REPÚBLICA DOMINICANA

MINISTERIO DE RELACIONES EXTERIORES

MIREX

“Año del Fomento de las Exportaciones”

FICHA TECNICA.

MIREX-CCC-LPN-2018-0004

¨SISTEMA DE AUTOMATIZACION DE LAS OPERACIONES

TECNOLOGICAS DEL MIREX ̈

CATEGORIA No. 1 Adecuación de la Infraestructura Física del Centro de Datos

No. de Partida

Cantidad Descripción Especificaciones Generales y/o Técnicas

1.1000 Adecuación de la Infraestructura Física del Centro de Datos

Se ofrecerán los planos dimensionados de las facilidades actuales y del objetivo de la instalación. El oferente que resulte ganador Deberá entregar al final de los trabajos todos los planos constructivos As Built dimensionado en formatos digitales de AutoCad y PDF.

1.1001 Objetivo Específicos a desarrollar, implementar y ejecutar

Telecomunicaciones: Cableado de armarios horizontal, accesos redundantes, cuarto de entrada, área de distribución, backbone, elementos activos y alimentación redundantes, patch panels y latiguillos. Arquitectura: Protección ignífuga y requerimientos NFPA 75(Sistemas de protección contra el fuego para información), barreras de vapor, techos y pisos, salas de UPS y baterías, control de acceso, CCTV. Sistema eléctrico: Accesos, puntos de fallo, cargas críticas, redundancia de UPS y topología de UPS, puesta a tierra, EPO (Emergency Power Off- sistemas de corte de emergencia) baterías, monitorización, generadores, sistemas de transferencia. Sistema mecánico: Climatización, presión positiva, tuberías y drenajes, CRACs y condensadores, control de HVAC (High Ventilating Air Conditionning), detección de incendios y

sprinklers, extinción por agente limpio (NFPA 2001), detección por aspiración (ASD), detección de líquidos.

Los oferentes Deberán considerar los servicios de retiro y traslado de todos los escombros y basuras generadas en todos estos procesos, así como cualquier servicio de limpieza y/o resanado y pintura de paredes, pisos, techos, etc que puedan ser necesarios.

El techo, el piso y las paredes del Centro de Datos Deberán ser limpiados, resanados y pintados con pintura ignífuga y a prueba de humedad para Centro de Datos. Se Deberán incluir todos los servicios y materiales necesarios.

1.1002 1 Aires de precisión y Extracción de Calor del datacenter

Solución de climatización de 29 kW N+1 para Datacenter: Este Deberá cumplir con las siguientes características:

Deberá tener como mínimo un (1) año de garantía total en piezas y servicios

Se Deberán incluir todos los materiales y servicios necesarios para la instalación y adecuación de todos los elementos de Aire de precisión.

Deberá tener servicios de red. El objetivo es permitir la comunicación con la red de área local (LAN) para funciones de supervisión, control y notificación de eventos.

Tarjeta de administración mediante la red LAN.

Sensores de temperatura

Controlador de microprocesador

Armarios independientes

Ventiladores de velocidad cambiable

Entrada de apagado remoto

Salida de alarma común

Bomba de condensado interna

Cable detector de fugas

Bandeja puente para los cables de alimentación y comunicación

Sistema de contención de pasillo

Sistema de contención de rack

La solución Deberá mejorar la eficiencia de la electricidad y la capacidad de refrigeración.

Deberá aspirar el aire directamente del pasillo caliente

Deberá tener detección de líquidos

Deberá descargar aire a temperatura ambiente directamente por delante de los servidores que Deberá refrigerar.

La unidad Deberá funcionar a una temperatura más elevada del aire de retorno y de suministro.

Deberá reducir la necesidad de humidificación.

La unidad Deberá activar una alarma visual y sonora en los siguientes casos:

1. fallo en la comunicación

externa. 2. fallo en la comunicación de

refrigeración. 3. filtro de aire obstruido. 4. fallo del sensor de aire de

retorno. 5. fallo del sensor de aire de

suministro.

6. fallo del sensor de temperatura del rack.

7. alta presión de descarga. 8. presión de aspiración baja. 9. fallo de ventilador. 10. fallo de detección de agua

opcional. 11. Mal funcionamiento del filtro

de aire en tiempo. 12. Cambio de temperatura de

entrada de rack alta.

Sistema de Extracción de Calor del datacenter Los oferentes Deberán presentar un sistema de Extracción de Calor y entrada de aire frio. Este Deberá incluir mínimo dos unidades de extracción de calor, cada una con un mínimo de 2 abanicos. Estas unidades moverán el aire caliente generado en el centro de datos donde será enfriado por los sistemas de Aire Acondicionado del mismo. Cada unidad Deberá ser capaz de manejar un flujo de aire mínimo de 150 pies cúbicos por minuto. Cada unidad Deberá ser gerenciada a través de una dirección IP de preferencia. Deberá tener sensores de temperatura y humedad que puedan ser utilizados para manejar la operación del sistema. Las unidades Deberán ser lo menos intrusivas posibles desde el punto de vista.

Se incluirán todos los servicios y materiales necesarios para la realización de las labores de instalación y puesta a punto de los sistemas. Así como los servicios de retiro y traslado de todos los escombros y basuras generadas en todos estos procesos así como cualquier servicio de limpieza y/o retocado y pintado de paredes, pisos, techos, etc que puedan ser necesarios.

1.1003 2 UPS Modulares

redundantes para Data

Center

UPS 30kW escalable a 40Kw Estos Deberán cumplir con las siguientes características mínimas:

Deberá tener como mínimo un (1) año de garantía total en piezas y servicios.

Para las canalizaciones necesarias entre el UPS y el Centro de Datos, se Deberán contemplar todos los materiales y servicios asociados a montura y desmontura de materiales y en caso de ser necesarios, ventilación y aire.

Deberá contemplarse e incluirse la sustitución de cualquier material que pueda sufrir daños en este proceso.

Las tuberías de acceso que atraviesan los muros perimetrales, suelo y techo, Deberán ser sellados con material ignifugo. Este Material sellante Deberá tener resistencia al fuego igual a

mayor a las 2 horas.

Estos requisitos Deberán cumplirse para todos los casos y para todos los tipos de tuberías.

1.1004 Sistema de Alimentación Eléctrica para Centro de Datos y UPS.

Deberán presentar un sistema de instalaciones eléctricas de Tomacorrientes estándares dobles a 120 VAC con neutro para las áreas de Centro de Datos.

Los mismos Deberán poder ser alimentados desde los UPS.

Este sistema Deberá ser canalizado con tuberías y registros EMT por encima de las paredes. Deberán incluirse las cajas de breakers dimensionadas para cubrir las necesidades.

Deberá tener como mínimo un (1) año de garantía total en piezas y servicios.

Todos estos elementos luego Deberán ser pintados del mismo color de las paredes para minimizar el impacto arquitectónico. Se Deberán contemplar 8 salidas dobles, se entregarán los planos del datacenter al momento de realizarse la visita pautada en el pliego de condiciones.

Los oferentes Deberán considerar los servicios de retiro y traslado de todos los escombros y basuras generadas en todos estos procesos, así como cualquier servicio de limpieza y/o resanado y pintura de paredes, pisos,

techos, etc que puedan ser necesarios.

Se Deberán enviar los cables y los conectores de alimentación eléctrica para los PDUs, 2 por cada rack de cableado. Deberá asumirse una carga por PDU de 2.5 KW. Esta alimentación Deberá constar con todos los elementos de canalización y registros EMT y Liquid Tie Metálico cumpliendo las normativas vigentes De igual forma esta alimentación Deberá contemplar los elementos de protección e interrupción necesarios.

1.1005 Puerta de acceso al Centro de Datos

La puerta de acceso existente es de cristal laminado. Esta Deberá tener un sistema de control de acceso Biométrico. Además, Deberá contar con un 60% de laminado tipo Frost que impida la visibilidad.

1.1006 Sistema Biométrico de acceso y video vigilancia

Se Deberá incluir una solución de acceso biométrico para la Puertas del Centro de Datos y Cuarto de UPS, esta solución Deberá ser capaz de ser manejada de forma centralizada e independiente. Deberá tener como mínimo un (1) año de garantía total en piezas y servicios. Se Deberá ofertar un sistema de video vigilancia, con Cámaras fijas para interior HD, mínimo 3 Mp, con iluminadores infrarrojos de 15 Metros integrados, incluyendo 4 Cámaras en el interior del Centro de Datos, 2 Cámaras en el Pasillo Frio 1 cámara en el cuarto

de UPS. Sistema de grabación de Imágenes de por lo menos 30 días para todas las cámaras en resolución 720p X 15 FPS. Las Cámaras Deberán recibir alimentación POE.

Estas Deberán tener como mínimo un (1) año de garantía total en piezas y servicios. De igual forma se Deberá incluir el Switch POE necesario en el Centro de Datos, las del Cuarto de UPSs y el MDF serán conectadas a puertos de switches disponibles, el switch Deberá ser administrable y de preferencia 19 pulgadas de ancho para ser montado en Rack. Este sistema Deberá ser canalizado con tuberías y registros EMT por encima de las paredes. Todos estos elementos luego Deberán ser pintados del mismo color de las paredes para minimizar el impacto arquitectónico. Se Deberán incluir todos los materiales, hardware, softwares, licencias y servicios necesarios para la instalación de este sistema y puesta en funcionamiento del mismo.

1.1007 Sistema de iluminación. Deberá presentarse un sistema de iluminación que provea mínimo 500 lux en el plano horizontal y 200 lux en el plano vertical medidos desde 1 mt. por encima del piso terminado en cada área. Deberá usarse tecnología de Iluminación LED de bajo consumo energético. Se incluirán los sistemas de

conmutación para los sistemas de Iluminación. Las luminarias Deberán separarse en dos grupos alimentadas por los dos circuitos eléctricos independientes que alimentarán el Centro de Datos desde los UPS. Se suministrarán e instalarán equipos automáticos de iluminación de emergencia para ser activados en ausencia del fluido eléctrico.

Deberá contar con un mínimo de un (1) año de garantía total en piezas y servicios.

1.1008 Monitoreo, Sensores físicos y Gestión de Infraestructura

En el Centro de Datos Deberán instalarse todos los sensores necesarios capaces de medir Temperatura, % de Humedad Relativa y Punto de Condensación, Humo y Partículas, Fluido Puntual o por cordón, Vibración, Contacto Seco y Análogos de 0-5VDC y 4-20 mAmps. Todos los sensores Deberán estar gestionados a través de un Sistema centralizado. La aplicación de gestión Deberá soportar un mínimo de 10 sensores y Deberá poder ser integrado al sistema de video vigilancia. Deberá soportar monitoreo de contactos de entrada y Relés de Salida. El sistema Deberá ser capaz de centralizar el monitoreo del UPSs y Centro de Datos. Deberá poder integrarse con otras herramientas como NMS, PMS, EMS, BMS, OMS. Deberá mostrar fácilmente Vistas de Alertas, y ser de fácil acceso por el Explorador.

Las políticas Deberán ser configuradas para manejar escalamiento ante alertas. La notificación de fallas Deberá ser en tiempo real. Medición de % humedad relativa y temperatura en Gabinete de equipos, en puerta frontal y trasera. Medición de % humedad relativa y temperatura en Gabinete de comunicación en puerta frontal y trasera Medición de Partículas de polvo en Centro de Datos Monitoreo y gestión de apertura y cierre de puertas en Gabinete de equipos en puerta frontal y trasera. Monitoreo y gestión de apertura y cierre de puertas en = Gabinete de comunicación en puerta frontal y trasera Medición de punto de condensación en = Gabinete de equipos Medición de punto de condensación en = Gabinete de comunicaciones. Medición de escapes de agua en = unidades de climatización y ruta de drenaje Deberán instalarse todos los sensores necesarios capaces de medir Temperatura, % de Humedad Relativa y Punto de Condensación, Humo y Partículas, Fluido Puntual o por cordón, Vibración, WINContacto Seco y Análogos de 0-5VDC y 4-20 mAmps De preferencia todos los sensores

Deberán estar gestionados a través del Sistema centralizado que también gestiona el Centro de Datos. Las políticas Deberán ser configuradas para manejar escalamiento ante alertas. La notificación de fallas Deberá ser en tiempo real Medición de % humedad relativa y temperatura en ambiente del datacenter Medición de Partículas de polvo. Medición de punto de condensación. Medición de escapes de agua en = unidades de climatización y ruta de drenaje para notificaciones. La solución Deberá ser escalable, preparada para recibir mejoras a futuro. Deberá poder monitorear entre 500 y 4000 dispositivos. El cableado de todos los sensores y los necesarios para la gerencia y manejo de los equipos que serán instalados y que deban ir por debajo del piso falso Deberán ser tendidos en una escalerilla de metal, que irá por debajo del piso falso suspendida. Esta escalerilla Deberá ser ruteada de manera tal que tenga el menor impacto posible en el flujo del aire acondicionado. Todos los materiales de escalerillas, cableados, terminaciones, conectores, servicios y cualquier elemento adicional que sea necesario, Deberá ser incluido dentro de su la propuesta-

1.1009 Sistema de Protección contra Incendios Centro de Datos y Cuarto de

Sistema de detección y control de incendios redundante de agente limpio certificado para uso en Centro de Datos.

UPSs Cada unidad Deberá tener la capacidad para eliminar por si solo cualquier incendio que pueda producirse en el Centro de Datos de acuerdo a la ocupación máxima de equipos prevista en los diseños de los mismos. La segunda unidad Deberá estar configurada como un sistema standby que se active de forma automática en caso de fallo de la primera unidad y de la misma capacidad de la unidad primaria. Deberán incluirse todos los equipos, materiales de instalación y servicios para la instalación y el funcionamiento automático del sistema Además, este sistema Deberá: estar compuesto por dos componentes Supresión Automática y Detección Temprana. Ser totalmente redundante en sus capacidades. Contar con Supresión a base de agente limpio CF3CF2C(O)CF(CF3)2, o similar con un margen de seguridad mayor 50% presión de trabajo 500 PSI.

Ser capaz de enviar alarmas a los usuarios configurados en el mismo. Ser capaz de ser monitoreado vía IP y un Software Propietario del Panel. Contar con certificación del fabricante en sistema de supresión y detección.

El concepto de configuración Deberá ser por zona cruzada. Contar con un tiempo de vida atmosférico menor a 14 días. El potencial de calentamiento global Deberá ser 1. El Potencial de agotamiento de ozono Deberá ser 0. El sistema Deberá ser diseñado para trabajar 7x24x365. El sistema Deberá contar con un back up de batería de 48 Horas sin generador eléctrico. El sistema de supresión del Centro de Datos Deberá ser independiente del edificio donde se encontrara el centro de datos. El sistema Deberá permitir la operatividad de los sistemas informáticos mientras el mismo opera. El sistema Deberá ser activado tanto por el usuario (estación de disparo) como de manera automática por 2 zonas cruzadas con detectores de humo fotoeléctricos. Las condiciones del sistema de supresión Deberán ser monitoreadas. El Centro de Datos Deberá contar con supresión de incendio de mano (extintores con agente limpio).

Los extintores Deberán estar claramente identificados. El Centro de Datos Deberá tener por cada 56 metros cuadrados de espacio un extinguidor de mano. El Centro de Datos Deberá tener mínimo un extinguidor de mano. Cada detector Deberá tener una etiqueta enumerada. Cada detector Deberá ser direccionado desde el panel de alarmas.

CATEGORIA No. 2 Plataforma Tecnológica Hiperconvergente

No. de Partida

Cantidad Descripción Especificaciones Generales y/o Técnicas

2.1000 Funciones y capacidades clave

La solución deberá proporcionar un conjunto completo de servicios definidos por software para procesamiento, almacenamiento, redes, seguridad y administración de la nube con el fin de ejecutar aplicaciones empresariales, ya sean tradicionales o contenedorizadas, en entornos públicos o privados. Esta Solución deberá: Proporcionar una arquitectura de almacenamiento hiperconvergente, que brinde almacenamiento elástico y simplifique la administración del almacenamiento. Esta Deberá permitir rendimiento basado en flash y soportar desduplicación, compresión y código de corrección. Permitir la planificación, administración

y el escalamiento del centro de datos definido por software. Permitir a los administradores de la plataforma realizar tareas de monitoreo y resolución de problemas, al igual que realizar tareas automatizadas y anticipativas de administración, balanceo y corrección de cargas de trabajo. Permitir la automatización del aprovisionamiento de servicios de TI y capacidades operativas secundarias. Permitir a la organización el diseño de una pila completa de infraestructura en forma de modelos (plantillas) que incluyen recursos de procesamiento, almacenamiento, redes y seguridad, junto con todas las relaciones que vinculan estos recursos. Brindar seguridad integrar para todas las aplicaciones, ya que Deberá ofrecer micro segmentación, firewalls distribuidos y VPN, cifrado de máquinas virtuales y cifrado de datos estáticos y clústeres en el nivel del almacenamiento. Incluir un software de administración que automatice las operaciones principales y secundarias de la plataforma de software. A su vez, este componente Deberá automatizar el proceso de instalación de toda la plataforma de software, incluidos la implementación de VM de infraestructura, la creación de clústers de administración, la configuración de VLAN, el almacenamiento, la red física y la creación y aprovisionamiento de clústeres.

Permitir un proceso simplificado de aplicación de parches y actualizaciones de la plataforma de software. Simplificar la asignación de recursos a cargas de trabajo individuales, automatizando la creación de clústeres por medio de políticas.

2.1001 1 Infraestructura Hiperconvergente

Se requiere una solución basada en el concepto de hiperconvergencia. El Software de Virtualización y administración del almacenamiento Deberá ser de un solo fabricante, el hardware de las máquinas sobre las que corre la solución será también de un solo fabricante. No se aceptarán soluciones que requieran almacenamiento externo a los servidores (nodos). La solución deberá correr en al menos 4 máquinas físicas (nodos) y no Deberá ocupar más de 02 unidades de rack. En caso de daño de uno de los nodos podrá, de manera ideal, ser reemplazado por una máquina similar del mismo fabricante pero podrá ser reemplazado por un nodo equivalente de otro fabricante. El Fabricante del Software deberá contar con un sitio público donde pueda chequear que los componentes de los servidores existentes son compatibles para ser integrados como un nodo de la solución. La solución deberá permitir crecer de manera vertical (Agregar más discos, más memoria) a cada uno de los nodos, o de manera horizontal (Agregar nuevos

nodos). Este crecimiento deberá contribuir al almacenamiento compartido. No se aceptarán soluciones que requieran de la implantación de máquinas virtuales controladoras en cada uno de los nodos de la solución. El acceso al almacenamiento deberá ir directamente al kernel de la solución de virtualización. La conectividad entre los nodos se Deberá realizar a través de un switch de capa 2 administrable a 10 Gbps. La solución deberá tener la capacidad de adaptarse a otras necesidades de almacenamiento orientadas a sustituir read caching para mejorar el acceso a disco remoto (SAN). La solución deberá ser tolerante a fallas ofreciendo redundancia distribuida físicamente. La solución deberá poder escalar hasta 64 nodos por cluster. La solución deberá poder escalar hasta 200 VMs por host y 6400 VMs por Cluster. El tamaño máximo por disco de VM podrá llegar a ser de 62TB La solución deberá poder soportar a dispositivos mediante acceso JBOD mode (DAS). A la solución se le podrán presentar LUNs de almacenamiento tradicional a través de protocolos NFS 3 y NFS 4.1.

El Fabricante del Hipervisor deberá soportar máquinas Windows Server desde la versión 2000 en adelante. El fabricante de la solución de virtualización deberá haber pasado los requerimiento de SVVP de Microsoft para Windows Server 2016. Los hipervisores ofrecidos sobre los que corre la solución Deberán tener soporte para los sistemas operativos a 32 y 64 bits: Windows Server 2003 o superior, Ubuntu 10.04 o superior. El Hipervisor de la solución de Virtualización deberá estar certificado para correr RedHat Enterprise Server. El soporte del software de la solución deberá ser en español directamente con el fabricante en un horario de 8x5. Se podrá solicitar la ampliación a soporte en español. La documentación de los productos de software ofertados deberá estar disponible en línea sin necesidad de ningún tipo de inscripción o necesidad de soporte activo. El almacenamiento ofrecido deberá tener configuraciones de tipo RAID 1, RAID 5 y RAID 6. El Software licenciado deberá tener capacidades de desduplicación y compresión. El almacenamiento ofrecido a las máquinas deberá ser de tipo rotacional para el almacenamiento y el caché de los discos será de tipo SSD (Flash).

Se podrá imponer calidad de servicio (Límite de IOPS) para el almacenamiento expuesto a las máquinas virtuales. La solución de almacenamiento deberá poder desplegarse en un Cluster Extendido con protección contra fallas locales. La solución de almacenamiento deberá permitir el cifrado de datos estáticos.

2.1002 1 Plataforma de virtualización y seguridad en redes

La solución de virtualización de redes Deberá ser gestionada a través de una consola central.

Esta solución deberá: Contar con Provisión de solución de virtualización de redes y servicios de seguridad que permita la creación de switches, ruteadores y firewalls distribuidos para la conexión de máquinas virtuales. Soportar la plataforma de virtualización VMware vSphere 5.5u3 o superior. Permitir crear switches virtuales distribuidos para la conexión de máquinas virtuales. Ser capaz de soportar hasta 1000 hosts por switch virtual distribuido. Soportar hasta 60,000 puertos virtuales por switch virtual distribuido. Soportar hasta 1,016 puertos virtuales por host. Permitir la creación de hasta 128 switches virtuales distribuidos por

instalación de la plataforma. Soportar la tecnología VXLAN para la creación de redes virtuales en capa 2 sobre capa 3. Permitir la creación de hasta 10,000 segmentos de red virtuales tipo VXLAN. El módulo de virtualización de redes que utilice la tecnología VXLAN Deberá ejecutarse como módulo del kernel del hipervisor ESXi. Permitir que máquinas virtuales en redes virtuales distintas utilicen el mismo esquema de direccionamiento IP. Soportar la conexión con servidores físicos a través de un puente o “bridge” en capa 2 a través de VLAN con un switch virtual ya sea de manera nativa o bien con la integración de un hardware adicional. Los switches virtuales distribuídos Deberán contar con funcionalidades similares a los de un switch físico tales como: Soporte de múltiples stacks en la misma interfaz de red, por ejemplo, un stack dedicado a TCP/IP y otro a VXLAN. Soportar “Multiple Link Aggregation Group” (LAGS) con hasta 64 LAGS por host y 64 LAGS por switch virtual distribuído. Soportar tarjetas de red físicas de 40Gbps.

Soportar Netflow/IPFIX para colecta del tráfico de información IP y enviar a herramientas de análisis. Soporte a puertos SPAN, ESPAN, Syslog y SNMP. Soporte a espejo de puertos lógicos en switch virtual. Permitir la separación entre el plano de datos, plano de gestión y el plano de control en la solución de virtualización de redes. La solución deberá proveer mecanismos de alta disponibilidad para los elementos del plano de control en modo activo-activo. El plano de control deberá escalar horizontalmente y ser capaz de distribuir el procesamiento de forma automática dentro de un único cluster. El plano de control de paquetes VXLAN deberá trabajar en modos UNICAST, MULTICAST e HIBRIDO, permitiendo así el poder seleccionar el modo adecuado dadas las características de la red actual y escalabilidad deseada. La solución deberá contar con una interfaz para la interacción a través de REST. La solución deberá permitir la creación de segmentación lógica en la capa virtual, independiente de la capa física. Deberá soportar la definición de límites de tráfico a nivel de switch virtual. La solución deberá ser capaz de exportar las configuraciones del switch

virtual distribuido y si es necesario, importar de nuevo dichas configuraciones. La solución deberá contar con elementos de ruteo y firewall distribuidos en el Kernel del software del hipervisor ESXi 5.5u3. No será permitido un modelo de virtual appliance para el tráfico de una máquina virtual a otra máquina virtual (inter VM’s). La solución deberá mantener las etiquetas de QoS de los paquetes originales, cuando se transporten a través de la plataforma de virtualización de redes. Deberá tener la capacidad de soportar OpenStack como CMP para el entorno de virtualización de redes. Deberá ofrecer la capacidad en el entorno virtual de ofrecer visibilidad de flujos para redes Overlay y Underlay Capacidad en entornos virtuales, de tener usuarios (tenants) aislados sin que compartan estructuras de forwarding lógico. La escalabilidad de la solución deberá incrementarse con cada servidor físico que se agregue a la infraestructura. Deberá integrarse con el Hardware de redes existente. El Ruteador Virtual Distribuido deberá contar con el plano de control totalmente separado del plano de datos.

Deberá soportar los siguientes protocolos de ruteo distribuidos en el kernel del hipervisor ESXi de cada host: BGP, OSPF y ruteo estático. Deberá soportar el protocolo ECMP (Equal Cost Multi-Path) para balancear el tráfico entre distintos caminos o enlaces. Soporte de interfaces en modo bridge para conexión con VLAN’s en ambientes físicos. Todos los atributos de ruteo deberán ser sincronizados con elementos de control evitando el desbordamiento “flooding” o un número Excesivo de Broadcast. El tráfico entre máquinas virtuales en el mismo servidor físico (host) deberá permanecer dentro del mismo servidor, aún y asi cuando sean de distintas redes. No se permitira el uso de un appliance virtual para el enrutamiento de paquetes. La solución Deberá permitir el ruteo entre VLAN’s y VXLAN’s. El ruteador distribuído deberá soportar hasta 999 interfaces lógicas y 8 interfaces de uplink. Deberá permitir mantener las políticas de seguridad asignadas a una máquina virtual, inclusive cuando la máquina cambie de servidor físico o centro de datos.

El Firewall Virtual Distribuido deberá contar con un firewall que mantenga el estado de la negociación de los paquetes, mejor conocido como “stateful inspection”, Soporte a firewall distribuido en el kernel de cada hipervisor ESXi con una alta tasa de desempeño, firewall de identidades integrado con grupos de Microsoft Active Directory y herramientas para el monitoreo de registros de seguridad (logs). Soporte de hasta 100,000 reglas de firewall virtual distribuido. Permitir que la inspección del firewall sea aplicada tanto a nivel del perímetro del Data Center virtual así como al nivel de interfaz de red (vNIC) de cada máquina virtual. La tabla de reglas del firewall distribuido Deberá favorecer el uso de la automatización con objetos propios de la infraestructura virtual. Deberá Proveer un firewall perimetral como Virtual Appliance para el tráfico de entrada y salida del ambiente de las máquinas virtuales a la infraestructura física, también conocido como tráfico Norte-Sur. Reglas de control de conexión de entrada y salida basadas en los siguientes parámetros: Dirección IP: Origen y Destino Puertos: Origen y Destino Protocolo y Tipo: TCP/UDP/ICMP, etc.

DataCenter Cluster Red Virtual Aplicación Virtual Asociación de recursos (Resource Pool) Máquina Virtual Interfaz de red a nivel máquina virtual Grupo de seguridad: Soportar inspecciones de red entre el kernel del hipervisor y la interfaz de red de la máquina virtual. Soportar inspecciones transparentes en capa 2, protegiendo contra diversos tipos de ataques, tales como sniffing de contraseñas, spoofing de DHCP, ARP spoofing. También Deberá de proveer aislamiento completo de tráfico SNMP. Deberá permitir reglas de protección que sean aplicadas a una red específica, puerto de aplicación, tipo de protocolo (TCP/UDP) o tipo de aplicación. Deberá permitir protección dinámica de máquinas virtuales, aunque éstas sean migradas de servidores físicos, las reglas de seguridad a nivel firewall distribuido Deberán mantenerse y aplicarse en todo momento. Deberá permitir que administradores visualicen las actividades de red entre las máquinas virtuales, ayudando en la refinación y definición de las políticas del firewall, identificando cuellos de botella y procesos de seguridad del negocio a través de reportes detallados del tráfico de la aplicación (aplicaciones, sesiones y bytes).

Deberá contar con monitoreo granular del tráfico para una respuesta rápida y resolución de problemas, así como proveer contadores de tráfico para las sesiones, paquetes y bytes para favorecer la visibilidad dentro de la red virtual, así como la creación de reglas de firewall. El Firewall deberá ser capaz de integrarse con soluciones de terceros para proveer servicios avanzados de seguridad como Firewalls de Siguiente Generación (NGFW) Anti-virus/Anti-malware, IPS (Intrusion Prevention System), y Firewall de Aplicación Servicios de Red y Seguridad NAT: Realizar la traducción de direcciones IP del ambiente virtual para el ambiente físico y viceversa. Enmascaramiento del direccionamiento IP del ambiente virtual para localidades no confiables Soportar 2000 reglas de NAT DHCP: Realizar aprovisionamiento automático de direccionamiento IP (DHCP) para máquinas virtuales Configuración de parámetros como: Pool de direcciones IP, tiempo de préstamo o leasing y direcciones IP dedicadas. Deberá permitir el aprovisionamiento de direccionamiento IP estático con base en objetos e interfaces propias de vCenter.

Ser administrado a través de vCenter e integrado en la solución propuesta VPN: Proveer la capacidad de creación de VPN’s con estándares como IPSEC y SSL permitiendo la interconexión Site-to-Site y la administración remota segura a partir de VPN’s SSL en modo host de bastión. Deberá contar con soporte de tecnología L2VPN para extender el Data Center y conectarlo a otro Data Center manteniendo las mismas características y atributos de conexión a la red, ello es sin cambiar ni reconfigurar el direccionamiento. Soporte de acceso VPN remoto por medio de VPN SSL. Balanceador de Carga: Realizar balanceo de carga de entrega de todo el tráfico HTTP/HTTPS/TCP/UDP/FTP. Para HTTPS Deberá soportar SSL pass-through y SSL Offload. Soportar 2 modos de balanceo: Proxy y Transparente. Deberá: Soportar algoritmos de balanceo basados en Round-Robin, Source IP Hash, Least Connection, URI. Soportar sesiones estáticas o persistentes manteniendo la conexión de un determinado cliente con un mismo servidor durante la vida de la

sesión. Balanceador de carga virtual con soporte a WEB, SSL y conexiones TCP permitiendo escalar las aplicaciones sin la necesidad de hardware específico. Contar con una interfaz programable a través de API’s tipo REST. Deberá ser integrado dentro de vCenter como único punto de administración. Los Servicios de Automatización Deberán contar con la capacidad de diseñar ambientes de aplicaciones en un punto central, incluyendo servicios de cómputo, almacenamiento y redes. Deberá contar con un portal de auto-servicio para el aprovisionamiento dinámico de ambientes por el usuario final.

2.1003 1 Hipervisor La solución Deberá ser provista por un único fabricante. Deberá ser una pieza de software denominada en el mercado “hipervisor” o capa de virtualización que se instale directamente sobre el Hardware sin necesidad de instalación de un Sistema operativo adicional para la ejecución de software de virtualización. (Bare Metal Hipervisor) Deberá permitir la creación de máquinas virtuales con más de 1 procesador, esto significa, máquinas virtuales multiprocesadores con hasta 64 procesadores virtuales en todos los sistemas operativos soportados.

Deberá permitir la creación de máquinas virtuales de hasta 4 TB de memoria. Soporte a Dispositivos USB 1, 2 & 3.0 Soporte a 160 cores de CPU Lógicos Soporte a vCPU de 64-way. Deberá permitir la instalación de un servidor físico sin disco físico local, pudiendo ser iniciado a través de una SAN (“Storage Area Network”) utilizando el concepto de diskless (sin disco local). Deberá permitir la conversión ilimitada de un sistema físico existente con sistema operativo Windows en una máquina virtual. Deberá permitir la conversión ilimitada de un sistema físico existente con sistema operativo Linux RHEL, SUSE y Ubuntu en una máquina virtual. Deberá soportar la ampliación del tamaño de un disco virtual de una máquina virtual, estando la misma encendida. Deberá soportar el clonado de máquinas virtuales en caliente sin interrupción de la máquina virtual a ser clonada. Deberá poseer recursos para compartir páginas de memoria entre múltiples máquinas virtuales, o sea, consolidación de páginas de memoria idénticas de múltiples máquinas virtuales en el mismo servidor en apenas una página.

Deberá poder provisionar más memoria que la memoria física que posea el servidor para maximizar el uso de memoria, reclamando memoria inutilizada, comprimiendo paginas en memoria & mediante desduplicación de páginas idénticas utilizadas por múltiples máquinas virtuales. Deberá ser compatible con las siguientes tecnologías: “x86_64”; “EM64T” “dual core” “quad core” “hexa core” “hyperthreading”. Deberá permitir crear un ambiente de alta disponibilidad para la consola de gestión, o sea, en caso de falla de una consola, otra asume automáticamente, sin necesidad de parar la producción. El ambiente de alta disponibilidad para la consola Deberá proteger contra fallas de hardware, sistema operativo, aplicación y red. Deberá permitir la distribución de los recursos físicos del servidor entre las máquinas virtuales, con la posibilidad de definir la cantidad mínima y máxima de CPU y memoria para cada máquina virtual. Deberá permitir la distribución de los recursos físicos del servidor entre las

máquinas virtuales, con la posibilidad de definir la cantidad mínima y máxima de CPU y memoria para un grupo de máquinas virtuales. Deberá permitir la distribución de los recursos físicos del servidor entre las máquinas virtuales, con la posibilidad de definir el ancho de banda de red para cada máquina virtual. Deberá permitir la distribución de los recursos físicos del servidor entre las máquinas virtuales, con la posibilidad de definir una prioridad de acceso a disco para cada máquina virtual. Permitir la creación de ambientes de alta disponibilidad (cluster o tecnología equivalente o superior) entre las máquinas virtuales, independientemente si estas están en servidores físicos diferentes o no. La solución Deberá ser capaz de monitorear de forma inteligente los servidores físicos y virtuales, realizado un balanceo de carga de las máquinas virtuales en forma automática, o sea, moviendo las máquinas virtuales entre los servidores físicos de acuerdo con la necesidad de recursos de CPU y memoria. La solución Deberá ser capaz de reubicar máquinas virtuales entre servidores físicos en forma automática, en horarios de baja utilización de los servidores, posibilitando que la carga total de máquinas virtuales, sea ejecutada en un número menor de servidores físicos, permitiendo que los otros servidores físicos sean colocados en stand-by y de esta forma

consumiendo menos energía. Además de eso, la solución Deberá ser capaz de iniciar nuevamente los servidores en “stand by” y automáticamente reubicar la carga de servidores virtuales. Para realizar esta tarea la solución Deberá soportar como mínimo los protocolos WOL (Wake-on-LAN), ILO (Integrated lights-out), IPMI (Intelligent platform management interface). Deberá permitir la funcionalidad de migración de una máquina virtual de una máquina física a otra máquina física, sin necesidad de interrupción de los servicios de la máquina virtual. Deberá permitir la migración de máquinas virtuales entre diferentes servidores físicos para fines de mantenimiento, balanceo de carga y/o upgrades, sin apagar la máquina virtual y sin interrupción del servicio. La solución Deberá soportar la migración en simultáneo de 8 máquinas virtuales entre dos servidores físicos. Deberá permite la migración de máquinas virtuales entre diferentes familias de procesadores en un mismo cluster. Deberá poseer funcionalidades de detección de falla de una máquina física, migrando automáticamente las máquinas virtuales afectadas para control de otra máquina física y procediendo, su activación automáticamente.

Deberá soportar un grupo de 32 servidores simultáneamente. Deberá poseer funcionalidades de detección de falla de una máquina física, migrando automáticamente las máquinas virtuales afectadas para control de otra máquina física y procediendo, su activación automáticamente sin parada de producción, o sea, con cero de tiempo de inactividad. Deberá poseer funcionalidades de detección de fallas de un servicio aplicativo de una máquina virtual, procediendo a su activación automáticamente después de un período definido. Deberá poseer funcionalidades de detección de fallas del sistema operativo Windows de una máquina virtual, procediendo a su activación automáticamente después de un período definido. Deberá permitir priorizar automáticamente determinado recurso (CPU y memoria) a determinada máquina virtual en caso de concurrencia de recurso sin necesidad de apagar la máquina virtual. Deberá permitir realizar backup de imágenes de múltiples máquinas virtuales simultáneamente sin la necesidad de apagarlas. Deberá permitir agregar o quitar CPU y memoria a una máquina virtual sin necesidad de apagar la misma ni sacarla de producción.

Deberá permitir agregar y remover placas de red y discos a una máquina virtual sin necesidad de apagar la misma ni sacarla de producción. Deberá permitir extender una partición de discos a una máquina virtual sin necesidad de apagar la misma ni sacarla de producción. Deberá permitir la reducción de la complejidad de gestión, combinando servidores físicos en clusters para mayor disponibilidad y control de recursos más flexible. La solución Deberá soportar opcionalmente aceleración grafica por hardware. Deberá permitir la creación de recursos de alta disponibilidad para toda la infraestructura virtual. En caso de pérdida de un servidor físico, esto Deberá significar, apenas, menos recursos y no indisponibilidad de servidores. Las máquinas virtuales serán reiniciadas automáticamente, donde haya recursos suficientes. Deberá permitir colectar información de performance de servidores físicos, analizar y sugerir escenarios para consolidación de servidores físicos en máquinas virtuales. La consolidación sugerida puede ser hecha con servidores físicos existentes o agregando nuevos servidores con sus respectivas configuraciones de hardware. Deberá ser capaz de configurar a través de interfaz gráfica la asociación de una

o más placas de red a una máquina virtual, permitiendo la distribución de carga entre las placas de red e configuración de tolerancia a fallas. Deberá permitir múltiples snapshots de una máquina virtual. Deberá poseer funcionalidad para automatización de aplicación de actualizaciones del sistema operativo empleado para virtualización. Deberá poseer funcionalidad para la automatización del despliegue de nuevos hipervisores del cluster en base a plantillas y políticas establecidas. Deberá poseer funcionalidad para automatización de aplicación de actualización de máquinas virtuales con sistema operativo Microsoft Windows de forma centralizada y sin interrupción de servicios. Deberá disponer de funcionalidad de alta disponibilidad de máquinas virtuales sin necesidad de software adicional. Soporte y certificación de Hardware a ser utilizado. Espacio Requerido para la instalación del Hipervisor.

2.1004 Licenciamientos de Hiperconvergencia

Para fines de dimensionamiento se Deberán considerar 100 servidores virtuales. En una primera etapa se tendrá la siguiente carga: 5 Servidores Exchange 3500 cuentas

correo. 4 Servidores FrontPage, 1500 usuarios. Software ERP 110 Usuarios. Base de datos del ERP. Software de Captación de Información Consular, 500 usuarios, con almacenamiento de imagines y datos biométricos centralizados. 5 a 7 Servidores Active Directory, 3500 cuentas. Almacenamiento de Perfiles remote Sistema de Gestión Documental (con almacenamiento centralizado). Deberá considerarse la alta disponibilidad virtual.

Todas las licencias de virtualización y administración Deberán tener suscripción y soporte de tres años, se hará el pago año por año hasta completar el contrato de 3 años y posterior las renovaciones seguirán anuales si así lo decide este Ministerio.

2.1005 1 Administración de Hiperconvergencia

Deberá incluir una (1) licencia de administración central de virtualización avanzada.

Licencias para automatización, gestión, monitoreo y aprovisionamiento de la Hiperconvergencia.

2.1006 1 Almacenamiento Enterprise Hiperconvergente.

Licencias para almacenamiento virtualizado.

100 Servidores virtuales.

2.1007 1 Virtualización Licencias para virtualizacion.

8 servidores físicos

100 servidores virtuales

2.1008 1 Redes virtualizadas Licencias Windows para servidores virtuales en su última versión estable. Licencias para virtualización de 100 servidores virtuales.

2.1009 1 Windows Server Licencias para 100 servidores virtuales.

2.1010 Garantía y Soporte técnico

Licencias de Hiperconvergencia perpetúas con soporte anual.

Una vez el proveedor suministre las licencias de software y el hardware correspondiente a la plataforma Deberá realizar los siguientes servicios: Suministrar Cronograma estimado como plan de proyecto de todas las actividades que se realizaran. Instalar, implementar, y dejar al 100% de funcionamiento de toda la plataforma, esto Deberá incluir migrar toda la información de las plataformas actuales de la Institución. Integrar todas las plataformas actuales de la Institución con la nueva plataforma a suministrar. Deberá brindar un conjunto de trescientas (300) horas pre-pagadas de soporte técnico, mantenimiento, monitorización, operación y administración 24X7X365 con el siguiente SLA: ASISTENCIA TELEFÓNICA 7x24x365, (incluidos fines de semana, días feriados). El oferente Deberá proveer al Ministerio de por lo menos un número

de teléfono fijo y dos números de teléfono móvil para solicitar la asistencia técnica o hacer reportes. ASISTENCIA EN SITIO 7x24x365 en caso de problemas, instalación o reemplazos de piezas, partes o equipos (El tiempo de respuesta incluye las piezas, partes de repuestos, equipos). PUNTOS DE CONTACTO: El Oferente Deberá proveer al menos los datos de contacto de dos (2) personas para contactar en caso de no recibir respuesta en los números de teléfono de asistencia. El Ministerio proveerá los datos de al menos dos (2) personas para determinar la prioridad del daño y coordinar los mantenimientos y reparaciones. TIEMPO DE RESPUESTA: 7x24x365 y luego de recibida la solicitud de apoyo según el nivel de prioridad comunicado: NIVEL DE PRIORIDAD URGENTE: Sistema detenido. Respuesta telefónica: dentro de 0.5 horas (30 minutos) después de realizado el reporte. Respuesta en sitio: dentro de dos (2) horas después de realizado el reporte. NIVEL DE PRIORIDAD GRAVE: Sistema gravemente afectado/debilitado. Respuesta telefónica: dentro de dos (2) horas después de realizado el reporte. Respuesta en sitio: dentro de cuatro (4) horas después de realizado el reporte.

NIVEL DE PRIORIDAD NO CRÍTICO: Sistema levemente debilitado: Respuesta telefónica: dentro de 4 horas después de realizado el reporte, Respuesta en sitio: dentro del tiempo acordado con el punto de contacto, ya sea el mismo día o en el siguiente (ya sea hábil o no) de la solicitud de apoyo para atención del problema. Otras consideraciones: Asistencia para Prioridad Urgente por Ingenieros del Fabricante: en caso de no identificar el problema en cuatro (4) horas (una vez en sitio) Deberá escalarse a ingenieros del fabricante para asistencia técnica y en caso de requerirse se proveerá en sitio asistencia por Ingenieros del fabricante. Acceso directo del personal de la Institución, al centro de soporte técnico del fabricante en caso de ser requerido. Mantenimientos Preventivos: Se realizarán según las recomendaciones del fabricante. Mantenimientos correctivos: Se realizarán las veces que sea necesario. Todos los Ingenieros del oferente cuentan con su propia computadora portátil (laptop) y las herramientas a utilizar debidamente licenciadas cuando se requiera su presencia en sitio. Todos los consultores y apoyos en sitio del oferente cumplirán los reglamentos y políticas de uso de tecnología y

seguridad de la Institución como son: Contraseñas, uso de antivirus, parches, uso indebido de Internet, etc. El proponente, de ser necesario, se compromete a firmar acuerdo de confidencialidad al recibir información suministrada por la Institución.

2.1011 5 Capacitación y transferencia de conocimientos

Se Deberá brindar todos los cursos oficiales necesarios para Hiperconvergencia.

Se Deberá capacitar a un mínimo de 5 personas dispuestas por este ministerio.

La capacitación Deberá brindarse en español, y esta Deberá incluir el material de apoyo y los laboratorios.

Esta Deberá ser presencial y/o virtual o una combinación de ambos.

La capacitación se Deberá realizar en un área que dispondrá este ministerio con los equipos de cómputo que este disponga.

La capacitación Deberá brindarse durante el primer año previa coordinación con la institución.

2.1012 1 Experiencia del oferente

El Oferente Deberá presentar una carta dirigida a la institución por parte del fabricante, indicando que es distribuidor autorizado de la marca de la solución ofertada, debiendo tener como mínimo dos (2) años de relación con el fabricante. Dos (2) cartas de referencia de Instalaciones de VMWare en República Dominicana. Se Deberá entregar certificación VMware. Por lo menos de dos (2)

colaboradores certificados, los mismos Deberán ser empleados de la empresa.

2.1013 1 Oferta Técnica a presentar

El Oferente Deberá presentar conjuntamente con su Oferta Técnica un CD o USB conteniendo un (01) listado de los cursos que ofrecerá.

CATEGORIA No.3 Servidores para Plataforma Tecnológica Hiperconvergente, Almacenamiento y Respaldo de la información. No. de Partida

Cantidad Descripción Especificaciones Generales y/o Técnicas

3.1000 Características y capacidades generales

Estas características y especificaciones son las deseadas en esta partida, el oferente podrá ofrecer características y capacidades que favorezcan al Datacenter del ministerio, las mismas serán evaluadas por el departamento de TIC de la institución.

Se Deberá incluir todas las partes, hardware, software, soporte tecnico y licencias necesarias para instalar la plataforma de Hiperconvergencia. Esta Solución Deberá:

1. Ser una plataforma integrada de servidores (nodos), almacenamiento y redes que elimine los stacks complejos de equipos. 2. Proveer virtualización con alta disponibilidad e integrar los componentes de computación, almacenamiento y conectividad en forma ágil y simple en un único chasis. 3. Tener la capacidad de crecimientos modulares, estos crecimientos Deberán incrementar las capacidades de cómputo, memoria, conectividad de red y almacenamiento.

4. Contar con soporte para las plataformas primarias de virtualización de VMWare y/o Microsoft HyperV u otro fabricante líder. 5. Contar con diseño entero dedicado al datacenter definido por software SDDC. 6. Contar con capacidad para ser instalado y puesto en marcha en cuestión de clics y pocos minutos. 7. Contar con capacidad para ser usado como servidor de aplicación o pool de recursos. Permitiendo de esta forma flexibilidad en su uso. 8. Contar con compatibilidad con VMWare Fault Tolerance, otorgando alta disponibilidad en caso de fallo. 9. Contar con compatibilidad con VMWare High Availability, eliminando la necesidad de hardware de respaldo.

10. Contar con compatibilidad con Windows Failover Clúster, incrementando la disponibilidad de las aplicaciones. 11. Contar con alta-disponibilidad más allá de un sistema singular, rack o data center. 12. Contar con bajo consumo de espacio en el Rack. A un máximo de 42U. 13. Deberá contar con capacidad para crecer con simplemente agregar nodos al chasis. 14. Contar con pre-integración de las plataformas líderes de la industria de virtualización.

15. Contar con capacidad superior de recuperación de desastre y alta-disponibilidad. 16. Contar con optimización adaptiva para aceleración de cargas de trabajo. 17. Contar con compatibilidad para arreglos de discos en red 0, 5, 6, 10, 10+1 y 10+2 y/o solución de manejo de almacenamiento superior comúnmente utilizadas actualmente por sistemas hyperconvergentes. 18. Contar con federación de almacenamiento permitiendo control de los diferentes puntos de almacenamiento. 19. Contar con snapshots consistentes de máquinas virtuales y de aplicaciones por separado. 20. Contar con capacidad de conexión en caliente de SSD y HDD. 21. Contar con fuentes de poder redundantes para mantener el equipo operacional. 22. Contar con controladora de almacenamiento integrada con respaldo de cache por batería. 23. Contar con almacenamiento en clúster híper redundante, impidiendo perdida de data. 24. Contar con clustering de almacenamiento simplificando la escalabilidad del equipo. 25. Contar con aprovisionamiento THIN

integrado, incrementando la eficiencia del almacenamiento. 26. Contar con capacidad extracción de data granular de archivos individuales de los snapshots de volúmenes. 27. Contar con capacidad de hacer un “rollback” a volúmenes enteros usando los “snapshots”. 28. Contar con la habilidad de hacer Copia Remota hacia otros dispositivos de almacenamiento en red. 29. Contar con capacidad de balancear entre desempeño y recursos dentro del pool de almacenamiento, reduciendo costos. 30 Contar con la habilidad de agregar más almacenamiento manteniendo la flexibilidad y desde una consola única. 31. Contar con replicación integrada para recuperación de desastres ágil y rápida. 32. Contar con capacidad de cambiar configuraciones sin incurrir en tiempos de caída, manteniendo la disponibilidad. 33. Contar con la habilidad de escalar de manera simultánea en capacidad y desempeño. Manteniendo un balance. 34. Deberá contar con capacidad de evitar upgrades que interrumpan. Agregando dispositivos a la solución sin caer en downtime. 35. Deberá contar con capacidad de integrarse con nube privada en cuestión de minutos y ser manejada simplemente.

36. Deberá contar con rápida instalación y configuración de hypervisor, para una puesta en marcha en cuestión de minutos. 37. Deberá contar con manejo del día a día centralizado en una sola consola con toda la información disponible. 38. Deberá contar con consola centralizada principal con capacidad para manejar distintos sitios simultáneamente. 39. Deberá contar con capacidad de continuidad de negocio con Alta-Disponibilidad y Recuperación de Desastre integrada. 40. Deberá contar con capacidad para 24 disco duros ampliado la cantidad de recursos de almacenamiento. 41. Deberá contar con soporte para doble procesador de alto desempeño por nodo. Permitiendo alto poder computacional. 42. Deberá contar con capacidad mínima para 256GB por nodo (8x32GB), permitiendo gran capacidad de RAM. 43. Deberá contar con configuraciones hibridas de discos SSD o HDD permitiendo flexibilidad entre aplicación y almacenamiento. 44. Deberá contar con capacidad de 6 disco duros por nodo en configuración simple o 24 discos en configuración cuádruple de nodos. 45. Deberá contar con capacidad de control remoto de bajo nivel (abajo del sistema operativo) para tareas de mantenimiento críticas. 46. Deberá contar con 2 conectores SPF de red a velocidades de 10GbE y un adaptador RJ45 de 1GbE para administración. 47. Deberá contar con integración a equipos de respaldo permitiendo soluciones punto a punto de

plataformas virtualizadas o en premisa. 48. Deberá contar con soporte para memorias DDR4 21333MHz PC4-2166 con latencia CAS15 de 32GB por modulo. 49. Deberá contar con capacidad minima 7.2TB en configuraciones de HDD por nodo. Con discos SAS de 10k RPM o superior. Con combinaciones de disco de 1.2TB de tipo SAS o superior 50. Deberá contar con capacidad mínima 9.2TB en configuraciones SSD por nodo. Con combinaciones de disco de 1.6TB de tipo SSD o superior. 51. Deberá contar con enfriamiento por FANS redundantes de alta velocidad para mantener el equipo en temperaturas bajas 52. Deberá contar con interface REST API, que permita scripting, automatización y que provea un flujo principal de funcionalidad CRUD. 53. Deberá contar con soporte para OpenStack, permitiendo alinearse con los cambios de los API más modernos. 54. Deberá contar con soporte para Flocker y un controlador Cinder actualizado. 55. Deberá contar con auto-organización de sub-volúmenes a través de dos niveles de almacenamiento con Optimización Adaptiva. 56. Deberá contar con controladores para-virtualizados SCSI para bajar el consumo de CPU y agregar desempeño a VMWare vSphere. 57. Deberá contar con soporte a plataformas de virtualización open-source(CentOS, REHL, Ubuntu).

3.1001 6 Servidores de Hiperconvergencia

Nodos Deberá contar con un mínimo de seis (6) nodos de computación o servidores internos.

Memoria RAM combinada mínima de 1TB. Utilizando todos los nodos Procesamiento Procesadores de ultima generación compatibles con la solución propuesta. Fuentes de Poder Dos (2) fuentes de poder de 1400W o superiores redundantes.

3.1002 Características técnicas de cada servidor

Características técnicas de cada servidor o nodo, Dos (2) procesadores instalados 12 cores o superiores por nodos. Debería tener mínimo 96GB RAM instalados. Dos (2) puertos de 10GbE. Con conector tipo SFP+. Dos (2) puertos de 1GbE. Un (1) puerto 10/100 Mbps para gestión.

Para fines de dimensionamiento se Deberán considerar 100 servidores virtuales.

Los oferentes serán invitados a una visita guiada con el departamento de TI de la institución para presentar detalles para fines de dimensionamiento y/o brindar información que puedan necesitar .

3.1003 1 Espacio para Servidores Se entregaran planos o diagrama del

Hiperconvergentes Datacenter para la ubicación de los Racks y todos los servidores.

3.1004 1 Garantía El equipo y componentes internos ofertados Deberán tener garantía de fábrica extendida por tres (3) años con tiempos de respuesta de 24x7 con 4 horas de respuesta.

3.1005 1 Almacenamiento de información

Protocolos de almacenamiento admitidos: FC; FCoE; iSCSI; NFS; pNFS; CIFS/SMB. Características de alta disponibilidad: Controladoras, ventiladores y fuentes de alimentación redundantes e intercambiables en caliente. Capacidad de unidades internas: 24 NVMEM/NVRAM: 4GB 30 x HDDs 1.2 TB SAS 10K (deseado) Conectividad: UTA 2 4 x 8 Gb FC 4 x SAS de 6 Gb Garantía tres (3) años, estas son las características deseadas.

3.1006 1 Respaldo de información en ambientes virtualizados

Licenciamiento de uso perpetuo, con servicio de mantenimiento y actualización del producto ofrecidos por el término mínimo de x3 años. Se contemplan 6 servidores de Hiperconvergencia, c/u con 2 CPU. 1. La solución Deberá incluir funcionalidades de respaldo (backup) y replicación integradas en una única solución; incluyendo vuelta atrás (rollback) de réplicas y replicación desde y hacia la infraestructura virtualizada. 2. La solución no Deberá necesitar de la

instalación de agentes para poder realizar sus tareas de respaldo, recuperación y replicación de máquinas virtuales. 3. Deberá poder realizar respaldos sin detener las máquinas virtuales, y sin generar una merma en su performance, facilitando las tareas de respaldo (backup) y migraciones en conjunto. 4. Deberá ser capaz de comprender las máquinas virtuales como objetos del entorno virtual y respaldar las configuraciones de las mismas, al margen de los datos propios de las máquinas. 5. Deberá ser capaz de respaldar de forma indistinta una máquina virtual completa o discos virtuales específicos de una máquina virtual. 6. Deberá proveer una herramienta de gestión de archivos para los administradores de máquinas virtuales en la consola del operador. 7. Deberá ser una solución altamente eficaz y preparada para el futuro integrándose en forma extensiva, con las APIs de los fabricantes de infraestructura virtualizada, para la protección de datos. 8. Deberá poder realizar respaldos (backup) incrementales ultrarápidos aprovechando la tecnología de seguimiento de bloques de disco modificados (changed block tracking) reduciendo al mínimo el tiempo de respaldo (backup) y posibilitando un respaldo (backup) y una replicación más frecuente. De este modo logrando lo establecido respecto de la merma de

performance. 9. La solución Deberá ofrecer múltiples estrategias y opciones de transporte de datos para las tareas de respaldo (backup) a saber: • Directamente a través de Storage Area Network ( SAN). • Directamente desde el storage a través del HypervisorI/O (Virtual Appliance). • Mediante el uso de la red local ( LAN). • Directamente de instantánea, con al menos un fabricante de sistemas de almacenamiento. 10. Deberá proporcionar un control centralizado del despliegue distribuido, para esto Deberá incluir una consola web que provea una vista consolidada de su despliegue distribuido y federación de múltiples servidores de respaldo (backup), informes centralizados, alertas consolidadas y restauración de auto servicio de máquinas virtuales y a nivel de sistema de archivos (granular), con asignación de permisos sobre máquinas virtuales individuales. 11. Deberá poder mantener un respaldo (backup) completo sintético eliminando así la necesidad de realizar respaldo (backup) completos (full) periódicos ya que proporcionará un respaldo (backup) incremental permanente con lo que se permita ahorrar tiempo y espacio. 12. Deberá contar con la tecnología de desduplicación para lograr un ahorro de espacio de almacenamiento para los respaldo (backup).

13. Deberá proporcionar protección casi continúa de datos (near-CDP), que permita la reducción de los puntos objetivos de recuperación (RPO) sean mínimos. 14. Deberá proveer una estrategia de recuperación rápida que permita proveer/devolver el servicio a los usuarios casi inmediatamente y en forma sencilla. Dicha estrategia Deberá consistir en el inicio de la máquina virtual, que haya fallado, directamente desde el archivo de respaldo (backup) en el almacenamiento habitual del respaldo (backup). 15. La recuperación instantánea de las máquinas virtuales, Deberá permitir más de una máquina virtual y/o punto de restauración en simultáneo para la disponibilización del punto de recuperación funcional, permitiendo así, tener múltiples puntos en el tiempo de una o más máquinas virtuales funcionando. 16. Luego de la recuperación rápida, se Deberá poder realizar una restauración total sin interrupciones del servicio. Se pretende que el trabajo realizado por los usuarios no Deberá verse afectada al migrar sus máquinas virtuales desde el respaldo (backup) hasta el almacenamiento de producción. 17. Se Deberá proveer la capacidad completar restauraciones completas del respaldo (backup) de cualquier máquina virtual dentro de una ventana de mantenimiento mínima, permitiendo completar los procesos de recuperación en suspensiones del servicio más cortas

y menos frecuentes. La estrategia Deberár consistir en replicar o realizar una copia en caliente del respaldo (backup) de la máquina virtual que se encuentra en un almacenamiento desduplicado al almacenamiento en producción donde la máquina virtual ejecuta. 18. Deberá poseer una opción de recuperación instantánea de archivos que se encuentren dentro de los respaldos (backup) y replicaciones de las máquinas virtuales. Lo que Deberá permitir acceder a los contenidos de los discos virtuales de dichas máquinas sin necesidad de recuperar el respaldo (backup) completo y reiniciar desde el mismo la máquina virtual. 19. Deberá incluir un asistente para la recuperación instantánea a nivel de archivos en los sistemas de archivos más utilizados de Windows, Linux, Solaris, BSD o MacOS(Por lo menos 15 de ellos). 20. Deberá poder crear un índice (catálogo) de todos los archivos que sean manejados por el sistema operativo Windows, cuando este sea el sistema operativo que ejecute dentro de una máquina virtual del que se ha realizado un respaldo (backup). 21. Deberá poder realizar búsquedas rápidas mediante índices de los archivos que sean manejados por un sistema operativo Windows, cuando este sea el sistema operativo que ejecute dentro de una máquina virtual del que se ha realizado un respaldo (backup).

22. Deberá asegurar la consistencia de aplicaciones transaccionales en forma automática por medio de la Integración con Microsoft VSS, dentro de sistemas operativos Windows. 23. Deberá poder realizar el truncado de las bitácoras transaccionales (Transactionlogs) para máquinas virtuales con Microsoft Exchange y SQL Server. 24. Deberá poder realizar notificaciones por correo, SNMP o a través de los atributos de la maquina virtual del resultado de la ejecución de sus trabajos. 25. Se Deberá poder recuperar a nivel de objetos de cualquier aplicación virtualizada, en cualquier sistema operativo, utilizando las herramientas de gestión de aplicaciones existentes. 26. Deberá incluir herramientas de fácil recuperación guiada, mediante la cual los administradores de servidores de correo, tales como Microsoft Exchange versión 2007, 2010 y 2013, puedan recuperar objetos individuales, tales como correos electrónicos y contactos, sin necesidad de recuperar los archivos de la máquina virtual como un todo y reiniciar la misma. 27. Deberá incluir herramientas de fácil recuperación guiada mediante el cual los administradores de servidores de servicio de directorio, tales como, Microsoft Active Directory, pueden utilizar para recuperar objetos individuales, tales como usuarios, grupos, etc. Sin necesidad de recuperar

los archivos de la máquina virtual como un todo y reiniciar la misma. 28. Deberá incluir herramientas de fácil recuperación guiada mediante el cual los administradores de servidores de bases de datos Microsoft SQL Server, puedan recuperar objetos individuales, tales como tablas y registros. Sin necesidad de recuperar los archivos de la máquina virtual como un todo y reiniciar la misma. 29. Deberá ofrecer visibilidad instantánea, capacidades avanzadas de búsqueda y recuperación rápida de elementos individuales para Sharepoint 2010 sin la utilización de agentes. 30. Deberá incluir herramientas de fácil recuperación de elementos granulares de Microsoft Exchange 2010 en adelante, que no requiera inicializar la máquina virtual desde el respaldo y que pueda ser extraído en frio. (Ej. Correo, Citas de calendario, contactos, etc) y sin requerir infraestructura intermedia (“Staging”). 31. Deberá poder ofrecer confiabilidad en un 100% en el inicio correcto de todas sus máquinas virtuales respaldadas y en el funcionamiento del rol que cumple dichas máquinas virtuales (DNS Server, DomainController, Mail Server, SQL Server, etc) al momento de la recuperación. 32. Deberá poder crear una copia de trabajo del entorno de producción de cualquier estado anterior para la resolución de problemas, pruebas de procedimientos, capacitación, etc.

ejecutando una o varias máquinas virtuales desde el archivo de respaldo (backup) en un entorno aislado, sin necesidad de más espacio de almacenamiento y sin modificar el respaldo (backup). 33. Deberá ofrecer la posibilidad de restaurar máquinas virtuales desde instantáneas de SAN de HP (HP StoreVirtual VSA,LeftHand/P4000 y StoreServ3PAR). 34. Deberá ofrecer el archivado en cinta, soportando VTL (Virtual Tape Libraries), biblioteca de cintas y drives independientes. 35. Deberá ofrecer Trabajos de Copia de Backup con implementación de políticas de retención. 36. Deberá ofrecer Aceleración de red “WAN” integrada y conseguir una copia en sitio remoto a través de la red “WAN”optimizada y rápida, sin el uso de agentes ni configuraciones de red especiales en alguna de sus versiones. 37. Deberá incluir Respaldos desde snapshots de almacenamiento de HP StoreVirtual VSA, HP StoreVirtualLeftHandy HP StoreServ3PAR sin producir impacto alguno en el entorno de producción o máquinas virtuales en ejecución. 38. Deberá incluir soporte para Vmware vCloud Director con visibilidad integrada de la infraestructura vCD en la consola de backup, haciendo backup de metadatos y los atributos asociados con vApps y VMs permitiendo la recuperación directamente a vCD.

39. Deberá incluir un Plug-in VMware para vSphere Web Client y poder monitorear la infraestructura de backup directamente desde el vSphere Web Client, con vistas detalladas y generales del estado de los trabajos y recursos de backup. 40. Deberá soportar las últimas versiones disponibles de los hipervisores más populares de mercado a la fecha: VMWare vSphere 5.5 y Microsoft Hyper-V 2012 R2. 41. No Deberá requerir hardware específico para alcanzar la de-duplicación y compresión de la información fuera de los requerimientos estándar de cualquier software, y específicos para el caso. 42. No Deberá requerir licencias independientes para las actividades de respaldo, recuperación y replicación. 43. No Deberá requerir licencias independientes para el respaldo y recuperación granular guiada y consistente de software: a. Microsoft Active Directory b. Microsoft Exchange Server 2010 en adelante. c. Microsoft SQL Server 2008 en adelante d. Microsoft Sharepoint 2010 en adelante. 44. Deberá permitir la recuperación granular sin necesidad de montar ambientes temporales para: a. Microsoft Active Directory 2008 R2 en adelante.

b. Microsoft Exchange Server 2010 en adelante. c. Microsoft SQL Server 2005 en adelante d. Microsoft Sharepoint 2010 en adelante. 45. Deberá ofrecer aceleración de enlaces WAN para la réplica en alguna de sus versiones. 46. Deberá ser capaz de realizar replicas en otros sitios o infraestructuras desde los respaldos realizados. 47. Es necesario que ofrezca la posibilidad de regular de forma dinámica e parametrizable la exigencia sobre los sistemas respaldados, de forma tal, que se puedan definir umbrales de performance en discos para regular el impacto sobre la plataforma productiva. 48. Deberá presentar un método fácil de recuperación hacia ambientes de contingencia, con las acciones pre-configuradas para evitar acciones manuales en caso de desastre, similar a un botón de emergencia. 49. Deberá ofrecer la posibilidad de almacenar los respaldos de forma encriptado, así como asegurar el tránsito de la información bajo este esquema. 50. Deberá permitir la delegación de tareas de recuperación, a nivel de elementos de aplicación, hacia otros usuarios, de forma tal a poder descargar la cantidad de maniobras a ejecutar por

el administrador de la plataforma. 51. Deberá disponer de funcionalidades integradas que permitan la selección de un destino de almacenamiento de respaldos que pueda estar alojado en un proveedor de servicios en la nube. 52. Deberá integrar una solución unificada de monitoreo de ambientes virtuales y respaldos de forma de poder co-relacionar ambas infraestructuras, las alarmas y reportes. 53. Deberá ofrecer un conjunto de reportes capaces de presentar información de tipo: a. Reportes que permitan la planificación de la capacidad. b. Reportes que permitan la determinación de inefectividad en el uso de recursos. c. Reportes que faciliten la visibilidad de tendencias negativas y anomalías. d. Tableros de control claros, presentables e integrables en sitios web. 54. Deberá poseer la capacidad de generar segregación de acceso según el perfil del usuario, al monitoreo de la infraestructura conectada a la plataforma. 55. Deberá co-relacionar la ejecución de trabajos de respaldo y replica con los objetos del entorno virtual. 56. Deberá ofrecer la capacidad de reportar el cumplimiento de políticas de protección de datos y disponibilidad acorde a parámetros definidos. 57. Deberá poseer base de

conocimiento integrada en las alarmas, aunque también Deberá soportar la personalización de las alarmas y descripciones de base de conocimiento. 58. Poseer un único número de parte, según la versión o edición, provisto por el fabricante para la adquisición del paquete de software que incluya todas las funcionalidades arriba mencionadas. Monitoreo para ambientes Virtualizados Licenciamiento de uso perpetuo, con servicio de mantenimiento y actualización del producto ofrecidos por el término mínimo de 3 años. Características Técnicas a cumplir: 59. La solución Deberá incluir funcionalidades de Monitoreo del entorno virtual y la solución de respaldo integradas en una única consola. 60. La solución no Deberá necesitar de la instalación de agentes para poder realizar sus tareas monitoreo de máquinas virtuales. 61. Deberá poder generar reportes personalizados en base a la infraestructura disponible independientemente del hipervisor utilizado. 62. Deberá ser capaz de categorizar todas las máquinas virtuales monitoreadas basándose en donde se encuentran conectadas dichas máquinas virtuales y su ubicación. 63. Deberá ser capaz de evitar problemas durante la recolección de información realizando un seguimiento activo de la diferencia de tiempo entre

el los máquinas virtuales monitoreadas y el servidor de monitoreo. 64. Deberá proveer facilidad para la creación de alertas de forma tal que se pueda tomar el evento y usarlo como parámetro. 65. Deberá permitir la creación de alertas de rendimiento para el monitoreo de clusters. 66. Deberá permitir exportar las alertas desde el monitoreo a formato texto separado por comas. 67. Deberá permitir flexibilidad suficiente en la creación de reportes. 68. Deberá permitir a los usuarios pueden filtrar los eventos activados y tareas, de acuerdo con su estado de gravedad.

CATEGORIA No.4 Redes, Telecomunicaciones y Licenciamientos

No. de Partida

Cantidad Descripción Especificaciones Generales y/o Técnicas

4.1000 2 Equipo Switch para servers

Desde 55GBs switching capacity por slot, high-density 10, 40, GE, high availability, servicios avanzados para la segmentación de red, aplicaciones, servicios y centros de datos de interconexión. Características de alta disponibilidad: controladores, ventiladores y fuentes

de alimentación redundantes e intercambiables en caliente. Deberá incluir una Garantía full 3 años.

4.1001 2 Equipo Concentrador de Conexiones a Misiones en el Exterior.

Routers Edge para administración de conexiones WAN. 1 rack-unit, hasta 2 Gbps de rendimiento, capacidades de Seguridad firewall, intrusión prevención sistema (IPS), y VPN. Deberá incluir las Licencias para 10 años mínimos.

4.1002 12 Switchs Equipo de Red Switch Distribución para red de acceso, administrable, VLAN, Data, Voz, POE, IPv6. 100 Mbs / 1, 10, 40GE. Compatible con hiperconvergencia y micro segmentación.

4.1003 1 Sistema de Telefonía IP Sistema de telefonía IP para 1000 usuarios tomando en cuenta equipos actuales del ministerio.

Sistema completo Hardware y Software o Virtual.

4.1004 200 Teléfonos IP SIP Gama Alta

Características deseadas: Teléfonos IP 4 líneas, 4 cuentas y conferencia de voz de 5 participantes, Audio HD en altavoz y auricular, 5 teclas programables sensibles al contexto, Audio HD en altavoz y auricular, 5 teclas programables Pantalla LCD a color de 4+ pulgadas, Dos puertos Gigabit, PoE integrado, Bluetooth integrado para uso con audífonos Bluetooth y dispositivos móviles habilitados para Bluetooth (transfiriendo libretas de contactos y llamadas), USB, EHS preferible para

audífonos Plantronics

4.1005 300 Teléfonos IP SIP Gama Media

Características deseadas: Teléfonos IP 3 líneas, 3 cuentas y conferencia de voz de 4 participantes, Pantalla LCD a color de 2.5+ pulgadas, Dos puertos Gigabit, PoE integrado, 8 teclas bicolor BLF/de marcación rápida, Audio HD en altavoz y auricular, Bluetooth integrado, 4+ teclas de función programables sensibles al contexto

4.1006 500 Teléfonos IP SIP Gama Baja

Características deseadas: Teléfonos IP 2 líneas, 2 cuentas y conferencia de voz, Dos puertos Gigabit, PoE integrado

4.1007 6 Teléfonos IP Recepcionista

Características deseadas: 12 teclas de línea de doble color (con 6 cuentas de SIP), 5 teclas programables sensibles al contexto XML, Conferencia de audio de 5 vías, 48 teclas de BLF/marcación de rápida digitalmente programables y personalizables, Pantalla LCD a color de 4+ pulgadas, Dos puertos Gigabit, PoE integrado, Bluetooth integrado

4.1008 50 Punto de acceso inalámbrico (Access Point)

Equipo de Red Inalámbrico para ampliar cobertura WIFI, a802.11ª/g and 802.11n, POE, compatible con controlador Con controladora incluida.

4.1009 100 Licencia de Sistema Operativo de Servidores

Windows Server para entornos virtuales

4.1010 3 Licencia software de base datos

SQL Server Enterprise

4.1011 1 Licencia de Correo Institucional

Microsoft Exchange 2016 (2500 usuarios aprox.)

4.1012 8 Monitores Televisores para monitoreo de servidores, red infraestructura 50 + pulgadas, bajo consumo energético.

Minimo una entrada HDMI (Estos Deberán incluir los cables y accesorios para proyectar los sistemas de monitoreo, al igual que los accesorios de instalación de los mismos)

4.1013 2 Rack para equipos servidores

Rack para equipos servidores de centro de datos. 42U. Con puertas delanteras y posteriores divididas. Componentes eléctricos integrados para conexión a tierra, fijación de gabinete al piso incluida, capacidad para distribución enfriamiento eficiente, distribución de energía y organización de cables incluidos, compatibilidad con montaje en rack de 19” EIA-310 estándar garantizada

4.1014 2 Rack para equipos de redes y Seguridad

Rack para equipos de redes Rack para equipos de redes en centro de datos. 42 U. Rack de 19” EIA-310 estándar garantizada. Organizadores Verticales y Horizontales

4.1015 28 Equipo de Respaldo Eléctrico para IDF

UPS 3000 VA

4.1016 15 Firewall misiones VPN, Firewall Firewall 1518 Byte UDP Packets minimo 4000 Mbps VPN AES-128 Throughput 1,000 Mbps WAN 1x 10/100/1000Base-T RJ-45 port DMZ 1x 10/100/1000Base-T RJ-45 / 1x 1000BaseF SFP port LAN Switch 16x 10/100/1000Base-T RJ-45 ports (total) PoE Ports (opcional) 4x 10/100/1000Base-T RJ-45 out of the 16 LAN ports Wi-Fi (opconal) 802.11 b/g/n and 802.11 n/ac MIMO 3x3 Radio Band (association rate) 2 concurrent: 2.4Ghz (max 450 Mbps) and 5Ghz (max 1300 Mbps) Console Port 1x RJ-45, 1x Mini USB USB Port 2x USB 3.0 SD Card Slot Micro SDHC slot

3G/4G Modem Support

4.1017 15 Switchs Acceso Misiones

Equipo de Red Switch 24 Puertos Distribución para red de acceso, puertos a 1, 10 GE, administrable, VLAN, Data, Voz, POE, IPv6.

4.1018 15 Central Telefónica Misiones.

Central Telefonica Small compatible con Telefonia IP principal (Ver Partida 4.1003 de esta partida).

up to 50+ users and 20 concurrent calls, Integrated 4 PSTN trunk FXO ports, 5+ SIP trunk accounts, Puertos de red Gigabit con PoE integrado, USB, tarjeta SD, Supports up to a 5-level IVR (Interactive Voice Response), Built-in call recordings server; recordings accessible via web user interface, Multi-language auto-attendant, Strongest possible security protection using SRTP, TLS and HTTPS encryption, H.264, H.263 or H.263+ codecs

4.1019 15 Servidor Misiones Intel® Xeon® E3-1240 v5 o superior, 16GB Memory, 2TB Hard Drive, Raid 5, Teclado, Monitor, Mouse, Licencia VMware y Windows Server para 5 Maquinas virutales

4.1020 1 Conexiones Suministro e Instalación de salida para Data e Interconexión de IDF , Tuberia EMT ¾ Pulg. Tuberia Flexifle ¾ Pulg. Caja ;Metalica Reforzada con nock-out ¾ y conectores para tuberias, alambre Cat6A UTP, y además accesorios, salida terminada y Certificada. Cables y accesorios UL . Cable a Utilizar Marca Reconocidas| 1000’ Length, ; Cable de cobre, Categoría 6ª UTP, riser (CMR), 4 pares, los conductores son 23 AWG con aislante de Polietileno de alta densidad (HDPE), retorcido en pares, separados por un divisor y protegidos por una capa de PVC retardante de llama, azul.

Interconexión de IDF mediante Fibra Optica de 6 Hilos con todos los hilos terminados , fusionados y certificados y cada Fibra de cada IDF Deberán ir al MDF ; Tuberia EMT , . AL final del Proyecto Deberán entregar un CD o Memoria con el diagrama de Instalación de Tubería y distribución e etiquetado de cables y certificación.

CATEGORIA No.5 Soporte a Usuarios

No. de Partida

Cantidad Descripción Especificaciones Generales y/o Técnicas

5.1000 150 Computadoras de

Escritorio

Computador Desktop 8G RAM, Procesador i5 7ma Generación, 250 HDD SATA, Win10 Pro y Monitor 21+ Wide Screen 3 años de garantía.

5.1001 150 UPS para

Computadoras de

Escritorio

UPS 2200 AV

5.1002 30 Laptop Monitor 15”, Procesador I7 7ma Gen, 8 GB Memoria mínimo, Win10 Pro, Tarjeta Gráfica Nvidea o equivalente, Mínimo 500 GB HDD estado solido

5.1003 4 Carritos de Carga

plegables

Carritos de Carga plegables (que soporten 500 Lbs mínimo)

5.1004 1 Compresor Compresor de aire de 1.5 HP

5.1005 2 Blower Blowers de aire con regulación (frío - caliente)

5.1006 12 Latas de contact

cleaner

Latas de contact cleaner

5.1007 3 Kits (o bultos) de

herramientas para

soporte técnico

Kits (o bultos) de herramientas para soporte técnico

CATEGORIA No.6 Capacitación a Usuarios

No. de Partida

Cantidad Descripción Especificaciones Generales y/o Técnicas

6.1000 Requisitos de la La empresa o academia que brinde los

empresa siguientes cursos Deberá contar con experiencia e instructores que brinden los cursos en idioma español.

Deberán incluir refrigerios, comidas, salón de clases equipadas con computadoras, laboratorios, Deberá incluir todo el material necesario para los cursos.

6.1001 10 Administering MS SQL Server Databases

Curso de 40 horas mínimo, presencial.

6.1002 10 Implementing Data Models and Reports with SQL Server

Curso de 40 horas mínimo, presencial dirigido por un instructor profesional.

6.1003 10 Core Solutions of MS Sharepoint Server

Curso de 40 horas mínimo, presencial dirigido por un instructor profesional.

6.1004 100 Advanced Solutions of MS Exchange Server

Curso de 40 horas mínimo, presencial dirigido por un instructor profesional.

6.1005 100 Voip Basado en Asterisk avanzado

Curso de 40 horas mínimo, presencial dirigido por un instructor profesional.

6.1006 10 SCRUM Metodología Ágil de Desarrollo de Software – SCRUM.

Curso de 30 horas mínimo, presencial dirigido por un instructor profesional. Planear proyectos desde cero de forma ágil.

6.1007 10 Implementación de un Sistema de Seguridad de la Información (SGSI) - ISO 27001

Curso de 40 horas mínimo, presencial dirigido por un instructor profesional.

6.1008 10 Curso Hacking Ético Curso de 40 horas mínimo, presencial dirigido por un instructor profesional.

6.1009 12 Gestión de Proyectos de Software

Curso de 40 horas mínimo, presencial dirigido por un instructor profesional.

6.1010 10 Implementación ITIL V3 Curso de 20 horas mínimo, presencial dirigido por un instructor profesional.

CATEGORIA No.7 Sistemas de Seguridad Lógica integrada

No. de Partida

Cantidad

Descripción

Especificaciones Generales y/o Técnicas

7.1000

Generalidades

El ministerio tiene la necesidad de una Solución completa e integrada: En los casos de las soluciones que necesitan funcionar de manera coordinadas y/o integradas, se Deberán incluir y describir explícitamente todos los componentes de hardware, software, suscripciones, servicios, soporte y cualquier otro elemento que sea necesario para que estas soluciones funcionen adecuadamente.

Todas las soluciones Deberá ser ofertadas en diseño operacional de alta disponibilidad Todas las soluciones ofertadas en esta partida Deberán incluir y describir explícitamente configuraciones con redundancia de alta disponibilidad en las mismas si las tuviera. Instalación, Configuración y Puesta a Punto de las soluciones ofertadas Deberán incluirse y describirse explícitamente todos los servicios, materiales, viáticos y similares necesarios para la instalación, configuración y puesta a punto de todas las soluciones ofertadas en este partida. En los casos de que varias soluciones deban funcionar de forma integrada o coordinada, también Deberán incluirse todos los servicios, materiales, viáticos y similares necesarios para esas integraciones. Estos servicios Deberán ser provistos por personal con el nivel de conocimiento adecuado. Gerente de Proyecto: Deberá incluirse y describirse explícitamente la asignación de un gerente de proyectos dedicado certificado PMP 100% de su tiempo a la implantación de todas las soluciones ofertadas en esta partida durante todo el tiempo que sea necesario y requerido por el Ministerio. Se Deberá incluir en la propuesta el curriculum de este gerente de proyectos propuesto. Project Plan: Deberá incluirse y describirse explícitamente el Project Plant en formato de MS Project para la implantación de todas las soluciones ofertadas en esta partida, así como los currículos del personal que sería asignado al mismo. El oferente que resulte ganador Deberá mantener y actualizar este Project Plan con periodicidad semanal, y Deberá justificar por escrito cualquier cambio que ocurriese con respecto al original. Dimensionamiento General: Para los fines de dimensionamiento general pertinentes a

cada solución propuesta, en caso de ser necesario, se Deberán licenciar 1000 usuarios locales, 1400 dispositivos, 500 Gbps de Tráfico de Internet y 100 máquinas de servidores virtuales para ambientes de aplicaciones. Este dimensionamiento tiene precedencia sobre cualquier error y/u omisión de las especificaciones de cada solución si se diese esa situación. Otros tipos de dimensionamientos particulares a cada solución se especifican en cada una de las mismas. Soporte Técnico: Deberá incluirse y describirse explícitamente el Soporte Técnico a todas las soluciones tanto de Hardware como de Software, servicios de suscripción, y cualquier otro elemento necesario en cada una de las soluciones propuestas. Estos soportes Deberán ser por un tiempo de 3 años a partir de la puesta en marcha de la solución con un tiempo de respuesta de 2 horas 24X7. Este soporte Deberá incluir tanto el soporte del oferente local, como el soporte oficial del fabricante de cada solución. Este requerimiento tendrá precedencia sobre cualquier error u omisión en las descripciones particulares de cualquier solución en caso de que esto ocurra. Cursos de Formación: Se Deberán incluir y describir explícitamente 5 cupos de formación profesional oficiales, válidos para los esquemas de Certificación Profesional de cada uno de los fabricantes, de cada una de las soluciones ofertadas. Estos cursos Deberán ofrecerse en la Ciudad de Santo Domingo y Deberán incluir toda la documentación y material de soporte de los mismos, en caso de cursos en línea, estos también Deberán contar con instructores o guías locales.

7.1001

1000 Solución Integrada de Endpoint Security,

Se Deberára proveer una solución integrada de Endpoint Security para los 1400 dispositivos del ministerio. La solución Deberá soportar los siguientes sistemas operativos de servidores:

Anti-Virus, Anti-malware, Anti-spyware y Data Loss Prevention

Windows Server 2012, 2012 R2, and 2012 R2 Update 1: Essentials, Standard, Datacenter (incluyendo Server Core mode) Windows Storage Server 2012 and 2012 R2. Windows Server 2008 and 2008 R2: Standard, Datacenter, Enterprise, Web (incluyendo Server Core mode). Windows Storage Server 2008 and 2008 R2. Windows Small Business Server 2011. Windows Small Business Server 2008. Windows Embedded Standard 2009. Windows Point of Service Ready 2009. Windows Point of Service 1.1. La solución Deberá soportar los siguientes sistemas operativos de clientes: Windows 10 Anniversary Update. Windows 10 November Update. Windows 10. Windows 8.1 Update 1. Windows 8 (no incluyendo Windows RT edition). Windows 7. Windows To Go (All versions). Windows Vista. Windows Embedded 8: Pro, Standard, Industry. Windows Embedded Standard 7.

Windows Embedded for Point of Service (WEPOS). MAC Sierra 10.12. MAC El Capitán 10.11. MAC Yosemite 10.10. MAC Mavericks 10.9. La solución Deberá ser administrada de forma centralizada. La solución Deberá poder ser administrada de manera local o desde la nube. Microsoft Internet Explorer (versiones 7, 8, 9, 10, and 11). Mozilla Firefox (versiones desde 3.0 a 35). Google Chrome (versiones desde 4.0 a 49). Se Deberá poder desplegar la solución mediante un agente. La solución Deberá contar con los mecanismos de protección para no poder ser desinstalada o desactivada por el usuario. La solución Deberá avisar sobre los posibles conflictos que existan de la solución a otras soluciones de anti-virus y firewall instalados previamente en la máquina. Se Deberá poder habilitar o deshabilitar los módulos de protección sin ser desinstalados del sistema. La solución Deberá poder desplegar una aplicación cliente standalone que pueda gestionar cambios localmente en caso de que se necesite. Se Deberá poder restringir completamente o parcialmente al acceso a la consola cliente para configurar parámetros individuales sobre el host. La desinstalación de la aplicación puede ser protegida mediante contraseñas desplegadas por políticas configuradas por el administrador.

Puede existir más de una configuración de idioma para la aplicación cliente. La solución Deberá basarse en una plataforma común sobre la cual se incorporan módulos de Prevención de Amenazas, control web, y Firewall de escritorio, y que permita el intercambio de información entre cada uno de los módulos. La solución Deberá permitir la integración a esta plataforma colaborativa, de un módulo de intercambio de reputación LOCAL, basada en la información recolectada por las diferentes soluciones de seguridad en el ambiente de la empresa. Esto es adicional y no Deberá confundirse con las fuentes de inteligencia global. La solución Deberá poder configurarse para realizar escaneos por demanda o programados, desde la consola de administración o desde la consola cliente. Se Deberá poder configurar acciones sobre infecciones identificadas: Denegar acceso Limpiar Eliminar Ninguna La solución Deberá ofrecer opciones de envío de infecciones a cuarentena y ejecutar acciones sobre ítems enviados allí. Se Deberán reportar eventos de amenazas directamente sobre la consola cliente y visibles desde la consola de administración de la solución. La solución Deberá poder habilitar la opción de escaneo de click-derecho sobre carpetas específicas. Es requerido que la solución soporte archivos DAT V2 y V3 de detección de amenazas. Deberá contar con mecanismos de protección de exploits Generic Buffer Overflow Overflow Protection (GBOP) o integración con Microsoft DEP (Data Execution Prevention).

La solución Deberá contar con características de protección Kevlar para navegadores web (Active X). La solución Deberá poder integrarse con tecnología SEMP (Intel Supervisor Mode Execution Protection) en sistemas operativos Windows 8. La solución Deberá contar con mecanismos de protección a ejecución de scripts maliciosos de IE, sean JavaScript o VBScript. La solución Deberá poder configurar mediante reglas o políticas de protección de: Entradas y llaves de registro de Windows. Prevención de creación de ejecutables portables (.INI, .PIF). Creación de archivos autorun. Prevención de uso de archivos TFTP (Trivial File Transfer Protocol). Contra lectura de archivos en cache de IE. Creación y modificación remota de archivos o carpetas. Acceso remoto de archivos o carpetas. .EXE, .BAT y otros ejecutables bajo la llave de registro HKEY_CLASSES_ROOT. Modificación de procesos core de Windows. Modificación de configuraciones de exploradores y navegadores web. Proteger procesos con sub reglas personalizadas Asignar las reglas por nombre de usuario La solución Deberá permitir la implementación de un módulo de contención de aplicaciones basado en la reputación de dicha aplicación obtenida a través del módulo de reputación Local.

Las aplicaciones que se ejecuten en modo contenido no podrán realizar acciones específicas definidas desde la consola de administración. La solución de antivirus Deberá ser además compatible con sistemas Linux CentOS, Red Hat, SuSe y Ubuntu Las políticas de antivirus definidas desde la consola Deberán poder ser aplicables para cualquier sistema operativo soportado. No se aceptará tener que definir políticas diferentes para diferentes sistemas operativos. El modulo Deberá permitir/bloquear tráfico de red para protocolos no soportados. Permitir o bloquear trafico solo hasta que el modulo y servicios de firewall este arriba. Habilitar/deshabilitar protección IP Spoof. Habilitar/deshabilitar alertas de intrusión de Firewall Agregar dominios específicos para bloqueo DNS. La solución Deberá poder recopilar log en eventos lanzados directamente sobre el cliente y reportar incidentes en la consola de administración central. Cada una de las reglas Deberá ser aplicable para tráfico entrante como para tráfico saliente del cliente. Las reglas de trafico Deberán ser soportadas para protocolos IP: Ipv4 Ipv6 La solución Deberá aplicar reglas de tráfico para conexiones: Alámbricas Inalámbricas Virtuales Las reglas de tráfico Deberán poder extenderse a ejecutables por medio de la especificación de ruta (se pueden utilizar

wildcards). El módulo Deberá poder incluir reglas en base a los protocolos y puertos más conocidos del mundo. Se Deberá poder administrar redes y ejecutables de confianza desde la interfaz de usuario de los endpoints. La herramienta Deberá contar con un mecanismo de conocimiento global de amenazas que permita configurar bloqueo de conexiones de alto riesgo en base a reputación. La solución Deberá poder bloquear de forma automática sitios con clasificación de riesgo alto que puedan afectar los equipos y/o la red. La solución Deberá tener la capacidad de bloquear y/o dejara al usuario decidir qué acción tomar en caso que el sitio que se esté visitando por alguna razón no cuente con una clasificación en ese momento. La solución Deberá contar con un elemento visual que permita identificar el riesgo del sitio visitado en los navegadores soportados. La solución incluso Deberá tener la capacidad de ayudar a la institución permitiéndole definir reglas de filtrado de URL por categorías. La solución Deberá tener la capacidad de evitar el acceso a sitios de phishing. La solución Deberá poder evitar descargar malware, ayudando así a tener que la protección sea proactiva. La solución Deberá de contar con alrededor de 100 categorías de sitios web. La solución Deberá poder especificar que navegadores sean los únicos autorizados para navegar a internet. La solución Deberá tener la capacidad de definir rangos de IP

privadas (intranet) que no sean analizadas por la herramienta para bloqueo de sitios web. La solución Deberá tener la capacidad de forzar búsquedas seguras con los buscadores al menos cuatro de los motores de búsqueda más usados (Google, MSN, Yahoo, Terra, UOL, Ask). La solución Deberá poder bloquear iFrames de HTML o advertir de sitios que contengan. La solución Deberá tener categorías sincronizadas con una base de datos de reputación global de amenazas. La clasificación Deberá ser en tiempo real y contra una base de datos de reputación que al menos correlacione archivos, URL´s, y correos electrónicos todo esto en la nube. La solución Deberá tener la capacidad de personalizar los mensajes que le aparezcan al usuario cuando una política sea violada. La solución Deberá tener la capacidad de definir un logotipo para mostrarlo en los mensajes de violación a las políticas. Se Deberá poder ver reportes de amenazas web detectadas y políticas violadas. La solución Deberá captar logs o registros para eventuales temas de compliance y troubleshooting. La solución Deberá estar en la capacidad de identificar cuando se está una solución de proxy y apagarse en la presencia de este.

7.1002

2 Solución de Gateways de Manejo y Control de Seguridad Integrada redundan

Los Gateways de Manejo y Control de Seguridad Integrada redundante Deberá ser capaz de manejar los siguientes aspectos de seguridad: La funcionalidad de Firewall Deberá realizar Stateful Inspection utilizando análisis granular de las comunicaciones y Application State para dar seguimiento y controlar el flujo en la red. Deberá ser capaz de soportar, estar configurada y licenciada para un throughput a la velocidad de conexión agregada hacia

tes para Firewall, Prevención de Intrusos, Control de Aplicaciones y Filtrado de URL, Anti Virus, Anti BOT, Emulación y Extracción de Amenazas, VPNs Ipsec, Data Loss Prevention e integración con la solución de Sandboxing en HA.

Internet de mínimo 500 Mbps con capacidad de crecimiento en el hardware de la solución ofertada a por lo menos el doble de esa velocidad, es decir, hasta un mínimo de 1 Gbps. Deberá soportar un Throughput agregado total igual o mayor a 60 Gbps y un mínimo de 4 millones de sesiones concurrentes. Deberá tener todas las configuraciones de Hardware y conexiones de red necesarias para manejar estas velocidades. Las conexiones Deberán ser a 10 Gbps con conectores SFP+ Deberá soportar control de acceso para por lo menos 150 servicios y/o protocolos predefinidos. Deberá permitir definir reglas de seguridad que puedan ser enforzadas dentro de intervalos de tiempo configurados con tiempo y fecha de expiración. Deberá manejar estadísticas de conteo de la utilización de cada una de las reglas de seguridad y enviar las mismas a la aplicación de gerencia de la aplicación. Deberá soportar métodos de autenticación basados en clientes, usuarios y sesiones. La comunicación entre los servidores de gerencia y los Gateways de Seguridad Deberán ser encriptados y autenticados con Certificados PKI Deberá soportar DCHP, server y relay. Deberá incluir una base de datos de usuarios local que permita la autenticación y autorización sin necesidad de ningún dispositivo externo. Deberán soportarse los siguientes esquemas de autenticación de usuarios: Tokens (SecureID), TACACS, RADIUS y Certificados Digitales. Deberá soportar y estar configurada en Alta Disponibilidad en los Gateways con balanceo de carga y sincronización de estado.

Deberá ser capaz de trabajar en modo Bridge/Transparente y soportar HTTP y proxy PTTPS. Deberá soportar la configuración de gateways en stacks dobles o con una interface de unión o como una sub-interface de una interface de unión. Deberá soportar tráfico IPv6 en los módulos de IPS, APP, Firewall, Identity Awareness, filtrado URL, Antivirus y Anti BOT. Deberá soportar NAT 6 a 4, o túneles 6 a 4. Deberá soportar integración AD usando tráfico IPv6. Deberá soportar seguimiento y logs que muestren el tráfico IPv6. Deberá soportar la habilidad de mostrar tablas de ruteo IPv6. La solución Deberára soportar los siguientes RFCs IPv6: RFC 1981 Path Maximum Transmission Unit Discovery for IPv6 RFC 2460 IPv6 Basic specification RFC 2464 Transmission of IPv6 Packets over Ethernet Networks RFC 3596 DNS Extensions to support IPv6 RFC 4007 IPv6 Scoped Address Architecture RFC 4193 Unique Local IPv6 Unicast Addresses RFC 4213 Basic Transition Mechanisms for IPv6 Hosts and Routers – 6in4 tunnel is supported. RFC 4291 IPv6 Addressing Architecture (which replaced RFC1884) RFC 4443 ICMPv6

RFC 4861 Neighbor Discovery RFC 4862 IPv6 Stateless Address Auto-configuration La solución de IPS Deberá mínimamente permitir los mecanismos de detección basados en exploit signatures, anomalías de protocolos, y detección por el control y el comportamiento de las aplicaciones. La solución Deberá pertenecer al cuadrante de líderes del Cuadrante Mágico de Gartner para las soluciones de Firewall e IPS. Las soluciones de IPS y de Firewall Deberán estar integradas en una única plataforma. La administración de la solución de IPS Deberá permitir que se configure la inspección para proteger solamente los hosts internos. El IPS Deberá tener las opciones de crear perfiles para protección de clientes, servidores o una combinación de ambos. La solución de IPS Deberára proveer pre configurada por lo menos dos perfiles y/o políticas que puedan ser usadas de forma inmediata. Los IPS Deberára tener un mecanismo basado en fail-open que pueda ser configurado en base a límites del uso de la memoria y los CPUs de los Gateways. Los IPS Deberán ser capaces de activar o manejar mecanismos automáticos de nuevas firmas desde las actualizaciones. Deberán soportar excepciones de redes basadas en la fuente, el destino, el servicio o una combinación de las tres anteriores. Los IPS Deberán incluir una modalidad de Troubleshooting que permita al perfil en uso que solo detecte sin modificar las protecciones individuales.

La solución de IPS Deberá tener un mecanismo centralizado de correlación y reporte de eventos. El administrador Deberá ser capaz de activar automáticamente nuevas protecciones basadas en parámetros configurables tales como impacto de rendimiento, severidad de las amenazas, niveles de confianza, protecciones a los clientes y protecciones a los servidores. La solución de IPS Deberá ser capaz de detectar y prevenir las amenazas siguientes: Mal uso de protocolos, comunicaciones de Malware, intentos de uso de túneles, y tipos de ataques genéricos sin firmas predeterminadas. Para cada protección, la solución Deberá incluir tipos de protección para clientes y servidores, severidad de las amenazas, impacto en el rendimiento, niveles de confianza y referencias de la industria. Los IPS Deberán ser capaces de recolectar capturas de paquetes para protecciones específicas. Deberán ser capaces de detectar y bloquear ataques a niveles de red y de aplicaciones, protegiendo un mínimo de los siguientes servicios: email, DNS, FTP, y Servicios de Windows (Microsoft Networking). La solución Deberá ser líder protegiendo las vulnerabilidades de Microsoft. Los IPS y los controles de aplicaciones Deberán incluir la habilidad para detectar y bloquear aplicaciones P2P y evasivas. El administrador Deberá ser capaz de definir las redes y los hosts a ser excluidos de la inspección de los IPS. Los IPS Deberán proteger del Envenenamiento del Cache del DNS y prevenir a los usuarios de accesar las direcciones de dominios bloqueados. Deberá proveer protección a los protocolos de VOIP. Los IPS y los controles de aplicaciones Deberán detectar y bloquear las aplicaciones de control remoto, incluyendo

aquellas que son capaces de manejar túneles sobre tráfico HTTP. Deberá incluir protección a protocolos SCADA y tener un mecanismo para convertir firmas SNORT. La solución Deberá poder enforzar los protocolos de Citrix. Deberá permitir al administrador a bloquear fácilmente el tráfico outbound o inbound basado en los Paises, sin necesidad de manejar manualmente rangos de direcciones IP correspondientes a esos países. La solución de Adquisición de la Identidad del Usuario Deberá ser capaz de adquirir la identidad del usuario solicitando la misma al Microsoft Active Directory basada en los eventos de seguridad. Deberá ofrecer un método de Autenticación de Identidad de Usuario basado en browser para los usuarios o activos que no pertenecen a dominio. Deberá tener un agente de cliente dedicado que pueda ser instalado por políticas en las computadoras de los usuarios que puedan adquirir y reportar las identidades a los Gateways de Seguridad. Deberá soportar ambientes de terminal servers. Deberá integrarse de forma nativa con servicios de directorios, IF-MAP y RADIUS El impacto de estos servicios Deberá ser menor al 3% en los controladores de dominio. La solución Deberá soportar terminales y servidores Citrix La solución Deberá permitir la identificación a través de un proxy. Deberá ser capaz de adquirir la identidad del usuario del Microsoft Active Directory sin necesidad de instalar ningún agente en los controladores de dominio.

Deberá soportar autenticación transparente de Kerberos mediante un sign on único. Deberá soportar el uso de grupos anidados de LDAP. Deberá ser capaz de compartir y propagar identidades de usuarios entre múltiples gateways de seguridad y crear roles de identidad que puedan ser usados a través de todas las aplicaciones de seguridad. La base de datos de la Solución para Control de Aplicaciones y Filtrado de URL Deberá contener más de 6000 aplicaciones conocidas. Deberá tener una categorización de URLs que contenga más de 200 millones de URLs y que cubra más del 85% del millón de sitios topes de Alexa La solución Deberá ser capaz de crear reglas de filtrado con múltiples categorías. Deberá ser capaz de crear filtros para un único site. Deberá tener granularidad de usuarios y grupos para las reglas de seguridad. Los Caches locales de los Gateways de Seguridad Deberán ser capaces de ofrecer respuestas al 99% de los requerimientos de categorizaciones de los URLs dentro de las primeras 4 semanas luego de la entrada en producción de los mismos. Deberán poseer un interfase fácil, que permita búsquedas para las aplicaciones y los URLs. La solución Deberá ser capaz de categorizar las aplicaciones y los URLs en base a Factores de Riesgo. El control de las aplicaciones y las políticas de seguridad de los URLF Deberán ser capaces de ser definido en base a las identidades de los usuarios. El control de las aplicaciones y la base de datos de URLF Deberá ser capaz de ser actualizados mediante servicios en la nube.

Deberá poder manejar reglas unificadas para el control de aplicaciones y de URLF. La solución Deberá: Proveer mecanismos para informar o preguntar a los usuarios en tiempo real para educarlos o confirmar acciones basadas en las políticas de seguridad. Ser capaz de proveer un mecanismo para limitar el uso de aplicaciones basado en el consumo de ancho de banda de las mismas. Permitir excepciones de redes basadas en objetos de redes definidos. Proveer opciones de modificar la Notificación de Bloqueo y re direccionar al usuario a una página de remediación. Incluir mecanismos de Listas Blancas y Negras, y permitir al administrador negar o permitir acceso a URLs específicas independientemente de las categorías. Tener mecanismos configurables de Bypass. Deberá proveer un mecanismo de override para la categorización de la base de datos de URLS. El control de las aplicaciones y las políticas de seguridad de los URLF Deberán reportar el conteo de usos de las reglas La solución Deberá incluir las aplicaciones de Anti-BOT y Anti-Virus integradas en los Gateways de Seguridad. La aplicación de Anti-BOT Deberá ser capaz de detectar y detener comportamientos anormales o sospechosos de la red. Deberá utilizar un motor de detección de multi-niveles que incluya la reputación de las direcciones Ips, los URLs y las Direcciones de DNS y que detecte patrones de comunicaciones de BOTs. Las protecciones Anti-BOT Deberán ser capaces de realizar búsquedas de acciones de BOT.

La solución Deberá soportar la detección y prevención de virus tipo Cryptors y Ransomware y sus variantes mediante análisis dinámicos y/o estáticos. Deberá ser capaz de proteger contra ataques tipo spear phishing. Deberá poseer capacidades de detección y prevención de C&C DNS hide outs. Deberá ser capaz de determinar patrones de tráfico C&C, no solo en su destino de DNS. Deberá ser capaz de realizar ingeniería de reversa para descubrir su DGA (Domain Name Generation). Deberá poseer características para manejar traps de DNS para la prevención de amenazas y asistencia en el descubrimiento de hosts infectados que generan comunicaciones C&C. Deberá tener capacidades de detección y prevención para proteger de ataques mediante túneles de DNS Las políticas de Anti-BOT y Anti-Virus Deberán poder administrarse desde una consola central. Las aplicaciones de Anti-BOT y Anti-Virus Deberán tener un mecanismo centralizado de correlación y reportes de eventos. La aplicación de Anti-Virus Deberá ser capaz de prevenir acceso a websites maliciosos e inspeccionar tráfico SSL encriptado. Deberá ser capaz de detener archivos maliciosos de entrada. Deberá poder escanear archivos almacenados. Las soluciones de Anti-BOT y Anti-Virus Deberán recibir actualizaciones en tiempo real de servicios de reputación basados en la nube. Deberán ser capaces de manejar políticas de configuración y enforzamiento granulares de manera centralizada. El Anti-Virus Deberá soportar más de 50 motores de Anti-Virus basados en la nube.

Deberá soportar escaneo de links dentro de los emails y escanear archivos que están pasando mediante el protocolo CIFS La solución Deberá incluir la Inspección SSL tanto de tráfico entrante como saliente. Deberá soportar la Inspección/Decriptamiento con rendimiento líder a través de todas las tecnologías de mitigación Deberá soportar Perfect Forward Secrecy (PFS, ECDHE conjuntos de cifrado), y AES-NI, AES-GCM para mejoras en el flujo Deberán incluirse funcionalidades para la emulación de amenazas y sandboxing integradas a la inspección de SSL. La solución Deberá aprovechar la base de datos de filtrado de URLs para permitirle al administrador crear políticas de inspección de URLs granulares. Deberá ser capaz de inspeccionar filtrado de URLs basado en HTTPS sin requerir decripción SSL. La solución Deberá ofrecer la funcionalidad de coordinación e integración con soluciones de Emulación de Amenazas (Sandboxing). Deberá proveer la habilidad de proteger contra ataques de malware y Zero-Day antes de que las protecciones de firmas estáticas hayan sido creadas. Deberára proveer prevención en tiempo real de malware de Paciente-0 en Web Browsing y email La Solución de Seguridad Deberá ser una arquitectura de prevención de amenazas completa y multinivel con mínimo de funcionalidades de: IPS, AV, AB, URLF, APP FW La Solución de Seguridad Deberá soportar emulación de amenazas basada en Redes y Hosts. Deberá ser capaz de soportar implementaciones basadas en sitio y en la nube. Se Deberá incluir en esta propuesta la integración con una solución basada en hosts locales instalados en las premisas del ministerio.

La solución Deberá soportar integración de terceros mediante APIs públicos. Deberá soportar implementación en modo Inline, MTA (Mail Transfer Agent), inspect TLS y SSL. Deberá soportar implementación en modo de puerto TAP/SPAN. La solución no Deberá requerir infraestructura separada para protección de email y protección de WEB. Los dispositivos Deberán soportar instalación en Clusters de alta disponibilidad y Deberán estar configurados y ofertados en este esquema. La solución Deberára ser capaz de emular archivos almacenados ejecutables, documentos JAVA y FLASH, específicamente: 7z, cab,csv,doc, docm, docx,dot,dotm, exe, jar, pdf, potx,pps, ppsm, ppsx, ppt, pptm, pptx,rar, rtf, scr,swf,tar, xla,xls,xlsb, xlsm,xlsx,xlt,xltm,xltx,xlw,zip,pif,com,gz,bz2,tgz,apk,ipa,ISO,js,cpl,vbs,jse,vba,bve,wsf,wsh. La solución Deberá ser capaz de emular ejecutables, archivos almacenados, documentos, JAVA y Flash específicamente dentro de los siguientes protocolos: HTTP,HTTPS,FTP,SMTP,CIFS(SMB), SMTP TLS. El motor de emulación Deberá: Soportar múltiples sistemas operativos tales como Windows 7, 8, 10 a 32/64 gbits incluyendo imágenes customizadas. Detectar llamados a APIs, cambios en los archivos del sistema, los registros, las conexiones de redes y los procesos del sistema. Soportar análisis estático para Windows, mac OS-X, Linux o cualquier plataforma x86

La solución Deberá ofrecer el soporte de licencias prepopuladas de copias de imágenes Microsoft Windows y Office mediante un acuerdo con Microsoft. El motor de emulación de la tecnología de Sandboxing Deberá ser capaz de inspeccionar, emular, prevenir y compartir los resultados de los eventos de sandboxing en la infraestructura de anti-malware. La solución Deberá ser capaz de realizar filtrado estático pre-emulación. La solución Deberá permitir la emulación de archivos de un tamaño mayor de 10Mb en todos los tipos soportados. Deberá soportar motores de detección basados en aprendizaje automático de máquinas. La solución Deberá detectar el ataque en el nivel de explotación, es decir, antes que el código Shell sea ejecutado y antes que el malware sea bajado/ejecutado. Deberá ser capaz de detectar los ROP y otras técnicas de explotación tales como escalación de privilegios monitoreando el flujo del CPU. La solución Deberá ser capaz de soportar links de escaneo dentro de los emails para malwares desconocidos y de Día 0. Deberá ser capaz de escanear los URLS históricos almacenados los últimos X días y comprobar si los ratings han cambiado, por ejemplo, de rating limpio a malicioso. El tiempo de emulación promedio para determinar un veredicto como benigno no Deberá tomar más de 1 minuto. El tiempo de emulación promedio para determinar un veredicto de un malware sospechoso como malware no Deberá tomar más de 3 minutos. La solución de emulación de amenazas Deberá permitir Restricciones Geográficas, las cuales permiten que las emulaciones sean restringidas a Países en específico.

La solución Deberá proveer la habilidad de incrementar la seguridad compartiendo automáticamente la información de nuevos ataques con otros Gateways utilizando la actualización de firmas entre otros. El motor de emulación Deberá exceder un 90% de captura en las pruebas de Virus Totales donde los pdf´s y exe´s son modificados con encabezados ¨no usados¨ para demostrar la capacidad de la solución para detectar malware nuevo y desconocido. La solución Deberá detectar tráfico C&C de acuerdo la reputación dinámica de los ip/url. La Solución Deberá ser capaz de emular y extraer archivos embebidos en documentos. Deberá ser capaz de escanear documentos que contengan URLs. La solución Deberá monitorear las actividades sospechosas en: Llamadas a APIs Cambios en archivos del Sistema Registro del Sistema Conexiones de redes Procesos del Sistema Creación y borrado de archivos Modificaciones de Archivos Inyección de código al Kernel Detección de intentos de escalamiento de privilegios Modificaciones al Kernel (Cambios de memoria realizados por el código del Kernel, no el hecho de que se cargue un driver, esto está cubierto por el elemento anterior) Comportamiento del código del Kernel Monitoreo de las actividades de código que no sea modalidad de usuario Interacción física directa con el CPU Detección de Bypass del Control de Acceso de Usuario. La solución Deberá poseer capacidades de anti-evasión

detectando la ejecución del Sandbox. Deberá ser resiliente a casos donde el código shell o el malware puede no ejecutarse si detectan la existencia de un ambiente virtual (Hipervisor propietario). Deberá ser resiliente a delays implementados en las etapas del código shell o el malware. Deberá ser resiliente a casos donde el código shell o el malware solo se ejecute luego de un reinicio o apagado del end point. La solución Deberá emular actividades de usuarios reales tales como clicks del ratón, uso del teclado, etc. Deberá ser capaz de identificar íconos que son similares a documentos de aplicaciones populares. Deberá proteger contra evasión dentro de archivos flash (swf). La solución Deberá ofrecer la funcionalidad de poder ser manejada de forma centralizada. Luego de la detección de archivos maliciosos, se Deberá generar un reporte detallado para cada uno de los archivos maliciosos. El reporte detallado Deberá incluir capturas de pantallas, líneas de tiempo, las modificaciones o creaciones clave en el registry, la creación de archivos y/o procesos, y la actividad de red detectada. La solución Deberá eliminar las amenazas y remover el contenido explotable, incluyendo el contenido activo y los objetos embebidos. Deberá ser capaz de reconstruir los archivos con los elementos seguros conocidos.

Deberá tener la capacidad de convertir los archivos reconstruidos a formato PDF. Deberá mantener la flexibilidad de mantener el formato original del archivo y especificar el tipo de contenido que será removido. La solución de seguridad de Anti-Spam y Email Deberá ser agnóstica al lenguaje y al contenido. Deberá poseer clasificación y protección en tiempo real basados en la detección de brotes de spam que están basados en patrones y no en contenido. Deberá incluir el bloqueo de IPs basados en reputación desde un servicio online para evitar falsos positivos. Deberá incluir mecanismos de protección de Hora Cero para nuevos virus propagados a través de email y spam sin depender solamente en inspección de contenido o heurística Para las funcionalidades de Ipsec VPNs Deberá soportar CA internos y externos de terceros. Deberá soportar criptografía 3DES y AES-256 para IKE fase 1 y IIIKEv2 , Suite-B-GCM-128 y Suite B-GCM-256 para fase II. Deberá soportar por lo menos los siguientes grupos Diffie-Hellman: Grupo 1 (768 bits), Grupo 2 (1024 bits), Grupo 5 (1536 bits), Grupo 14 (2048 bits), Grupo 19 y Grupo 20. Deberá soportar integridad de Data con md5, sha1SHA-256, SHA-384 y AES-XCBC. La solución Deberá soportar VPN sitio a sitio en las siguientes topologías: Full Mesh (all to all), Star (Oficinas remotas con sitio principal) Hub and Spoke (Sitio Remoto a través del Sitio Central con otro Sitio Remoto). Deberá soportar la configuración de los VPNs mediante un GUI que permita la adición de objetos a las comunidades de VPNs mediante drag and drop.

Deberá soportar SSL VPN clientless para acceso remoto. Deberán soportar VPNs L2TP incluyendo los clientes para Iphones. Deberá permitir que el administrador aplique las reglas de seguridad para controlar el tráfico dentro de los VPNs. Deberá soportar VPNs basados en dominios, y rutas usando protocolos de ruteo dinámico y VTIs. Deberá incluir la habilidad de establecer VPNs dentro de gateways con IPs dinámicas públicas y compresión IP para VPNs cliente a sitio y sitio a sitio. La aplicación de manejo de seguridad Deberá soportar cuentas de administradores basadas en roles, ejemplo, un rol solo para establecimiento de las políticas de firewall o un rol solo para visualización. Deberá incluir canales de comunicación seguros basados en encripción de Certificados para todas las soluciones de diferentes fabricantes que pertenezcan a un dominio de gerencia. La solución Deberá incluir una Autoridad de Certificados Interna, x509 CA que pueda generar Certificados a gateways y usuarios para permitir un mecanismo eficiente de autenticación en los VPNs. Deberá incluir la capacidad de usar CA s externos que soporten estándares PKCS#12, CAPI o ENTRUST Todas las aplicaciones de seguridad en este grupo Deberán ser capaces de ser manejadas desde una consola central. La solución de gerencia Deberá proveer un conteo de los hits a las reglas de seguridad en las políticas de seguridad. Deberá incluir opciones de búsqueda que permitan investigar cual objeto de red contiene una dirección IP específica o una parte de ella. Deberá incluir la opción de segmentar la base de reglas utilizando etiquetas o títulos de secciones para mejor organización de las políticas.

Deberá proveer la opción de salvar la política completa o una parte específica de la misma. Deberá poseer mecanismos de verificación de políticas de seguridad previa a la instalación de las mismas. Deberá poseer mecanismos de control de revisión de las políticas de seguridad. La solución Deberá proveer las opciones de añadir alta disponibilidad a la gerencia de seguridad, usando un servidor de gerencia standby que se sincroniza automáticamente con el servidor activo sin la necesidad de dispositivos externos de almacenamiento. Esta funcionalidad Deberá ser incluida en las propuestas de la licitación. La solución de seguridad Deberá incluir un mapa comprensivo de todos los objetos de redes y sus conexiones que pueda ser exportado a Microsoft Visio o a un archivo de imágenes. Deberá incluir la habilidad de distribuir y aplicar de forma centralizada nuevas versiones de software a los diferentes gateways de seguridad. Deberá incluir una herramienta de manejo de las licencias de los diferentes gateways de seguridad que Deberá ser controlada por la estación de gerencia. Deberá tener la capacidad de manejo de multi dominios y soportar la funcionalidad de políticas de seguridad globales a través de los dominios. La interfase gráfica de la herramienta de gerencia Deberá tener la habilidad de poder excluir direcciones IP de la definición de firmas de la solución de IPS. Deberá tener la capacidad de excluir direcciones IP de los logs de IPS cuando se detectan como falsos positivos.

Deberá ser capaz de alcanzar las definiciones de firmas de IPS desde los logs de IPS. El licitante Deberá proveer los detalles de sus mecanismos de actualización y de su habilidad para manejar ataques de día cero a través de todas las soluciones de prevención de amenazas incluyendo IPS, Control de Aplicaciones, Filtrado de URL, Anti BOT y anti Virus. Deberá proveer los detalles de la categorización de los URLs bajo las circunstancias de que ese website haya sido comprometido y este distribuyendo malware. El mecanismo de logging central Deberá ser parte del sistema de administración, los administradores Deberán tener la capacidad de instalar servidores de almacenamiento de Logs adicionales. La operación de logs Deberá proveer la opción de operar en el servidor de gerencia o en servidores dedicados. Deberá ser capaz de operar en servidores X86 abiertos. Se Deberá entregar la lista de compatibilidad. La solución Deberá tener la habilidad de almacenar todos los logs para todas las reglas de seguridad. El buscador de logs Deberá tener la capacidad de realizar búsquedas indexadas. La solución Deberá tener la capacidad de hacer logs a todas las aplicaciones integradas en esta solución, incluyendo IPS, Aplication Control, URL Filtering, Antivirus, AntiBOT, User Identity. La solución Deberá incluir un mecanismo de captura automática de paquetes para los eventos de IPS de forma tal que se puedan realizar mejores análisis forénsicos. Deberá proveer diferentes logs para regular las actividades de los usuarios y los relacionados a la gerencia.

La solución Deberá proveer para cada ocurrencia de un hit de reglas de seguridad las siguientes opciones: LOG, alerta, trap SNMP, email o la ejecución de un script definido por el usuario. Los LOGs Deberán tener un canal seguro de comunicaciones para la transferencia de los mismos para evitar escuchas, esta solución Deberá estar autenticada y encriptado. Los logs Deberán ser transferidos de manera segura entre el gateway, la gerencia, los servidores dedicados de LOGs y las consolas de visualización en las estaciones de los administradores. La solución Deberá incluir la opción de bloquear dinámicamente una conexión activa desde la interface gráfica del LOG sin necesidad de modificar las bases de reglas. Deberán ser capaces de exportar logs en formato de bases de datos. Deberá soportar el cambio automático del archivo de LOGs basado en tiempos preestablecidos o en el tamaño de los archivos. Deberá soportar el manejo de excepciones a los enforzamientos IPS desde el record de LOG. Deberá ser capaz de asociar un nombre de usuario y un nombre de máquina a cada record de LOG. La herramienta de manejo gráfica Deberá ser capaz de monitorear fácilmente el estatus de los gateways. Esta herramienta Deberá proveer información del sistema para cada gateway, incluyendo: Uso de memoria, CPU, particiones de discos y espacio restante. Deberá proveer el status de cada componente del gateway tales como firewall, vpn, clúster, antivirus, etc.

Deberá incluir el estatus de todos los túneles de VPNs, sitio a sitio y cliente a sitio. La solución Deberá permitir la definición de umbrales y de las acciones a realizar cuando los mismos son alcanzados en los gateways. Las acciones Deberán incluir: LOGs, Alertas, traps SNMP, email y la ejecución de un script definido por el usuario. Deberá incluir gráficos pre-configurados para monitorear la evolución en el tiempo del tráfico y de los contadores del sistema: reglas de seguridad máximas, usuarios P2P, túneles VPNs, tráfico de red y otras informaciones útiles. Deberá proveer la funcionalidad de generar nuevos gráficos personalizados usando diferentes tipos de tablas. La solución Deberá proveer la capacidad de grabar las vistas de tráfico y de sistemas para visualización futura en cualquier momento. Deberá ser capaz de reconocer el mal funcionamiento y los problemas de conectividad entre dos puntos conectados a través de un VPN, y crear logs y realizar alertas cuando un túnel VPN está abajo. La funcionalidad de correlación de eventos Deberá estar integrada totalmente en la aplicación de gerencia. Deberá incluir herramientas para correlacionar eventos de todas las funcionalidades del gateway y de dispositivos y soluciones de terceros. Deberá permitir la creación de filtros basados en cualquier característica de evento tales como aplicaciones de seguridad, direcciones IP origen y destino, servicio, tipo de evento, severidad, nombre del ataque, país de origen y destino, etc. Deberá tener un mecanismo de asignación de estos filtros a diferentes gráficos de línea que puedan ser actualizados a intervalos regulares mostrando todos los eventos correspondientes a ese filtro, esto le permite al operador

enfocarse en los eventos más importantes. La funcionalidad de correlación de eventos Deberá suministrar una vista gráfica de los eventos basados en tiempo. Deberá mostrar la distribución de eventos por países en un mapa. Deberá permitir al administrador agrupar los eventos basados en cualquiera de sus características incluyendo niveles de anidamiento y su exportación en formato PDF. La funcionalidad Deberá incluir la opción de búsqueda dentro de la lista de eventos, y el drill down en los detalles para la investigación y análisis forénsico. Se Deberá incluir la funcionalidad de la creación de tablas gráficas con las características de los eventos. La solución Deberá ser capaz de detectar ataques de Negación de Servicios correlacionando eventos de todas las fuentes. Deberá detectar un login de administrador en horas irregulares. Deberá detectar ataques de adivinación de credenciales. La solución Deberá reportar sobre todas las instalaciones de políticas de seguridad. La solución Deberá incluir reportes predefinidos por hora, día, semana y mes incluyendo por lo menos los Eventos, Fuentes, Destinos, Servicios, Fuentes máximos, Fuentes máximas y sus eventos máximos, Destinos máximos y sus eventos máximos y los servicios máximos y sus eventos máximos. La herramienta de reportes Deberá permitir la aplicación de por lo menos 25 filtros que permitan personalizar los reportes predefinidos de acuerdo a las necesidades de los administradores. La herramienta de reportes Deberá soportar la

calendarización automática de los reportes para la información que Deberá ser extraída de forma regular (día, semana, mes). La solución Deberá permitir al administrador definir la fecha y hora en que los reportes comienzan a generarse. Deberá soportar formatos de reporte HTML, CSV y MHT. Deberá soportar la distribución automáticas por email, la subida a servidores FTP/WEB y scripts personalizados de distribución de los mismos. El sistema de reportes Deberá proveer información consolidada sobre: El volumen de conexiones que fueron bloqueadas por reglas de seguridad. Las fuentes máximas de las conexiones bloqueadas, su destino y servicios. Reglas máximas usadas por las políticas de seguridad por los puntos de enforzamiento (perímetro). Servicios de redes máximos. Actividad WEB por usuarios detallando los sitios más visitados y los mayores usuarios. Servicios máximos que crearon la mayor carga para el tráfico encriptado. Usuarios máximos de VPNs que realizan las conexiones de mayor duración. La solución Deberá incluir un Portal de Gerencia con acceso basado en browser para visualizar en modo solo lectura las políticas de seguridad, manejar los logs de los firewalls y usuarios, proveyendo acceso a los gerentes y auditores sin la necesidad de usar la aplicación de gerencia. Esta solución Deberá incluir soporte SSL y puertos configurables. La solución de Seguridad Deberá incluir una aplicación completamente integrada de Data Loss Prevention (DLT) que Deberá ser manejada de manera centralizada con las otras aplicaciones de seguridad de esta suite.

La aplicación de DLT Deberá tener mecanismos para el manejo de auto-incidentes de usuarios finales. Deberá tener un mínimo de 500 tipos de data predefinidos. Deberá poseer un lenguaje de creación de scripts para poder definir tipos de data relevantes a cada organización. Deberá alertar al dueño del tipo de data cuando ocurre un incidente. Deberá cubrir tipos de transporte SMTP, HTTP/HTTPS y protocolos FTP y TCP. La solución integrada de seguridad Deberá ofrecer una funcionalidad completa para asegurar los dispositivos móviles. Deberá soportar tanto los dispositivos gerenciados como los no gerenciados tales como los BYOD. La solución Deberá incluir todo el hardware, software, y licencias necesarias para poder manejar el siguiente dimensionamiento: Manejo de un Ancho de Banda Agregada de Acceso a Internet de por lo menos 500 Gbps y capacidad de crecimiento para por lo menos 1 Gbps. Capacidad de manejo de mínimo de 8 conexiones independientes a distintos proveedores de servicios. Configurada y licenciada para manejar un mínimo de 1200 end points, 1200 buzones de correo y 400 máquinas virtuales de servidores que pueden correr sistemas operativos Windows, Linux o Solaris La solución Deberá tener un mínimo de 100 reglas de seguridad pre configuradas La solución integrada Deberá ofrecer las siguiente soluciones de seguridad para todo este dimensionamiento : Firewall, Prevención de Intrusos, Control de Aplicaciones y Filtrado de URL, Anti Virus, Anti BOT, Emulación de Amenazas y Extracción de Amenazas, VPNs IPsec, Data Loss Prevention.

Las soluciones de Hardware Deberán ser ofertadas en clusters de alta disponibilidad con fuentes de poder y abanicos redundantes. La solución Deberá ser capaz de trabajar de forma coordinada e integrada con la solución de

7.1003

2 Solución de seguridad de Sandboxing

La solución Deberá 100% compatible con la plataforma de Correo de la Entidad. Deberá ser capaz de funcionar de forma coordinada e integrada con la Solución de Gateways de Manejo y Control de Seguridad Integrada ofertada en este proceso licitatorio. La solución Deberá funcionar en equipos propuestos a ser instalados en las premisas de la entidad contratante Deberá permitir la ejecución de código malicioso en sistemas operativos virtuales. Deberá contar con mecanismos que permitan la evaluación del malware en sistemas operativos no virtualizados dentro de la solución. La solución Deberá trabajar en modo prevención y no en modo detección; es decir, no se Deberá permitir el ingreso del malware en zonas de cuarentena, ya que esto implica que se Deberá permitir el paso de código malicioso a la entidad, para ser examinado de forma posterior. Lo anterior introduce riesgos de propagación de malware. Deberá permitir la detección de modificación de Archivos, comportamiento de procesos, comportamiento de registros, comportamientos de red. Deberá presentar la información completa del análisis de amenazas del ambiente virtual incluyendo Actividades del sistema, acción del exploit, trafico web, intentos de comunicación entre otros Deberá soportar como mínimo los siguientes tipos de Archivos : CAB,PIF,swf,jar,js/jse,pdf ,doc,docx ,dot,dotx ,dotm,docm,xlt ,xls ,xlsx ,xlm,xltx ,xlsm ,xltm ,xlsb,xla ,xlam ,xll,xlw ,ppt,pptx,pps,pptm ,potx,potm

,ppam,ppsx ,ppsm,sldx ,sldm,exe ,com,tar ,zip,rar ,Seven-Z,gz,tgz,bz2 ,rtf,scr ,csv,iso,cpl,wsf,wsh,vbs,vba,vbe. La solución Deberá integrarse con el módulo de URL Filtering propuesto en esta licitación para bloquear los sitios infectados, de mala reputación o reconocidos como Centros de comando y control que puedan manipular maquinas internas y desplegar ataques posteriores. La solución Deberá estar en la capacidad de procesar múltiples archivos al mismo tiempo, se Deberá contar con múltiples VM para el análisis de Sandbox OS. La solución Deberá tener la capacidad de integrarse en modo MTA y controlar la recepción de correo en modo Seguro utilizando TLS (control SMTP & SMTPS) Deberá poder funcionar en modo Sniffer o en modo en línea (Bridge o Capa3) controlando la navegación (HTTP, HTTPS) y la transferencia de archivos FTP. Deberá permitir que los archivos que son analizados con el OS Sandbox Deberán entregar un análisis posterior a la ejecución de las siguientes características: Descarga de Virus Modificación de Registro Conexiones externas a Ips maliciosas Infección de procesos. El equipo Deberá contar como mínimo con 2 TB de capacidad de disco. El equipo Deberá soportar como mínimo 1300 usuarios y capacidad de emulación de archivos de hasta 200000 por mes. El equipo Deberá contar como mínimo con 5 Interfaces a 1Gbps RJ45 y opción de adicionar por lo menos 7 más. La solución Deberá permitir la emulación de tamaño de archivos de más de 15 Mb.

La solución Deberá ser capaz de detectar ROP y otras técnicas de explotación (por ejemplo escalamiento de privilegios) controlando el flujo de CPU. La solución Deberá tener capacidades anti-evasión detección ejecución caja de arena (sandboxing). El motor de emulación Deberá tener la capacidad de detección anti-virtual machine. La Solución Deberá ser resistente a los casos en que el malware ejecute un reinicio o un apagado de la máquina virtual de Sandboxing. La solución Deberá emular las actividades reales de los usuarios, tales como clics del ratón, pulsaciones de teclas, etc. La solución Deberá eliminar las amenazas y eliminar contenido explotable, incluyendo el contenido activo y objetos incrustados. La solución Deberá ser capaz de reconstruir los archivos con los elementos de seguridad conocidos. La solución Deberá proporcionar capacidad de convertir archivos reconstruidos a formato PDF. La solución Deberá mantener la flexibilidad con posibilidad y la opción de mantener el formato de archivo original y especificar el tipo de contenido que será eliminado. La Solución Deberá ser resistente a los retrasos implementados en el código shell o etapas de malware. Solución Deberá ser resistente a los casos en que el código shell o malware ejecutarían sólo de un reinicio o un apagado del punto final. La Solución Deberá ser resistente a los casos en que el código shell o malware no se ejecutarán si detectan la existencia de entornos virtuales.

Las soluciones de Hardware Deberán ser ofertadas en clusters de alta disponibilidad con fuentes de poder y abanicos redundantes.

7.1004

3 Solución de Seguridad para Database Activity Monitoring

La solución Deberá ser basada en software permitiendo la mayor escalabilidad posible a nivel de crecimiento futuro. La consola de administración Deberá permitir virtualizarse y estar en capacidad de procesar el manejo de instancias ilimitadas de bases de datos. La solución Deberá tener una arquitectura que no sea intrusiva con la capa de datos de la base de datos como tal. La solución Deberá permitir el bloqueo y la configuración de cuarentenas, mientras se analiza el incidente presentado. La solución Deberá trabajar leyendo memoria compartida, para evitar intrusiones sobre los datos de la base de datos. Los servidores donde se instalen los sensores de monitoreo, no Deberán requerir reinicio La solución Deberá soportar el monitoreo de clúster de DBMs. La solución Deberá contar con la funcionalidad de parcheo virtual, para brindar seguridad al ambiente de bases de datos y conocer el impacto cuando el fabricante de la base de datos no haya liberado el parche aún. La solución Deberá incluir un set de reglas predefinidas, enfocadas en la posibilidad de monitorear y/o bloquear, ataques comunes como SQL injection. La solución Deberá incluir un módulo de análisis de vulnerabilidades que se base no solamente en carencia de parches, sino debilidades de configuraciones y vulnerabilidades comunes de los motores, según el CVE y sugerencias en resolver la brecha en caso de que exista. La solución Deberá contar con un panel de configuración de reglas intuitivo, donde se facilite la asociación de parámetros de sentencias como CMDTYPE, INFLOW, MODULE, OSUSER,

etc,. La solución Deberá soportar al menos los siguientes motores, a nivel de monitoreo de la actividad de bases de datos: Oracle versión 8.1.7 and later, running on Sun Solaris, IBM AIX, Linux, HP-UX, Microsoft Windows, including Oracle RAC and Oracle. Exadata Microsoft SQL 2000 and later on any supported Windows platform. IBM DB2 LUW 9.5, and later Sybase ASE 12.5 and later on all supported platforms Teradata 12, 13, 13.10, 14,15, and 15.1 on Linux MySQL 5.1, 5.5, 5.6 and 5.7 on Linux MariaDB versión 5.5 (5.5.32 and later), 10.0 and 10.1 on Linux IBM DB2 for Z/OS with CorreLog IBM DB2 for iSeries (AS/400) with Raz-Lee SAP HANA SPS 09, Revision 91 and later PostgreSQL 9.2 and later on Linux La solución Deberá soportar al menos los siguientes motores, a nivel de escaneo de vulnerabilidades: Oracle 8i or later Microsoft SQL Server 2000 or later Microsoft SQL Azure IBM DB2 8.1 or later for Linux, Unix, and Windows MySQL versión 4.0 or later PostgreSQL versión 8.3 or later Sybase ASE versión 12.5 or later SAP HANA v1 and later Teradata v12, v13, v14 — Database discovery, sensitive data discovery, custom checks, and password cracking Informix v10.0, v11.1, v11.5, v11.7 — Database discovery, sensitive data discovery and custom checks La solución Deberá permitir la creación de reglas para bloquear un usuario local de la DB que intente realizar conexiones a la DB. La solución Deberá permitir la creación de reglas para bloquear un usuario del dominio que intente realizar conexiones a la DB. La solución Deberá permitir la creación de reglas para

bloquear conexiones a la DB desde una dirección IP especifica. La solución Deberá permitir la creación de reglas para bloquear sentencias de escritura a un determinado usuario y solo permitir sentencias de lectura. La solución Deberá permitir la creación de reglas para bloquear Sentencias específicas a la DB. Permitir o bloquear el acceso a una determinada tabla. La solución Deberá permitir la generación de reportes de la actividad de un usuario especifico La solución Deberá permitir la generación de reportes estándar como TOP IP, TOP Usuarios, TOP Sentencias, etc. La solución Deberá permitir la generación de alertas en la consola y mediante correo electrónico ante un evento en particular o un comportamiento anómalo. La solución Deberá permitir hacer un trigger de alerta, cuando un usuario saque un determinado número de registros, de una base de datos. La solución Deberá proveer protección contra los ataques de ofuscación avanzados. La solución Deberá permitir la creación de reglas de monitoreo de acceso a las bases de datos, por horario o días hábiles. La solución Deberá poder monitorear aplicaciones que en un momento dado, estén accediendo la base de datos y crear reglas de alerta cuando aplicaciones no permitidas, estén accediendo la base de datos. La consola Deberá permitir una gestión centralizada de los agentes de monitoreo. La solución Deberá tener la flexibilidad para no ser intrusivo y solo hacer monitoreo de transacciones a nivel de red.

La solución Deberá poder integrarse a una solución SIEM. La solución Deberá permitir la configuración de notificaciones vía correo, parámetros de SNMP, envío y/o almacenado de logs. La solución Deberá permitir la creación de backups de reglas configuradas. La solución Deberá ser basada en software, para evitar hacer rediseño de la red de datos. La solución Deberá incluir una herramienta de manejo de casos (incident management) embebida. La solución Deberá poder hacer el monitoreo de actividad sobre las bases de datos sin requerir que la auditoría del motor de base de datos esté activa. La solución Deberá permitir la creación de una línea base (wizard) asociada a parámetros normales de uso y/o regulaciones de compliance como por ejemplo PCI, para enfocar las alertas en las desviaciones de la línea base. La solución Deberá permitir el enmascaramiento de datos, usando mecanismos como expresiones regulares, para evitar la visualización de información personal identificable o sensible como números de tarjetas de crédito, que pudieran estar en los campos de las bases de datos. La solución Deberá permitir la integración con soluciones de directorio como Microsoft AD. La solución Deberá incluir como mínimo en las alertas, información de timestamp, usuario de sistema operativo, usuario de base de datos, sentencia ejecutada, aplicación, objetos accedidos, CMDTYPE, DBMS y regla que hizo match. La solución Deberá permitir la generación de reportes de vulnerabilidades diferenciales, asociando valores de riesgo cualitativo (alto, medio y bajo).

La solución Deberá permitir la creación de reportes personalizados. La solución Deberá permitir la generación de reportes de auditoría DML y archiving de eventos. Dentro de los reportes de auditoría DML, Deberá existir la posibilidad de generar dichos reportes enriquecidos, con información del result set. La solución Deberá contar con un módulo de construcción personalizada de queries, con el objetivo de generar reportes personalizados, asociados a dichos queries.

7.1005

1 Solución de Seguridad SIEM (Security Information and Event Management)

La solución SIEM a ofertar Deberá constar de uno o más appliances (hardware o virtual) centralizado y/o distribuido e incluir agentes, clientes y componentes necesarios para cumplir los requerimientos técnicos y funcionales. La arquitectura de la solución propuesta Deberá ser flexible, por lo tanto puede estar compuesta por appliance endurecido y asegurado por el fabricante y/o por módulos de appliance virtuales, estos también creados y asegurados por el fabricante de la solución. La solución ofertada Deberá ser de alta disponibilidad y redundante. La solución SIEM Deberá soportar la recolección de al menos 1500 eps, en un entorno de arquitectura que permita el crecimiento de la solución de forma modular y conforme el proyecto lo requiera. El soporte de EPS Deberá ser de tráfico sostenido permitiendo además picos que excedan esas capacidades. La solución SIEM Deberá ofrecer la capacidad de recolección de hasta 1500 Eventos por Segundo (EPS) y permitir picos de eventos adicionales sin que exista pérdida de eventos. La solución Deberá permitir visualizar estadísticos de recolección de EPS, con el objetivo de mantener una correcta línea de funcionalidad.

El licenciamiento de la solución SIEM, Deberá ser basado en cantidad de EPS y no en la cantidad de dispositivos que se deban integrar. La solución SIEM ofertada Deberá constar en el ultimo “cuadrante de líderes” del Cuadrante Mágico de Gartner en SIEM (Magic Quadrant for Security Information and Event Management). El oferente Deberá incluir en su oferta dicho reporte, indicando la posición de la marca en el cuadrante. La solución SIEM Deberá contar de forma integrada y sin necesidad de licenciamiento aparte, un módulo para la creación de nuevos recolectores para tecnologías no soportadas por el fabricante de forma nativa. La solución SIEM Deberá contar con un módulo que permita recolectar a manera de sniffer información de sentencias transaccionales a bases de datos con el objetivo de monitorear, analizar, correlacionar y alertar estos eventos. La solución no Deberá requerir modificaciones en las configuraciones en las bases de datos a monitorear La solución SIEM Deberá permitir entre otros usos monitorear, detectar y tomar medidas correctivas a través de la integración nativa con elementos de seguridad en el endpoint y en el perímetro, al momento de detectar comportamientos asociados a amenazas avanzadas. La solución Deberá permitir agregar indicadores de compromiso (IOC) los cuales permitan incrementar las capacidades de análisis que posee la herramienta. La solución SIEM Deberá estar en capacidad detectar el mal uso de los recursos de navegación generados por los usuarios internos. Este monitoreo Deberá ser realizado a través de la integración con herramienta de filtro de contenido, para el monitoreo de categorías e indicadores de compromiso para identificar posibles accesos a sitios maliciosos no categorizados. LA solución SIEM Deberá permitir la creación de paneles y el monitoreo de actividad de usuarios privilegiados en el dominio tales como: Monitoreo del manejo de cuentas (altas,

bajas, reset password, etc); elevación de privilegios, monitoreo de cuentas de usuarios VIP, monitoreo de cuentas de usuarios privilegiados entre otros. LA solución SIEM Deberá permitir agregar indicadores de compromiso de manera automática desde una herramienta de análisis de malware avanzado con el objetivo de enriquecer las capacidades de análisis que posee la herramienta. ”La solución SIEM Deberá permitir reducir falsos positivos y evaluar de forma dinámica el nivel de riesgo considerando la habilidad de unificar y correlacionar : Eventos, información proveniente de herramientas de análisis de vulnerabilidades y criticidad de los activos o dispositivos.” ”El motor de correlación de la solución SIEM, Deberá estar basado en métodos de lógica booleana, reglas personalizables así como la detección de comportamiento anómalo mediante correlación estadística a través de cálculos de promedio. Adicionalmente la solución Deberá incluir reglas de correlación a nivel de seguridad preconfiguradas (Ej: Ataques de fuerza bruta)” ”La solución SIEM Deberá contar con una fórmula parametrizable que evalúe el nivel de riesgo de todos los eventos que son recibidos por el motor de correlación considerando los siguientes factores: Importancia del evento, Criticidad del activo Vulnerabilidades”. La solución SIEM Deberá permitir la correlación de eventos entre distintos dispositivos (Cross Device Correlation) al almacenar todos los eventos recolectados en una única tabla dentro de su base de datos, independiente del tipo de dispositivo o aplicativo que la genere, permitiendo así la definición de contenido de correlación entre distintos tipos de dispositivos (firewalls, IDPs, Sistemas Operativos) sin la necesidad de utilizar estructuras complejas o lenguajes de acceso a datos para la consulta y unión de datos.

La comunicación entre todos los componentes de la solución SIEM Deberá ser cifrada sin impactar en la performance. Deberá utilizarse al menos el algoritmo AES de 256 bits. La solución SIEM Deberá proveer mecanismos para asegurar la integridad de los logs almacenados. La solución SIEM Deberá ser capaz de ofrecer acceso a los logs almacenados históricos sin la necesidad de hacer una restauración de estos (restore). La solución SIEM Deberá contar con un servicio de suscripción para la actualización y categorización de eventos durante la vigencia del contrato. La solución SIEM Deberá soportar la integración de eventos provenientes de Active Directory, DHCP y concentradores VPN para monitorear la asignación de direcciones IP y asociar eventualmente los usuarios. La solución SIEM Deberá integrarse con soluciones de gestión de vulnerabilidades. Detalle las soportadas. La interfaz de administración de la solución SIEM Deberá ofrecer herramientas necesarias para el análisis de los eventos tales como “whois”, “dig”, “Nslookup”, “Traceroute”, etc. La solución SIEM Deberá permitir la integración de dispositivos y aplicaciones de diferentes fabricantes (especificar con cuantas aplicaciones y fabricantes de terceros se integra), esto con el objetivo de evitar el desarrollo de los conectores. La solución SIEM Deberá proveer la capacidad de integrar fuentes de eventos que no sean soportadas actualmente “fuera de la caja” (tales como aplicaciones o desarrollos hechos en casa) a través de la incorporación de un conjunto de herramientas que permitan definir la lógica para extraer, obtener, normalizar y categorizar los eventos mediante un editor de expresiones regulares:

Las herramientas para recolectar eventos de fuentes no soportadas Deberán proporcionar una interfaz que permita al equipo técnico de La institución realizar las configuraciones necesarias. El conjunto de herramientas para definir la lógica para extraer, obtener, normalizar y categorizar los eventos a correlacionar por la solución no Deberán utilizar ningún lenguaje de programación JavaScript, Python o XML para definir la lógica de recolección de eventos. Únicamente se permitirá el uso de expresiones regulares o REGEX para definir patrones de búsqueda de cadenas de texto. La solución SIEM Deberá tener la posibilidad de detectar actividad anormal en base a una línea de base detectando diferenciales. Los componentes que realizan la recolección de eventos Deberán utilizar el protocolo TCP como medio de transporte hacia la solución de correlación, verificando constantemente el estado de la conexión por medio de un pulso o “Heartbeat”. Ante la eventual pérdida de la conexión entre el componente de recolección y el motor de correlación, el primero Deberá almacenar de forma inmediata los eventos bajo una cache de tamaño configurable hasta que se reanude dicha conexión, realizando la transmisión de los eventos hasta vaciar el cache. Los componentes de la solución SIEM que realizan la recolección de eventos Deberán ofrecer la capacidad de ajuste en la hora de los eventos, en el caso de que el dispositivo que genere el evento no cuente con la hora correcta o no tenga configurado un servidor de NTP. La solución SIEM Deberá poder integrarse con más de 600 distintos tipos de productos y dispositivos en forma nativa sin la necesidad de definir un proceso de colección a la medida. ”La solución SIEM Deberá tener la capacidad de recibir logs en formato crudo (RAW) a través de los siguientes mecanismos:

Syslog (TCP o UDP). Transferencia remota de archivos con log’s crudos por SCP (Secure Copy), sftp (Secure FTP) o ftp. Archivos de log’s en sistemas de archivos remotos mediante NFS y/o CIFS. OPSEC”. La solución SIEM Deberá ser capaz de recibir eventos multi-línea y manejarlo como un solo registro. Se entiende por multi-línea aquellos eventos que se extienden a más de una línea, por ejemplo, registros de excepciones o errores. La solución SIEM propuesta Deberá manejar niveles o tasas de compresión de eventos. (Describir e indicar el nivel de comprensión que ofrece la solución). El componente de recolección Deberá proveer mecanismos que garanticen la entrega de eventos y que los eventos no se pierdan si el sistema no está disponible. Deberá poder almacenar eventos en un cache local durante una situación de falla en la red y entregar los eventos cuando el sistema vuelva a estar en línea. Deberá ser posible implementar los componentes de recolección de eventos en Alta Disponibilidad (HA) en modalidad Activo/Pasivo. La solución SIEM Deberá capturar información a través de: Syslog, SNMPv2, SNMPv3, XML, OPSEC, WMI, RDEP, SDEE, Unix Pipe, API, Windows Event Logs transferencia de log’s y eventos a través de FTP, SCP. Así mismo permitir la personalización para que también esté disponible para fuentes únicas, como aplicaciones internas. La solución SIEM Deberá contar con módulo o componente de reportes que contenga plantillas predefinidas, basados en estándares internacionales. Posibilidad de manejar gráficos, tipo pie, barras, y otras características de personalización tañes como incluir los logos de la compañía.

La solución SIEM Deberá permitir la gestión de incidentes de seguridad a través de funcionalidades de manejo de casos internos y workflow de incidentes. La solución SIEM Deberá poseer una base de datos creada especialmente para la gestión de grandes volumes de datos, es decir, no serán aceptadas bases de datos genéricas tales como Open Source (ex: MySQL/PostgreSQL) o Relacionales (Oracle y Microsoft SQL). La base de datos no Deberá requerir ningún tipo de mantenimiento por fuera de lo que el sistema ejecuta. La solución SIEM Deberá tener contenedores de paquetes de dashboards predefinidos, con el fin de facilitar la configuración de la herramienta y brindar visibilidad en el menor tiempo posible. Las alertas correlacionadas Deberán permitir usar parámetros como delta de eventos, con el fin de asociar cambios en la ocurrencia de los mismos. La solución SIEM Deberá soportar la auditoría de usuarios autorizados en el sistema y registrar su actividad. La solución SIEM Deberá soportar de forma nativa la integración con soluciones de almacenamiento en red como SAN, NAS, NFS o CIFS, para el almacenamiento de la información recolectada. La solución Deberá tener la funcionalidad de conectarse al sitio del fabricante para validar la existencia de nuevos contenidos. El contenido liberado Deberá tener la capacidad de agregar valor al monitoreo de la herramienta entregando distintos elementos adicionales tales como: Reglas de correlación Alarmas

Vistas (Dashboards) Reportes Variables Listas de vigilancia. ”Como requisito “mínimo”, la solución Deberá contar con los siguientes componentes: - Componente de gestión, administración y operación de la solución. - Componente de recolección de eventos y/o log’s de seguridad. - Componente de recolección de flujos de red. Deberá soportar al menos Netflow v5, v7 y v9, J-flow, S-flow. - Componente de almacenamiento de eventos y/o log’s. - Agentes y conectores para recolectar eventos de seguridad de terceros. - Componente de reportes. - Componente de edición de parsers custom. - Componente de auditoría (registro de las actividades de los administradores y operadores de la solución.” El sistema operativo de los equipos Deberá estar previamente reforzado por el fabricante (hardening) para garantizar un adecuado desempeño de la solución. El o (los) appliance(s) Deberá contar con mecanismos de redundancia, y tolerancia a fallas tales como fuentes de poder duales, configuración de arreglo de discos RAID; para garantizar la disponibilidad en el caso de presentarse alguna contingencia, garantizando la recolección continua de los log’s y eventos de seguridad. La solución Deberá contar con almacenamiento interno de 8TB neto utilizable para eventos en la base y 8TB neto utilizable para almacenamiento de eventos en crudo. El almacenamiento interno Deberá estar configurado con RAID adecuado para garantizar su óptimo rendimiento. No se

aceptará una configuración con RAID0. Con el objetivo de agilizar la entrega y búsqueda de información la arquitectura de la solución SIEM Deberá contar con una parte de almacenamiento en discos de estado sólido. La solución SIEM Deberá: Permitir hacer un buen uso del almacenamiento mediante la compresión de eventos (1:14, 1:17 y 1:20). Incluir una unidad de Storage Externo del tipo DAS (Directa Attached Storage) que cuente con al menos 10TB de almacenamiento neto. Estar en capacidad de respaldar 3 años de logs históricos. Se Deberán ofrecer los cálculos pertinentes para el dimensionamiento del almacenamiento. Tener un manejador de severidad que le permita a los usuarios personalizar la criticidad de los eventos en múltiples niveles, realizando una ponderación que permita configurar dinámicamente la gravedad de un acontecimiento, o una serie de eventos, basándose en los valores de peso acostumbrados por la herramienta. Realizar automáticamente la generación de un mapa de calor, asociándole valores de riesgo cualitativo (Alto, Medio y Bajo) a los incidentes que se estén presentando en un período de tiempo determinado. Estar en capacidad de enlazar directamente fuentes externas como Bugtraq, ICE, CVE, Datastorm, MSDB y otros. Estar en capacidad de utilizar datos de vulnerabilidades recolectados desde herramientas externas para vincularlos a los a los eventos. Ya que los vínculos a dichas herramientas Deberán ser directos, Deberán actualizarse constantemente 24/7. Contar con mecanismos para realizar correlación basada en riesgo, si se llegara a requerir en un futuro por la organización. Permitir la carga de indicadores de compromiso, ya sea por

otra solución del mismo fabricante o por bases de datos abiertas como Stix o TAXII, con el objetivo de posibilitar la configuración de alertas accionables a las ciber amenazas que se puedan presentar en el entorno de red. Permitir la configuración de listas negras, con el objetivo de posibilitar las respuestas accionables ante alertas correlacionadas. Estar en capacidad de comunicarse con bases de datos de reputación del mismo fabricante, con el objetivo de asociar parámetros como geolocalización a los parámetros de configuración de watchlists. Estar en capacidad de hacer push de scripts, como parte de las opciones de respuestas accionables. La solución Deberá permitir tomar indicadores de compromisos (IOC) desde fuentes rémoras para accesar actividad relacionada con estos en el ambiente de la organización. Contar con tableros gráficos de indicadores (dashboards) para el monitoreo de datos y eventos en tiempo real. Un tablero gráfico o dashboard Deberá contener y agrupar una o más representaciones gráficas o tabulares de los datos bajo una misma vista permitiendo vistas tipo top 5, top 10 y top 20. Permitir desplegar más de un tablero gráfico (dashboards) de forma concurrente. Su actualización Deberá ser en tiempo real sin la intervención del usuario o refresco manual. Desde el tablero de indicadores se Deberá tener la capacidad de visualizar los eventos base (drill down) y el detalle de cada evento. Permitir desplegar más de un tablero gráfico (dashboards) de forma concurrente. Su actualización Deberá ser en tiempo real sin la intervención del usuario o refresco manual. Desde el tablero de indicadores se Deberá tener la capacidad de visualizar los eventos base (drill down) y el detalle de cada evento. contar con la capacidad de importar e instalar paquetes de contenidos que incluyan reglas de correlación, alarmas, vistas, variables y listas de monitoreo orientadas a casos de uso específicos que ayuden a responder a las amenazas existente de manera más eficiente.

Proporcionar una interface de administración gráfica (GUI) propia, para el personal operativo así como una interface de solo lectura diseñada para el personal de monitoreo y personal no técnico. Esta interfaz Deberá ser Web y segura (HTTPS) La solución SIEM Deberá incluir una interface administrativa basada en Web segura (HTTPS) para la configuración, monitoreo, análisis y explotación de eventos, así como una interface de administración vía CLI (línea de comandos). La interfaz de administración gráfica de la solución SIEM Deberá permitir la ejecución de aplicaciones o scripts externos bajo demanda, pudiendo incluso pasar parámetros o información de cada evento a herramientas de captura de paquetes de red (tcpdump), herramientas de geo-localización, traza de rutas (traceroute), búsquedas de dominios en whois. Soportar un mecanismo de autenticación nativo además de soportar mecanismos alternativos como: Microsoft Active Directory, Autenticación de doble factor, LDAP , Radius. Soportar autenticación y autorización mediante la definición de roles con privilegios granulares tanto para usuarios como para grupos. Los privilegios Deberán incluir: Agregar/Eliminar equipos Agregar/Eliminar políticas Gestión de Alarmas. Agregar/Eliminar/Editar alarmas Creación de reglas custom y variables Gestión de dispositivos Gestión de eventos Ser capaz de enviar alertas vía email, mensajes SMS por protocolo SNMP así como notificaciones directas a usuarios de la misma consola de administración. Incluir contenido en modo de filtros, reglas predefinidas de correlación, monitores gráficos (dashboards) y reportes pre-configurados de monitoreo de dispositivos de red perimetral, enfocado a las mejores prácticas de seguridad y ataques más comunes. Ofrecer la capacidad de generar reportes calendarizados, con

la opción de entrega por correo electrónico, publicación dentro de la misma solución, o almacenarlo localmente. Reportes de firewalls Reportes de administración de identidades. Reportes de IPS/IDS. Reportes de red Reportes de sistemas operativos Reportes de accesos Reportes de correlación de eventos” Ofrecer la capacidad de publicar reportes una vez que hayan sido ejecutados para que los reportes puedan ser consultados posteriormente sin necesidad de ejecutarlos nuevamente La solución SIEM Deberá integrar reportes tipo drill-down, es decir, a partir de los resultados de un reporte, seleccionar algún resultado y automáticamente ser transferido a un nuevo reporte que proporcione un mayor nivel de detalle. El fabricante de la solución Deberá contar con servicios profesionales que eventualmente puedan desarrollar parsers a medida especialmente para La compañía El soporte técnico del fabricante Deberá ser en modalidad 7x24 por chat, web y teléfono. El soporte técnico del fabricante Deberá incluir las actualizaciones de producto, firmas, nuevos releases y nuevas integraciones. Deberá tener varios niveles de agregación y funcionar tanto para eventos como para flows. El componente de recolección Deberá manejar mecanismos de agregación que permitan disminuir el uso del ancho de banda. El componente de recolección Deberá permitir restringir el ancho de banda máximo utilizado en la red, el cual podrá ser definido en Kilobits por segundo (Kbps), Megabits por segundo (Mbps) o Gigabits por segundo (Gbps).

La solución Deberá contar con un módulo para realizar la retrospección (backtrace) de los indicadores de compromiso para evaluar la presencia en el ambiente de la organización. La solución Deberá integrarse de forma nativa a un sistema de reputación corporativo que permita conocer la reputación local, global o de análisis de la herramienta de Sandboxing de los programas ejecutables en los equipos monitoreados. La solución Deberá integrarse al sistema de reputación corporativo a través de un protocolo de comunicación abierto multi-plataforma, que permita obtener el indicador de compromiso del archivo ejecutable analizado La solución permitirá importar indicadores de compromiso de fuentes externas a través de un lenguaje estructurado abierto para inteligencia de amenazas, tal como STIX. La solución SIEM Deberá proporcionar un módulo integrado para la administración de eventos e incidentes de seguridad permitiendo asociar reglas a acciones tales como:

· enviar una notificación al equipo de operadores. · abrir y asignar un caso a un usuario para su investigación. · ejecutar un script. La Solución SIEM Deberá permitir una gestión completa de todos sus componentes, empleando una sola consola de administración, incluyendo todas las configuraciones de los dispositivos, configuración de políticas, gestión de eventos, informes, análisis, afinación de la solución, y otras funciones relevantes. La consola de administración centralizada Deberá proveer la configuración de controles de acceso basado en roles (RBAC) y permitir la configuración de privilegios de acuerdo a los perfiles asignados por el administrador de la solución. Permitiendo la segregación de funciones y acceso a eventos, obedeciendo al principio de mínimo privilegio. Los tableros gráficos (dashboards) de eventos Deberán ser personalizables, editables y duplicables por los usuarios de la Solución de Correlación de Eventos.

”La solución SIEM Deberá contar con dashboards predefinidos para regulaciones tipo: PCI HIPPA ISO 27002 FISMA SOX Así como permitir la creación de grupos de Dashboards que ayuden a cumplimientos locales”. El módulo de reportes, Deberá permitir aceptar parámetros previos a la ejecución de un reporte, para poder focalizar los resultados del mismo. Ej.: Ingresar el nombre de usuario, nombre del dispositivo, etc. El módulo de reportes Deberá permitir la visualización de un panel gráfico (dashboard), que agrupe múltiples elementos y permita desplegar resultados de reportes así como links externos. El dashboard Deberá ser configurable e independiente para cada cuenta de usuario que utilice la solución. ”La solución SIEM Deberá contar con una base pre instalada de reportes, y permitir creación de reportes distribuidos en las siguientes categorías: Reportes PCI Reportes SOX Reportes de incidentes de seguridad Reportes de alertas de configuración del sistema Reportes por cada uno de las soluciones de seguridad integradas Reportes de múltiples dispositivos (cross-device)” La solución SIEM Deberá incluir todos los reportes y no Deberá estar limitado en cuanto a términos de licenciamiento.

La solución SIEM Deberá contar con un módulo integrado para la ejecución de reportes sobre los eventos. Los reportes generados podrán ser de tipo ejecutivos (gráficos), detallados (matriz/tabla) o una combinación de ambos. El módulo de reportes, Deberá permitir generar un reporte, ya sea desde cero, o bien, copiando y modificando reportes existentes. ”La solución SIEM Deberá contar con funcionalidades integradas en la interfaz de administración gráfica para la definición, ejecución, programación y entrega automatizada de reportes ejecutivos y detallados en los siguientes formatos: PDF CSV HTML”

7.1006

2 Solución de Web Application Firewall, Application Delivery, Balanceador y Protección de DDOS, WAF, disponilidad HA

CARACTERÍSTICAS FÍSICAS Y DE RENDIMIENTO Los equipos ofertados Deberán ser una plataforma de hardware de propósito específico denominado “appliance”. El sistema operativo del equipo ofertado Deberá Deberá ser de propósito específico y no uno de uso genérico, es decir un SO desarrollado por el fabricante específicamente para propósitos de Balanceo de Carga de Servicios y Aplicaciones basadas en IP (TCP/UDP) y servicios web. Los valores de desempeño solicitados Deberán ser logrados por el equipo “appliance” como un sistema independiente y autónomo que cumpla el desempeño exigido y no como la suma o agregación de varios “appliance” que logren sumar el valor solicitado. Se Deberá ofrecer dos (2) equipos en Alta disponibilidad funcionando en configuración de Par Activo. Por razones de eficiencia de uso de la energía, la climatización, uso de espacio en rack, administración y facilidad de configuración, no se aceptará soluciones basadas en clúster virtual de múltiples equipos.

Cada equipo Deberá cumplir con las siguientes características: La solución Deberá soportar un Throughput en L4 de al menos 20 Gbps. La soluciónDeberásoportar un Throughput en L7 de al menos 20 Gbps. La solución Deberá soportar al menos 28 Millones de conexiones simultáneas. La solución Deberá soportar al menos 250.000 conexiones por segundo en L4. La solución Deberá soportar al menos 1 Millón de HTTP Requests por Segundo Cada equipo Deberá contar con al menos las siguientes Interfaces de red: Al menos 8 puertos SFP a 1Gbps Al menos 4 puertos SFP+ a 10 Gbps Cada equipo Deberá contar con fuentes de poder redundantes AC, entradas de voltaje de 110 a 220 VAC que se puedan remover en caliente (hot-swap) y certificadas 80 Plus Platinum”” para eficiencia energética. Los equipos Deberán ser instalados en rack estándar de 19”, máximo 1RU. Los equipos Deberán tener la característica de soportar alta disponibilidad, es decir, tener la capacidad de conectarse a una unidad similar y operar en modo activo y la otra unidad en modo pasivo (fail-over) y Deberá contar con la capacidad de direccionamiento virtual. La Solución Deberá tener la capacidad de recuperar las sesiones del sistema en forma inmediata y automática, en caso de fallo de un adaptador, cable de red, canal de controladora o alimentación de fluido eléctrico. Cada equipo Deberá incluir 32 Gb de Memoria RAM mínimo Cada equipo Deberá incluir mínimo dos Disco duros de 500Gb

en RAID 1. Deberá soportar clúster Activo/Activo y Activo/Pasivo entre dos o más plataformas, soportando diferentes modelos de hardware (no solamente del mismo modelo). La solución Deberá permitir configurar clúster entre más de dos equipos y permitir que sean plataformas no necesariamente idénticas (como equipos appliance físico, chasis o virtuales) con el fin de contar con un sistema a futuro altamente escalable y en demanda. Para mejorar el rendimiento de la sincronización de configuración Deberá poder sincronizar la configuración de manera incremental. Ante la necesidad de conmutar el tráfico a otros dispositivos del grupo, el sistema Deberá poder realizar cálculos para determinar el mejor dispositivo basado en: Recursos, capacidad, carga de tráfico en cada dispositivo. Identificando la mejor opción cuando el ambiente sea heterogéneo en cuanto se refiere a plataformas. La configuración Deberá ser sincronizada entre todos los dispositivos del grupo pudiendo escoger si la sincronización se realiza de manera automática o manual. Los equipos Deberán tener hardware acelerador FPGA personalizables y programables para varias funciones como protección DDoS, protocolos SDN y manejo de trafico UDP. FUNCIONES DE ADMINISTRACIÓN DE TRÁFICO La solución Deberá realizar funciones de balanceo de tráfico a aplicaciones basadas en TCP/UDP, incluidos servicios web (protocolos de capas superiores). La solución Deberá permitir la definición de dirección IP y puerto virtual para la prestación de un servicio, que permita atenderlo mediante una granja de servidores identificados mediante una dirección IP y un puerto del servicio igual o diferente del presentado al público.

La solución Deberá tener arquitectura Full-Proxy, control de entrada y salida de conexiones distinguiendo conexiones del lado del cliente y del lado del servidor o los recursos. La solución ofertada Deberá ser capaz de soportar balanceo amortiguado de los servidores que se agreguen nuevos, para prevenir la saturación de conexiones. De manera que los servidores que se agregan al grupo de balanceo, reciban al inicio menos cantidad de peticiones por un tiempo determinado, hasta ser capaz de recibir la misma cantidad de peticiones que los que ya estaban en el grupo. Deberá permitir hacer persistencia de conexiones hacia la aplicación con base en cualquier información contenida en cualquier parte del paquete completo, esto para poder adaptar la solución a las necesidades de las diferentes aplicaciones. La solución Deberá permitir hacer control de balanceo de tráfico según se defina entre uno o varios tipos de algoritmos especializados de balanceo. Estos métodos Deberán realizarse de manera nativa y no por medio de configuración por scripting: Round Robin Proporcional (Ratio) Proporcional dinámico Respuesta más rápida Conexiones mínimas Menor número de sesiones Tendencia de menor cantidad de conexiones Tendencia de desempeño Deberá permitir balancear a una granja de servidores y seleccionar el destino basado en la carga de estos, como memoria/RAM. El equipo Deberá no tener restricciones en el número de servicios virtuales que se pueden configurar (Virtual Servers, Virtual IP, granjas). El sistema Deberá ser capaz de identificar fallos en servicios para redundancia de las aplicaciones.

La solución Deberá tener reglas que permitan el control de ancho de banda de manera dinámica. La solución Deberá realizar monitoreo de la salud de los Servidores que gestione el equipo de Balanceo de tráfico, por medio de: Ping (Chequeo a nivel de TCP y UDP a puertos específicos) Monitoreo http y https Monitoreo del hardware y software mediante Windows Management Instrumentation (WMI) o mediante un sistema similar reconocido y aprobado por Microsoft. Verificación de la salud de una combinación de servicios, permitiendo tomar la decisión del estado de salud aplicando varios monitores simultáneos. Ejecución de scripts para determinar la respuesta emulando un cliente. Configurar monitores predefinidos y personalizados que permitan comprobar y verificar la salud y disponibilidad de los componentes de la aplicación y de la red. Monitoreos en línea, donde el funcionamiento de la aplicación determine el estado de salud de la misma Monitoreo de aplicaciones de mercado: o LDAP o FTP o SMTP o IMAP/POP3 o Oracle o MSSQL o MySQL o RADIUS o SIP o Protocolo SASP o SOAP o WMI o SNMP Deberán poder realizar todos estos métodos de persistencia de las conexiones: Dirección IP origen

Dirección IP destino Cookies Hash SIP: Deberá permitir definir el campo SIP sobre el cual hacer persistencia Sesiones SSL Microsoft Remote Desktop Deberá Permitir crear persistencia por cualquier valor del paquete por medio de reglas. Deberá garantizar afinidad del servidor, de tal forma que una solicitud de un cliente y cada solicitud posterior se dirijan al mismo servidor de la granja. El sistema Deberá ser capar de realizar un método secundario de persistencia, en caso de que el primer método no pueda ejecutarse por factores externos a la plataforma. Soporte de API para construir aplicaciones de administración o monitoreo personalizadas: Soporte de SOAP/XML, que sea base del Sistema Operativo. Que permita la integración con aplicaciones como VMWare vCenter, Microsoft System Center Virtual Machine Manager (SCVMM), Soporte de Java, .NET, PERL, PHP, PowerShell y Python. Las interfaces de control Deberán ser accesibles por conexiones SSL con requerimientos de autenticación vía http básica, para evitar accesos no autorizados. Soporte de REST API Deberá ser posible modificar el contenido HTML utilizando objetos de configuración y sin necesidad de generar scripts. Deberá soportar el protocolo TDS para balanceo de MSSQL Deberá soportar el protocolo NetFlow (v5). El sistema Deberá soportar scripts de programación basados en un lenguaje estructurado (TCL) que permita crear funcionalidades que por defecto no se encuentren en el menú de configuración u opciones y Deberá soportar la creación de Procedimientos o funciones que pueden ser utilizadas desde cualquier otro script.

La solución Deberá permitir configuración de scripts basados en Node.js con el fin de brindar además del TCL, el acceso a paquetes de npm para facilitar la escritura y el mantenimiento del código. El equipo Deberá ser compatible con tráfico IPSEC y ser certificado por ICSA Labs como dispositivo IPSEC 1.3 Deberá soportar e incluir Geolocalización, de manera que pueda tomar decisiones basado en una base de datos de continentes, países y de direcciones IP. La Base de datos de geolocalización Deberá incluir los países de América Latina y estar disponible en el mismo equipo sin necesidad de acceso a Internet (offline). Incluir el soporte de Aceleración SSL usando Hardware Dedicado. FUNCIONES DE SEGURIDAD GENERALES Cada equipo Deberá soportar seguridad SSL con las siguientes características: Incluir mínimo 10.000 Transacciones por segundo SSL (RSA 2K Keys) Soporte de llaves SSL RSA de 1024, 2048 y 4096 bits Soportar al menos 10 Gbps SSL Bulk Encryption (Thoughput SSL) Incluir mínimo 6.500 Transacciones por segundo SSL (ECDSA P-256)

La solución Deberá soportar mirroring de sesiones SSL. Si el equipo primario falla el equipo secundario Deberá mantener la sesión SSL El Stack TLS del equipo Deberá soportar las siguientes funcionalidades/características: Session ID Session Ticket OCSP Stapling (on line certificate status protocol) Dynamic Record Sizing ALPN (Application Layer Protocol Negotiation) Forward Secrecy La solución Deberá manejar AES, AES-GCM, SHA1/MD5 y

soporte a algoritmos de llave pública: RSA, Diffie-Hellman, Digital Signature Algorithm (DSA) y Elliptic Curve Cryptography (ECC) Deberá soportar algoritmos de cifrado Camellia. El equipo o sistema operativo Deberá estar certificado por ICSA Labs como Firewall de Red (Corporate Firewall). El equipo o sistema operativo Deberá estar certificado por ICSA Labs como Web Application Firewall Firmado criptográfico de cookies para verificar su integridad. Capacidad de integración con dispositivos HSM externos. Deberá soportar al menos Thales nShield Y Safenet (Gemalto) Luna. La solución Deberá permitir la funcionalidad Proxy SSL, esta funcionalidad permite que sesión SSL se establezca directamente entre el usuario y el servidor final, sin embargo el equipo balanceador Deberá ser capaz de desencriptar, optimizar y reencriptar el trafico SSL sin que el balanceador termine la sesión SSL. Se requiere que soporte la extensión STARTTLS para el protocolo SMTP de manera de poder cambiar una conexión en texto plano a una conexión encriptada sin necesidad de cambiar el puerto. Deberá soportar HSTS (HTTP Strict Transport Security). Deberá soportar por medio de agregación de subscripción a futuro, un sistema de reputación IP para prevenir conexiones bidireccionales (entrantes y salientes) a direcciones IP no confiables y agrupadas en categorías. Scanners Exploits Windows Denial of Service Proxies de Phishing Botnets Proxies anónimos

FUNCIONES DE ACELERACIÓN DE TRÁFICO La implementación de la solución Deberá incluir la capacidad de hacer aceleración de aplicación a nivel de: Memoria cache Compresión tráfico HTTP Optimización de conexiones a la aplicación a nivel TCP Multiplexación de conexiones hacia los servidores. El sistema Deberá permitir comprimir tráfico http a través del estándar GZIP y compatible con browsers como MS Internet Explorer, Google Chrome, Mozilla Firefox, Safari, etc. Cada equipo Deberá contar con una capacidad de compresión de tráfico a una tasa de 6 Gbps o superior usando aceleración por Hardware dedicado, no la CPU de propósito general. Deberá soportar el protocolo HTTP2 y funcionar como Gateway para este protocolo. Permitir la modificación de los tags de cache para cada objeto del sitio web de manera independiente, pudiendo respetar los tags generados por el Web server o modificarlos Deberá soportar Adaptive Forward Error Correction a nivel TCP y UDP. DNS Y BALANCEO A DE ENLACES DE INTERNET La solución Deberá soportar el permitir alta disponibilidad de aplicaciones distribuidas en 2 o más datacenters, sin importar la ubicación geográfica. Deberá funcionar como un servidor DNS autoritativo de alto desempeño, permitiendo manejar un dominio completo o delegación de parte de un dominio. Deberá ser autónomo sin necesidad de balancear requerimientos DNS a una granja de servidores DNS. Deberá funcionar como un servidor DNS cache autónomo, sin necesidad de balancear requerimientos DNS a una granja de servidores.

Deberá manejar persistencia a nivel global, manteniendo a los usuarios en un mismo datacenter por el transcurso de su sesión. Permitir Balanceo de cargas ente datacenters de acuerdo a la ubicación geográfica. Deberá permitir la creación de topologías personalizadas con el fin de permitir distribución de tráfico basado en requerimientos particulares de la infraestructura. Deberá permitir monitoreo de la infraestructura y las aplicaciones a balancear, integrándose con otros equipos del mismo fabricante o de terceros. Las zonas del DNS Autoritativo Deberán cargarse en RAM, para evitar latencias y tener tiempos de respuesta rápidos. Deberá permitir realizar balanceo de servidores DNS. Deberá soportar el protocolo DNSSEC. Deberá incluir herramienta de administración grafica para el manejo de zonas DNS. Deberá soportar registros AAAA para IPv6. Deberá soportar traducción entre DNS IPv4 y DNS IPv6. La solución Deberá soportar 480.000 respuestas DNS por segundo. La solución Deberá permitir balanceo de enlaces de internet, sin restringir el número de enlaces y sin importar el proveedor de estos. Deberá proveer balanceo de tráfico saliente entre múltiples ISP y detectar el fallo de alguno de ellos para enrutar automáticamente el tráfico hacia los demás ISP. Deberá proveer balanceo de tráfico entrante, basado en DNS y responder autoritativamente a queries DNS tipo A.

Deberá permitir monitoreo de los enlaces y detectar fallos en ellos. Deberá manejar persistencia a nivel global, manteniendo a los usuarios en un mismo ISP por el transcurso de su sesión. FUNCIONES DE FIREWALL Y PROTECCION DDOS Deberá incluir protección contra ataques de DDoS en capas 2-4 utilizando vectores de ataque personalizables. La solución de DDoS Deberá contar con un sistema de protección basado en comportamiento (Behavioral) que permita la creación de firmas o vectores de ataque de manera dinámica. La solución Deberá proteger contra ataques de denegación de servicio tanto en una topología en línea (inline deployment) como en una topología fuera de línea (TAP mode). Deberá bloquear ataques a nivel de red como flood, sweep, teardrop, smurf attacks. Deberá mitigar ataques basados en protocolos, incluyendo SYN, ICMP, ACK, UDP, TCP, IP, DNS, ICMP, ARP. Deberá permitir la creación de reglas basadas en aplicación, independientes para cada una de ellas. Deberá permitir la creación de reglas globales. Deberá tener la opción de funcionar como un firewall statefull full-proxy y ser certificado por ICSA Labs como Network Firewall. Deberá permitir la definición de horarios (schedules) que apliquen a las reglas configuradas, permitiendo activar reglas Entre intervalos de tiempo Hasta una fecha específica Después de una fecha específica. Deberá permitir la creación de listas blancas (White lists) de direcciones IP.

Deberá permitir la configuración de túnel IPSEC Site-to-Site. Deberá incluir funcionalidad de application delivery controller o integrarse con dispositivos de Application Delivery. Deberá brindar protección contra Ataques de Denegación de Servicio para el protocolo DNS, poder controlar el tráfico DNS de acuerdo al tipo de Registro solicitado y detectar anomalías a nivel del protocolo. Deberá brindar protección contra Ataques de Denegación de Servicio para el protocolo SIP y poder controlar el tráfico SIP de acuerdo al Método SIP recibido y detectar anomalías a nivel del protocolo. Deberá permitir personalizar los Logs, y ser exportados a un repositorio Syslog externo que conste de uno o varios servidores. Deberá funcionar como un Proxy SSH para control de conexiones entre diferentes redes con el fin de dar visibilidad a las sesiones SSH y controlar las mismas. Deberá soportar Port Misuse, evitando que servicios pasando a través de puertos conocidos que buscan saltar protecciones de Firewall (por ejemplo un servicio SSH escuchando en el puerto 80 y busque abusar de reglas orientadas a HTTP). Deberá soportar RTBH (Remotely Triggered Black-hole Route Injection) para protección en caso de implementaciones fuera de línea. Deberá soportar el protocolo MQTT para administración de tráfico desde dispositivos IoT. Deberá permitir identificar mensajes dentro del protocolo MQTT, proveer estadísticas y exponer API para acceder a la información de los mensajes MQTT. ESTÁNDARES DE RED Soporte VLAN 802.1q, Vlan tagging Soporte de 802.3ad para definición de múltiples troncales Soporte de NAT, SNAT Soporte de IPv6: El equipo Deberá funcionar como Gateway

entre redes IPv6 e IPv4 permitiendo tener ambos tipos de redes simultáneamente. Soporte de Rate Shapping. Soporte de dominios de Enrutamiento, donde cada uno pueda tener su propio Default Gateway y estar conectados a redes IP con el mismo direccionamiento. Deberá soportar VXLAN, VXLAN Gateway, NVGRE y Transparent Ethernet Bridging para entornos de redes virtualizadas. Deberá soportar el protocol de OVSDB (Open vSwitch Database) para crear túneles VXLAN usando un controlador SDN. Deberá soportar protocolos de enrutamiento BGP, RIP, OSPF, IS-IS. ADMINISTRACIÓN DEL SISTEMA La solución Deberá permitir el acceso para la administración del equipo appliance vía CLI (Interfaz de línea de comandos) por SSH, interfaz de administración gráfica basada en Web seguro (HTTPS). La solución Deberá integrarse con Directorio Activo Windows 2003 o superior, para la autenticación de usuarios para gestión de la herramienta. La solución Deberá integrarse con LDAP, para la autenticación de usuarios para gestión de la herramienta. La solución Deberá integrarse con RADIUS y TACACS+ para la autenticación de usuarios para gestión de la herramienta. La solución Deberá incluir comunicación cifrada y permitir la autenticación del equipo y de los usuarios administradores/supervisores con Certificados Digitales. La solución Deberá soportar el envío de alertas y eventos a un Sistema Centralizado mediante: Protocolo SysLog Notificación vía SMTP SNMP versión.2.0 o superior.

El sistema de administración Deberá ser totalmente independiente del sistema de procesamiento de tráfico. El equipo Deberá contar con un módulo de administración tipo lights out que permita encender/apagar el sistema de manera remota y visualizar el proceso de arranque. La interfaz gráfica Deberá contar con un Dashboard personalizable que permita monitorear el estado del equipo en tiempo real. Deberá contar con un módulo de reportes que permita visualizar gráficamente el comportamiento de las aplicaciones HTTP como latencias hacia los servidores, latencias en los URL, Direcciones IPs que acceden las aplicaciones, URLs más visitados en las aplicaciones, Throughput hacia los servidores y estadísticas acerca de los servicios creados y los servidores físicos. Deberá Contar con plantillas para la implementación rápida de aplicaciones de mercado conocidas (ej, Oracle, Microsoft, SAP, IBM) y permitir crear plantillas personalizadas que puedan ser actualizadas/exportadas entre equipos.

7.1007

1000 Solucin Anti-spam

Solución capaz de implementarse en appliance con capacidad de ser soportada también en entorno virtual (ESX) como combinación de ambas o completamente como opción en la nube (SaaS) provistas por el mismo fabricante. El appliance Deberá contar con arreglos RAID y capacidad mínima de 250GB en disco duro. Deberá ofrecerse una solución de alta disponibilidad. Contar con tarjetas de red 10/100/1000 con capacidad de bounding para alta disponibilidad. Contar con al menos 8 GB de RAM con posibilidad de expansión. Soporte al hardware disponible en la región por el fabricante del mismo. Sistema operativo robustecido e integrado con la solución.

Administración vía HTTPS y SSH. Capacidad de configurar los appliance en modo de alta disponibilidad. Gestión centralizada en configuración de alta de disponibilidad. Capacidad de separar funcionalidades por instancia. Deberá soportar procesamiento nativo de SMTP sin PROXY reverso a otros protocolos. Si la solución es SaaS se Deberá contar con la certificación SAS70 para los sites de procesamiento como mínimo. Esquema de alta disponibilidad para sitios SaaS con redundancia geográfica. La solución Deberá ser la misma en cualquier tipo de implementación. La configuración en appliance Deberá permitir ejecutar todos los engines sin precisar de plataformas adicionales o de terceros. La Solución Deberá ser capaz de integrarse con cualquier plataforma de Mensajería, ejemplo Microsoft Exchange en al menos sus 3 últimas versiones. La solución Deberá contar con un sistema de reputación propietario no dependiente del resto de los engines de detección. La detección de trafico malicioso Deberá poder realizarse en ambas direcciones, permitiendo el control e identificación de ataques internos. La solución Deberá permitir identificar amenazas mediante puntajes de los distintos engines a través de la correlación de los mismos.

La solución Deberá permitir la modificación de los umbrales de detección de acuerdo a las necesidades de la empresa, así como la creación de perfiles para distintas rutas, dominios, usuarios o direcciones IP. Los engines de detección Deberán actualizarse regularmente y las actualizaciones Deberán ser descargadas del site del fabricante una vez probados para evitar cualquier impacto al tráfico. Los engines de detección Deberán ser configurables de forma independiente para poder tropicalizarlos a los requerimientos de la empresa. La Solución Deberá poderse configurar para bloquear correos de marketing o similares (Bulk Mail). La Solución Deberá poder configurar listas blancas y negras para los engines de Anti-Spam, tanto a nivel General como individual de así precisarse. Se Deberá contar con un engine que permita que el administrador genere reglas para mensajes específicos tanto permisivos como restrictivos que hagan override a las reglas estándar definidas por la solución. Las políticas de control de SPAM Deberán ser modificables. Las reglas o políticas de bloqueo Deberán poder configurarse desde una sola ventana o interfaz. Deberá contar con soporte para DKIM. Deberá contar con soporte para SPF. Deberá soportar con soporte para DMARC. Deberá contar con una herramienta para bouncing que permita llaves fijas y dinámicas. Deberá poseer la funcionalidad de control de SMTP para controlar ataques tanto internos como externos. Poseer integración con directorio activo o bases de datos para

verificación de usuarios. La herramienta Deberá contar con reportes a usuario final que permitan tomar acciones como liberar o notificar spam, vía correo electrónico o bien a través de un portal de usuario. Las opciones de las notificaciones a usuario final Deberán poder ser configurables por el administrador para restringir o habilitar funcionalidades. Deberá contar con áreas de cuarentena específicas por engine. El modulo Deberá tener la capacidad de configurarse para distintas rutas, direcciones y dominios. Acceso a la consola vía HTTPS y SSH Gestión de administradores por niveles y perfiles de acceso. Passwords administrativos configurables para cumplir los requerimientos de la empresa. Gestión de puertos para control de acceso a los administradores y usuarios. Deberá contar con la opción de enviar y recibir correo cifrado de dominio a dominio a través de TLS/SSL y permitir agregar los certificados públicos de dominios confiables. Deberá contar con un reporte de utilización del equipo por engine. Deberá contar con un reporte de que muestre el estado de cada equipo que conforma la solución. Deberá contar con un sistema de alertas que permita monitorear el estado del equipo. Deberá permitir la interacción a través de traps para integración con sistemas de monitoreo. La solución Deberá contar con una herramienta de búsqueda de correos que permita ver el estado de cada correo procesado y que permita ver información a nivel forense, Deberá estar integrada al costo de la solución.

La solución Deberá contar con un engine para poder hacer cumplimiento con reglamentaciones como SOX, HIPPA, GLBA, PCI, etc. La solución Deberá contar con contenedores para identificadores de cada uno de los cumplimientos descritos y estos Deberán actualizarse de existir modificaciones a las regulaciones de forma automática. La solución Deberá contar con un repositorio de socios de negocio, que permita identificar a las empresas que precisan de ciertos cumplimientos. La solución Deberá contar con reglas que permitan parametrizar y ajustar cada uno de los cumplimientos en función de las necesidades de Ministerio. Deberá permitir la utilización de diccionarios específicos para cumplimientos de reglamentaciones locales o específicas. La gestión de políticas para la aplicación de las reglas de cumplimiento Deberán ser granulares. La solución Deberá contar con una sección específica de DLP en la cual se pueda ver un sumario de las violaciones a las políticas. Deberá poseer folders específicos para identificación de violaciones, uno por cada política existente. Deberá contar con un área de búsqueda de incidentes que permita ubicar por distintos argumentos los mensajes. La herramienta Deberá contar con un engine que permita identificar si algún documento clasificado como confidencial es enviado a través del correo, Deberá tener la capacidad de identificar el documento completo o partes del mismo. El engine Deberá poder ser configurado para solo permitir que usuarios autorizados envíen la información y Deberá poder tomar distintas acciones para las incidencias. La solución Deberá poder almacenar los documentos en categorías, y los documentos Deberán poder ser ingresados o de forma directa o a través de conexión con los resguardos

definidos. La solución Deberá contar con un engine que permita el cifrado de correos salientes. El cifrado Deberá ser transparente para los receptores, esto es no, Deberá usar ningún tipo de agente o conexión con el sistema. La gestión de las llaves Deberá ser provista en la nube, no Deberá depender del equipo emisor. La solución Deberá permitir al administrador revocar, delimitar en tiempo y eliminar usuarios lectores. La solución Deberá contar con un portal de auto-gestión para los receptores de correo cifrado. La solución podrá funcionar sola o en combinación con las reglas definidas para el tráfico con el resto de los módulos. Los correos cifrados emitidos Deberán poder ser vistos en dispositivos móviles. La herramienta Deberá poder permitir, de ser necesario, que los usuarios receptores puedan enviar correos a la institución usando la misma herramienta. Capacidad de integrar archivo de correos en la nube Capacidad de compartir archivos grandes de forma cifrada La solución Deberá estar dentro del cuadrante de líderes de Gartner y Forester.

7.1008

1000 Solución de Web Content Filtering

Solución de filtrado de contenido Web, que incluye funcionalidades nativas integradas de: filtrado URL, control de aplicaciones Web, antimalware y prevención de fuga de información (DLP). Solución de filtrado de contenido Web, basado en apliances (físicos y/o virtuales) de tipo gateway, por lo que no se aceptará software instalado en servidores. La solución Deberá estar basada en un sistema operativo propietario, no se aceptarán soluciones basados en sistemas operativos genéricos como Windows o Linux.

La solución permite inspeccionar el tráfico tanto de entrada como de salida de los protocolos HTTP, HTTPS y FTP. La solución Deberá permitir la inspección del tráfico SSL, HTTPS de forma que pueda analizar sobre este protocolo para la identificación de malware. La solución Deberá permitir descifrar el tráfico SSL para escanearlos y luego volver a cifrarlo antes de enviar al usuario. La solución Deberá soportar terminación SSL para pedidos HTTPS. La solución Deberá contar con un motor Antimalware basado en firmas y comportamientos. La solución Deberá contar con múltiples motores de protección. La solución Deberá permitir el bloqueo de contenido que contenga virus, spyware, botnets y malware. La solución Deberá permitir la detección heurística proactiva. La solución Deberá permitir la detección de malware entrando y saliendo de la red. Las firmas Deberán ser actualizadas automáticamente o bajo demanda de los administradores. El escáner proactivo Deberá inspeccionar en profundidad el HTML y el código script utilizado por URLs hostiles, explotación de buffer overflow y shellcode injection. La solución Deberá permitir el filtrado de URL basado en categorías, para ello la solución Deberá contar con más de 100 categorías pre-definidas. La solución Deberá permitir el bloqueo de mensajería instantánea (IM). La solución Deberá permitir el bloqueo de aplicaciones Peer-

to-Peer. La solución Deberá permitir el bloqueo de Streaming Media. La solución Deberá contener la base de datos de sitios web. La solución Deberá permitir el filtrado basado en reputación de los sitios web, para ello Deberá contar con un sistema de reputación “en la nube” administrado y mantenido por el mismo fabricante que permita bloquear de forma dinámica contenido Web malicioso. La solución Deberá permitir la utilización de listas negras y listas blancas. La solución Deberá contar con protección contra sitios web sin categorizar. La solución Deberá tener la capacidad de filtrado por: • Revisión por reputación de archivos • Tamaño del archivo • Extensión del archivo • Encabezados • Usuario o Grupo que realiza la descarga La solución Deberá analizar en tiempo real una página y basándose en el contenido de la misma y catalogarla en tiempo real. Las actualizaciones de contenido para el filtrado de URL Deberán actualizarse diariamente. Las actualizaciones de los filtros por reputación de URL Deberán actualizarse en tiempo real continuamente, inmediatamente después que hayan sido descubiertas por el fabricante. La solución Deberá permitir el Control de mas de 1,000 Aplicaciones Web, permitiendo el control granular de características de aplicaciones tales como Facebook, Twitter, entre otras. La solución Deberá tener la habilidad de remover de los sitios

web contenido seleccionado por los administradores del sistema, eliminando o removiendo código del sitio, para que no sea presentado al usuario final. La solución Deberá permitir el filtrado de tráfico no HTTP, como puede ser el de los programas P2P (eMule, etc.) o IM (mensajería instantánea). La solución Deberá identificar el tipo de servicio o aplicación aprovechando la capacidad de realizar filtrados o análisis por cadenas o “body” dentro del código HTML de las páginas o sitios invocados. La solución Deberá contar con un módulo de prevención de pérdida de datos (DLP) que analice la información que sale desde la red interna. Deberá buscar palabras claves dentro de los REQUEST de http. Estas palabras claves pueden se Deberán alimentar en diccionarios que sean modificables por la ACP. La solución Deberá buscar información especificada en las clasificaciones de las reglas apropiadas. Si el módulo encuentra un texto especificado, se disparará una acción por parte del sistema. La solución Deberá poder mantener diccionarios que disparen acciones por parte del sistema. La solución Deberá ser ofertada en una configuración de Clustering Activo-Activo permitiendo así el balaceo de carga entre al menos dos (02) equipos. La solución Deberá enviar alertas para eventos críticos relacionados con hardware o software del producto a los administradores del sistema. La solución Deberá soportar al menos 1200 usuarios, escalable. En caso requerir licencias estas Deberán estar incluidas para toda la solución propuesta. Permite desplegar la solución de forma flexible ya sea en appliances físicos y/o virtuales de acuerdo a las necesidades y crecimiento de la institución, sin necesidad de requerir

licencias adicionales para el despliegue de uno u otro modo, solamente las requeridas para cubrir la cantidad de usuarios solicitada. Deberá permitir desplegarse la solución “en la nube” para 100 usuarios que se encuentren fuera de la red corporativa pero que puedan mantener las mismas políticas corporativas, para ello estas políticas se Deberán configurar en la misma consola de administración de la herramienta. La solución Deberá soportar los siguientes modos de configuración: • Proxy Explícito • Proxy (Standalone Proxy) • Proxy con WCCP (Foward Proxy) • Proxy con ICAP • Transparent Bridge (Proxy Transparente) • Transparent Router (Proxy Transparente) La solución Deberá soportar proxy SOCKS. La solución Deberá soportar otros proxys opcionales como FTP. La solución Deberá soportar un mínimo 500 Mbps de trafico Internet escalable a 1 Gbps, en caso de que la solución propuesta sea en clúster, se Deberán incluir los equipos necesarios para garantizar el tráfico de Internet solicitado. Los equipos tienen que tener la capacidad de manejar todo el tráfico aún en la situación donde alguno de ellos se encuentre no operacional. La solución Deberá soportar un mínimo de 50,000 request/segundo de trafico Web, en caso de que la solución propuesta sea en clúster, se Deberán incluir los equipos necesarios para garantizar los request/segundo de trafico Web aún en la situación donde alguno de ellos se encuentre no operacional. La Solución Deberá poder recibir y enviar reputaciones de Hash en tiempo real mediante un protocolo destinado a ello. La solución Deberá permitir integrarse de forma transparente

a una solución de detección de malware avanzado a través de diversas técnicas de detección incluyendo sandbox, para lo cual el equipo de seguridad Web Deberá enviar el archivo a analizar a la solución de detección de malware avanzado a través de la red. La solución Deberá permitir detener el ataque detectado a través de la solución de detección de malware avanzado de forma inmediata y sin intervención del administrador. Deberá permitir integrar de manera nativa el análisis externo de fuga de información mediante appliance DLP a nivel de red, para lo cual el equipo Deberá enviar mediante protocolo ICAP el elemento el cual Deberá ser analizado. La solución Deberá administrarse desde una única consola grafica basada en Web en equipos Windows o Linux con navegadores Microsoft Internet Explorer (Windows) y Mozilla Firefox (Windows/Linux). La solución Deberá permitir la administración central de 2 o más appliances sin la necesidad de agregar equipos adicionales. La solución Deberá soportar la conexión para administración bajo protocolos SSH o SCP. La solución Deberá poder realizar respaldos y restauraciones de las configuraciones. Integración con las soluciones complementarias de análisis de malware avanzado y reputación de archivos en real time del mismo fabricante. La solución Deberá poder integrarse con un Active Directory de Microsoft sin necesidad de instalar algún componente en los controladores de dominio. Esta integración permitirá que la administración de la solución se efectué por medio de cuentas de usuarios y grupos de administración basadas en el Active Directory. Administración Basada en Roles: Es requisito indispensable

que se pueda segregar la administración de la seguridad diferenciando claramente los roles de Seguridad del de Sistemas y de otras unidades definidas en el Active Directory. La solución Deberá permitir la segregación de funciones de forma granular, permitiendo así definir al alcance o posibilidades de gestión para cada administrador. La solución tendrá la capacidad de presentar al usuario, una página web con mensajes modificables por los administradores del sistema, en caso de algún problema o infracción. La solución Deberá permitir el control de cuotas para los usuarios por ancho de banda. La solución Deberá permitir el control de cuotas para los usuarios por tiempo consumido. La solución Deberá permitir el control de cuotas de tamaños de los archivos. La solución Deberá tener la capacidad de utilizar expresiones regulares para la creación de las políticas. La solución Deberá tener la capacidad de utilizar expresiones booleanas para la creación de políticas. La solución Deberá tener la capacidad de utilizar las políticas en forma anidadas o encadenadas. Las políticas de Accesos Deberán estar basadas en: • Dirección IP • Rango de Direcciones IP • Subredes y CIDR • Usuarios del Active Directory • Grupos de Usuarios del Active Directory La solución Deberá soportar la configuración de tiempos de conexión mediante la configuración de reglas específicas. Los usuarios móviles Deberán poder autenticarse a

aplicaciones en la nube por SSO. La solución Deberá permitir generar reportes en tiempo real. La solución Deberá permitir generar reportes históricos. La solución Deberá permitir generar reportes de actividad de los usuarios. La solución Deberá permitir generar reportes de los sitios bloqueados. La solución Deberá tener la capacidad de enviar reportes programados por correo electrónico. La solución Deberá permitir exportar los reportes generados en los siguientes formatos al menos: PDF, HTML, XML y CSV.

7.1009

2 Solución de Network Access Control (NAC) en HA

La solución de NAC ofertada Deberá permitir manejar los 1000 dispositivos de la red simultáneamente en una plataforma de alta disponibilidad La solución de Control de Acceso a la Red Deberá ser instalada dentro de la infraestructura de la institución. La administración y gestión de la solución Deberá permitir ser gestionada de manera centralizada. Esta solución será implementada para resguardar dispositivos finales, servicios y aplicaciones que se encuentran en las oficinas de la institución y se encargará de la protección y definición de políticas para control del acceso a la red e infraestructura de la institución. Todos los componentes que constituyan la “Solución de Control de Acceso a la Red” Deberán ser del mismo fabricante. La “Solución de Control de Acceso a la Red” Deberá ser ofertada con licenciamiento, garantías, mantenimiento, actualización, servicios de instalación y soporte técnico del fabricante para tres (3) años en todos sus componentes, esto a partir del acta entrega recepción del proyecto. El funcionamiento general buscado es el siguiente: Cuando un usuario requiere acceder a la red corporativa mediante su

equipo de escritorio o móvil (Laptop, Tablet, Smartphone), luego de encenderse e intentar conectarse a la red Deberá solicitarse al usuario las credenciales de acceso, si estas son válidas, se comprobará el estado del equipo. Si el usuario es válido y tiene permiso de acceso y el equipo cumple con los elementos de software y configuraciones mínimas requeridas, se le habilitará el acceso a la red corporativa (e.j. asignación de VLAN). Si el usuario es válido pero el equipo no cumple, se lo conectará a una red de remediación y se dispararán automáticamente los procesos de remediación para luego realizar la validación nuevamente. Si el usuario no es válido o no cuenta con el software para validarse, se lo conectará a una red de visita que ofrecerá algunos servicios básicos como por ejemplo acceder a Internet. En caso de no tenerse instalado el software requerido para la validación, el mismo podrá ser descargado de un portal que habilitará al usuario a autenticarse y validar su equipo posibilitándosele el acceso como se describió anteriormente. Adicionalmente, Deberá cumplir con las siguientes características: Control de acceso a la red agnóstico a la infraestructura de red cableada e inalámbrica (redes heterogéneas). Alta Disponibilidad: contar con infraestructura replicada que pueda ser instalada en ubicaciones diferentes. Autenticación y Autorización: para esto Deberá ofrecer integración nativa con Radius, Active Directory y/o LDAP, que permita autorizar los accesos basado en la pertenencia de usuarios a grupos del Directorio Corporativo. Soporte para el protocolo IEEE 802.1X Asignación dinámica de VLAN’s de Seguridad y/o Remediación creadas en la red . No Deberá bloquear a los usuarios fuera de la red, si no ofrecerles un acceso de remediación a una VLAN de visitantes.

Notificaciones automatizadas a los usuarios sin requerir involucramiento del staff técnico. La detección y aislamiento Deberá ser agnóstico al hardware y sistema operativo de los dispositivos. Soporte para aplicar políticas a través de redes cableadas, inalámbricas y VPN. Soporte para análisis de elementos de software instalados y configuración de la frecuencia de revisión. En caso de operar sin agente, Deberán mencionarse los alcances y requerimientos de esta modalidad. Agente: En caso de contar con un agente permanente para eficientizar la validación de elementos de software, Deberá tener un mecanismo propio mediante la consola o mediante un tercero, para la distribución del cliente. Cliente (Agente) Temporal: Para estos casos, el cliente no Deberá exigir un pre-requisito sobre las credenciales del usuario (ej. requerir permisos especiales sobre el sistema) Portal cautivo: A través de este portal es que se dejará disponible para los usuarios que lo requieran, la descarga del “cliente temporal” el cual les permitirá validarse y chequear la postura del equipo para posibilitarles el acceso. Deberá ofrecer o re-direccionar a un portal con información de la remediación para el usuario final. Deberá tener la flexibilidad de crear excepciones personalizadas de forma granular en sus políticas para toda la comunidad de usuarios. Control mediante un número máximo de MACs por puerto (nodo de red) en aquellos que no están dedicados a extender la red (para evitar que instalen hub y switches sin autorización) Para las redes cableadas, Deberá cumplir con lo siguiente: La solución de NAC Deberá revisar los criterios de postura y compliance. Validar pertenencia del dispositivo a la red corporativa

mediante alguna de las siguientes posturas: Certificado digital instalado en el equipo. Archivo almacenado en el file system del equipo. Programa instalado o en ejecución. Entrada en el registro del sistema “”regedit”” con un valor determinado. Registro del equipo en el Active Directory corporativo. Validación periódica: El sistema Deberá proveer un mecanismo que permita la revalidación de la postura del equipo periódicamente, de forma que si las políticas cambian o la configuración del equipo cambia, podrá cambiar su condición debiéndose actualizar los accesos habilitados al usuario. En caso de ocurrir un cambio, Deberá ser notificado el usuario a través de un mensaje informativo en la pantalla de su equipo. El tiempo de revalidación Deberá poder ser configurable. Requerimientos de elementos: Firmas y Motor del Anti-Virus con un máximo de N días de obsolescencia. Firmas y Motor del Anti-Spyware con un máximo de N días de obsolescencia”. Validación de Firewall en el host activo Revisión de parches del Sistema Operativo Validación de Full Disk Encryption (si el agente está instalado y activo). Validación de Aplicaciones en general (si el agente está instalado y activo). Para dispositivos no administrados: Esta categoría incluye, sin estar limitada a Impresoras, Escáneres, Switches para BYOD y Access Points:

Soporte para Control de dispositivos BYOD, VLAN de Visitantes con Acceso Limitado a Internet o Aplicaciones (Web,SSL,etc.) Habilidad para bloquear dispositivos no autorizados que soliciten direccionamiento al servidor de DHCP Soporte para detectar Sistemas Operativos Independientes (sin Agente). Validación periódica: El sistema Deberá proveer un mecanismo que permita la revalidación de la postura del equipo periódicamente, de forma que si las políticas cambian o la configuración del equipo cambia, podrá cambiar su condición debiéndose actualizar los accesos habilitados al usuario. En caso de ocurrir un cambio, Deberá ser notificado el usuario a través de un mensaje informativo en la pantalla de su equipo. El tiempo de revalidación Deberá poder ser configurable. Habilidad para solicitar las credenciales de acceso vía un portal web a los visitantes (portal cautivo), aislándolos en una VLAN limitada para visitantes. Red Inalámbrica Para dispositivos administrados: Esta categoría incluye, sin estar limitada a, Laptops, Tabletas y Teléfonos Inteligentes La solución de NAC Deberá revisar los criterios de postura y compliance. Soporte para dispositivos móviles (Tablet, Smartphone, Laptop). Sistemas Android, IOS, Windows, etc Validar pertenencia del dispositivo al corporativo, mediante alguna de las siguientes posturas: Certificado digital instalado en el equipo. Archivo almacenado en el file system del equipo. Programa instalado o en ejecución. Entrada en el registro del sistema “”regedit”” con un valor determinado. Registro del equipo en el Active Directory corporativo. Validación periódica: El sistema Deberá proveer un mecanismo que permita la revalidación de la postura del

equipo periódicamente, de forma que si las políticas cambian o la configuración del equipo cambia, podrá cambiar su condición debiéndose actualizar los accesos habilitados al usuario. En caso de ocurrir un cambio, Deberá ser notificado el usuario a través de un mensaje informativo en la pantalla de su equipo. El tiempo de revalidación Deberá poder ser configurable. Requerimientos de postura de elementos de software: Firmas y Motor del Anti-Virus con un máximo de N días de obsolescencia. Firmas y Motor del Anti-Spyware con un máximo de N días de obsolescencia. Validación de Firewall en el host activo Revisión de parches del Sistema Operativo. Validación de Full Disk Encryption (si el agente está instalado y activo).

Validación de DLP (si el agente está instalado y activo) Para dispositivos no administrados: Esta categoría incluye, sin estar limitada a, Laptops de Invitados, BYOD de Empleados, Teléfonos Inteligentes desconocidos y dispositivos inalámbricos desconocidos. Habilidad para solicitar las credenciales de acceso vía un portal web a los visitantes (portal cautivo), aislándolos en una VLAN limitada para visitantes. Detección independiente al Sistema Operativo, cualquier sistema puede ser detectado y controlado por la política. Habilidad para dar tratamiento a dispositivos que no se han validado (BYOD). Validación periódica: El sistema Deberá proveer un mecanismo que permita la revalidación de la postura del equipo periódicamente, de forma que si las políticas cambian o la configuración del equipo cambia, podrá cambiar su condición

debiéndose actualizar los accesos habilitados al usuario. En caso de ocurrir un cambio, Deberá ser notificado el usuario a través de un mensaje informativo en la pantalla de su equipo. El tiempo de revalidación Deberá poder ser configurable. La solución ofertada Deberá ofrecer las siguientes capacidades para reportes, Monitoreos y gestión: La consola Deberá tener un Tablero de Control (Dashboard) que muestre los avisos más relevantes Generación de reportes orientados a compliance: SOX, COBIT, PCI/DSS, LFPDPPP, etc. Deberá reportar un inventario de dispositivos de usuarios autenticados y no autenticados. Los reportes Deberá mostrar marca de tiempo (Timestamp), Usuarios, Direcciones IP y nombres de dispositivos para usuarios autenticados y visitantes Soporte de Syslog y SNMP (Simple Network Management Protocol) para integración con otras soluciones de monitoreo Envío de alarmas sobre las métricas programadas cuando las políticas no se cumplen o no están aplicándose correctamente. La solución Deberá contar con una arquitectura en capas que pueda operar en ambientes distribuidos (e.j. 2 ubicaciones distintas administradas desde un datacenter) Deberá contar con diversos roles para una administración compartida con funciones limitadas para distintas áreas de la organización (e.j. administradores, solo lectura, reporteadores, etc.). Deberá contar con información completa de los eventos de seguridad reportados para su investigación y troubleshooting de forma inmediata. Deberá operar en un modo de aprendizaje al ser configurado a punto de acuerdo a las necesidades del negocio, con la finalidad de afinar las políticas y alertas antes de liberarse a producción La solución Deberá soportar todas las versiones vigentes de las familias de software Windows, Linux, Apple y Android Soporte completo con RSA - Secure ID

Soporte Nativo de Microsoft Active Directory Soporte Nativo a Proxy/Servidor Radius Soporte Infraestructura de Comunicaciones de Terceros (Switches/Routers) - Telnet, SSL, SNMP Soporte de almacenamiento de logs - Integración con BITACORA Soporte a Checkpoint R65 a 75 - OPSEC - LEA Controladoras y Access Points Wireless LAN de Aruba, Cisco y Checkpoint Soporte Symantec Endpoint Protection Soporte Symantec DLP Soporte con SourceFire / McAfee IPS - Drop, TCP Reset, o similar Soporte a Linux / Unix - Cliente y Nativo

CATEGORIA No. 8 Sistema de Gestión Administrativa (ERP)

No. de Partida

Cantidad Descripción Especificaciones Generales y/o Técnicas

8.1000 Objetivo Dotar a esta entidad de un software de gestión administrativa y financiera que nos permita agilizar las operaciones y contar con informaciones en tiempo real para el apoyo a las tomas de decisiones.

8.1001 Objetivo Específicos La Implementación del Sistema de Gestión Administrativa de la entidad tiene por objeto: Automatizar, integrar e informatizar los procedimientos relacionados a la gestión administrativa y financiera, mediante una solución informática centralizada, que permita eficientizar los recursos y reducir los tiempos de ejecución de los procesos y costos. Integrar todos los procesos mediante una solución informática que permita una mayor interacción entre los funcionarios de la entidad, a través del intercambio de documentaciones electrónicas que reduzcan la generación de documentos impresos y oriente la institución a un modelo de Oficina sin papel.

Disponer de un sistema de gestión de información que integre y automatice los procesos asociados a los aspectos administrativos y financieros.

8.1002 Deberá No. DEPARTAMENTOS CANT. USUARIOS 01 DIRECCIÓN EJECUTIVA (06) 02 GERENCIA ADMINISTRATIVA (14) 03 GERENCIA DE PLANIFICACIÓN Y EVA. (10) 04 GERENCIA DE RECURSOS HUMANOS 22 05 GERENCIA DE TECNOLOGÍA INFORMÁTICA (08) 06 GERENCIA FINANCIERA (12) 07 ACCESO A LA INFORMACIÓN (02) 08 TESORERÍA (05) 09 NOMINA (03) 10 CONTABILIDAD (12) 11 COMPRAS 10 12 SERVICIOS GENERALES (03) 13 ALMACÉN (03) TOTAL DE USUARIO (110)

8.1003 Datos a considerar El proyecto Deberá ser realizado en un máximo de ocho (8) meses. Es requerido para la realización del proyecto una etapa dentro del cronograma destinada a la Planificación del proyecto, acompañada de un proceso de levantamiento de informaciones. La solución y el Sistema (ERP) serán instaladas en el Edificio Administrativo Financiero de la entidad, localizada Santo Domingo, Distrito Nacional. Esta solución será utilizada en la Sede Central de esta entidad y en algunos módulos es posible su manejo desde otras localidades. Las licencias requeridas por requerimientos de herramientas y/o componentes de software de terceros a excepción de base de datos y sistema operativo Deberán estar incluidas en la propuesta.

El proveedor Deberá garantizar corrección de errores de la aplicación en caso de presentarse sin que esto conlleve un costo adicional para la institución.

8.1004 Del Fabricante y el ERP El ERP Deberá operar con usuarios concurrentes registrados y Deberá permitir un esquema de facturación solo de las licencias que se utilizan. El fabricante del ERP Deberá contar con representación local, con mayor énfasis Deberá contar con personal de soporte técnico y de desarrollo. El ERP Deberá tener mínimo 10 años de experiencia con clientes internacionales, en especial el Caribe y Republica Dominicana. El ERP Deberá estar instalado en un mínimo de 10 instituciones del estado. La base de datos, tablas y campos del ERP Deberán estar en español para fines de trabajos de actualización, reportes, integraciones, algunos campos o tablas nativas e inherentes del ERP pueden estar en Ingles. El ERP Deberá contar con un diccionario de datos en español que pueda utilizarse sin salir de la aplicación. El ERP Deberá facilitar el desarrollo de aplicaciones y reportes que puedan ser integrados a los menús existentes.

8.1005 Plataforma del ERP La solución propuesta Deberá estar desarrollada como un software de escritorio o en un formato Web Based. Este sistema contará con la seguridad correspondiente vía SSL, lo cual brindará un entorno seguro de navegación (HTTPS). Si la plataforma desarrollada es Web Based Deberá permitir a sus usuarios la conexión desde la web a la misma, con la finalidad de

facilitar la accesibilidad y operatividad de cada uno de los usuarios autorizados para su uso. Registro y Autenticación de Usuarios: La solución Deberá incorporar una función de registro y autenticación de usuarios, de forma tal que los usuarios puedan completar un registro con las informaciones básicas de su perfil, de esta manera la solución podrá asociar los trámites con los usuarios y estos podrán contar con un histórico personalizado de las solicitudes realizadas, en curso y aprobada. De igual manera Deberá tener restricciones de acceso o roles atendiendo al perfil del usuario.

8.1006 Componente del Software de Gestión Financiera (ERP)

Este componente brindará nuevos de niveles control y eficiencia a la entidad, de manera tal, que se podrá registrar y controlar las actividades administrativas y financieras que se generan en las diferentes áreas funcionales, los ingresos y egresos que se originan, los movimientos y balances de las cuentas contables y cuentas bancarias. Todos estos controles Deberán ejecutarse a través del registro en los diferentes módulos que resultan en entradas contables y emisión de Estados Financieros.

8.1007 Módulos del ERP Para los fines el oferente Deberá plantear una solución que abarque al menos los siguientes componentes los cuales Deberán ser parametrizados o desarrollados de acuerdo a las necesidades del ministerio. Gestión Financiera: Tesorería, Cuentas por Pagar, Cuentas por Cobrar, Gestión de la Contabilidad General Gubernamental y Privada, Estados Financieros, etc. Compras y Abastecimiento:

Gestión de compras, evaluación de proveedores, ordenes de compras y contratos de servicios, devoluciones, requisiciones, etc. Capacidad de integración con SIGEF (Sistema Integrado de Gestión Financiera) y Portal Transaccional. Planificación y Control Presupuestario: Planificación y gestión presupuestaria, capacidad de integración con la Planificación de la Entidad. Nómina y Recursos Humanos: Gestión de Recursos Humanos, nóminas de pago electrónicas, Capacitación, Evaluación360º, evaluación de desempeño por indicadores, Capacidad de integración con el SASP (Sistema de Administración de Servidores Públicos, entidad de Administración Pública). Gestión de Proyectos: Módulo de gestión de contabilidad por proyectos. Gestión de Planificación Estratégica(KPIs): Módulo de creación y monitoreo de indicadores clave de rendimiento. Flujo de Trabajo y Colaboración: Entorno de colaboración para compartir documentos e informaciones entre los funcionarios de la entidad. Inteligencia de Negocios y Reportes: Componente de análisis de informaciones y reportes. Este Deberá permitir la capacidad de generar nuevos reportes, Cuadros de Mandos con los principales indicadores de gestión.

8.1008 Herramienta de Tramites y Gestión de Seguimiento Interno(CRM)

Es el componente de la solución que implica el desarrollo o implementación de una aplicación para el procesamiento electrónico de las solicitudes de servicios,

consolidando así los datos y procesos entre los diversos departamentos y unidades relacionados en los trámites.

8.1009 Herramienta de flujos de trabajo

Deseable obtener una herramienta que nos permita crear, configurar actividades dentro del flujo de trabajo de los procesos relacionados a las solicitudes de servicio. Es decir, los aspectos operacionales de una actividad de trabajo, cómo se estructuran las tareas, cómo se realizan, cuál es su orden correlativo, cómo se sincronizan, cómo fluye la información que soporta las tareas y cómo se le hace seguimiento al cumplimiento de las tareas.

8.1010 Módulo de firma digital La solución deberá incorporar la capacidad de que los responsables de aprobaciones participan del flujo de procesos firmen digitalmente dichas autorizaciones. Comprendiendo como firma digital un esquema matemático que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrónico o su equivalente que pueda ser verificado. Para fines de este módulo Deberá ser considerado el marco regulatorio de la República Dominicana, laLey126-02de Comercio Electrónico, Documentos y Firmas Digitales, de fecha29deseptiembrede2002, que regula toda relación comercial, estructurada a partir de la utilización de uno o más documentos digitales o mensajes de datos o de cualquier otro medio similar.

8.1011 Componentes Técnicos WebServices: La solución propuesta Deberá estar en capacidad de operar con otros sistemas vía web Services, tanto para consulta como para actualización de datos de una manera segura y confiable. Aplicaciones y Sistemas de Terceros: Deberá considerarse la posibilidad de realizar consultase integración de aplicaciones y sistemas de terceros, tales como: 1. Entidades certificadores que emitirán los

certificados digitales 2. Instituciones reguladoras como son la Dirección General de Impuestos Internos (DGII), Tesorería de la Seguridad Social (TSS),SISALRIL, entre otros. Integración con los componentes tecnológicos de la entidad: Se requiere que la solución sea compatible con los siguientes elementos: - Compatibilidad con servidor de base de datos Microsoft SQL Server 2008 R2osuperior - Compatibilidad con Microsoft SharePoint Portal Server 2010 o superior - Compatibilidad con Microsoft Framework .NET 2010 o superior - Compatibilidad con Microsoft Office2010osuperior - Compatibilidad con Microsoft Project2010osuperior - Compatibilidad con Microsoft Reporting Services - Compatibilidad con Microsoft Analisys Services - Compatibilidad con el Sistema Operativo Windows 2008R2osuperior - Compatibilidad con el Sistema Operativo Windows XP, Vista,7,8 y 10 Capacidad para extensión y / o modificación: Se requiere que la solución cuente con herramientas de programación que permita ampliar sus funcionalidades y mejorar, corregir y darle mantenimiento a todo el software por parte del personal de Tecnología de la entidad ,ya sea códigos fuentes, herramientas, etc.

8.10012 Levantamiento de información, dimensionamiento y Manual de Procedimientos

El oferente Deberá contar con expertos para el levantamiento y rediseño de los procesos Administrativos y Financieros de la entidad, entregando como producto un manual de procedimientos que será utilizado para la personalización del sistema ERP, este manual. Deberá contener al menos: 1-Identificación de los procesos claves y

soportes. 2-Construcción del mapa de procesos 3-Asignación de los procesos a sus responsables 4-procedimientos de los procesos de trabajo 1-Gestión de Riesgo de procesos

8.1013 Transferencia de Conocimientos

El oferente Deberá contemplar en su propuesta la capacitación a nivel de certificación y transferencia de conocimiento para el personal técnico de la entidad en los aspectos relacionados a la plataforma e infraestructura, aplicaciones y soluciones utilizadas en el proyecto y configuración y desarrollo de nuevos módulos del ERP propuesto. Deberá ser capacitado mediante cursos formales el personal de administración y finanzas en el uso del Sistema de Planificación de Recursos Institucionales (ERP) así como también en la plataforma en que se haya desarrollado La Solución. El oferente Deberá contemplar en su propuesta que Deberá brindar todas las capacitaciones (técnica, administración y usuario final) a todos los usuarios de la institución en los módulos que correspondan.

8.1014 Soporte Técnico El oferente Deberá considerar en su oferta el soporte durante la duración del contrato. Este soporte abarca desde la infraestructura tecnológica, aplicaciones, configuraciones, cambios en flujos y características de la solución, creación de reportes entre otras.

8.1015 Duración del Servicio El tiempo estimado para la implementación de este proyecto es de 8 meses prorrogable si hay circunstancias atribuidas a la institución, Deberá contar con un calendario de interrupciones de servicios si es necesario, este tiempo incluye: a. Tiempo de levantamiento de información

b. Tiempo de diseños, desarrollos, ajustes y configuraciones necesarias. c. Tiempo de entrenamiento usuarios finales d. Tiempo de transferencia de conocimiento a la Gerencia Tecnología, etc. Quien resulte adjudicatario del proyecto, Deberá presentar en su plan de trabajo al menos tres (3) informes de avance previo a los Componentes entregables finales.

8.1016 Recursos y facilidades a suministrar por la entidad contratante

El ministerio suministrará espacio para ubicar al personal de la compañía contratada en nuestras instalaciones si es necesario, así como equipos y mobiliario. El oferente que resulte adjudicado, estará bajo la coordinación del Gerente de Tecnología de la entidad. El ministerio pondrá a disposición del contratista la información documental y estadística que se requiera para el desarrollo e implementación del proyecto. Los requerimientos de información serán tramitados a través de la instancia de supervisión de la Gerencia de Tecnología de la entidad.

8.1017 Criterios a considerar Sostenibilidad: Del software Del implantador y del fabricante De la plataforma Facilidad de uso: Simple Eficaz Intuitivo Ergonómico Características: Ámbitos funcionales cubiertos Integración de las herramientas de decisión e inteligencia de negocio Nivel de parametrización.

Seguridad de los datos: Posibilidad de bloquear a usuarios no autorizados. Posibilidad de evitar la entrada accidental de datos incorrectos Trazabilidad de las modificaciones. Control de flujos: Gestión del rendimiento Deberá ayudar a la decisión (BI) Integridad de la base de datos Publicación y recuperación de los datos. Aspecto internacional: El software Deberá estar adaptado a las disposiciones legales de la República Dominicana. Deberá estar en idioma español

8.1018 Oferta Técnica a presentar El Oferente Deberá presentar conjuntamente con su Oferta Técnica un CD o USB conteniendo una (01) Versión Demo del Software propuesto.

CATEGORIA No.9 Sistema de Recepción de Información Consular

No. de Partida

Cantidad Descripción Especificaciones Generales y/o Técnicas

9.1000 1 Sistema de Recepción

de Información

Consular

A partir de las informaciones y/o data suministradas por las diferentes oficinas y consulados dependientes de esta Sede Central el Sistema de Captación Consular Deberá cumplir con los siguientes criterios: Este deberá ser un sistema con función Back-Office (solo de recepción de la

información generada por los diferentes consulados y oficinas dependientes de este ministerio); a) Deberá estar diseñado en una herramienta standard; b) Deberá ser un sistema con función Back-Office (solo de recepción de la información generada por los diferentes consulados y oficinas dependientes de este ministerio); c) Deberá estar desarrollado en tres (3) capas (una capa de lógica, una de almacenamiento y una capa de presentación); d) Este sistema Deberá almacenar toda la información recibida desde los diferentes consulados y oficinas dependientes de esta Sede Central, así como también Deberá ofrecer la facilidad de consultar dicha información en cualquier momento. e) El sistema Deberá estar desarrollado en .Net, PHP o Java preferiblemente. f) La capa de almacenamiento Deberá ser preferiblemente SQL/Server. g) El sistema Deberá ser “Web Based”. h) Deberá manejar una base de Datos, Registro y Control de los Ciudadanos del País donde se implemente como son (Tipo de Documento, Ocupación, Residencia, Lugar de Trabajo, Profesión, Foto, Datos Familiares y descendientes, otros). i) Deberá tener Soporte para Facturación de Servicios, Manejo de

Tasa de Cambio, Gestión de Tarifas y Manejo de Niveles de Usuarios. j) Deberá emitir reportes Diversos (Por Recaudaciones, Cantidad de Visas, Tipos de Visas, etc.) k) Deberá incluir el Manejo de Imágenes y Contenidos. l) El sistema Deberá incluir el Registro de Tipos de Visas (Negocios, Negocios con Fines Laborales, Residencia, Estudiante, Diplomáticas, Oficiales, Cortesía, Dependencia, Turismo, Trabajadores Temporeros, Diplomática, Oficial). m) El sistema Deberá incluir el Registro de Servicios al Ciudadano, como son (Asistencia en Casos de Accidentes de Trabajo, Asistencia Dominicanos Enfermos, Autorización de Viajar Menores, Casos Disputas o Controversias Dominicanos en el Exterior, Fallecimiento Nacionales – Control Defunciones, Localización Familiares, Notificaciones y Actos de Alguacil, Repatriaciones – Ayuda por Falta de Fondos, Situaciones Dominicanos Presos en el Exterior, Gestión Alimenticia, Registro Nacionales). n) Deberá tener incluido la Legalización de Firmas. o) El sistema Deberá constar con un módulo de Servicios Consulares de Oficial Estado Civil Certificaciones (De No Declaración de Nacimiento, Declaración de Nacimiento, Certificado de Nacionalidad, Acta de Reconocimiento, Declaración de

nacionalidad dominicana de hijos de dominicanos en el exterior, Acta de Defunción, Autorización para Cobrar Pensión, Autorización Gestión Documentos para Menores [Pasaporte, Visado y Acta], Declaraciones Juradas de Estado Civil, Declaración Jurada de No Ingreso, Compulsa de Documentos, Gobernadores Extranjeros, Parentesco, Institución Extranjera, Matrimonio, Licencia Dominicana, Exención Fiscal en la Aduana de RD, Nacionalidad, Inscripción Consular, Pasaporte, Estado Civil, Paternidad Documento de Identidad, Certificado de Sexo, Corrección de Nombre en el Pasaporte, Certificado de Visa, Corrección de la “Ñ” en el Pasaporte). q) El sistema Deberá constar con un módulo de Servicios Consulares de Notario Público, Actos Notariales. r) Deberá incluir la Impresión de Estampillas de Visado y Venta de Tarjeta de Turista. En ningún caso, deberán existir partes, componentes o rutinas exclusivas o propiedad del adjudicatario que pueda crear niveles de dependencia, que puedan impedir el libre mantenimiento del sistema por parte de los empleados del MIREX. El Adjudicatario Deberá suministrar al MIREX toda la documentación técnica relacionada con el sistema, con la finalidad de facilitar la capacidad de mejorar, adecuar y mantener la solución con total independencia. Bajo ninguna circunstancia, el sistema dependerá de piezas de software

¨embebida¨, que requieran el pago de licencias periódicas de terceros. Los Oferentes/Proponentes al momento de preparar sus propuestas Deberán considerar los siguientes puntos: 1. Suministro, Instalación y Puesta en funcionamiento del Software y Hardware requerido para realizar los trabajos de Captación consular objeto del presente proceso. En este punto Deberán detallar el funcionamiento del Software y el Plan de Trabajo a ser implementado para su puesta en funcionamiento. 2. El Oferente Deberá presentar conjuntamente con su Oferta Técnica una Memoria USB conteniendo una (01) Versión Demo del Software propuesto. 3. Entrenamiento del personal asignado por la Institución para darle seguimiento al proyecto de digitalización documental, a los fines de hacerlo controlable y sostenible a través del tiempo, por el personal de la institución.