité Especial y por los
contratistas que así lo deseen, conservándolos hasta la fecha en que el Comité
Especial, en acto público, comunique verbalmente a los contratistas el resultado de
la evaluación de las propuestas técnicas.
Al terminar el acto público, se levantará un acta, la cual será suscrita por el Notario
(o Juez de Paz), por todos sus miembros, así como por los veedores y los
contratistas que lo deseen.
De conformidad con lo dispuesto en el artículo 64 del Reglamento, en los actos de

presentación de propuestas y otorgamiento de la Buena Pro se podrá contar con la
presencia de un representante del Sistema Nacional de Control, quien participará
como veedor y deberá suscribir el acta correspondiente, su inasistencia no viciará
el proceso.
1.12. CONTENIDO DE LA PROPUESTA ECONÓMICA
La propuesta económica (Sobre Nº 2) deberá incluir obligatoriamente lo siguiente:
La oferta económica, en la moneda que corresponda, incluidos todos los tributos,

seguros, transportes, inspecciones, pruebas y, de ser el caso, los costos laborales
conforme a la legislación vigente, así como cualquier otro concepto que pueda
tener incidencia sobre el costo del servicio a contratar; excepto la de aquellos
contratistas que gocen de exoneraciones legales. La Entidad no reconocerá pago
adicional de ninguna naturaleza.
El monto total de la propuesta económica y los subtotales que lo componen

deberán ser expresados con dos decimales. Los precios unitarios podrán ser
expresados con más de dos decimales.
IMPORTANTE:

Tratándose de un proceso según relación de ítems, cuando los contratistas se presenten a más de un ítem,
deberán presentar sus propuestas económicas en forma independiente. 2
1.13. EVALUACIÓN DE PROPUESTAS
La evaluación de propuestas se realizará en dos (2) etapas: La evaluación técnica

y la evaluación económica.
Los máximos puntajes asignados a las propuestas son los siguientes:
Propuesta Técnica : 100 puntos

Propuesta Económica : 100 puntos
2
Luego de efectuada la evaluación técnica, cabe la posibilidad que dicho contratista haya obtenido el puntaje
necesario para acceder a la evaluación económica únicamente en algunos de los ítems a los que se presentó, por
lo que, de acuerdo con el artículo 71 del Reglamento, correspondería devolver las propuestas económicas sin
abrir, lo que no resultaría posible si la totalidad de las propuestas económicas del contratista se incluyen en un solo
sobre.
11
1.13.1. EVALUACIÓN TÉCNICA
Se verificará que la propuesta técnica cumpla con los requerimientos

técnicos mínimos contenidos en las presentes Bases. Las propuestas que
no cumplan dichos requerimientos no serán admitidas.
Sólo aquellas propuestas admitidas y aquellas a las que el Comité Especial

hubiese otorgado plazo de subsanación, pasarán a la evaluación técnica.
En aquellos casos en los que se hubiese otorgado plazo para la

subsanación de la propuesta, el Comité Especial deberá determinar si se
cumplió o no con la subsanación solicitada. Si luego de vencido el plazo
otorgado, no se cumple con la subsanación, el Comité Especial tendrá la
propuesta por no admitida.
Una vez cumplida la subsanación de la propuesta o vencido el plazo

otorgado para dicho efecto, se continuará con la evaluación de la
propuestas técnicas admitidas, asignando los puntajes correspondientes,
conforme a la metodología de asignación de puntaje establecida para cada
factor.
Las propuestas técnicas que no alcancen el puntaje mínimo de ochenta (80)

puntos, serán descalificadas en esta etapa y no accederán a la evaluación
económica.
1.13.2. EVALUACIÓN ECONÓMICA
Si la propuesta económica excede el valor referencial, será devuelta por el

Comité Especial y se tendrá por no presentada, conforme lo establece el
artículo 33 de la Ley.
La evaluación económica consistirá en asignar el puntaje máximo

establecido a la propuesta económica de menor monto. Al resto de
propuestas se les asignará un puntaje inversamente proporcional, según la
siguiente fórmula:
Pi = Om x PMPE
Oi
Donde:
i = Propuesta
Pi = Puntaje de la propuesta económica i
Oi = Propuesta Económica i
Om = Propuesta Económica de monto o precio más bajo
PMPE = Puntaje Máximo de la Propuesta Económica
IMPORTANTE:

En caso el proceso se convoque bajo el sistema de precios unitarios, tarifas o porcentajes, el Comité
Especial deberá verificar las operaciones aritméticas de la propuesta que obtuvo el mayor puntaje total y,
de existir alguna incorrección, deberá corregirla a fin de consignar el monto correcto y asignarle el lugar
que le corresponda. Dicha corrección debe figurar expresamente en el acta respectiva.

Sólo cuando se haya previsto (según el caso concreto) aceptar propuestas económicas que incluyan
propuestas de financiamiento, la propuesta económica se evaluará utilizando el método del valor
presente neto del flujo financiero que comprenda los costos financieros y el repago de la deuda. Se
12
tomarán en cuenta todos los costos del financiamiento, tales como la tasa de interés, comisiones,
seguros y otros, así como la contrapartida de la Entidad si fuere el caso, conforme a las disposiciones
contenidas en el artículo 70 del Reglamento.
1.14. ACTO PÚBLICO DE OTORGAMIENTO DE LA BUENA PRO
En la fecha y hora señalada en las Bases, el Comité Especial se pronunciará sobre

la admisión y la evaluación técnica de las propuestas, comunicando los resultados
de esta última.
La evaluación de las propuestas económicas se realizará de conformidad con el

procedimiento establecido en las presentes Bases.
La determinación del puntaje total se hará de conformidad con el artículo 71 del

Reglamento.
El Comité Especial procederá a otorgar la Buena Pro a la propuesta ganadora,

dando a conocer los resultados del proceso de selección a través de un cuadro
comparativo en el que se consignará el orden de prelación en que hayan quedado
calificados los contratistas, detallando los puntajes técnico, económico y total
obtenidos por cada uno de ellos.
En el supuesto que dos (2) o más propuestas empaten, el otorgamiento de la

Buena Pro se efectuará observando lo señalado en el artículo 73 del Reglamento.
Al terminar el acto público se levantará un acta, la cual será suscrita por el Notario
(o Juez de Paz), por todos los miembros del Comité Especial y por los contratistas
que deseen hacerlo.
El otorgamiento de la Buena Pro se presumirá notificado a todos los contratistas en

la misma fecha, oportunidad en la que se entregaran a los contratistas copia del
acta de otorgamiento de la Buena Pro y el cuadro comparativo, detallando los
resultados en cada factor de evaluación. Dicha presunción no admite prueba en
contrario. Esta información se publicará el mismo día en el SEACE.
1.15. CONSENTIMIENTO DE LA BUENA PRO
Cuando se hayan presentado dos (2) o más propuestas, el consentimiento de la

Buena Pro se producirá a los ocho (8) días hábiles de la notificación de su
otorgamiento en acto público, sin que los contratistas hayan ejercido el derecho de
interponer el recurso de apelación. En este caso, el consentimiento se publicará en
el SEACE al día hábil siguiente de haberse producido.
En el caso que se haya presentado una sola oferta, el consentimiento de la Buena

Pro se producirá el mismo día de la notificación de su otorgamiento en acto público,
y podrá ser publicado en el SEACE ese mismo día o hasta el día hábil siguiente.
1.16. CONSTANCIA DE NO ESTAR INHABILITADO PARA CONTRATAR CON EL

ESTADO
De acuerdo con el artículo 282 del Reglamento, a partir del día hábil siguiente de
haber quedado consentida la Buena Pro o de haberse agotado la vía administrativa
conforme a lo previsto en el artículo 122 del Reglamento, el contratista ganador de
la Buena Pro debe solicitar ante el OSCE la expedición de la constancia de no
estar inhabilitado para contratar con el Estado.
13
CAPÍTULO II
SOLUCIÓN DE CONTROVERSIAS DURANTE EL PROCESO DE SELECCIÓN
2.1. RECURSO DE APELACIÓN
A través del recurso de apelación se impugnan los actos dictados durante el

desarrollo del proceso de selección, desde la convocatoria hasta aquellos emitidos
antes de la celebración del contrato.
El recurso de apelación se presenta ante y es resuelto por el Tribunal de

Contrataciones del Estado.
Los actos emitidos por el Titular de la Entidad que declaren la nulidad de oficio o
cancelen el proceso, podrán impugnarse ante el Tribunal de Contrataciones del
Estado.
2.2. PLAZOS DE INTERPOSICIÓN DEL RECURSO DE APELACIÓN
La apelación contra el otorgamiento de la Buena Pro o contra los actos dictados

con anterioridad a ella debe interponerse dentro de los ocho (8) días hábiles
siguientes de haberse otorgado la Buena Pro.
La apelación contra los actos distintos a los indicados en el párrafo anterior debe
interponerse dentro de los ocho (8) días hábiles siguientes de haberse tomado
conocimiento del acto que se desea impugnar.
14
CAPÍTULO III
DEL CONTRATO
3.1. DEL PERFECCIONAMIENTO DEL CONTRATO
Dentro del plazo de doce (12) días hábiles siguientes al consentimiento de la

Buena Pro o cuando esta haya quedado administrativamente firme, debe
suscribirse el contrato. Dentro del referido plazo: a) El contratista ganador debe
presentar la totalidad de la documentación prevista en las Bases, b) La Entidad, de
corresponder, solicita la subsanación de la documentación presentada y c) El
contratista ganador subsana las observaciones formuladas por la Entidad.
En el supuesto que el contratista ganador no presente la documentación y/o no

concurra a suscribir el contrato, en los plazos antes indicados, se procederá de
acuerdo a lo dispuesto en el artículo 148 del Reglamento, según corresponda.
El contrato será suscrito por la Entidad, a través del funcionario competente o

debidamente autorizado, y por el ganador de la Buena Pro, ya sea directamente o
por medio de su apoderado, tratándose de persona natural, y tratándose de
persona jurídica, a través de su representante legal, de conformidad con lo
establecido en el artículo 139 del Reglamento.
Para suscribir el contrato, el contratista ganador de la Buena Pro deberá presentar,

además de los documentos previstos en las Bases, los siguientes:
 Constancia vigente de no estar inhabilitado para contratar con el Estado.

 Garantía de fiel cumplimiento.
 Garantía de fiel cumplimiento por prestaciones accesorias, en caso
corresponda.
 Garantía por el monto diferencial de propuesta, en caso corresponda.
 Contrato de consorcio con firmas legalizadas de los integrantes, de ser el caso.
 Código de cuenta interbancario (CCI).
3.2. VIGENCIA DEL CONTRATO
En aplicación de lo dispuesto en el artículo 149 del Reglamento, el contrato tiene

vigencia desde el día siguiente de la suscripción del documento que lo contiene.
Dicha vigencia rige hasta que el funcionario competente dé la conformidad de la
recepción de la prestación a cargo del contratista y se efectúe el pago
correspondiente.
3.3. DE LAS GARANTÍAS
3.3.1. GARANTÍA DE FIEL CUMPLIMIENTO
El contratista ganador debe entregar a la Entidad la garantía de fiel

cumplimiento del contrato. Esta deberá ser emitida por una suma
equivalente al diez por ciento (10%) del monto del contrato original y tener
vigencia hasta la conformidad de la recepción de la prestación a cargo del
contratista.
De manera excepcional, respecto de aquellos contratos que tengan una

vigencia superior a un (1) año, previamente a la suscripción del contrato, las
Entidades podrán aceptar que el ganador de la Buena Pro presente la
garantía de fiel cumplimiento y de ser el caso, la garantía por el monto
15
diferencial de la propuesta, con una vigencia de un (1) año, con el

compromiso de renovar su vigencia hasta la conformidad de la recepción de
la prestación.
IMPORTANTE:

Al amparo de lo dispuesto en el artículo 39 de la Ley, en los casos de prestación de servicios de
ejecución periódica, alternativamente, las micro y pequeñas empresas pueden optar que, como garantía
de fiel cumplimiento, la Entidad retenga el diez por ciento (10%) del monto del contrato original. Para
estos efectos, la retención de dicho monto se efectuará durante la primera mitad del número total de
pagos a realizarse, de forma prorrateada, con cargo a ser devuelto a la finalización del mismo.
3.3.2. GARANTÍA DE FIEL CUMPLIMIENTO POR PRESTACIONES

ACCESORIAS
En caso el contrato conlleve a la ejecución de prestaciones accesorias, tales

como mantenimiento, reparación o actividades afines, se otorgará una
garantía adicional por este concepto, la misma que se renovará
periódicamente hasta el cumplimiento total de las obligaciones garantizadas,
no pudiendo eximirse su presentación en ningún caso.
3.3.3. GARANTÍA POR EL MONTO DIFERENCIAL DE PROPUESTA
Cuando la propuesta económica fuese inferior al valor referencial en más

del diez por ciento (10%) de éste, para la suscripción del contrato, el
contratista ganador deberá presentar una garantía adicional por un monto
equivalente al veinticinco por ciento (25%) de la diferencia entre el valor
referencial y la propuesta económica. Dicha garantía deberá tener vigencia
hasta la conformidad de la recepción de la prestación a cargo del
contratista.
3.4. REQUISITOS DE LAS GARANTÍAS
Las garantías que se presenten deberán ser incondicionales, solidarias,

irrevocables y de realización automática en el país al sólo requerimiento de la
Entidad. Asimismo, deben ser emitidas por empresas que se encuentren bajo la
supervisión de la Superintendencia de Banca, Seguros y Administradoras Privadas
de Fondos de Pensiones, y deben estar autorizadas para emitir garantías; o estar
consideradas en la lista actualizada de bancos extranjeros de primera categoría
que periódicamente publica el Banco Central de Reserva del Perú.
IMPORTANTE:

Corresponde a la Entidad verificar que las garantías presentadas por los contratistas o contratistas cumplen con
los requisitos y condiciones necesarios para su aceptación y eventual ejecución.
3.5. EJECUCIÓN DE GARANTÍAS
Las garantías se harán efectivas conforme a las estipulaciones contempladas en el

artículo 164 del Reglamento.
3.6. ADELANTOS
La Entidad entregará adelantos directos, conforme a lo previsto en el artículo 171

del Reglamento, siempre que ello haya sido previsto en la sección específica de las
Bases.
En el supuesto que no se entregue el adelanto en el plazo previsto, el contratista

tiene derecho a solicitar la ampliación del plazo de ejecución de la prestación por el
número de días equivalente a la demora, conforme al artículo 172 del Reglamento.
16
3.7. DE LAS PENALIDADES E INCUMPLIMIENTO DEL CONTRATO
Las penalidades por retraso injustificado en la ejecución del servicio y las causales
para la resolución del contrato, serán aplicadas de conformidad con los artículos
165 y 168 del Reglamento, respectivamente.
De acuerdo con los artículos 48 de la Ley y 166 del Reglamento, en las Bases o el
contrato podrán establecerse penalidades distintas a la mencionada en el artículo
165 del Reglamento, siempre y cuando sean objetivas, razonables y congruentes
con el objeto de la convocatoria, hasta por un monto máximo equivalente al diez
por ciento (10%) del monto del contrato vigente o, de ser el caso, del ítem que
debió ejecutarse. Estas penalidades se calcularán de forma independiente a la
penalidad por mora.
3.8. PAGOS
La Entidad deberá realizar todos los pagos a favor del contratista por concepto de
los servicios objeto del contrato. Dichos pagos se efectuarán después de
ejecutada la respectiva prestación; salvo que, por razones de mercado, el pago del
precio sea condición para la realización del servicio.
La Entidad deberá pagar las contraprestaciones pactadas a favor del contratista en

la forma y oportunidad (pago único o pagos parciales) establecida en las Bases o
en el contrato, siempre que el contratista los solicite presentando la documentación
que justifique el pago y acredite la ejecución de la prestación de los servicios,
conforme a la sección específica de las Bases
Para tal efecto, el responsable de otorgar la conformidad de la prestación de los

servicios, deberá hacerlo en un plazo que no excederá de los diez (10) días
calendario de ser éstos prestados, a fin que la Entidad cumpla con la obligación de
efectuar el pago dentro de los quince (15) días calendario siguientes, siempre que
se verifiquen las condiciones establecidas en el contrato.
En el caso que se haya suscrito contrato con un consorcio, el pago se realizará de

acuerdo a lo que se indique en el contrato de consorcio.
En caso de retraso en el pago, el contratista tendrá derecho al pago de intereses

conforme a lo establecido en el artículo 48 de la Ley, contado desde la oportunidad
en que el pago debió efectuarse.
3.9. DISPOSICIONES FINALES
Todos los demás aspectos del presente proceso no contemplados en las Bases se
regirán supletoriamente por la Ley y su Reglamento, así como por las disposiciones
legales vigentes.
17
SECCIÓN ESPECÍFICA
CONDICIONES ESPECIALES DEL PROCESO DE

SELECCIÓN
(EN ESTA SECCIÓN LA ENTIDAD DEBERÁ COMPLETAR LA INFORMACIÓN EXIGIDA, DE ACUERDO A LAS
INSTRUCCIONES INDICADAS)
18
CAPÍTULO I
GENERALIDADES
1.1. ENTIDAD CONVOCANTE
Nombre : Dirección de Economia y Finanzas de la Policía Nacional del

Perú
RUC Nº : 20165465009
Domicilio legal : Calle San Germán N° 200 - Rímac
Teléfono/Fax: : 381-1017
Correo electrónico: : dcontrataciones.divaba.dirlog@gmail.com
1.2. OBJETO DE LA CONVOCATORIA
El presente proceso de selección tiene por objeto la “CONTRATACION

DE SERVICIO DE BANDA ANCHA DE ACCESO A INTERNET PARA
COMISARIAS A NIVEL NACIONAL Y UNIDADES ESPECIALIZADAS A
NIVEL NACIONAL, TRANSMISION DE DATOS IP VPN PARA
COMPLEJOS POLICIALES Y PUESTOS DE FRONTERAS PNP
SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA”
1.3. VALOR REFERENCIAL3
El valor referencial asciende a Ciento Sesenta y Seis Millones Trescientos

Sesenta y Siete Mil, Novecientos Cuarenta con 00/100 Nuevos Soles
(S/.166,367,940.00), incluido los impuestos de Ley y cualquier otro concepto que
incida en el costo total del servicio. El valor referencial ha sido calculado al mes de
febrero de 2015.
Siendo la convocatoria por ítems, el valor referencial de cada ítem es el siguiente:
ÍTEM DESCRIPCION VALOR REFERENCIAL
a. Servicio de acceso a la VPN-PNP, Internet para el Nodo Central, sitio

de contingencia, Nodos remotos y puestos de frontera PNP
1 b. Servicio de Fibra Oscura principal y redundante entre Nodo Central y S/. 116’700,000.00
su Sitio de contingencia.
c. Servicio de acceso a internet para las comisarías y Unidades
Policiales a nivel nacional.
Servicio de Tercerización de servicios de Tecnología de información en
2 S/. 49´667,940.00
Seguridad Informática.
3
El monto del valor referencial indicado en esta sección de las Bases no debe diferir del monto del valor referencial
consignado en la ficha del proceso en el SEACE. No obstante, de existir contradicción entre estos montos, primará
el monto del valor referencial indicado en las Bases aprobadas.
19
IMPORTANTE:
 Las propuestas económicas no pueden exceder el monto consignado en las Bases como valor referencial de
conformidad con el artículo 33 de la Ley. No existe un límite mínimo como tope para efectuar dichas propuestas.
1.4. EXPEDIENTE DE CONTRATACIÓN
El expediente de contratación fue aprobado mediante FORMATO de aprobación de

Expediente de fecha 23 de febrero de 2015.
1.5. FUENTE DE FINANCIAMIENTO
Recursos Directamente Recaudados

Recursos Ordinarios
1.6. SISTEMA DE CONTRATACIÓN
El presente proceso se rige por el sistema de SUMA ALZADA, de acuerdo con lo

establecido en el expediente de contratación respectivo.
1.7. MODALIDAD DE EJECUCIÓN CONTRACTUAL

Llave en mano.
1.8. ALCANCES DEL REQUERIMIENTO
El servicio a contratar está definido en los Requerimientos Técnicos Mínimos que

forman parte de la presente Sección en el Capítulo III.
1.9. PLAZO DE PRESTACIÓN DEL SERVICIO

Los servicios materia de la presente convocatoria se prestarán de la siguiente
manera:
ITEM 1
El plazo máximo para la instalación del servicio es de CIENTO OCHENTA

(180) días calendarios, contados a partir del día siguiente de la culminación
de la acreditación del personal que prestará el Servicio de instalación.
ITEM 2
El Contratista tendrá un plazo máximo de CIENTO OCHENTA (180) días

calendarios para la entrega, instalación, configuración, capacitación y puesta
en marcha de todos los componentes ofertados, a partir del día siguiente de
la culminación de la acreditación del personal que prestará el Servicio de
instalación y de realizado el pago del 19.9% de adelanto por parte de la
Entidad.
El tiempo de prestación del servicio será de TREINTA Y SEIS (36) meses,

para los Ítem 1 y 2, contados a partir del día siguiente de la aceptación de la
instalación del servicio realizado mediante el Acta de Conformidad emitida
por la División de Administración de Centros de Cómputo de la Dirección de
Informática PNP - DIRETIC-PNP, a excepción de las líneas redundantes de
internet del sitio de contingencia del componente a. y la fibra oscura del
componente b. del Ítem 1 que iniciarán al día siguiente de recibida la
20
comunicación de la mencionada División para el inicio del mismo.
1.10. COSTO DE REPRODUCCIÓN DE LAS BASES
Diez y 00/100 Nuevos Soles (S/.10.00)
La entrega del ejemplar de las Bases se realizará en la Mesa de Partes de la

Secretaría Permanente de los Comités Especiales-DIVABA–DIRLOG-PNP, sito en
la Calle San Germán Nº 200 - 1er. Piso – Rímac, en las fechas señaladas en el
cronograma, en el horario de 08:00 a 16:00 horas, previa entrega del comprobante
de pago.
1.11. BASE LEGAL
- Ley Nro. 30281 – Ley de Presupuesto del Sector Público para el Año Fiscal
2015.
- Ley Nro. 30282 – Ley de Equilibrio Financiero del Presupuesto del Sector
Público del año fiscal 2015.
- Texto Único Ordenado de la Ley Nº 28411, Ley Nro. 28411 – Ley General del
Sistema Nacional de Presupuesto, aprobado con Decreto Supremo Nº 304-
2012-EF
La referida norma incluye sus respectivas modificaciones, de ser el caso.
21
CAPÍTULO II
DEL PROCESO DE SELECCIÓN
2.1. CRONOGRAMA DEL PROCESO DE SELECCIÓN4
Etapa Fecha, hora y lugar

Convocatoria : 12.MAR.2015
Registro de participantes : 13.MAR.2015 Al 08.ABR.2015
Formulación de Consultas : 13.MAR.2015 Al 20.MAR.2015
Absolución de Consultas : 24.MAR.2015
Formulación de Observaciones a : 25.MAR.2015 Al 01.ABR.2015
las Bases
Absolución de Observaciones a : 06.ABR.2015
las Bases
Integración de las Bases : 07.ABR.2015
Presentación de Propuestas : 15.ABR.2015
* El acto público se realizará en : Sala de Reuniones DIVABA-DIRLOG-PNP
Calle San Germán Nº 200 – Rímac – 3er.
Piso. a las 10:00 Hrs
Calificación y Evaluación de : 15.ABR.2015
Propuestas
Otorgamiento de la Buena Pro : 17.ABR.2015
* El acto público se realizará en : Sala de Reuniones DIVABA-DIRLOG-PNP
Calle San Germán Nº 200 – Rímac – 3er.
Piso. a las 10:00 Hrs
IMPORTANTE:
 Debe tenerse presente que en un concurso público, entre la convocatoria y la etapa de presentación de
propuestas debe existir como mínimo veintidós (22) días hábiles y, entre la integración de Bases y la etapa de
presentación de propuestas, debe existir como mínimo cinco (5) días hábiles.
2.2. REGISTRO DE PARTICIPANTES
El registro de los participantes es gratuito y se realizará en la Mesa de Partes de la

Secretaría Permanente de los Comités Especiales-DIVABA–DIRLOG-PNP, sito en
la Calle San Germán Nº 200 - 1er. Piso – Rímac, en las fechas señaladas en el
cronograma, en el horario de 08:00 a 16:00 horas.
En el momento del registro, se emitirá la constancia o cargo correspondiente en el

que se indicará: número y objeto del proceso, el nombre y firma de la persona que
efectuó el registro, así como el día y hora de dicha recepción.
4 22
La información del cronograma indicado en las Bases no debe diferir de la información consignada en el cronograma de la ficha del
proceso en el SEACE. No obstante, de existir contradicción en esta información, primará el cronograma indicado en la ficha del
proceso en el SEACE.
Respecto a la información acerca de los Nodos Remotos, Comisarías y Unidades

Policiales consideradas para la instalación y prestación de los servicios de los Ítem
1 y 2 (Anexo A), se entregarán grabados en medio óptico (CD) al momento de
inscribirse como participante en el Proceso de Selección, previa presentación de
una Declaración Jurada de Confidencialidad suscrita por el Representante Legal de
la empresa participante, amparado en el Artículo 15° literal “g” de la Ley N° 27806 –
Ley de Transparencia y Acceso a la Información Pública.
IMPORTANTE:
 Los participantes registrados tienen el derecho de solicitar un ejemplar de las Bases, para cuyo efecto deben
cancelar el costo de reproducción de las mismas.
2.3. FORMULACIÓN DE CONSULTAS Y OBSERVACIONES A LAS BASES
Las consultas y observaciones se presentarán por escrito, debidamente

fundamentadas, en la Mesa de Partes de la Secretaría Permanente de los Comités
Especiales-DIVABA–DIRLOG-PNP, sito en la Calle San Germán Nº 200 - 1er. Piso,
Rímac, en las fechas señaladas en el cronograma, en el horario de 08.00 a 16.00
horas, debiendo estar dirigidos al Presidente del Comité Especial del CONCURSO
PUBLICO Nº 01 - 2015 - DIREJADM-DIRLOG-DIVABA-PNP “CONTRATACION
DE SERVICIO DE BANDA ANCHA DE ACCESO A INTERNET PARA COMISARIAS
A NIVEL NACIONAL Y UNIDADES ESPECIALIZADAS A NIVEL NACIONAL,
TRANSMISION DE DATOS IP VPN PARA COMPLEJOS POLICIALES Y PUESTO
DE FRONTERAS PNP SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA
OSCURA”, pudiendo ser remitidas adicionalmente al siguiente correo electrónico:
dcontrataciones.divaba.dirlog@gmail.com, lo que no lo exime de su obligación de
presentarlas con las formalidades antes señaladas.
IMPORTANTE:
 Al consignar el horario de atención, debe tenerse en cuenta que el horario de atención no podrá ser menor a ocho
horas
2.4. ACTO PÚBLICO DE PRESENTACIÓN DE PROPUESTAS
Las propuestas se presentarán en acto público, en el auditorio de la Dirección de

Logística de la PNP, sito en la calle San Germán Nº 200 – Rímac 4to. Piso, en la
fecha y hora señalada en el cronograma. El acto público se realizará con la
participación de Notario. Se podrá contar con la presencia de un representante del
Sistema Nacional de Control, quien participará como veedor y deberá suscribir el
acta correspondiente. La no asistencia del mismo no vicia el proceso.
Las propuestas se presentarán en dos (2) sobres cerrados y estarán dirigidas al

Comité Especial del CONCURSO PUBLICO Nº 0001-2015-DIRECFIN –
PNP/DIRLOG/DIVABA, conforme al siguiente detalle:
SOBRE N° 1: Propuesta Técnica. El sobre será rotulado:
23
Señores
Dirección de Economía y Finanzas de la Policía Nacional del Perú
Calle San Germán N° 200 - 1er. Piso, RIMAC
Att.: Comité Especial
CONCURSO PUBLICO Nº 01-2015- DIREJADM-DIRLOG-DIVABA-PNP

Denominación de la convocatoria: “CONTRATACION DE SERVICIO DE BANDA
ANCHA DE ACCESO A INTERNET PARA COMISARIAS A NIVEL NACIONAL Y
UNIDADES ESPECIALIZADAS A NIVEL NACIONAL, TRANSMISION DE DATOS IP
VPN PARA COMPLEJOS POLICIALES Y PUESTO DE FRONTERAS PNP
SOBRE N° 1: PROPUESTA TÉCNICA

[NOMBRE / RAZÓN SOCIAL DEL CONTRATISTA]
SOBRE Nº 2: Propuesta Económica. El sobre será rotulado:
Señores
Dirección de Economía y Finanzas de la Policía Nacional del Perú
Calle San Germán N° 200 - 1er. Piso, RIMAC
Att.: Comité Especial
CONCURSO PUBLICO Nº 01-2015- DIREJADM-DIRLOG-DIVABA-PNP

Denominación de la convocatoria: “CONTRATACION DE SERVICIO DE BANDA
UNIDADES ESPECIALIZADAS A NIVEL NACIONAL, TRANSMISION DE DATOS IP
VPN PARA COMPLEJOS POLICIALES Y PUESTO DE FRONTERAS PNP
SOBRE N° 1: PROPUESTA ECONÓMICA

[NOMBRE / RAZÓN SOCIAL DEL CONTRATISTA]
2.5. CONTENIDO DE LAS PROPUESTAS
2.5.1. SOBRE N° 1 - PROPUESTA TÉCNICA
Se presentará en un original y una copia5.
El sobre Nº 1 contendrá, además de un índice de documentos 6, la siguiente

documentación:
Documentación de presentación obligatoria:
ITEM N° 01
a) Declaración jurada de datos del contratista.

Cuando se trate de consorcio, esta declaración jurada será
presentada por cada uno de los consorciados (Anexo Nº 1).
5
De acuerdo con el artículo 63 del Reglamento, la propuesta técnica se presentará en original y en el número
de copias requerido en las Bases, el que no podrá exceder de la cantidad de miembros que conforman el Comité
Especial.
24
6
La omisión del índice no descalifica la propuesta, ya que su presentación no tiene incidencia en el objeto de
la convocatoria.
b) Declaración jurada de cumplimiento de los Requerimientos

Técnicos Mínimos contenidos en el Capítulo III de la presente
sección7. (Anexo Nº 2).
c) Declaración jurada simple de acuerdo al artículo 42 del

Reglamento (Anexo Nº 3). En el caso de consorcios, cada
integrante debe presentar esta declaración jurada, salvo que
sea presentada por el representante común del consorcio.
d) Promesa formal de consorcio, de ser el caso, en la que

se consigne los integrantes, el representante común, el
domicilio común y las obligaciones a las que se compromete
cada uno de los integrantes del consorcio así como el
porcentaje equivalente a dichas obligaciones (Anexo Nº 4).
La promesa formal de consorcio deberá ser suscrita por cada uno de

sus integrantes.
Se presume que el representante común del consorcio se encuentra

facultado para actuar en nombre y representación del mismo en
todos los actos referidos al proceso de selección, suscripción y
ejecución del contrato, con amplias y suficientes facultades.
e) Declaración Jurada de Plazo de prestación del servicio

(Anexo Nº 5).
f) Declaración Jurada de Plazo de instalación del servicio

(Anexo Nº 6).
g) Declaración Jurada de Confidencialidad, en la que se

compromete a guardar absoluta reserva de la información
que maneje para la ejecución del servicio (Anexo 8).
h) Diagramas y esquemas de la arquitectura y topología de la

solución tecnológica planteada que describa: i) La
infraestructura de red que soportará el servicio, ii) Protocolos
de red a emplearse y iii) Los dispositivos, accesorios y
componentes necesarios para asegurar el nivel de servicio.
i) Constancias o certificados NAP (Network Access Point), a

través del cual el contratista deberá acreditar: i) Ser parte del
NAP Perú, ii) Garantizar un enlace dedicado con conexión
directa y overbooking 1:1 al NAP Perú, y iii) Una antigüedad
mínima de 3 años como miembro activo del NAP Perú que
permita validar su experiencia.
j) Copia simple de documentos que acrediten el perfil de los
7
El Comité Especial debe determinar al elaborar las Bases si solo bastará la presentación de una declaración
jurada para acreditar el cumplimiento de los requerimientos técnicos mínimos o, de lo contrario, si será necesario
que lo declarado se encuentre respaldado con la presentación de algún otro documento, en cuyo caso, deberá
precisar dicha información en el listado de documentación de presentación obligatoria del numeral 2.5.1 de la
sección específica de las Bases.
25
profesionales propuestos que cumplan con los requisitos

mínimos siguientes:
1. Jefe de Proyecto responsable de la instalación del servicio:
- Título de Ingeniero Electrónico, de Sistemas o

Telecomunicaciones.
- Constancia, certificado o carnet que acredite
colegiatura.
- Constancias o certificados de trabajo que acrediten
experiencia mínima de tres (03) años en gestión de
proyectos.
experiencia mínima de dos (02) años en Dirección de
Proyectos de instalación de servicios de banda ancha
para transmisión de datos a nivel nacional.
Nota: Se precisa que para el cálculo del total del tiempo

de experiencia mínima solicitada, será considerado el
tiempo cuando desempeñaba sus funciones en las áreas
indicadas, con el grado de bachiller y/o título profesional.
2. Ingeniero Residente:

Telecomunicaciones
colegiatura.
experiencia mínima de Tres (03) años en soporte
técnico y mantenimiento de servicios de banda ancha
- Certificación Cisco Certified Network Associate (CCNA)
o equivalente
Proyectos de instalación de servicios de banda ancha

indicadas, con el grado de bachiller y/o título profesional
k) Copia de los contratos con su respectiva conformidad o

comprobante de pago que acredite una experiencia de por lo
menos 3 años en el mercado nacional.
l) Deberá adjuntar folletos o ficha técnica de los multiplexores

ópticos por división de longitud de onda (WDM) y los Switch
LAN de capa 2 propuesto.
26
ITEM 2
a) Declaración jurada de datos del contratista.

Cuando se trate de consorcio, esta declaración jurada será
presentada por cada uno de los consorciados (Anexo Nº 1).
b) Declaración jurada de cumplimiento de los Requerimientos

Técnicos Mínimos contenidos en el Capítulo III de la presente
sección8 (Anexo Nº 2).
c) Declaración jurada simple de acuerdo al artículo 42 del

Reglamento (Anexo Nº 3). En el caso de consorcios, cada
integrante debe presentar esta declaración jurada, salvo que
sea presentada por el representante común del consorcio.
d) Promesa formal de consorcio, de ser el caso, en la que se

consigne los integrantes, el representante común, el domicilio
común y las obligaciones a las que se compromete cada uno
de los integrantes del consorcio así como el porcentaje
equivalente a dichas obligaciones (Anexo Nº 4).
La promesa formal de consorcio deberá ser suscrita por cada uno

de sus integrantes.
Se presume que el representante común del consorcio se encuentra

facultado para actuar en nombre y representación del mismo en
todos los actos referidos al proceso de selección, suscripción y
ejecución del contrato, con amplias y suficientes facultades.
e) Declaración Jurada de Plazo de prestación del servicio

(Anexo Nº 5).
f) Declaración Jurada de Plazo de instalación del servicio

(Anexo Nº 6).
g) Declaración Jurada de Confidencialidad, en la que se

compromete a guardar absoluta reserva de la información
que maneje para la ejecución del servicio (Anexo 8).
h) El contratista deberá acreditar con Copias simples de

documentos que el perfil de los profesionales propuestos
cumplan con los requisitos mínimos siguientes:
1. Jefe de Proyecto responsable de la implantación del

servicio:
Telecomunicaciones.
colegiatura.
8
El Comité Especial debe determinar al elaborar las Bases si solo bastará la presentación de una declaración
jurada para acreditar el cumplimiento de los requerimientos técnicos mínimos o, de lo contrario, si será necesario
que lo declarado se encuentre respaldado con la presentación de algún otro documento, en cuyo caso, deberá
precisar dicha información en el listado de documentación de presentación obligatoria del numeral 2.5.1 de la
sección específica de las Bases.
27

proyectos.
Proyectos de Seguridad Informática y contar con las
certificaciones de Lead Auditor ISO27001 y Chief
Information Security Officer.

2. Ingeniero Residente:

Telecomunicaciones.
colegiatura.
seguridad informática, con certificación Cisco Certified
Network Associate (CCNA) o equivalente, Lead
Auditor ISO27001 y Chief Information Security Officer.

indicadas, con el grado de bachiller y/o título profesional.
i) El Contratista deberá adjuntar folletos o ficha técnica

(brochure) de los siguientes equipos y aplicaciones
ofertados:
• Firewalls Externos
• Firewalls Internos
• Consola de administración de todos los Firewall de la
solución
• Equipo Anti-Malware
• Consola de administración de todos los Anti-Malware
• Switchs de 48 puertos
• Switch de 24 puertos
• Web Application Firewall (WAF)
• Data Base Monitoring (DBM)
• Consola que administre el WAF y DBM
• Antispam
• Equipo de prevención contra DDoS
28
• Correlacionador de Eventos de Seguridad (SIEM)
j) El contratista acreditará con certificados técnicos oficiales,

que los profesionales responsables de la instalación e
implementación de los equipos mencionados en el párrafo
precedente, deberán estar certificados en cada una de las
tecnologías propuestas.
k) Copia de los contratos con su respectiva conformidad o

comprobante de pago que acredite una experiencia de por lo
menos 3 años en el mercado nacional.
IMPORTANTE:
 La omisión de alguno de los documentos enunciados acarreará la no admisión de la propuesta, sin

perjuicio de lo señalado en el artículo 68 del Reglamento.
Documentación de presentación facultativa:
ÍTEM 1
a) Factor Experiencia del Contratista: Copia simple de contratos u

órdenes de servicio, y su respectiva conformidad por la prestación
efectuada; o comprobantes de pago cuya cancelación se acredite
documental y fehacientemente. Adicionalmente, para acreditar
experiencia adquirida en consorcio, deberá presentarse copia simple de
la promesa formal de consorcio o el contrato de consorcio.
Sin perjuicio de lo anterior, los contratistas deben presentar el Anexo N°

07, referido a la Experiencia del Contratista.
b) Cumplimiento del Servicio: Mediante la presentación de un máximo de

diez (10) constancias de prestación o cualquier otro documento que,
independientemente de su denominación, indique, como mínimo la
identificación del contrato u orden de servicio, indicando como mínimo
su objeto y el monto correspondiente respecto de los servicios
presentados para acreditar la experiencia del contratista en función al
número de constancias de prestación presentadas.
c) Mejoras a las condiciones: mediante presentación de las respectivas

Declaraciones Juradas
d) Certificado de calidad: a través de una copia legible del Certificado de

Calidad.
ÍTEM 2
a) Factor Experiencia del Contratista: Copia simple de contratos u

órdenes de servicio, y su respectiva conformidad por la prestación
efectuada; o comprobantes de pago cuya cancelación se acredite
documental y fehacientemente. Adicionalmente, para acreditar
experiencia adquirida en consorcio, deberá presentarse copia simple de
la promesa formal de consorcio o el contrato de consorcio.
Sin perjuicio de lo anterior, los contratistas deben presentar el Anexo N°

29
07, referido a la Experiencia del Contratista.
b) Cumplimiento del Servicio: Mediante la presentación de un máximo de

diez (10) constancias de prestación o cualquier otro documento que,
independientemente de su denominación, indique, como mínimo la
identificación del contrato u orden de servicio, indicando como mínimo
su objeto y el monto correspondiente respecto de los servicios
presentados para acreditar la experiencia del contratista en función al
número de constancias de prestación presentadas.
c) Mejoras a las condiciones:

C.1 Redundancia de las ubicaciones del SOC que el Contratista considere: Se
acreditará mediante Carta simple del Contratista
C.2 Provisión adicional de Equipamiento Informático Gestión de Seguridad: Se
acreditará mediante Declaración Jurada
d) PERSONAL PROPUESTO PARA LA PRESTACION DEL SERVICIO:

Se acreditará mediante copia de las certificaciones vigentes del profesional que el
Contratista considerará
IMPORTANTE:
 En caso exista contradicción entre la información presentada en la propuesta técnica, la propuesta será
descalificada.
2.5.2. SOBRE N° 2 - PROPUESTA ECONÓMICA9
El Sobre Nº 2 deberá contener la siguiente información obligatoria:
Oferta económica expresada en la moneda del valor referencial y el detalle

de precios unitarios cuando este sistema haya sido establecido en las Bases
(Anexo Nº 9).
El monto total de la propuesta económica y los subtotales que lo componen

deberán ser expresados con dos decimales. Los precios unitarios podrán
ser expresados con más de dos decimales.
IMPORTANTE:

La admisión de la propuesta económica que presenten los contratistas dependerá de si aquella se
encuentra dentro los márgenes establecidos en el artículo 33 de la Ley y el artículo 39 de su
Reglamento.

En caso la información contenida en la propuesta económica difiera de la información contenida en la
propuesta técnica, la propuesta económica será descalificada.
2.6. DETERMINACIÓN DEL PUNTAJE TOTAL
Una vez evaluadas las propuestas técnica y económica se procederá a determinar el

puntaje total de las mismas.
El puntaje total de las propuestas será el promedio ponderado de ambas

evaluaciones, obtenido de la siguiente fórmula:
PTPi = c1 PTi + c2 PEi
Donde:
30
PTPi = Puntaje total del contratista i
9
De acuerdo con el artículo 63 del Reglamento la propuesta económica solo se presentará en original.
PTi = Puntaje por evaluación técnica del contratista i

PEi = Puntaje por evaluación económica del contratista i
IMPORTANTE:
 Dependiendo del objeto contractual deberá incluirse las disposiciones que correspondan:
c1 = Coeficiente de ponderación para la evaluación técnica = 0.70

c2 = Coeficiente de ponderación para la evaluación económica = 0.30
Dónde: c1 + c2 = 1.00
2.7. REQUISITOS PARA LA SUSCRIPCIÓN DEL CONTRATO
El contratista ganador de la Buena Pro deberá presentar los siguientes documentos

para suscribir el contrato:
a) Constancia vigente de no estar inhabilitado para contratar con el Estado.

b) Garantía de fiel cumplimiento del contrato, mediante Carta Fianza.
c) Garantía por el monto diferencial de la propuesta, de ser el caso, mediante Carta
Fianza.
d) Garantía por adelanto directo, de ser el caso, mediante Carta Fianza.
e) Contrato de consorcio con firmas legalizadas de los integrantes, de ser el caso.
f) Código de cuenta interbancario (CCI).
g) Domicilio para efectos de la notificación durante la ejecución del contrato.
h) Copia de DNI del Representante Legal.
i) Copia de la vigencia del poder del representante legal de la empresa. Dicho
documento deberá tener fecha de emisión no mayor a un (01) mes de la fecha
de suscripción de contrato.
j) Copia de la constitución de la empresa y sus modificatorias debidamente
actualizada o copia literal. El documento deberá tener una fecha de emisión no
mayor a un (01) mes de la fecha de suscripción de contrato.
k) Copia del RUC de la empresa.
l) Estructura de Costos de la prestación por cada ítem y componente (ANEXO B).
IMPORTANTE:

En caso de que el contratista ganador de la Buena Pro sea un consorcio y la Entidad opte por solicitar como
garantía para la suscripción del contrato carta fianza o póliza de caución, conforme a lo indicado por la
Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones en los Oficios Nº
5196-2011-SBS y Nº 15072-2012-SBS, a fin de que no existan problemas en la ejecución de las mencionadas
garantías, resulta necesario que éstas consignen en su texto, el nombre, denominación o razón social de todas y
cada una de las personas naturales y/o jurídicas que integran el consorcio.

Al amparo de lo dispuesto en el artículo 39 de la Ley, en los casos de prestación de servicios de ejecución
periódica, deberá consignarse lo siguiente:
“Alternativamente, las micro y pequeñas empresas pueden optar que, como garantía de fiel cumplimiento, la
Entidad retenga el diez por ciento (10%) del monto del contrato original. Para estos efectos, la retención de dicho
monto se efectuará durante la primera mitad del número total de pagos a realizarse, de forma prorrateada, con
cargo a ser devuelto a la finalización del mismo”.

La Entidad no podrá exigir documentación o información adicional a la consignada en el presente numeral para la
suscripción del contrato.
2.8. PLAZO PARA LA SUSCRIPCIÓN DEL CONTRATO
Dentro del plazo de doce (12) días hábiles siguientes al consentimiento de la Buena
Pro o cuando esta haya quedado administrativamente firme, debe suscribirse el
contrato, plazo dentro del cual el contratista ganador y la Entidad deberán realizar
las acciones correspondientes para cumplir las disposiciones contenidas en el
numeral 1 del artículo 148 del Reglamento.
La citada documentación deberá ser presentada en el Departamento de Ejecución
31
Contractual de la División de Abastecimiento, sito en la calle San German Nº

200 - 3er.piso, Rímac, en el horario de 8:00 a 16:00 horas.
2.9. FORMA DE PAGO
La Entidad deberá realizar el pago de la contraprestación pactada a favor del

contratista en TREINTA Y SEIS (36) pagos periódicos mensuales en nuevos soles
para ambos ítems.
Cabe precisar que el primer pago para ambos ítems será luego de transcurrido el
primer mes de la prestación del servicio.
De acuerdo con el artículo 176 del Reglamento, para efectos del pago de las
contraprestaciones ejecutadas por el contratista, la Entidad deberá contar con la
siguiente documentación:
- Recepción y conformidad a cargo de la División de Administración de Centros

de Cómputo de la Dirección de Informática PNP - DIRETIC-PNP.
- Informe del funcionario responsable del área usuaria (DIADCECO-DIRINFOR-
DIRETIC-PNP) emitiendo su conformidad de la prestación efectuada.
- Comprobante de pago
La Entidad otorgará adelantos hasta el 19.9% del monto del contrato original. El
contratista debe solicitar los adelantos a la suscripción del contrato para lo cual
debe adjuntar a su solicitud la garantía por adelanto, mediante la presentación de
una carta fianza. Vencido dicho plazo no procederá la solicitud. La Entidad debe
entregar el monto solicitado dentro de los 15 días calendarios siguientes a la
presentación de la solicitud del contratista.
2.10. PLAZO PARA EL PAGO
La Entidad debe efectuar el pago dentro de los quince (15) días calendario siguiente
al otorgamiento de la conformidad respectiva, siempre que se verifiquen las demás
condiciones establecidas en el contrato.
32
CAPÍTULO III
TÉRMINOS DE REFERENCIA Y REQUERIMIENTOS TÉCNICOS MÍNIMOS
CONTRATACION DE SERVICIO DE BANDA ANCHA DE ACCESO A INTERNET PARA

COMISARIAS A NIVEL NACIONAL Y UNIDADES ESPECIALIZADAS A NIVEL NACIONAL,
TRANSMISION DE DATOS IP VPN PARA COMPLEJOS POLICIALES Y PUESTOS DE
FRONTERAS PNP, SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA
ITEM 1: Servicio de Banda Ancha de acceso a Internet para

Comisarías y unidades especializadas PNP a nivel
nacional, transmisión de datos IP VPN para Complejos
Policiales y puestos de frontera PNP y servicio de fibra
oscura.
1. ALCANCE
Contratación del servicio de banda ancha de acceso a internet para comisarías y
unidades especializadas a nivel nacional, transmisión de datos IP VPN para
complejos policiales y puestos de frontera PNP y servicio de fibra oscura,
comprende los siguientes locales:
· Mil Ochenta y seis (1086) locales policiales entre Comisarías y Unidades

Especializadas distribuidas a nivel nacional.
· Catorce (14) Complejos Policiales y seis (06) puestos fronterizos PNP.
· Un (01) DATACENTER de la PNP ubicado en el Ministerio del Interior, Av.
Canaval y Moreyra S/N cuadra 7 - San Isidro – Lima.
· Un (01) Sitio de Contingencia del DATACENTER de la PNP ubicado en el
local principal del Banco de la Nación en la Av. República de Panamá 3664
San Isidro.
2. FINALIDAD PÚBLICA
Proveer a la Policía Nacional del Perú, de las herramientas adecuadas de

comunicación de datos e Internet, para optimizar sus labores en materia de
orden interno y seguridad ciudadana en beneficio de la población.
3. OBJETIVOS
- GENERAL
La contratación del servicio de banda ancha de acceso a internet y

transmisión de datos a nivel nacional para la PNP.
33
- ESPECIFICOS
· Ampliar la cobertura de la red de telecomunicaciones de la PNP, para

servir como canal de transmisión de datos, voz y video para las
necesidades de la PNP a nivel nacional.
· Mejoramiento de los servicios de atención a la ciudadanía (tiempo y
eficacia) y eficiente empleo de personal y recursos de la PNP.
· Proveer una plataforma de comunicaciones sólida, integrada, segura,
escalable y de estándares abiertos, para asegurar la interconexión con
otros sistemas de comunicaciones, y su crecimiento acorde a las
necesidades futuras de la PNP.
4. DESCRIPCIÓN DEL SERVICIO
El contratista suministrará los servicios requeridos, a través de los siguientes

componentes:
a. Servicio de acceso a la red IP VPN-PNP e Internet para el Nodo Central,

Sitio de Contingencia, Nodos Remotos y Puestos de Frontera PNP, que
comprende el acceso a internet para el Nodo Central (DATACENTER PNP),
Sitio de Contingencia (sede central del Banco de la Nación), Doce (12)
Nodos Remotos, transmisión de datos de la INTRANET-PNP (conexión IP
VPN) entre el Nodo Central, Catorce (14) Nodos Remotos (Complejos
Policiales) y seis (06) puestos de frontera PNP y los equipos de
comunicación correspondientes.
b. Servicio de fibra oscura entre el Nodo Central y el Sitio de Contingencia
c. Servicio de acceso a Internet para las Comisarías y Unidades Policiales

a nivel nacional, que comprende mil ciento cuarenta y dos (1142) líneas de
Internet simétrico para mil Ochenta y seis (1086) locales entre Comisarías y
Unidades policiales a nivel nacional.
El contratista deberá trabajar de manera conjunta con el personal técnico de la

División de Administración de Centros de Cómputo de la Dirección de
Informática PNP - DIRETIC-PNP que supervisarán la implementación de los
servicios correspondientes. La Jefatura de la referida División Policial, también
denominada DIADCECO-DIRINFOR-DIRETIC-PNP, nombrará un Responsable
Técnico del proyecto, quien será el encargado de las coordinaciones con el Jefe
de Proyecto del contratista, de modo que la implementación se ejecute en forma
coordinada.
Respecto a la información acerca de los Nodos Remotos, Comisarías y

Unidades Policiales consideradas para la instalación y prestación del servicio
(Anexo A), se entregarán grabados en medio óptico (CD) al momento de
inscribirse como participante en el Proceso de Selección.
34
Previa presentación de una Declaración Jurada de Confidencialidad suscrita por el

Representante Legal de la empresa participante, amparado en el Artículo 15° literal “g”
de la Ley N° 27806 – Ley de Transparencia y Acceso a la Información Pública.
4.1 CONSIDERACIONES GENERALES
El contratista deberá cumplir lo siguiente:
a. Backbone
El backbone de la red del contratista en Lima Metropolitana deberá ser

redundante y estar basado en una plataforma 100% en fibra óptica, con
protocolo de enrutamiento MPLS. El backbone de la red del contratista
fuera de Lima Metropolitana deberá estar basado en su mayoría por
infraestructura en fibra óptica; esta deberá contar con 3 anillos
redundantes interdepartamentales ubicados en el norte, centro y sur del
Perú para asegurar la redundancia en el transporte. (Incluir un diagrama
de la distribución de los mismos sobre el territorio nacional).Para el caso
de las sedes de provincias se aceptarán extensiones al backbone sobre
enlaces de fibra óptica, cobre, microondas en banda licenciada o
satélite.
b. Disponibilidad
El contratista será responsable de la operatividad de los circuitos de

datos necesarios para la prestación del servicio, los cuales deberán
estar disponibles y operativos las 24 horas del día, los 7 días a la
semana y 365 días del año. El nivel de disponibilidad deberá ser como
mínimo del 99.50% para cada uno de los circuitos de datos y 99% para
cada uno de los circuitos de internet medido mes a mes.
c. Topología
La topología para los servicios de transmisión de datos IP VPN-PNP

deberá ser todos contra todos (full mesh), con sus respectivos nodos, es
decir, la comunicación entre Nodos debe ser directa una a una, sin
necesidad de pasar por el Nodo Central.
Para los servicios de transmisión de datos IP VPN-PNP, la red del

contratista deberá tener la capacidad para soportar datos, voz, video y
manejar QoS (calidad de servicio). El protocolo soportado será TCP/IP.
d. Instalación y configuración
Los contratistas deberán proveer, instalar y configurar los circuitos de

datos IP VPN-PNP e Internet y todo el equipamiento de comunicaciones
necesario para la prestación del servicio con óptima calidad.
35
Si al momento de la implementación del servicio, los equipos ofertados

por el contratista en su propuesta técnica no se encuentren disponibles
en el mercado, conforme a lo establecido en el artículo 143 del
Reglamento de la Ley de Contrataciones, éste deberá ofrecer equipos
de iguales o mejores características técnicas, de calidad y de precios,
adjuntando el correspondiente sustento técnico documentado, a fin que
la Entidad, previa evaluación, acepte dicha modificación, siempre que
tales bienes satisfagan su necesidad. Tales modificaciones no deberán
variar en forma alguna las condiciones originales que motivaron la
selección del contratista.
La PNP podrá modificar la ubicación de los Nodos Remotos

(Comisarías y Unidades Policiales) hasta antes del inicio de la
instalación, considerando el mismo número de circuitos y el mismo tipo
de circuito.
En el caso que la PNP modifique la ubicación de los Nodos Remotos

hasta antes del inicio de la instalación, se precisa que en caso no
existan facilidades técnicas en las nuevas ubicaciones solicitadas, la
Entidad indicará otro local donde se podrá instalar el servicio solicitado,
considerando el mismo número de circuitos de datos y el mismo tipo de
circuito.
En caso el contratista ofrezca acceso por fibra óptica para los locales de
la red IP VPN-PNP, estos accesos deberán ser instalados a través de
canalizaciones subterráneas hacia el nodo más cercano al contratista,
salvo que las condiciones geográficas de la sede no lo permitan. La
acometida dentro del local de la PNP hasta el equipamiento de
comunicaciones será subterránea y/o canalizada. Si fuera necesario
realizar obras civiles y/o canalizaciones dentro o fuera de los locales
para la instalación de los servicios propuestos, éstas deberán ser
realizadas por el contratista, así como la subsanación de las mismas,
sin originar gasto alguno a la Entidad.
Para el servicio de fibra oscura entre el Nodo Central y el Sitio de

Contingencia, y los enlaces de Internet del Sitio de Contingencia, se
debe considerar el traslado planificado de esta conexión de fibra del
local del Banco de la Nación en la Av. República de Panamá 3664 San
Isidro (4to piso) a su nueva sede en la Av. Javier Prado al costado del
Museo de la Nación.
En el caso, que la solución propuesta sea microondas en banda

licenciada por el Ministerio de Transporte y Comunicaciones, el
contratista deberá instalar los componentes (pedestal o torre, antena,
equipo interior o exterior, cableado, accesorios, etc.) necesarios para la
prestación del servicio. El cableado deberá ser debidamente canalizado.
36
A fin de elaborar la mejor solución que se ajuste a las necesidades

tecnológicas de la Entidad, el contratista podrá realizar la visita técnica
al DATACENTER de la PNP cualquier día de la semana, desde las
08.00 horas hasta las 20.00 horas, para lo cual deberán coordinar con el
Jefe de la División de Administración del Centro de Cómputo PNP de la
Dirección de Informática PNP DIRETIC-PNP.
El contratista asignará un profesional para la implementación del

servicio correspondiente que cumpla con los requisitos mínimos
siguientes:
 Un Ingeniero Electrónico, de Sistemas o Telecomunicaciones,

titulado, colegiado y habilitado, con experiencia mínima de Tres (03)
años en gestión de proyectos; quien será el Jefe de Proyecto
responsable de la implantación del servicio. Deberá tener
experiencia mínima de dos (02) años en Dirección de Proyectos de
instalación de servicios de banda ancha para transmisión de datos
a nivel nacional. Se precisa que para el cálculo del total del tiempo
de experiencia mínima solicitada, será considerado el tiempo
cuando desempeñaba sus funciones en las áreas indicadas, con el
grado de bachiller y/o título profesional.
El contratista deberá presentar durante los siguientes siete (07)

días calendario de suscrito el Contrato y antes del inicio de la
instalación del servicio ante el Responsable Técnico de la División
de Administración de Centros de Cómputo de la Dirección de
Informática PNP - DIRETIC-PNP, los documentos certificados
notarialmente, en caso no sean los originales, que se detallan a
continuación:

Telecomunicaciones
- Constancia, certificado o carnet que acredite colegiatura.
- Constancia o certificado de habilitación.
- Constancias o certificados de trabajo que acrediten experiencia
mínima de Tres (03) años en gestión de proyectos
mínima de dos (02) años en Dirección de Proyectos de
instalación de servicios de banda ancha para transmisión de
datos a nivel nacional.
e. Entregables
a) Entregables de la instalación
Hasta diez (10) días calendarios posteriores a la firma del

Contrato, el contratista deberá entregar impresos y en archivo
digital los siguientes documentos:
37
1. La propuesta técnica para la implementación del servicio,

que incluirá la documentación técnica detallada y explícita
que sustente el cumplimiento de la totalidad de las
especificaciones técnicas establecidos en los términos de
referencia, adjuntando la descripción de la infraestructura de
red del contratista que soportará el servicio, de la
interconexión de redes WAN y LAN en la red IP VPN-PNP,
las conexiones a internet, protocolos de red a emplearse,
con indicación de la marca y modelo de los equipos y
dispositivos a implementarse, accesorios y componentes
necesarios para asegurar el nivel de servicio, diagramas y
esquemas de la topología de la solución tecnológica
planteada.
2. Project Charter.
3. Plan de Gestión del Proyecto.
4. Estructura de Detalle de Trabajo (WBS).
5. Plan de Calidad.
6. Plan de Recursos Humanos.
7. Plan de Comunicaciones.
8. Plan de Administración de Riesgos.
Los entregables señalados entre los numerales dos (2) al ocho

(8) deberán cumplir con lo establecido en el Project Management
Body of Knowledge (PMBOK) desarrollado por el Project
Management Institute (PMI).
A la culminación de la instalación del servicio el contratista

deberá informar por escrito de ello al Responsable Técnico de la
División de Administración de Centros de Cómputo de la
Dirección de Informática PNP - DIRETIC-PNP, a fin que durante
los quince (15) días calendarios posteriores a dicha
comunicación presente el Informe Final de la instalación,
conteniendo los siguientes anexos:
i. Las versiones finales de los documentos entregables de la

instalación, si hubieran sufrido modificaciones.
ii. Documentación de la configuración de cada uno de los
equipos implementados y esquema del cableado de
conexiones entre ellos, con indicación del N° de puerto, N°
de IP.
iii. Reporte de performance de cada uno de los circuitos
dedicados.
iv. Cuadro de direccionamiento IP de todos los servicios.
v. Cuadro conteniendo los códigos o números de
identificación de los circuitos digitales de todos los
servicios, anchos de banda y medios de transmisión
usados.
vi. Actas de cumplimiento y pruebas de la instalación de los
servicios, en original por cada Nodo instalado. El formato
de dichas Actas deberá ser propuesto por el contratista y
aprobado por el Responsable Técnico de la División de
38
Administración de Centros de Cómputo de la Dirección de
Informática PNP - DIRETIC-PNP.
Todos los entregables deberán ser firmados por el Jefe de

Proyecto del contratista, los que deberán ser remitidos a través
de la Mesa de Partes de la División de Administración de
Centros de Cómputo de la Dirección de Informática PNP -
DIRETIC-PNP, y dirigidos al Responsable Técnico de la
DIADCECO-DIRINFOR-DIRETIC-PNP para su evaluación
respectiva, aprobación y visado correspondiente; en el caso de
encontrarse observaciones, éstas serán devueltas para ser
subsanadas en el plazo de 4 días calendario computados desde
la fecha de la notificación de las mismas.
La aceptación de la instalación del servicio se hará mediante un

Acta de Conformidad emitida por la DIADCECO-DIRINFOR-
DIRETIC-PNP, adjuntando el Informe Final del contratista.
b) Entregables durante la vigencia del servicio
El contratista entregará mensualmente los siguientes reportes:
i. Reporte de Estado de los Circuitos. Número de circuitos

averiados, solución ejecutada, tiempo de atención, gráfico
de circuitos averiados, observaciones y recomendaciones.
ii. Reporte de Consumo de Ancho de Banda, gráficas de
consumo, enlaces con saturación, enlaces sin uso, enlaces
normales, observaciones y recomendaciones.
f. Gestión del servicio
El Contratista deberá proveer a la DIADCECO-DIRINFOR-DIRETIC-

PNP un sistema web que permita administrar la distribución y consumo
de ancho de banda con usuario y contraseña que permita la verificación
del consumo de ancho de banda de los circuitos de datos, etc., que
permita también:
a) Visualizar las estadísticas gráficas del tráfico entrante y saliente de

cada enlace.
b) Visualizar los registros de pérdidas de conexión de manera diaria,
semanal, mensual y anual, que especifique la hora de inicio y
término de la avería.
El contratista deberá contar con un Centro de Atención, disponible 24

horas al día, los 365 días del año, para atención de reportes de
incidencias del servicio. El tiempo de respuesta máximo para la atención
de cada incidente reportado será de 30 minutos, entendiéndose como
tiempo de respuesta el tiempo que transcurre desde que el incidente es
reportado hasta que el Contacto de la DIADCECO-DIRINFOR-DIRETIC-
PNP reciba la llamada del técnico del contratista a través de la cual se
coordinará la atención y solución del problema.
39
El contratista que obtenga la buena pro, asignará un Ingeniero

Residente, responsable de la supervisión de la red y atención de nuevas
configuraciones y averías que pudieran presentarse en las líneas de
comunicación consideradas en el Ítem referido.
El horario de trabajo será de lunes a sábado en horas de oficina (08.30

a 17.00 horas). La PNP proporcionará un ambiente físico adecuado en
el DATACENTER de la DIADCECO-DIRINFOR-DIRETIC PNP, para sus
labores diarias.
El Ingeniero Residente deberá cumplir los siguientes requisitos

mínimos:
 Un Ingeniero Electrónico, de Sistemas o Telecomunicaciones,

titulado, colegiado y habilitado; con experiencia mínima de Tres (03)
años en soporte técnico y mantenimiento de servicios de banda
ancha para transmisión de datos a nivel nacional, con certificación
Cisco Certified Network Associate (CCNA) o equivalente. Se
precisa que para el cálculo del total del tiempo de experiencia
mínima solicitada, será considerado el tiempo cuando
desempeñaba sus funciones en las áreas indicadas, con el grado
de bachiller y/o título profesional.
El contratista deberá presentar desde el día siguiente de suscrito el

Contrato y hasta siete (07) días calendarios previos a la
comunicación escrita de la culminación de la instalación del servicio
al Responsable Técnico de la División de Administración de
Centros de Cómputo de la Dirección de Informática PNP -
DIRETIC-PNP, los documentos certificados notarialmente, en caso
no sean los originales, que se detallan a continuación:

Telecomunicaciones
- Constancia o certificado de habilitación.
mínima de Tres (03) años en soporte técnico y mantenimiento de
servicios de banda ancha para transmisión de datos a nivel
nacional
- Certificación Cisco Certified Network Associate (CCNA) o
equivalente.
g. Mantenimiento y Soporte del Servicio
40
Mantenimiento Correctivo
Consiste en la atención y solución de anomalías en la prestación de los
servicios y reparación de averías, para el restablecimiento de la
operatividad del servicio. Para tal efecto, el contratista dispondrá de los
repuestos y componentes necesarios para la prestación del servicio.
El mantenimiento correctivo contempla la solución de todas las averías,

entendidas como una interrupción total o parcial del servicio, así como a
un decremento en la calidad del mismo. El control del tiempo que
demore el contratista en atender la corrección del servicio deberá
constar en un documento de Atención de Averías, que será firmado por
el usuario del lugar donde se produzca la avería.
El formato del documento de Atención de Averías deberá ser propuesto

por el contratista hasta los siete (07) días calendarios de suscrito el
contrato, el mismo que deberá ser aprobado por la DIADCECO-
DIRINFOR-DIRETIC-PNP.
h. Condiciones de Infraestructura en los Nodos Remotos
La DIADCECO-DIRINFOR-DIRETIC-PNP entregará las ubicaciones de

las Unidades y Nodos donde se instalarán los servicios, con indicación
de Departamento, Provincia, Distrito, dirección exacta y números
telefónicos (y en caso de no contarse estos datos, proveer las
coordenadas respectivas).
La PNP brindará las facilidades que sean necesarias para la realización

de las labores indicadas en los locales a nivel nacional.
La PNP proveerá en cada uno de los Nodos Remotos, un ambiente

interior de 2 x 3 x 2 metros como mínimo, para la instalación de los
equipos de comunicaciones. El ambiente contará con ventilación
adecuada, libre del polvo y la exposición directa a la luz solar.
i. Confidencialidad de la Información
Respecto a la información acerca de las Comisarías y Unidades

Policiales consideradas para la instalación y prestación del servicio de
internet (Anexo A), se entregarán grabados en medio óptico (CD) al
momento de inscribirse como participante en el Proceso de Selección,
previa presentación de una Declaración Jurada de Confidencialidad
suscrita por el Representante Legal de la empresa participante,
amparado en el Artículo 15° literal “g” de la Ley N° 27806 – Ley de
Transparencia y Acceso a la Información Pública.
El contratista deberá garantizar la confidencialidad de la información

desde la puerta de enlace de la entidad hasta la salida internacional.
41
Toda información de la PNP a que tenga acceso el contratista, su

personal y sus subcontratistas, si los hubiera, es estrictamente
confidencial, debiendo mantener las reservas del caso y no transmitirla
bajo ninguna circunstancia.
El Contratista se compromete a mantener en reserva, y no revelar a

terceros sin previa conformidad escrita de la Policía Nacional del Perú,
toda información que le sea suministrada por este último, excepto en
cuanto resulte estrictamente necesario para el cumplimiento del
Contrato, y que restringirá la revelación de dicha información sólo a sus
empleados y subcontratistas, sobre la base de "necesidad de conocer".
El Contratista se compromete a no revelar, ni permitir la revelación (de

información acerca de las Unidades y Nodos a ser interconectados,
cantidad de circuitos digitales, configuración de la red de la Policía
Nacional del Perú, direcciones IP, protocolos, equipamiento, dato o
cualquier información de la PNP a que el contratista tenga acceso como
parte del suministro del servicio) a los medios de prensa o a terceros, a
no revelar que la PNP es su cliente en relación con el servicio, y a no
usar el nombre de la PNP en cualquier promoción, publicidad o anuncio,
sin previa autorización escrita de la PNP.
Bajo ninguna circunstancia, el contratista y/o sus empleados, podrán

vulnerar, copiar, almacenar, publicar, o capturar la información de la
PNP que se transmita a través de la red de datos que administra.
j. Duración del Servicio
El tiempo de prestación del servicio será de TREINTA Y SEIS (36)

meses, contados a partir del día siguiente de la aceptación de la
instalación del servicio realizado mediante el Acta de Conformidad de la
Informática PNP - DIRETIC-PNP, a excepción del componente b. del
Ítem 1 que iniciará al día siguiente de recibida la comunicación de la
mencionada División para el inicio del mismo.
4.2 CARACTERÍSTICAS TÉCNICAS MÍNIMAS DEL SERVICIO.
Componente a: Servicio de acceso a la red IP VPN-PNP e

Internet para el Nodo Central, Sitio de
Contingencia, Nodos Remotos y Puestos
de Frontera PNP.
i. NODO CENTRAL (DATACENTER PRINCIPAL)
42
a) Un (01) circuito de datos de acceso a la IP VPN-PNP (INTRANET-
PNP), como línea dedicada principal, simétrica, a través de fibra óptica
y que deberá tener como mínimo un ancho de banda de 40 Mbps,

garantizando el 100% del ancho de banda.
b) Un (01) circuito de datos de acceso a la IP VPN-PNP (INTRANET-

PNP), como línea dedicada de respaldo, simétrica, a través de fibra
óptica que deberá llegar por una ruta y a un nodo diferente de la línea
dedicada principal, debiendo tener como mínimo un ancho de banda de
40 Mbps, garantizando el 100% del ancho de banda.
c) Para cada uno de los dos circuitos, la configuración de los equipos del
contratista deberá permitir un caudal IP de 32 Mbps con prioridad en la
transmisión de datos y un caudal IP de 8 Mbps con prioridad en la
transmisión de voz sobre IP. Si las comunicaciones de voz no ocupan
los 4 Mbps, los equipos deberán reasignar en forma dinámica para la
transmisión de datos la parte del ancho de banda no ocupado.
d) Para cada uno de los dos circuitos, el contratista ganador del ítem 2
proveerá los equipos de comunicación LAN correspondientes que
deberán contar al menos con 04 puertos Ethernet 10/100/1000 BaseT
para el acceso a la LAN, que comprende la instalación de un Switch
Core de capa 3 redundante, que permitirá conmutar los diferentes
accesos de la INTRANET, INTERNET y EXTRANET (enlaces a otras
entidades públicas a mérito de la interoperabilidad para la
implementación del Gobierno Policial electrónico).
e) La conmutación al enlace de respaldo deberá ser automática cuando el
enlace principal presente falla y/o avería, y viceversa.
f) Un (01) circuito de acceso a Internet como línea dedicada principal, de
tipo simétrica, a través de fibra óptica, de 200 Mbps de ancho de
banda, con tasa de acceso garantizada al 100% (overbooking 1:1)
empleando como medio físico fibra óptica. El contratista debe
garantizar que el ancho de banda proporcionado sea el mismo desde la
puerta de enlace hasta la salida internacional, asimismo este enlace
debe contar como mínimo con una asignación de noventa y seis (96)
números IP públicos.
g) Un (01) circuito de acceso a internet, como línea dedicada de respaldo,
simétrica, a través de fibra óptica que deberá llegar por una ruta y a un
nodo diferente de la línea dedicada principal, debiendo tener como
mínimo un ancho de banda de 200 Mbps, garantizando el 100% del
ancho de banda.
h) La conmutación al enlace de respaldo de Internet deberá ser
automática cuando el enlace principal presente falla y/o avería, y
viceversa.
i) El contratista deberá ser parte del NAP (Network Access Point) Perú y
garantizar un enlace dedicado con conexión directa y overbooking 1:1
al NAP Perú. Además el contratista deberá presentar la documentación
necesaria que acredite tener un antigüedad mínima de 3 años como
miembro activo del NAP Perú que permita validar su experiencia.
j) El contratista deberá tener 2 salidas internacionales con distintos
proveedores TIER-1 que se encuentren configurados en alta
disponibilidad, y ambos accesos con redundancia geográfica. La
capacidad de estos enlaces deberán asegurar un overbooking 1:1 para
la salida a Internet en el tramo local y en la salida internacional.
ii. SITIO DE CONTINGENCIA

43
La activación de estos circuitos y el inicio del pago de la mensualidad

respectiva, está sujeta a la finalización de la implementación de este
sitio de contingencia, la misma que será comunicada oportunamente
por la ENTIDAD al contratista ganador, asimismo se debe considerar
el traslado planificado de estas conexiones del local del Banco de la
Nación en la Av. República de Panamá 3664 San Isidro (4to piso) a su
nueva sede en la Av. Javier Prado al costado del Museo de la Nación.
a) Un (01) circuito de acceso a Internet como línea dedicada principal, de

tipo simétrica, a través de fibra óptica, de 200 Mbps de ancho de banda,
con tasa de acceso garantizada al 100% (overbooking 1:1) empleando
como medio físico fibra óptica. El contratista debe garantizar que el
ancho de banda proporcionado sea el mismo desde la puerta de enlace
hasta la salida internacional, asimismo este enlace debe contar como
mínimo con una asignación de noventa y seis (96) números IP públicos.
b) Un (01) circuito de acceso a internet, como línea dedicada de respaldo,
simétrica, a través de fibra óptica que deberá llegar por una ruta y a un
nodo diferente de la línea dedicada principal, debiendo tener como
mínimo un ancho de banda de 200 Mbps, garantizando el 100% del
ancho de banda.
c) Para cada uno de los dos circuitos, el contratista ganador del ítem 2
proveerá los equipos de comunicación LAN correspondientes que
Core de capa 3 redundante, que permitirá conmutar los diferentes
accesos de la INTRANET, INTERNET y EXTRANET.
d) La conmutación al enlace de respaldo a la IP – VPN - PNP deberá ser
automática cuando el enlace principal presente falla y/o avería, y
viceversa.
e) La conmutación al enlace de respaldo de Internet deberá ser automática
cuando el enlace principal presente falla y/o avería, y viceversa.
f) El contratista deberá contar con un sistema de servidores DNS
redundantes, donde se deberán registrar las direcciones IP públicas de
la PNP, asignadas a los servidores principales instalados en el Nodo
Central y sus servidores de respaldo correspondientes (alta
disponibilidad) instalados en el Sitio de Contingencia, balancear la
resolución de nombres y alta disponibilidad del mismo (round robin).
iii. NODOS REMOTOS
a) Doce (12) Circuitos de datos de acceso a la red IP VPN-PNP

(INTRANET-PNP), con acceso simétrico, teniendo como mínimo un
ancho de banda de 10 Mbps, con tasa de acceso garantizada del 100%,
44
empleando como medio de comunicación fibra óptica; la ubicación de
los complejos policiales donde se instalaran estos enlaces de datos se

indica en el anexo A.
b) Doce (12) Circuitos de datos de acceso a Internet, con acceso

simétrico, teniendo como mínimo un ancho de banda de 20 Mbps, con
tasa de acceso garantizada del 100%, empleando como medio físico de
comunicación fibra óptica, el contratista debe garantizar que el ancho de
banda proporcionado sea el mismo desde la puerta de enlace hasta la
salida internacional; la ubicación de los complejos policiales donde se
instalaran estos enlaces de datos se indica en el anexo A
c) Para cada uno de los Doce (12) circuitos, el contratista ganador del ítem
2 proveerá los equipos de comunicación LAN correspondientes que
Core de capa 3, que permitirá conmutar los diferentes accesos de la
INTRANET e INTERNET.
d) Dos (02) circuitos de datos redundantes de acceso a la red IP VPN-PNP
(INTRANET-PNP), con acceso simétrico, en modo activo pasivo,
teniendo como mínimo un ancho de banda de 2 Mbps, con tasa de
acceso garantizada del 100%, empleando como medio de comunicación
fibra óptica, al Aeropuerto Internacional “Jorge Chavez”
e) Dos (02) circuitos de datos redundantes de acceso a la red IP VPN-PNP
(INTRANET-PNP), con acceso simétrico, en modo activo pasivo,
teniendo como mínimo un ancho de banda de 2 Mbps, con tasa de
acceso garantizada del 100%, empleando como medio de comunicación
fibra óptica, a la División de Requisitorias de la PNP ubicado en la
intersección de la Av. Canadá con Av. Paseo de la República La
Victoria.
f) La comunicación entre las Unidades deberá realizarse bajo el esquema
de un grupo cerrado de usuarios, para tal efecto deberá asignarse
direcciones IP privadas para cada acceso simétrico.
g) El contratista deberá realizar la configuración de calidad de servicio
(QoS) en el equipo o los equipos donde considere pertinente para
garantizar una adecuada comunicación en los canales de voz.
h) El contratista deberá ser parte del NAP (Network Access Point) Perú y
garantizar un enlace dedicado con conexión directa y overbooking 1:1 al
NAP Perú. Además el contratista deberá presentar la documentación
i) El contratista deberá tener 2 salidas internacionales con distintos
proveedores TIER-1 que se encuentren configurados en alta
disponibilidad, y ambos accesos con redundancia geográfica. La
capacidad de estos enlaces deberán asegurar un overbooking 1:1 para
la salida a Internet en el tramo local y en la salida internacional.
j) El contratista deberá contar con un sistema de servidores DNS
redundantes, donde se deberá registrar las direcciones IP públicas de la
PNP.
k) El servicio deberá estar preparado para migrar a velocidades mayores.
iv. PUESTOS FRONTERIZOS
45
a) Tres (03) Circuitos de datos de acceso a la red IP VPN-PNP

empleando como medio de comunicación fibra óptica, cobre,
microondas terrestre en banda licenciadao cualquier otro medio que
cumpla con el requerimiento de ancho de banda y tasa de acceso
solicitado; la ubicación de los Puestos de Frontera son Santa Rosa –
Tacna, CEBAF Aguas Verdes – Tumbes y Desaguadero – Puno, los
detalles se señalan en el anexo A.
b) Tres (03) Circuitos de datos de acceso a la red IP VPN-PNP
empleando como medio de comunicación fibra óptica, cobre,
microondas terrestre en banda licenciada o cualquier otro medio que
cumpla con el requerimiento de ancho de banda y garantía, debiendo
considerarse por parte del contratista en este último caso la instalación
de todos los componentes adicionales necesarios para su puesta en
operación; la ubicación de los Puestos de Frontera son Iñapari – Madre
de Dios, La Balsa - Cajamarca y La Tina - Piura, los detalles se señalan
en el anexo A.
c) Para cada uno de los seis (06) circuitos, los equipos de comunicación
para el acceso a la LAN, para lo cual el contratista debe incluir en su
propuesta la instalación de un Switch LAN de capa 2 con mínimo ocho
(08) puertos ethernet.
d) La comunicación entre las Unidades deberá realizarse bajo el esquema
de un grupo cerrado de usuarios, para tal efecto deberá asignarse
direcciones IP privadas para cada acceso simétrico.
e) El contratista deberá realizar la configuración de calidad de servicio
(QoS) en el equipo o los equipos donde considere pertinente para
garantizar una adecuada comunicación en los canales de voz.
f) El servicio deberá estar preparado para migrar a velocidades mayores.
Componente b: Servicio de Fibra Oscura principal y

redundante entre el Nodo Central y su
Sitio de contingencia.
Descripción del servicio:
Un (1) enlace terrestre principal de comunicación punto a punto y un (01)

enlace terrestre redundante de comunicación punto a punto para conectar dos
entidades bajo un mismo protocolo, con capacidad mínima de 1 Gbps de ancho
de banda o hasta por la capacidad que se tenga instalada (no menor a 1
Gbps), Full Duplex, que incluya todo el equipo necesario para la ejecución de la
comunicación, a instalarse entre el DATACENTER principal de la PNP ubicado
en la Pza. 30 de agosto s/n Urb. Corpac, San Isidro y su local de contingencia
ubicado en el cuarto piso de la sede principal del Banco de la Nación en la Av.
República de Panamá 3664 San Isidro, debiéndose considerar el servicio de
traslado durante la vigencia del contrato a la nueva sede del Banco de la
46
Nación en la Av. Javier Prado al costado del Museo de la Nación San Borja.
Que incluya todo el equipo necesario para la ejecución de la comunicación. Los

enlaces deben tener una capacidad de 1 Gbps de ancho de banda mínimo y 10
Gbps como preferencia, Full Dúplex.
Referencias técnicas:
Enlace punto a punto de fibra óptica oscura con equipos terminales o

convertidores de fibra a cobre compatibles a las velocidades 100/1000 base T.
Los equipos terminales deben permitir la conexión transparente y sin

limitaciones de clientes ya sea por Mac Address o por direccionamiento IP,
debe soportar tráfico de los protocolos necesarios para el funcionamiento de
los sistemas de la PNP tales como VoIP, comunicación de bases de datos,
protocolos de enrutamiento, deben tener compatibilidad universal con los
diferentes equipos de activos 100/1000 base T que la Policía Nacional del Perú
deba conectar para lograr una comunicación eficiente entre los edificios.
Se debe disponer de un doble enlace punto a punto mediante infraestructura

WDM para el transporte de un (01) canal principal GbE y un (01) canal de
respaldo GbE entre el DATACENTER principal de la PNP y su sitio de
contingencia:
Un (01) canal de 1 GbE por cada enlace.
Los multiplexores ópticos por división de longitud de onda (WDM) deberán

soportar una variedad de configuraciones en cuanto a topología y densidad de
canales. El Contratista deberá adjuntar folletos o fichas técnicas (brochure) del
equipo antes indicado. El siguiente esquema será implementado:
El equipamiento debe contar con las siguientes características generales:
 Tecnología de transmisión WDM, ajustándose a la rejilla y parámetros

ópticos recomendados en la norma ITU-T G.694.1.
 Los sistemas deberán poder ser gestionados vía interfaz de comandos
(ssh), acceso gráfico vía web (https) y permitir el acceso vía SNMP y
Syslog.
47
 Los sistemas deberán permitir un alcance de hasta 80 km sin regeneración

y/o amplificación.
Para la interconexión de estos centros de datos los sistemas deberán además

contar con las siguientes características:
1. Se requiere que los sistemas trabajen sobre un único pelo de fibra óptica
bidireccionalmente.
2. Los sistemas deberán soportar los siguientes interfaces:
Interfaces Ethernet definidas en la IEEE 802.3:

 10 Base T
 10/100 Base T
 1000 Base T
 1000 Base SX
 1000 Base LX
 1000 Base ZX
Interfaces SAN/Mainframe definidas en las normas INCITS 364, 374 y 404:
 FICON
 FICON EXPRESS
 ISC 1, 2 y 3 (IBM-Coupling Link)
 ESCON
 Infiniband
 FC-1G
 FC-2G
 FC-4G
3. Sistemas escalables con una capacidad de crecimiento hasta 120 canales

bidireccionales (240 lambdas).
4. Los sistemas deben tener la capacidad de incorporar módulos de
monitorización de la calidad y detección de intrusión/manipulación en la
fibra.
5. Los servicios se deberán ofrecer sobre canales ópticos nativos, no
mediante canales TDM (aunque los sistemas deberán ser compatibles con
multiplexación temporal)
6. Los sistemas ofrecidos no deben introducir ninguna latencia. Únicamente
se permitirá introducir la latencia intrínseca del medio de transmisión
(latencia de 5 s/km es el valor )
7. Los sistemas deben poder ofrecer mecanismos de protección: redundancia
de alimentación, redundancia de canales, redundancia de equipamiento y
redundancia de ruta óptica (doble enlace punto a punto y doble
infraestructura WDM).
8. La solución debe tener la capacidad para incluir un sistema de
conmutación óptico en cada una de las dos infraestructuras.
El sistema de conmutación óptica que pueda ser incorporado en el enlace
48
debe ser compatible para funcionamiento sobre red WDM sin intrusión en
el tráfico de cliente y no debe tener ningún punto activo de fallo. El tiempo
de conmutación del conmutador óptico debe ser inferior a 50 ms en

cualquiera de los casos y debe permitir la monitorización en tiempo real de
la disponibilidad tanto de la ruta principal como de la ruta de backup.
Al momento de la instalación se deben emplear todos los hilos que

contenga la media instalada para proporcionar las redundancias
adecuadas, incluye que se conecten solamente 2 hilos y se dejen
terminados e instalados conectores en ambos extremos de todos los hilos,
con un mínimo de 6 (2 a emplear y 4 en reserva). De ser configurables los
equipos terminales, un técnico designado por la División de Administración
de centros de Cómputo de la dirección de informática PNP DIRETIC PNP
debe tener acceso a las configuraciones del equipo proporcionado para el
incremento de rutas y/o cambios de cualquier configuración que a la
ENTIDAD le pueda ser de utilidad.
Las direcciones de instalación son las siguientes:
No. Cantidad Ubicaciones

de
enlaces
1 2 DATACENTER PNP ubicado en el local del

Ministerio del Interior en la Plaza 30 de Agosto s/n
Urb. CORPAC San Isidro (2do nivel).
2 2 Sede principal del Banco de la Nación avenida

República de Panamá 3664 San Isidro (4to nivel).
Descripción técnica del servicio, materiales e instalación:
1. Fibra óptica Monomodo que debe cumplir con la recomendación ITU-T

G.655.E
2. Ductería galvanizada y/o PVC según sea determinado, indicadas dentro de
las normas de instalación ANSI/EIA/TIA.
3. Cajas de registro adecuadas a la norma de instalación de fibra óptica
4. Bandeja o cajas de distribución de fibra para rack o gabinete
5. Fusión de dos (2) pares de fibra óptica ST/SC o SC/SC (o del par mínimo
necesario)
6. Patch cord de Fibra Óptica monomodo ST/SC o SC/SC (para los pares
instalados).
7. Patch cord de fibra óptica y/o tranceiver si fuera necesario, para la
comunicación de los multiplexores con los Switch Core de Datacenter del
Nodo Central y del Sitio de Contingencia.
8. Los siguientes requisitos deben ser presentados en forma impresa para que
se pueda dar por aceptada la instalación del servicio:
a. Reporte de medición de las fibras con OTDR.

b. Grafica de la medición de la distancia de la fibra óptica.
49
c. Reporte del estado de pérdida de db en fusiones, en el camino y los

extremos.
d. Plano geográfico para identificación del tendido, que incluya un

informe de identificación de nodos o mufas en el trayecto (si
existieran).
e. Certificación de ancho de banda real mediante cualquier software.
La media para el enlace físico aceptable es fibra óptica, directamente desde los
extremos en ambos edificios.
El enlace debe ser punto a punto, sin conexión alguna al anillo de fibra óptica
de la empresa contratista y/o de ninguna otra.
La media de comunicación empleada debe soportar crecimientos en el ancho

de banda sin necesidad de cambios amplios o que determinen cualquier tipo de
suspensión temporal del servicio.
Restricciones:
Los contratistas deberán contar con por lo menos 3 años de experiencia en el

mercado nacional.
El enlace deberá estar instalado y configurado 10 días antes del inicio del plazo
contractual.
La ENTIDAD se compromete a respetar los lugares de dirección señalados

para la prestación de estos servicios (comprende la instalación solicitada y el
posterior traslado programado a la nueva sede del Banco de la Nación en la
Avenida Javier Prado al costado del Museo de la Nación). De hacerse
necesario algún cambio adicional en las direcciones citadas durante la vigencia
del contrato celebrado, estos se realizarán dando aviso por escrito con por lo
menos 15 días de anticipación al contratista adjudicado.
Con relación a la línea redundante del enlace principal, al momento de la

instalación está debe realizarse sin compartir los mismos medios de planta
externa y deberá utilizar una ruta geográfica completamente diferente a la de la
línea principal.
Soporte:
En la oferta se debe incluir certificación de tiempos de atención en caso de

caída de señal el cual no debe exceder de una (1) hora, debe proporcionar la
forma de cobertura de comunicación para contingencias no determinadas,
número de caídas programadas en el año (efectos geoestacionales,
mantenimientos y cambios de tecnología, etcétera). Relación de conexión 1-1
garantizado, certificado y verificable en cualquier momento.
Toda desconexión del servicio programada debe ser notificada con 24 horas de
50
anterioridad y debe proporcionarse el canal supletorio de la comunicación, en
caso la desconexión programada supere el período de 30 minutos. Las

garantías de tiempo de servicio activo deben ser mayores del 99%.
Componente c: Servicio de acceso a Internet para las

Comisarías y Unidades Policiales a nivel
nacional.
a) Mil ciento cuarenta y dos (1142) Circuitos de internet, en mil Ochenta y seis
(1086) Comisarías y Unidades Policiales a nivel nacional, con acceso por
fibra óptica, cobre o microondas terrestre (banda licenciada), con un ancho
de banda de 5 Mbps garantizado al 35% o un ancho de banda de 3 Mbps
garantizado al 100%.
Solo en caso que las Comisarias y/o las Unidades Policiales se encuentren
ubicados en localidades donde se compruebe que no existe facilidades
técnicas terrestres, el contratista podrá ofrecer el medio de acceso satelital,
con un ancho de banda de 1Mbps / 0.5Mbps garantizado mínimo al 15% y
cuyo nivel de disponibilidad mínimo mensual será de 99%.
Durante la ejecución del contrato, el acceso satelital deberá ser

remplazado por acceso terrestre cuando se compruebe que el contratista
ya cuenta con facilidades técnicas terrestres en la localidad, el plazo
máximo para el cambio de acceso será de 30 días calendarios,
computados a partir del día siguiente de recibida la comunicación que la
entidad curse al contratista solicitando el cambio. El ancho de banda a
considerar para el reemplazo con el acceso terrestre será definido por la
Entidad, teniendo la potestad de solicitar: i) que resulte similar al resto de
líneas de fibra óptica o cobre proveído por el contratista, ó ii) se realice un
reajuste de precio debido al cambio del tipo de medio de transmisión
empleado para el servicio. En caso de incumplimiento, se aplicará las
penalidades descritas en el numeral 6 de estos Términos de Referencia
denominado. De las penalidades e incumplimiento de contrato.
b) El contratista deberá incluir una solución de comunicaciones que soporte
funcionalidades enrutamiento WAN/LAN Firewall, VPN, IPS, Filtro de
contenido Web por cada circuito de internet.
c) El contratista se obliga a ejecutar la instalación de los equipos, materiales,
accesorios y todo lo necesario, aunque no esté detallado en su propuesta
técnica, a fin de dejar completamente habilitado la prestación del servicio a
entera satisfacción de la ENTIDAD.
d) El contratista y la ENTIDAD, realizarán de manera conjunta los
procedimientos de inspección y pruebas de desempeño del servicio en la
sede antes que el servicio sea aceptado en forma definitiva.
e) Respecto a la información acerca de las Comisarías y Unidades Policiales
consideradas para la instalación y prestación del servicio (Anexo A), se
entregarán grabados en medio óptico (CD) al momento de inscribirse como
participante en el Proceso de Selección, previa presentación de una
Declaración Jurada de Confidencialidad suscrita por el Representante
Legal de la empresa participante, amparado en el Artículo 15° literal “g” de
la Ley N° 27806 – Ley de Transparencia y Acceso a la Información Pública.
51
f) El contratista deberá ser parte del NAP (Network Access Point) Perú y
garantizar un enlace dedicado con conexión directa y overbooking 1:1 al
NAP Perú. Además el contratista deberá presentar la documentación
g) El contratista deberá tener 2 salidas internacionales con distintos
proveedores TIER-1 que se encuentren configurados en alta disponibilidad,
y ambos accesos con redundancia geográfica. La capacidad de estos
enlaces deberán asegurar un overbooking 1:1 para la salida a Internet en el
tramo local y en la salida internacional.
5. ACUERDO DE NIVEL DE SERVICIO DE ACCESO A INTERNET Y

A LA RED IP-VPN DE LA PNP Y DEL SERVICIO DE FIBRA
OSCURA
 Cobertura del servicio

La cobertura del servicio será durante las 24 horas del día, los 36 meses que
dure el contrato.
 Calidad de Servicio
La calidad del servicio se medirá en los siguientes términos:
Disponibilidad del servicio: los enlaces dedicados a Internet y a la red IP-VPN

del servicio de fibra oscura a ser ofertados deberán tener un nivel de
disponibilidad mínimo del 99.5% para cada uno de los circuitos de datos y 99%
para cada uno de los circuitos de internet.
 Gestión del Servicio

El contratista del servicio deberá contar con un sistema de gestión a través de
una ventanilla única, es decir un único punto de contacto para la entidad, para
el reporte de fallas, atención de nuevas solicitudes o tratamiento de reclamos.
El contratista deberá indicar la información sobre las personas de contacto para

la Entidad para la gestión adecuada del servicio.
 Emisión de ticket de atención

El tiempo de respuesta máximo para el registro de un problema (avería), será
de una hora, contada desde que el ENTIDAD reporta la incidencia a la
ventanilla del contratista y se le asigna un ticket de atención.
 Monitoreo en tiempo real

El contratista del servicio debe contar con facilidades de monitoreo de los
enlaces en forma permanente, las mismas que deben estar disponibles para el
personal de la entidad, a través de una interfaz del tipo Web hasta la
finalización de la implementación del servicio.
 Parámetros para definir el nivel del servicio

El nivel del servicio como compromiso por parte del contratista para ofrecer
52
servicios de transmisión de información de calidad, en función a los siguientes
parámetros:
a) Calidad de Atención de Averías: Medido por el exceso de tiempo en

la atención de una caída en el servicio de un circuito de datos.
b) Frecuencia de caída del mes: Medido por la cantidad de veces en
que se cae un enlace de comunicación. Se debe considerar al
enlace principal y al enlace de respaldo. Se considera una caída en
el servicio, para situaciones en que la pérdida de conexión es
mayor a 2 minutos.
c) Calidad de la transmisión: Medida por la cantidad de pérdida de
paquetes en un enlace. Si el enlace de respaldo es provisto por el
mismo contratista sólo se considera al enlace principal.
d) No activación del respaldo en modo automático: Se aplica cuando
no se activa el enlace respaldo en modo automático.
 Situación excepcional durante la ejecución del servicio

Las averías causadas por casos fortuitos ajenas al contratista como desastres
naturales o situaciones de fuerza mayor no serán consideradas en la
penalidad, sin embargo lo referente a vandalismo (robos de cable) no se
consideran dentro de estos casos, dado que son situaciones que el contratista
conoce por lo que debe aplicar las medidas preventivas del caso.
En estos casos el contratista deberá presentar a la División de Administración

de Centros de Cómputo de la Dirección de Informática PNP - DIRETIC-PNP, la
documentación donde expondrá los motivos técnicos que originaron la
situación excepcional, y evaluará dicha justificación, a fin de determinar la
aplicación de penalidades.
6. OTRAS PENALIDADES:
6.1. Calidad de Atención de Averías
Se calculará en forma mensual para cada circuito de datos, está determinado por la
sumatoria del Tiempo de Horas de Exceso (THE) respecto al Tiempo de Atención
Máximo (TAM) establecido para cada ítem. Los TAM son los siguientes:
Medio de transmisión empleado TAM
- Fibra óptica, cobre, microondas en banda licenciada en zona urbana 6.72 horas
donde exista facilidad de acceso.
- Fibra óptica, cobre, microondas en banda licenciada en zona urbana 24 horas

donde es difícil acceso.
- Cualquier otro medio de acceso 48 horas
Ejemplo: El contratista presta el servicio de banda ancha de transmisión de

datos a un local ubicado en la ciudad de Arequipa. En 1 mes, se reportaron
3 problemas con el enlace: 1 fue resuelto dentro del tiempo de respuesta
establecido (el TAM) y 2 fueron resueltos excediendo los tiempos de
respuesta establecidos, con 2 y 3 horas de retraso totales, respectivamente.
El THE del enlace será: THE = 2 +3 = 5 horas.
53
Cuadro de Penalidad
THE Penalidad
Menor o igual a 1 hora 1%
Mayor a 1 y menor a 2 horas 5%
Mayor a 2 y menor a 4 horas 10 %
Mayor a 8 horas 30 %
La penalidad representa el porcentaje indicado con relación al pago mensual

por el circuito de datos que corresponda según la estructura de costos
presentada por el Contratista, que determine la Entidad.
Si el THE es mayor a 8 horas, se considera como una falta grave, y se

acumula para efectos de resolver el Contrato.
6.2. Frecuencia de Caídas del Mes (FCM)
Es medido para cada circuito de datos y está determinado por la cantidad de

caídas del circuito de datos en el mes.
Cuadro de Penalidad
FCM Penalidad
Menor a 2 0%
Menor a 4 10 %
Menor a 6 20 %
Menor a 8 30 %

por el circuito de datos.
Si la FCM es mayor a 4 caídas del circuito de datos, se considera como una

falta grave, y se acumula para efectos de resolver el Contrato.
6.3. Pérdida de Paquetes (PPKT)
La pérdida de paquetes se calcula producto de la ejecución del comando
54
ping en el circuito de datos (Entre el equipo de comunicación del circuito de
datos de la Unidad Remota y el equipo de comunicación del circuito de
datos del Nodo Central), sobre una muestra de 1,000 paquetes de tamaño
estándar (32 Bytes), la pérdida de paquetes no debe ser mayor al 1 %.
Las pruebas se realizarán sobre un enlace que no exceda un consumo del

80%, en cuanto al periodo de muestreo este podrá ser mayor a tres minutos.
La medición de este factor de calidad será medida en condiciones climáticas

normales.
Cuadro de Penalidad
PPKT Penalidad
De 1% a 2% 0%
De 2% a 3% 10%
De 3% a 4% 20%
Mayor a 4% 30%

por el circuito de datos.
Si el PPKT es mayor a 4%, se considera como una falta grave, y se acumula

para efectos de resolver el Contrato.
6.4. No activación del respaldo en modo automático (NARMA).
Se aplica cuando luego de 5 minutos de caído el enlace principal no se

activa en modo automático el enlace de respaldo. En este caso se aplica
una penalidad fija de 30% como porcentaje del pago mensual por el circuito
de datos.
6.5. Cálculo final de la penalidad por incumplimiento del Acuerdo de Nivel

de Servicio (ANS).
El cálculo de la penalidad mensual se determina para cada circuito de datos,

éste se definirá como la suma de penalidades de los 4 factores definidos
líneas arriba, es decir la Penalidad por cada enlace está dada por:
Penalidad x Enlace = Penalidad (THE) + Penalidad (FMC) + Penalidad

(PPKT) + Penalidad (NARMA).
6.6. Incumplimiento del cambio de tipo de medio de transmisión solicitado
Si se comprueba que el contratista ha considerado la colocación de un

enlace Satelital de transmisión de datos donde existe factibilidad técnica
para la instalación de un enlace por cobre o fibra óptica y a pesar de
habérsele notificado de tal hecho incumple con el cambio de comunicación
55
vía satélite a cobre o fibra óptica en el lapso de 30 días calendarios será

penalizado con penalidad por hora en la ejecución de la prestación.
7. PENALIDAD POR RETRASO INJUSTIFICADO DE LA PRESTACIÓN DEL

SERVICIO
Si EL CONTRATISTA incurre en retraso injustificado en la ejecución de las

prestaciones objeto del contrato, LA ENTIDAD le aplicará una penalidad por
cada día de atraso, hasta por un monto máximo equivalente al diez por ciento
(10%) del monto del contrato vigente o de ser el caso, del monto del ítem que
debió ejecutarse, en concordancia con el artículo 165 del Reglamento de la Ley
de Contrataciones del Estado.
En todos los casos, la penalidad se aplicará automáticamente y se calculará de acuerdo a
la siguiente fórmula:
0.10 x Monto
Penalidad Diaria =
F x Plazo en días
Donde F = 0.25 (para bienes y servicios en plazos superiores a 60 días)
Tanto el monto como el plazo se refieren a la prestación parcial materia de

retraso para tal caso se debe señalar lo siguiente:
Actividad Plazo Monto10
Instalación del Servicio 180 días calendarios
Ejecución del Servicio 1095 días
Las penalidades serán deducidas de los pagos parciales o del pago final. Cuando
se llegue a cubrir el monto máximo de la penalidad, LA ENTIDAD podrá resolver el
contrato por incumplimiento.
Las penalidades no se aplicaran en casos fortuitos o de fuerza mayor (como
trabajos de mantenimiento programados, terremotos y condiciones ambientales
excepcionales, fallas insuperables en el backbone, otros) que son las
circunstancias fuera de Control de La Empresa o aquellas causas que fueran
previsibles, pero no fueran evitables; sin embargo lo referente a vandalismo (robos
de cable) no se consideran dentro de estos casos, dado que son situaciones que el
contratista conoce por lo que debe aplicar las medidas preventivas del caso.
El monto máximo de las penalidades establecidas sobre cada contrato por ítem,
será hasta el 20% del monto adjudicado, es decir el 10% por penalidad por mora
en la ejecución de la prestación y 10% por otras penalidades.
56
10
Los montos considerados serán los establecidos en la estructura de costos del contratista.
8. CAUSALES DE RESOLUCIÓN DE CONTRATO
De conformidad con el artículo 168° del Reglamento de la Ley de

Contrataciones del Estado, en relación a las causales de resolución de contrato
por incumplimiento, se considera adicionalmente la siguiente causal:
- La Entidad podrá resolver el Contrato si el Contratista incurre en más de 11

oportunidades, en faltas graves durante la vigencia del contrato para el
cómputo del incumplimiento del Acuerdo de Nivel de Servicio (ANS).
De presentarse una situación excepcional que impida al Contratista cumplir con

los plazos de respuesta establecidos (las averías causadas por casos fortuitos
ajenas al contratista como desastres naturales o situaciones de fuerza mayor
no serán consideradas en la penalidad, sin embargo lo referente a vandalismo
(robos de cable) no se consideran dentro de estos casos, dado que son
situaciones que el contratista conoce por lo que debe aplicar las medidas
preventivas del caso), éste deberá presentar a la División de Administración de
Centros de Cómputo de la Dirección de Informática PNP - DIRETIC-PNP, la
documentación donde expondrá los motivos técnicos que originaron la
situación excepcional, y la Entidad evaluará dicha justificación, a fin de
determinar la aplicación de penalidades.
9. OTRAS CONDICIONES DEL SERVICIO
9.1 ACTIVACION Y DESACTIVACIÓN DE CIRCUITOS DE INTERNET

Pasado seis (06) meses de iniciado el servicio de Internet señalado en el
Componente c del presente ítem, la ENTIDAD podrá disponer la
desactivación de circuitos de acceso a internet de acuerdo a traslados de
locales policiales dentro de complejos que ya poseen este tipo de
comunicación o cuando se utilice medios de transmisión internet propio o
alternativo. Para lo cual se cursara comunicación a través de la División de
Administración de Centros de Cómputo de la Dirección de Informática PNP -
DIRETIC-PNP.
9.2 PLAZO DE INSTALACIÓN

El plazo máximo para la instalación del servicio es de CIENTO OCHENTA
(180) días calendarios, contados a partir del día siguiente de la culminación
de la acreditación del personal que prestará el Servicio de instalación.
9.3 PLAZO DE EJECUCIÓN

contados a partir del día siguiente de la aceptación de la instalación del
servicio realizado mediante el Acta de Conformidad emitida por la División
de Administración de Centros de Cómputo de la Dirección de Informática
57
PNP - DIRETIC-PNP, a excepción de las líneas redundantes de internet del

sitio de contingencia del componente a. y la fibra oscura del componente b.
del Ítem 1 que iniciarán al día siguiente de recibida la comunicación de la
mencionada División para el inicio del mismo.
9.4 CAPACITACION Y ENTRENAMIENTO

Se prevé la capacitación técnica al personal de la DIADCECO-DIRINFOR-
DIRETIC-PNP, en los cursos abajo señalados:
a) Curso Oficial de Certificación profesional CCNA (Cisco Certified

Network Associate), para CINCO (05) personas.
b) Curso Oficial de Certificación profesional CCNP (Cisco Certified
Network Professional), para CINCO (05) personas.
c) Capacitación en el software de la terminal de gestión (20 horas, para 15
personas).
 Conceptos y comandos básicos del sistema operativo de la terminal
de gestión
 Conceptos de SNMP basado en TCP/IP
 Conceptos de MIB
 Creación de mapas, sub mapas, propiedades
 Agregar objetos.
 Gestionar e identificar alarmas.
La Capacitación deberá realizarse en la ciudad de Lima, en un Instituto

Tecnológico de prestigio que sea considerado como Centro Oficial de
entrenamiento y el dictado de clases será teórica-práctica, con ayudas
audiovisuales y documentación teórica.
La Capacitación deberá ser dictada por personal profesional y especializado

en Centros Oficiales de entrenamiento de los equipos de comunicaciones y
seguridad a implementarse y materia de la capacitación, o en su defecto en
instalaciones adecuadas para el seguimiento de dichos cursos, debiéndose
considerar, la obtención de los derechos para rendir los exámenes de
certificación técnica correspondientes según sea el caso.
9.5 FORMA DE PAGO
La Entidad deberá realizar el pago de la contraprestación pactada a favor del

contratista en TREINTA Y SEIS (36) pagos periódicos mensuales en nuevos
soles, descontando de ser el caso el costo del servicio de fibra oscura y las
líneas redundantes de internet del sitio de contingencia, si la Entidad aún no
hubiera comunicado el inicio de operaciones de dichos servicios.
Cabe precisar que el primer pago será luego de transcurrido el primer mes de la
prestación del servicio.
58
De acuerdo con el artículo 176 del Reglamento, para efectos del pago de las
contraprestaciones ejecutadas por el contratista, la Entidad deberá contar con la
siguiente documentación:
- Recepción y conformidad a cargo de la División de Administración de Centros

de Cómputo de la Dirección de Informática PNP - DIRETIC-PNP.
- Informe del funcionario responsable del área usuaria (DIADCECO-DIRINFOR-
DIRETIC-PNP) emitiendo su conformidad de la prestación efectuada.
- Comprobante de pago.
9.6 CONFORMIDAD
La aceptación de la instalación del servicio se hará mediante un Acta de

Conformidad emitida por la DIADCECO-DIRINFOR-DIRETIC-PNP,
adjuntando el Informe Final del contratista.
Acta de Conformidad de la DIADCECO-DIRINFOR-DIRETIC-PNP, para

efectuar el pago mensual por la prestación del servicio.
59
Ítem 2: Servicio de Tercerización de Servicios de Tecnologías

de Información en Seguridad Informática.
1. ALCANCE
Contratar un Servicio de Tercerización de seguridad informática gestionada que
permita que la PNP pueda cumplir con lo dispuesto en la Norma Técnica
Peruana “NTP-ISO/ IEC 27001:2014 (Tecnología de la Información, Técnicas de
Seguridad).
2. FINALIDAD PÚBLICA
La finalidad de la presente contratación es renovar la plataforma de seguridad
informática que posee la Entidad a fin de mitigar el riesgo de ataques
informáticos así como de contar con un servicio mucho más óptimo siendo las
plataformas administradas por personal especializado.
3. ANTECEDENTE S
Debido a que la Entidad alberga aplicaciones críticas y dado que los equipos que
actualmente brindan la seguridad informática cuentan con varios años de
antigüedad y no cubren todas las necesidades tecnológicas actuales, se ha
considerado contratar los servicios de Tercerización de Tecnología de
Información en Seguridad Informática a fin de adecuarla a las nuevas tendencias
informáticas, permitiendo de esta forma aumentar la alta disponibilidad de las
aplicaciones, reducir los riesgos cibernéticos y poder hacer frente con mayores
recursos a los ataques informáticos.
4. OBJETIVOS
- GENERAL
Dotar a la Entidad de un servicio basado en especialistas y en plataformas

de seguridad informática a fin de proteger en forma eficiente la información y
el buen funcionamiento de los sistemas informáticos.
- ESPECIFICOS
· Reducir los riesgos de intrusión e Incrementar el nivel de disponibilidad

de los sistemas críticos de la Entidad.
· Permitir cumplir con lo dispuesto en la Norma Técnica Peruana “NTP-
ISO/ IEC 27001:2014 (Tecnología de la Información, Técnicas de
Seguridad).
60
5. DESCRIPCIÓN DEL SERVICIO
El contratista suministrará el siguiente servicio:
a. Servicio de Tercerización de Servicios de Tecnologías de Información en

Seguridad Informática.
El contratista deberá trabajar de manera conjunta con el personal técnico de la

Informática PNP - DIRETIC-PNP que supervisarán la implementación de los
servicios correspondientes. La DIADCECO-DIRINFOR-DIRETIC-PNP nombrará
un Responsable Técnico del proyecto, quien será el encargado de las
coordinaciones con el Jefe de Proyecto del contratista, de modo que la
implementación se ejecute en forma coordinada.
5.1 CONSIDERACIONES GENERALES
El contratista deberá cumplir lo siguiente:
a. Alta disponibilidad
El equipamiento de seguridad sugerido y el adicional propuesto por

el contratista deberá estar configurado en Alta disponibilidad
(redundancia de equipos en un mismo Datacenter,
complementándose esta con la redundancia entre Datacenter del
sitio principal y Datacenter del sitio de contingencia), debiendo
incluir en su propuesta técnica el diagrama correspondiente de su
solución.
b. Disponibilidad
El contratista será responsable de la operatividad de los equipos de

seguridad informática necesarios para la prestación del servicio, los
cuales deberán estar disponibles y operativos las 24 horas del día,
los 7 días a la semana y 365 días del año. El nivel de disponibilidad
deberá ser como mínimo del 99.50% para cada uno de los equipos
en mención medido de mes a mes.
c. Instalación y configuración
El contratista deberá proveer, instalar y configurar los equipos y/o

software de seguridad informática necesarios para la prestación del
servicio con óptima calidad.
Si al momento de la implementación del servicio, los equipos

ofertados por el contratista en su propuesta técnica no se
61
encuentren disponibles en el mercado, deberá reemplazarlos con

equipos de iguales o mayores prestaciones, adjuntando el
correspondiente sustento técnico documentado, asimismo si
durante el periodo que dure el presente servicio se presentaran
nuevas formas de ataques informáticos para los cuales el
equipamiento de hardware y software inicial no estaría preparado
para su bloqueo, el contratista debe considerar como parte de su
propuesta la provisión de equipos adicionales.
A fin de elaborar la mejor solución que se ajuste a las necesidades

tecnológicas de la Entidad, el contratista podrá realizar la visita
técnica al DATACENTER de la PNP cualquier día de la semana,
desde las 08.00 horas hasta las 20.00 horas, para lo cual deberán
coordinar con el Jefe de la División de Administración del Centro de
Cómputo.
El contratista asignará un profesional para la implementación del

servicio correspondiente. Los siguientes requisitos mínimos son los
siguientes:
1. Jefe de Proyecto responsable de la implantación del

servicio:
Telecomunicaciones.
- Constancia o certificado que acredite habilitación.
experiencia mínima de tres (03) años en gestión de proyectos.
Proyectos de Seguridad Informática y contar con las
certificaciones de Lead Auditor ISO27001 y Chief Information
Security Officer.
Nota: Se precisa que para el cálculo del total del tiempo de

experiencia mínima solicitada, será considerado el tiempo
cuando desempeñaba sus funciones en las áreas indicadas,
con el grado de bachiller y/o título profesional
El contratista deberá presentar durante los siguientes siete (07)

días calendarios de suscrito el Contrato y antes del inicio de la
notarialmente mediante los cuales acredite el cumplimiento de los
requisitos mínimos antes indicados.
62
d. Entregables
a) Entregables de la instalación
Hasta diez (10) días calendarios posteriores a la firma del
Contrato, el contratista deberá entregar impresos y en archivo
digital los siguientes documentos:
i. La propuesta técnica para la implementación del servicio,

que incluirá la documentación técnica detallada y explícita
que sustente el cumplimiento de la totalidad de las
especificaciones técnicas establecidos en los términos de
referencia.
ii. Project Charter.
iii. Plan de Gestión del Proyecto.
iv. Estructura de Detalle de Trabajo (WBS).
v. Plan de Calidad.
vi. Plan de Recursos Humanos.
vii. Plan de Administración de Riesgos.
viii. Plan de Seguridad Informática, en el cual el contratista
deberá detallar el diseño y propuesta para la
implementación de la solución de seguridad informática,
aplicando políticas establecidas por la Norma Técnica
Peruana “NTP-ISO/ IEC 27001:2014 (Tecnología de la
Información, Técnicas de Seguridad).
Los entregables señalados del dos (ii) al ocho (viii) deberán

cumplir con lo establecido en el Project Management Body of
Knowledge (PMBOK) desarrollado por el Project Management
Institute (PMI).
A la culminación de la instalación del servicio el contratista

deberá presentar el Informe Final de la instalación, en un plazo
máximo de 15 días después de culminadas todas las
instalaciones, conteniendo los siguientes anexos:
i. Las versiones finales de los documentos entregables de la

instalación, si hubieran sufrido modificaciones.
ii. Documentación de la configuración de cada uno de los
equipos implementados y esquema del cableado de
conexiones entre ellos, con indicación del N° de puerto, N°
de IP.
iii. Reporte de performance de cada uno de los equipos.
iv. Cuadro de direccionamiento IP de todos los servicios.
v. Actas de subsanación de observaciones (si existiesen),
adjuntando los oficios de observaciones de la DIADCECO-
DIRINFOR-DIRETIC-PNP.
63
Todos los entregables deberán ser firmados por el Jefe de

Proyecto del contratista, los que deberán ser remitidos en la
mesa de partes de la División de Administración de Centros de
Cómputo de la Dirección de Informática PNP - DIRETIC-PNP,
dirigido al Responsable Técnico de la DIADCECO-DIRINFOR-
DIRETIC-PNP para su evaluación respectiva aprobación y
visado correspondiente; en el caso de encontrarse
observaciones serán devueltas para ser subsanadas en el plazo
de 96 horas.
La aceptación de la instalación del servicio se hará mediante un

Acta de Conformidad emitida por la DIADCECO-DIRINFOR-
DIRETIC-PNP, adjuntando el Informe Final del contratista.
b) Entregables durante la vigencia del servicio
El contratista entregará los siguientes reportes con periodicidad

mensual:
i. Reporte de Estado de los equipos de seguridad

informática. Número de equipos averiados, solución
ejecutada, tiempo de atención, gráfico de equipos
averiados, observaciones y recomendaciones.
ii. Reporte de ataques o intentos de ataques informáticos a la
red informática PNP, gráficas correspondientes,
observaciones y recomendaciones.
e. Gestión del servicio
El contratista deberá contar con un Centro de Atención, disponible

24 horas al día, los 365 días del año, para atención de reportes de
incidencias del servicio. El tiempo de respuesta máximo para la
atención de cada incidente reportado será de 30 minutos,
entendiéndose como tiempo de respuesta el tiempo que transcurre
desde que el incidente es reportado hasta que el Contacto de la
DIADCECO-DIRINFOR-DIRETIC-PNP reciba la llamada del técnico
del contratista a través de la cual se coordinará la atención y
solución del problema.
El contratista que obtenga la buena pro, asignará un Ingeniero

Residente, que cumplirá la función de Oficial de seguridad de
acuerdo a la Norma técnica NTP ISO/IEC 27001:2014, siendo que
dicho profesional no tendrá vínculo laboral alguno con el Ministerio
del Interior ni con la PNP.
64
El horario de trabajo será de lunes a sábado en horas de oficina

(08.30 a 17.00 horas). La PNP proporcionará un ambiente físico
adecuado en el DATACENTER de la DIADCECO-DIRINFOR-
DIRETIC PNP para sus labores diarias.
1. Ingeniero Residente deberá cumplir los siguientes requisitos

mínimos:

Telecomunicaciones.
- Constancia o certificado que acredite habilitación.
seguridad informática, con certificación Cisco Certified
Network Associate (CCNA) o equivalente, Lead Auditor
ISO27001 y Chief Information Security Officer.
Nota: Se precisa que para el cálculo del total del tiempo de

experiencia mínima solicitada, será considerado el tiempo
cuando desempeñaba sus funciones en las áreas
El contratista podrá presentar desde el día siguiente suscrito el

Contrato y hasta siete (07) días calendarios previos al término de la
notarialmente mediante los cuales acredite el cumplimiento de los
requisitos mínimos antes indicados.
f. Confidencialidad de la Información
Toda información de la PNP a que tenga acceso el contratista, su

personal y sus subcontratistas, si los hubiera, es estrictamente
confidencial, debiendo mantener las reservas del caso y no
transmitirla bajo ninguna circunstancia, para lo cual se deberá
presentar una declaración jurada de confidencialidad.
El Contratista se compromete a mantener en reserva, y no revelar a

terceros sin previa conformidad escrita de la Policía Nacional del
Perú, toda información que le sea suministrada por este último,
excepto en cuanto resulte estrictamente necesario para el
cumplimiento del Contrato, y que restringirá la revelación de dicha
información sólo a sus empleados y subcontratistas, sobre la base
de "necesidad de conocer".
65
El Contratista se compromete a no revelar, ni permitir la revelación

(de información acerca de la configuración de seguridad informática
de la Policía Nacional del Perú, direcciones IP, protocolos,
equipamiento, dato o cualquier información de la PNP a que el
contratista tenga acceso como parte del suministro del servicio) a
los medios de prensa o a terceros, a no revelar que la PNP es su
cliente en relación con el servicio, y a no usar el nombre de la PNP
en cualquier promoción, publicidad o anuncio, sin previa
autorización escrita de la PNP.
Bajo ninguna circunstancia, el contratista y/o sus empleados,

podrán vulnerar, copiar, almacenar, publicar, o capturar la
información de la PNP que se transmita a través de la red de datos
que administra.
g. Duración del Servicio
El tiempo de prestación del servicio será de TREINTA Y SEIS (36)

meses, contados a partir del día siguiente de la aceptación de la
instalación del servicio realizada mediante el Acta de Conformidad
emitida por la División de Administración de Centros de Cómputo
de la Dirección de Informática PNP - DIRETIC-PNP.
6. ALCANCE Y DESCRIPCIÓN DE LOS SERVICIOS A

CONTRATAR
Se desea contratar de Servicios Gestionados de:
a) Firewall de Nueva Generación

b) Filtro de URL
c) Antivirus de Red Perimetral
d) Sistema de Prevención de Amenazas
e) Detección y Control de Malware Avanzado
f) Protección para los Portales Web
g) Monitoreo de Actividad de base de datos
h) Filtro de correo spam
i) Prevención de Ataques de Denegación de Servicio Distribuida
j) Correlación de Logs de Seguridad
k) VPN SSL y IPSec
l) Control de Aplicaciones y Prevención de Amenazas
Para ello se requiere que el contratista incluya la provisión en uso, la

implementación, afinamiento, administración y monitoreo de equipos de
66
seguridad informática en base a la siguiente relación:
• 02 Firewalls Externos para la sede principal y deberán funcionar en alta

disponibilidad.
• 02 Firewalls Externos para la sede secundaria y deberán funcionar en
alta disponibilidad.
• 02 Firewalls Internos para la sede principal y deberán funcionar en alta
disponibilidad.
• 02 Firewalls Externos para cada una de las 12 sedes remotas de la
Entidad y deberán funcionar en alta disponibilidad.
• 01 Consola de administración de todos los Firewall de la solución, la cual
se instalará en la sede principal.
• 01 Consola de administración de todos los Firewall de la solución, la cual
se instalará en la sede secundaria (configurada en HA contra la consola
instalada en la sede principal).
• 01 equipo Anti-Malware en la sede principal
• 01 equipo Anti-Malware en la sede secundaria
• 01 equipo Anti-Malware en cada una de las sedes remotas
• 01 Consola de administración de todos los Anti-Malware de la solución, la
cual se instalará en la sede principal.
• 02 Switchs redundantes de 48 puertos en la sede Principal
• 02 Switch redundantes de 48 puertos en la sede secundaria
• 01 switch de 24 puertos en cada una de las 12 sedes remotas
• 01 Web Application Firewall (WAF) para la Sede Principal
• 01 Web application Firewall (WAF) para la Sede Secundaria.
• 01 Data Base Monitoring (DBM) para la sede Principal
• 01 Data Base Monitoring (DBM) para la Sede Secundaria
• 01 Consola que administre el WAF y DBM para la sede Principal
• 01 Consola que administre el WAF y DBM para la Sede Secundaria
• 01 Antispam en la Sede principal
• 01 Antispam en la Sede Secundaria
• 01 Equipo de prevención contra DDoS en la sede principal
• 01 Equipo de prevención contra DDoS en la sede secundaria
• 01 Correlacionador de Eventos de Seguridad (SIEM) en el Site principal
• 01 Correlacionador de Eventos de Seguridad (SIEM) en el site secundario
67
El contratista acreditará con certificados técnicos oficiales, que los

profesionales responsables de la instalación e implementación de los
equipos mencionados en el párrafo precedente, deberán estar certificados
en cada una de las tecnologías propuestas.
Adicionalmente se requiere que el contratista incluya como parte del servicio

la implementación de lo siguiente:
- Implementación de SGSI basado en la ISO/IEC 27002:2013

- Ingeniería de Datos y la implementación y provisión en uso de un
Sistema de Prevención de Fuga de Información (DLP)
- Ingeniería de Roles y la implementación y provisión en uso de un
Sistema de Gestión de Identidades.
CARACTERÍSTICAS Y CONDICIONES
6.1 GENERALIDADES
La Entidad requiere contratar los servicios tercerizados de tecnologías de

información en Seguridad Informática, con la finalidad de mejorar la
protección y elevar el nivel de disponibilidad de los sistemas informáticos.
El software ofertado deberá tener la última versión disponible del fabricante.

No se aceptarán versiones beta o similares.
La Entidad proporcionará los gabinetes, aire acondicionado y la energía

eléctrica estabilizada para el funcionamiento de los equipos.
Los trabajos de conexión (cableado estructurado) necesarios estarán a cargo

de la Entidad. La Entidad deberá suministrar enlaces de fibra óptica entre
ambas sedes (Principal y Secundaria), en caso sea solicitado por el
contratista y de acuerdo a lo especificado en el Ítem 2. El contratista
entregará el cableado necesario para la operación de los equipos de
seguridad objeto del presente Ítem.
Todos los equipos deben venir completamente equipados con los módulos
requeridos en las especificaciones del presente documento.
El Contratista deberá presentar una relación de los servicios ofertados

indicando por cada componente, la marca, modelo y número de parte.
Todos los equipos deben ser nuevos, sin uso y de reciente fabricación. No se
aceptarán equipos usados o re manufacturados.
Se deberá adjuntar folletos o brochures de los equipos y aplicaciones
68
consideradas.
El Contratista será responsable de optimizar y configurar (lógicamente) de

forma permanente y adecuadamente cada componente ofertado tanto durante
la etapa de instalación como durante la etapa de operación.
Todas las modificaciones en las configuraciones que se necesiten hacer en

los equipos de la Entidad (switches, routers, servidores y equipos de
seguridad informática) deben ser realizadas por la Entidad y no por el
contratista. La Entidad será responsable de proveer la adecuada
infraestructura para realizar la instalación de los equipos componentes de los
servicios (energía eléctrica, espacio de rack, aire acondicionado, cableado de
la red, etc)
Las migraciones o pases a producción se realizarán previa coordinación con

el personal de la Entidad y fuera del horario de trabajo.
El diseño propuesto se deberá basar en el siguiente diagrama:
69
70
6.2 CARACTERISTICAS TÉCNICAS
A. EQUIPOS FIREWALL EXTERNO E INTERNO (Sede Principal y Secundaria):
Se debe suministrar dos equipos en alta disponibilidad (un equipo en cada

sede).
A.1 Características Generales del Firewall Externo e Interno tanto de la

Sede Principal como de la Sede Secundaria:
• Tipo Appliance, Chassis o hardware diseñado exclusivamente para la

función específica de seguridad, es decir, no se aceptarán equipos de
propósito genérico (PC’s o Servers).
• Los Firewalls deben incluir las funciones de Firewall, VPN (IPSec y SSL),
y Control de Aplicaciones, IPS, Antivirus y Antispyware, todas en un solo
hardware.
• Cada uno de los equipos firewall propuestos debe incluir licenciamientos

requeridos y especificados en el presente documento.
• El hardware y software que ejecuten las funcionalidades de seguridad de

red y de administración y monitoreo, deben ser de tipo appliance. No
serán aceptados equipamientos servidores y sistema operacional de uso
genérico;
• Todos los equipos ofrecidos deben ser adecuados para montaje en rack
19”
• El software deberá ser ofrecido en su versión más estable y/o más

avanzada;
• Los dispositivos de seguridad de red deben poseer por lo menos las

siguientes funcionalidades:
• Soporte a 4094 VLAN Tags 802.1q;
• Agregación de links 802.3ad;
• Policy based routing o policy based forwarding;
• Ruteo multicast (PIM-SM);
• DHCP Relay; DHCP Server;
• Soporte de Jumbo Frames de como mínimo 9,210 bytes;
71
• Soporte a creación de objetos de red que puedan ser utilizados como

dirección IP de interfaces L3;
• Soportar sub-interfaces ethernet lógicas.
• Debe incluir la posibilidad de crear NATs dinámicos y estáticos;
• Enviar log para sistemas de monitoreo externos, simultáneamente;
• Debe tener la opción de enviar logs para los sistemas de monitoreo

externos vía protocolo TCP y SSL;
• Debe permitir configurar certificado caso necesario para autenticación

del sistema de monitoreo externo de logs;
• Seguridad contra anti-spoofing;
• Para IPv4, debe soportar enrutamiento estático y dinámico (RIPv2, BGP

y OSPFv2);
• Para IPv6, debe soportar enrutamiento estático y dinámico (OSPFv3);
• Soportar OSPF graceful restart;
• Soportar como mínimo las siguientes funcionalidades en IPv6: SLAAC

(address auto configuration), NAT64, Identificación de usuarios a partir
de LDAP/AD, Captive Portal, IPv6 over IPv4 IPSec, Reglas de seguridad
contra DoS (Denial of Service), Desencripción SSL y SSH, PBF (Policy
Based Forwarding), QoS, DHCPv6 Relay, Activo/Activo, Activo/Pasivo,
SNMP, NTP, SYSLOG, DNS y control de aplicaciones;
• Los dispositivos de seguridad deben tener la capacidad de operar de

forma simultanea mediante el uso de sus interfaces físicas en los
siguientes modos: Modo sniffer (monitoreo y análisis del tráfico de red),
Capa 2 (l2) y Capa 3 (l3);
• Modo Sniffer, para inspección vía puerto espejo del tráfico de datos de la
red;
• Modo Capa – 2 (L2), para inspección de datos en línea y tener visibilidad

del control del tráfico en nivel de aplicación;
• Modo Capa – 3 (L3), para inspección de datos en línea y tener

visibilidad del control del tráfico en nivel de aplicación operando como
default gateway de las redes protegidas;
• Modo mixto de trabajo Sniffer, L2 e L3 en diferentes interfaces físicas;
72
• Soporte a configuración de alta disponibilidad Activo/Pasivo e

Activo/Activo: En modo transparente; En layer 3;
• La configuración en alta disponibilidad debe sincronizar: Sesiones;

Configuraciones, incluyendo, mas no limitado a políticas de Firewall,
NAT, QOS y objetos de red; Certificados de-criptografados; Asociaciones
de Seguridad de las VPNs; Tablas FIB; El HA (modo de Alta-
Disponibilidad) debe posibilitar monitoreo de fallo de link.
• Las funcionalidades de control de aplicaciones, VPN IPSec y SSL, QOS,

SSL y SSH Decryption y protocolos de enrutamiento dinámico deben
operar en carácter permanente, pudiendo ser utilizadas por tiempo
indeterminado, incluso si no existe derecho de recibir actualizaciones o
que no haya contrato de garantía de software con el fabricante.
• Los Firewalls deberán operar en un esquema de alta disponibilidad,

redundancia y tolerancia a fallas, que permita que la carga de trabajo en
cada zona de seguridad sea distribuida entre los equipos y en la
eventualidad que uno de ellos falle el otro asuma la carga de trabajo.
• Throughput de al menos 10 Gbps para la función de Firewall y control de

aplicaciones, lo cual debe ser acreditado en la propuesta técnica a
través de brochure, catálogo u otra documentación del fabricante. La
propuesta debe incluir todas las licencias correspondientes para cumplir
al 100% la necesidad propuesta.
• Throughput de al menos 5 Gbps con las siguientes funcionalidades

habilitadas simultáneamente, para todas las firmas que la plataforma de
seguridad posea, debidamente activadas y actuando: Firewall, control de
aplicaciones, IPS, Antivirus e Antispyware; debe ser acreditado en la
propuesta técnica a través de brochure, catálogo u otra documentación
del fabricante. La propuesta debe incluir todas las licencias
correspondientes para cumplir al 100% la necesidad propuesta.
• Throughput de al menos 4 Gbps para la función de VPN IPSec, lo cual

debe ser acreditado en la propuesta técnica a través de brochure,
catálogo u otra documentación del fabricante. La propuesta debe incluir
todas las licencias correspondientes para cumplir al 100% la necesidad
propuesta.
• Debe de soportar Filtrado de URL mediante al menos, 50 categorías. La

propuesta debe incluir todas las licencias correspondientes para cumplir
al 100% la necesidad propuesta.
• Debe incluir integración completa con el Active Directory y LDAP sin la

necesidad de instalar agentes en los servidores.
73
• Debe permitir crear controles de acceso basados en

aplicaciones/servicios/protocolos predefinidos.
• Soporte a, como mínimo, 2’000.000 de conexiones simultaneas;
• Soporte a, como mínimo, 120.000 nuevas conexiones por segundo;
• Fuente 120/240 AC o DC, redundante y hot-swappable;
• Cooler hot-swappable;
• Disco Solid State Drive (SSD) redundante (RAID-1) de como mínimo,

240 GB;
• 12 (doce) interfaces de red 10/100/1000 base-TX;
• 8 (ocho) interfaces de red 1 Gbps SFP;
• 4 (cuatro) interfaces de red 10 Gbps SFP;
• 2 (dos) Gbps interfaces dedicadas para alta disponibilidad;
• 1 (una) interface de red 1 Gbps dedicada para administración;
• 1 (una) interface de tipo consola o similar;
• Soporte a, como mínimo, 125 ruteadores virtuales;
• Soporte a, como mínimo, 500 zonas de seguridad;
• Estar licenciada y soportar al menos 10,000 clientes de VPN SSL

simultáneos;
• Debe soportar como mínimo, 25 sistemas virtuales lógicos (Contextos)

en el firewall Físico;
• Los contextos virtuales deben las funcionalidades nativas del gateway de

seguridad incluyendo: Firewall, IPS, Antivirus, Anti-Spyware, Filtro de
Datos, VPN, Control de Aplicaciones, QOS, NAT e Identificación de
usuarios;
• Por el equipamiento que compone la plataforma de seguridad, se

entiende como hardware y licenciamiento de software necesarios para
su funcionamiento;
• Por consola de administración y monitoreo, se entiende el licenciamiento

de software necesario para las dos funcionalidades, también como
hardware dedicado para el funcionamiento de las mismas.
74
• La consola de administración y monitoreo puede residir en el mismo

appliance de seguridad de red, desde que posea recurso de CPU,
memoria, interfaz de red y sistema operacional dedicados para esta
función;
• Para efectos de la propuesta, ninguno de los modelos ofertados podrán

estar listados en el site del fabricante como listas de end-of-life y end-of-
sale.
• Poseer recurso de CPU, memoria, interfaz de red y sistema operacional

dedicado y separado en HW para el plano de control y el plano de datos.
CONTROL POR POLÍTICA DE FIREWALL
• Deberá soportar controles por zona de seguridad.
• Controles de políticas por puerto y protocolo.
• Control de políticas por aplicaciones grupos estáticos de aplicaciones,

grupos dinámicos de aplicaciones (basados en características y
comportamiento de las aplicaciones) y categorías de aplicaciones.
• Control de políticas por usuarios, grupos de usuarios, IPs, redes y zonas

de seguridad.
• Control de políticas por código de País (Por ejemplo: BR, USA,

UK,RUS).
• Control, inspección y desencripción de SSL por política para tráfico de

entrada (Inbound) y Salida (Outbound).
• Debe soportar offload de certificado en inspección de conexiones SSL

de entrada (Inbound);
• Debe desencriptar trafico Inbound y Outbound en conexiones

negociadas con TLS 1.2;
• Control de inspección y desencripción de SSH por política;
• La plataforma de seguridad debe implementar espejamiento de trafico

desencripciónado (SSL e TLS) para soluciones externas de análisis
(Forense de red, DLP, Análisis de Amenazas, entre otras);
• Es permitido el uso de appliance externo, específico para la

desencripción de (SSL y TLS), con espejamiento de copia del trafico
75
desencripciónando tanto para el firewall, como para las soluciones de

análisis.
• Bloqueos de los siguientes tipos de archivos: bat, cab, dll, exe, pif, e reg
• Traffic shaping QoS basado en Políticas (Prioridad, Garantía y Máximo)
• QoS basado en políticas para marcación de paquetes (diffserv marking),

inclusive por aplicaciones.
• Soporte a objetos y Reglas IPV6.
• Soporte a objetos y Reglas multicast.
• Soportar los atributos de agendamiento de las políticas con el objetivo de

habilitar y deshabilitar políticas en horarios predefinidos
automáticamente.
CONTROL DE APLICACIONES
Los dispositivos de seguridad de red deberán poseer la capacidad de reconocer

aplicaciones, independiente del puerto y protocolo, con las siguientes
funcionalidades:
• Debe ser posible la liberación y bloqueo solamente de aplicaciones sin la

necesidad de liberación de puertos y protocolos.
• Reconocer por lo menos 1800 aplicaciones diferentes, incluyendo, mas

no limitado: el trafico relacionado a peer-to-peer, redes sociales, acceso
remoto, update de software, protocolos de red, voip, audio, vídeo, proxy,
mensajería instantánea, compartición de archivos, e-mail;
• Reconocer por lo menos las siguientes aplicaciones: bittorrent, gnutella,

skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp,
vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat,
whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle,
active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins,
msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-
docs, etc;
• Debe inspeccionar el payload del paquete de datos con el objetivo de

detectar a través de expresiones regulares firmas de aplicaciones
conocidas por los fabricantes independiente del puerto y protocolo. El
chequeo de firmas también debe determinar si una aplicación está
76
utilizando su puerto default o no, incluyendo, mas no limitando a RDP en

el puerto 80 en vez del 389;
• Debe aplicar análisis heurístico a fin de detectar aplicaciones a través de

análisis comportamental del trafico observado, incluyendo, mas no
limitado a Encrypted Bittorrent y aplicaciones VOIP que utilizan
criptografía propietaria;
• Identificar el uso de tácticas evasivas, o sea, debe tener la capacidad de

visualizar y controlar las aplicaciones y los ataques que utilizan tácticas
evasivas vía comunicaciones criptografiadas, tales como Skype y
ataques mediante el puerto 443.
• Para trafico encriptado (SSL y SSH), debe des encriptar paquetes con el
fin de posibilitar la lectura del payload para chequeo de firmas de
aplicaciones conocidas por el fabricante;
• Debe realizar decodificación de protocolos con el objetivo de detectar

aplicaciones encapsuladas dentro del protocolo y validar si el tráfico
corresponde con la especificación del protocolo, incluyendo, mas no
limitado a Yahoo Instant Messenger usando HTTP. La decodificación de
protocolo también debe identificar funcionalidades específicas dentro de
una aplicación, incluyendo, mas no limitado a la compartición de
archivos dentro de Webex. También debe detectar el archivo y otros
contenidos que deben ser inspeccionados de acuerdo a las Reglas de
seguridad implementadas;
• Debe Identificar el uso de tácticas evasivas vía comunicaciones

criptografiadas;
• Debe Actualizar la base de firmas de aplicaciones automáticamente;
• Debe Reconocer aplicaciones en IPv6;
• Limitar el ancho de banda (download/upload) usado por aplicaciones

(traffic shaping), basado en IP de origen, usuarios y grupos del
LDAP/AD;
• Los dispositivos de seguridad de red deben poseer la capacidad de

identificar al usuario de red con integración al Microsoft Active Directory,
sin la necesidad de instalación de agente en el Domain Controller, ni en
las estaciones de los usuarios;
• Debe ser posible adicionar control de aplicaciones en todas las Reglas

de seguridad del dispositivo, o sea, no limitándose solamente a la
posibilidad de habilitar control de aplicaciones en algunas Reglas;
77
• Debe soportar múltiples métodos de identificación y clasificación de las

aplicaciones, por lo menos chequeo de firmas, decodificación de
protocolos y análisis heurístico;
• Para mantener la seguridad de la red eficiente, debe soportar el control

sobre aplicaciones desconocidas y no solamente sobre aplicaciones
conocidas;
• Permitir nativamente la creación de firmas personalizadas para

reconocimiento de aplicaciones propietarias en la propia interface gráfica
de la solución, sin la necesidad de acción por parte del fabricante,
manteniendo la confidencialidad de las aplicaciones del órgano;
• La creación de firmas personalizadas debe permitir el uso de

expresiones regulares, contexto (sesiones o transacciones), usando la
posición en el payload de los paquetes TCP y UDP y usando decoders
de por lo menos los siguientes protocolos:
• HTTP, FTP, SMB, SMTP, Telnet, SSH, MS-SQL, IMAP, IMAP, MS-RPC,
RTSP y File body.
• El fabricante debe permitir la solicitud de inclusión de aplicaciones en la

base de firmas de aplicaciones;
• Debe alertar al usuario cuando una aplicaciones fuera bloqueada;
• Debe posibilitar que el control de puertos sea aplicado para todas las
aplicaciones;
• Debe posibilitar la diferenciación de tráficos Peer2Peer (Bittorrent,

emule, neonet, etc.) proveyendo granularidad de control/políticas para
los mismos;
• Debe posibilitar la diferenciación de tráficos de Instant Messaging (AIM,

Gtalk, Facebook Chat, etc.) proveyendo granularidad de control/políticas
para los mismos;
• Debe posibilitar la diferenciación de aplicaciones Proxies (ghostsurf,

freegate, etc.) proveyendo granularidad de control/políticas para los
mismos;
• Debe ser posible la creación de grupos estáticos de aplicaciones y

grupos dinámicos de aplicaciones basados en características de las
aplicaciones como:
78
• Tecnología utilizada en las aplicaciones (Client-Server, Browse Based,

Network Protocol, etc).
• Nivel de riesgo de las aplicaciones.
• Categoría y sub-categoría de aplicaciones.
• Aplicaciones que usen técnicas evasivas, utilizadas por malwares, como

transferencia de archivos y/o uso excesivo de ancho de banda, etc.
PREVENCION DE AMENAZAS
Para seguridad del ambiente contra ataques, los dispositivos de seguridad deben
poseer módulo de IPS, Antivirus y Anti-Spyware integrados en el propio appliance de
Firewall
Debe incluir firmas de prevención de intrusos (IPS) y bloqueo de archivos maliciosos
(Antivirus y Anti-Spyware);
Las funcionalidades de IPS, Antivirus y Anti-Spyware deben operar en carácter

permanente, pudiendo ser utilizadas por tiempo indeterminado, incluso si no existe el
derecho de recibir actualizaciones o que no haya contrato de garantía de software
con el fabricante.
Debe sincronizar las firmas de IPS, Antivirus, Anti-Spyware cuando esté

implementado en alta disponibilidad Activo/Activo e Activo/pasivo;
Cuando se utilicen las funciones de IPS, Antivirus y Anti-spyware, el equipamiento

debe entregar el mismo performance (no degradar) entre tener 1 única firma de IPS
habilitada o tener todas las firmas de IPS, Anti-Virus y Antispyware habilitadas
simultáneamente.
Las firmas deben poder ser activadas o desactivadas, o incluso habilitadas apenas
en modo de monitoreo;
Exenciones por IP de origen o de destino deben ser posibles en las Reglas, de forma
general y firma a firma;
Debe soportar granularidad en las políticas de IPS Antivirus y Anti-Spyware,

permitiendo la creación de diferentes políticas por zona de seguridad, dirección de
origen, dirección de destino, servicio y la combinación de todos esos ítems.
Debe permitir el bloqueo de vulnerabilidades.
Debe permitir el bloqueo de exploits conocidos.
Debe incluir seguridad contra ataques de negación de servicios.
79
Deberá poseer los siguientes mecanismos de inspección de IPS:

Análisis de parones de estado de conexiones;
Análisis de decodificación de protocolo;
Análisis para detección de anomalías de protocolo;
Análisis heurístico;
IP Desfragmentación;
Re ensamblado de paquetes de TCP;
Bloqueo de paquetes malformados.
Ser impune y capaz de impedir ataques básicos como: Synflood, ICMPflood,

UDPfloof, etc.;
Detectar y bloquear el origen de portscans;
Bloquear ataques efectuados por worms conocidos, permitiendo al administrador

adicionar nuevos patrones;
Soportar los siguientes mecanismos de inspección contra amenazas de red: análisis

de patrones de estado de conexiones, análisis de decodificación de protocolo,
análisis para detección de anomalías de protocolo, análisis heurístico, IP
Desfragmentación, re ensamblado de paquetes de TCP y bloqueo de paquetes
malformados;
Posea firmas específicas para la mitigación de ataques DoS;
Posea firmas para bloqueo de ataques de buffer overflow;
Deberá posibilitar la creación de firmas custodiadas por la interfaz gráfica del

producto.
Permitir el bloqueo de virus y spyware en, por lo menos, los siguientes protocolos:
HTTP, FTP, SMB, SMTP e POP3;
Soportar bloqueo de archivos por tipo;
Identificar y bloquear comunicaciones como botnets;
Debe soportar varias técnicas de prevención, incluyendo Drop y tcp-rst (Cliente,

Servidor y ambos);
Debe soportar referencia cruzada como CVE;
Registrar en la consola de monitoreo las siguientes informaciones sobre amenazas

identificadas:
Debe soportar la captura de paquetes (PCAP), por firma de IPS y Antispyware;
Debe permitir que en la captura de paquetes por firmas de IPS y Antispyware sea
definido el número de paquetes a ser capturados. Esta captura debe permitir
seleccionar, como mínimo, 50 paquetes;
80
Debe poseer la función resolución de direcciones vía DNS, para que conexiones
como destino a dominios maliciosos sean resueltas por el Firewall como direcciones
(IPv4 e IPv6), previamente definidos;
Permitir el bloqueo de virus, por al menos, los siguientes protocolos: HTTP, FTP,
SMB, SMTP e POP3;
Los eventos deben identificar el país de donde partió la amenaza;
Debe incluir seguridad contra virus en contenido HTML y JavaScript, software espía
(spyware) y worms.
Seguridad contra downloads involuntarios usando HTTP de archivos ejecutables

maliciosos.
Rastreamiento de virus en PDF.
Debe permitir la inspección en archivos comprimidos que utilizan o algoritmo deflate

(zip, gzip, etc.)
Debe ser posible la configuración de diferentes políticas de control de amenazas y

ataques basados en políticas del firewall considerando Usuarios, Grupos de
usuarios, origen, destino, zonas de seguridad, etc., o sea, cada política de firewall
podrá tener una configuración diferente de IPS, siendo esas políticas por Usuarios,
Grupos de usuario, origen, destino, zonas de seguridad.
FILTRO DE URL
La plataforma de seguridad debe poseer las siguientes funcionalidades de filtro de

URL
- Permite especificar la política por tempo, horario o determinado período (día, mes,
año, día de la semana y hora)
- Debe ser posible crear políticas por usuario, grupo de usuario, ips, redes y zonas de
seguridad
- Deberá incluir la capacidad de creación de políticas basadas en la visibilidad y contra
de quien está utilizando cual URLs a través de la integración con servicios de
directorio, autenticación vía LDAP, Active Directory, E-Directory y base de datos local
- Debe permitir poder publicar los logs de URL con la información de los usuarios
conforme a lo descrito en la integración con servicios de directorio
- Debe soportar la capacidad de crear políticas basadas en control por URL y
categoría URL
- Debe bloquear el acceso a sitios de búsqueda (Google, Bing y Yahoo!) en el caso de
que la opción de Safe Search este deshabilitada. Debe en ese caso exhibir una
página de bloqueo dando instrucciones al usuario de como habilitar dicha función
- Debe soportar una cacheé local de URL en el appliance, evitando el delay de
comunicación/validación de las URLs
- Debe poseer al menos 60 categorías de URLs
- Debe soportar la creación de categorías URL custom
- Debe soportar la exclusión de URLs del bloqueo por categoría
- Debe permitir la customización de la página de bloqueo
81
- Debe permitir o bloquear y continuar (habilitando que el usuarioaccede a un sitio

potencialmente bloqueado informándole del bloqueo y habilitando el botón de
“continuar” para permitirle seguir a ese site)
- Debe soportar la inclusión de los logs del producto de las informaciones de las
actividades de los usuarios
IDENTIFICACION DE USUARIOS
Debe incluir a capacidad de creación de políticas basadas en la visibilidad y control

de quien está utilizando cuales aplicaciones a través de la integración como servicios
de directorio, autenticación vía ldap, Active Directory, E-directory y base de datos
local.
Debe poseer integración con Microsoft Active Directory para identificación de

usuarios y grupos permitiendo la granularidad de control/políticas basadas en
usuarios y grupos de usuarios.
Debe poseer integración con Radius para identificación de usuarios y grupos

permitiendo la granularidad de control/políticas basadas en usuarios y grupos de
usuarios.
Debe posea integración con Ldap para identificación de usuarios y grupos

permitiendo la granularidad de control/políticas basadas en Usuarios y Grupos de
usuarios.
Debe soportar la recepción de eventos de autenticación de controladoras Wireless,

dispositivos 802.1x y soluciones NAC vía syslog, para la identificación de direcciones
IP y usuarios;
Debe permitir el control, sin instalación de cliente de software, en equipamientos que

soliciten salida a internet para que antes de iniciar la navegación, se muestre un
portal de autenticación residente en el firewall (Captive Portal).
Soporte a autenticación Kerberos.
Debe poseer Soporte a identificación de múltiples usuarios conectados en una

misma dirección IP en ambientes Citrix y Microsoft Terminal Server, permitiendo
visibilidad y control granular por usuario sobre el uso de las aplicaciones que tiene
estos servicios.
Debe poseer Soporte a identificación de múltiples usuarios conectados en una

misma dirección IP en servidores accedidos remotamente, incluso que no sean
servidores Windows.
QOS
Como la finalidad de controlar aplicaciones y trafico cuyo consumo pueda ser

excesivo, (como YouTube, ustream, etc.) y tener un alto consumo de ancho de
banda, se requiere que la solución, a la ves de poder permitir o negar ese tipo de
aplicaciones, debe tener la capacidad de controlarlas por políticas de máximo de
82
ancho de banda cuando fuesen solicitadas por diferentes usuarios o aplicaciones,

tanto de audio como de vídeo streaming.
Soportar la creación de políticas de QoS por:

- Dirección de origen
- Dirección de destino
- Por usuario y grupo de LDAP/AD.
- Por aplicaciones, incluyendo, mas no limitando a Skype, Bittorrent, YouTube y
Azureus;
- Por puerto;
-
- El QoS debe permitir la definición de clases por:
- Ancho de Banda garantizado
- Ancho de Banda Máximo
- Cola de prioridad.
Soportar priorización Real Time de protocolos de voz (VOIP) como H.323, SIP,
SCCP, MGCP y aplicaciones como Skype.
Soportar marcación de paquetes Diffserv, inclusive por aplicaciones;
Disponer de estadísticas Real Time para clases de QoS.
Deberá permitir el monitoreo del uso que las aplicaciones hacen por bytes, sesiones
y por usuario.
FILTRO DE DATOS
Permite la creación de filtros para archivos y datos predefinidos;
Los archivos deben ser identificados por extensión y firmas;
Permite identificar y opcionalmente prevenir la transferencia de varios tipos de

archivos (MS Office, PDF, etc.) identificados sobre aplicaciones (P2P, Instant
Messaging, SMB, etc.);
Soportar la identificación de archivos compactados y las aplicaciones de políticas

sobre el contenido de esos tipos de archivos;
Permitir identificar y opcionalmente prevenir la transferencia de informaciones

sensibles, incluyendo, más no limitando al número de tarjetas de crédito, permitiendo
la creación de nuevos tipos de datos vía expresión regular;
Permitir listar el número de aplicaciones soportadas para control de datos;
Permitir listar el número de tipos de archivos soportados para el control de datos;
Geo-localización
83
Soportar la creación de políticas por Geo localización, permitiendo que el tráfico de

determinado País/Países sea bloqueado.
Debe posibilitar la visualización de los países de origen y destino en los logs de

acceso.
Debe posibilitar la creación de regiones geográficas desde la interfaz gráfica y crear

políticas utilizando las mismas.
VPN
Soportar VPN Site-to-Site y Cliente-To-Site;
Soportar IPSec VPN;
Soportar SSL VPN;
A VPN IPSEc debe soportar:

- 3DES;
- Autenticación MD5 e SHA-1;
- Diffie-Hellman Group 1 , Group 2, Group 5 e Group 14;
- Algoritmo Internet Key Exchange (IKE);
- AES 128, 192 e 256 (Advanced Encryption Standard)
- Autenticación vía certificado IKE PKI.
Debe poseer interoperabilidad como los siguientes fabricantes:

- Cisco;
- Checkpoint;
- Juniper;
- Palo Alto Networks;
- Fortinet;
- Sonic Wall;
Las VPN SSL deben soportar:
- Permitir que el usuario realice la conexión por medio de cliente instalado en el

sistema operacional del equipamiento o por medio de interfaz WEB;
- Las funcionalidades de VPN SSL deben ser atendidas con o sin el uso de
agente;
- La asignación de dirección IP en los clientes remotos de VPN;
- La asignación de DNS en los clientes remotos de VPN;
- Debe haber la opción de ocultar el agente de VPN instalado en el cliente remoto,
tornando el mismo invisible para el usuario;
- Deber permitir crear políticas de control de aplicaciones, IPS, Antivirus,
Antispyware para tráfico de los clientes remotos conectados en la VPN SSL;
- Las VPN SSL deben soportar proxy arp y el uso de interfaces PPPOE;
- Soportar autenticación vía AD/LDAP, Secure id, certificado y base de usuarios
local;
- Permite establecer un túnel VPN client-to-site del cliente a la plataforma de
seguridad, proveyendo una solución de single-sign-on a los usuarios,
integrándose como las herramientas de Windows-logon;
- Soporte de lectura y verificación de CRL (certificate revocation list);
84
- Permite la aplicación de políticas de seguridad y visibilidad para las aplicaciones

que circulan dentro de los túneles SSL;
- El agente de VPN a ser instalado en los equipamientos desktop y laptops, debe
ser capaz de ser distribuido de manera automática vía Microsoft SMS, Active
Directory y ser descargado directamente desde su propio portal, en el cual
residirá el centralizador de VPN;
- El agente deberá comunicarse con el portal para determinar las políticas de
seguridad del usuario,
- Debe permitir que las conexiones como VPN SSL sean establecidas de las
siguientes formas:
- Antes del usuario autenticarse en la estación;
- Después de la autenticación del usuario en la estación;
- Bajo demanda del usuario;
- Deberá mantener una conexión segura con el portal durante la sesión.
- El agente de VPN SSL client-to-site debe ser compatible al menos con: Windows
XP, Vista, Windows 7, Windows 8;
B. CONSOLA DE FIREWALLS:
Se suministrarán dos equipos en alta disponibilidad (uno en la sede principal y

el segundo en la sede secundaria).
B.1 Características Generales de la consola de Firewalls:
- Debe tener una solución de administración centralizada, posibilitando dicha

administración para varios equipos.
- La administración de la solución debe posibilitar un conjunto de estadísticas
de todo el tráfico que pasa por los equipos de la plataforma de seguridad.
- Debe controlar todos los dispositivos de la plataforma de seguridad en una
única consola, con administración de roles, privilegios y funciones.
- La administración centralizada deberá ser entregada como appliance físico.
Debe ser compatible con un rack 19” y tener todos los accesorios necesarios
para su instalación.
- Debe permitir el control global de las políticas para todos los dispositivos que
componen la plataforma de seguridad.
- Debe soportar organizar los dispositivos administrados en grupos: los
sistemas virtuales deben ser administrados como dispositivos individuales, los
grupos pueden ser geográficos, por funcionalidad (por ejemplo, IPS), y
distribuidos.
- Debe permitir la creación de objetos y políticas compartidas.
- Debe consolidar logs y reportes de todos los dispositivos administrados.
- Debe permitir exportar backups de configuración automáticamente vía
Programación.
- Debe centralizar la administración de Reglas y políticas del clúster, usando
una única interfaz de administración.
- La administración de la solución debe soportar acceso vía SSH, cliente WEB
(HTTPS) y API abierta.
- En el caso de que sea necesaria la instalación de cliente para administración
de la solución, el mismo debe ser compatible con sistemas operacionales
Windows y Linux;
- La administración debe permitir/hacer:
85
 Creación y administración de políticas de firewall y control de

aplicaciones;
 Creación y administración de políticas de IPS y Anti-Spyware;
 Creación y administración de políticas de filtro de URL
 Monitoreo de logs;
 Herramientas de investigación de logs;
 Debugging;
 Captura de paquetes.
- Debe permitir el acceso concurrente de administradores;

- Debe tener un mecanismo de búsqueda de comandos de administración vía
SSH, facilitando la localización de los comandos;
- Debe permitir usar palabras clave y distintos tags de colores para facilitar la
identificación de Reglas;
- Debe permitir monitorear vía SNMP fallas en el hardware, inserción o
remoción de fuentes, discos y ventiladores, uso de recursos por número
elevado de sesiones, número de túneles establecidos de VPN cliente-to-site,
porcentaje de utilización en referencia al número total soportado/licenciado y
número de sesiones establecidas;
- Debe permitir el bloqueo de alteraciones, en el caso de acceso simultaneo de
dos o más administradores;
- Debe permitir la definición de perfiles de acceso a la consola con permisos
granulares como: acceso de escritura, acceso de lectura, creación de
usuarios, alteración de configuraciones;
- Debe permitir la autenticación integrada con Microsoft Active Directory y
servidor Radius;
- Debe permitir la localización de donde están siendo utilizados objetos en :
Reglas ,dirección IP, Rango de IPs, subredes u objetos
- Debe poder atribuir secuencialmente un número a cada regla de firewall,
NAT, QOS y Reglas de DOS;
- Debe permitir la creación de Reglas que estén activas en un horario definido;
- Debe permitir la creación de Reglas con fecha de expiración;
- Debe poder realizar un backups de las configuraciones y rollback de
configuración para la última configuración salvada;
- Debe soportar el Rollback de Sistema operativo para la última versión local;
- Debe poseer la habilidad del upgrade vía SCP, TFTP e interfaz de
administración;
- Debe poder validar las Reglas antes de las aplicaciones;
- Debe permitir la validación de las políticas, avisando cuando haya Reglas que
ofusquen o tengan conflicto con otras (shadowing);
- Debe posibilitar la visualización y comparación de configuraciones actuales, la
configuración anterior y configuraciones más antiguas.
- Debe posibilitar la integración con otras soluciones de SIEM del mercado
(third-party SIEM vendors)
- Debe permitirá la generación de logs de auditoria detallados, informando de la
configuración realizada, el administrador que la realizo y el horario de la
alteración;
- Deberá tener la capacidad de generar un gráfico que permita visualizar los
cambios en la utilización de aplicaciones en la red en lo que se refiere a un
período de tiempo anterior, para permitir comparar los diferentes consumos
realizados por las aplicaciones en el tiempo presente con relación al pasado;
86
- Debe permitir la generación de mapas geográficos en tiempo real para la

visualización de orígenes y destinos del tráfico generado en la institución;
- Debe proveer resúmenes con la vista correlacionada de aplicaciones,
amenazas (IPS, Antispyware) URLs y filtro de archivos, para un mejor
diagnóstico y respuesta a incidentes;
- La administración de la solución debe posibilitar la recolección de estadísticas
de todo el tráfico que pasa por los dispositivos de seguridad;
- Debe proveer resúmenes de utilización de los recursos por aplicaciones,
amenazas (IPS, Anti-Spyware y antivirus de la solución), etc.;
- Debe proveer de una visualización sumariada de todas las aplicaciones,
amenazas (IPS, Antivirus e Anti-Spyware) y URLs que pasan por la solución;
- Debe poseer un mecanismo "Drill-Down" para navegación por los resúmenes
en tiempo real;
- En las listas de "Drill-Down", debe ser posible identificar el usuario que ha
determinado el acceso;
- Debe ser posible exportar los logs en CSV;
- Deberá ser posible acceder al equipamiento a aplicar configuraciones durante
momentos donde el tráfico sea muy alto y la CPU y memoria del
equipamiento este siendo totalmente utilizada.
- Debe tener rotación de logs;
- Debe tener presentaciones de las siguientes informaciones, de forma histórica
y en tiempo real (actualizado de forma automática y continua cada 1 minuto):
 Debe mostrar la situación del dispositivo y del cluster;
 Debe poder mostrar las principales aplicaciones;
 Debe poder mostrar las principales aplicaciones por riesgo;
 Debe poder mostrar los administradores autenticados en la plataforma

de seguridad;
 Debe poder mostrar el número de sesiones simultaneas;
 Debe poder mostrar el estado de las interfaces;
 Debe poder mostrar el uso de CPU;
- Generación de reportes. Como mínimo los siguientes reportes deben poder

ser generados:
 Resumen gráfico de las aplicaciones utilizadas;
 Principales aplicaciones por utilización de ancho de banda de entrada y

salida;
 Principales aplicaciones por tasa de transferencia en bytes;
 Principales hosts por número de amenazas identificadas;
87
 Actividades de un usuario específico y grupo de usuarios del AD/LDAP,

incluyendo aplicaciones accedidas y amenazas (IPS, y Anti-Spyware),
de red vinculadas a este tráfico;
 Debe permitir la creación de reportes personalizados;
- En cada criterio de búsqueda del log debe ser posible incluir múltiples
entradas (ej. 10 redes e IP’s distintas; servicios HTTP, HTTPS y SMTP),
excepto en el campo horario, donde debe ser posible definir un rango de
tiempo como criterio de búsqueda;
- Generar alertas automáticas vía:

 Email;
 SNMP;
 Syslog;
- La plataforma de seguridad debe permitir a través de API-XML (Application

Program Interface) la integración con sistemas existentes en el ambiente de
contratación de forma que posibilite que aplicaciones desarrolladas por la
Entidad puedan interactuar en tiempo real con la solución permitiendo así que
Reglas y políticas de seguridad puedan ser modificadas por estas
aplicaciones con la utilización de scripts en lenguajes de programación como
Perl o PHP.
C. EQUIPOS FIREWALL EXTERNO (12 Sedes remotas):
CAPACIDAD y CANTIDADES
a. La plataforma de seguridad debe poseer las capacidades y características
siguientes:
i. Throughput de 250 Mbps con la funcionalidad de control de
aplicaciones habilitada para todas las firmas que el fabricante posea;
ii. Throughput de 100 Mbps con las siguientes funcionalidades
habilitadas simultáneamente para todas las firmas que la plataforma
de seguridad posea debidamente activadas y actuando: control de
aplicaciones IPS, Antivirus e Antispyware;
iii. Soporte a, como mínimo, 64.000 de conexiones simultaneas;
iv. Soporte a, como mínimo, 7,500 nuevas conexiones por segundo;
v. 8 (ocho) interfaces de red 10/100/1000 base-TX;
vi. 1 (una) interface de tipo consola o similar;
vii. Soporte a, como mínimo, 3 (tres) ruteadores virtuales;
viii. Soporte a, como mínimo, 20 (veinte) zonas de seguridad;
ix. Estar licenciada para soportar sin uso de licenciamiento, 100 (cien)
clientes de VPN SSL simultáneos;
x. Estar licenciada para soportar sin uso de licenciamiento, 250
(doscientos cincuenta) túneles de VPN IPSEC simultáneos;
88
b. Por el equipamiento que compone la plataforma de seguridad, se entiende

como hardware y licenciamiento de software necesarios para su
funcionamiento;
c. Por consola de administración y monitoreo, se entiende el licenciamiento de

software necesario para las dos funcionalidades, también como hardware
dedicado para el funcionamiento de las mismas.
d. La consola de administración y monitoreo puede residir en el mismo

appliance de seguridad de red, desde que posea recurso de CPU y sistema
operacional dedicados para esta función;
e. Para efectos de la propuesta, ninguno de los modelos ofertados podrán estar

listados en el site del fabricante como listas de end-of-life y end-of-sale.
CARACTERÍSTICAS GENERALES
a. La solución debe consistir de un appliance de seguridad de red con

funcionalidades de Next Generation Firewall (NGFW).
b. Por funcionalidades de NGFW se entiende: reconocimiento de aplicaciones,

prevención de amenazas, identificación de usuarios y control granular de
permisos;
c. La plataforma debe ser optimizada para análisis de contenido de aplicaciones

en Capa 7;
d. El hardware y software que ejecuten las funcionalidades de seguridad de red

y de administración y monitoreo, deben ser de tipo appliance. No serán
aceptados equipamientos servidores y sistema operacional de uso genérico;
e. Todos los equipamientos ofrecidos deben ser adecuados para montaje en

rack 19”
f. El software deberá ser ofrecido en su versión más estable y/o más avanzada;
g. Los dispositivos de seguridad de red deben poseer por lo menos las

i.
Soporte a 4094 VLAN Tags 802.1q;
ii.
Agregación de links 802.3ad;
iii.
Policy based routing o policy based forwarding;
iv.
Ruteo multicast (PIM-SM);
v.
DHCP Relay;
vi.
DHCP Server;
vii.
Jumbo Frames;
viii.
Soporte a creación de objetos de red que puedan ser utilizados como
dirección IP de interfaces L3;
h. Soportar sub-interfaces ethernet lógicas.
i. Debe soportar los siguientes tipos de NAT:
89
i. Nat dinámico (Many-to-1);

ii. Nat dinámico (Many-to-Many);
iii. Nat estático (1-to-1);
iv. NAT estático (Many-to-Many);
v. Nat estático bidirecional 1-to-1;
vi. Traducciónn de porta (PAT);
vii. NAT de Origen;
viii. NAT de Destino;
ix. Soportar NAT de Origen y NAT de Destino simultáneamente;
x. Enviar log para sistemas de monitoreo externos, simultáneamente;
xi. Debe tener la opción de enviar logs para los sistemas de monitoreo
externos vía protocolo TCP y SSL;
xii. Debe permitir configurar certificado caso necesario para autenticación
del sistema de monitoreo externo de logs;
xiii. Seguridad contra anti-spoofing;
xiv. Para IPv4, debe soportar enrutamiento estático y dinámico (RIPv2,
BGP y OSPFv2);
xv. Para IPv6, debe soportar enrutamiento estático y dinámico (OSPFv3);
xvi. Soportar OSPF graceful restart;
xvii. Soportar como mínimo las siguientes funcionalidades en IPv6: SLAAC
(address auto configuration), NAT64, Identificación de usuarios a
partir de LDAP/AD, Captive Portal, IPv6 over IPv4 IPSec, Reglas de
seguridad contra DoS (Denial of Service), Desencripción SSL y SSH,
PBF (Policy Based Forwarding), QoS, DHCPv6 Relay, Activo/Activo,
Activo/Pasivo, SNMP, NTP, SYSLOG, DNS y control de aplicaciones;
xviii. Los dispositivos de seguridad deben tener la capacidad de operar de
forma simultanea mediante el uso de sus interfaces físicas en los
siguientes modos: Modo sniffer (monitoreo y análisis del tráfico de
red), Capa 2 (l2) y Capa 3 (l3);
1. Modo Sniffer, para inspección vía puerto espejo del tráfico de
datos de la red;
2. Modo Capa – 2 (L2), para inspección de datos en línea y tener
visibilidad del control del tráfico en nivel de aplicación;
3. Modo Capa – 3 (L3), para inspección de datos en línea y tener
visibilidad del control del tráfico en nivel de aplicación
operando como default Gateway de las redes protegidas;
xix. Modo mixto de trabajo Sniffer, L2 e L3 en diferentes interfaces físicas;
j. Soporte a configuración de alta disponibilidad Activo/Pasivo e Activo/Activo:
- En modo transparente;
- En layer 3;
k. La configuración en alta disponibilidad debe sincronizar:
- Configuraciones, incluyendo, mas no limitado a políticas de Firewall,
NAT, QOS y objetos de red;
- Certificados de-criptografiados;
- Asociaciones de Seguridad de las VPNs;
90
- El HA (modo de Alta-Disponibilidad) debe posibilitar monitoreo de fallo

de link.
l. Las funcionalidades de control de aplicaciones, VPN IPSec y SSL, QOS, SSL

y SSH Decryption y protocolos de enrutamiento dinámico deben operar en
carácter permanente, pudiendo ser utilizadas por tiempo indeterminado,
incluso si no existe derecho de recibir actualizaciones o que no haya contrato
de garantía de software con el fabricante.
CONTROL POR POLÍTICA DE FIREWALL
a. Deberá soportar controles por zona de seguridad.

b. Controles de políticas por puerto y protocolo.
c. Control de políticas por aplicaciones grupos estáticos de aplicaciones, grupos
dinámicos de aplicaciones (basados en características y comportamiento de
las aplicaciones) y categorías de aplicaciones.
d. Control de políticas por usuarios, grupos de usuarios, IPs, redes y zonas de

seguridad.
e. Control de políticas por código de País (Por ejemplo: BR, USA, UK, RUS).
f. Control, inspección y desencripción de SSL por política para tráfico de
entrada (Inbound) y Salida (Outbound).
g. Debe soportar offload de certificado en inspección de conexiones SSL de
entrada (Inbound);
h. Debe des encriptar trafico Inbound y Outbound en conexiones negociadas
con TLS 1.2;
i. Control de inspección y desencripción de SSH por política;
j. La plataforma de seguridad debe implementar espejamiento de trafico
desencripción (SSL e TLS) para soluciones externas de análisis (Forense de
red, DLP, Análisis de Amenazas, entre otras);
- Es permitido el uso de appliance externo, específico para la descripción de

(SSL y TLS), con espejamiento de copia del trafico desencripciónando
tanto para el firewall, como para las soluciones de análisis.
k. Bloqueos de los siguientes tipos de archivos: bat, cab, dll, exe, pif, e reg
l. Traffic shaping QoS basado en Políticas (Prioridad, Garantía y Máximo)
m. QoS basado en políticas para marcación de paquetes (diffserv marking),
inclusive por aplicaciones.
n. Soporte a objetos y Reglas IPV6.
o. Soporte a objetos y Reglas multicast.
p. Soportar los atributos de agendamiento de las políticas con el objetivo de
habilitar y deshabilitar políticas en horarios predefinidos automáticamente.
CONTROL DE APLICACIONES
a. Los dispositivos de seguridad de red deberán poseer la capacidad de

reconocer aplicaciones, independiente del puerto y protocolo, con las
91
- Debe ser posible la liberación y bloqueo solamente de aplicaciones sin la

necesidad de liberación de puertos y protocolos.
- Reconocer por lo menos 2000 aplicaciones diferentes, incluyendo, mas no
limitado: el trafico relacionado a peer-to-peer, redes sociales, acceso
remoto, update de software, protocolos de red, voip, audio, vídeo, proxy,
mensajería instantánea, compartición de archivos, e-mail;
- Reconocer por lo menos las siguientes aplicaciones: bittorrent, gnutella,
skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc,
gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat,
whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle,
active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc,
ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs, etc;
- Debe inspeccionar el payload del paquete de datos con el objetivo de
detectar a través de expresiones regulares firmas de aplicaciones
conocidas por los fabricantes independiente del puerto y protocolo. El
chequeo de firmas también debe determinar si una aplicación está
utilizando su puerto default o no, incluyendo, mas no limitando a RDP en el
puerto 80 en vez del 389;
- Debe aplicar análisis heurístico a fin de detectar aplicaciones a través de
análisis comportamental del trafico observado, incluyendo, mas no limitado
a Encrypted Bittorrent y aplicaciones VOIP que utilizan criptografía
propietaria;
- Identificar el uso de tácticas evasivas, o sea, debe tener la capacidad de
visualizar y controlar las aplicaciones y los ataques que utilizan taticas
evasivas vía comunicaciones criptografiadas, tales como Skype y ataques
mediante el puerto 443.
- Para trafico criptografado (SSL y SSH), debe desencriptar paquetes con el
fin de posibilitar la lectura del payload para chequeo de firmas de
aplicaciones conocidas por el fabricante;
- Debe realizar decodificación de protocolos con el objetivo de detectar
aplicaciones encapsuladas dentro del protocolo y validar si el tráfico
corresponde con la especificación del protocolo, incluyendo, mas no
limitado a Yahoo! Instant Messenger usando HTTP. La decodificación de
protocolo también debe identificar funcionalidades específicas dentro de
una aplicación, incluyendo, mas no limitado a la compartición de archivos
dentro de Webex. También debe detectar el archivo y otros contenidos que
deben ser inspeccionados de acuerdo a las Reglas de seguridad
implementadas;
- Debe Identificar el uso de taticas evasivas vía comunicaciones
criptografiadas;
- Debe Actualizar la base de firmas de aplicaciones automáticamente;
- Debe Reconocer aplicaciones en IPv6;
- Limitar el ancho de banda (download/upload) usado por aplicaciones
(traffic shaping), basado en IP de origen, usuarios y grupos del LDAP/AD;
- Los dispositivos de seguridad de red deben poseer la capacidad de
identificar al usuario de red con integración al Microsoft Active Directory,
sin la necesidad de instalación de agente en el Domain Controller, ni en las
estaciones de los usuarios;
- Debe ser posible adicionar control de aplicaciones en todas las Reglas de
seguridad del dispositivo, o sea, no limitándose solamente a la posibilidad
de habilitar control de aplicaciones en algunas Reglas;
92
- Debe soportar múltiples métodos de identificación y clasificación de las

aplicaciones, por lo menos chequeo de firmas, decodificación de
protocolos y análisis heurístico;
- Para mantener la seguridad de la red eficiente, debe soportar el control
sobre aplicaciones desconocidas y no solamente sobre aplicaciones
conocidas;
- Permitir nativamente la creación de firmas personalizadas para
reconocimiento de aplicaciones propietarias en la propia interface gráfica
de la solución, sin la necesidad de acción por parte del fabricante,
manteniendo la confidencialidad de las aplicaciones del órgano;
- La creación de firmas personalizadas debe permitir el uso de expresiones
regulares, contexto (sesiones o transacciones), usando la posición en el
payload de los paquetes TCP y UDP y usando decoders de por lo menos
los siguientes protocolos:
HTTP, FTP, SMB, SMTP, Telnet, SSH, MS-SQL, IMAP, IMAP, MS-
RPC, RTSP y File body.
- El fabricante debe permitir la solicitud de inclusión de aplicaciones en la

base de firmas de aplicaciones;
- Debe alertar al usuario cuando una aplicaciones fuera bloqueada;
- Debe posibilitar que el control de puertos sea aplicado para todas las
aplicaciones;
- Debe posibilitar la diferenciación de tráficos Peer2Peer (Bittorrent, emule,
neonet, etc.) proveyendo granularidad de control/políticas para los mismos;
- Debe posibilitar la diferenciación de tráficos de Instant Messaging (AIM,
Gtalk, Facebook Chat, etc.) proveyendo granularidad de control/políticas
para los mismos;
- Debe posibilitar a diferenciación de aplicaciones Proxies (ghostsurf,
freegate, etc.) proveyendo granularidad de control/políticas para los
mismos;
- Debe ser posible la creación de grupos estáticos de aplicaciones y grupos
dinámicos de aplicaciones basados en características de las aplicaciones
como:
a. Tecnología utilizada en las aplicaciones (Client-Server, Browse Based,

Network Protocol, etc.).
b. Nivel de riesgo de las aplicaciones.
c. Categoría y sub-categoría de aplicaciones.
d. Aplicaciones que usen técnicas evasivas, utilizadas por malware, como
transferencia de archivos y/o uso excesivo de ancho de banda, etc.
PREVENCION DE AMENAZAS
- Para seguridad del ambiente contra ataques, los dispositivos de seguridad

deben poseer módulo de IPS, Antivirus y Anti-Spyware integrados en el
propio appliance de Firewall
- Debe incluir firmas de prevención de intrusos (IPS) y bloqueo de archivos
maliciosos (Antivirus y Anti-Spyware);
- Las funcionalidades de IPS, Antivirus y Anti-Spyware deben operar en
carácter permanente, pudiendo ser utilizadas por tiempo indeterminado,
93
incluso si no existe el derecho de recibir actualizaciones o que no haya

contrato de garantía de software con el fabricante.
- Debe sincronizar las firmas de IPS, Antivirus, Anti-Spyware cuando esté
implementado en alta disponibilidad Activo/Activo e Activo/pasivo;
- Cuando se utilicen las funciones de IPS, Antivirus y Anti-spyware, el
equipamiento debe entregar el mismo performance (no degradar) entre tener
1 única firma de IPS habilitada o tener todas las firmas de IPS, Anti-Virus y
Antispyware habilitadas simultáneamente.
- Las firmas deben poder ser activadas o desactivadas, o incluso habilitadas
apenas en modo de monitoreo;
- Exenciones por IP de origen o de destino deben ser posibles en las Reglas,
de forma general y firma a firma;
- Debe soportar granularidad en las políticas de IPS Antivirus y Anti-Spyware,
permitiendo la creación de diferentes políticas por zona de seguridad,
dirección de origen, dirección de destino, servicio y la combinación de todos
esos ítems.
- Debe permitir el bloqueo de vulnerabilidades.
- Debe permitir el bloqueo de exploits conocidos.
- Debe incluir seguridad contra ataques de negación de servicios.
- Deberá poseer los siguientes mecanismos de inspección de IPS:
- Análisis de parones de estado de conexiones;
- Análisis de decodificación de protocolo;
- Análisis para detección de anomalías de protocolo;
- Análisis heurístico;
- IP Desfragmentación;
- Re ensamblado de paquetes de TCP;
- Bloqueo de paquetes malformados.
- Ser inmune y capaz de impedir ataques básicos como: Synflood, ICMPflood,
UDPfloof, etc;
- Detectar y bloquear el origen de portscans;
- Bloquear ataques efectuados por worms conocidos, permitiendo al
administrador adicionar nuevos patrones;
- Soportar los siguientes mecanismos de inspección contra amenazas de red:
análisis de patrones de estado de conexiones, análisis de decodificación de
protocolo, análisis para detección de anomalías de protocolo, análisis
heurístico, IP Defragmentation, re ensamblado de paquetes de TCP y
bloqueo de paquetes malformados;
- Posea firmas específicas para la mitigación de ataques DoS;
- Posea firmas para bloqueo de ataques de buffer overflow;
- Deberá posibilitar la creación de firmas customizadas por la interfaz gráfica
del producto.
- Permitir el bloqueo de virus y spyware en, por lo menos, los siguientes
protocolos: HTTP, FTP, SMB, SMTP e POP3;
- Soportar bloqueo de archivos por tipo;
- Identificar y bloquear comunicaciones como botnets;
- Debe soportar varias técnicas de prevención, incluyendo Drop y tcp-rst
(Cliente, Servidor y ambos);
- Debe soportar referencia cruzada como CVE;
- Registrar en la consola de monitoreo las siguientes informaciones sobre
amenazas identificadas:
- Debe soportar la captura de paquetes (PCAP), por firma de IPS y
Antispyware;
94
- Debe permitir que en la captura de paquetes por firmas de IPS y Antispyware

sea definido el número de paquetes a ser capturados. Esta captura debe
permitir seleccionar, como mínimo, 50 paquetes;
- Debe poseer la función resolución de direcciones vía DNS, para que
conexiones como destino a dominios maliciosos sean resueltas por el Firewall
como direcciones (IPv4 e IPv6), previamente definidos;
- Permitir el bloqueo de virus, por al menos, los siguientes protocolos: HTTP,
FTP, SMB, SMTP e POP3;
- Los eventos deben identificar el país de donde partió la amenaza;
- Debe incluir seguridad contra virus en contenido HTML y JavaScript, software
espía (spyware) y worms.
- Seguridad contra downloads involuntarios usando HTTP de archivos
ejecutables. maliciosos.
- Rastreamiento de virus en PDF.
- Debe permitir la inspección en archivos comprimidos que utilizan o algoritmo
deflate (zip, gzip, etc.)
- Debe ser posible la configuración de diferentes políticas de control de
amenazas y ataques basados en políticas del firewall considerando Usuarios,
Grupos de usuarios, origen, destino, zonas de seguridad, etc., o sea, cada
política de firewall podrá tener una configuración diferente de IPS, siendo
esas políticas por Usuarios, Grupos de usuario, origen, destino, zonas de
seguridad.
FILTRO DE URL
La plataforma de seguridad debe poseer las siguientes funcionalidades de filtro

de URL:
- Permite especificar la política por tempo, horario o determinado período (día,
mes, año, día de la semana y hora)
- Debe ser posible crear políticas por usuario, grupo de usuario, ips, redes y
zonas de seguridad
- Deberá incluir la capacidad de creación de políticas basadas en la visibilidad
y contra de quien está utilizando cual URLs a través de la integración con
servicios de directorio, autenticación vía LDAP, Active Directory, E-Directory y
base de datos local
- Debe permitir poder publicar los logs de URL con la información de los
usuarios conforme a lo descrito en la integración con servicios de directorio
- Debe soportar la capacidad de crear políticas basadas en control por URL y
categoría URL
- Debe bloquear el acceso a sitios de búsqueda (Google, Bing y Yahoo!) en el
caso de que la opción de Safe Search este deshabilitada. Debe en ese caso
exhibir una página de bloqueo dando instrucciones al usuario de como
habilitar dicha función
- Debe soportar una cacheé local de URL en el appliance, evitando el delay de
comunicación/validación de las URLs
- Debe poseer al menos 60 categorías de URLs
- Debe soportar la creación de categorías URL custom
- Debe soportar la exclusión de URLs del bloqueo por categoría
- Debe permitir la customización de la página de bloqueo
- Debe permitir o bloquear y continuar (habilitando que el usuario accede a un
sitio potencialmente bloqueado informándole del bloqueo y habilitando el
botón de “continuar” para permitirle seguir a ese site)
95
- Debe soportar la inclusión de los logs del producto de las informaciones de

las actividades de los usuarios
IDENTIFICACION DE USUARIOS
- Debe incluir a capacidad de creación de políticas basadas en la visibilidad y

control de quien está utilizando cuales aplicaciones a través de la integración
como servicios de directorio, autenticación vía ldap, Active Directory, E-
directory y base de datos local.
- Debe poseer integración con Microsoft Active Directory para identificación de

usuarios y grupos permitiendo la granularidad de control/políticas basadas en
usuarios y grupos de usuarios.
- Debe poseer integración con Radius para identificación de usuarios y grupos
permitiendo la granularidad de control/políticas basadas en usuarios y grupos
de usuarios.
- Debe posea integración con Ldap para identificación de usuarios y grupos
permitiendo la granularidad de control/políticas basadas en Usuarios y
Grupos de usuarios.
- Debe soportar la recepción de eventos de autenticación de controladoras
Wireless, dispositivos 802.1x y soluciones NAC vía syslog, para la
identificación de direcciones IP y usuarios;
- Debe permitir el control, sin instalación de cliente de software, en
equipamientos que soliciten salida a internet para que antes de iniciar la
navegación, se muestre un portal de autenticación residente en el firewall
(Captive Portal).
- Soporte a autenticación Kerberos.
- Debe poseer Soporte a identificación de múltiples usuarios conectados en
una misma dirección IP en ambientes Citrix y Microsoft Terminal Server,
permitiendo visibilidad y control granular por usuario sobre el uso de las
aplicaciones que tiene estos servicios.
- Debe poseer Soporte a identificación de múltiples usuarios conectados en
una misma dirección IP en servidores accedidos remotamente, incluso que no
sean servidores Windows.
QOS
- Como la finalidad de controlar aplicaciones y trafico cuyo consumo pueda ser

excesivo, (como YouTube, ustream, etc) y tener un alto consumo de ancho
de banda, se requiere que la solución, a la ves de poder permitir o negar ese
tipo de aplicaciones, debe tener la capacidad de controlarlas por políticas de
máximo de ancho de banda cuando fuesen solicitadas por diferentes usuarios
o aplicaciones, tanto de audio como de vídeo streaming.
- Soportar la creación de políticas de QoS por:

 Dirección de origen
 Dirección de destino
 Por usuario y grupo de LDAP/AD.
 Por aplicaciones, incluyendo, mas no limitando a Skype,
Bittorrent, YouTube y Azureus;
 Por puerto;
96
- El QoS debe permitir la definición de clases por:

 Ancho de Banda garantizado
 Ancho de Banda Máximo
 Cola de prioridad.
- Soportar priorización RealTime de protocolos de voz (VOIP) como H.323,

SIP, SCCP, MGCP y aplicaciones como Skype.
- Soportar marcación de paquetes Diffserv, inclusive por aplicaciones;
- Disponer de estadísticas RealTime para clases de QoS.
- Deberá permitir el monitoreo del uso que las aplicaciones hacen por bytes,
sesiones y por usuario.
FILTRO DE DATOS
- Permite la creación de filtros para archivos y datos predefinidos;

- Los archivos deben ser identificados por extensión y firmas;
- Permite identificar y opcionalmente prevenir la transferencia de varios tipos
de archivos (MS Office, PDF, etc.) identificados sobre aplicaciones (P2P,
InstantMessaging, SMB, etc.);
- Soportar la identificación de archivos compactados y las aplicaciones de
políticas sobre el contenido de esos tipos de archivos;
- Permitir identificar y opcionalmente prevenir la transferencia de informaciones
sensibles, incluyendo, mas no limitando al número de tarjetas de crédito,
permitiendo la creación de nuevos tipos de datos vía expresión regular;
- Permitir listar el número de aplicaciones soportadas para control de datos;
- Permitir listar el número de tipos de archivos soportados para el control de
datos;
Geo-localización
- Soportar la creación de políticas por Geo localización, permitiendo que el

tráfico de determinado País/Países sean bloqueados.
- Debe posibilitar la visualización de los países de origen y destino en los logs
de acceso.
- Debe posibilitar la creación de regiones geográficas desde la interfaz gráfica y
crear políticas utilizando las mismas.
VPN
- Soportar VPN Site-to-Site y Cliente-To-Site;

- Soportar IPSec VPN;
- Soportar SSL VPN;
- A VPN IPSEc debe soportar:
 3DES;
 Autenticación MD5 e SHA-1;
 Diffie-Hellman Group 1 , Group 2, Group 5 e Group 14;
 Algoritmo Internet Key Exchange (IKE);
 AES 128, 192 e 256 (Advanced Encryption Standard)
 Autenticación vía certificado IKE PKI.
97
- Debe poseer interoperabilidad como los siguientes fabricantes:

 Cisco;
 Checkpoint;
 Juniper;
 Palo Alto Networks;
 Fortinet;
 Sonic Wall;
- Las VPN SSL deben soportar:
 Permitir que el usuario realice la conexión por medio de cliente

instalado en el sistema operacional del equipamiento o por
medio de interfaz WEB;
 Las funcionalidades de VPN SSL deben ser atendidas con o
sin el uso de agente;
 La asignación de dirección IP en los clientes remotos de VPN;
 La asignación de DNS en los clientes remotos de VPN;
 Debe haber la opción de ocultar el agente de VPN instalado en
el cliente remoto, tornando el mismo invisible para el usuario;
 Deber permitir criar políticas de control de aplicaciones, IPS,
Antivirus, Antispyware para tráfico de los clientes remotos
conectados en la VPN SSL;
 Las VPN SSL deben soportar proxy arp y el uso de interfaces
PPPOE;
 Soportar autenticación vía AD/LDAP, Secure id, certificado y
base de usuarios local;
 Permite establecer un túnel VPN client-to-site del cliente a la
plataforma de seguridad, proveyendo una solución de single-
sign-on a los usuarios, integrándose como las herramientas de
Windows-logon;
 Soporte de lectura y verificación de CRL (certificate revocation
list);
 Permite la aplicación de políticas de seguridad y visibilidad
para las aplicaciones que circulan dentro de los túneles SSL;
 El agente de VPN a ser instalado en los equipamientos
desktop y laptops, debe ser capaz de ser distribuido de manera
automática vía Microsoft SMS, Active Directory y ser
descargado directamente desde su propio portal, en el cual
residirá el centralizador de VPN;
 El agente deberá comunicarse con el portal para determinar
las políticas de seguridad del usuario,
 Debe permitir que las conexiones como VPN SSL sean
establecidas de las siguientes formas:
1. Antes del usuario autenticarse en la estación;

2. Después de la autenticación del usuario en la estación;
3. Bajo demanda del usuario;
- Deberá mantener una conexión segura con el portal durante la sesión.

- El agente de VPN SSL client-to-site debe ser compatible al menos
con: Windows XP, Vista, Windows 7, Windows 8;
98
D. SOLUCIÓN ANTIMALWARE DE RED- SEDE PRINCIPAL
Tipo de Solución
 Site principal en Lima

 Sistema de detección de malware de nueva generación, específicamente
diseñado para proteger a la institución contra ataques cibernéticos,
particularmente Malware, Botnets y otras amenazas avanzadas persistentes.
 Appliance de Propósito Específico para la detección y control de malware
avanzado. No se aceptarán herramientas tipo IPS, FW y similares que operen
en base a firmas o reputación.
 Deberá estar en la capacidad de detectar los nuevos tipos de ciberataques
tales como zero-day, APT, malware polimórfico; los cuales sobrepasan los
sistemas de seguridad informática convencional ya instalados en la red.
 Análisis en base a tráfico no menos a 1Gbps. Esto quiere decir que el
dispositivo no debe desechar paquetes para el Throughput indicado. Los
modos en los que se podrá desplegar son:
- SPAN/TAP
- Inline
 Para hacer la inspección trabajará en base a los siguientes protocolos:
- HTTP
- FTP
- IRC
- TCP
 Teniendo también la capacidad de detectar tráfico en DNS y UDP.
Detalles técnicos del dispositivo
 Puertos de administración: Dos (02) 10/100/1000 Puertos BASE-T.

 Puertos de monitoreo: Cuatro (04) 10/100/1000 Puertos BASE-T
 Procesadores: 01 procesador de 3.2 Ghz 08 núcleos.
 Memoria: 32 GB
 Máquinas virtuales: 24 máquinas virtuales (de desarrollo propietario, no
públicas)
 Disco: 02 SAS de 600 GB en RAID1
 Throughput soportado: hasta 1 Gbps
 Cantidad de usuarios: 10000
 Alimentación: Conmutación automática 100 – 240 VAC de onda completa,
frecuencia 50-60Hz.
 Corriente de entrada: 8.5 – 6A.
 Temperatura de operación: 10ºC – 35ºC
 Formato: 02 unidad de rack
 Alojamiento: Cabe en bastidor de 19 pulgadas.
 Fuente de Alimentación: Dual 700W
 El sistema de protección de malware debe detectar malware de día cero,
malware polimórfico, Botnets y otros APT (Advanced persistent Threats –
Amenazas Persistentes Avanzadas) en la red interna y en las comunicaciones
hacia y desde internet (tráfico inbound y tráfico outbound). La plataforma
deberá tener también la capacidad en escalabilidad de detectar software
malicioso que se aprovecha de vulnerabilidades conocidas, sitios web
99
maliciosos. El análisis se debe realizar en el appliance (en el dispositivo) y no

debe ser realizado a través de enviar la información para análisis externa (a la
nube) para inspección.
 Para realizar las funciones indicadas no debe requerir conectarse a algún otro
dispositivo en la red que tenga como función proporcionar firmas de malware
o depender de una tecnología (herramienta de seguridad) para poder operar.
 Debe tener la capacidad de emular los siguientes sistemas operativos: win7-
base, win7-sp1, win7x64-sp1, winxp-base, winxp-sp2, winxp-sp3
 La solución debe soportar y tener activas las siguientes características:
 La solución debe proporcionar protección contra ataques basados en web.
Debe proteger de ataques originados en la web como son descargas de
archivos maliciosos y callbacks de malware.
 Debe actuar en tiempo real, de modo que informe acerca de la presencia del
malware moderno en la red interna, a nivel de usuario por IP y por hostname.
Para informar, deberá incluir un análisis profundo de amenazas catalogadas
por nombre de la amenaza, severidad, IP Host, Host Name, cantidad de
infecciones, cantidad de callbacks; así como también el despliegue de
comportamiento al detalle de la amenaza:
- Capacidades nocivas del thread: Robo de data, comportamiento
malicioso, cambios que realiza al Sistema operativo. Identificación de
comandos Raw asociados al software malicioso.
- Información mínima de cada host afectado: Cantidad, tipo, nombre,
severidad, dirección IP servidor de C&C, fecha y hora de detección del
cada malware, puertos usados por el thread.
- URLs iniciales que generaron la infección.
- Indicar si hubiera malware desconocido, debiendo proporcionar la
siguiente información: MD5, tipo de archivo, protocolo usado, cantidad
de ocurrencias, ejecutable del malware.
 Por cada una de las infecciones por malware detectadas, mostrar los
siguientes campos como mínimo:
- Detalles de comunicación de la amenaza
- PCAP
- IP Source
- Encabezados (fuente)
- Detalle de los cambios realizados al sistema operativo, indicando
claramente las alertas maliciosas detectadas durante el análisis del
comportamiento de la amenaza, el tipo y la versión del sistema
operativo (análisis forense en línea que proporciona contexto a
profundidad de la amenaza detectada). El equipo debe estar en la
capacidad de mostrar un video del ciclo de vida del malware obtenido
a partir del análisis desarrollado en el entorno virtual.
 El sistema de protección de malware debe detectar vulnerabilidades sin
necesidad de conocer la firma, es decir, a través del comportamiento de la
amenaza.
 La solución será capaz de proporcionar información de cuantas veces el
equipo ha sido infectado y bloqueada la comunicación. Así también del
Malware que lo ha infectado.
 La información forense deberá ser entregada en tiempo real mostrando el
nivel de compromiso del ataque, pudiendo el administrador con ello tomar
decisiones acertadas y en línea con el negocio
100
 La herramienta debe ser capaz de ejecutar todo el código sospechoso, URL’s

y diversos tipos de archivos en un entorno virtual de inspección dentro del
mismo dispositivo. Para ello realizará tanto análisis estático como dinámico en
el sistema.
 Debe soportar la ejecución e inspección de los siguientes tipos de archivos:
3gp, asf, avi, bat, chm, cmd, com, csv, dll, doc, docx, exe, flv, gif, hop, hml,
htm, hwp, ico, jar, jpg, js, lnk, midi, mov, mp3, mp4, mpg, pdf, png, ppsx, ppt,
pptx, qt, rm, rmi, rtf, swf, tiff, url, vbs, vcf, vcs, wav, wma, wsf, xls, xlsx, xml.
 El Sistema de Protección de Malware debe tener la capacidad de bloquear
llamadas a servidores remotos (Callbacks). En el caso de ataques de Día
Cero, el Sistema de Protección de Malware deberá bloquear la habilidad del
Malware para realizar llamadas C&C (comando & control), de esa manera
dejándolo inerte y previniendo perdida de información, así como proporcionar
un valioso tiempo para la remediación de la amenaza. Esto significa que
deberá detectar y prevenir malware avanzado, ataques del tipo Zero Day y
Amenazas persistentes avanzadas dirigidas sin necesidad de haber sido
reconocidas previamente por una base de firmas.
 Esta capacidad es importante cuando se debe proteger maquinas que puedan
haber sido infectadas mientras se encontraron fuera del ambiente controlado
del Ministerio y se encuentren realizando callbacks desde la red corporativa.
 La solución debe registrar y almacenar evidencia de la ejecución de malware
en el entorno virtual de inspección como son direcciones IP, protocolos
empleados, puertos y protocolos utilizados por el malware, y todo el proceso
de ejecución y comunicación del ciclo de vida del malware.
 Las máquinas virtuales deberás ser propietarias, y no de entorno público o
comercial.
 El entorno de inspección virtual debe ser capaz de emular el sistema
operativo y el browser como si se tratara del equipo host comunicándose a los
servidores web que intentan infectar al equipo.
 Esto significa que deberá detectar los tres estados del ciclo de vida de los
ataques modernos: Exploit, Dropper y Data Exfiltration
 La herramienta debe contar con mecanismos de bloqueo de tráfico aun
cuando su configuración y despliegue en red corresponda al modo monitoreo
(TAP/SPAN) permitiendo utilizar TCP Reset y Out-of-Band Blocking.
 La herramienta debe ser capaz de soportar reglas estáticas de análisis YARA.
 La solución deberá permitir el análisis de archivos de tipo comprimido como
son ZIP, RAR, 7-ZIP y TNEF.
 El entorno de análisis virtual debe ser capaz de entregar todos los hallazgos
de malware en un archivo comprimido como evidencia y para posibles análisis
forenses posteriores.
 La solución debe ser capaz de soportar XFF (X-Forwarded For).
 Contar con un módulo de Reporteo que emita reportes de al menos:
- Reportes sobre las principales Alertas (actividad actual o históricos)
- Reportes en un rango de fechas, Sensor/Site y rango de direcciones
IP.
- OA Reportes detallados de llamadas a casa, identificando cuando sea
posible la geolocalización de la IP.
 La solución debe utilizar técnicas de análisis XOR’d en busca de trafico
malicioso encriptado.
 En el proceso de detección de malware la solución deberá ser capaz de:
- Soportar Zero Day Browser Exploit Protection
- Soportar Zero Day Application Exploit Protection
101
- Soportar Zero Day Web Object Exploit Protection

- Soportar Zero Day C&C Callback Protection
- Soportar Local Virtual Machine/Sandbox Analysis
- Deberá detectar tráfico malicioso de la red, tales como DNS queries a
Botnet C&Cs
 Debe soportar y tener la funcionalidad Modalidad Fail Open Modalidad/Fail
Close interno (By-Pass dentro del equipo).
 La solución debe permitir enviar notificaciones en diversos formatos
requeridos por el entorno de la PNP, ya sean estas por Syslog, SNMP, http o
email, las notificaciones deben contener la data necesaria para que la acción
sea realizada.
 La solución debe utilizar una Red de Inteligencia Global que le permita
beneficiarse de la información recogida por los esfuerzos de investigación del
fabricante, en la que los suscriptores reciben y opcionalmente comparten
inteligencia programas maliciosos, como los ataques de día cero y los
destinos de devolución de llamada.
 El servicio de actualización deberá operar sobre un canal seguro (HTTPS).
 La solución podrá permitir la autenticación al sistema usando servicios de
autenticación tales como RADIUS, TACACS+, LDAP, AND LDAPS.
Garantía, Soporte y Mantenimiento del Fabricante
 El equipo debe tener licenciados todos los servicios requeridos por mínimo
tres (03) años.
 Actualización disponible de contenidos, sistemas operativo y VM durante el
período que dure la garantía ofrecida (Mínimo tres (03) años en sitio)
 La garantía del equipo será por mínimo tres (03) años.
 Deberá considerar las licencias de:
- Dispositivo
- Actualización de contenidos
- Soporte provisto por el fabricante
E. SOLUCIÓN ANTIMALWARE DE RED- SEDE SECUNDARIA
Tipo de Solución
 Site de contingencia en Lima

 Análisis en base a tráfico no menos a 250 Mbps. Esto quiere decir que el
102
- SPAN/TAP
- Inline
- HTTP
- FTP
- IRC
- TCP
Detalles técnicos del dispositivo

 Memoria: 32 GB
públicas)
 Disco: 02 SAS de 600 GB en RAID1
 Throughput soportado: hasta 1 Gbps
frecuencia 50-60Hz.
 Fuente de Alimentación: Dual 700W
103

- PCAP
- IP Source
amenaza.
el sistema.
104

del Ministerio y se encuentren realizando callbacks desde la red corporativa.
comercial.
- Reportes sobre las principales Alertas (actividad actual o históricos)
- Reportes en un rango de fechas, Sensor/Site y rango de direcciones
IP.
- OA Reportes detallados de llamadas a casa, identificando cuando sea
posible la geolocalización de la IP.
 La solución debe utilizar técnicas de análisis XOR’d en busca de tráfico
- Soportar Zero Day Browser Exploit Protection
- Soportar Zero Day Application Exploit Protection
- Soportar Zero Day Web Object Exploit Protection
- Soportar Zero Day C&C Callback Protection
- Soportar Local Virtual Machine/Sandbox Analysis
- Deberá detectar tráfico malicioso de la red, tales como DNS queries a
Botnet C&Cs
 La solución debe permitir enviar notificaciones en en diversos formatos
requeridos por el entorno del Ministerio, ya sean estas por Syslog, SNMP, http
o email, las notificaciones deben contener la data necesaria para que la
acción sea realizada.
105

Garantía, Soporte y Mantenimiento del Fabricante
tres (03) años.
- Dispositivo
- Actualización de contenidos
- Soporte provisto por el fabricante
F. SOLUCIÓN ANTIMALWARE DE RED- NODOS REMOTOS (12 NODOS)
Tipo de Solución
 12 Sedes Lima y/o en el interior del país

 Análisis en base a tráfico no menos a 50 Mbps. Esto quiere decir que el
- SPAN/TAP
- Inline
- HTTP
- FTP
- IRC
- TCP
Detalles técnicos de cada dispositivo

106

 Memoria: 16 GB
públicas)
 Disco: 01 SATA de 500 GB
 Throughput soportado: hasta 50Mbps
frecuencia 50-60Hz.
 Fuente de Alimentación: simple
107
- PCAP
- IP Source
amenaza.
el sistema.
de la PNP y se encuentren realizando callbacks desde la red corporativa.
comercial.
108

 Reportes sobre las principales Alertas (actividad actual o históricos)
 Reportes en un rango de fechas, Sensor/Site y rango de direcciones IP.
 OA Reportes detallados de llamadas a casa, identificando cuando sea posible
la geolocalización de la IP.
 La solución debe utilizar técnicas de análisis XOR’d en busca de trafico
 Soportar Zero Day Browser Exploit Protection
 Soportar Zero Day Application Exploit Protection
 Soportar Zero Day Web Object Exploit Protection
 Soportar Zero Day C&C Callback Protection
 Soportar Local Virtual Machine/Sandbox Analysis
 Deberá detectar tráfico malicioso de la red, tales como DNS queries a Botnet
C&Cs
 La solución debe permitir enviar notificaciones en en diversos formatos
requeridos por el entorno del Ministerio, ya sean estas por Syslog, SNMP, http
o email, las notificaciones deben contener la data necesaria para que la
acción sea realizada.
 Garantía, Soporte y Mantenimiento del Fabricante
tres (03) años.
 Dispositivo
 Actualización de contenidos
 Soporte provisto por el fabricante
109
 Todos los equipos Antimalware (Sede principal, Secundaria y remotas)

deberán ser administrados de forma centralizada en la Sede Principal a través
de una consola de gestión.
G. SERVICIO CONTRA ATAQUES DE DENEGACIÓN DE SERVICIO

DISTRIBUÍDOS (DDOS) PARA LA SEDE PRINCIPAL Y PARA LA SEDE
SECUNDARIA
Arquitectura
 El sistema debe de ser un appliance dedicado a proporcionar disponibilidad

por lo que no se aceptarán dispositivos que mantengan el estado de la
conexión como firewalls, sistemas de prevención y detección y las variantes o
combinaciones como UTM, NGFW, NGIPS ya que al conservar el estado de
la conexión son por sí mismos susceptibles a DDoS
 El sistema debe poder proporcionar como opción interfaces a velocidades de
1 Gbps, soporte de al menos 6 pares de interfaces GE (6 puertos internos y 6
puertos externos) que permita la conexión en línea de hasta 6 segmentos de
Gigabit Ethernet.
 El sistema debe poder proporcionar como opción interfaces a velocidades de
10 Gbps, soportando al menos 2 pares de interfaces 10GE (2 puertos interno
y 2 puertos externo) que permita la conexión en línea de 2 segmentos de
10GE.
 El sistema debe de tener embebido el bypass físico en cada interface para
garantizar alta disponibilidad y deberá activarse en los siguientes casos:
Perdida de energía eléctrica, falla lógica en la interface de control, pérdida de
conectividad con la tarjeta madre del dispositivo, colapso del sistema
operativo.
 El sistema debe permitir el aumento de su rendimiento de 2 GB/S a 10 GB/S
a través de cambios en las licencias sin la necesidad de hardware nuevo.
 El sistema debe implementar hardware bypass en todas las interfaces de
servicio (protección).
 El sistema al posicionarse en línea deberá de ser completamente
transparente, sin introducir ningún cambio de encapsulamiento.
 El sistema debe ser capaz de soportar un modo de prueba "inactivo" cuando
se configura en línea, que permita el ajuste de la configuración de protección
sin bloquear el tráfico y proporcione reportes de todo el tráfico que bloquearía
si se define como "activo".
 El sistema debe soportar la implementación en modo "monitor" en el que no
introduce ningún punto adicional de falla a la red.
 El sistema debe ser capaz de capturar tráfico directamente desde un puerto
espejo (SPAN) en un enrutador, switch o tap.
 El sistema debe de soportar una configuración en donde no reenvíe el tráfico
entre los puertos de protección al operar en modo espejo, SPAN, o tap de
red, para evitar la inyección de tráfico duplicado. La configuración para “nunca
reenviar el tráfico” no deberá de poder ser modificada en el flujo de trabajo de
la interfaz de usuario normal.
 El sistema debe ser compatible con alimentación de energía AC o DC.
 El sistema debe soportar redundancia completa para fuentes de alimentación
AC o DC.
110
 El sistema debe admitir intercambio caliente de una fuente de alimentación de

AC o DC degradada durante el funcionamiento normal del sistema.
Administración
 El sistema debe poder ser administrado sin necesidad de ningún módulo de

Software ó Hardware adicional.
 El sistema debe permitir “opcionalmente” ser gestionado en forma
centralizada vía un módulo de Gestión que permita la administración y
operación de varios dispositivos.
 El sistema debe proporcionar documentación en línea en la GUI para ayudar
a los usuarios a comprender las funciones de cada pantalla.
 La GUI del sistema debe permitir múltiples los niveles de acceso como
administrador y operador.
 El sistema GUI debe incluir un registro de cambios que reporte todos los
eventos que podrían afectar la administración incluyendo los inicios de sesión
de usuario, los cambios de configuración, comandos CLI y actualizaciones del
sistema.
 El sistema debe proporcionar la capacidad para crear y exportar paquetes de
diagnóstico que contienen información del estado y configuración a utilizarse
para resolver problemas.
 El sistema debe proporcionar la capacidad para administrar sus archivos a
través de la GUI, incluida la carga, descarga y eliminación.
 El sistema debe proporcionar una interfaz CLI que proporcione funciones de
supervisión del sistema.
 El sistema debe proporcionar una opción de SYSLOG, SNMP o notificaciones
SMTP para las alertas del sistema, los cambios de modo de despliegue
(activo/inactivo) y cambios de nivel de protección.
 El sistema debe admitir el control de su estado general a través de SNMP v2
o v3.
 El sistema debe proporcionar la capacidad de visualizar, buscar y eliminar
alertas caducadas y activas a través de la GUI.
 El sistema debe permitir la creación, eliminación y administración de cuentas
de usuario a través de la GUI.
Seguridad
 Todas las comunicaciones externas al sistema deben ser manejadas a través

de un cortafuegos incorporado de filtrado de paquetes que permita sólo
servicios obligatorios y opcionales que deban habilitarse explícitamente por
subred.
 El acceso a la CLI debe proporcionarse mediante SSH.
 El acceso de GUI al sistema debe ser a través de HTTPS. No deben
permitirse protocolos de GUI no seguros.
 El sistema debe permitir la configuración de múltiples cuentas de usuario
local.
111
 El sistema debe proporcionar controles de acceso a nivel de usuario basados

en tokens que pueden asignarse a usuarios o grupos de usuarios para aplicar
la separación de privilegios.
 A los usuarios sin privilegios administrativos se le permitirá administrar la
configuración de sus propias cuentas y contraseñas pero no puede ver o
cambiar cuentas de otros usuarios.
 El sistema debe proporcionar listas de control de acceso IP para todos los
servicios remotos que estén accesibles.
 El sistema debe proporcionar completa AAA a los usuarios a través de una
base de datos de: usuario local, RADIUS, TACACS o la configuración
combinada de métodos.
Interfaz de usuario
 El sistema debe admitir configuración a través de navegadores web estándar

actualizados.
 El sistema debe proporcionar una interfaz CLI accesible a través de la
conexión de red o de la consola.
 El sistema debe proporcionar un panel de estado de dispositivo que incluya
información sobre las alertas activas, todas las protecciones aplicadas al
tráfico, total del tráfico permitido y bloqueado a través de las interfaces,
estado de la CPU y memoria de sistema.
 El sistema debe mostrar una lista de protecciones activas en conjunto con
estadísticas resumidas de la cantidad de tráfico permitido y bloqueado para
cada grupo de protección configurado.
 El sistema debe proporcionar estadísticas detalladas y gráficos para cada
protección, mostrando su impacto en el tráfico durante los últimos 5 minutos,
1 hora, 24 horas, 7 días o un intervalo personalizado especificado.
 El sistema debe mostrar estadísticas de protección en tiempo real sobre
tráfico permitido y bloqueado en bytes y paquetes, con estadísticas en bps y
pps
 Las estadísticas detalladas y gráficos para cada grupo de protección para
servidores genéricos deben incluir información sobre el tráfico total, tráfico
total permitido y bloqueado, número de hosts bloqueados, estadísticas sobre
cada tipo de prevención, tráfico por URL, tráfico por dominio, información de
ubicación IP, distribución de protocolos, distribución de servicios y
estadísticas principales de hosts bloqueados.
servidores Web deben incluir información sobre el tráfico total, tráfico total
permitido y bloqueado, número de hosts bloqueados, estadísticas sobre cada
tipo de prevención, tráfico por URL, tráfico por dominio, información de
ubicación IP, distribución de protocolos, distribución de servicios y
estadísticas principales hosts bloqueados.
 Las estadísticas detalladas y gráficos para cada grupo de protección para los
servidores DNS deben incluir información sobre el tráfico total, tráfico total
tipo de prevención, información de ubicación IP, distribución de protocolos,
distribución de servicios y estadísticas principales de hosts bloqueados.
servidores VoIP deben incluir información sobre el tráfico total, , tráfico total
112

tipo de prevención, información de localización de IP, distribución de
protocolos, distribución de servicios y estadísticas principales de hosts
bloqueados.
 El sistema debe admitir la generación de informes pdf que contiene las
estadísticas detalladas y gráficos para cada grupo de protección.
 El sistema debe admitir la generación de reportes de correo electrónico con
las estadísticas detalladas y gráficos para cada grupo de protección.
 El sistema debe suministrar toda la interfaz CLI a través del puerto de consola
serie RS-232.
Mitigación en la nube
 El sistema deberá de proporcionar la posibilidad de solicitar a través de un

protocolo de señalización en la nube al Contratista de Servicios (ISP), para
que empiece una mitigación ascendente (“mitigación en la nube”) cuando el
enlace sea saturado por un ataque volumétrico de DDoS.
 La funcionalidad del sistema de “señalización en la nube” debe de soportar la
solicitud de mitigación ascendente en la nube desde el Contratista de
Servicios (ISP) que proporciona la conectividad a Internet o desde el
Contratista de Servicios Administrados de Seguridad en la nube (no
directamente conectado al sitio)
 El sistema deberá de poder disparar la solicitud para una mitigación de nube
ascendente, ya sea manual o automáticamente a través de la configuración
de umbrales de tráfico
 El sistema deberá automáticamente reportar el estado y estadísticas durante
una mitigación en la nube, iniciada por el Contratista de Servicios (ISP) sin la
necesidad de una solicitud explícita
 El sistema debe ser capaz de informar la cantidad de tráfico bloqueado en
bps y pps durante una mitigación en la nube en curso
 El sistema debe ser capaz de informar la cantidad de tiempo que una
mitigación de nube lleva ejecutándose
 El sistema debe ser capaz de informar el estado actual de una mitigación de
nube solicitada, informando si se ha activado correctamente en la nube o no.
 El sistema debe enviar notificaciones acerca cualquier cambio de la
mitigación en la mitigación.
 El sistema deberá de ser capaz de reportar el estado de la conexión de
señalización en la nube con el sistema del Contratista de Servicios
Administrados de Seguridad, mostrando el estado de conexión, errores de
conexión y cuando haya sido deshabilitado.
 El sistema deberá de poder proporcionar la capacidad para manualmente
disparar una prueba de conexión de señalización en la nube con el sistema
del Contratista de Servicios Administrados de Seguridad.
 El oferente deberá poder proveer en forma adicional un servicio de mitigación
en la nube para el tráfico que exceda las capacidades locales.
Prevención de ataques
 El sistema debe ser capaz de bloquear paquetes que no son válidos

(incluidos los controles de encabezados IP malformados, fragmentos
incompletos, checksum IP erróneos, fragmentos duplicados, fragmentos muy
113
largos, paquetes pequeños, paquetes TCP pequeños, paquetes UDP

pequeños, paquetes ICMP pequeños, checksums TCP/UDP erróneos,
banderas TCP inválidas, números ACK inválidos) y proporcionar estadísticas
para los paquetes descartados.
 Es imperativo que estos valores estén públicos en documentos oficiales del
fabricante, por transparencia con el proceso no se aceptarán cartas del
fabricante o canal para justificar cumplimiento.
 El sistema deberá permitir la configuración de listas de filtros que contengan
expresiones FCAP para permitir o bloquear tráfico.
 El sistema debe ser capaz de detectar fuentes que envíen cantidades
excesivas de tráfico bajo umbrales configurables, para después colocar esas
fuentes en listas de hosts bloqueados temporalmente (bloqueo basado en la
tasa de tráfico).
 El sistema debe de ser capaz de descartar paquetes según puertos TCP
específicos y payloads que coincidan o no con expresiones regulares
configurables.
 El sistema debe de ser capaz de descartar paquetes según puertos UDP
específicos y payloads que coincidan o no con expresiones regulares
configurables.
 El sistema debe de soportar prevención de inundación suplantada de SYN’s
TCP que autentifiquen conexiones TCP desde los host origen
 La prevención de inundación suplantada de SYN’s TCP debe de ser capaz de
especificar los puertos TCP origen y destino a ser ignorados
 La prevención de inundación suplantada SYN’s TCP deberá proporcionar una
forma de no impactar sesiones de usuarios legítimos HTTP a través de
redirección HTTP subsecuente
 La prevención de inundación suplantada de SYN’s TCP deberá de
proporcionar opciones de mecanismos fuera de secuencia ACK para la
autentificación de la conexión de las aplicaciones basadas en TCP que son
sensitivas a envío de TCP RST a los clientes
 El sistema debe de soportar la supresión de sesiones TCP inactivas si el
cliente no envía una cantidad de datos configurable por el usuario dentro de
un periodo de tiempo configurable por el usuario.
 El sistema debe de soportar la capacidad de poner en listas negras a los host
después de un número de conexiones TCP consecutivas inactivas
configurables por el usuario
 El sistema debe de soportar el bloqueo de solicitudes DNS malformadas en el
puerto 53 que no cumplan con el estándar RFC
 El sistema deberá de ser capaz de autentificar solicitudes DNS desde el host
origen y suprimir aquellas que no puedan ser autentificadas dentro de un
tiempo específico
 El sistema debe ser capaz de limitar el número de consultas DNS por
segundo a una velocidad configurable por el usuario.
 El sistema debe ser capaz de bloquear el tráfico desde cualquier host que
genere más solicitudes DNS fallidas consecutivas del límite configurado y
poner al host origen en una lista negra.
 El sistema debe proporcionar la posibilidad de configurar expresiones REGEX
para suprimir el tráfico DNS específico con los encabezados que coincidan
con las expresiones.
114
 El sistema debe ser capaz de detectar y eliminar paquetes con formatos

incorrectos de HTTP que no se ajusten a los RFC’s para los encabezados de
solicitud y poner al host origen en una lista negra.
 El sistema debe de ser capaz de bloquear hosts que exceden un umbral
configurable para el número total de operaciones por segundo, por servidor
destino.
 El sistema debe de proporcionar la capacidad de normalizar el tráfico que
coincida con una expresión FCAP específica, y suprimir el tráfico que exceda
la tasa configurada. Las expresiones FCAP deberán soportar la selección de
los campos de encabezado IP y campos de los encabezados en capa 4 (UDP
y TCP).
 El sistema debe proporcionar la capacidad para detectar y bloquear las
inundaciones de SYN’s TCP por encima de la tasa configurada.
 El sistema debe proporcionar la capacidad para detectar y bloquear las
inundaciones ICMP por encima de la tasa configurada.
 El sistema debe proporcionar la capacidad de bloquear el tráfico procedente
de fuentes que interrumpen reiteradamente solicitudes HTTP
 El sistema debe proporcionar la capacidad de bloquear el tráfico originado por
bot’s según las firmas proporcionadas por el sistema.
 El sistema debe de ser capaz de regularmente activar las nuevas técnicas de
defensa actualizando las firmas que serán mantenidas por el equipo de
investigación del fabricante 24x7, monitoreando al menos el 70% del tráfico
del Internet a nivel mundial en busca de botnets y nuevos vectores de ataque.
Es imperativo que estos valores (porcentaje) estén públicos en documentos
oficiales del fabricante, por transparencia con el proceso no se aceptarán
cartas del fabricante o canal para justificar cumplimiento.
 El sistema debe proporcionar la posibilidad de actualizar automáticamente
sus firmas de protección de ataques periódicamente a intervalos
configurables.
 El sistema debe proporcionar la posibilidad de actualizar automáticamente
sus firmas de protección de ataques cuando sea solicitado manualmente.
 El sistema debe proporcionar la capacidad para realizar la actualización de
firma de protección de ataques ataque a través de servidores proxy.
 El sistema deberá de poder bloquear tráfico Multicast
 El sistema deberá de proteger contra amenazas en TLS
 El sistema deberá de prevenir el bloqueo global de CDN o proxies
 El sistema deberá de identificar web crawlers y monitorear su uso.
 El sistema debe permitir la configuración de protecciones predefinidas
asociadas con servicios específicos, como Web, DNS, VoIP o un servidor
genérico.
 El sistema debe de soportar la capacidad de cambiar el Nivel de Protección
que se aplica al tráfico, cambiando efectivamente la configuración en uso por
el sistema para todas las prevenciones, simplemente con presionar botones
acorde al tipo de protección: Baja, Media y Alta
 La solución deberá de proporciona una línea base en bps y pps para la tasa
de tráfico, tráfico bloqueado y botnets.
 La solución deberá de reportar los web crawlers que están accediendo a los
servicios web y reportar en bps y pps, el tráfico total y la tasa de tráfico.
 La solución deberá de mitigar ataques de fragmentación
 El sistema debe de permitir que los parámetros de protección sean
cambiados mientras la protección está corriendo.
 El sistema debe de porder bloquear por país de origen
115
 El sistema debe de porder bloquear tráfico de amenzas y ataques en forma

saliente desde la red hacia Internet, por medio de firmas que recozcan
amnezas de Emails, Reputacion de DDoS, Malware, etc.
 Tambine por medio de la definicion de filtros FCAP, filtros de Expresines
Regulares, umbrales de tasas por segundos de trafico DNS, y trafico HTTP
malformado.
Inteligencia en Seguridad
 Todo dispositivo de seguridad debe de venir acompañado con investigación y

análisis detrás para poder mitigar las amenazas y vectores de ataque
actuales. Por lo que el fabricante de la solución deberá de contar con algún
sistema de inteligencia donde se esté monitoreando las amenazas de Internet
a nivel mundial y deberá de proporcionar información sobre:
• Botnets
• DDoS
• FastFlux Bots
• Scans
• Phishing
 Proporcionando información por host, país y sistema autónomo,
 Estos datos deberán de estar públicos en el sitio web del fabricante, por
transparencia no se aceptarán cartas firmadas de ningún tipo donde clamen
cumplir este punto si no se encuentra públicamente disponible en el sitio web
del fabricante.
 La solución deberá de ser capaz de analizar los servicios y predecir
porcentajes de información de las capacidades de los servicios del cliente y al
menos deberán de proporcionar los siguientes valores: pps, bps para
bloqueos de umbrales, tasa de peticiones http por segundo, tasa de objetos
http por segundo, tasa de peticiones DNS, tasa de respuestas NXDomain,
tasa de mensajes SIP, tasa de bps y pps para ICMP, UDP y fragmentación.
H. SWITCH REDUNDANTE DE CAPA 3 PARA SEDE PRINCIPAL, SITIO DE

CONTINGENCIA Y DOCE NODOS REMOTOS
Para la Sede Principal y el sitio de contingencia, serán dos switches en cada

lugar en modo redundante y para los doce nodos remotos solo un switch en cada
sitio, las especificaciones técnicas mínimas son las siguientes:
 La solución deberá ser Switch de Capa 3 (L3).

 El contratista deberá incluir soporte y garantía del producto de 03 años como
mínimo, el cual permita reemplazo de partes y acceso al Centro de Atención
Técnica del fabricante
 Para la sede principal y el sitio de contingencia el switch a ofertar debe
soportar como mínimo 48 puertos SFP Gigabit (1000BaseT, 1000Base-SX) y
al menos 1 puerto de 10GBase-SX. Incluir la cantidad de
módulos/Transeivers SFP para Fibra multimodo y monomodo necesarios de
116
acuerdo al diseño ofertado, así como el cableado de fibra óptica del enlace
entre los switch redundantes y con los switch Core Datacenter.
 Para los doce nodos remotos contingencia el switch a ofertar debe soportar
como mínimo 24 puertos SFP Gigabit (1000BaseT, 1000Base-SX) y al menos
1 puerto de 10GBase-SX. Incluir la cantidad de módulos/Transeivers SFP
para Fibra multimodo y monomodo necesarios de acuerdo al diseño ofertado,
así como el cableado de fibra óptica del enlace entre los switch redundantes y
con los switch Core Datacenter.
 El equipo a ofertar deberá ser montable en bastidor de 12 RU (Unidad de
Rack)
 El producto debe presentar un switch fabric de 160Gbps como mínimo.
 Tasa de envío de 35Mpps como mínimo.
 512 Mb de RAM
 32 Mb de memoria Flash
 Soportar 1000 VLANs. VLAN trunk IEEE 802.1Q.
 Soportar como mínimo 4,000 direcciones MAC.
 La solución debe soportar los estándares relacionados: IEEE 802.3 - 10Base
T, IEEE 802.3u - 100Base TX, 802.3ab - 1000Base T, IEEE 802.3z -
1000Base SX.
 Soportar Spanning Tree IEEE 802.1d así como las últimas mejoras tales
como RST 802.1w y MST 802.1s.
 Soporte Multicast IGMP v2 y v3 snooping.
 Soporte de protocolo OSPF, RIPv2 y rutas estáticas instalado y operativo.
 Soporte de VRRP o similar.
 Soportar Calidad de Servicio:
 Soportar el estándar IEEE 802.1p CoS y clasificación del campo

DSCP.
 Soportar como mínimo ocho colas de salida por puerto.
 Clasificación de tráfico basada en direcciones MAC de origen y
destino, direcciones IP de origen y destino y puertos TCP/UDP.
 Limitación de ancho de banda basada en direcciones MAC de origen
y destino, direcciones IP de origen y destino y puertos TCP/UDP.
 Soporte funcionalidad de QOS para priorización de tráfico de voz,
video y datos.
 Incluir Mecanismos de Seguridad:
 Seguridad por puerto en base a la dirección MAC.

 Filtros aplicables por puerto.
117
 Filtros basados en direcciones MAC de origen y destino, direcciones

IP de origen y destino y puertos TCP/UDP.
 Soporte de autentificación 802.1x, con asignación dinámica de
VLAN.
 Control de acceso centralizado por RADIUS, ya sea para los
administradores del switch como para los usuarios de la red que se
autentifican vía 802.1x.
 Soportar multiples niveles de privilegios de acceso para
administración por consola y/o por Telnet.
 Administración vía protocolos seguros como SNMPv3 encriptado,
SSHv2, HTTPS.
 Mecanismos de detección de amenazas tipo DoS, DHCP Snooping,
Dynamic ARP Inspection (DAI).
 Incluir Mecanismos de gestión:
 Puerto de consola e interface fuera de banda 10/100BaseT para

gestión local
 Soporte de Telnet, HTTP y SSH para gestión remota
 Soporte Estándar LLDP,
 Soporte de RMON
 Soporte de protocolos de transferencia de archivos FTP y TFTP.
 Soporte de protocolos NTP, DHCP, DNS.
 Soporte de “port mirroring” por puerto o grupo de puertos y por
VLAN.
 Soportar Agregación de puertos, LACP, IEEE 802.3ad, de modo que
se pueda usar cualquier puerto del mismo tipo y velocidad.
 Incluir fuente de poder con alimentación a 220Vac 60Hz, con capacidad de

poder soportar fuente de poder redundante
 Soportar Montaje en rack 19”
Deberá tener los siguientes módulos de servicios seguros:
 Módulo de Servicios Firewall: debe entregar como mínimo 4 Gbps y 100.000

conexiones por segundo, con inspección integrada hasta de capa 7.
 Módulo de Servicios VPN IPSec: debe entregar 1.9 Gbps 3DES y 8.000
túneles simultáneos, con encripción, para conectividad segura basada en
IPSec.
 Módulo de Servicios SSL (Secure Sockets Layers): debe entregar 2.500
conexiones por segundo, encripción de 300 Mbps SSL y seguridad para el
procesamiento de aplicaciones basadas en el web y de sitios en Internet de
comercio electrónico.
 Módulo de Análisis de Red (NAM-1 y NAM-2): con desempeño de
capacidades de hasta 1 Gbps de entrega, monitoreo integrado del tráfico para
una visibilidad total en aplicaciones, hosts, conversaciones, VoIP y QoS.
118
I. SERVICIO DE WEB APPLICATION FIREWALL PARA LA SEDE PRINCIPAL Y

PARA LA SEDE SECUNDARIA
1. Condiciones Generales
 La solución estará conformada por equipamiento basado en plataforma

appliance (hardware y software de propósito específico) del mismo fabricante,
que proporcione la funcionalidad de protección de Bases de Datos (DBF). Sin
necesidad de la instalación de software y/o hardware en algún equipo
adicional que no forme parte de la solución.
 Proporcionar, con el correspondiente respaldo del fabricante, los servicios de
garantía de hardware, mantenimiento software y soporte técnico, para la
solución por el periodo de tres (03) arios.
 Contar con autorización del fabricante o su representante para comercializar
la marca y brindar los servicios solicitados.
 Presentar una relación descriptiva de los componentes proporcionados,
incluyendo sus códigos comerciales.
2. Funcionalidades DAM
2.1 Características del appliance
 Cada equipo perteneciente a la solución debe poseer como mínimo las

siguientes características:
 Deberá soportar un Throughput mínimo de 900M bps
 Deberá soportar como mínimo 80 cores de base de datos.
 Deberá soportar bypass de 3 segmentos como mínimo ante fallas.
 Deberá soportar aceleración de SSL de manera opcional.
 Deberá contar como mínimo con 4GB de RAM y 2 discos duros hot-
swap de 500GB.
 Deberá contar con 4 interfaces 100/1000BASE-T Cobre.
 Deberá incluir dos interfaces de fibra 10G del tipo SR.
 Deberá contar con una interface independiente del tipo RJ45 para
administración.
 Deberá contar con un factor de forma de 2U y rackeable en gabinete
estándar.
 Deberá contar minino con un puerto USB.
 La solución debe poder integrarse a la red en modo sniffing analizando
el tráfico a través de un port mirroring (copia de tráfico interesante).
 La solución deberá tener varios mecanismos de despliegue
(deployment) como puente transparente en línea (Transparent Inline
119
Bridge). Siendo capaz de auditar y bloquear las comunicaciones hacia

las bases de datos interceptando las mismas en la red y sin la
necesidad de la utilización de agentes en los servidores de las bases de
datos.
 las interfaces deben incluir bypass/ failopen/ failclose configurable para
fallas de hardware.
 Debe ser posible la instalación de agentes solo para el monitoreo de las
actividades locales que se generen en el propio servidor de base de
datos y no puedan ser interceptados en la red.
 Los equipos deben incluir puertos del tipo Fail Open Bypass
configurable tanto para fallas de hardware como software.
2.2 Protección de Servidores de Base de Datos
 La solución no debe requerir la activación de la auditoría nativa de las

bases de datos a proteger.
 La solución debe estar basada appliance con un sistema operativo
robusto y específico para la función.
 La solución podrá incluir agentes livianos de software para monitoreo de
actividad sobre el servidor, sin depender de eventos nativos como
registros de auditoría o logs de los servidores a proteger.
 Los equipos deben soportar el protocolo de gestión de red SNMP para
ser monitoreados por las herramientas propias y generar alertas o traps
hacia el servidor correspondiente.
 El sistema debe permitir la integración y envío de alertas a terceros u
herramientas de correlación (SIEM).
 El sistema debe soportar protocolo de sincronización de hora NTP.
 La solución deberá permitir aplicar políticas de seguridad a las distintas
bases de datos en forma independiente y por conjunto de aplicaciones
definidas por el administrador.
 La solución deberá detectar analizar y clasificar información sensible
sobre la bases de datos a proteger.
 Permitir registrar todas las pistas de auditoría de manera detallada de
todas las actividades referentes a las bases de datos.
 La solución debe proveer un mecanismo de análisis de permisos de
usuarios en Base de datos. El mecanismo debe analizar los permisos
efectivos de los usuarios, lo que incluye permisos asignados
directamente sobre objetos de la DB, o permisos derivados de los roles
relacionados con el usuario.
 Las políticas de seguridad deben permitir definir los siguientes tipos de
violaciones de accesos:
120
 Acceso denegado a un método determinado por parte de una o varias

direcciones IP.
 Acceso a base de datos, esquemas, tablas y comandos SQL no
permitidos.
 Operaciones sobre los datos no permitidas.
 Operaciones DDL críticas no permitidas.
 El manejo de políticas de seguridad deberá cumplir los siguientes
requerimientos:
 Capacidad de aprender las políticas de seguridad adecuadas en base a
la observación del tráfico existente.
 Capacidad de validar la propuesta automática por parte del usuario
antes de implementar la misma.
 Capacidad de relajación de las políticas mediante métodos automáticos
basados en el aprendizaje de la aplicación y detección de falsos
positivos.
 Permitir la aceptación de peticiones legitimas que son consideradas
como falsos positivos por la solución.
 Permitir la definición de políticas específicas por cada aplicación.
Permitir definir parámetros específicos referidos a ataques de
Denegación de Servicio.
 De acuerdo a la detección de ataque debe poder permitir tomar las
diferentes acciones:
 Bloqueo de comando SQL, permitiendo especificar la base de datos,
esquema, las tablas y patrón del comando SQL.
 Bloqueo de conexión.
 Bloqueo de la dirección IP correspondiente a la petición.
 La solución debe tener los siguientes modos de operación: normal y
simulación, este último no debe aplicar ninguna restricción sobre el
tráfico cursante.
 La solución deberá detectar, alertar y opcionalmente bloquear, en
tiempo real, cualquier comportamiento malicioso conocido y/o
desconocido.
 La solución deberá soportar des encriptación de las conexiones de SQL
sin instalar ningún software en el servidor de base de datos.
 La solución deberá notificar por medio una alerta cuando no pueda
desencriptar el tráfico SSL por no tener el certificado y clave privada
correctos.
 La solución deberá soportar la interpretación de los usuarios ocultos de
Kerberos en MSSQL sin instalar ningún software en el servidor de base
de datos.
121
 La solución deberá soportar las siguientes base de datos, como mínimo:

- Microsoft SQL Server
- Oracle
- Sybase.
- Informix
- MySQL
 Deberá soportar el Negative Security Model, es decir, permitir todas las

transacciones menos aquellas especificadas como ataques y/o Positive
Security Model, es decir, solo permitir aquellas transacciones definidas
como válidas.
 En el Positive Security Model deberá soportar configuración manual y
automática. Esta última debe ser implementado mediante técnicas de
aprendizaje automático.
 Permitir la definición del uso de aprendizaje automático y manual en
forma individual para cada aplicación de base de datos.
 El aprendizaje automático debe alcanzar los siguientes datos:
- Usuarios de base de datos
- Aplicaciones de base de datos
- Equipo donde reside la aplicación de base de datos
- Base de datos y esquemas consultados
- Comandos DML ejecutados (SELECT, UPDATE, INSERT y
DELETE)
 La solución debe soportar la protección contra ataques conocidos

mediante la utilización de signatures de ataques.
 La solución debe soportar la creación manual de signatures mediante
expresiones regulares.
 Los signatures podrán ser aplicados sobre un subconjunto de la
aplicación base de datos y o políticas. Dicho subconjunto deberá poder
ser definidos mediante la definición de base de datos, esquema, tablas
y o columnas. La solución debe realizar updates automáticos de
signatures.
 La solución debe ser capaz de generar polítcas de seguridad para el
bloqueo de conexiones SQL del tipo DML, DCL y DDL.
 La solución debe contener signatures propias, estas deberán estar
identificadas por sistema operativo, aplicaciones y versiones a las
cuales aplica. Se debe permitir la activación particular de cada sígnature
para cada aplicación de base de datos y o política en forma
independiente.
 La solución debe controlar la consistencia del protocolo de base de
datos, identificando ataques a la integridad de la conexión y la evasión
de auditoría.
122
 La solución no deberá requerir ningún cambio en la configuración o

contenido de la base de datos. Esto incluye:
- Creación de usuarios en las bases de datos.
- Modificación de los permisos de los usuarios existentes.
- La solución debe ofrecer la posibilidad de realizar auditorías
remotas de las base datos en forma periódica y notificar posibles
errores desviaciones del baseline.
- La auditoría sobre todo el tráfico debe hacerse en tiempo volumen
de tráfico.
- Las auditorias remotas deben poder identificar:
- Cuentas de usuarios inactivas, deshabilitadas, o inseguras por
tener privilegios administrativos.
- Identificar nuevos usuarios en la base de datos.
- Configuración insegura en los archivos de configuración de la base
de datos.
- Búsqueda de vulnerabilidades conocidas.
 La solución debe incluir un analizador de vulnerabilidades que se podrá

ejecutar en forma manual y/o automatizada sobre las bases de datos a
proteger.
 La solución debe ser capaz de aplica parches virutales, es decir,
generar políticas de seguridad que protejan a las bases de datos de las
vulnerabilidades encontradas.
 La solución deberá estar compuesta por todos los componentes de
hardware y software necesarios para su completo funcionamiento sin
necesidad de instalación de software ni hardware en algún equipo que
no forme parte de la solución.
 La solución deberá soportar la importación de certificados PKCS12,
deberá soportar la importación de certificados PEM.
 La solución deberá soportar 802.1q, 802.3ad, SSL v2 y v3.
 La solución deberá soportar des encriptación de las conexiones de SQL
sin instalar ningún software en el servidor de base de datos.
 La solución deberá notificar por medio una alerta cuando no pueda
desencriptar el tráfico SSL por no tener el certificado y clave privada
correctos.
 La solución deberá soportar la interpretación de los usuarios ocultos de
Kerberos en MSSQL sin instalar ningún software en el servidor de base
de datos.
 Las políticas de seguridad deben ser totalmente independientes de las
políticas de auditoría, permitiendo por ejemplo generar políticas de
seguridad sobre bases de datos que no se estén auditando las
transacciones SQL.
 La solución deberá incluir reportes, políticas de seguridad y de auditoría
predefinidas, además de que se deben actualizar de manera periódica.
123
J. SERVICIO DE MONITOREO DE ACTIVIDAD DE BASE DE DATOS (DATA

BASE MONITORING DBM) PARA LA SEDE PRINCIPAL Y PARA LA SEDE
SECUNDARIA
Condiciones Generales
 La solución estará conformada por equipamiento basado en plataforma appliance

(hardware y software de propósito específico) que proporcione las funcionalidades
de monitoreo de Actividades de Base de Datos (1 appliance) y consola de gestión.
Sin necesidad de la instalación de software y/o hardware en algún equipo adicional
que no forme parte de la solución.
 Proporcionar, con el correspondiente respaldo del fabricante, los servicios de
garantía de hardware, mantenimiento software y soporte técnico, para la solución
por el periodo de tres (03) años.
 Contar con autorización del fabricante o su representante para comercializar la
marca y brindar los servicios solicitados.
 Presentar una relación descriptiva de los componentes proporcionados, incluyendo
sus códigos comerciales.
Funcionalidades DAM (Database Activity Monitoring)
Características del appliance
 Cada equipo perteneciente a la solución debe poseer como mínimo las siguientes
características:
- Deberá soportar un Throughput mínimo de 500 Mbps
- Deberá soportar bypass de 3 segmentos como mínimo ante fallas.
- Deberá soportar aceleración de SSL de manera opcional.
- Deberá contar como mínimo con 4GB de RAM y 2 discos duros hot-swap de
500GB.
- Deberá contar con 4 interfaces 100/1000BASE-T Cobre.
- Deberá incluir dos interfaces de fibra 10G del tipo SR.
- Deberá contar con una interface independiente del tipo RJ45 para
administración.
- Deberá contar con un factor de forma de 2U y rackeable en gabinete
estándar.
- Deberá contar minino con un puerto USB.
 La solución deberá tener varios mecanismos de despliegue (deployment) como
puente transparente en línea (Transparent Inline Bridge) y fuera de línea (Non-
inline).
 La solución debe poder integrarse a la red en modo bridge (capa 2 del Modelo
OSI, las interfaces no requieren de una dirección IP) y las interfaces deben incluir
bypass/ failopen/ failclose configurable tanto para fallas de hardware como
software.
124
 La solución deberá tener un impacto a nivel de submilisegundos en la latencia de

la red.
 La solución deberá estar compuesta por todos los componentes de hardware y
software necesarios para su completo funcionamiento sin necesidad de instalación
de software ni hardware en algún equipo que no forme parte de la solución.
 Los equipos deben soportar el protocolo de gestión de red SNMP para ser
monitoreados por las herramientas propias y para que puedan generar alertas o
traps hacia el servidor respectivo.
 Cada equipo perteneciente a la solución debe poseer sistema de ventilación
redundante y fuente de alimentación redundante.
 Los equipos deberán operar con una alimentación 220 VCA 50 Hz, monofásica,
con toma normalizado IRAM de patas planas, con fuente incorporada en cada
unidad componente de cada nodo y sin transformador externo.
 El sistema debe permitir la integración y envío de alertas a terceros u herramientas
de correlación (SIEM).
Características de la solución de monitoreo de actividad de base de datos (DAM)
 La solución podrá incluir agentes livianos de software para monitoreo de actividad

sobre el servidor, sin depender de eventos nativos como registros de auditoría o
logs de los servidores a proteger.
 Los agentes deben soportar al menos los siguientes sistemas operativos: AIX 5.2,
5.3, 6.1; HPUX 11.11, 23, 31; Linux Red Hat 2.4, 5, ; Suse 10; Solaris 5.8,9,10;
Windows 2000, 2003 y 2008.
 El fabricante de la solución deberá contar con un servicio de investigación sobre
vulnerabilidades y amenazas informáticas, para lo cual deberá presentar la
documentación respectiva en el descubrimiento de las mismas.
 La solución deberá permitir aplicar políticas de seguridad a las distintas bases de
datos en forma independiente y por conjunto de aplicaciones definidas por el
administrador.
 La solución deberá detectar analizar y clasificar información sensible sobre la
bases de datos a proteger.
 Permita registrar todas las pistas de auditoría de manera detallada de todas las
actividades referentes a las bases de datos. Permita conocer por cada transacción
"quién, qué, dónde, cuándo y cómo".
 Las políticas de seguridad deben permitir definir los siguientes tipos de violaciones
de accesos:
- Acceso denegado a un método determinado por parte de una o varias
direcciones IP.
- Acceso a base de datos, esquemas, tablas y comandos SQL no permitidos.
- Operaciones sobre los datos no permitidas.
- Operaciones DDL críticas no permitidas.
 El manejo de políticas de seguridad deberá cumplir los siguientes requerimientos:
- Capacidad de aprender las políticas de seguridad adecuadas en base a la
observación del tráfico existente.
- Capacidad de relajación de las políticas mediante métodos automáticos
basados en el aprendizaje de la aplicación y detección de falsos positivos.
125
- Permitir la aceptación de peticiones legitimas que son consideradas como

falsos positivos por la solución.
- Permitir la definición de políticas específicas por cada aplicación.
- Permitir definir parámetros específicos referidos a ataques de Denial of
service.
 Deberá poder restringir una petición dependiendo de:
- Métodos utilizados.
- Protocolos y versiones de los métodos utilizados.
- Validación de SQL encoded characters.
- Cumplimiento estricto del RFC en la petición.
 Se entiende por cumplimiento estricto de RFC la posibilidad de configurar las
siguientes restricciones:
- Formato invalido de protocolo IP, TCP o particular de cada producto de base
de datos soportado.
- Falta de especificación de Método, Recurso o Versión.
 La solución deberá detectar y posibilitar la denegación de ataques clasificados
como Denial Of Service: Los atacantes pueden consumir recursos de los
servidores de las base de datos causando que usuarios legítimos no puedan
utilizar el servicio.
 La solución deberá detectar y posibilitar la denegación de ataques clasificados
como Insecure Configuration Management: Los atacantes pueden aprovechar
vulnerabilidades propias del servidor de base de datos como así también del
sistema operativo.
 La solución debe tener los siguientes modos de operación: normal y simulación,
este último no debe aplicar ninguna restricción sobre el tráfico cursante pero debe
generar las alertas en caso de detectar un incidente o violación.
 La solución debe posibilitar los análisis en tiempo real e histórico sin pasar por un
proceso batch.
 La solución deberá soportar la importación de certificados PKCS12.
 La solución deberá soportar la importación de certificados PEM.
 La solución deberá soportar 802.1q
 La solución deberá soportar 802.3ad
 La solución deberá soportar SSL v3.
 La solución deberá soportar desencriptar las conexiones de SQL sin instalar
ningún software en el servidor de base de datos.
 La solución deberá notificar por medio una alerta cuando no pueda desencriptar el
tráfico SSL por no tener el certificado y clave privada correctos.
 La solución deberá soportar la interpretación de los usuarios ocultos de Kerberos
en MSSQL sin instalar ningún software en el servidor de base de datos.
 La solución deberá soportar las siguientes base de datos, como mínimo:
- Microsoft SQL Server
- Oracle
- DB2 incluida versión con z/OS y DB2/400
- Sybase
- Informix
- MySQL
126
 El uso del producto no deberá consumir procesamiento o memoria del servidor de

base de datos monitoreado para analizar tráfico de bases de datos que no sea
generado localmente en la base de datos.
 Deberá soportar el Negative Security Model, es decir, permitir todas las
transacciones menos aquellas especificadas como ataques y/o Positive Security
Model, es decir, solo permitir aquellas transacciones definidas como válidas.
 Deberá soportar Positive Security Model mediante strict content-validation policies
y anomaly based detection.
 En el Positive Security Model deberá soportar configuración manual y automática.
Esta última debe ser implementado mediante técnicas de aprendizaje automático.
 El proceso de aprendizaje automático deberá permitir especificar un conjunto de
trusted host con el fin de no considerar ataques las peticiones provenientes de
dichos clientes.
 Permitir la definición del uso de aprendizaje automático y manual en forma
individual para cada aplicación de base de datos.
 El aprendizaje automático debe alcanzar los siguientes datos:
- Usuarios de base de datos
- Aplicaciones de base de datos
- Equipo donde reside la aplicación de base de datos
- Base de datos y esquemas consultados
- Comandos DML ejecutados (SELECT, UPDATE, INSERT y DELETE)
- Comandos DDL ejecutados
 La solución debe soportar la protección contra ataques conocidos mediante la
utilización de signatures de ataques. La solución debe contener signatures
predefinidos por el fabricante.
 La solución debe soportar la creación manual de signatures mediante expresiones
regulares. Estos deben ser aplicados junto a los predefinidos. No debe existir
diferencia en la aplicación de los signatures predefinidos y los creados en forma
manual.
 Los signatures podrán ser aplicados sobre un subconjunto de la aplicación base de
datos y o políticas. Dicho subconjunto deberá poder ser definidos mediante la
definición de base de datos, esquema, tablas y o columnas.
 La solución debe realizar updates automáticos de signatures.
 La solución debe contener signatures propias, estas deberán estar identificadas
por sistema operativo, aplicaciones y versiones a las cuales aplica. Se debe
permitir la activación particular de cada signature para cada aplicación de base de
datos y o política en forma independiente.
 La solución debe controlar la consistencia del protocolo de base de datos,
identificando ataques a la integridad de la conexión y la evasión de auditoría.
 La solución no deberá requerir ningún cambio en la configuración o contenido de la
base de datos. Esto incluye:
- Creación de usuarios en las bases de datos.
- Modificación de los permisos de los usuarios existentes.
 La solución debe ofrecer la posibilidad de realizar auditorías remotas de las base
de datos en forma periódica y notificar posibles errores de configuración o
desviaciones del baseline.
127
 La auditoría sobre todo el tráfico debe hacerse en tiempo real, sin importar el
volumen de tráfico
 Las auditorias remotas deben poder identificar:
- Búsqueda de vulnerabilidades conocidas.
- Nivel de parches, dependiendo de la versión de la base de datos.
 Las auditorias remotas no deben requerir la instalación de software en el servidor
de la base de datos.
 La solución deberá funcionar independiente a la activación de la auditoría nativa de
la base de datos.
 La solución deberá implementar un monitoreo efectivo de usuarios privilegiados
(DBA, super usuarios, desarrolladores, etc.)
 La solución debe proveer la facilidad para descubrir actividad de base de datos en
el tráfico monitoreado.
 La solución deberá ser capaz de descubrir servidores de bases de datos en la red
y realizar análisis de vulnerabilidades sobre el software y el protocolo de
comunicación, sin importar el sistema operativo sobre el que se encuentren
instaladas.
 La solución deberá proveer un servicio de protección del software de base de
datos mediante la aplicación de parches virtuales que impidan atacar las
vulnerabilidades encontradas en dicho software, independientemente de la
liberación de la corrección o actualización del fabricante.
 La solución debe evaluar y reforzar el análisis de vulnerabilidades, configuración,
comportamiento y rastreo de cambios.
 La solución debe poder encontrar datos sensitivos, cómo datos financieros y o
datos personales.
 La solución debe ocultar aquella información sensitiva que pueda estar
almacenada en las bases de datos monitoreadas de la vista de los administradores
de la solución por medio del enmascaramiento de datos. El enmascaramiento
puede ser total o parcial (últimos 4 digitos solamente, por ejemplo).
 La solución deberá poder interpretar el impacto de la ejecución de funciones
definidas por el usuario o store procedures.
 La solución deberá ofrecer la posibilidad de auditar las sesiones de base de datos.
La auditoría debe incluir los siguientes datos:
- Fecha y hora de la ocurrencia del evento.
- Información de la conexión TCP.
- Información de usuario de base de datos.
- Información de las tablas consultadas y los datos consultados (resultados de
la consulta).
- Usuario aplicativo (en el caso de estar disponible).
 Los datos de auditoría recolectados por la aplicación deben poder ser fácilmente
visualizados por un usuario sin conocimiento de SQL.
 La solución debe proveer una clasificación incorporada de los comandos
auditados. Las mínimas categorías que se deben incluir son:
- Gestión de usuarios
- Mantenimiento de la base de datos
- Mantenimiento de la aplicación
128
- Operación de la base de datos

- Operación de la aplicación
 La solución debe detectar los siguientes eventos de seguridad:
- Acceso de usuario desconocido
- Acceso de aplicación de base de datos desconocida
- Acceso de cliente (origen IP) desconocido
- Intento de ejecución de inyección de comandos SQL
- Ejecución de un Store Procedure desconocido
- Acceso a una base de datos y o esquema no autorizado
- Acceso a bases de datos, esquemas o tablas previamente definidas
(Negavite Access)
- Ejecución de comandos privilegiados (DDL).
- Ejecución de comandos SQL no autorizados.
K. SERVICIO DE CONSOLA DE GESTIÓN DEL WAF Y DBM PARA LA SEDE

PRINCIPAL Y PARA LA SEDE SECUNDARIA
 Todos los componentes de la solución de protección de base de datos deben poder

ser configurados, administrados y monitoreados en su totalidad, en forma
centralizada, a través de una solución centralizada de administración.
 Con una única consola de administración, poder realizar la administración
centralizada, cumpliendo con todos los puntos solicitados en este pliego tanto de la
solución WAF como la de la solución de protección de base de datos.
 La solución debe incluir un appliance dedicado para la administración centralizada,
en el cual residan el software de administración y los archivos log generados por los
diferentes componentes de la solución.
 El equipamiento de administración deberá realizar backup diario en forma automática
de toda la información almacenada en el mismo, incluyendo las configuraciones de
todos los módulos administrados y tener la capacidad de transferirlos
automáticamente a un servidor remoto utilizando los protocolos FTP y SCP.
 Permitir la definición de distintas políticas de seguridad, entendiéndose como tal, al
conjunto de reglas bajo el cual estará controlada una determinada aplicación.
 Permitir elegir la política de seguridad a ser implementada en una aplicación, como
así también la aplicación de políticas distintas para aplicaciones distintas.
Contemplar mecanismos que permitan fácilmente deshacer cambios efectuados por
una política de seguridad implementada en una aplicación.
 Toda la configuración, administración y monitoreo de la solución se efectuará a
través de las consolas.
 La comunicación entre las consolas y el servidor de administración debe
establecerse a través de un protocolo seguro con cifrado y autenticación por medio
de usuarios locales, certificados digitales y tokens.
 La solución de administración debe permitir asignación de perfiles de administración
por usuarios y estos perfiles deben permitir separar roles de administración y
monitoreo.
129
 El almacenamiento externo de logs de auditoría debe realizarse en archivos

encriptados y firmados digitalmente, para asegurar la integridad y confidencialidad de
la información.
 Proporcionar una vista centralizada de los logs, entendiendo como tal, la unificación
de los logs de la totalidad de los componentes que conforman la solución.
 La solución de administración permitirá la visualización en tiempo real de los logs de
actividad de los equipos de la solución, tanto alertas de seguridad como auditoría y
las modificaciones de configuración que los administradores pudieran efectuar.
 Permitir que un usuario de la solución defina que transacciones serán registradas.
 Permitir expandir el espacio de almacenamiento de logs por medio de una conexión
a un SAN externo de forma opcional.
 La solución de administración permitirá, como mínimo, lo siguiente:
Agregar, eliminar o modificar la configuración en un entorno gráfico
Modificar las reglas de los diferentes equipos
Efectuar la configuración de los componentes de la solución
Visualizar los registros de auditoría, alertas de seguridad y eventos del sistema.
 Generar reportes ajustables por el usuario.

 Incluir herramientas de registro y monitoreo de estadísticas del sistema, las cuales
deberán brindar información en tiempo real.
 Soporte de SNMP v2 y v3 para control y monitoreo.
 Soportar la generación de alarmas mediante:
Traps SNMP.
Email.
Syslog.
 Poseer alarmas automáticas con la información completa (detalle del problema,

configuración, log).
 El software de administración debe permitirá la visualización en tiempo real de los
logs correspondientes a los eventos que hayan violado una política de seguridad
determinada, detallando como mínimo:
IP origen.
Nombre de evento.
Severidad del evento.
Fecha y hora de ocurrencia.
Nombre de la aplicación asociada.
IP destino
Comando SQL.
130
Usuario de base de datos y sistema operativo (se está disponible).
Base de datos, esquema y tablas afectadas.
Descripción del motivo por el cual fue categorizada.
Puerto origen y destino
 La solución de administración permitirá la definición de filtros, sobre todos y cada uno

de los campos, soportando agrupaciones, permitiendo personalizar la información a
ser visualizada.
 El administrador podrá categorizar los distintos eventos en función de distintos
criterios a ser definidos.
 La solución de administración permitirá la notificación de un determinado evento,
producto de la aplicación de una política de seguridad mediante: Email, syslog y
traps SNMP, además de su visualización en la consola.
 Permitir la generación de reportes, de toda la actividad registrada en los logs, en los
formatos PDF y CSV.
 Permitir la elección de información a ser incluida en los reportes.
 La solución debe soportar la posibilidad de enviar los reportes generados a un
sistema de archivos de red remoto como NFS o FTP de manera automática y
programada.
 Capacidad de automatizar la generación de reportes y su posterior remisión por
email.
 Permitir la elección de información a ser incluida en los reportes.
La consola de administración debe incluir grupos predefinidos y actualizables de

forma automatizada de comandos SQL para facilitar la creación de políticas.
La consola de administración debe incluir grupos de tablas actualizables de forma

automatizada que incluyan tablas sensibles, como por ejemplo tablas pertenecientes
al systema de la propia base de datos.
 Con una única consola de administración, poder realizar la administración

centralizada, cumpliendo con todos los puntos solicitados en este pliego tanto de la
solución WAF como la de la solución de protección de base de datos.
L. SERVICIO ANTISPAM CON LAS SIGUIENTES CARACTERÍSTICAS PARA LA

SEDE PRINCIPAL Y PARA LA SEDE SECUNDARIA:
Alta disponibilidad con por lo menos 02 equipos físicos o “appliances”. La solución

propuesta deberá soportar la cantidad de usuarios solicitada.
Tamaño máximo de dos (02) unidades de rack por cada equipo físico (2RU)
Deberá soportar Alta Disponibilidad por protocolo SMPT a través de las prioridades en
los registros MX.
La Solución debe soportar la inspección de tráfico saliente y entrante.
Cada Appliance a utilizar en la Solución debe contener como mínimo dos procesadores
sixcore y 32 GB de memoria.
131
Enviar alertas para eventos críticos relacionados con hardware o software del producto a
los administradores del sistema.
Licenciamiento para veinte mil (20,000) buzones de correo
Soporte para al menos 75,000 buzones de correo electrónico, escalable.
Permite desplegar la solución de forma flexible ya sea en appliances físicos y/o virtuales
de acuerdo a las necesidades y crecimiento de la institución.
La consola de Administración debe permite tener visibilidad general del estado de la
solución:
•Estadística de tráfico entrante (correo entregado, bloqueado, rebotado, en
cuarentena, en cola)
•Estadística del tráfico saliente (correo entregado, bloqueado, rebotado, en cola)
•Estado del sistema
•Estado del Hardware (estado de las tarjetas de red, UPS, bridge mode, estatus del
RAID)
•Módulos de hardware (Temperatura, Voltaje, Ventiladores, Corriente, Seguridad
Física, Fuente de poder, Dispositivo de enfriamiento, memoria, Board, Subsistema
de administración)
•Estado de la red
•Estado de los servicios
•Detección por el protocolo SMTP
•Estado de las cuarentenas
•Listado de políticas que la solución está aplicando.
Capacidad de mostrar la actividad en periodos de tiempo (1hora, Un día, 1 semana,
2 semanas, 4 semanas).
Capacidad de generación de reportes:
•Correo
•Sistema
Capacidad de programar los reportes para generación automática (PDF, HTML,
texto)
Capacidad de personalizar la creación de reportes
Capacidad para:
a) Identificar correos en cuarentena
b) Para visualizar un correo específico de la cuarentena
c) Liberar un correo en cuarentena
d) Buscar correos encolados
e) Buscar correos encolados para entrega interna
f) Liberar un correo encolado
g) Encontrar cuales correos ha sido bloqueados
h) Encontrar cuales correos ha sido liberados
i) Buscar que usuarios han solicitado liberar un correo
Capacidad de filtrado de correo entrante y saliente
Capacidad de inspección de correo de forma simultanea por los protocolos SMTP
Capacidad de configuración de la solución en cumplimiento con el modo FIPS 140-2
Capacidad de configurarse puertos diferentes para los protocolos SMTP
Capacidad de activar la función de “Reverse DNS lookup” para el protocolo SMTP
Configuración de tiempos de espera cuando se envía un correo
132
Activación del logging detallado en la conexión SMTP

Definición de parámetros en el correo como:
•Tamaño máximo del mensaje
Capacidad de definir opciones para el procesamiento del tráfico SMTP Ej: Welcome
message.
Tener la capacidad de aplicar múltiples políticas por correo
Prevenir el escaneo de extensiones SMTP
Revisar el número de caracteres de las cuentas de correo de acuerdo a los RFCs
Permitir el enmascaramiento de correo, tanto para correo entrante como para correo
saliente.
Permitir la creación de listas blancas y negras por: IP o senders
Permitir la importación y exportación de listas
Activar el antirelay de correo, validando: Dominios, destino de correo, lista de
bloqueo, dominios locales.
Capacidad de importar lista de dominios autorizados
Permitir la autenticación de los destinatarios de correo: por listas o por LDAP.
Prevención de ataques de “Directory Harvest”
Permitir el envío de correo por medio de validaciones de: listas, dominios
autorizados, autenticación LDAP.
Permitir la definición de la cuenta de Postmaster o administrador de la solución de
correo.
Permitir la firma de correo por medio del estándar DKIM
Permitir el envío de correo usando registros MX
Utilizar los registros MX para realizar la entrega de correo a un dominio específico
Entregar el correo que no se ha podido entregar a un servidor específico
Permitir la creación de políticas para aplicar sobre el correo con las siguientes
categorías:
•Filtro de antivirus:
- Detección de anomalías por reputación
- Antispyware
- Detección de “packer”
•Antispam:
- Detección de correo spam
- Phishing
- Autenticación de remitente
- Detección por reputación
•Cumplimiento de políticas corporativas
- Filtrado de archivos
- DLP – Prevención de fuga de información, debe soportar con Licenciamiento
adicional.
- Filtrado por tamaño del correo
- Firma digital de correo, debe soportar con Licenciamiento adicional.
- Cifrado de correo, debe soportar con Licenciamiento adicional.
• Opciones como:
- Límites para los escaneos
- Manejo de contenido
133
- Parámetros de alertas
- Notificaciones y enrutamiento
- Consulta de reputación
- Cifrado, debe soportar con Licenciamiento adicional.
Permitir cifrar el correo ofreciendo un portal web seguro para la administración del
correo, debe soportar con Licenciamiento adicional.
Permitir aplicar acciones cuando se dispara una detección de alguno de los filtros.
Los criterios para poder disparar la detección de un correo deben realizarse por
medio de la combinación de los siguientes criterios:
- IP origen
- IP Destino
- Remitente de correo
- Remitente de correo enmascarado
- Destinatario de correo
- Listado de destinatarios de correo
- Alias de destino de correo
- Listado de alias de destino de correo
- Conexión de correo entrante
- Conexión de correo saliente
- Nombre de host destino
- Nombre de host origen
- Consulta a servidor LDAP
- Reglas de Políticas
Se debe tener la posibilidad de configurar niveles de detección para los módulos de

Antivirus y antispam para poder ajustarse al comportamiento de correo de la
organización.
Se tiene que tener la posibilidad de crear reglas de antispam por medio de
expresiones regulares
La sensibilidad de los filtros de reputación deben ser configurables
Permitir la detección y control de formatos MIME
Se debe permitir configurar la generación de alertas para que incluya el logo de la
compañía, o un texto personalizable o información de contacto.
El módulo de DLP debe realizar la identificación de información sensible por medio
del registro de documentos, diccionarios y expresiones regulares.
Permitir el cifrado de correo por medio de los siguientes métodos, debe soportar con
Licenciamiento adicional:
- Secure web Mail (sin necesidad de configuración en el destinatario de
correo). Debe incluir la respuesta segura.
- S/MIME
- Cifrado PGP
- TLS
Permitir la conexión a servidores LDAP como:

- Microsoft Active Directory
134
- Sun Directory Servers

- Lotus Domino
- OpenLDAP.
Permitir configurar la cuarentena “On Box” en la solución de correo.

Capacidad para activar o restringir el acceso remoto para la gestión de la solución
Se debe tener la capacidad de realizar el backup de la configuración
La solución debe permitir implementarse en esquemas de alta disponibilidad por
protocolo SMTP en base a las prioridades de los registros MX.
Se deben crear roles para perfilar los permisos de los usuarios
La solución debe permitir la creación de “virtual host” a fin de ver la solución como si
se tuvieran varias soluciones independientes de correo
La solución de permitir la generación de alertas para ser enviadas vía:

- Email
- SNMP
Permitir el envío de eventos vía syslog a soluciones SIEM
La solución para asegurar el correcto funcionamiento y compatibilidad el fabricante
del motor del Antivirus debe ser el mismo del motor de AntiSpam.
La solución debe contar con una tasa de falsos positivos de 1 en 1 millón.
La solución debe tener tasa de detección del 99% de Spam.
El módulo de reporte debe estar contenido en los Appliance propuesta, no se
aceptaran soluciones en servidores adicionales.
La solución debe integrarse con gateway de cifrado de correo del mismo fabricante.
La solución debe integrarse con solución líder en el mercado de Data Loss
Prevention que ofrezca protección en: el Endpoint, Network y Storage.
M. IMPLEMENTACION DE SGSI BASADO EN LA ISO/IEC 27002:2013
La Entidad requiere adecuarse a la norma técnica peruana basada en la ISO/IEC

27002:2013.
Por lo tanto, el Contratista deberá:
1) Analizar el estado de Seguridad de Información de la Entidad

considerando:
135
✓ Revisión Documentaria: El Contratista deberá realizar la revisión de

la información documentada sobre Seguridad de la Información que
permitan realizar un diagnóstico sobre estado de en qué se encuentra
la actualmente la Entidad.
✓ Relevamiento de información mediante entrevistas: El Contratista

realizará entrevistas mediante cuestionarios basados en el desarrollo
de una matriz sobre los controles de la norma ISO/IEC 27002:20013
dirigidos a personal de TI y usuarios principales con la finalidad de
obtener un reporte de estado situacional y madurez respecto a norma.
✓ Entregable: El contratista deberá entregar un informe con los

resultados analizados del nivel de cumplimiento con respecto a la
norma ISO/IEC 27001:2013 y los controles aplicables de la norma
ISO/IEC 27002:2013, el plazo máximo de entrega es de sesenta días
(60) posteriores a la firma del contrato.
2) Realizar una Gestión de Riesgos que considere:
✓ Análisis de Riesgos que incluya:
1) Inventario de activos de TI en donde el contratista deberá realizar

el inventario de los activos que soportan los procesos de TI con la
finalidad de determinar su criticidad.
2) Identificación de amenazas y vulnerabilidades a las que están

expuestos los activos identificados y que pueden afectar el
desarrollo de las operaciones de TI.
3) El contratista deberá Identificar el nivel de exposición al riesgo de

los activos por medio de la determinación de impacto y
probabilidad de ocurrencia en relación a las amenazas y
vulnerabilidades identificadas. La metodología a utilizar será la
136
que exista en el cliente caso contrario se utilizará una metodología

basada en la norma ISO/IEC 27005.
✓ Tratamiento de Riesgos que incluya:
1) La definición de controles de seguridad a implementar para mitigar

los riesgos identificados, determinando las medidas de seguridad
a implementar en relación a controles de la norma ISO/IEC
27002:2013.
2) El establecimiento de acciones, plazos y responsables para

implementar controles, estableciendo las tareas, los tiempos de
implementación e identificando a los responsables que permitan el
cumplimiento de las medidas de seguridad.
✓ Entregable que incluya el Informe con Resultados de Gestión de

Riesgos considerando tanto el análisis como el tratamiento, el plazo
máximo de entrega es de sesenta días (60) posteriores a la firma del
contrato.
Consideraciones adicionales:
✓ La cobertura será el Área/Departamento de Tecnologías de Información
✓ La cantidad de procesos críticos máximos a evaluar será cuatro (04)
✓ Esta parte del servicio no deberá durar más de 2 meses, desde la firma del
contrato.
137
✓ El personal propuesto por el Contratista para realizar este servicio deberá

tener como mínimo las siguientes certificaciones vigentes, se acreditará con
copias notariadas de las certificaciones señaladas, adjuntas a la propuesta
técnica::
1) Lead Auditor ISO27001
2) Chief Information Security Officer (C|CISO)
N. INGENIERIA DE DATOS Y LA IMPLEMENTACION Y PROVISION EN USO DE

UN SISTEMA DE PREVENCION DE FUGA DE INFORMACION (DLP)
La Entidad requiere como parte del servicio la identificación de los activos de

información críticas en la Entidad, de los dueños de dicha información, de definir
la estrategia de clasificación de la información así como definir qué roles o
usuarios podrán tener acceso a la información, con determinados permisos de
acuerdo a su clasificación.
Adicionalmente, como parte de este servicio el contratista deberá implementar

una herramienta de Prevención de Fuga de Información con licenciamiento para
mil (1000) agentes que le permita:
 Brindar un mecanismo de control y seguimiento para demostrar que los

empleados sean responsables por la pérdida de datos, accidental o
malintencionada, que puede ocurrir por medio de canales comunes
(aplicaciones y dispositivos).
 Brindar a la Entidad de visibilidad y control total sobre la transferencia de
datos, monitoreando e impidiendo la perdida de datos confidenciales.
 Monitorear eventos en tiempo real, aplicar políticas de seguridad
centralizadas para regular y restringir el uso y la transferencia de datos
confidenciales y generar informes detallados.
 Evitar la pérdida o el escape de datos sin interrumpir las actividades de
negocios, aunque los datos sean modificados, copiados, pegados,
comprimidos.
138
 Contar con algoritmos de identificación digital y las opciones de marcado de

contenido (ubicación, aplicación, tipo de archivo, expresiones regulares,
palabras-clave y otras).
 Contar con una administración centralizada que permita el monitoreo de los
eventos en tiempo real y que edemas permita generar detalles de incidentes
para comprobar las medidas de conformidad con las normas legales e
internes.
 Soportar Microsoft Windows 7 en versiones 32 y 64 bits, Windows 8,
Windows 8.1, Mac OS X.
 Controlar el acceso, la impresión y la transferencia de datos confidenciales
por e-mail, Webmail, aplicaciones P2P, mensajes instantáneos, Skype, HTTP,
HTTPS, FTP, USB, CD, DVD y almacenamiento removible. Debe soportar
IPV6.
 Incluir, a nivel de punto final, servidores de archivos, y servidores de correo
electrónico para las opciones de control considerando:
- Monitorear(permitir la transferencia de datos)

- Impedir/Evitar (bloquear la transferencia de datos)
- Alertar(notificar a los administradores y usuarios finales)
 Controlar y bloquear datos confidenciales copiados en dispositivos USB,

unidades flash y otros dispositivos de almacenamiento removible
 Brindar una Visibilidad completa, es decir, debe reunir todos los datos que las
empresas precisan (remitente, destinatario, fecha, hora, evidencia de datos y
otros), para análisis, investigación, auditoria, control de daños y evaluación de
riesgo a través de las herramientas de generación de informes de incidentes y
monitoreo en tiempo real.
 Brindar Reportes que puedan ser revisados en tiempo real y poder ser
exportados.
 Brindar la habilidad de bloquear, monitorear, almacenar la evidencia y brindar
reportes sobre la información clasificada.
 Proveer reportes de los eventos sucedidos con la información clasificada vía
email y clasificarlos por política de DLP.
 Proveer reportes por política de DLP y numero de eventos sucedidos en cada
política, estos reportes deben brindar filtros y poder obtener la información por
día, semana, mes.
 Integrarse con Active Directory, las políticas deben poder aplicarse en forma
individual y grupal.
 La consola debe permitir administración granular, es decir, se podrá crear
cuentas con diferentes niveles y derechos de administrador.
 La consola debe permitir al administrador el envío y modificación de políticas
y su replicación a los agentes en forma automática.
 Brindar el bloqueo de grabado en CD/DVD.
139
 Permitir el envío del agente en formato de archivo MSI o EXE para ser
enviado por otras herramientas de administración y distribución.
 Brindar en el reporte la ubicación del archivo monitoreado y/o Bloqueado.
 Brindar las opciones de excepciones y exclusiones y estos pueden ser
asignados a diferentes grupos de usuarios.
 Integrar eventos de red y de punto final para identificar a los usuarios
riesgosos y su comportamiento.
 Debe ser escalable.
 Estar presente al menos en el último cuadrante mágico de gartner como líder
dentro de la categoría de Prevención de Fuga de Contenido.
 Permitir guardar un historial de todos los accesos a los archivos que se
encuentran ubicados en carpetas compartidas de servidores de forma que se
pueda relacionar los incidentes con todos los posibles accesos a los archivos
de datos.
 Tener la capacidad para definir las políticas por cualquiera de los siguientes
criterios: contenido, remitente/receptor, características de archivo, y protocolo
de comunicaciones.
 El registro configurable en las políticas de la severidad del incidente basado
en:
- Cantidad de registros de datos expuestos en un incidente

- Remitente o receptor específico.
- Protocolo de red utilizado.
- Registros específicos que fueron expuestos.
- Documentos específicos que fueron expuestos.
 Soportar reglas de inclusión y de exclusión basadas en directorio de datos

corporativos para reforzar las políticas basándose en cualquier atributo del
remitente o del receptor de la información tales como unidad de negocio,
departamento, nivel de responsabilidad, situación del empleado, nivel de
acceso del usuario, ubicación geográfica, o empleado especifico o usuario
externo.
 La solución debe ofrecer la posibilidad de integrar directamente con Active
Directory para crear reglas de detección por usuario o grupo.
 La solución debe incluir una biblioteca de plantillas de políticas predefinidas
de detección orientadas al cumplimiento con regulaciones como HIPAA, SOX,
PCI, así como mejores prácticas, incluyendo reglas que contengan léxicos
pre-definidos para las regulaciones comúnmente requeridas.
140
 Debe tener la posibilidad de extraer y examinar el contenido del texto de los

archivos y de anexos con información confidencial que sean detectados.
 La solución debe poder examinar recursivamente el contenido de los archivos
tipo ZIP y TAR e identificarlos a través de la firma digital, aun cuando esté
integrado en varios niveles de compresión.
 La solución debe permitir manejar archivos y anexos de correo muy grandes
(20MB y más) durante el proceso de detección del contenido.
 La solución debe proporcionar un método de detección eficaz basado en
Firma Digital de los Datos (Data Fingerprinting) para cualquier tipo de dato,
tales como expedientes del cliente.
 La solución debe proteger sobre una sola política por lo menos 10 millones de
filas de contenido específico de información sensitiva de una Base de Datos
(tal como datos del cliente o del empleado) sin el uso de palabras clave,
passwords o patrones.
 El método de detección de datos debe especificar qué columnas de una base
de datos constituyen un elemento a proteger dentro de una o varias políticas
específicas.
 El método de detección de firmas digitales de los datos debe distinguir entre
campos información que pertenecen al mismo registro o fila de una base de
datos contra diversas filas de la misma base de datos.
 El método de detección basado en la firma digital de los datos debe obtener
coincidencias con solo el nombre y el apellido de las personas registradas en
una base de datos de migrantes o empleados, sin la necesidad de un contar
con un número, identificador o patrón (ej., RFC, Número de Pasaporte).
 La solución debe distinguir entre diversos tipos de números aunque estos
tengan la misma cantidad de dígitos sin la necesidad de que exista una
palabra clave como “Pasaporte”. Por ejemplo, distinguir un número de
pasaporte de nueve dígitos que pertenece a un migrante de un número de
teléfono de nueve dígitos sin la presencia de una palabra clave (ej., “SSN").
 La solución debe definir una política con datos muy específicos que pueda ser
comparada contra un conjunto de datos dado, (ej., cualesquiera 3 de 5
campos de una Base de Datos que en sus combinaciones particulares no
constituyan una violación).
 Debe poder normalizar en la detección cualquier variante de presentación de
la información a proteger.
 La solución debe detectar la información sin importar que el orden de los
datos haya sido alterado.
 La solución debe permitir indexar 500 millones de filas datos fuente y detectar
contra este índice con la misma velocidad que para una fuente de datos con
100 filas.
 La solución debe permitir la aplicación de un método de detección generando
una Firma Digital a partir de un documento tales como dibujos de CAD,
archivos en PDF, DOC, XLS, PPT
 La solución debe tener la capacidad para proteger al menos 100.000
documentos específicos con contenido sensible (tal como propiedad
intelectual, código fuente, documentos financieros, etc.) sin la dependencia de
palabras claves o patrones.
 El método de detección basado en Firma Digital de Documentos debe
soportar la detección del contenido si este es idéntico o en porciones de
contenido o en diversos formatos de archivo. Por ejemplo, si un documento
141
está en el formato de Microsoft Word, la solución detectará una violación

aunque el mismo texto se ha cortado y pegado en un email directamente o se
ha convertido a formato PDF.
 La solución debe soportar la detección coincidencias de derivados o de
versiones de cortado y pegado del contenido de documentos específicos tales
como código fuente, párrafos específicos, documentos de diseño,
documentos de comercialización o financieros.
 Debe ser posible definir un umbral o porcentaje mínimo requerido de
coincidencia de un documento para considerar que existe una violación a la
política configurada (ej., se registra una violación a la política si y solamente si
el 50% o más de un documento es encontrado). Esta función debe ser
configurable por cada política.
 Debe ser posible definir "listas blancas" sobre la información y contenidos
protegidos por una política para evitar que sean detectados y se generen
eventos “falsos-positivos”
 La solución debe incluir un método de detección por aprendizaje automático,
que requiere sólo un pequeño conjunto de documentos de muestra para
permitir la detección precisa de otros documentos similares.
 La solución debe soportar la detección vía descripción de contenidos usando
reglas completamente adaptables con palabras y frases claves no solo como
palabras independientes sino también como palabras dentro de frases
completas u otras palabras.
 Debe ser posible configurar dentro de las políticas listas de palabras clave o
diccionarios para la detección por lo menos de diez mil (10,000) entradas sin
la degradación del rendimiento en la detección.
 Debe soportar la detección basada en expresiones regulares completamente
adaptable.
 Debe soportar la detección de eventos combinando la coincidencia con
patrones de datos y validaciones específicas del contenido que desea ser
detectado. Por ejemplo, puede detectar patrones comunes de un dato
estructurado combinado con validaciones de digito verificador para asegurar
que sea un dato válido.
 Debe poder detectar la presencia o transmisión de archivos cifrados.
 Debe soportar la detección basada en un tipo de documento particular,
incluso si el remitente o usuario ha cambiado la extensión o el nombre del
archivo.
 La respuesta a incidentes de fuga de información deberá:
142
- Enviar las alarmas de incidencia vía email.

- Notificar automáticamente a remitentes o a los jefes editados cuando un
usuario ha violado una política
- Proporcionar notificaciones en pantalla a los usuarios administradores de
la consola sobre violaciones en "puntos finales". Los usuarios infractores
deben poder proporcionar una justificación de su conducta, misma que
será adjuntada al incidente en cuestión.
- Ejecutar diferentes acciones de respuesta para diversos casos dentro de
una misma política dependiendo de diversos parámetros, tales como la
política violada, la severidad del incidente, el número de coincidencias
encontradas, el protocolo de comunicaciones usado, el estado de
conexión del "punto final", y el método de detección utilizado.
- Permitir el registro y modificación del flujo de trabajo para el seguimiento
y la remediación de un incidente (ej., códigos de estado, atributos,
asignación de colas, severidad).
 Los incidentes registrados deben incluir una indicación clara de cómo la

transmisión de información o el archivo especifico violó la política en cuestión
(en tiempo real, apenas la política fue violada), incluyendo la identificación
clara del contenido identificado como coincidencia con la Política.
 El Flujo de seguimiento para la respuesta a incidentes deberá:
- Mostrar claramente información de la identidad del remitente (tal como

nombre completo, nombre del gerente, unidad de negocio, cuenta de
correo).
143
- Permitir el abrir los anexos originales de la información confidencial

anexada a un incidente directamente de la interfaz web de la consola de
administración.
- Permitir el definir diferentes niveles de acceso a los incidentes, de tal
forma que la política pueda ser configurada para que solo ciertos
usuarios puedan tener acceso y asignación para la remediación de cierto
grupo de incidentes.
- Permitir la definición y consulta directamente en la consola (no a través
de un reporte) de un “caso” o un grupo de incidentes encontrados para
ser relacionados en la ejecución de una investigación.
- Permitir el exportar un grupo de incidentes fácilmente dla solución a un
formato fácilmente legible por una persona sin acceso al sistema (ej., xls,
txt).
- Por cada Política permitir la modificación de forma manual de la acción de
respuesta del flujo de trabajo para la remediación de un incidente (ej.,
códigos de estado, atributos, asignación de colas, notificaciones.).
- Permitir la creación de atributos especificados por el usuario sobre los
incidentes que le permitan correlacionarlos al proceso de remediación
existente.
 Podrá controlar el acceso a los incidentes segregándolos por el rol de acceso

y políticas violadas.
 Crear roles de usuario:
- Que permitan el acceso a los incidentes basado en la unidad de negocio,

el país o la ubicación geográfica del empleado que generó el incidente.
144
- Que permitan el acceso a los incidentes basado en la severidad o la

acción de remediación asignada al incidente.
- Con impedimentos para visualizar la información de identidad del infractor
para proteger la privacidad del empleado.
- Con impedimentos para visualizar el contenido del mensaje que violó la
política para reducir la difusión de información sensible de la
organización.
 Crear roles diferentes para la administración técnica de servidores,

administración de usuarios, creación y edición de políticas, remediación de
incidentes, y visualización de incidentes para los datos en discos duros, en la
red, o en el "punto final".
 Generar reportes de:
- Diferentes formatos y filtrados por diversas variables y atributos.

- Resumidos y agrupados por diversas variables y atributos.
- Incidentes y tendencias de incidentes por departamento o por
organización.
- Tendencia, incluyendo resúmenes para diferentes segmentos de tiempo y
gráficos de tendencia.
145
 Que los reportes sean:
- Exportados a formatos como una hoja de cálculo o HTML.

- Guardados y almacenados para su uso posterior.
- Compartidos o manipulados dependiendo del rol del usuario.
- Desplegados gráficamente en pantalla o impresos.
- Enviados por correo electrónico directamente desde la consola sin hacer
reformateo manual.
- Podrán ser configurados para que muestren el formato o imagen que la
organización desee utilizar.
- Generados a partir de datos históricos de incidentes.
- Accesados y obtener el detalle con solo hacer click en un dato de
resumen dentro del mismo reporte, direccionando al usuario a la vista de
detalle de un incidente.
- Generados a partir de un grupo de reportes predefinidos ya incluidos en
la solución
 La herramienta deberá tener la capacidad de creación de múltiples usuarios

dentro de la solución, mismos que deberán tener la opción de ser asignados a
varios roles.
 La herramienta deberá tener la opción de crear roles de acuerdo a las
siguientes características:
146
- Cualquier combinación de permisos.

- Acceso a las funciones de administración de la solución pero no a las de:
construcción de políticas, administración de incidentes o información de
empleados.
- Creación de políticas pero no activación de las mismas en la red de
datos.
- Visualización de incidentes pero que no modificación o remediación de
los mismos.
- Visualización de reportes resumidos, reportes de comportamiento y
reportes ejecutivos pero no visualización de incidentes individuales.
 La herramienta deberá soportar la integración con directorios para la

resolución de identidades de remitentes y dueños de archivos.
 Las inspecciones deberán actualizarse fácilmente tan pronto como el
directorio de resolución de identidades o las fuentes de información cambien.
 La arquitectura de le herramienta, deberá soportar sitios remotos o usuarios
de red distribuidos a través de muchas ubicaciones diferentes.
 La solución debe tener la capacidad de que todos los componentes de la red
puedan ser configurados y administrados a través de una única y centralizada
interfaz de administración.
 La solución deberá poder almacenar cualquier dato capturado y bitácoras en
una base de datos centralizada.
 La solución debe permitir bloquear correos electrónicos que violen una
política de confidencialidad.
 La solución debe permitir poner en cuarentena correos electrónicos que
violen una política de confidencialidad, integrándose con una Solución Líder
AntiSpam.
 La solución permite enviar notificaciones a los administradores y a los
usuarios del correo bloqueado o puesto en cuarentena.
 La solución debe permitir identificar rápidamente que maquinas contienen
datos confidenciales sin la necesidad de realizar un escaneo completo de
toda la data en la máquina.
147
 La solución debe permitir escanear servidores de archivos Windows, equipos

de escritorio y portátiles.
 La solución debe permite escanear Unix File System.
 La solución debe permitir escanear bases SQL, Lotus Notes
 La solución debe permite escanear servidores Microsoft Exchange, LiveLink,
Documentum, SharePoint 2007 y SharePoint 2010
 Los agentes que se instalarán en los endpoints deberán tener la capacidad de
detectar de forma local eliminando la necesidad de transmitir datos a través
de la red de datos.
El servicio de implementación de dicha herramienta de Prevención de Fuga de

Información/Contenido (DLP) deberá incluir:
 El especificar donde se colocarán los componentes de infraestructura DLP

 La configuración de cada una de los componentes de la solución DLP
incluyendo cualquier integración asociada, basada en las mejores prácticas
de industria y los requerimientos del negocio
 El diseño de las políticas requeridas para proteger la información de la
institución.
 Como configurar cada política DLP basada en los datos / requerimientos de
La Entidad
 La configuración y diseño general óptimo.
 La Instalación y configuración de la infraestructura DLP requerida para el
Despliegue.
 La Integración con el switch de red (SPAN/TAP), MTA de e la Entidad.
 La Validación de la infraestructura DLP y funcionalidad de los agentes
Endpoint en puntos finales.
 El crear instalación de scripts de DLP en puntos finales.
 La distribución del agente de punto final
 La Distribución de su infraestructura de detección
 La Integración de su infraestructura de detección y prevención con los
servidores y equipos de comunicaciones de la Entidad.
 El servicio de implementación debe ser liderado por un personal con
certificación técnica emitida por el fabricante del software.
148
O. INGENIERÍA DE ROLES Y LA IMPLEMENTACIÓN Y PROVISIÓN EN USO DE UNA

HERRAMIENTA DE GESTIÓN DE IDENTIDADES:
La Entidad requiere contratar un servicio de Ingeniería de Roles donde el

Contratista realice lo siguiente:
 Identifique los roles y perfiles de acceso a 5 aplicaciones (definidas para la

implementación) de acuerdo a las funciones del usuario.
 Identifique por cada rol los siguientes datos:
- Descripción
- Criterio de pertenencia
- Conjunto de recursos asociados
- Permisos de acceso a recursos
- Reglas de negocio (basadas en información de los atributos de la
identidad).
 Defina los procedimientos de administración y mantenimiento de los roles
 Capacite a 4 personas de la Entidad en la administración y mantenimiento a
la estructura de roles
 Entregue un Repositorio de Roles Organizacionales (Base de Datos)
La Ingeniería de roles deberá estar acotada a un máximo de mil (1,000)

roles/posiciones, cien (100) áreas/departamentos y un máximo de 5 aplicaciones
considerándose únicamente la sede principal (Lima).
El contratista deberá detallar en su propuesta técnica, la metodología a usar

para la ingeniería de roles, la cual debe regirse por el marco del proceso que se
encarga de asegurar que la Administración de Usuarios se realice de una
manera efectiva y eficiente definiendo instrucciones de trabajo, políticas,
estándares y objetivos de operación.
El Contratista deberá realizar y detallar como mínimo las siguientes etapas de la

Ingeniería de Roles:
 Relevamiento de información
 Definición de Repositorio de Información.
 Definición del plan de definición de roles.
 Definición de Arquitectura.
 Relevamiento de información de los roles.
 Definición de Árbol Organizacional.
 Definición de Roles Organizacionales.
 Definición de Accesos.
 Validación de roles.
El contratista, al finalizar el servicio, deberá definir y entregar lo siguiente:
 Plan de gestión del proyecto

149
 Metodología de Gestión de Roles

 Repositorio de roles organizacionales (Base de Datos)
 Documentación del proyecto.
 Información del repositorio
 Procedimientos de control
Esta parte del servicio denominada Ingeniería de Roles deberá realizarse en un

tiempo no menor a 4 meses, contabilizados desde la firma del contrato
Posterior a realizar el servicio de Ingeniería de Roles, el Contratista deberá

implementar y brindar en uso, una herramienta de Gestión de Identidades que
permita automatizar el flujo de Altas/Bajas y Modificaciones de usuarios en 5
aplicaciones críticas de la Entidad. Dicha herramienta, que es componente de
este servicio, deberá permitir:
- Crear, eliminar, desactivar, actualizar y administrar usuarios en múltiples

plataformas y aplicaciones.
- La reconciliación de cuentas de usuario en casos de usuarios con cuentas
diferentes en distintas aplicaciones (Funcionalidad de Auto-discovery).
- El concepto de aprovisionamiento de usuarios basado en reglas en forma
dinámica.
- Desarrollar conectores de aprovisionamiento para aplicaciones propietarias.
- En aquellos casos en que la solución no cuente con conectores nativos de
aprovisionamiento para determinados sistemas y/o aplicaciones, la solución
deberá permitir a La Entidad el desarrollo de conectores mediante APIs del
fabricante, LDAP y ODBC entre otras. Especificar el detalle para la
adquisición de un conector ad hoc.
- Los conectores nativos de la solución NO debe ser intrusivos.
- La herramienta deberá brindar la posibilidad de programar distintas fechas y
horarios para la ejecución de diversas tareas.
- Deshabilitar o eliminar automáticamente cuentas de usuario basado en
reglas definidas por la organización.
- El diseño y especificación de los workflows en forma gráfica, sin necesidad
de programar en lenguaje de scripting para poder definir los workflows.
- Workflows de aprobación en serie.
- Workflows de aprobación en paralelo.
- La integración con terceras partes vía web services, soportando estándares
abiertos como WDSL y SOAP debiendo poder exponer todas las tareas de
administración de identidades para que puedan ser integradas con otras
aplicaciones.
- Agregar en un campo de texto una anotación, observación o justificación
Ante una aprobación, no aprobación, devolución, cancelación o anulación de
una solicitud.
- Tomar decisiones de quién debe aprobar un determinado proceso basado
en los atributos del usuario que está solicitando la aprobación.
- Los conectores nativos de la solución NO debe ser intrusivos.
150
- La herramienta deberá brindar la posibilidad de programar distintas fechas y

horarios para la ejecución de diversas tareas.
- La solución deberá soportar El concepto de aprovisionamiento de usuarios
basado en roles.
- La solución deberá proveer modelos de ejemplo de workflows de aprobación
pre-configurados que aceleren la implementación de la solución.
- La solución deberá ser capaz de detectar cualquier tipo de cambios
realizados en forma directa en los ‘endpoints’ por fuera del proceso normal
de la gestión de identidades tales como creación de cuentas nuevas,
atributos modificados, etc.
- La solución deberá tener la capacidad para gestionar las altas y bajas
masivas de cuentas mediante la lectura de archivos csv, xml o txt.
- La solución deberá poder modificar en forma masiva los atributos de un
usuario.
La implementación de dicha solución deberá incluir la implementación de

agentes en máximo 5 aplicaciones de la Entidad: Active Directory, Microsoft
Exchange, 02 Web Services y la Aplicación de Recursos Humanos (o la Fuente
Autoritativa de la Entidad).
Para la implementación, el Contratista deberá considerar al menos 3 personas

dentro del proyecto, las cuales deberán contar con experiencia probada
implementando la herramienta de Gestión de Identidades que el Contratista
utilizará para implementar lo requerido por la Entidad; por lo cual el Contratista
deberá presentar constancias firmadas por al menos 3 clientes en donde se
especifique que el personal que el Contratista considera ha realizado
satisfactoriamente la implementación de dicha herramienta en sus
organizaciones.
Adicionalmente el Contratista deberá incluir el siguiente servicio de soporte remoto por

temas relacionados a la implementación de Gestión de Identidades realizada por el
Contratista con la finalidad de solucionar o absolver alguna duda relacionada a dicha
implementación. El servicio de soporte para la Gestión de Identidades deberá ser bajo
la siguiente estructura:
o La atención será de 7x24x365 para los casos Prioridad 1 (Sistema caído). Para
los casos que se clasifique el requerimiento como un problema mayor, que
impida usar funciones importantes del producto, y que produzca un severo
impacto en las operaciones de La Entidad, los ingenieros del contratista
responderán el requerimiento en el período acordado en el presente documento
según la severidad del problema, el horario de atención será de 5x8, lunes a
viernes de 9am a 6pm.
o Los contactos de soporte inicial por parte del contratista se definirán una vez
finalizado el proyecto de implementación.
o El servicio deberá incluir servicios de resolución de problemas técnicos y
consultas acerca de los productos implementados, utilizado por La Entidad en el
ambiente de producción.
151
PRESENTACIÓN Y RESOLUCIÓN DE INCIDENTE
Dentro del servicio de Gestión de Identidades, Un « incidente » se definirá como

un solo problema de soporte y los esfuerzos razonablemente aceptables para su
resolución. Es indivisible. Si un problema incluye otros, cada uno de ellos se
considerará como un incidente distinto. Antes de que el contratista suministre
soporte técnico sobre un incidente, La Entidad y los ingenieros de mantenimiento
del Contratista deberán estar de acuerdo sobre el problema y los elementos de
una solución aceptable. Antes de su resolución, un incidente puede requerir
muchas llamadas telefónicas e investigaciones fuera de línea. La Entidad tendrá
un acceso privilegiado con los ingenieros de asistencia del Contratista. La
gravedad del incidente determinará los niveles de respuesta dentro del
Contratista, y los plazos de respuesta estimados del Contratista están definidos la
sección “Severidad del incidente y plazos de respuesta.”
Acceso a distancia para el Soporte de Gestión de Identidades
En el procedimiento de resolución, el Contratista tendrá acceso al sistema de La

Entidad mediante una conexión a distancia para analizar los problemas. El
acceso es necesario para la resolución de los problemas a distancia La Entidad
será informada previamente al respecto. El Contratista podrá utilizar herramientas
para facilitar el diagnóstico y/o la resolución del problema. Todas las
informaciones analizadas por El Contratista deben ser consideradas como
informaciones confidenciales según las disposiciones Confidencialidad tratadas
en el presente documento. Si La entidad no suministra un acceso a distancia tras
haber sido solicitado por El Contratista, El Contratista no podrá ser considerado
responsable de la resolución de los problemas.
Coordinación multi contratistas para el Soporte de Gestión de Identidades

El Contratista trabajará con sus demás colaboradores claves para resolver los
problemas que surjan en un entorno heterogéneo. Cuando los problemas
detectados en los productos implementados están vinculados a interacciones
con productos de otros contratistas y La Entidad tiene un contrato de
asistencia con este contratista, El Contratista compartirá las informaciones del
diagnóstico y ofrecerá su colaboración para hallar una solución.
Mantenimiento en el emplazamiento para el Soporte de Gestión de Identidades

En algunos casos, La Entidad podrá solicitar una intervención en el
emplazamiento. El soporte en el emplazamiento será función de la
disponibilidad de los recursos de El Contratista, y las tareas realizadas
variarán en función de la situación, el entorno y el impacto del problema en la
actividad.
Alcances
El servicio de para el Soporte de la Implementación de Gestión de

Identidades inicia al finalizar la implementación y tendrá duración durante la
vigencia de este contrato.
Durante el tiempo de garantía de soporte no se tendrá límite de horas.
152
El soporte está sujeto al siguiente alcance:
 Consultas
- De acompañamiento a la solución implementada en producción.

- Sobre funcionamiento de productos que hacen parte de la solución.
- Consultas sobre configuración de productos que hacen parte de la
solución.
 Soporte preventivo
- Se realizará un reporte bimestral con la revisión de los diferentes

componentes (software) de la solución a solicitud de La Entidad. En
el reporte contendrá un resumen del estado en que se encontraron
los componentes revisados y las acciones tomadas en la resolución
de los problemas detectados, en caso de que se presenten, así
como las recomendaciones para la prevención de incidentes.
 Soporte correctivo
- Que pueden ser reportados vía e-mail o vía telefónica.
 Actualizaciones
- Instalación de fixes de los productos que componen la solución,

siempre y cuando se haya presentado un problema que el fix
solucione.
 Asistencia con el reporte y solución de problemas
- Asistencia para el diagnóstico de problemas. Esto es básicamente

identificar si se trata de configuración, defectos de producto.
- Asistencia y colaboración con la documentación de problemas.
- Asistencia y colaboración con la práctica de pruebas.
- Asistencia y colaboración con la solución de problemas asociados
con la configuración.
- Asistencia y colaboración con la solución de problemas asociados a
los productos implementados que tengan que ser vistos por el
fabricante.
153
Severidad Definición Tiempo de

atención
1 El sistema no puede ser utilizado. El sistema esta Dentro de las
caído o detenido. primeras dos
horas
2 El sistema está activo, y se ejecuta, pero el 8 horas como

problema tiene una repercusión importante sin máximo
posibilidad de evitarlo. El problema tiene
consecuencias importantes cuando hay una
operación en curso, pero de manera alterada
significativamente o en una función utilizada para
ejecutar tareas consideradas como importantes
más no esenciales para las operaciones
inmediatas de La Entidad.
3 El sistema está activo y se ejecuta, y el problema 12 horas

tiene únicamente una repercusión limitada o sin como máximo
importancia. Hay consecuencias en la
productividad a largo plazo, pero sin interrupción
inmediata del trabajo.
4 El problema no tiene una repercusión importante 24 horas

para La Entidad, o la función no es importante y como máximo
se utiliza rara vez.
Severidad del incidente y plazos de respuesta Mantención Correctiva -

Clasificación del problema para el Soporte de Gestión de Identidades
Todos los requerimientos de servicio que ingresan al Contratista son

documentados con información que incluye entre otros datos: hora y fecha de
apertura, descripción del evento, validación de los datos del usuario y del equipo.
Existirá parada de reloj en caso de incidentes que no se encuentren en prioridad

1 y se deberá considerar que ante simultaneidad de incidentes se tomará como
prioridad el incidente de mayor criticidad, realizando la parada de reloj del
incidente de menor criticidad y en caso sean dos o más incidentes de la misma
prioridad, La Entidad será quien defina cuál de los casos atender primero.
Posteriormente, se asigna la “severidad” del requerimiento. La severidad indica la

prioridad con la que se atenderá el requerimiento. Las diferentes categorías de
severidades para el servicio de soporte ofrecido son:
Responsabilidad del La Entidad

Severidad Responsabilidad de la Entidad
154
1 Hacer lo necesario para que los recursos apropiados estén disponibles con el
objeto de suministrar informaciones suplementarias a El Contratista.
Realizar esfuerzos razonables aplicando las soluciones sugeridas por parte de El

Contratista.
Permitir a El Contratista utilizar el acceso distante si es posible.
2 Iniciar el procedimiento necesario para suministrar informaciones suplementarias

a fin de resolver el problema durante el día que sigue a la solicitud.
Realizar esfuerzos razonables aplicando las soluciones sugeridas en el medio día

que sigue a la recepción de respuestas de El Contratista.
Permitir a El Contratista utilizar el acceso distante si es posible.
3 Ejercer una vigilancia y responder de manera adecuada.
Permitir a El Contratista utilizar el acceso a distancia si es posible.
4 Ejercer una vigilancia de manera adecuada.
Permitir al Contratista utilizar el acceso a distancia si es posible.
Consultas Servicio de soporte y atención – Clasificación para el Soporte de

Gestión de Identidades
Todos l os re que ri mie ntos de se rv i ci o que ingre sa n a E l Contra ti s ta s on

doc ume nta dos con informa c i ón que i nc l uye entre otros da tos : hora y fec ha de
a pertura , de sc ri pci ón de l e ve nto, va li da ci ón de los da tos de l us ua ri o y del
e qui po.
Posteriormente, se asigna la “severidad” del requerimiento. La severidad indica la prioridad con la que
se atenderá el requerimiento. Las diferentes categorías de severidades para el servicio de soporte
ofrecido son:
Severidad Definición Tiempo de atención
1 Consultas que afectan o impactan el uso normal del Dentro de las primeras
sistema 2 horas
Urgentes
2 Consultas que no afectan o no impactan al proceso Dentro de las primeras
normal del sistema 48 horas.
Normales
P. SERVICIO DE CORRELACIÓN DE EVENTOS:
Como parte del Servicio de Correlación de Eventos, El contratista deberá proveer en uso
una plataforma SIEM dedicada (Security information and event management) que
cumpla con lo siguiente:
155
a) La solución ofertada debe ubicarse en el “cuadrante de líderes” del Cuadrante

Mágico de Gartner en SIEM (Magic Quadrant for Security Information and Event
Management) emitido en los últimos 2 años (2013 y 2014). El ofertante deberá
incluir en su oferta dicho reporte, indicando la posición de la marca en el
cuadrante. El fabricante debe ser reconocido a nivel mundial, no se aceptarán
ofertas que ofrezcan herramientas que no se encuentren dentro del cuadrante en
mención.
b) Ser redundante y trabajar de forma sincronizada, desplegando un equipo en
calidad de activo en el site principal, y otro en calidad de standby en el site de
contingencia.
c) La plataforma en standby deberá ser capaz de mantener la información
estadística del tráfico cursante que manejaba el equipo activo, así en caso de falla
del equipo principal, el equipo secundario tomará el servicio.
d) La plataforma SIEM deberá estar licenciada para al menos 2500 eventos por
segundo (EPS). Asimismo, deberá estar en la capacidad de crecer hasta 5,000
EPS.
e) La plataforma SIEM deberá analizar por lo menos 240,000 “flows”.
f) La plataforma deberá permitir un crecimiento hasta 5,000 EPS.
g) La plataforma deberá contar con más de 6 TB de storage.
h) Generar alertas, cuando se registre actividad de tráfico de direcciones ip públicas
de baja reputación a nivel mundial (servidores de spam, contra direcciones IP a
proteger. La base de datos de reputación de direcciones ip deberá ser actualizada
i) Collectar y correlacionar en tiempo real:
o Eventos de Seguridad, de Firewalls y Firewalls de Nueva Generación,
Sistemas de Protección de Portales Web y BD, VPNs, IPS/IDS
o Eventos de Red, de routers, switches y servidores
o Data contextual de la herramienta de Identity Access Management y de
Escáneres de Vulnerabilidades
o Información de Sistemas operativos
o Logs de aplicaciones, como ERP, bases de datos.
 Almacenar los eventos en forma RAW (sin alteración) y los datos correlacionados
con capacidad de almacenamiento de 10 TB
 Personalizar políticas que permitan identificar incidentes de seguridad, basado en la
información que se recopila de los distintos dispositivos que envíen logs.
 Integrarse con sistemas de reputación de IPs
 Capacidad de identificación geográfica
 Capacidad de manejar líneas base para conocer el comportamiento de actividad de
usuarios, bases de datos, aplicaciones y red
 Proveer una consola de gestión que muestre información relevante sobre los
incidentes identificados.
 Integrar eventos, vía syslog, traps, snmp o de manera propietaria, de un amplio
número de fuentes como hardware, aplicaciones, middleware y dispositivos de redes.
 Mostrar eventos de todas esas fuentes en una única consola consolidada o en
varias, dependiendo de la organización de soporte.
 Configurar la consola para que cada operador vea los eventos relevantes a su
trabajo, ordenados y filtrados para su máxima eficiencia.
 Identificar la correlación de eventos de diferentes fuentes y filtrar los eventos.
Sobre la implementación:
156
 El contratista deberá sugerirle a la Entidad qué activos críticos deberán ser correla-
cionados dentro de este servicio, sin embargo, hasta el momento que se termine el
presente servicio, La Entidad junto con el Contratista, serán responsables de definir
inicialmente, qué controles de seguridad o aplicaciones o servidores o redes, debe-
rán enviar logs a la solución de correlación de eventos.
 El contratista que obtenga la Buena Pro, deberá presentar a los 7 días de firmado el
contrato un Plan de Trabajo donde se considere entre otros los siguientes puntos:
o El contratista deberá considerar un equipo multidisciplinario altamente
especializado en la plataforma SIEM (no necesariamente de la planilla
del Contratista).
Sobre la gestión de la solución de Correlación de Eventos:
 Las políticas de correlación deberán ser revisadas entre La Entidad y el

Contratista al menos cada quince (15) días.
 Como parte del servicio, el Contratista deberá considerar un Gestor de
Servicios de Seguridad (Security Services Manager, SSM) que será el punto
focal del Contratista durante la ejecución de los Servicios de correlación de
eventos. El SSM se encargará de:
o Revisar la Descripción de Servicios y los documentos asociados con la
Persona de Contacto de La Entidad;
o prestar servicio como persona de contacto única para los equipos de
gestión de cuentas y suministro de las actividades relacionadas con la
seguridad operativa durante la Transición y como punto focal durante
las Operaciones de Estado Estable;
o mantener y supervisar las relaciones de las organizaciones de suminis-
tro que prestan soporte de seguridad;
o establecer y mantener comunicaciones a través de la Persona de Con-
tacto de La Entidad según se define en el apartado titulado "Responsa-
bilidades de la Persona de Contacto de La Entidad ";
o supervisar la gestión de las actividades operacionales de seguridad, los
procesos y las políticas, según sea necesario;
o coordinar y gestionar las actividades técnicas del personal asignado del
contratista.
o rastrear y ayudar en la gestión de la resolución de los problemas de se-
guridad operativa notificados, recomendar acciones, planes de revisión
y supervisar el progreso de las actividades de resolución;
o desarrollar y mantener una Lista de Informe para el Informe de Estado
Mensual;
o trabajar con el equipo de seguridad de la cuenta para producir el Infor-
me de Estado Mensual y entregarlo a la Persona de Contacto de La
Entidad en el plazo previsto;
o trabajar conjuntamente con La Entidad para gestionar la prioridad del
nuevo despliegue de Origen de Eventos y participar en debates de fu-
turas directrices tecnológicas;
157
o gestionar las Solicitudes de Cambio a través del Procedimiento de

Control de Cambios del Contrato especificado en el Documento;
o organizar reuniones informativas semanales vía teleconferencia con la
Persona de Contacto de La Entidad y las Partes Interesadas Clave de
La Entidad; y
o organizar teleconferencias de revisión operativa mensual o reuniones
presenciales con la Persona de Contacto de La Entidad y las Partes In-
teresadas Clave de La Entidad para revisar el estado de seguridad,
riesgos, Problemas, Incidencias, actividades pendientes y posibles ten-
dencias.
CONSIDERACIONES ADICIONALES DEL SERVICIO DE TERCERIZACION DE TI EN

SEGURIDAD INFORMATICA
Condiciones de Operación Del Servicio de Seguridad
 Las alertas deberán ser verificadas por el personal técnico del SOC para evitar
falsos positivos y los tiempos de notificación de incidencias reales están redu-
cidos al máximo y quedan reflejados en el “Acuerdo de Nivel de Servicio”.
 Se deberá incluir un informe mensual con todas las alertas reportadas en los
días previos, garantizando la verificación del cumplimiento de los niveles de
servicio.
 Es requisito mínimo el asegurar que los dispositivos a ofertar no cuenten a la
fecha de presentación de propuestas con anuncio de Fin de Ciclo de Vida del
fabricante, ni fin de venta, (asegurando una mayor vigencia tecnológica de los
equipos a adquirir.
 El monitoreo de todos los equipos contemplados en este servicio y de los
eventos, deberá realizarse las 24 horas del día a través de un SOC (Centro de
Operaciones de Seguridad, propio o tercerizado), los 7 días de la semana y los
365/366 días del año. Sin embargo, La Entidad puede elegir las horas y días
en los que quiere ser notificado, además de los métodos de notificación (tele-
fónico, SMS, correo electrónico, etc.).
 Para el servicio, el contratista deberá utilizar SOC (Centros de Operaciones de
Seguridad por sus siglas en Inglés) que haya sido reconocido como líder brin-
dando Servicios Gestionados de Seguridad en el último estudio realizado por
al menos 3 de los siguientes analistas de mercado (Forrester, Frost&Sullivan,
IDC, Gartner), adjuntando en su propuesta técnica impresión de los cuadros
correspondientes y la página web donde se encuentran publicadas.
 Por tema de alta redundancia, el SOC (Centros de Operaciones de Seguridad
por sus siglas en inglés) deberá estar distribuido en al menos 4 países distin-
tos y se deberá indicar la ciudad/país de cada ubicación.
 La atención telefónica del Contratista deberá ser en idioma Castellano
158
 El SOC (propio o tercerizado) que considere el Contratista para los servicios

de Monitoreo deberá estar certificado en ISO/IEC 9001:2008 por lo menos
para los procesos de Entrega y Soporte de Servicios Gerenciados de Seguri-
dad.
 Para las tareas operativas (altas, bajas, modificaciones de políticas) y adminis-
tración de las plataformas (backup de configuraciones, upgrades de firmwares,
troubleshooting en sitio), el Contratista deberá considerar 2 personas en sitio
de Lunes a Viernes, de 9am a 6pm (excepto feriados), personas que deberán
estar situadas en las oficinas de la Entidad en la Sede Principal.
 Para el servicio, el contratista deberá utilizar un equipo de respuesta a inciden-
tes (propio o tercerizado) el cual pertenezca al Fórum de Respuesta a Inciden-
tes y Equipos de Seguridad (FIRST)
Instalación y Configuración
El Contratista deberá especificar:
 El Cronograma de Trabajo.
 Relación de Personal involucrado en el proyecto, indicando las funciones a de-
sarrollar, responsabilidades y niveles de escalamiento.
 Para todo el personal involucrado en el Proyecto deberá proporcionarse sus
datos (nombres, correos electrónicos y teléfonos fijos y celulares)
 Cronograma de Capacitación.
 Descripción de las actividades a realizar.
 Relación de bienes y servicios a ser entregados.
 Al finalizar los trabajos de implementación se deberá entregar un Informe Fi-
nal, donde se indique:
 Trabajos/actividades realizados.
 Actas de avances de los trabajos (si las hubiese).
 Acta de Capacitación.
 Diagramas/esquemas implementados.
 Configuraciones realizadas.
 Licencias / garantías de los bienes entregados.
 Conclusiones y Recomendaciones.
Lugar de la Ejecución de la Prestación
• Lugar
Los dispositivos contemplados en la solución, en la sede central ubicada en el
Centro de Computo PNP sito en la Pza. 30 de Agosto URB CORPAC San
Isidro, sitio de contingencia Av. República de Panamá 3664 4to piso San
Isidro (sede principal del Banco de la Nación) y la información de los doce
(12) nodos remotos se señala en el Anexo A
159
Garantía Comercial
Los equipos y software que considere el Contratista deberán contar con garantía
de soporte durante los Treinta y seis (36) meses de duración del contrato.
Confidencialidad
Como parte dela implementación de la solución, el contratista pudiera tomar
conocimiento de la información de la plataforma tecnológica y de los sistemas de
información de la Entidad. Si este fuera el caso, esta información es reservada,
por lo tanto el contratista y todo su personal deberá mantener la confidencialidad
de la misma. El compromiso de confidencialidad se prolonga indefinidamente
aun después de terminado el proyecto y se hace extensivo al personal del
contratista aun cuando ellos hayan dejado de tener vínculo laboral con este.
Para ello se firmará un NDA (Acuerdo de confidencialidad) el cual podrá ser
propuesto por el contratista.
7. ACUERDO DE NIVEL DE SERVICIO PARA LOS SERVICIOS DE

SEGURIDAD GESTIONADA
Se considera priorizante que el contratista tendrá que cumplir con las siguientes
funcionabilidades para todo el servicio a gestionar el cual debe especificar lo siguiente:
7.1 CONSIDERACIONES PARA EL SERVICIO GESTIONADO POR EL CONTRATISTA
Condiciones de Operación Del Servicio de Seguridad Gestionada

 Las alertas deberán ser verificadas por el personal técnico del SOC para
evitar falsos positivos y los tiempos de notificación de incidencias reales
están reducidos al máximo y quedan reflejados en el “Acuerdo de Nivel de
Servicio”, y este deberá ser aplicada para todos los elementos que
conformen el ITEM3 con respecto a seguridad gestionada.
 Se deberá incluir un informe diarios con todas las alertas reportadas,
garantizando la verificación del cumplimiento de los niveles de servicio.
 Es requisito mínimo el asegurar que los dispositivos a ofertar no cuenten a la
fecha de presentación de propuestas con anuncio de Fin de Ciclo de Vida
del fabricante, ni fin de venta, (asegurando una mayor vigencia tecnológica
de los equipos a adquirir.
 El monitoreo y administración de los equipos y los eventos de todo el
servicio gestionado, deberá realizarse las 24 horas del día a través de un
SOC (Centro de Operaciones de Seguridad), los 7 días de la semana y los
365/366 días del año. Sin embargo, La Entidad puede elegir las horas y días
en los que quiere ser notificado, además de los métodos de notificación
(telefónico, SMS, correo electrónico, etc.).
 El SOC (propio o tercerizado) que considere el La Entidad para los servicios
de Monitoreo deberá estar certificado en ISO/IEC 9001:2008 por lo menos
para los procesos de Entrega y Soporte de Servicios Gerenciados de
Seguridad.
160
 Adicionalmente el Contratista deberá incluir el siguiente servicio de soporte

remoto por temas relacionados a la implementación realizada por el
Contratista con la finalidad de solucionar o absolver alguna duda relacionada
a dicha implementación. El servicio de soporte para la Gestión de
Identidades deberá ser bajo la siguiente estructura:
a. La atención será de 7x24x365 para los casos Prioridad 1 (Sistema
caído). Para los casos que se clasifique el requerimiento como un
problema mayor, que impida usar funciones importantes del
producto, y que produzca un severo impacto en las operaciones
de La Entidad, los ingenieros del contratista responderán el
requerimiento en el período acordado en el presente documento
según la severidad del problema, el horario de atención será de
7x24x365 días del año.
b. Los contactos de soporte inicial por parte del contratista se
definirán una vez finalizado el proyecto de implementación.
c. El servicio deberá incluir servicios de resolución de problemas
técnicos y consultas acerca de los productos implementados,
utilizado por La Entidad en el ambiente de producción.
 Las políticas de configuración de los componentes del ITEM de seguridad se

deberán revisar entre La Entidad y el Contratista semanalmente.
 El Contratista deberá proveer La Entidad, el acceso a un portal de servicios
de seguridad gestionado las 24 horas del día, los 7 días de la semana,
excepto las ventanas de mantenimiento y durante el mantenimiento de
emergencia, si se requiere. El Portal deberá proporcionar lo siguiente:
a. Varios niveles de acceso para los Usuarios del Portal.
b. Conocimiento de inteligencia de seguridad y alertas;
c. Información sobre Partes de servicio e Incidencias de seguridad;
d. Iniciación y actualizaciones de flujos de trabajo y partes;
e. Colaboración con analistas del SOC;
f. Acceso a los Materiales Educativos en función de los términos
establecidos en el Portal.
g. El Contratista deberá proporcionar un nombre de usuario, una
contraseña, un URL y los permisos adecuados para que La Entidad
pueda acceder al Portal.
 Los Informes de seguridad se deberán proporcionar mediante una
combinación del Portal de gestión de la seguridad y la consola nativa del
Sistema SIEM.
 Proveer “inteligencia de seguridad”, Los entregables del servicio serán:
- Plan de proyecto inicial

- Macro y Micro diseño del Sistema SIEM
- Plan de Comunicaciones
- Runbook
- Informe de Estado Mensual
 Como parte del servicio, el Contratista deberá considerar un Gestor de
Servicios de Seguridad (Security Services Manager, SSM) que será el punto
focal del Contratista durante la ejecución de los Servicios de correlación de
eventos. El SSM se encargará de:
161
- Revisar la Descripción de Servicios y los documentos asociados con la

Persona de Contacto de La Entidad;
- prestar servicio como persona de contacto única para los equipos de
gestión de cuentas y suministro de las actividades relacionadas con la
seguridad operativa durante la Transición y como punto focal durante
las Operaciones de Estado Estable;
- mantener y supervisar las relaciones de las organizaciones de suminis-
tro que prestan soporte de seguridad;
- establecer y mantener comunicaciones a través de la Persona de Con-
tacto de La Entidad según se define en el apartado titulado "Responsa-
bilidades de la Persona de Contacto de La Entidad ";
- supervisar la gestión de las actividades operacionales de seguridad, los
procesos y las políticas, según sea necesario;
- coordinar y gestionar las actividades técnicas del personal asignado del
contratista.
- rastrear y ayudar en la gestión de la resolución de los problemas de se-
guridad operativa notificados, recomendar acciones, planes de revisión
y supervisar el progreso de las actividades de resolución;
- desarrollar y mantener una Lista de Informe para el Informe de Estado
Mensual;
- trabajar con el equipo de seguridad de la cuenta para producir el Infor-
me de Estado Mensual y entregarlo a la Persona de Contacto de La
Entidad en el plazo previsto;
- trabajar conjuntamente con La Entidad para gestionar la prioridad del
nuevo despliegue de Origen de Eventos y participar en debates de fu-
turas directrices tecnológicas;
- gestionar las Solicitudes de Cambio a través del Procedimiento de
Control de Cambios del Contrato especificado en el Documento;
- organizar reuniones informativas semanales vía teleconferencia con la
Persona de Contacto de La Entidad y las Partes Interesadas Clave de
La Entidad; y
- organizar teleconferencias de revisión operativa mensual o reuniones
presenciales con la Persona de Contacto de La Entidad y las Partes In-
teresadas Clave de La Entidad para revisar el estado de seguridad,
riesgos, Problemas, Incidencias, actividades pendientes y posibles ten-
dencias.
Procedimientos para la Resolución de incidentes con respecto al servicio de

Seguridad Gestionada por el Contratista
Un « incidente » se define como un solo problema de soporte y los esfuerzos

razonablemente aceptables para su resolución. Es indivisible. Si un problema
incluye otros, cada uno de ellos se considerará como un incidente distinto. Antes
de que el contratista suministre soporte técnico sobre un incidente, La Entidad y
los ingenieros de mantenimiento del Contratista deberán estar de acuerdo sobre
el problema y los elementos de una solución aceptable. Antes de su resolución,
162
un incidente puede requerir muchas llamadas telefónicas e investigaciones fuera

de línea. La Entidad tendrá un acceso privilegiado con los ingenieros de
asistencia del Contratista. La gravedad del incidente determinará los niveles de
respuesta dentro del Contratista, y los plazos de respuesta estimados del
Contratista están definidos la sección “Severidad del incidente y plazos de
respuesta.”
1. Tipos de atención en Resolución de Incidentes:
Acceso a distancia
En el procedimiento de resolución, el Contratista tendrá acceso al sistema de

EL CLIENTE mediante una conexión a distancia para analizar los problemas.
El acceso es necesario para la resolución de los problemas a distancia EL
CLIENTE será informado previamente al respecto. El Contratista puede
suministrar programas para facilitar el diagnóstico y/o la resolución del
problema. Todas las informaciones analizadas por El Contratista deben ser
consideradas como informaciones confidenciales según las disposiciones
Confidencialidad tratadas en el presente documento. La entidad suministrara
un acceso a distancia tras haber sido solicitado por El Contratista para la
atención de los servicios.
Coordinación multi contratistas
El Contratista trabajará con todo su equipo técnico para resolver los

problemas que surjan en un entorno heterogéneo. Cuando los problemas
detectados en los productos implementados están vinculados a interacciones
con productos de otros contratistas y la Entidad tiene un contrato de
asistencia con este contratista, El Contratista compartirá las informaciones del
diagnóstico y ofrecerá su colaboración para hallar una solución de forma
inmediata.
Mantenimiento en el emplazamiento
En algunos casos, la Entidad podrá solicitar una intervención en el
emplazamiento. El soporte en el emplazamiento será función de la
disponibilidad de los recursos de El Contratista, y las tareas realizadas
variarán en función de la situación, el entorno y el impacto del problema en la
actividad.
Soporte con el fabricante
Se debe tener vigente el contrato de mantenimiento de producto con el

fabricante, referente a los productos implementados.
Alcances
El servicio de soporte a la implementación inicia al finalizar la

implementación y tendrá duración durante la vigencia de este contrato.
163
Durante el tiempo de garantía de soporte no se tendrá límite de horas.

El soporte está sujeto al siguiente alcance:
 Consultas
a. De acompañamiento a la solución implementada en producción.

b. Sobre funcionamiento de productos que hacen parte de la solución.
c. Consultas sobre configuración de productos que hacen parte de la
solución.
 Soporte preventivo
Se realizará un reporte bimestral con la revisión de los diferentes
componentes (software) de la solución a solicitud de la Entidad. En el
reporte contendrá un resumen del estado en que se encontraron los
componentes revisados y las acciones tomadas en la resolución de los
problemas detectados, en caso de que se presenten, así como las
recomendaciones para la prevención de incidentes.
 Soporte correctivo
Que pueden ser reportados vía e-mail o vía telefónica.
 Actualizaciones
Instalación de fixes de los productos que componen la solución, siempre
y cuando se haya presentado un problema que el fix solucione.
 Asistencia con el reporte y solución de problemas
a. Asistencia para el diagnóstico de problemas. Esto es básicamente
identificar si se trata de configuración, defectos de producto.
b. Asistencia y colaboración con la documentación de problemas.
c. Asistencia y colaboración con la práctica de pruebas.
d. Asistencia y colaboración con la solución de problemas asociados
con la configuración.
e. Asistencia y colaboración con la solución de problemas asociados a
los productos implementados que tengan que ser vistos por el
fabricante.
Compromisos del Contratista en temas de Instalación y Configuración
 Cronograma de Trabajo.
 Relación de Personal involucrado en el proyecto, indicando las
funciones a desarrollar, responsabilidades y niveles de escalamiento.
 Para todo el personal involucrado en el Proyecto deberá proporcionarse
sus datos (nombres, correos electrónicos y teléfonos fijos y celulares)
 Cronograma de Capacitación.
 Descripción de las actividades a realizar.
 Relación de bienes y servicios a ser entregados.
 Al finalizar los trabajos de implementación se deberá entregar un
Informe Final, donde se indique:
 Trabajos/actividades realizados.
 Actas de avances de los trabajos (si las hubiese).
 Acta de Capacitación.
164
 Diagramas/esquemas implementados.
 Configuraciones realizadas.
 Licencias / garantías de los bienes entregados.
 Conclusiones y Recomendaciones.
Acuerdos de Confidencialidad del Contratista

Como parte dela implementación de la solución, el contratista pudiera tomar
conocimiento de la información de la plataforma tecnológica y de los
sistemas de información de la Entidad. Si este fuera el caso, esta
información es reservada, por lo tanto el contratista y todo su personal
deberá mantener la confidencialidad de la misma. El compromiso de
confidencialidad se prolonga indefinidamente aun después de terminado el
proyecto y se hace extensivo al personal del contratista aun cuando ellos
hayan dejado de tener vínculo laboral con éste.
Severidad del incidente y plazos de respuesta Mantención Correctiva -

Clasificación del problema
Todos los requerimientos de servicio que ingresan al Contratista son

apertura, descripción del evento, validación de los datos del usuario y del
equipo.
Existirá parada de reloj en caso de incidentes que no se encuentren en

prioridad 1 y se deberá considerar que ante simultaneidad de incidentes se
tomará como prioridad el incidente de mayor criticidad, realizando la parada
de reloj del incidente de menor criticidad y en caso sean dos o más incidentes
de la misma prioridad, la Entidad será quien defina cuál de los casos atender
primero.
Posteriormente, se asigna la “severidad” del requerimiento. La severidad

indica la prioridad con la que se atenderá el requerimiento. Las diferentes
categorías de severidades para el servicio de soporte ofrecido son:
Severidad Definición Tiempo de atención Tiempo de

solución
1 El sistema no puede ser Dentro de la primera 4 horas como

utilizado. El sistema esta caído hora máximo
o detenido.
2 El sistema está activo, y se 2 horas como máximo Dentro de las

ejecuta, pero el problema tiene primeras 24
una repercusión importante sin horas.
posibilidad de evitarlo. El
problema tiene consecuencias
importantes cuando hay una
165
operación en curso, pero de

manera alterada
significativamente o en una
función utilizada para ejecutar
tareas consideradas como
importantes más no esenciales
para las operaciones inmediatas
de EL CLIENTE.
3 El sistema está activo y se 4 horas como máximo Dentro de las

ejecuta, y el problema tiene primeras 48
únicamente una repercusión horas.
limitada o sin importancia. Hay
consecuencias en la
productividad a largo plazo, pero
sin interrupción inmediata del
trabajo.
4 El problema no tiene una 12 horas como máximo Dentro de las

repercusión importante para EL primeras 72
CLIENTE, o la función no es horas.
importante y se utiliza rara vez.
Consultas Servicio de soporte y atención – Clasificación
Todos los requerimientos de servicio que ingresan a El Contratista son

apertura, descripción del evento, validación de los datos del usuario y del
equipo.
Posteriormente, se asigna la “severidad” del requerimiento. La severidad

indica la prioridad con la que se atenderá el requerimiento. Las diferentes
categorías de severidades para el servicio de soporte ofrecido son:
Severidad Definición Tiempo de atención Tiempo de

solución
1 Consultas que afectan o Dentro de la primera

impactan el uso normal del hora Dentro de las 2
Urgentes sistema
primeras horas.
2 Consultas que no afectan o Dentro de las primeras Dentro de las

no impactan al proceso 24 horas. primeras 48
Normales normal del sistema horas.
8. OTRAS PENALIDADES
166
Cuadro de Penalidad por incumplimiento de atención para el Servicio

Gestionado
Cabe señalar que de acuerdo a una caída del servicio de cualquiera de los
componentes del ITEM de servicio de seguridad gestionada y por demora en la
atención del incidente de acuerdo al tiempo, se estima el siguiente cuadro de
penalidad.
THE Penalidad
Menor o igual a 1 hora 1 % del pago mensual
Mayor a 1 y menor a 2 horas 3 % del pago mensual
Mayor a 8 horas 10 % del pago mensual
9. PENALIDAD POR RETRASO INJUSTIFICADO
Si se comprueba que el contratista ha considerado la colocación de un enlace

Satelital de transmisión de datos donde existe factibilidad técnica para la
instalación de un enlace por cobre o fibra óptica y a pesar de habérsele notificado
de tal hecho incumple con el cambio de comunicación vía satélite a cobre o fibra
óptica en el lapso de 30 días calendarios será penalizado con penalidad por hora
en la ejecución de la prestación.
Si EL CONTRATISTA incurre en retraso injustificado en la ejecución de las

prestaciones objeto del contrato, LA ENTIDAD le aplicará una penalidad por cada
día de atraso, hasta por un monto máximo equivalente al diez por ciento (10%) del
monto del contrato vigente o de ser el caso, del monto del ítem que debió
ejecutarse, en concordancia con el artículo 165 del Reglamento de la Ley de
En todos los casos, la penalidad se aplicará automáticamente y se calculará de
acuerdo a la siguiente fórmula:
0.10 x Monto
Penalidad Diaria =
F x Plazo en días
Donde F = 0.25 (para bienes y servicios en plazos superiores a 60 días)
Tanto el monto como el plazo se refieren a la prestación parcial materia de retraso

para tal caso se debe señalar lo siguiente:
167
Esta penalidad será deducida de los pagos parciales o del pago final. Cuando se
llegue a cubrir el monto máximo de la penalidad, LA ENTIDAD podrá resolver el
contrato por incumplimiento.
La justificación por el retraso se sujeta a lo dispuesto por la Ley de Contrataciones del

Estado y su Reglamento, el Código Civil y demás normas aplicables, según
corresponda.
De presentarse una situación excepcional que impida al Contratista cumplir con los
plazos de respuesta establecidos (las averías causadas por casos fortuitos ajenas al
contratista como desastres naturales o situaciones de fuerza mayor no serán
consideradas en la penalidad, sin embargo lo referente a vandalismo (robos de
cable) no se consideran dentro de estos casos, dado que son situaciones que el
contratista conoce por lo que debe aplicar las medidas preventivas del caso), éste
deberá presentar a la División de Administración de Centros de Cómputo de la
Dirección de Informática PNP - DIRETIC-PNP, la documentación donde expondrá los
motivos técnicos que originaron la situación excepcional, y la Entidad evaluará dicha
justificación, a fin de determinar la aplicación de penalidades.
10. OTRAS CONDICIONES DEL SERVICIO
10.1 PLAZO DE INSTALACIÓN
El Contratista tendrá un plazo máximo de CIENTO OCHENTA (180) días

calendarios para la entrega, instalación, configuración, capacitación y puesta en
marcha de todos los componentes ofertados, a partir del día siguiente de la
culminación de la acreditación del personal que prestará el Servicio de instalación
y de realizado el pago del 19.9% de adelanto por parte de la Entidad.
10.2 PLAZO DE EJECUCIÓN
11
168

contados a partir del día siguiente de la aceptación de la instalación del servicio
realizado mediante el Acta de Conformidad emitida por la División de
DIRETIC-PNP.
10.3 CAPACITACION Y ENTRENAMIENTO
Se prevé la capacitación técnica al personal de la DIADCECO-DIRINFOR-

DIRETIC-PNP, en los cursos abajo señalados asociados a los ítems que se
señala:
El contratista deberá capacitar a cuatro (04) personas de la Entidad, iniciándose

en los primeros treinta días naturales contados a partir de la firma de contrato, a
dictarse en Instituto tecnológico especializado en el dictado de estos cursos o en
el aula de instrucción del contratista si la tuviere, emitiéndose el certificado
correspondiente, para que sea La Entidad quién administre la solución de
Gestión de Identidades considerando el siguiente temario:
Taller I: Administración (capacitación nivel técnico)
Objetivo:
En el marco de la Administración de Seguridad, enseñar la administración de

la herramienta de Gestión de Identidades, para el aprovisionamiento de
cuentas a los sistemas de forma centralizada.
Dirigido a:
- Administradores de sistema
- Especialistas en Seguridad de TI
- Operadores.
Duración: 40 Horas
Temario:
- Módulo 1: Introducción al Gestor de Identidades
§ Responsabilidades del Administrador del Gestor de

Identidades
§ Arquitectura del sistema de Gestión de Identidades
- Módulo 2: Introducción a la Arquitectura
§ Componentes del Gestor de Identidades
§ Arquitectura del Servidor

169
§ Arquitectura del Web Server
§ Arquitectura del Agente
§ Desarrollo de la Arquitectura
- Módulo 3: Servicios
§ Creando Servicios
§ Introducción a los Servicios
§ Añadiendo Servicios
- Módulo 4: Políticas de Aprovisionamiento
§ Creando Políticas de Aprovisionamiento
§ Permisos de Políticas de Aprovisionamiento
§ Cómo determinar los requerimientos de permisos de las

cuentas de usuarios
§ Prioridades de Políticas de Aprovisionamiento
§ Creando Políticas de Aprovisionamiento
- Módulo 5: Comprendiendo Políticas de Identidad
§ Creando Políticas de Identidad
- Módulo 6: Comprendiendo Políticas de Contraseña
§ Creando Políticas de Contraseña
- Módulo 7: Personalizando el Aprovisionamiento de Permisos
§ Personalizando permisos en Políticas de

Aprovisionamiento
§ Comprendiendo asignación automática de permisos
- Módulo 8: Diseñando el Flujo de Trabajo
§ Comprendiendo el Flujo de Trabajo
§ Usando los elementos de aprobación
§ Creando Flujo de Trabajo básicos
§ Usando los elementos de búsqueda
§ Usando los elementos RFI (Request for Information)
§ Creando RFI
§ Usando los elementos de subprocesos
170
- Módulo 9: Ajustes de configuración de Contraseña
§ Entendiendo la funcionalidad de Preguntas

Reto/Respuesta
§ Configurando la funcionalidad de Preguntas

Reto/Respuesta para User-defined
§ Configurando la funcionalidad de Preguntas

Reto/Respuesta para Admin-defined
- Módulo 10: Carga de Datos
§ Carga de Datos
§ ¿Cómo introducir información en el Gestor de

Identidades?
- Módulo 11: Añadiendo usuarios y Aprovisionamiento de Cuentas
§ Ingresando y saliendo del Gestor de Identidades
§ Identificación de componentes principales del Gestor de

Identidades
§ Agregando personas (Empleados) o socios de negocio
§ Aprovisionamiento de cuentas para personas

(Empleados) y a socios de negocio
§ Aprobando y rechazando peticiones de servicios
§ Añadiendo delegado
- Módulo 12: Entendiendo la Reconciliación
§ Realización de Reconciliación
§ Creación de una Reconciliación
§ Realizando el manual de reconciliación
§ Adopción de una cuentas huérfana.
§ Creación de una consulta dentro de una reconciliación
- Módulo 13: Gestión de usuarios
§ Cambio de contraseña
§ Configurando tus Preguntas Reto/Respuesta
§ Cambiando información del tu perfil personal
§ Cambiando la contraseña de un usuario
§ Modificando servicios para un usuario
171
§ Suspensión, restauración y aprovisionamiento de

servicios para un usuario
- Módulo 14: Gestionando la Organización
§ La estructura de las organizaciones
§ Creando la organización
§ Creando unidades organizacionales, ubicaciones y

organización de socios de negocio
§ Moviendo usuarios dentro de la organización
§ Creando Roles organizacionales
§ Añadiendo usuarios a los roles de la organización
- Módulo 15: Visualizando reportes
§ Sistema de reportes del Gestor de Identidades
§ Visualizando reportes
- Módulo 16: Configurando la interface de usuario
§ Elementos de un formulario
§ Propiedades/atributos de un formulario
§ Tipo de controles
§ Tipo de Datos
§ Personalizando formularios
§ Modificando atributos mapeados
§ Modificando atributos de búsqueda
- Módulo 17: Controlando accesos
§ Grupos del Gestor de Identidades
§ Añadiendo un grupo Gestor de Identidades
§ Añadiendo usuarios a un grupo Gestor de Identidades
§ Control de Accesos
§ Añadiendo un ACI organizacional
§ Añadiendo un aprovisionamiento ACI
§ Mejores prácticas y ejemplos ACIs
- Módulo 18: Gestión de administrador de Dominios
172
§ Administrador de Dominios
§ Añadiendo un Administrador de Dominios
- Módulo 19: Creando reglas de selección de servicios
§ Entendiendo las reglas de selección de servicios
§ Creando una regla de selección de servicio
Prerrequisitos:
- Administración básica de sistemas UNIX y/o Windows.

- Fundamentos de redes TCP/IP.
- Conceptos básicos de Seguridad de TI
Taller II: Operación de la Herramienta de Gestión de Identidades (capacitación

nivel usuario)
Objetivo:
En el marco de la Administración de Seguridad, enseñar la operación de la

herramienta de Gestión de Identidades, para el aprovisionamiento de cuentas
de acceso a los sistemas de forma centralizada.
Duración: 8 Horas
Dirigido a:
- Administradores de sistema
- Especialistas en Seguridad de TI
- Operadores.
Temario:
- Módulo 1: Entendiendo Gestor de Identidades
· Los deberes un administrador de un Gestor de Identidades
· Arquitectura del sistema del Gestor de Identidades
- Módulo 2: Entendiendo la arquitectura del sistema
· Componentes del Gestor de Identidades
· Arquitectura del servidor
· Arquitectura del Web Server
· Arquitectura agente
· Arquitectura de despliegue
- Módulo 3: Realización de Reconciliación
· Entendiendo la Reconciliación
· Creación de una Reconciliación

173
· Realizando el manual de reconciliación
· Adopción de una cuentas huérfana.
· Creación de una consulta dentro de una reconciliación
- Módulo 4: Gestión de usuarios
· Cambio de contraseña
· Configurando tus Preguntas Reto/Respuesta
· Cambiando información del tu perfil personal
· Cambiando la contraseña de un usuario
· Modificando servicios para un usuario
· Suspensión, restauración y aprovisionamiento de servicios

para un usuario
- Módulo 5: Visualizando reportes
· Sistema de reportes de Gestor de Identidades
· Visualizando reportes
Prerrequisitos:
- Administración básica de sistemas UNIX y/o Windows.

Taller III: Operación de la Herramienta de Sincronización de Identidades
Objetivo: En el marco de la Administración de Identidades, enseñar el

manejo, operación y administración de la herramienta que permite la
sincronización de identidades.
Dirigido a: Administradores de sistema
Duración: 32 Horas
Temario:
- Módulo 1: Entendiendo Sincronizador de Identidades
· ¿Qué es Sincronizador de Identidades?
· Conceptos
- Módulo 2: Entendiendo la arquitectura del sistema
· Arquitectura del sistema
174
· Componentes
- Módulo 3: Definición de Líneas de ensamblaje
· Entendiendo las Líneas de ensamblaje
· Componentes de las Líneas de ensamblaje
- Módulo 4: Creando Líneas de ensamblaje
· Configuración del conector de iteración
· Configuración del conector de búsqueda
· Configuración del conector de salida
- Módulo 5: Pruebas de sincronización de datos
· Sincronización de datos.
Prerrequisitos:
- Administración básica de sistemas UNIX

Se deberá considerar una capacitación onsite para diez (10) personas en la

administración y solución de inconvenientes para cada componente ofertado con
una duración mínima de:
• Firewall Externos / Interno: 12 horas

• Antimalware: 12 Horas
• DDoS: 12 horas
• Antispam: 12 horas
• WAF y DBM 12 horas
• Se deberá entregar a cada participante el material respectivo y un certificado
por cada curso recibido.
• Al culminar el servicio de capacitación se firmará un acta respectiva.
Asimismo, se deberá considerar la capacitación de:
a) Curso Oficial en la administración y operación de los equipos de seguridad

unificada contra amenazas propuesto por el contratista, para CINCO (05)
personas.
b) Curso Oficial en la administración y operación del Concentrador de VPN
propuesto por el contratista, para CINCO (05) personas.
c) Curso Oficial en la administración y operación del Preventor de Intrusos
d) Curso Oficial en el Firewall de Aplicaciones Web propuesto por el contratista,
para CINCO (05) personas.
e) Curso Oficial en la administración y operación del equipo Anti Spam
f) Curso Oficial en la administración y operación del equipo Filtro de Contenido
Web propuesto por el contratista, para CINCO (05) personas.
175
g) Curso Oficial en la administración y operación del Correlacionador de eventos

h) Curso Oficial de la aplicación de la Norma Técnica Peruana “NTP-ISO/ IEC
27001:2014 (Tecnología de la Información, Técnicas de Seguridad), para
CINCO (05) personas.
La Capacitación deberá realizarse en la ciudad de Lima, en un Instituto

Tecnológico de prestigio que sea considerado como Centro Oficial de
entrenamiento y el dictado de clases será teórica-práctica, con ayudas
audiovisuales y documentación teórica.
La Capacitación deberá ser dictada por personal profesional y especializado en

Centros Oficiales de entrenamiento de los equipos de comunicaciones y seguridad
a implementarse y materia de la capacitación, o en su defecto en instalaciones
adecuadas para el seguimiento de dichos curos, debiéndose considerar, la
obtención de los derechos para rendir los exámenes de certificación técnica
correspondientes según sea el caso.
10.4 FORMA DE PAGO
Adelanto del 19.9% contra firma del contrato y el 80.1% restante en pagos
mensuales, luego de otorgada la Conformidad del Servicio y previo informe del
área usuaria, durante la prestación del servicio de TREINTA Y SEIS (36) meses.
De acuerdo con el artículo 176º del Reglamento de la Ley de Contrataciones del
Estado, para efectos del pago de las contraprestaciones ejecutadas por el
contratista, la Entidad deberá contar con la siguiente documentación:
 Acta de Conformidad de la División de Administración de Centros de Cómputo de

la Dirección de Informática PNP - DIRETIC-PNP
 Informe del funcionario responsable de la División de Administración de Centros
de Cómputo de la Dirección de Informática PNP - DIRETIC-PNP , emitiendo su
conformidad respecto de la prestación efectuada, para lo cual deberá tomar
en consideración los reportes mensuales que entregará la contratista
 Factura
10.5 CONFORMIDAD
La aceptación de la instalación del servicio se hará mediante un Acta de

Conformidad emitida por la División de Administración de Centros de Cómputo de
la Dirección de Informática PNP - DIRETIC-PNP, adjuntando el Informe Final del
contratista.
Acta de Conformidad de la División de Administración de Centros de Cómputo de

la Dirección de Informática PNP - DIRETIC-PNP, para efectuar el pago respectivo
o mensual por la prestación de cada servicio.
176
177
ANEXO
178
(Se entregara un CD con la información en la etapa de Registro de Participante)
ANEXO
179
180
CAPÍTULO IV
CRITERIOS DE EVALUACIÓN TÉCNICA
EVALUACIÓN TÉCNICA (Puntaje Máximo: 100 Puntos)
Es de exclusiva responsabilidad del Comité Especial que los factores permitan la selección de la
mejor oferta en relación con la necesidad que se requiere satisfacer.
ITEM 1
I. FACTORES DE EVALUACIÓN UTILIZADOS CUANDO SE CONVOQUE LA
CONTRATACIÓN DE SERVICIOS EN GENERAL:
De acuerdo con el artículo 45 del Reglamento, las Bases deben consignar el siguiente factor
de evaluación:
PUNTAJE / METODOLOGÍA
FACTORES DE EVALUACIÓN - OBLIGATORIOS PARA SU ASIGNACIÓN
A. EXPERIENCIA EN LA ACTIVIDAD
MÁXIMO PUNTAJE: 50 PUNTOS
Criterio:
Se evaluará considerando el monto facturado acumulado por el
contratista correspondiente a la actividad objeto del proceso M >= 03 veces el valor referencial:
(transmisión de datos y/o acceso a internet en forma integral o 50 puntos
independiente), durante un periodo no mayor a ocho (08) años
a la fecha de la presentación de propuestas, hasta por un M >= 2.5 veces el valor referencial
monto máximo acumulado equivalente a 3 veces el valor y < 03 veces el valor referencial:
referencial de la presente contratación. 40 puntos
Acreditación: M >= 02 veces el valor referencial

La experiencia se acreditará mediante copia simple de: y < 2.5 veces el valor referencial:
contratos u órdenes de servicio, y su respectiva conformidad 30 puntos
por la prestación efectuada; o comprobantes de pago cuya
cancelación se acredite documental y fehacientemente con M < 02 veces el valor referencial:
VOUCHER DE DEPÓSITO, REPORTE DE ESTADO DE CUENTA 00 puntos12
Y/O CANCELACIÓN EN EL DOCUMENTO, correspondientes a un
máximo de diez (10) servicios.
En caso los contratistas presenten varios comprobantes de M = Monto facturado acumulado

por el contratista por la
pago para acreditar la prestación de un solo servicio, se deberá prestación
acreditar que corresponden a dicho servicio; de lo contrario, se de servicios correspondientes
asumirá que los comprobantes acreditan servicios a la actividad objeto del
independientes, en cuyo caso solo se considerará, para la proceso
evaluación y calificación, los diez (10) primeros servicios
indicados en el Anexo Nº 7 referido a la Experiencia del
Contratista.
En el caso de servicios de ejecución periódica, sólo se

considerará como experiencia la parte del contrato que haya
12
El Comité Especial define los rangos de evaluación e indica cuáles son los parámetros en cada rango. Asimismo,
podrá cambiar la metodología para la asignación de puntaje.
181
sido ejecutada a la fecha de presentación de propuestas,
debiendo adjuntarse copia de las conformidades
correspondientes a tal parte o los respectivos comprobantes de
pago.
En los casos que se acredite experiencia adquirida en

consorcio, deberá presentarse la promesa formal de consorcio
o el contrato de consorcio del cual se desprenda
fehacientemente el porcentaje de las obligaciones que se
asumió en el contrato presentado; de lo contrario, no se
computará la experiencia proveniente de dicho contrato.
Asimismo, cuando se presenten contratos derivados de

procesos de selección convocados antes del 20.09.2012, se
entenderá que el porcentaje de las obligaciones equivale al
porcentaje de participación de la promesa formal o del contrato
de consorcio. En caso en dichos documentos no se consigne el
porcentaje de participación se presumirá que las obligaciones
se ejecutaron en partes iguales.
Cuando en los contratos, órdenes de servicios o comprobantes

de pago el monto facturado se encuentre expresado en
moneda extranjera, debe indicarse el tipo de cambio venta
publicada por la Superintendencia de Banca, Seguros y AFP
correspondiente a la fecha de suscripción del contrato, de
emisión de la orden de servicio o de cancelación del
comprobante de pago, según corresponda.
Sin perjuicio de lo anterior, los contratistas deben llenar y

presentar el Anexo Nº 7 referido a la Experiencia del
Contratista.
FACTORES DE EVALUACIÓN - OPCIONALES PARA SU ASIGNACIÓN
B. CUMPLIMIENTO DEL SERVICIO MÁXIMO PUNTAJE: 15 PUNTOS
Criterio:
Se evaluará el nivel de cumplimiento del contratista, respecto Se debe utilizar la siguiente
de los servicios presentados para acreditar la experiencia del fórmula de evaluación13:
contratista, en función al número de constancias de prestación
presentadas.
PCP= PF x CBC
Acreditación: NC
Mediante la presentación de un máximo de diez (10) Donde:
constancias de prestación o cualquier otro documento que,
independientemente de su denominación, indique, como PCP = Puntaje a otorgarse al
contratista.
mínimo, lo siguiente:
PF = Puntaje máximo al
contratista.
1. La identificación del contrato u orden de servicio, indicando NC = Número de
como mínimo su objeto. contrataciones presentadas
para acreditar la experiencia
13
Para mayor detalle, se recomienda revisar el Pronunciamiento Nº 087-2010/DTN en www.osce.gob.pe
182
2. El monto correspondiente; esto es, el importe total al que
asciende el contrato, comprendiendo las variaciones por
adicionales, reducciones, reajustes, etc., que se hubieran
aplicado durante la ejecución contractual.
del contratista.
3. Las penalidades en que hubiera incurrido el contratista CBC = Número de constancias
durante la ejecución de dicho contrato de prestación válidas.
C. MEJORAS A LAS CONDICIONES PREVISTAS
C.1.1 Ancho de Banda Adicional Servicio de Internet en el Nodo

Central MÁXIMO PUNTAJE: 30 PUNTOS
Criterio: Se brindará puntaje al contratista que ofrezca un ancho de

banda adicional al circuito de datos de acceso a la VPN-PNP del Ofrece 10 Mbps Adicionales:
enlace principal requerido para el nodo Central. La evaluación se 8 Puntos
realizará por Mbps (megabytes) de ancho de banda adicional al
Ofrece 6 Mbps Adicionales:
servicio requerido (40 Mbps), el mismo que deberá ser brindado 5 Puntos
durante todo el período del servicio.
Ofrece 3 Mbps Adicionales:
Acreditación: 3 Puntos
Mediante la presentación de una declaración jurada donde se
detalle la mejora ofertada de acuerdo a lo solicitado debiendo
señalar que la misma no generará ningún costo adicional a la
entidad
C.1.2 Solución para seguridad de la información para

computadoras (prevención de la pérdida de Información)
Criterio: Se brindará puntaje al contratista que ofrezca una solución

para prevenir la pérdida de información sensible a través de los
metadatos asociados a los documentos, mínimo licencias para 100
computadoras.
El servicio debe contemplar la información adicional que debe ser
controlada y protegida en pro de mantener los niveles de
confidencialidad e integridad requeridos, sobre los siguientes tipos
de información de los documentos: Ofrece la solución para
seguridad de la información
- Propiedades del documento: Datos almacenados para computadoras
que le dan al usuario información sobre el documento en (prevención de la pérdida de
general, por ejemplo las etiquetas de organización. Información), según lo
- Información oculta: Información no editable que solicitado:
provee datos para las herramientas que gestionan los
documentos, por ejemplo, la ruta de la platilla, las 5 Puntos
impresoras, estructura de una base de datos, etc.
- Datos perdidos: Información almacenada en el
documento producida por errores, debilidades en la
utilización de las herramientas que gestionan los
documentos, un ejemplo puede ser rutas hacia servidores
internos.
Acreditación:
detalle la solución propuesta según lo solicitado.
183
C.1.3 Protección para Seguridad de la Información desde una

Aplicación móvil
Criterio: Se brindará puntaje al contratista que ofrezca un servicio

Ofrece la solución
que permita añadir un nivel adicional de protección a los servicios
Protección para Seguridad
online de la Policía Nacional del Perú permitiendo a sus usuarios el
de la Información desde una
bloqueo del acceso a los mismos desde una aplicación móvil
Aplicación móvil, según lo
cuando no los estén utilizando. Por ejemplo: protección de acceso
solicitado:
Web, protección de acceso corporativo, segundo factor de
autenticación. Mínimo 100 licencias del servicio.
5 Puntos
Acreditación:
detalle el servicio propuesto según lo solicitado.
C.1.4 Garantía de Disponibilidad del Servicio ante averías

Contratista cuenta con
Criterio: Se otorgará puntuación al contratista que posea “Puntos de conexión a Internet a través
Presencia” IP (PoP IP) propios y dentro del territorio nacional para la de 2 o más PoPs IP de
salida a Internet, lo suficientemente distantes que permitan asegurar salida Internacional,
la disponibilidad del servicio de internet ante averías ocasionadas ubicados dentro del territorio
por eventos naturales (huracanes, terremotos, etc.), actos causados nacional, distantes entre sí
por terceros u otros varios. en más de 500 Km. de
distancia:
Acreditación:
Mediante la presentación de una declaración jurada donde se 5 puntos
detalle el servicio propuesto según lo solicitado.
C.1.5 Funcionalidades Adicionales en el Equipamiento de los

accesos a Internet
Criterio: Se brindará puntaje al contratista que proporcione, sin costo

adicional para la entidad, las siguientes características que
optimicen la gestión de la solución requerida:
Capacidad de conexión a internet vía WIFI a incluirse en la

solución de comunicaciones a instalarse en cada una de las
1,086 sedes remotas. Deberá incluir soporte para 2.4 ghz y 5 ghz Ofrece Mejora según lo
y soporte para funcionar como wireless controller. Un sistema de solicitado:
gestión que permita la administración centralizada de la solución 7 puntos
de comunicaciones a instalarse en cada una de sedes del
componente c. Deberá incluir soporte para poder administrarse
mediante perfiles por grupos de equipos. Capacidad de
proporcionar reportes, análisis y almacenamiento de Logs
incluyendo capacidades de correlación y análisis de
vulnerabilidades.
Acreditación:
indique el cumplimiento de lo solicitado.
D. Certificado de Calidad MAXIMO PUNTAJE: 05 PUNTOS
184
Criterio: A fin de asegurar que la empresa cuente con un buen
sistema de gestión de calidad, se evaluará con puntaje aquella
empresa que cuente con certificación ISO 9001 Cuenta con certificación ISO
9001:
Acreditación: 05 Puntos
Se acreditará mediante copia legible del certificado de calidad
solicitado.
IMPORTANTE:
 Los factores de evaluación no pueden calificar con puntaje el cumplimiento de los

requerimientos técnicos mínimos.
 Para acceder a la etapa de evaluación económica, el contratista deberá obtener un

puntaje técnico mínimo de ochenta (80) puntos.
ITEM 2
I. FACTORES DE EVALUACIÓN UTILIZADOS CUANDO SE CONVOQUE LA
CONTRATACIÓN DE SERVICIOS EN GENERAL:
De acuerdo con el artículo 45 del Reglamento, las Bases deben consignar el siguiente factor
de evaluación:
A. EXPERIENCIA EN LA ACTIVIDAD
Criterio:
Se evaluará considerando el monto facturado acumulado por el
M = Monto facturado acumulado
CONTRATISTA durante un periodo de NO MAYOR A CUATRO (04) AÑOS,
por el contratista por la
contados a partir de la fecha de la presentación de propuestas, hasta por un
prestación
monto máximo acumulado equivalente a cinco (05) veces el valor referencial
de servicios correspondientes
de la presente convocatoria correspondiente al Servicio de Tercerización de
a la actividad objeto del
Servicios de Tecnologías de Información en Seguridad Informática ó servicios
proceso
similares.
Se considerarán servicios similares a los siguientes: Servicios de

M >= 05 veces el valor referencial:
Tercerización de Tecnologías de Información (Hosting ó Housing) donde se 40 puntos
haya incluido algún Componente o Servicio de Seguridad Informática en
general. M >= 4.5 veces el valor referencial
y < 05 veces el valor referencial:
Acreditación: 30 puntos
La experiencia se acreditará mediante copia simple de: contratos u órdenes
de servicio, y su respectiva conformidad por la prestación efectuada; o M >= 04 veces el valor referencial
comprobantes de pago cuya cancelación se acredite documental y y < 4.5 veces el valor referencial:
fehacientemente, con (sellos de cancelado en el mismo documento, copia de 20 puntos
cheques, copia de voucher de depósito o reporte de estado de cuenta),
correspondientes a un máximo de cinco (05) servicios. M < 04 veces el valor referencial:
00 puntos
En caso los contratistas presenten varios comprobantes de pago para
acreditar la prestación de un solo servicio, se deberá acreditar que
corresponden a dicho servicio; de lo contrario, se asumirá que los
185
comprobantes acreditan servicios independientes, en cuyo caso solo se
considerará, para la evaluación y calificación, los cinco (05) primeros
servicios indicados en el Anexo Nº 6 referido a la Experiencia del Contratista.
En el caso de servicios de ejecución periódica, sólo se considerará como

experiencia la parte del contrato que haya sido ejecutada a la fecha de
presentación de propuestas, debiendo adjuntarse copia de las conformidades
correspondientes a tal parte o los respectivos comprobantes de pago.
En los casos que se acredite experiencia adquirida en consorcio, deberá

presentarse la promesa formal de consorcio o el contrato de consorcio del
cual se desprenda fehacientemente el porcentaje de las obligaciones que se
asumió en el contrato presentado; de lo contrario, no se computará la
experiencia proveniente de dicho contrato.
Asimismo, cuando se presenten contratos derivados de procesos de

selección convocados antes del 20.09.2013, se entenderá que el porcentaje
de las obligaciones equivale al porcentaje de participación de la promesa
formal o del contrato de consorcio. En caso en dichos documentos no se
consigne el porcentaje de participación se presumirá que las obligaciones se
ejecutaron en partes iguales.
Cuando en los contratos, órdenes de servicios o comprobantes de pago el

monto facturado se encuentre expresado en moneda extranjera, debe
indicarse el tipo de cambio venta publicada por la Superintendencia de
Banca, Seguros y AFP correspondiente a la fecha de suscripción del
contrato, de emisión de la orden de servicio o de cancelación del
Sin perjuicio de lo anterior, los contratistas deben llenar y presentar el Anexo

Nº 6 referido a la Experiencia del Contratista.
B. CUMPLIMIENTO DEL SERVICIO MÁXIMO PUNTAJE: 20 PUNTOS
Se debe utilizar la siguiente fórmula

Criterio: de evaluación14:
Se evaluará el nivel de cumplimiento del contratista, respecto de los
servicios de la presente convocatoria correspondiente al Servicio de
Tercerización de Servicios de Tecnologías de Información en Seguridad PCP= PF x CBC
Informática ó servicios similares presentados para acreditar la experiencia NC
del contratista, en función al número de constancias de prestación
presentadas. Donde:
Se considerarán servicios similares a los siguientes: Servicios de PCP = Puntaje a otorgarse al

Tercerización de Tecnologías de Información (Hosting ó Housing) donde se contratista.
PF = Puntaje máximo al contratista.
haya incluido algún Componente o Servicio de Seguridad Informática en
NC = Número de contrataciones
general. presentadas para acreditar la
experiencia del contratista.
14
Para mayor detalle, se recomienda revisar el Pronunciamiento Nº 087-2010/DTN en www.osce.gob.pe
186
Acreditación:
Mediante la presentación de un máximo de cinco (05) constancias de
prestación o cualquier otro documento que, independientemente de su
denominación, indique, como mínimo, lo siguiente:
1. La identificación del contrato u orden de servicio, indicando como mínimo

su objeto.
CBC = Número de constancias de
2. El monto correspondiente; esto es, el importe total al que asciende el prestación válidas.
contrato, comprendiendo las variaciones por adicionales, reducciones,
reajustes, etc., que se hubieran aplicado durante la ejecución contractual.
Las penalidades en que hubiera incurrido el contratista durante la ejecución

de dicho contrato.
C. MEJORAS A LAS CONDICIONES PREVISTAS
a. Redundancia de las ubicaciones del SOC que el Contratista

considere
Criterio: Con la finalidad de incrementar la disponibilidad de los
Centros de Monitoreo de Seguridad, se evaluará la diversidad de
países en los que se encuentren ubicados los SOC (Centro de
Operaciones de Seguridad por sus siglas en inglés) que considere
el Contratista. RANGO DE CALIFICACIÓN
PUNTAJE
Acreditación:
Se presentará carta simple del Contratista indicando la dirección

exacta y teléfonos de dichos Centros de Operaciones de Seguridad 07 o más países……10 puntos
quedando a consideración de la Entidad validar in-situ o por 06 países……………07 puntos
teléfono la veracidad de esta información. En caso de consorcio, 05 países………...….05 puntos
todos los SOC deberán ser parte de uno solo de los contratistas
que estén formando el consorcio ya que se busca uniformidad
entre los distintos SOC. No se aceptarán sumatorias de SOC de
cada uno de los participantes del consorcio.
b. Provisión adicional de Equipamiento Informático Gestión de

Seguridad
Criterio: Con la finalidad de tener gestión y monitoreo en temas de RANGO DE CALIFICACIÓN

seguridad se evaluara la provisión de equipamiento informático PUNTAJE
para dicho fin.
10 Equipos………………10 puntos
Acreditación: Entre 03 y 06 Equipos….04 puntos
Se presentará declaración jurada del Contratista indicando la Menos de 3 Equipos……00 puntos
cantidad y características de máquinas (computadoras)
propuestas.
D. PERSONAL PROPUESTO PARA LA PRESTACION DEL MÁXIMO PUNTAJE: 20 PUNTOS

SERVICIO:
RANGO DE CALIFICACIÓN
187
Certificaciones del personal considerado para la Implementación del SGSI
(ISO27002:2013)
PUNTAJE
Criterio: Se evaluará la experiencia de la persona que realizará la
Implementación del SGSI a través de las siguientes certificaciones vigentes:
- Information Security Management Advanced based on ISO/IEC
27002:2013
- ITIL Expert in IT Service Management con más de 2 años de experiencia
02 certificados………..20 puntos
01 certificado…………10 puntos
Acreditación:
Se presentará copia de las certificaciones vigentes del profesional que el

Contratista considerará.
PUNTAJE TOTAL 100 puntos15
IMPORTANTE:
 Los factores de evaluación no pueden calificar con puntaje el cumplimiento de los

requerimientos técnicos mínimos.
 Para acceder a la etapa de evaluación económica, el contratista deberá obtener un

puntaje técnico mínimo de ochenta (80) puntos.
15
Es la suma de los puntajes de todos los factores de evaluación, incluyendo los opcionales.
188
CAPÍTULO V
PROFORMA DEL CONTRATO
ITEM 1
Conste por el presente documento, la contratación del servicio de “CONTRATACION DE

SERVICIO DE BANDA ANCHA DE ACCESO A INTERNET PARA COMISARIAS A NIVEL
NACIONAL Y UNIDADES ESPECIALIZADAS A NIVEL NACIONAL, TRANSMISION DE
DATOS IP VPN PARA COMPLEJOS POLICIALES Y PUESTOS DE FRONTERAS PNP
SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA - ítem N°1”, que celebra
de una parte la Dirección de Economía y Finanzas de la Policía Nacional del Perú, en
adelante LA ENTIDAD, con RUC Nº 20165465009, con domicilio legal en Calle San
Germán N° 200 – Rímac, representada por [………..…], identificado con DNI Nº [………], y
de otra parte [……………….....................], con RUC Nº [................], con domicilio legal en
[……………….....................], inscrita en la Ficha N° [……………….........] Asiento N°
[……….......] del Registro de Personas Jurídicas de la ciudad de [………………],
debidamente representado por su Representante Legal, [……………….....................], con
DNI N° [………………..], según poder inscrito en la Ficha N° […………..], Asiento N°
[…………] del Registro de Personas Jurídicas de la ciudad de […………], a quien en
adelante se le denominará EL CONTRATISTA en los términos y condiciones siguientes:
CLÁUSULA PRIMERA: ANTECEDENTES
Con fecha [………………..], el Comité Especial adjudicó la Buena Pro del CONCURSO
PÚBLICO Nº 01-2015- DIREJADM-DIRLOG-DIVABA-PNP para la “CONTRATACION DE
SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA – Item N° 1”, a [INDICAR
NOMBRE DEL GANADOR DE LA BUENA PRO], cuyos detalles e importe constan en los
documentos integrantes del presente contrato.
CLÁUSULA SEGUNDA: OBJETO
El presente contrato tiene por objeto la “CONTRATACION DE SERVICIO DE BANDA

UNIDADES ESPECIALIZADAS A NIVEL NACIONAL, TRANSMISION DE DATOS IP VPN
PARA COMPLEJOS POLICIALES Y PUESTOS DE FRONTERAS PNP SEGURIDAD
GESTIONADA Y SERVICIOS DE FIBRA OSCURA - ITEM 1”, conforme a los Términos de
Referencia.
CLÁUSULA TERCERA: MONTO CONTRACTUAL
El monto total del presente contrato asciende a [CONSIGNAR MONEDA Y MONTO],

[CONSIGNAR SI O NO] incluye IGV.16
Este monto comprende el costo del servicio, seguros e impuestos, así como todo aquello
que sea necesario para la correcta ejecución de la prestación materia del presente
contrato.
16
Consignar que NO incluye IGV en caso el contratista ganador de la Buena Pro haya presentado la Declaración
jurada de cumplimiento de condiciones para la aplicación de la exoneración del IGV (Anexo Nº 10) en su propuesta
técnica.
189
CLÁUSULA CUARTA: DEL PAGO17
LA ENTIDAD se obliga a pagar la contraprestación a EL CONTRATISTA en Nuevos

Soles, TREINTA Y SEIS (36) pagos periódicos mensuales, luego de la recepción formal y
completa de la documentación correspondiente, según lo establecido en el artículo 181 del
Reglamento de la Ley de Contrataciones del Estado.
Para tal efecto, el responsable de otorgar la conformidad de la prestación deberá hacerlo

en un plazo que no excederá de los diez (10) días calendario de ser estos recibidos.
LA ENTIDAD debe efectuar el pago dentro de los quince (15) días calendario siguiente al
otorgamiento de la conformidad respectiva, siempre que se verifiquen las demás
En caso de retraso en el pago, EL CONTRATISTA tendrá derecho al pago de intereses

conforme a lo establecido en el artículo 48 de la Ley de Contrataciones del Estado,
contado desde la oportunidad en el que el pago debió efectuarse.
CLÁUSULA QUINTA: DEL PLAZO DE LA EJECUCIÓN DE LA PRESTACIÓN
El plazo de ejecución del presente contrato se computará de la siguiente manera:
Los servicios materia de la presente convocatoria se prestarán de la siguiente manera:
Plazo de Instalación ITEM 1: El plazo máximo para la instalación del servicio es de

CIENTO OCHENTA (180) días calendarios, contados a partir del día siguiente de la
culminación de la acreditación del personal que prestará el Servicio de instalación.
El tiempo de prestación del servicio será de TREINTA Y SEIS (36) meses, contados a
partir del día siguiente de la aceptación de la instalación del servicio realizado mediante el
Acta de Conformidad emitida por la División de Administración de Centros de Cómputo de
la Dirección de Informática PNP - DIRETIC-PNP, a excepción de las líneas redundantes
de internet del sitio de contingencia del componente a. y la fibra oscura del componente b.
del Ítem 1 que iniciarán al día siguiente de recibida la comunicación de la mencionada
División para el inicio del mismo.
CLÁUSULA SEXTA: PARTES INTEGRANTES DEL CONTRATO
El presente contrato está conformado por las Bases integradas, la oferta ganadora 18 y los
documentos derivados del proceso de selección que establezcan obligaciones para las
partes.
CLÁUSULA SÉTIMA: GARANTÍAS
EL CONTRATISTA entregó a la suscripción del contrato la respectiva garantía solidaria,

irrevocable, incondicional y de realización automática a sólo requerimiento, a favor de LA
ENTIDAD, por los conceptos, importes y vigencias siguientes:
17
En cada caso concreto, dependiendo de la naturaleza del contrato, podrá adicionarse la información que resulte pertinente
a efectos de generar el pago.
18
La oferta ganadora comprende a las propuestas técnica y económica del contratista ganador de la Buena Pro.
190
De fiel cumplimiento del contrato 19: S/. [CONSIGNAR EL MONTO], a través de la

[INDICAR EL TIPO DE GARANTÍA Y NUMERO DEL DOCUMENTO, EMPRESA QUE LA
EMITE]. Cantidad que es equivalente al diez por ciento (10%) del monto del contrato
original, la misma que deberá mantenerse vigente hasta la conformidad de la recepción de
la prestación.
IMPORTANTE:
Al amparo de lo dispuesto en el artículo 39 de la Ley de Contrataciones del Estado, en los casos de prestación de servicios de
ejecución periódica, si el contratista ganador de la Buena Pro solicita la retención del diez por ciento (10%) del monto del contrato
original como garantía de fiel cumplimiento deberá consignarse lo siguiente:
“De fiel cumplimiento del contrato: S/. [CONSIGNAR EL MONTO], a través de la retención que deberá efectuar LA ENTIDAD,
durante la primera mitad del número total de pagos a realizarse, de forma prorrateada, con cargo a ser devuelto a la finalización
del mismo.”
Garantía por el monto diferencial de la propuesta 20: S/. [CONSIGNAR EL MONTO], a través de la [INDICAR EL TIPO DE
GARANTÍA Y NUMERO DEL DOCUMENTO, EMPRESA QUE LA EMITE], la misma que deberá mantenerse vigente hasta la
conformidad de la recepción de la prestación.
CLÁUSULA OCTAVA: EJECUCIÓN DE GARANTÍAS POR FALTA DE RENOVACIÓN
LA ENTIDAD está facultada para ejecutar las garantías cuando EL CONTRATISTA no

cumpliera con renovarlas, conforme a lo dispuesto por el artículo 164 del Reglamento de
la Ley de Contrataciones del Estado.
CLÁUSULA NOVENA: CONFORMIDADES DEL SERVICIO
La conformidad del servicio se regula por lo dispuesto en el artículo 176 del Reglamento
de la Ley de Contrataciones del Estado y será otorgada por la División de Administración
de Centros de Cómputo de la Dirección de Informática PNP - DIRETIC-PNP.
De existir observaciones se consignarán en el acta respectiva, indicándose claramente el

sentido de éstas, dándose al CONTRATISTA un plazo prudencial para su subsanación, en
función a la complejidad del servicio. Dicho plazo no podrá ser menor de dos (2) ni mayor
de diez (10) días calendario. Si pese al plazo otorgado, EL CONTRATISTA no cumpliese a
cabalidad con la subsanación, LA ENTIDAD podrá resolver el contrato, sin perjuicio de
aplicar las penalidades que correspondan.
Este procedimiento no será aplicable cuando los servicios manifiestamente no cumplan

con las características y condiciones ofrecidas, en cuyo caso LA ENTIDAD no efectuará la
recepción, debiendo considerarse como no ejecutada la prestación, aplicándose las
penalidades que correspondan.
CLÁUSULA DÉCIMA: DECLARACIÓN JURADA DEL CONTRATISTA
EL CONTRATISTA declara bajo juramento que se compromete a cumplir las obligaciones

derivadas del presente contrato, bajo sanción de quedar inhabilitado para contratar con el
19
En aplicación de lo dispuesto en el artículo 158 del Reglamento de la Ley de Contrataciones del Estado, la garantía
de fiel cumplimiento deberá ser emitida por una suma equivalente al diez por ciento (10%) del monto del contrato original y
tener vigencia hasta la conformidad de la recepción de la prestación a cargo del contratista.
De manera excepcional, respecto de aquellos contratos que tengan una vigencia superior a un (1) año, las Entidades
podrán aceptar que el ganador de la Buena Pro presente la garantía de fiel cumplimiento y de ser el caso, la garantía por el
monto diferencial de la propuesta, con una vigencia de un (1) año, con el compromiso de renovar su vigencia hasta la
20
En aplicación de los
propuesta económica fuese inferior al valor referencial en más del diez por ciento (10%) de éste en el proceso de selección
para la contratación de servicios, para la suscripción del contrato el contratista ganador deberá presentar una garantía
adicional por un monto equivalente al veinticinco por ciento (25%) de la diferencia entre el valor referencial y la propuesta
económica. Dicha garantía deberá tener vigencia hasta la conformidad de la recepción de la prestación a cargo del
contratista.
191
Estado en caso de incumplimiento.
CLÁUSULA UNDÉCIMA: RESPONSABILIDAD POR VICIOS OCULTOS
La conformidad del servicio por parte de LA ENTIDAD no enerva su derecho a reclamar

posteriormente por defectos o vicios ocultos, conforme a lo dispuesto por el artículo 50 de
El plazo máximo de responsabilidad de EL CONTRATISTA es de un año.
CLÁUSULA DUODÉCIMA: PENALIDADES
Si EL CONTRATISTA incurre en retraso injustificado en la ejecución de las prestaciones

objeto del contrato, LA ENTIDAD le aplicará una penalidad por cada día de atraso, hasta
por un monto máximo equivalente al diez por ciento (10%) del monto del contrato vigente
o, de ser el caso, del monto del ítem que debió ejecutarse, en concordancia con el artículo
165 del Reglamento de la Ley de Contrataciones del Estado.

Penalidad 0.10 x Monto

Diaria = F = 0.25
Donde:
F = 0.25 para plazos mayores a sesenta (60) días o;

F = 0.40 para plazos menores o iguales a sesenta (60) días.
Tanto el monto como el plazo se refieren, según corresponda, al contrato o ítem que debió
ejecutarse o, en caso que éstos involucrarán obligaciones de ejecución periódica, a la
prestación parcial que fuera materia de retraso.
Esta penalidad será deducida de los pagos periódicos, de los pagos parciales o del pago
final; o si fuese necesario se cobrará del monto resultante de la ejecución de las garantías
de Fiel Cumplimiento o por el monto diferencial de la propuesta (de ser el caso).
Cuando se llegue a cubrir el monto máximo de la penalidad, LA ENTIDAD podrá resolver

el contrato por incumplimiento.

Estado y su Reglamento, el Código Civil y demás normas aplicables, según corresponda.
OTRAS PENALIDADES
a. Calidad de Atención de Averías
21
192
THE Penalidad
Menor o igual a 1 hora 1%
Mayor a 1 y menor a 2 horas 5%
Mayor a 8 horas
b. Frecuencia de Caídas del Mes (FCM)
FCM Penalidad
Menor a 2 0%
Menor a 4 10 %
Menor a 6 20 %
Menor a 8 30 %
c. Pérdida de Paquetes (PPKT)
PPKT Penalidad
De 1% a 2% 0%
De 2% a 3% 10%
De 3% a 4% 20%
Mayor a 4% 30%
d. No activación del respaldo en modo automático (NARMA).
Se aplica cuando luego de 5 minutos de caído el enlace principal no se activa en

modo automático el enlace de respaldo. En este caso se aplica una penalidad fija
de 30% como porcentaje del pago mensual por el circuito de datos.
e. Cálculo final de la penalidad por incumplimiento del Acuerdo de Nivel de

Servicio (ANS).
El cálculo de la penalidad mensual se determina para cada circuito de datos, éste

se definirá como la suma de penalidades de los 4 factores definidos líneas arriba,
es decir la Penalidad por cada enlace está dada por:
Penalidad x Enlace = Penalidad (THE) + Penalidad (FMC) + Penalidad

(PPKT) + Penalidad (NARMA).
f. Incumplimiento del cambio de tipo de medio de transmisión solicitado
193
Si se comprueba que el contratista ha considerado la colocación de un enlace

Satelital de transmisión de datos donde existe factibilidad técnica para la
instalación de un enlace por cobre o fibra óptica y a pesar de habérsele notificado
de tal hecho incumple con el cambio de comunicación vía satélite a cobre o fibra
óptica en el lapso de 30 días calendarios será penalizado con penalidad por hora
en la ejecución de la prestación.
CLÁUSULA DÉCIMO TERCERA: RESOLUCIÓN DEL CONTRATO
Cualquiera de las partes podrá resolver el contrato, de conformidad con los artículos 40,
inciso c), y 44 de la Ley de Contrataciones del Estado, y los artículos 167 y 168 de su
Reglamento. De darse el caso, LA ENTIDAD procederá de acuerdo a lo establecido en el
artículo 169 del Reglamento de la Ley de Contrataciones del Estado.
OTRAS CAUSALES DE RESOLUCION DE CONTRATO:
a. La Entidad podrá resolver el Contrato si el Contratista incurre en más de 11

oportunidades, en faltas graves durante la vigencia del contrato para el cómputo del
incumplimiento del Acuerdo de Nivel de Servicio (ANS).
b. De presentarse una situación excepcional que impida al Contratista cumplir con los
plazos de respuesta establecidos (las averías causadas por casos fortuitos ajenas al
contratista como desastres naturales o situaciones de fuerza mayor no serán
consideradas en la penalidad, sin embargo lo referente a vandalismo (robos de cable) no
se consideran dentro de estos casos, dado que son situaciones que el contratista conoce
por lo que debe aplicar las medidas preventivas del caso), éste deberá presentar a la
División de Administración de Centros de Cómputo de la Dirección de Informática PNP -
DIRETIC-PNP, la documentación donde expondrá los motivos técnicos que originaron la
situación excepcional, y la Entidad evaluará dicha justificación, a fin de determinar la
aplicación de penalidades.
CLÁUSULA DÉCIMO CUARTA: RESPONSABILIDAD DE LAS PARTES
Cuando una de las partes no ejecute injustificadamente las obligaciones asumidas, debe
resarcir a la otra parte por los daños y perjuicios ocasionados, a través de la
indemnización correspondiente. Ello no obsta la aplicación de las sanciones
administrativas, penales y pecuniarias a que dicho incumplimiento diere lugar, en el caso
que éstas correspondan.
Lo señalado precedentemente no exime a ninguna de las partes del cumplimiento de las
demás obligaciones previstas en el presente contrato.
CLÁUSULA DÉCIMO QUINTA: MARCO LEGAL DEL CONTRATO
Sólo en lo no previsto en este contrato, en la Ley de Contrataciones del Estado y su

Reglamento, en las directivas que emita el OSCE y demás normativa especial que resulte
aplicable, serán de aplicación supletoria las disposiciones pertinentes del Código Civil
vigente, cuando corresponda, y demás normas de derecho privado.
CLÁUSULA DÉCIMO SÉXTA: SOLUCIÓN DE CONTROVERSIAS22
Cualquiera de las partes tiene el derecho a iniciar el arbitraje administrativo a fin de

resolver las controversias que se presenten durante la etapa de ejecución contractual
22
De conformidad con los artículos 216 y 217 del Reglamento, podrá adicionarse la información que resulte necesaria
para resolver las controversias que se susciten durante la ejecución contractual. Por ejemplo, para la suscripción del
contrato y, según el acuerdo de las partes podrá establecerse que el arbitraje será institucional o ante el Sistema Nacional
de Arbitraje del OSCE (SNA-OSCE), debiendo indicarse el nombre del centro de arbitraje pactado y si se opta por un
arbitraje ad-hoc, deberá indicarse si la controversia se someterá ante un tribunal arbitral o ante un árbitro único.
194
dentro del plazo de caducidad previsto en los artículos 144, 170, 175, 176, 177 y 181 del
Reglamento o, en su defecto, en el artículo 52 de la Ley de Contrataciones del Estado.
Facultativamente, cualquiera de las partes podrá someter a conciliación la referida

controversia, sin perjuicio de recurrir al arbitraje en caso no se llegue a un acuerdo entre
ambas, según lo señalado en el artículo 214 del Reglamento de la Ley de Contrataciones
del Estado.
El Laudo arbitral emitido es definitivo e inapelable, tiene el valor de cosa juzgada y se

ejecuta como una sentencia.
Las partes acuerdan que el arbitraje será institucional ante un Tribunal Arbitral y se
resolverá de conformidad con los reglamentos arbitrales del centro de análisis y resolución
de conflictos de la Pontificia Universidad Católica del Perú, a cuyas normas de
administración y decisión se someten las partes en forma incondicional.
CLÁUSULA DÉCIMO SÉTIMA: FACULTAD DE ELEVAR A ESCRITURA PÚBLICA
Cualquiera de las partes podrá elevar el presente contrato a Escritura Pública corriendo
con todos los gastos que demande esta formalidad.
CLÁUSULA DÉCIMO OCTAVA: DOMICILIO PARA EFECTOS DE LA EJECUCIÓN

CONTRACTUAL
Las partes declaran el siguiente domicilio para efecto de las notificaciones que se realicen
durante la ejecución del presente contrato:
DOMICILIO DE LA ENTIDAD: [……………..]

DOMICILIO DEL CONTRATISTA: [CONSIGNAR EL DOMICILIO SEÑALADO POR EL
CONTRATISTA GANADOR DE LA BUENA PRO AL PRESENTAR LOS REQUISITOS
PARA LA SUSCRIPCIÓN DEL CONTRATO]
La variación del domicilio aquí declarado de alguna de las partes debe ser comunicada a
la otra parte, formalmente y por escrito, con una anticipación no menor de quince (15) días
calendario.
De acuerdo con las Bases, las propuestas técnico y económica y las disposiciones del
presente contrato, las partes lo firman por duplicado en señal de conformidad en la ciudad
de [................] al [CONSIGNAR FECHA].
“LA ENTIDAD” “EL CONTRATISTA”
195
ITEM 2
Conste por el presente documento, la contratación del servicio de “CONTRATACION DE

SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA Item N° 2”, que celebra
de una parte la Dirección de Economía y Finanzas de la Policía Nacional del Perú, en
adelante LA ENTIDAD, con RUC Nº 20165465009, con domicilio legal en Calle San
Germán N° 200 – Rimac, representada por [………..…], identificado con DNI Nº [………], y
de otra parte [……………….....................], con RUC Nº [................], con domicilio legal en
[……………….....................], inscrita en la Ficha N° [……………….........] Asiento N°
[……….......] del Registro de Personas Jurídicas de la ciudad de [………………],
debidamente representado por su Representante Legal, [……………….....................], con
DNI N° [………………..], según poder inscrito en la Ficha N° […………..], Asiento N°
[…………] del Registro de Personas Jurídicas de la ciudad de […………], a quien en
adelante se le denominará EL CONTRATISTA en los términos y condiciones siguientes:
CLÁUSULA PRIMERA: ANTECEDENTES
Con fecha [………………..], el Comité Especial adjudicó la Buena Pro del CONCURSO
PÚBLICO Nº 01-2015- DIREJADM-DIRLOG-DIVABA-PNP para la “CONTRATACION DE
SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA – Item N°2”, a [INDICAR
NOMBRE DEL GANADOR DE LA BUENA PRO], cuyos detalles e importe constan en los
documentos integrantes del presente contrato.
CLÁUSULA SEGUNDA: OBJETO
El presente contrato tiene por objeto la CONTRATACION DE SERVICIO DE BANDA

UNIDADES ESPECIALIZADAS A NIVEL NACIONAL, TRANSMISION DE DATOS IP VPN
PARA COMPLEJOS POLICIALES Y PUESTOS DE FRONTERAS PNP SEGURIDAD
GESTIONADA Y SERVICIOS DE FIBRA OSCURA”, ITEM 2, conforme a los Términos de
Referencia.
CLÁUSULA TERCERA: MONTO CONTRACTUAL
El monto total del presente contrato asciende a [CONSIGNAR MONEDA Y MONTO],

[CONSIGNAR SI O NO] incluye IGV.23
Este monto comprende el costo del servicio, seguros e impuestos, así como todo aquello
que sea necesario para la correcta ejecución de la prestación materia del presente
contrato.
CLÁUSULA CUARTA: DEL PAGO24
LA ENTIDAD se obliga a pagar la contraprestación a EL CONTRATISTA en Nuevos

Soles, en pagos periódicos mensuales, luego de la recepción formal y completa de la
23
Consignar que NO incluye IGV en caso el contratista ganador de la Buena Pro haya presentado la Declaración
jurada de cumplimiento de condiciones para la aplicación de la exoneración del IGV (Anexo Nº 10) en su propuesta
técnica.
24
En cada caso concreto, dependiendo de la naturaleza del contrato, podrá adicionarse la información que resulte pertinente
a efectos de generar el pago.
196
documentación correspondiente, según lo establecido en el artículo 181 del Reglamento

de la Ley de Contrataciones del Estado.
Para tal efecto, el responsable de otorgar la conformidad de la prestación deberá hacerlo

en un plazo que no excederá de los diez (10) días calendario de ser estos recibidos.
LA ENTIDAD debe efectuar el pago dentro de los quince (15) días calendario siguiente al
otorgamiento de la conformidad respectiva, siempre que se verifiquen las demás
En caso de retraso en el pago, EL CONTRATISTA tendrá derecho al pago de intereses

conforme a lo establecido en el artículo 48 de la Ley de Contrataciones del Estado,
contado desde la oportunidad en el que el pago debió efectuarse.
CLÁUSULA QUINTA: DEL PLAZO DE LA EJECUCIÓN DE LA PRESTACIÓN
El plazo de ejecución del presente contrato se computará de la siguiente manera:
Los servicios materia de la presente convocatoria se prestarán de la siguiente manera:
Plazo de prestación del servicio ITEM 2: El Contratista tendrá un plazo máximo de

CIENTO OCHENTA (180) días calendarios para la entrega, instalación,
configuración, capacitación y puesta en marcha de todos los componentes
ofertados, a partir del día siguiente de la culminación de la acreditación del
personal que prestará el Servicio de instalación y de realizado el pago del 19.9%
de adelanto por parte de la Entidad

contados a partir del día siguiente de la aceptación de la instalación del servicio
realizado mediante el Acta de Conformidad emitida por la División de
DIRETIC-PNP.
CLÁUSULA SEXTA: PARTES INTEGRANTES DEL CONTRATO
El presente contrato está conformado por las Bases integradas, la oferta ganadora 25 y los
documentos derivados del proceso de selección que establezcan obligaciones para las
partes.
CLÁUSULA SÉTIMA: GARANTÍAS
EL CONTRATISTA entregó a la suscripción del contrato la respectiva garantía solidaria,

irrevocable, incondicional y de realización automática a sólo requerimiento, a favor de LA
ENTIDAD, por los conceptos, importes y vigencias siguientes:
De fiel cumplimiento del contrato 26: S/. [CONSIGNAR EL MONTO], a través de la

[INDICAR EL TIPO DE GARANTÍA Y NUMERO DEL DOCUMENTO, EMPRESA QUE LA
EMITE]. Cantidad que es equivalente al diez por ciento (10%) del monto del contrato
25
La oferta ganadora comprende a las propuestas técnica y económica del contratista ganador de la Buena Pro.
26
En aplicación de lo dispuesto en el artículo 158 del Reglamento de la Ley de Contrataciones del Estado, la garantía
de fiel cumplimiento deberá ser emitida por una suma equivalente al diez por ciento (10%) del monto del contrato original y
tener vigencia hasta la conformidad de la recepción de la prestación a cargo del contratista.
De manera excepcional, respecto de aquellos contratos que tengan una vigencia superior a un (1) año, las Entidades
podrán aceptar que el ganador de la Buena Pro presente la garantía de fiel cumplimiento y de ser el caso, la garantía por el
monto diferencial de la propuesta, con una vigencia de un (1) año, con el compromiso de renovar su vigencia hasta la
197
original, la misma que deberá mantenerse vigente hasta la conformidad de la recepción de

la prestación.
IMPORTANTE:
Al amparo de lo dispuesto en el artículo 39 de la Ley de Contrataciones del Estado, en los casos de prestación de servicios de
ejecución periódica, si el contratista ganador de la Buena Pro solicita la retención del diez por ciento (10%) del monto del contrato
original como garantía de fiel cumplimiento deberá consignarse lo siguiente:
“De fiel cumplimiento del contrato: S/. [CONSIGNAR EL MONTO], a través de la retención que deberá efectuar LA ENTIDAD,
durante la primera mitad del número total de pagos a realizarse, de forma prorrateada, con cargo a ser devuelto a la finalización
del mismo.”
Garantía por el monto diferencial de la propuesta 27: S/. [CONSIGNAR EL MONTO], a través de la [INDICAR EL TIPO DE
GARANTÍA Y NUMERO DEL DOCUMENTO, EMPRESA QUE LA EMITE], la misma que deberá mantenerse vigente hasta la
CLÁUSULA OCTAVA: EJECUCIÓN DE GARANTÍAS POR FALTA DE RENOVACIÓN
LA ENTIDAD está facultada para ejecutar las garantías cuando EL CONTRATISTA no

cumpliera con renovarlas, conforme a lo dispuesto por el artículo 164 del Reglamento de
CLÁUSULA NOVENA: ADELANTO DIRECTO
LA ENTIDAD otorgará [CONSIGNAR NÚMERO DE ADELANTOS A OTORGARSE]

adelantos directos por el [19.9%] del monto del contrato original.
EL CONTRATISTA debe solicitar los adelantos a la suscripción del contrato para lo cual
debe adjuntar a su solicitud la garantía por adelanto mediante la presentación
[CONSIGNAR CARTA FIANZA. Vencido dicho plazo no procederá la solicitud.
La Entidad debe entregar el monto solicitado dentro de los 15 días calendarios siguientes
a la presentación de la solicitud del contratista.
En el supuesto que los adelantos no se entreguen en la oportunidad prevista, EL

CONTRATISTA tendrá derecho a solicitar la ampliación del plazo de ejecución de la
prestación por el número de días equivalente a la demora, conforme al artículo 172 del
Reglamento.”
CLÁUSULA DECIMA: CONFORMIDADES DEL SERVICIO
La conformidad del servicio se regula por lo dispuesto en el artículo 176 del Reglamento
de la Ley de Contrataciones del Estado y será otorgada por la División de Administración
de Centros de Cómputo de la Dirección de Informática PNP - DIRETIC-PNP.
De existir observaciones se consignarán en el acta respectiva, indicándose claramente el

sentido de éstas, dándose al CONTRATISTA un plazo prudencial para su subsanación, en
función a la complejidad del servicio. Dicho plazo no podrá ser menor de dos (2) ni mayor
de diez (10) días calendario. Si pese al plazo otorgado, EL CONTRATISTA no cumpliese a
cabalidad con la subsanación, LA ENTIDAD podrá resolver el contrato, sin perjuicio de
aplicar las penalidades que correspondan.
Este procedimiento no será aplicable cuando los servicios manifiestamente no cumplan
27
En aplicación de los
propuesta económica fuese inferior al valor referencial en más del diez por ciento (10%) de éste en el proceso de selección
para la contratación de servicios, para la suscripción del contrato el contratista ganador deberá presentar una garantía
adicional por un monto equivalente al veinticinco por ciento (25%) de la diferencia entre el valor referencial y la propuesta
económica. Dicha garantía deberá tener vigencia hasta la conformidad de la recepción de la prestación a cargo del
contratista.
198
con las características y condiciones ofrecidas, en cuyo caso LA ENTIDAD no efectuará la

recepción, debiendo considerarse como no ejecutada la prestación, aplicándose las
penalidades que correspondan.
CLÁUSULA UNDÉCIMA: DECLARACIÓN JURADA DEL CONTRATISTA
EL CONTRATISTA declara bajo juramento que se compromete a cumplir las obligaciones

derivadas del presente contrato, bajo sanción de quedar inhabilitado para contratar con el
Estado en caso de incumplimiento.
CLÁUSULA DUODÉCIMA: RESPONSABILIDAD POR VICIOS OCULTOS
La conformidad del servicio por parte de LA ENTIDAD no enerva su derecho a reclamar

posteriormente por defectos o vicios ocultos, conforme a lo dispuesto por el artículo 50 de
El plazo máximo de responsabilidad de EL CONTRATISTA es de un año.
CLÁUSULA DECIMO TERCERA: PENALIDADES
Si EL CONTRATISTA incurre en retraso injustificado en la ejecución de las prestaciones

objeto del contrato, LA ENTIDAD le aplicará una penalidad por cada día de atraso, hasta
por un monto máximo equivalente al diez por ciento (10%) del monto del contrato vigente
o, de ser el caso, del monto del ítem que debió ejecutarse, en concordancia con el artículo
165 del Reglamento de la Ley de Contrataciones del Estado.

Penalidad 0.10 x Monto

Diaria = F = 0.25
Donde:
F = 0.25 para plazos mayores a sesenta (60) días o;

F = 0.40 para plazos menores o iguales a sesenta (60) días.
Tanto el monto como el plazo se refieren, según corresponda, al contrato o ítem que debió
ejecutarse o, en caso que éstos involucrarán obligaciones de ejecución periódica, a la
prestación parcial que fuera materia de retraso.
Esta penalidad será deducida de los pagos periódicos, de los pagos parciales o del pago
final; o si fuese necesario se cobrará del monto resultante de la ejecución de las garantías
de Fiel Cumplimiento o por el monto diferencial de la propuesta (de ser el caso).
Cuando se llegue a cubrir el monto máximo de la penalidad, LA ENTIDAD podrá resolver

el contrato por incumplimiento.
28
199

Estado y su Reglamento, el Código Civil y demás normas aplicables, según corresponda.
OTRAS PENALIDADES
Cuadro de Penalidad por incumplimiento de atención para el Servicio

Gestionado
Cabe señalar que de acuerdo a una caída del servicio de cualquiera de los
componentes del ITEM de servicio de seguridad gestionada y por demora en la
atención del incidente de acuerdo al tiempo, se estima el siguiente cuadro de
penalidad.
THE Penalidad
Menor o igual a 1 hora 1 % del pago mensual
Mayor a 8 horas 10 % del pago mensual
CLÁUSULA DÉCIMO CUARTA: RESOLUCIÓN DEL CONTRATO
Cualquiera de las partes podrá resolver el contrato, de conformidad con los artículos 40,
inciso c), y 44 de la Ley de Contrataciones del Estado, y los artículos 167 y 168 de su
Reglamento. De darse el caso, LA ENTIDAD procederá de acuerdo a lo establecido en el
artículo 169 del Reglamento de la Ley de Contrataciones del Estado.
CLÁUSULA DÉCIMO QUINTA: RESPONSABILIDAD DE LAS PARTES
Cuando una de las partes no ejecute injustificadamente las obligaciones asumidas, debe
resarcir a la otra parte por los daños y perjuicios ocasionados, a través de la
indemnización correspondiente. Ello no obsta la aplicación de las sanciones
administrativas, penales y pecuniarias a que dicho incumplimiento diere lugar, en el caso
que éstas correspondan.
Lo señalado precedentemente no exime a ninguna de las partes del cumplimiento de las
demás obligaciones previstas en el presente contrato.
CLÁUSULA DÉCIMO SEXTA: MARCO LEGAL DEL CONTRATO
Sólo en lo no previsto en este contrato, en la Ley de Contrataciones del Estado y su

Reglamento, en las directivas que emita el OSCE y demás normativa especial que resulte
aplicable, serán de aplicación supletoria las disposiciones pertinentes del Código Civil
vigente, cuando corresponda, y demás normas de derecho privado.
200
CLÁUSULA DÉCIMO SÉTIMA: SOLUCIÓN DE CONTROVERSIAS29
Cualquiera de las partes tiene el derecho a iniciar el arbitraje administrativo a fin de

resolver las controversias que se presenten durante la etapa de ejecución contractual
dentro del plazo de caducidad previsto en los artículos 144, 170, 175, 176, 177 y 181 del
Reglamento o, en su defecto, en el artículo 52 de la Ley de Contrataciones del Estado.
Facultativamente, cualquiera de las partes podrá someter a conciliación la referida

controversia, sin perjuicio de recurrir al arbitraje en caso no se llegue a un acuerdo entre
ambas, según lo señalado en el artículo 214 del Reglamento de la Ley de Contrataciones
del Estado.
El Laudo arbitral emitido es definitivo e inapelable, tiene el valor de cosa juzgada y se

ejecuta como una sentencia.
Las partes acuerdan que el arbitraje será institucional ante un Tribunal Arbitral y se
resolverá de conformidad con los reglamentos arbitrales del centro de análisis y resolución
de conflictos de la Pontificia Universidad Católica del Perú, a cuyas normas de
administración y decisión se someten las partes en forma incondicional.
CLÁUSULA DÉCIMO OCTAVA: FACULTAD DE ELEVAR A ESCRITURA PÚBLICA
Cualquiera de las partes podrá elevar el presente contrato a Escritura Pública corriendo
con todos los gastos que demande esta formalidad.
CLÁUSULA DÉCIMO NOVENA: DOMICILIO PARA EFECTOS DE LA EJECUCIÓN

CONTRACTUAL
Las partes declaran el siguiente domicilio para efecto de las notificaciones que se realicen
durante la ejecución del presente contrato:
DOMICILIO DE LA ENTIDAD: [……………..]

DOMICILIO DEL CONTRATISTA: [CONSIGNAR EL DOMICILIO SEÑALADO POR EL
CONTRATISTA GANADOR DE LA BUENA PRO AL PRESENTAR LOS REQUISITOS
PARA LA SUSCRIPCIÓN DEL CONTRATO]
La variación del domicilio aquí declarado de alguna de las partes debe ser comunicada a
la otra parte, formalmente y por escrito, con una anticipación no menor de quince (15) días
calendario.
De acuerdo con las Bases, las propuestas técnico y económica y las disposiciones del
presente contrato, las partes lo firman por duplicado en señal de conformidad en la ciudad
de [................] al [CONSIGNAR FECHA].
“LA ENTIDAD” “EL CONTRATISTA”
29
De conformidad con los artículos 216 y 217 del Reglamento, podrá adicionarse la información que resulte necesaria
para resolver las controversias que se susciten durante la ejecución contractual. Por ejemplo, para la suscripción del
contrato y, según el acuerdo de las partes podrá establecerse que el arbitraje será institucional o ante el Sistema Nacional
de Arbitraje del OSCE (SNA-OSCE), debiendo indicarse el nombre del centro de arbitraje pactado y si se opta por un
arbitraje ad-hoc, deberá indicarse si la controversia se someterá ante un tribunal arbitral o ante un árbitro único.
201
FORMATOS Y ANEXOS
202
FORMATO 1
MODELO DE CARTA DE ACREDITACIÓN
[CONSIGNAR CIUDAD Y FECHA]
Señores
COMITÉ ESPECIAL
CONCURSO PÚBLICO Nº 01-2015-DIREJADM-DIRLOG-DIVABA-PNP
Presente.-
[CONSIGNAR NOMBRE DEL CONTRATISTA (PERSONA NATURAL, PERSONA JURÍDICA Y/O

CONSORCIO)], identificado con DNI Nº [CONSIGNAR EN CASO DE SER PERSONA NATURAL] y
RUC Nº [CONSIGNAR EN CASO DE SER PERSONA JURÍDICA], debidamente representado por su
[CONSIGNAR SI SE TRATA DE REPRESENTANTE LEGAL EN CASO DE SER PERSONA
JURÍDICA O DEL REPRESENTANTE COMÚN EN CASO DE CONSORCIOS, ASÍ COMO SU
NOMBRE COMPLETO], identificado con DNI Nº […………], tenemos el agrado de dirigirnos a
ustedes, en relación con el CONCURSO PÚBLICO Nº 0001-2015- DIREJADM-DIRLOG-DIVABA-
PNP, a fin de acreditar a nuestro apoderado: [CONSIGNAR NOMBRE DEL APODERADO]
identificado con DNI Nº [………], quien se encuentra en virtud a este documento, debidamente
autorizado a realizar todos los actos vinculados al proceso de selección.
Para tal efecto, se adjunta copia simple de la ficha registral vigente del suscrito. 30
…..………………………….…………………..
Firma, Nombres y Apellidos del contratista o
Representante legal o común, según corresponda
30
Incluir dicho párrafo sólo en el caso de personas jurídicas.
203
ANEXO Nº 1
DECLARACIÓN JURADA DE DATOS DEL CONTRATISTA
Señores
COMITÉ ESPECIAL
CONCURSO PÚBLICO Nº 01-2015- DIREJADM-DIRLOG-DIVABA-PNP
Estimados Señores:
El que se suscribe, [……………..], contratista y/o Representante Legal de [CONSIGNAR EN CASO

DE SER PERSONA JURÍDICA], identificado con [CONSIGNAR TIPO DE DOCUMENTO DE
IDENTIDAD] N° [CONSIGNAR NÚMERO DE DOCUMENTO DE IDENTIDAD], con poder inscrito en
la localidad de [CONSIGNAR EN CASO DE SER PERSONA JURÍDICA] en la Ficha Nº [CONSIGNAR
EN CASO DE SER PERSONA JURÍDICA] Asiento Nº [CONSIGNAR EN CASO DE SER PERSONA
JURÍDICA], DECLARO BAJO JURAMENTO que la siguiente información se sujeta a la verdad:
Nombre o Razón Social :

Domicilio Legal :
RUC : Teléfono : Fax :
……...........................................................
Representante legal, según corresponda
IMPORTANTE:
 Cuando se trate de consorcios, esta declaración jurada será presentada por cada uno de los consorciados.
204
ANEXO Nº 2
DECLARACIÓN JURADA DE CUMPLIMIENTO DE LOS REQUERIMIENTOS TÉCNICOS MÍNIMOS
Señores
COMITÉ ESPECIAL
De nuestra consideración:
Es grato dirigirme a usted, para hacer de su conocimiento que luego de haber examinado las Bases y
demás documentos del proceso de la referencia y, conociendo todas las condiciones existentes, el
contratista ofrece el “CONTRATACION DE SERVICIO DE BANDA ANCHA DE ACCESO A
INTERNET PARA COMISARIAS A NIVEL NACIONAL Y UNIDADES ESPECIALIZADAS A NIVEL
NACIONAL, TRANSMISION DE DATOS IP VPN PARA COMPLEJOS POLICIALES Y PUESTOS DE
FRONTERAS PNP SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA”, de
conformidad con los Términos de Referencia, las demás condiciones que se indican en el Capítulo III
de la sección específica de las Bases y los documentos del proceso.
…….………………………….…………………..
IMPORTANTE:
 Adicionalmente, puede requerirse la presentación de otros documentos para acreditar el cumplimiento de los Requerimientos
Técnicos Mínimos, conforme a lo señalado en el contenido del sobre técnico.
205
ANEXO Nº 3
DECLARACIÓN JURADA
(ART. 42 DEL REGLAMENTO DE LA LEY DE CONTRATACIONES DEL ESTADO)
Señores
COMITÉ ESPECIAL
De nuestra consideración:
Mediante el presente el suscrito, contratista y/o Representante Legal de [CONSIGNAR EN CASO DE

SER PERSONA JURÍDICA], declaro bajo juramento:
1.- No tener impedimento para participar en el proceso de selección ni para contratar con el Estado,
conforme al artículo 10 de la Ley de Contrataciones del Estado.
2.- Conocer, aceptar y someterme a las Bases, condiciones y procedimientos del proceso de
selección.
3.- Ser responsable de la veracidad de los documentos e información que presento a efectos del
presente proceso de selección.
4.- Comprometerme a mantener la oferta presentada durante el proceso de selección y a suscribir el

contrato, en caso de resultar favorecido con la Buena Pro.
5.- Conocer las sanciones contenidas en la Ley de Contrataciones del Estado y su Reglamento, así
como en la Ley Nº 27444, Ley del Procedimiento Administrativo General.
………………………….………………………..
Representante legal, según corresponda
IMPORTANTE:
 Cuando se trate de consorcios, esta declaración jurada será presentada por cada uno de los consorciados.
206
ANEXO Nº 4
PROMESA FORMAL DE CONSORCIO

(Sólo para el caso en que un consorcio se presente como contratista)
Señores
COMITÉ ESPECIAL
De nuestra consideración,
Los suscritos declaramos expresamente que hemos convenido en forma irrevocable, durante el lapso
que dure el proceso de selección, para presentar una propuesta conjunta al CONCURSO PÚBLICO
Nº 01-2015- DIREJADM-DIRLOG-DIVABA-PNP responsabilizándonos solidariamente por todas las
acciones y omisiones que provengan del citado proceso.
Asimismo, en caso de obtener la Buena Pro, nos comprometemos a formalizar el contrato de

consorcio bajo las condiciones aquí establecidas (porcentaje de obligaciones asumidas por cada
consorciado), de conformidad con lo establecido por el artículo 141 del Reglamento de la Ley de
Designamos al Sr. [..................................................], identificado con [CONSIGNAR TIPO DE

DOCUMENTO DE IDENTIDAD] N° [CONSIGNAR NÚMERO DE DOCUMENTO DE IDENTIDAD],
como representante común del consorcio para efectos de participar en todas las etapas del proceso
de selección y para suscribir el contrato correspondiente con la Entidad [CONSIGNAR NOMBRE DE
LA ENTIDAD]. Asimismo, fijamos nuestro domicilio legal común en [.............................].
OBLIGACIONES DE [NOMBRE DEL CONSORCIADO 1]: % de Obligaciones

 [DESCRIBIR LA OBLIGACIÓN VINCULADA AL OBJETO DE LA CONVOCATORIA] [%]
 [DESCRIBIR OTRAS OBLIGACIONES] [%]
OBLIGACIONES DE [NOMBRE DEL CONSORCIADO 2]: % de Obligaciones

 [DESCRIBIR LA OBLIGACIÓN VINCULADA AL OBJETO DE LA CONVOCATORIA] [%]
 [DESCRIBIR OTRAS OBLIGACIONES] [%]
TOTAL: 100%
..…………………………………. …………………………………..
Nombre, firma, sello y DNI del Nombre, firma, sello y DNI del
Representante Legal Consorciado 1 Representante Legal Consorciado 2
207
ANEXO Nº 5
DECLARACIÓN JURADA DE PLAZO DE PRESTACIÓN DEL SERVICIO
Señores
COMITÉ ESPECIAL
Mediante el presente, con pleno conocimiento de las condiciones que se exigen en las Bases del
proceso de la referencia, me comprometo a prestar el “CONTRATACION DE SERVICIO DE BANDA
ANCHA DE ACCESO A INTERNET PARA COMISARIAS A NIVEL NACIONAL Y UNIDADES
ESPECIALIZADAS A NIVEL NACIONAL, TRANSMISION DE DATOS IP VPN PARA COMPLEJOS
POLICIALES Y PUESTOS DE FRONTERAS PNP SEGURIDAD GESTIONADA Y SERVICIOS DE
FIBRA OSCURA”, en el plazo que a continuación se detalla: [CONSIGNAR EL PLAZO OFERTADO,
EL CUAL DEBE SER EXPRESADO EN DÍAS CALENDARIO], contados a partir del día siguiente de la
aceptación de la instalación del servicio realizada mediante Acta de Conformidad emitida por la
División de Administración del Centro de Cómputo de la Dirección de Informática de la Dirección
Ejecutiva de Tecnologías de la Información y Comunicaciones de la PNP.
……..........................................................
208
ANEXO Nº 6
DECLARACIÓN JURADA DE PLAZO DE INSTALACIÓN DEL SERVICIO
Señores
COMITÉ ESPECIAL
Mediante el presente, con pleno conocimiento de las condiciones que se exigen en las Bases del
proceso de la referencia, me comprometo a instalar el Servicio de “CONTRATACION DE SERVICIO
DE BANDA ANCHA DE ACCESO A INTERNET PARA COMISARIAS A NIVEL NACIONAL Y
UNIDADES ESPECIALIZADAS A NIVEL NACIONAL, TRANSMISION DE DATOS IP VPN PARA
COMPLEJOS POLICIALES Y PUESTOS DE FRONTERAS PNP SEGURIDAD GESTIONADA Y
SERVICIOS DE FIBRA OSCURA” en el plazo que a continuación se detalla: [CONSIGNAR EL
PLAZO OFERTADO, EL CUAL DEBE SER EXPRESADO EN DÍAS CALENDARIO], contados a partir
del día siguiente de la firma de contrato.
……..........................................................
209
ANEXO Nº 7
EXPERIENCIA DEL CONTRATISTA
(Solo para servicios en general)
Señores
COMITÉ ESPECIAL
Mediante el presente, el suscrito detalla lo siguiente como EXPERIENCIA EN LA ACTIVIDAD :

N° CONTRATO / O/S /
OBJETO DEL TIPO DE CAMBIO MONTO FACTURADO
Nº CLIENTE COMPROBANTE DE FECHA31 MONEDA IMPORTE
SERVICIO VENTA32 ACUMULADO33
PAGO
1
2
3..
10
TOTAL
………..........................................................
IMPORTANTE:
 En los casos en los que las Bases considere el factor EXPERIENCIA EN LA ESPECIALIDAD, a fin que la propuesta pueda ser evaluada, el contratista también debe detallar en este Anexo dicha experiencia, insertando un
cuadro como el consignado, incluyendo el título “Experiencia en la Especialidad”.
31
Se refiere a la fecha de suscripción del contrato, de la emisión de la Orden de Servicio o de cancelación del comprobante de pago, según corresponda.
32
El tipo de cambio venta debe corresponder al publicado por la SBS correspondiente a la fecha de suscripción del contrato, de la emisión de la Orden de Servicio o de cancelación del
33
Consignar en la moneda establecida para el valor referencial.
210
ANEXO N° 08
DECLARACIÓN JURADA DE CONFIDENCIALIDAD
Señores
COMITÉ ESPECIAL
(Nombre del Contratista), con R.U.C. Nº ……………, con domicilio legal en ....... .....….........................,
teléfono..............., e-mail....................……......................, identificado con D.N.I. Nº ……………….,
declaro bajo juramento lo siguiente:
1. Que guardaré absoluta reserva y confidencialidad respecto de la información que me sea

proporcionada desde el registro de participante al proceso de selección para la contratación
del “SERVICIO DE BANDA ANCHA DE ACCESO A INTERNET PARA COMISARIAS A
NIVEL NACIONAL Y UNIDADES ESPECIALIZADAS A NIVEL NACIONAL, TRANSMISION
DE DATOS IP VPN PARA COMPLEJOS POLICIALES Y PUESTOS DE FRONTERAS PNP
SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA” y que sólo la utilizaré en
forma exclusiva para atender el objetivo del referido proceso.
2. Que mantendré reserva y confidencialidad respecto de los resultados del servicio prestado,
encontrándome impedido de difundirlo a terceros ó de utilizarlo para otros fines, cualquiera
que sea su naturaleza durante la ejecución del servicio y el periodo posterior a la culminación
del mismo.
3. En caso de incumplimiento de los términos de la presente Declaración Jurada, autorizó a la
Policía Nacional del Perú – PNP, a iniciar las acciones legales correspondientes.
……..........................................................
211
[
DIRECCIÓN DE ECONOMÍA Y FINANZAS DE LA POLICÍA NACIONAL DEL PERÚCONCURSO PUBLICO Nº 0001-2015-DIRECFIN –
PNP/DIRLOG/DIVABA “CONTRATACION DEL SERVICIO DE BANDA ANCHA DE ACCESO INTERNET PARA COMISARIAS A NIVEL
NACIONAL Y UNIDADES ESPECIALIZADA A NIVEL NACIONAL, TRANSMISION DE DATOS IP VPN PARA COMPLEJOS POLICIALES Y
PUESTOS DE FRONTERAS PNP, SEGURIDAD GESTIONADA Y SERVICIOS DE FIBRA OSCURA”
ANEXO Nº 9
CARTA DE PROPUESTA ECONÓMICA

(MODELO)
Señores
COMITÉ ESPECIAL
Es grato dirigirme a usted, para hacer de su conocimiento que, de acuerdo con el valor referencial del
presente proceso de selección y los Términos de Referencia, mi propuesta económica es la siguiente:
COSTO TOTAL
CONCEPTO
[CONSIGNAR MONEDA]
TOTAL
La propuesta económica incluye todos los tributos, seguros, transportes, inspecciones, pruebas, y de
ser el caso, los costos laborales conforme a la legislación vigente, así como cualquier otro concepto
que le sea aplicable y que pueda tener incidencia sobre el costo del servicio a contratar, excepto la de
aquellos contratistas que gocen de exoneraciones legales.
……………………………….…………………..
IMPORTANTE:
 Cuando el proceso se convoque a suma alzada, únicamente deberá requerirse que la propuesta económica contenga el monto total
de la oferta, sin perjuicio de solicitar que el contratista adjudicado presente la estructura de costos o detalle de precios unitarios para
la formalización del contrato, lo que deberá ser precisado en el numeral 2.7 de la sección específica.
212

Bases Banda Ancha Al 06032015 - 20150312 - 103533 - 034

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Bases Banda Ancha Al 06032015 - 20150312 - 103533 - 034

Cargado por

Copyright:

Formatos disponibles

DIRECCIÓN DE ECONOMÍA Y FINANZAS DE LA POLICÍA NACIONAL DEL PERÚ

CONCURSO PUBLICO Nº 01-2015-DIREJADM-DIRLOG-DIVABA-PNP

BASES ESTÁNDAR DE CONCURSO

Aprobada mediante Directiva Nº 018-2012-OSCE/CD

SUB DIRECCIÓN DE NORMATIVIDAD – DIRECCIÓN TÉCNICO NORMATIVA

CARACTERÍSTICAS DEL DOCUMENTO:

Automático: Para el contenido en general

16 : Para las dos primeras hojas de las Secciones General y Específica

2. La nota IMPORTANTE no puede ser modificada ni eliminada en la Sección General. En el caso de la

Elaborado en abril 2014

BASES ESTÁNDAR DE CONCURSO PÚBLICO PARA LA

“CONTRATACION DE SERVICIO DE BANDA ANCHA DE

DISPOSICIONES COMUNES DEL PROCESO DE

1.1. BASE LEGAL

- Ley N° 28411 - Ley General del Sistema Nacional del Presupuesto.

Las referidas normas incluyen sus respectivas modificaciones, de ser el caso.

Para la aplicación del derecho deberá considerarse la especialidad de las normas

Se efectuará de conformidad con lo señalado en el artículo 51 del Reglamento, en

1.3. REGISTRO DE PARTICIPANTES

El registro de participantes se efectuará desde el día siguiente de la convocatoria y

La persona natural o persona jurídica que desee participar en el proceso de

Al registrarse, el participante deberá señalar la siguiente información: Nombres,

1.4. FORMULACIÓN DE CONSULTAS A LAS BASES

1.5. ABSOLUCIÓN DE CONSULTAS A LAS BASES

1.6. FORMULACIÓN DE OBSERVACIONES A LAS BASES

1.7. ABSOLUCIÓN DE OBSERVACIONES A LAS BASES

El Comité Especial notificará la absolución de las observaciones a través del

El Comité Especial debe incluir en el pliego de absolución de observaciones el

1.8. ELEVACIÓN DE OBSERVACIONES AL OSCE

El plazo para solicitar la elevación de observaciones para el pronunciamiento del

Los participantes pueden solicitar la elevación de las observaciones para la

1. Cuando las observaciones presentadas por el participante no fueron acogidas

2. Cuando a pesar de ser acogidas sus observaciones, el participante considere

3. Cuando el participante considere que el acogimiento de una observación

El Comité Especial, bajo responsabilidad, deberá remitir la totalidad de la

La emisión y publicación del pronunciamiento en el SEACE, debe efectuarse dentro

1.9. INTEGRACIÓN DE LAS BASES

El Comité Especial integrará y publicará las Bases teniendo en consideración los

1. Cuando no se hayan presentado observaciones, al día siguiente de vencido el

2. Cuando se hayan presentado observaciones, al día siguiente de vencido el

3. Cuando se haya solicitado la elevación de observaciones, dentro de los dos

Corresponde al Comité Especial, bajo responsabilidad, integrar las Bases y

De conformidad con el artículo 31 del Reglamento, el Comité Especial no podrá

Si las propuestas se presentan en hojas simples se redactarán por medios

En ambos supuestos, las propuestas deben llevar el sello y la rúbrica del

Las personas naturales podrán concurrir personalmente o a través de su

En el caso de consorcios, la propuesta puede ser presentada por el representante

1. En el caso que el representante común del consorcio presente la propuesta,

2. En el caso que el apoderado designado por el representante común del

3. En el caso del representante legal o apoderado de uno de los integrantes del

1.11. PRESENTACIÓN DE PROPUESTAS

La presentación de propuestas se realiza en acto público, en la fecha y hora

El acto se inicia cuando el Comité Especial empieza a llamar a los participantes en

Los integrantes de un consorcio no podrán presentar propuestas individuales ni

En el caso que el Comité Especial rechace la acreditación del apoderado,

Después de recibidas las propuestas, el Comité Especial procederá a abrir los

En el caso que de la revisión de la propuesta se adviertan defectos de forma, tales

En el caso de advertirse que la propuesta no cumple con lo requerido por las

Después de abierto cada sobre que contiene la propuesta técnica, el Notario (o

De conformidad con lo dispuesto en el artículo 64 del Reglamento, en los actos de

1.12. CONTENIDO DE LA PROPUESTA ECONÓMICA

La propuesta económica (Sobre Nº 2) deberá incluir obligatoriamente lo siguiente: