Contract
CONTRATO ABIERTO PARA LA PRESTACIÓN DEL SERVICIO ADMINISTRADO DE ANÁLISIS DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN, QUE CELEBRAN, POR UNA PARTE, EL EJECUTIVO FEDERAL, POR CONDUCTO DEL INSTITUTO DEL FONDO NACIONAL PARA EL CONSUMO DE LOS TRABAJADORES, EN LO SUCESIVO “EL INSTITUTO FONACOT”, REPRESENTADO POR LA C. XXXXXX XXXXXX XXXXXX, EN SU CARÁCTER DE APODERADA LEGAL, Y POR LA OTRA, LAS EMPRESAS DENOMINADAS SECURE LABS, S.A. DE C.V., REPRESENTADA POR EL C. XXXXXX XXXXXXX XXXXXX XXXX, EN SU CARÁCTER DE REPRESENTANTE LEGAL, SILENT4BUSINESS, S.A. DE C.V., REPRESENTADA POR EL C. XXXXXXX XXXXXXX XXXXX, EN SU CARÁCTER DE REPRESENTANTE LEGAL Y SECURE NEXTGEN SYSTEMS, S.A. DE C.V., REPRESENTADA POR EL C. XXXXXXX XXXXXX XXXXXX, EN SU CARÁCTER DE REPRESENTANTE LEGAL, EN LO SUCESIVO “LOS PROVEEDORES”, A QUIENES DE MANERA CONJUNTA SE LES DENOMINARÁ “LAS PARTES”, AL TENOR DE LAS DECLARACIONES Y CLÁUSULAS SIGUIENTES:
DECLARACIONES
I. “EL INSTITUTO FONACOT” declara que:
I.1 Es un organismo público descentralizado de interés social, con personalidad jurídica y patrimonio propio, así como con autosuficiencia presupuestal y sectorizado en la Secretaría del Trabajo y Previsión Social, de conformidad con lo establecido en la Ley del Instituto del Fondo Nacional para el Consumo de los Trabajadores, publicada en el Diario Oficial de la Federación el 24 xx xxxxx del 2006.
I.2 De conformidad con lo dispuesto por escritura pública número 194,807 de fecha 27 de noviembre de 2023, otorgada ante la fe del Lic. Xxxxxx Xxxxxxxx Xxxxxxx, notario público número 121 de la Ciudad de México, documento que quedó debidamente inscrito en el Registro Público de Organismos Descentralizados, bajo el folio 82-7-29122023-120340, de conformidad con lo establecido por los artículos 24 y 25 de la Ley Federal de las Entidades Paraestatales y 40, 41, 45 y 46 de su Reglamento, suscribe el presente instrumento la C. Xxxxxx Xxxxxx Xxxxxx, en su cargo de Subdirectora General de Administración, con R.F.C. GAJJ830521BY9, es un servidor público adscrito a la misma que cuenta con facultades legales para celebrar el presente contrato, quien podrá ser sustituido en cualquier momento en su cargo o funciones, sin que por ello, sea necesario celebrar un convenio modificatorio.
I.3 De conformidad con el artículo 57 fracción IV del Estatuto Orgánico del Instituto del Fondo Nacional para el Consumo de los Trabajadores de fecha 16 de enero del 2024, suscribe el presente instrumento el C. Xxxxxxx Xxxx Xxxxxxxx, en su calidad de Subdirector General de Tecnologías de la Información y Comunicación con R.F.C. OIER8103266T3, facultado para administrar el cumplimiento de las obligaciones que deriven del objeto del presente convenio, quien podrá ser sustituido en cualquier momento en su cargo o funciones, bastando para tales efectos un comunicado por escrito y firmado por el servidor público facultado para ello, dirigido al representante legal de “LOS PROVEEDORES” para los efectos del presente convenio, encargado del cumplimiento de las obligaciones contraídas en el presente instrumento jurídico.
I.4 De acuerdo con el apartado VI, numeral 14 inciso b) de las Políticas, Bases y Lineamientos en materia de Adquisiciones, Arrendamientos y Servicios del Instituto FONACOT, suscribe el presente instrumento el C. Xxxxxxxx Xxxxxx Xxxxxxxxxx, Director de Recursos Materiales y Servicios Generales, R.F.C. ZEDF7412252J5, facultado para actuar en calidad de área contratante.
I.5 La adjudicación del presente contrato se realizó mediante el procedimiento de Licitación Pública Electrónica Nacional No. LA-14-P7R-014P7R001-N-31-2024, realizado al amparo de lo establecido en los artículos 134 de la Constitución Política de los Estados Unidos Mexicanos y en los artículos 26 fracción I, 26 Bis, fracción II, 27, 28, fracción I, 29, 32 segundo párrafo, 36 tercer párrafo, 45 y 47 de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, “LAASSP”, y en los artículos 39, 42, 52, 81 y 85 de su Reglamento.
I.6 “EL INSTITUTO FONACOT” cuenta con suficiencia presupuestaria otorgada mediante oficio número DICP-SP-2024-006, de fecha 12 de enero de 2024, emitido por la Dirección de Integración y Control Presupuestal.
I.7 Para efectos fiscales las Autoridades Hacendarias le han asignado el Registro Federal de Contribuyentes No. IFN060425C53.
I.8 Tiene establecido su domicilio en Xxxxxxx Xxxxxxxxxxx Xxx xxxxxx 000, Xxxxxxx Xxxx Xxx, Xxxxxxxxxxx Xxxxxxxxxxx Xxxxxxxxxx, Xxxxxx Postal. 06760, Ciudad de México, mismo que señala para los fines y efectos legales del presente contrato.
II. DECLARA SECURE LABS, S.A. DE C.V. BAJO PROTESTA DE DECIR VERDAD, A TRAVÉS DE SUS REPRESENTANTES QUE:
II.1 Es una persona moral legalmente constituida mediante escritura pública número 122,833, de fecha 23 de enero de 2020, otorgada ante la fe del Lic. Xxxxx Xxxxx Xxxxxxxxx xxx Xxxxxxxx, notario público número 63 de la Ciudad de México, inscrita en el Registro Público de la Propiedad y del Comercio, bajo el folio mercantil número N-2020018436, de fecha 23 xx xxxxx de 2020, denominada SECURE LABS, S.A. DE C.V., cuyo objeto social es, entre otros, Elaboración, compra, venta, distribución, comercialización, implantación, desarrollo, ejecución y en general llevar acabo todo tipo de actividades relacionadas con programas de computación, sistemas de información, servicios tecnológicos de seguridad, sistemas de animación digital, implantación de lenguajes y redes para computadoras y cualquier medio electrónico, servicios de consultoría.
II.2 El C. Xxxxxx Xxxxxxx Xxxxxx Xxxx, en su carácter de representante legal, cuenta con facultades suficientes para suscribir el presente contrato y obligar a su representada, como lo acredita con la escritura pública número 152,492, de fecha 15 de diciembre de 2023, otorgada ante la fe del Lic. Xxxx Xxxxx Xxxxxxxxx Xxxx, notario público número 217 de la Ciudad de México, instrumento que bajo protesta de decir verdad manifiesta no le ha sido limitado ni revocado en forma alguna.
II.3 El C. Xxxxxxxxx Xxxxxx Xxxxx, en su carácter de representante legal, cuenta con facultades suficientes para suscribir el presente contrato y obligar a su representada, como lo acredita con la escritura pública número, 152,492, de fecha 15 de diciembre de 2023, otorgada ante la fe del Lic. Xxxx Xxxxx Xxxxxxxxx Xxxx, notario público número 217 de la Ciudad de México instrumento que bajo protesta de decir verdad manifiesta no le ha sido limitado ni revocado en forma alguna.
II.4 Reúne las condiciones técnicas, jurídicas y económicas, y cuenta con la organización y elementos necesarios para su cumplimiento.
II.5 Cuenta con su Registro Federal de Contribuyentes SLA2001239H9.
II.6 Acredita el cumplimiento de sus obligaciones fiscales en términos de lo dispuesto en el artículo 32-D del Código Fiscal de la Federación vigente, incluyendo las de Aportaciones Patronales y Entero de Descuentos, ante el Instituto del Fondo Nacional de la Vivienda para los Trabajadores y las de Seguridad Social ante el Instituto Mexicano del Seguro Social, conforme a las Opiniones de Cumplimiento de Obligaciones Fiscales emitidas por el SAT, INFONAVIT e IMSS, respectivamente.
II.7 Tiene establecido su domicilio en Xxxxx Xxx Xxxxxxx Xx. 0, Xxxxxxxxxxxx X, Xxxxxxx Xxx Xxxxx, X.X. 01000, Demarcación Territorial Xxxxxx Xxxxxxx, Ciudad de México, mismo que señala para los fines y efectos legales del presente contrato.
III. DECLARA SILENT4BUSINESS, S.A. DE C.V., BAJO PROTESTA DE DECIR VERDAD, A TRAVÉS DE SU REPRESENTANTE QUE:
III.1 Es una persona moral legalmente constituida mediante, la escritura pública número 61,579, de fecha 25 de julio de 2016, otorgada ante la fe del Lic. Xxxxxxxxx Xxxxxx Xxxxx, notario público número 246 de la Ciudad de México, en el protocolo de la Notaria Número 212, por convenio de sociedad, con su titular el Lic. Xxxxxxxxx X. Xxxxxx Xxxxx, cuyo primer testimonio quedó inscrito en el Registro Público de Comercio de la Ciudad de México, bajo el folio real número 561326-1, de fecha 08 xx xxxxxx de 2016 denominada SILENT4BUSINESS, S.A. DE C.V., cuyo objeto social es entre otros, la comercialización de servicios de información en el área de investigación técnica y científica, practicar toda clase de investigaciones y estudios sobre la potencialidad y tendencias xx xxxxxxx, rendir toda clase de asesoría y servicios técnicos y especializados en el análisis, elaboración, mantenimiento, actualización y procedimiento electrónico de datos y estadísticas médicas o científicas y prestar servicios de consultoría en promoción de ventas, organización de seminarios y cursos en mercadotecnia para toda clase de sociedades o empresas de sector público o privado, prestar servicios técnicos o de asesoría relacionados con la Informática.
III.2 El C. Xxxxxxx Xxxxxxx Xxxxx, en su carácter de representante legal, cuenta con poder suficiente para suscribir el presente contrato, de conformidad con lo establecido en la escritura pública número 2,047, de fecha 29 de noviembre de 2023, otorgada ante la fe del licenciado Xxxxxxx Xxxxxxxxx Xxxxx, notario público número 184 del Estado de México, instrumento que bajo protesta de decir verdad manifiesta no le ha sido limitado ni revocado en forma alguna.
III.3 Reúne las condiciones técnicas, jurídicas y económicas, y cuenta con la organización y elementos necesarios para su cumplimiento.
III.4 Cuenta con su Registro Federal de Contribuyentes SIL160727HV7.
III.5 Acredita el cumplimiento de sus obligaciones fiscales en términos de lo dispuesto en el artículo 32-D del Código Fiscal de la Federación vigente, incluyendo las de Aportaciones Patronales y Entero de Descuentos, ante el Instituto del Fondo Nacional de la Vivienda para los Trabajadores y las de Seguridad Social ante el Instituto Mexicano del Seguro Social, conforme a las Opiniones de Cumplimiento de Obligaciones Fiscales emitidas por el SAT, INFONAVIT e IMSS, respectivamente.
III.6 Tiene establecido su domicilio en Xxxxxxx Xxxxxxxxxxx Xxx Xx. 0000 Xxxx 0, Xxxxxxx Xxxxxxx Xxx Xxxxx, X.X. 01090, Demarcación Territorial Xxxxxx Xxxxxxx, Ciudad de México, mismo que señala para los fines y efectos legales del presente contrato.
IV. DECLARA SECURE NEXTGEN SYSTEMS, S.A. DE C.V., BAJO PROTESTA DE DECIR VERDAD, A TRAVÉS DE SU REPRESENTANTE QUE:
IV. 1 Es una persona moral legalmente constituida mediante, la escritura pública número 168,180, de fecha 13 de septiembre de 2018, otorgada ante la fe del Lic. Xxxxxxxx Xxxxxxx Xxxxx, notario público número 42 de la Ciudad de México, cuyo primer testimonio quedó inscrito en el Registro Público de Comercio de la Ciudad de México, bajo el folio real número N-201800261814, de fecha 06 de noviembre de 2018 denominada SECURE NEXTGEN SYSTEMS, S.A. DE C.V., cuyo objeto social es entre otros, elaboración, compra, venta, distribución, comercialización, implantación, desarrollo, ejecución y en general llevar acabo todo tipo de actividades relacionadas con programas de computación, sistemas de información, servicios tecnológicos de seguridad, sistemas de animación digital, implantación de lenguajes y redes para computadoras y cualquier medio electrónico, servicios de consultoría.
IV.2 El C. Xxxxxxx Xxxxxx Xxxxxx, en su carácter de representante legal, cuenta con poder suficiente para suscribir el presente contrato, de conformidad con lo establecido en la escritura pública No. 152,483, de fecha 15 de diciembre de 2023, otorgada ante la fe del Lic. Xxxx Xxxxx Xxxxxxxxx Xxxx, notario público número 217 de la Ciudad de México, instrumento que bajo protesta de decir verdad manifiesta no le ha sido limitado ni revocado en forma alguna.
IV.3 Reúne las condiciones técnicas, jurídicas y económicas, y cuenta con la organización y elementos necesarios para su cumplimiento.
IV.4 Cuenta con su Registro Federal de Contribuyentes SNS180913TV2.
IV.5 Acredita el cumplimiento de sus obligaciones fiscales en términos de lo dispuesto en el artículo 32-D del Código Fiscal de la Federación vigente, incluyendo las de Aportaciones Patronales y Entero de Descuentos, ante el Instituto del Fondo Nacional de la Vivienda para los Trabajadores y las de Seguridad Social ante el Instituto Mexicano del Seguro Social, conforme a las Opiniones de Cumplimiento de Obligaciones Fiscales emitidas por el SAT, INFONAVIT e IMSS, respectivamente.
IV.6 Tiene establecido su domicilio en Xxxxx Xxx Xxxxxxx Xx. 0, Xxxxxxxxxxxx X, Xxxxxxx Xxx Xxxxx, X.X. 01000, Demarcación Territorial Xxxxxx Xxxxxxx, Ciudad de México, mismo que señala para los fines y efectos legales del presente contrato.
V. DECLARAN “LOS PROVEEDORES” BAJO PROTESTA DE DECIR VERDAD, A TRAVÉS DE SUS REPRESENTANTES QUE:
V.1. Como empresas legalmente establecidas, cuentan con los recursos humanos, financieros, materiales y técnicos necesarios y suficientes para proporcionar los servicios materia de este contrato.
V.2. Sus representadas no se encuentran en ninguno de los supuestos establecidos en las fracciones IX y X del artículo 49 de la Ley General de Responsabilidades Administrativas, así como tampoco se encuentran en alguno de los supuestos de los artículos 50 y 60 antepenúltimo párrafo de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector
Público.
En caso de que alguna de las personas físicas que forman parte de “LOS PROVEEDORES” se encuentre en los supuestos señalados por los citados ordenamientos legales, el contrato será nulo previa determinación de la autoridad competente de conformidad con lo establecido en el artículo 15 de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.
V.3. El 11 xx xxxxx de 2024, celebraron un Convenio de Participación Conjunta, constituyéndose de forma conjunta y mancomunada como responsables solidarios respecto de todas y cada una de las obligaciones contraídas con “EL INSTITUTO FONACOT”; convenio que se agrega al presente contrato como Anexo I, el cual formará parte integrante del mismo.
VI. De “LAS PARTES”:
VI.1 Que es su voluntad celebrar el presente contrato y sujetarse a sus términos y condiciones, por lo que de común acuerdo se obligan de conformidad con las siguientes:
CLÁUSULAS
PRIMERA. OBJETO DEL CONTRATO.
“LOS PROVEEDORES” aceptan y se obligan a proporcionar a “EL INSTITUTO FONACOT” la prestación del Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración en los términos y condiciones establecidos en la convocatoria, este contrato y la Propuesta Técnica, que como Anexo II se agrega al presente contrato y formara parte integrante del mismo.
SEGUNDA. DE LOS MONTOS Y PRECIOS
“EL INSTITUTO FONACOT” pagará a “LOS PROVEEDORES” como contraprestación por los servicios objeto de este contrato, la cantidad mínima de $5,414,400.00 (Cinco millones cuatrocientos catorce mil cuatrocientos pesos, 00/100 M.N.) más el Impuesto al Valor Agregado y una cantidad máxima de $10,023,200.00 (Diez millones veintitrés mil doscientos pesos, 00/100 M.N.) más el Impuesto al Valor Agregado, de conformidad con la Propuesta Económica, que como Xxxxx XXX se agrega al presente contrato y formará parte integrante del mismo.
Los precios unitarios del presente contrato se detallan en la Propuesta Económica, que como
Xxxxx XXX, se agrega al presente contrato y formará parte integrante del mismo.
El precio unitario es considerado fijo y en moneda nacional (pesos) hasta que concluya la relación contractual que se formaliza, incluyendo todos los conceptos y costos involucrados en la prestación del Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración, por lo que “LOS PROVEEDORES” no podrán agregar ningún costo extra y los precios serán inalterables durante la vigencia del presente contrato.
TERCERA. ANTICIPO.
Para el presente contrato “EL INSTITUTO FONACOT” no otorgará anticipo a “LOS PROVEEDORES”
CUARTA. FORMA Y LUGAR DE PAGO
“EL INSTITUTO FONACOT” efectuará el pago a través de transferencia electrónica en pesos de los Estados Unidos Mexicanos, a mes vencido, conforme a los servicios efectivamente prestados y a entera satisfacción del administrador del contrato y de acuerdo con lo establecido en el Anexo II que forma parte integrante de este contrato.
El pago se realizará en un plazo máximo de 20 (veinte) días naturales siguientes, contados a partir de la fecha en que sea entregado y aceptado el Comprobante Fiscal Digital por Internet (CFDI) o factura electrónica a “EL INSTITUTO FONACOT”, con la aprobación (firma) del Administrador del presente contrato.
El cómputo del plazo para realizar el pago se contabilizará a partir del día hábil siguiente de la aceptación del CFDI o factura electrónica, y ésta reúna los requisitos fiscales que establece la legislación en la materia, el desglose de los servicios prestados, los precios unitarios, se verifique su autenticidad, no existan aclaraciones al importe y vaya acompañada con la documentación soporte de la prestación de los servicios facturados.
De conformidad con el artículo 90, del Reglamento de la “LAASSP”, en caso de que el CFDI o factura electrónica entregado presente errores, el Administrador del presente contrato o a quien éste designe por escrito, dentro de los 3 (tres) días hábiles siguientes de su recepción, indicará a “LOS PROVEEDORES” las deficiencias que deberá corregir; por lo que, el procedimiento de pago reiniciará en el momento en que “LOS PROVEEDORES” presenten el CFDI y/o documentos soporte corregidos y sean aceptados.
El tiempo que “LOS PROVEEDORES” utilicen para la corrección del CFDI y/o documentación soporte entregada, no se computará para efectos de pago, de acuerdo con lo establecido en el artículo 51 de la “LAASSP”.
Los CFDI’s (facturas) deberán contar con el visto bueno del administrador del contrato y con los requisitos fiscales vigentes señalados en los artículos 29 y 29-A del Código Fiscal de la Federación Aplicable en los Estados Unidos Mexicanos, por lo que deberán:
A. Presentar comprobantes fiscales digitales por Internet (CFDI), en archivo XML y la representación de dichos comprobantes en documento impreso en papel, que reúnan los requisitos fiscales respectivos, en la que indique el servicio prestado y el número de contrato que lo ampara. Dichos comprobantes serán enviados y entregados de conformidad con lo solicitado en el Anexo II, mismos que deberán de ser entregados en las oficinas centrales del Instituto FONACOT, ubicadas en Av. Xxxxxxxxxxx Xxx Xx. 000, 0x Xxxx, Xxx. Roma Sur, C.P. 06760, Demarcación Territorial Xxxxxxxxxx, Ciudad de México, en la Subdirección General de Tecnologías de la Información y Comunicación, o ser enviada al correo electrónico: xxxxxxx.xxxx@xxxxxxx.xxx.xx y xxxxxxx.xxxx@xxxxxxx.xxx.xx en un horario de labores de las 9:00 a las 15:00 horas de lunes a viernes.
B. Los comprobantes fiscales deben emitirse por los actos o actividades que se realicen, dichos comprobantes deben de cumplir con las especificaciones que determine el Servicio de Administración Tributaria (SAT), considerando el Anexo 20 “Guía de llenado de los comprobantes fiscales digitales por Internet”.
El CFDI o factura electrónica se deberá presentar desglosando el impuesto cuando aplique.
“LOS PROVEEDORES” manifiestan su conformidad que, hasta en tanto no se cumpla con la verificación, supervisión y aceptación de la prestación de los servicios, no se tendrán como recibidos o aceptados por el Administrador del presente contrato.
Para efectos de trámite de pago, “LOS PROVEEDORES” deberá ser titular de una cuenta bancaria, en la que se efectuará la transferencia electrónica de pago, respecto de la cual deberá proporcionar toda la información y documentación que le sea requerida por “EL INSTITUTO FONACOT”, para efectos del pago.
“LOS PROVEEDORES” deberán presentar la información y documentación que “EL INSTITUTO FONACOT” le solicite para el trámite de pago, atendiendo a las disposiciones legales e internas de “EL INSTITUTO FONACOT”.
El pago de la prestación de los servicios recibidos, quedará condicionado proporcionalmente al pago que “LOS PROVEEDORES” deban efectuar por concepto xx xxxxx convencionales y, en su caso, deductivas.
Para el caso que se presenten pagos en exceso, se estará a lo dispuesto por el artículo 51, párrafo tercero, de la “LAASSP”.
QUINTA. LUGAR, PLAZOS Y CONDICIONES DE LA PRESTACIÓN DE LOS SERVICIOS
La prestación de los servicios, se realizará conforme a los plazos, condiciones y entregables establecidos por “EL INSTITUTO FONACOT” en el Anexo II del presente contrato.
Los servicios serán prestados en los domicilios señalados en el Anexo II del presente contrato y en las fechas establecidas en el mismo.
En los casos que derivado de la verificación se detecten defectos o discrepancias en la prestación del servicio o incumplimiento en las especificaciones técnicas, “LOS PROVEEDORES” contarán con un plazo de 5 días hábiles para la reposición o corrección, contados a partir del momento de la notificación por correo electrónico y/o escrito, sin costo adicional para “EL INSTITUTO FONACOT”.
SEXTA. VIGENCIA
“LAS PARTES” convienen en que la vigencia del presente contrato será del 01 xx xxxx de 2024 al 31 de diciembre de 2024.
SÉPTIMA. MODIFICACIONES DEL CONTRATO.
“LAS PARTES” están de acuerdo que “EL INSTITUTO FONACOT” por razones fundadas y explícitas podrá ampliar el monto o la cantidad de los servicios, de conformidad con el artículo 52 de la “LAASSP”, siempre y cuando las modificaciones no rebasen en su conjunto el 20% (veinte por ciento) de los establecidos originalmente, el precio unitario sea igual al originalmente pactado y el contrato esté vigente. La modificación se formalizará mediante la celebración de un Convenio Modificatorio.
“EL INSTITUTO FONACOT”, podrá ampliar la vigencia del presente instrumento, siempre y cuando, no implique incremento del monto contratado o de la cantidad del servicio, siendo necesario que se obtenga el previo consentimiento de “LOS PROVEEDORES”.
De presentarse caso fortuito o fuerza mayor, o por causas atribuibles a “EL INSTITUTO FONACOT”, se podrá modificar el plazo del presente instrumento jurídico, debiendo acreditar dichos supuestos con las constancias respectivas. La modificación del plazo por caso fortuito o fuerza mayor podrá ser solicitada por cualquiera de “LAS PARTES”.
En los supuestos previstos en los dos párrafos anteriores, no procederá la aplicación xx xxxxx convencionales por atraso.
Cualquier modificación al presente contrato deberá formalizarse por escrito, y deberá suscribirse por el servidor público de “EL INSTITUTO FONACOT” que lo haya hecho, o quien lo sustituya o esté facultado para ello, para lo cual “LOS PROVEEDORES” realizarán el ajuste respectivo de la garantía de cumplimiento, en términos del artículo 91, último párrafo del Reglamento de la LAASSP, salvo que por disposición legal se encuentre exceptuado de presentar garantía de cumplimiento.
“EL INSTITUTO FONACOT” se abstendrá de hacer modificaciones que se refieran a precios, anticipos, pagos progresivos, especificaciones y, en general, cualquier cambio que implique otorgar condiciones más ventajosas a un proveedor comparadas con las establecidas originalmente.
OCTAVA. GARANTÍAS DE LOS SERVICIOS
Para la prestación de los servicios materia del presente contrato, no se requiere que “LOS PROVEEDORES” presente una garantía por la calidad de los servicios contratados.
NOVENA. GARANTÍA(S).
A) CUMPLIMIENTO DEL CONTRATO.
Conforme a los artículos 48 fracción II, y 49 fracción II, de la “LAASSP”, 85 fracción III, y 103 de su Reglamento; 166 de la Ley de Instituciones de Seguros y de Fianzas, “LOS PROVEEDORES” se obligan a constituir una garantía divisible, la cual sólo se hará efectiva en la proporción correspondiente al incumplimiento de la obligación principal, mediante fianza expedida por compañía afianzadora mexicana autorizada por la Comisión Nacional de Seguros y de Fianzas, a favor del Instituto del Fondo Nacional para el Consumo de los Trabajadores, por un importe equivalente al 10 % del monto máximo del contrato, sin incluir el IVA.
Dicha fianza deberá ser entregada a “EL INSTITUTO FONACOT”, a más tardar dentro de los 10 días naturales posteriores a la firma del presente contrato.
Si las disposiciones jurídicas aplicables lo permitan, la entrega de la garantía de cumplimiento se realice de manera electrónica.
En caso de “LOS PROVEEDORES” incumpla con la entrega de la garantía en el plazo establecido, “EL INSTITUTO FONACOT” podrá rescindir el contrato y remitir el asunto al Órgano Interno de Control para que proceda en el ámbito de sus facultades.
La garantía de cumplimiento no será considerada como una limitación de la responsabilidad de “LOS PROVEEDORES”, derivada de sus obligaciones y garantías estipuladas en el presente instrumento jurídico, y no impedirá que “EL INSTITUTO FONACOT” reclame la indemnización por cualquier incumplimiento que pueda exceder el valor de la garantía de cumplimiento.
En caso de incremento al monto del presente instrumento jurídico o modificación al plazo, “LOS PROVEEDORES” se obliga a entregar a “EL INSTITUTO FONACOT” dentro de los 10 (diez) días naturales siguientes a la formalización del mismo, de conformidad con el último párrafo del artículo 91 del Reglamento de la “LAASSP”, los documentos modificatorios o endosos correspondientes, debiendo contener en el documento la estipulación de que se otorga de manera conjunta, solidaria e inseparable de la garantía otorgada inicialmente.
Cuando la contratación abarque más de un ejercicio fiscal, la garantía de cumplimiento del contrato, podrá ser por el porcentaje que corresponda del monto total por erogar en el ejercicio fiscal de que se trate, y deberá ser renovada por “LOS PROVEEDORES” cada ejercicio fiscal por el monto que se ejercerá en el mismo, la cual deberá presentarse a “EL INSTITUTO FONACOT” a más tardar dentro de los primeros diez días naturales del ejercicio fiscal que corresponda.
Una vez cumplidas las obligaciones a satisfacción, el servidor público facultado por “EL INSTITUTO FONACOT” procederá inmediatamente a extender la constancia de cumplimiento de las obligaciones contractuales y dará inicio a los trámites para la cancelación de la garantía de cumplimiento del contrato, lo que comunicará a “LOS PROVEEDORES”.
DÉCIMA. OBLIGACIONES DE “LOS PROVEEDORES”
a) Prestar los servicios en las fechas o plazos y lugares específicos conforme a lo pactado en el presente contrato y anexos respectivos.
b) Cumplir con las especificaciones técnicas, de calidad y demás condiciones establecidas en el presente contrato y sus respectivos anexos.
c) Xxxxxx su responsabilidad ante cualquier daño que llegue a ocasionar a “EL INSTITUTO FONACOT” o a terceros con motivo de la ejecución y cumplimiento del presente contrato.
d) Proporcionar la información que le sea requerida por la Secretaría de la Función Pública y el Órgano Interno de Control, de conformidad con el artículo 107 del Reglamento de la “LAASSP”.
DÉCIMA PRIMERA. OBLIGACIONES DE “EL INSTITUTO FONACOT”
a) Otorgar todas las facilidades necesarias, a efecto de que “LOS PROVEEDORES” lleven a cabo en los términos convenidos en la prestación de los servicios objeto del contrato.
b) Realizar el pago correspondiente en tiempo y forma.
c) Extender a “LOS PROVEEDORES”, por conducto del servidor público facultado, la constancia de cumplimiento de obligaciones contractuales inmediatamente que se cumplan éstas a satisfacción expresa de dicho servidor público para que se dé trámite a la cancelación de la garantía de cumplimiento del presente contrato.
DÉCIMA SEGUNDA. ADMINISTRACIÓN, VERIFICACIÓN, SUPERVISIÓN Y ACEPTACIÓN DE LOS SERVICIOS
“EL INSTITUTO FONACOT” designa como Administrador del presente contrato al C. Xxxxxxx Xxxx Xxxxxxxx, en su calidad de Subdirector General de Tecnologías de la Información y Comunicación con R.F.C. OIER8103266T3, quien dará seguimiento y verificará el cumplimiento de los derechos y obligaciones establecidos en este instrumento.
Los servicios se tendrán por recibidos previa revisión del administrador del presente contrato, la cual consistirá en la verificación del cumplimiento de las especificaciones establecidas y en su caso en los anexos respectivos, así como las contenidas en la propuesta técnica.
“EL INSTITUTO FONACOT”, a través del administrador del contrato, rechazará los servicios, que no cumplan las especificaciones establecidas en este contrato y en sus Anexos, obligándose “LOS PROVEEDORES” en este supuesto a realizarlos nuevamente bajo su responsabilidad y sin costo adicional para “EL INSTITUTO FONACOT”, sin perjuicio de la aplicación de las penas convencionales o deducciones al cobro correspondientes.
“EL INSTITUTO FONACOT”, a través del administrador del contrato, podrá aceptar los servicios que incumplan de manera parcial o deficiente las especificaciones establecidas en este contrato y en los anexos respectivos, sin perjuicio de la aplicación de las deducciones al pago que procedan, y reposición del servicio, cuando la naturaleza propia de éstos lo permita.
DÉCIMA TERCERA. DEDUCCIONES
“EL INSTITUTO FONACOT” aplicará deducciones al pago por el incumplimiento parcial o deficiente, en que incurra “LOS PROVEEDORES” conforme a lo estipulado en las cláusulas del presente contrato y su Anexo II, las cuales se calcularán sobre el monto de los servicios, proporcionados en forma parcial o deficiente.
Las cantidades a deducir se aplicarán en el CFDI o factura electrónica que “LOS PROVEEDORES”
presenten para su cobro, en el pago que se encuentre en trámite o bien en el siguiente pago.
De no existir pagos pendientes, se requerirá a “LOS PROVEEDORES” que realice el pago de la deductiva a favor de “EL INSTITUTO FONACOT”. En caso de negativa se procederá a hacer efectiva la garantía de cumplimiento del contrato.
Las deducciones económicas se aplicarán sobre la cantidad indicada sin incluir impuestos.
El cálculo de las deducciones correspondientes las realizará el administrador del contrato de “EL INSTITUTO FONACOT”, cuyá notificación se realizará por escrito o vía correo electrónico, dentro de los días posteriores al incumplimiento parcial o deficiente.
DÉCIMA CUARTA. PENAS CONVENCIONALES
En caso que “LOS PROVEEDORES” incurran en atraso en el cumplimiento conforme a lo pactado para la prestación de los servicios, objeto del presente contrato, conforme a lo establecido en el Anexo II.
“EL INSTITUTO FONACOT” a petición del administrador del contrato y por conducto de la Dirección de Recursos Materiales y Servicios Generales aplicará la pena convencional por atraso sobre la parte de los servicios no prestados, de conformidad con este instrumento legal y sus respectivos anexos.
La Dirección de Recursos Materiales y Servicios Generales, notificará a “LOS PROVEEDORES” por escrito o vía correo electrónico el cálculo de la pena convencional, dentro de los días posteriores al atraso en el cumplimiento de la obligación de que se trate.
El pago de los servicios quedará condicionado, proporcionalmente, al pago que el proveedor deba efectuar por concepto xx xxxxx convencionales por atraso; en el supuesto que el contrato
sea rescindido en términos de lo previsto en la CLÁUSULA VIGÉSIMA CUARTA DE RESCISIÓN, no procederá el cobro de dichas penas ni la contabilización de las mismas al hacer efectiva la garantía de cumplimiento del contrato.
El pago de la pena deberá efectuarse a través de un comprobante de egreso (CFDI de Egreso) conocido comúnmente como Nota de Crédito, en el momento en el que emita el comprobante de Ingreso (Factura o CFDI de Ingreso) por concepto de los servicios, en términos de las disposiciones jurídicas aplicables.
El importe de la pena convencional, no podrá exceder el equivalente al monto total de la garantía de cumplimiento del contrato, y en el caso de no haberse requerido esta garantía, no deberá exceder del 20% (veinte por ciento) del monto total del contrato.
Cuando “LOS PROVEEDORES” queden exceptuados de la presentación de la garantía de cumplimiento, en los supuestos previsto en la “LAASSP”, el monto máximo de las penas convencionales por atraso que se puede aplicar, será del 20% (veinte por ciento) del monto de los servicios prestados fuera de la fecha convenida, de conformidad con lo establecido en el tercer párrafo del artículo 96 del Reglamento de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.
DÉCIMA QUINTA. LICENCIAS, AUTORIZACIONES Y PERMISOS
“LOS PROVEEDORES” se obligan a observar y mantener vigentes las licencias, autorizaciones, permisos o registros requeridos para el cumplimiento de sus obligaciones.
DÉCIMA SEXTA. PÓLIZA DE RESPONSABILIDAD CIVIL
Para la prestación de los servicios materia del presente contrato, no se requiere que “LOS PROVEEDORES” contraten una póliza de seguro por responsabilidad civil.
DÉCIMA SÉPTIMA. TRANSPORTE
“LOS PROVEEDORES” se obligan bajo su xxxxx y riesgo, a transportar los bienes e insumos necesarios para la prestación del servicio, desde su lugar de origen, hasta las instalaciones señaladas en el Anexo II del presente contrato.
DÉCIMA OCTAVA. IMPUESTOS Y DERECHOS
Los impuestos, derechos y gastos que procedan con motivo de la prestación de los servicios, objeto del presente contrato, serán pagados por “LOS PROVEEDORES”, mismos que no serán repercutidos a “EL INSTITUTO FONACOT”.
“EL INSTITUTO FONACOT” sólo cubrirá, cuando aplique, lo correspondiente al Impuesto al Valor Agregado (IVA), en los términos de la normatividad aplicable y de conformidad con las disposiciones fiscales vigentes.
DÉCIMA NOVENA. PROHIBICIÓN DE CESIÓN DE DERECHOS Y OBLIGACIONES
“LOS PROVEEDORES” no podrán ceder total o parcialmente los derechos y obligaciones derivados del presente contrato, a favor de cualquier otra persona física o moral, con excepción de los derechos de cobro, en cuyo caso se deberá contar con la conformidad previa y por escrito de “EL INSTITUTO FONACOT”.
VIGÉSIMA. DERECHOS DE AUTOR, PATENTES Y/O MARCAS
“LOS PROVEEDORES” serán responsables en caso de infringir patentes, marcas o viole otros registros de derechos de propiedad industrial a nivel nacional e internacional, con motivo del cumplimiento de las obligaciones del presente contrato, por lo que se obliga a responder personal e ilimitadamente de los daños y perjuicios que pudiera causar a “EL INSTITUTO FONACOT” o a terceros.
De presentarse alguna reclamación en contra de “EL INSTITUTO FONACOT”, por cualquiera de las causas antes mencionadas, “LOS PROVEEDORES”, se obligan a salvaguardar los derechos e intereses de “EL INSTITUTO FONACOT” de cualquier controversia, liberándola de toda responsabilidad de carácter civil, penal, mercantil, fiscal o de cualquier otra índole, sacándola en paz y a salvo.
En caso de que “EL INSTITUTO FONACOT” tuviese que erogar recursos por cualquiera de estos conceptos, “LOS PROVEEDORES” se obligan a reembolsar de manera inmediata los recursos erogados por aquella.
VIGÉSIMA PRIMERA. CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS PERSONALES.
"LAS PARTES" acuerdan que la información que se intercambie de conformidad con las disposiciones del presente instrumento, se tratarán de manera confidencial, siendo de uso exclusivo para la consecución del objeto del presente contrato y no podrá difundirse a terceros de conformidad con lo establecido en las Leyes General y Federal, respectivamente, de Transparencia y Acceso a la Información Pública, Ley General de Protección de Datos Personales en posesión de Sujetos Obligados, y demás legislación aplicable.
Para el tratamiento de los datos personales que “LAS PARTES” recaben con motivo de la celebración del presente contrato, deberá de realizarse con base en lo previsto en los Avisos de Privacidad respectivos.
Por tal motivo, “LOS PROVEEDORES” asumen cualquier responsabilidad que se derive del incumplimiento de su parte, o de sus empleados, a las obligaciones de confidencialidad descritas en el presente contrato.
Asimismo “LOS PROVEEDORES” deberán observar lo establecido en el Anexo aplicable a la Confidencialidad de la información del presente Contrato.
VIGÉSIMA SEGUNDA. SUSPENSIÓN TEMPORAL DE LA PRESTACIÓN DE LOS SERVICIOS.
Con fundamento en el artículo 55 Bis de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público y 102, fracción II, de su Reglamento, “EL INSTITUTO FONACOT” en el supuesto de caso fortuito o de fuerza mayor o por causas que le resulten imputables, podrá suspender la prestación de los servicios, de manera temporal, quedando obligado a pagar a “LOS PROVEEDORES”, aquellos servicios que hubiesen sido efectivamente prestados, así como, al pago de gastos no recuperables previa solicitud y acreditamiento.
Una vez que hayan desaparecido las causas que motivaron la suspensión, el contrato podrá continuar produciendo todos sus efectos legales, si “EL INSTITUTO FONACOT” así lo determina; y en caso que subsistan los supuestos que dieron origen a la suspensión, se podrá iniciar la terminación anticipada del contrato, conforme lo dispuesto en la cláusula siguiente.
VIGÉSIMA TERCERA. TERMINACIÓN ANTICIPADA DEL CONTRATO
“EL INSTITUTO FONACOT” cuando concurran razones de interés general, o bien, cuando por causas justificadas se extinga la necesidad de requerir los servicios originalmente contratados y se demuestre que de continuar con el cumplimiento de las obligaciones pactadas, se ocasionaría algún daño o perjuicio a “EL INSTITUTO FONACOT”, o se determine la nulidad total o parcial de los actos que dieron origen al presente contrato, con motivo de la resolución de una inconformidad o intervención de oficio, emitida por la Secretaría de la Función Pública, podrá dar por terminado anticipadamente el presente contrato sin responsabilidad alguna para “EL INSTITUTO FONACOT”, ello con independencia de lo establecido en la cláusula que antecede.
Cuando “EL INSTITUTO FONACOT” determine dar por terminado anticipadamente el contrato, lo notificará a “LOS PROVEEDORES” hasta con 30 (treinta) días naturales anteriores al hecho, debiendo sustentarlo en un dictamen fundado y motivado, en el que, se precisarán las razones o causas que dieron origen a la misma y pagará a “LOS PROVEEDORES” la parte proporcional de los servicios prestados, así como los gastos no recuperables en que haya incurrido, previa solicitud por escrito, siempre que éstos sean razonables, estén debidamente comprobados y se relacionen directamente con el presente contrato, limitándose según corresponda a los conceptos establecidos en la fracción I, del artículo 102 del Reglamento de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.
VIGÉSIMA CUARTA. RESCISIÓN
“EL INSTITUTO FONACOT” podrá iniciar en cualquier momento el procedimiento de rescisión, cuando “LOS PROVEEDORES” incurran en alguna de las siguientes causales:
a) Contravenir los términos pactados para la prestación de los servicios, establecidos en el presente contrato.
b) Transferir en todo o en parte las obligaciones que deriven del presente contrato a un tercero ajeno a la relación contractual.
c) Ceder los derechos de cobro derivados del contrato, sin contar con la conformidad previa y por escrito de “EL INSTITUTO FONACOT”.
d) Suspender total o parcialmente y sin causa justificada la prestación de los servicios del presente contrato.
e) No realizar la prestación de los servicios en tiempo y forma conforme a lo establecido en el presente contrato y sus respectivos anexos.
f) No proporcionar a los Órganos de Fiscalización, la información que le sea requerida con motivo de las auditorías, visitas e inspecciones que realicen.
g) Ser declarado en concurso mercantil, o por cualquier otra causa distinta o análoga que afecte su patrimonio.
h) En caso de que compruebe la falsedad de alguna manifestación, información o documentación proporcionada para efecto del presente contrato;
i) No entregar dentro de los 10 (diez) días naturales siguientes a la fecha de firma del presente contrato, la garantía de cumplimiento del mismo.
j) En caso de que la suma de las penas convencionales o las deducciones al pago, igualan el monto total de la garantía de cumplimiento del contrato y/o alcanzan el 20% (veinte por ciento) del monto total de este contrato cuando no se haya requerido la garantía de cumplimiento;
k) Divulgar, transferir o utilizar la información que conozca en el desarrollo del cumplimiento del objeto del presente contrato, sin contar con la autorización de “EL
INSTITUTO FONACOT” en los términos de lo dispuesto en la CLÁUSULA VIGÉSIMA PRIMERA DE CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS PERSONALES del
presente instrumento jurídico;
l) Impedir el desempeño normal de labores de “EL INSTITUTO FONACOT”;
m)Incumplir cualquier obligación distinta de las anteriores y derivadas del presente contrato.
Para el caso de optar por la rescisión del contrato, “EL INSTITUTO FONACOT” comunicará por escrito a “LOS PROVEEDORES” el incumplimiento en que haya incurrido, para que en un término de 5 (cinco) días hábiles contados a partir del día siguiente de la notificación, exponga lo que a su derecho convenga y aporte en su caso las pruebas que estime pertinentes.
Transcurrido dicho término “EL INSTITUTO FONACOT”, en un plazo de 15 (quince) días hábiles siguientes, tomando en consideración los argumentos y pruebas que hubiere hecho valer “EL INSTITUTO FONACOT”, determinará de manera fundada y motivada dar o no por rescindido el contrato, y comunicará a “LOS PROVEEDORES” dicha determinación dentro del citado plazo.
Cuando se rescinda el contrato, se formulará el finiquito correspondiente, a efecto de hacer constar los pagos que deba efectuar “EL INSTITUTO FONACOT” por concepto del contrato hasta el momento de rescisión, o los que resulten a cargo de “LOS PROVEEDORES”.
Iniciado un procedimiento de conciliación “EL INSTITUTO FONACOT” podrá suspender el trámite del procedimiento de rescisión.
Si previamente a la determinación de dar por rescindido el contrato se realiza la prestación de los servicios, el procedimiento iniciado quedará sin efecto, previa aceptación y verificación de “EL INSTITUTO FONACOT” de que continúa vigente la necesidad de la prestación de los servicios, aplicando, en su caso, las penas convencionales correspondientes.
“EL INSTITUTO FONACOT” podrá determinar no dar por rescindido el contrato, cuando durante el procedimiento advierta que la rescisión del mismo pudiera ocasionar algún daño o afectación a las funciones que tiene encomendadas. En este supuesto, “EL INSTITUTO FONACOT” elaborará un dictamen en el cual justifique que los impactos económicos o de operación que se ocasionarían con la rescisión del contrato resultarían más inconvenientes.
De no rescindirse el contrato, “EL INSTITUTO FONACOT” establecerá con “LOS PROVEEDORES”, otro plazo, que le permita subsanar el incumplimiento que hubiere motivado el inicio del procedimiento, aplicando las sanciones correspondientes. El convenio modificatorio que al efecto se celebre deberá atender a las condiciones previstas por los dos últimos párrafos del artículo 52 de la “LAASSP”.
No obstante, de que se hubiere firmado el convenio modificatorio a que se refiere el párrafo anterior, si se presenta de nueva cuenta el incumplimiento, “EL INSTITUTO FONACOT” quedará expresamente facultada para optar por exigir el cumplimiento del contrato, o rescindirlo, aplicando las sanciones que procedan.
Si se llevara a cabo la rescisión del contrato, y en el caso de que a “LOS PROVEEDORES” se le hubieran entregado pagos progresivos, éste deberá de reintegrarlos más los intereses correspondientes, conforme a lo indicado en el artículo 51, párrafo cuarto, de la “LAASSP”.
Los intereses se calcularán sobre el monto de los pagos progresivos efectuados y se computarán por días naturales desde la fecha de su entrega hasta la fecha en que se pongan efectivamente las cantidades a disposición de “EL INSTITUTO FONACOT”.
VIGÉSIMA QUINTA. RELACIÓN Y EXCLUSIÓN LABORAL
“LOS PROVEEDORES” reconocen y aceptan ser el único patrón de todos y cada uno de los trabajadores que intervienen en la prestación del servicio, deslindando de toda responsabilidad a “EL INSTITUTO FONACOT” respecto de cualquier reclamo que en su caso puedan efectuar sus trabajadores, sea de índole laboral, fiscal o de seguridad social y en ningún caso se le podrá considerar patrón sustituto, patrón solidario, beneficiario o intermediario.
“LOS PROVEEDORES” asumen en forma total y exclusiva las obligaciones propias de patrón respecto de cualquier relación laboral, que el mismo contraiga con el personal que labore bajo sus órdenes o intervenga o contrate para la atención de los asuntos encomendados por “EL INSTITUTO FONACOT”, así como en la ejecución de los servicios.
Para cualquier caso no previsto, “LOS PROVEEDORES” eximen expresamente a “EL INSTITUTO FONACOT” de cualquier responsabilidad laboral, civil o penal o de cualquier otra especie que en su caso pudiera llegar a generarse, relacionado con el presente contrato.
Para el caso que, con posterioridad a la conclusión del presente contrato, “EL INSTITUTO FONACOT” reciba una demanda laboral por parte de trabajadores de “LOS PROVEEDORES”, en la que se demande la solidaridad y/o sustitución patronal a “EL INSTITUTO FONACOT”, “LOS PROVEEDORES” quedan obligados a dar cumplimiento a lo establecido en la presente cláusula.
VIGÉSIMA SEXTA. DISCREPANCIAS
“LAS PARTES” convienen que, en caso de discrepancia entre la convocatoria a la licitación pública, la invitación a cuando menos tres personas, o la solicitud de cotización y el modelo de contrato, prevalecerá lo establecido en la convocatoria, invitación o solicitud respectiva, de conformidad con el artículo 81, fracción IV, del Reglamento de la “LAASSP”.
VIGÉSIMA SÉPTIMA. CONCILIACIÓN.
“LAS PARTES” acuerdan que para el caso de que se presenten desavenencias derivadas de la ejecución y cumplimiento del presente contrato podrán someterse al procedimiento de conciliación establecido en los artículos 77, 78 y 79 de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, y 126 al 136 de su Reglamento.
VIGÉSIMA OCTAVA. DOMICILIOS
“LAS PARTES” señalan como sus domicilios legales para todos los efectos a que haya lugar y que se relacionan en el presente contrato, los que se indican en el apartado de Declaraciones, por lo que cualquier notificación judicial o extrajudicial, emplazamiento, requerimiento o diligencia que en dichos domicilios se practique, será enteramente válida, al tenor de lo dispuesto en el Título Tercero del Código Civil Federal.
VIGÉSIMA NOVENA. LEGISLACIÓN APLICABLE
“LAS PARTES” se obligan a sujetarse estrictamente para la prestación de los servicios objeto del presente contrato a todas y cada una de las cláusulas que lo integran, sus anexos que forman parte integral del mismo, a la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, su Reglamento; Código Civil Federal; Ley Federal de Procedimiento Administrativo, Código Federal de Procedimientos Civiles; Ley Federal de Presupuesto y Responsabilidad Hacendaria y su Reglamento.
TRIGÉSIMA. JURISDICCIÓN
“LAS PARTES” convienen que, para la interpretación y cumplimiento de este contrato, así como para lo no previsto en el mismo, se someterán a la jurisdicción y competencia de los Tribunales Federales con sede en la Ciudad de México, renunciando expresamente al fuero que pudiera corresponderles en razón de su domicilio actual o futuro.
“LAS PARTES” manifiestan estar conformes y enterados de las consecuencias, valor y alcance legal de todas y cada una de las estipulaciones que el presente instrumento jurídico contiene, por lo que lo ratifican y firman en la Ciudad de México, el día 10 xx xxxx de 2024.
POR:
“EL INSTITUTO FONACOT”
NOMBRE | CARGO | R.F.C. |
XXXXXX XXXXXX XXXXXX | SUBDIRECTORA GENERAL DE ADMINISTRACIÓN | GAJJ830521BY9 |
XXXXXXX XXXX XXXXXXXX | SUBDIRECTOR GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN | OIER8103266T3 |
XXXXXXXX XXXXXX XXXXXXXXXX | DIRECTOR DE RECURSOS MATERIALES Y SERVICIOS GENERALES | ZEDF7412252J5 |
POR:
“LOS PROVEEDORES”
NOMBRE | R.F.C. |
SECURE LABS, S.A. DE C.V. | SLA2001239H9 |
SILENT4BUSINESS, S.A. DE C.V. | SIL160727HV7 |
SECURE NEXTGEN SYSTEMS, S.A. DE C.V. | SNS180913TV2 |
Cadena original:
bb00f1f8b1aff3d6f04e2de01fba40ffd7d362307f8090701b578c4205a49764b86fb2d69a59458079505498d9c1f8a59890fe46312d3f8d9e0a73de15c29fa2d0f743bdfbd4129acc23e235130f6cf3
Firmante: XXXXXXX XXXX XXXXXXXX Número de Serie: 00001000000705523257
RFC: OIER8103266T3 Fecha de Firma: 10/05/2024 11:47
Certificado:
MIIGNjCCBB6gAwIBAgIUMDAwMDEwMDAwMDA3MDU1MjMyNTcwDQYJKoZIhvcNAQELBQAwggGVMTUwMwYDVQQDDCxBQyBERUwgU0VSVklDSU8gREUgQURNSU5JU1RSQUNJT04gVFJJQlVUQVJJQTEuMCwGA1UECgwl U0VSVklDSU8gREUgQURNSU5JU1RSQUNJT04gVFJJQlVUQVJJQTEaMBgGA1UECwwRU0FULUlFUyBBdXRob3JpdHkxMjAwBgkqhkiG9w0BCQEWI3NlcnZpY2lvc2FsY29udHJpYnV5ZW50ZUBzYXQuZ29iLm14MSYw JAYDVQQJDB1Bdi4gSGlkYWxnbyA3NywgQ29sLiBHdWVycmVybzEOMAwGA1UEEQwFMDYzMDAxCzAJBgNVBAYTAk1YMQ0wCwYDVQQIDARDRE1YMRMwEQYDVQQHDApDVUFVSFRFTU9DMRUwEwYDVQQtEwxTQVQ5NzA3 MDFOTjMxXDBaBgkqhkiG9w0BCQITTXJlc3BvbnNhYmxlOiBBRE1JTklTVFJBQ0lPTiBDRU5UUkFMIERFIFNFUlZJQ0lPUyBUUklCVVRBUklPUyBBTCBDT05UUklCVVlFTlRFMB4XDTI0MDMwNDE1NDcyMFoXDTI4 MDMwNDE1NDgwMFowgcExHjAcBgNVBAMTFVJJQ0FSRE8gT1JJQSBFU1FVSVZFTDEeMBwGA1UEKRMVUklDQVJETyBPUklBIEVTUVVJVkVMMR4wHAYDVQQKExVSSUNBUkRPIE9SSUEgRVNRVUlWRUwxCzAJBgNVBAYT Ak1YMR0wGwYJKoZIhvcNAQkBFg5yb3JpYUBsaXZlLmNvbTEWMBQGA1UELRMNT0lFUjgxMDMyNjZUMzEbMBkGA1UEBRMST0lFUjgxMDMyNkhERlJTQzA5MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
uzUOWR+3OHN6d9ST7GKnTYPxSnxSOvMHX1+IOvo9xRDsY8do2afaaUaOEpzkTjAiK5U7J05jajwtMjLgD+Flsf4yPpQz+JUZm9ub6ayJc2ekwpkaSsC1N2W0MHty1CpClHjZlB5xdaT06ElS8wVXgig5bMpeQZWA qSlTFh8/0xM6c6Tvma044VFKGA9zIDVvT8Q/xIEhxwM9jf081zF2ekvxci8hMO558XRrjt9UtEe3/W119TbM5gb4qNE5GyWkrq83zsnUQbCu0Is0Mi6x4vsvxtcF9D3aiOhkVXgCELbQ73Rvf5qblKB4K4zHm152 IZkscqcn4L8HidvwvII9ywIDAQABo08wTTAMBgNVHRMBAf8EAjAAMAsGA1UdDwQEAwID2DARBglghkgBhvhCAQEEBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwQGCCsGAQUFBwMCMA0GCSqGSIb3DQEBCwUAA4IC
AQA1sYINgJSDUY3/eII3oLG2fGTiQpSau1cqTejf5qth6pZtinfQOkTppc/cmfsKvL1nNRqvt4/JqU9YQUonrBk7b4Yz9h68EJ7413FjlXYNHpOS6d19TTUkMOecxtqLpJKpxTLAVJRQ1C45eTB1bD0/IRtcA5Qz gFOqRILWRduRduh+LUJJSja74czlIoTN2fMf4Yt2+aUmmZy5jkbcuh45FDntonGfTmg7GFNdUAQVBno5SvhpSz1or/pjImV2qd0kyoeOMP1YwqusT228yFvl6mfWiZ7YOA1BlaxNxtrYv7ZNNDnl3DJypGScKC7e kTftjAJZKAYLbc2RKpKfF8rz0zACLwylupJ7T0LtLsBxp0gN8Qn1WVuP70FEfRvlG8MfzmPIl7F69KU94HcmNOmvj8W+eDM/RJPiXtCLcQUcc8Ff0QXvzYtsohOBRGGlcMEpmQxz3O0UVmFi39lh97py+Larmkzj Xf/nUoddH84l2bN+uh19HYGChfeIuIvYHfAImCUYNudOClR+IvhvkFKeogYen+OaopF4QGwuBnWEsyyggYSJdHggFgdXjTpYzC8mQZ71hmweX6HMOpoSBjSu0DTZszJfa1AqgZgu0ygVKE9Zeu73A4dCvPGcc9HN 9HtQ9p5vJtCae7KHa9bKKvRpAEdVOcMf/PuO8F6BgsR2jQ==
Firma:
RdGy83spkOWJDzbDYo67IJioDSUXFmvBXCU1gDrcFlS17ydAAidtIJSyccC1zf+fdpEJTzWBDEv0Wi/7czOgADkp+bxPLrUN7hGkq0QXODl9S3fbNPCSEGGrxAQt0yx29nL8uH7RFhNw/1dOFCSjpzggUJ7MjYMs OqBufLEF8aFAh4ircONrqebl2BQkeZMtyv1QwUx9vzBwcKwHMB21W95STGibUCKfyiMVpSXeBgfD6IRO/81iycWRxudBA820YSclh2z9VIl8JEbrEiYjJbF3Fp9i1ui14KVu7R1JydiRtYhEO3ixQgwGa2lqTgo4
+6b8p9Ba3w1IJEXqFOfcGw==
Firmante: XXXXXX XXXXXX JUAREZ Número de Serie: 00001000000703552192
RFC: GAJJ830521BY9 Fecha de Firma: 10/05/2024 11:52
Certificado:
MIIGOTCCBCGgAwIBAgIUMDAwMDEwMDAwMDA3MDM1NTIxOTIwDQYJKoZIhvcNAQELBQAwggGVMTUwMwYDVQQDDCxBQyBERUwgU0VSVklDSU8gREUgQURNSU5JU1RSQUNJT04gVFJJQlVUQVJJQTEuMCwGA1UECgwl U0VSVklDSU8gREUgQURNSU5JU1RSQUNJT04gVFJJQlVUQVJJQTEaMBgGA1UECwwRU0FULUlFUyBBdXRob3JpdHkxMjAwBgkqhkiG9w0BCQEWI3NlcnZpY2lvc2FsY29udHJpYnV5ZW50ZUBzYXQuZ29iLm14MSYw JAYDVQQJDB1Bdi4gSGlkYWxnbyA3NywgQ29sLiBHdWVycmVybzEOMAwGA1UEEQwFMDYzMDAxCzAJBgNVBAYTAk1YMQ0wCwYDVQQIDARDRE1YMRMwEQYDVQQHDApDVUFVSFRFTU9DMRUwEwYDVQQtEwxTQVQ5NzA3 MDFOTjMxXDBaBgkqhkiG9w0BCQITTXJlc3BvbnNhYmxlOiBBRE1JTklTVFJBQ0lPTiBDRU5UUkFMIERFIFNFUlZJQ0lPUyBUUklCVVRBUklPUyBBTCBDT05UUklCVVlFTlRFMB4XDTIzMTEyMTA1NDI1MFoXDTI3 MTEyMTA1NDMzMFowgcQxHTAbBgNVBAMTFEpBWk1JTiBHQVJDSUEgSlVBUkVaMR0wGwYDVQQpExRKQVpNSU4gR0FSQ0lBIEpVQVJFWjEdMBsGA1UEChMUSkFaTUlOIEdBUkNJQSBKVUFSRVoxCzAJBgNVBAYTAk1Y MSMwIQYJKoZIhvcNAQkBFhRqYXp6eV90YUBob3RtYWlsLmNvbTEWMBQGA1UELRMNR0FKSjgzMDUyMUJZOTEbMBkGA1UEBRMSR0FKSjgzMDUyMU1NQ1JSWjA2MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
AQEAo2lVNqh+L94GJm7mAcDdGDeV3HLSmNE/Pab6uvzNqnXDK5yMqBpOZO3UEh8qNKtp/KHHvjAIBbwb2ZOfiosd/WQA4bDJmoLBeBveiwTVPwfpiWR0Jn7gfq6LVA/pafTHst1C7vjslc6aMnehpI5BFVW6BzVH nR+OqJe8esSilNxVvMFtXdRSC/sHg8nFAHpzCT388ZY/oB0T4fE12vltUbAZfsPs6bcsWLkr3PM+1Vg28ep9l0251mWMwxsIw3lVv+Boli79pClgddkxxyj1o5ryqqP9Dbck+bgniFXES5Gt8ip086YTH5Ke5LZd z6y47mw+Q1YyESexzmkmqYgH0wIDAQABo08wTTAMBgNVHRMBAf8EAjAAMAsGA1UdDwQEAwID2DARBglghkgBhvhCAQEEBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwQGCCsGAQUFBwMCMA0GCSqGSIb3DQEBCwUA
A4ICAQBehwClt4AtRzYE5ix4DUyNgWUB3mRpmWd0ho4acgGeW6tSMPC2ymdi7eU46VZ4uMXfZ2sLaLOoKB7ZW06gGaGnsFI7aELnA9xmK/9q7vn6q4OmPnzWTJ+1IlHdBFp6vpGtnq+6B4efHo3vJBygvFzAsy7g rc1O1YCr4GueCrrE292Z+epybTaV5zv29t1NpICi1r3oc6je7+ZqXUX6sM9Q+r4J1Nkn1l8dFdZGyTmC9M1vlQcEB317gp2CqRfW8kP8Cgng6HrTHdoxcfimR7cvAMdqFLAJsRWeJ533S0Wy0RJKsKK8B8NquNQH
/M+Wwpyl83JyVIdiiq9cGHJpGNXQuupTQmM2JoVzlvg6PqM4KXpRrQiXQCq257thCrgwwAspwlO+UUHJPq+gpPrc2Y7av1DGZRNbtudKRPyxDv9jL4vbUV/2dgb6t79bD0j0adbSnJBpgIQ+3VCJGwAWyaCz4y1m RoOLPUfPoy4vKTTnXvctifIlUhuO/u3+YaXYSoQTN4aCK23tGexe6UBSA6gYtMbcZpMMYmiCexmWp9yQJkXv8InqtyAZJsN3Gbr14JYzp8cW0g1jE3nDRn7AZ4BIHIomgV/wX7ynmBPHX/mLk5GzENRHqJPc39ty FaGkCznavGKGqfO6cA0YNBDM+qG+dB6A0deXbxSQtr41Ln1QPw==
Firma:
QK7JuPBIZgbQ2NC0cv2yFYv9V7ZUlo/PJ83pOdUAVqo2AeeaM4VY4spkk2BmrjRKslexEaXtxI4qHMQX/K68KajR/o5KMcseoF6lpKWHMW9DPqkTMcyaonUdRaMX6NEYzDW8n0vwjHLRx9JLrYoHQjmG5+gQxGFk kSU8iLbFzfSZBbrvCGIwjyksXrWdXlIKsjcyFFlUdFaybHtk0ZKjsMA366dP5DXb8bNdx2obYgGl75RZ4bdE296fZTlE3ZvOk/Ikwl4IvN97ORAbd8SB0hu10v09/8SnaMKxQLPXfTjD4Nx1fg3ZNGG7ISfgUBKv DHb/xnxdfqyjrHBZ8v6rZw==
Firmante: SECURE LABS SA DE CV Número de Serie: 00001000000705570244
RFC: SLA2001239H9 Fecha de Firma: 10/05/2024 12:10
Certificado:
MIIGSDCCBDCgAwIBAgIUMDAwMDEwMDAwMDA3MDU1NzAyNDQwDQYJKoZIhvcNAQELBQAwggGVMTUwMwYDVQQDDCxBQyBERUwgU0VSVklDSU8gREUgQURNSU5JU1RSQUNJT04gVFJJQlVUQVJJQTEuMCwGA1UECgwl U0VSVklDSU8gREUgQURNSU5JU1RSQUNJT04gVFJJQlVUQVJJQTEaMBgGA1UECwwRU0FULUlFUyBBdXRob3JpdHkxMjAwBgkqhkiG9w0BCQEWI3NlcnZpY2lvc2FsY29udHJpYnV5ZW50ZUBzYXQuZ29iLm14MSYw JAYDVQQJDB1Bdi4gSGlkYWxnbyA3NywgQ29sLiBHdWVycmVybzEOMAwGA1UEEQwFMDYzMDAxCzAJBgNVBAYTAk1YMQ0wCwYDVQQIDARDRE1YMRMwEQYDVQQHDApDVUFVSFRFTU9DMRUwEwYDVQQtEwxTQVQ5NzA3 MDFOTjMxXDBaBgkqhkiG9w0BCQITTXJlc3BvbnNhYmxlOiBBRE1JTklTVFJBQ0lPTiBDRU5UUkFMIERFIFNFUlZJQ0lPUyBUUklCVVRBUklPUyBBTCBDT05UUklCVVlFTlRFMB4XDTI0MDMwNTE4NTMxOFoXDTI4 MDMwNTE4NTM1OFowgdMxHTAbBgNVBAMTFFNFQ1VSRSBMQUJTIFNBIERFIENWMR0wGwYDVQQpExRTRUNVUkUgTEFCUyBTQSBERSBDVjEdMBsGA1UEChMUU0VDVVJFIExBQlMgU0EgREUgQ1YxCzAJBgNVBAYTAk1Y
MSAwHgYJKoZIhvcNAQkBFhFvbWVkaW5hQG9uZXNlYy5teDElMCMGA1UELRMcU0xBMjAwMTIzOUg5IC8gUVVMQzgyMDMxOEszNDEeMBwGA1UEBRMVIC8gUVVMQzgyMDMxOEhERkpOUjAwMIIBIjANBgkqhkiG9w0B AQEFAAOCAQ8AMIIBCgKCAQEA1h+8lAmNfa/Zhnx13H5NTj3OSVUuIJ6T5pEcvyLgFQQTi9AKsnAeMMgKXUwM69pqcI2R619a6P1WmdeP/2M1QhbyusygjlEDWs6YG4xKm9OT1nqw/KWSdqhQV/qZLKao8N4fCEBS bIQsrKD7HBXS70ruOXwLBUPTfVCxELPERE5ZcHkunJpbkRGpOX2wRxMGCJAl0bPeyVmDuBhybVQ4YM35ad2MANKfye7aqFnxljYQXu8PInqJVqThmFPsenLO6EA3NVL+FxcDyWLnhNfHprhFP5wNbJ9VDO3knHiS TqAHYmpAdtzSX690B0RqgaEcVtPZ2DdO36Jx6Xjj73cj/QIDAQABo08wTTAMBgNVHRMBAf8EAjAAMAsGA1UdDwQEAwID2DARBglghkgBhvhCAQEEBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwQGCCsGAQUFBwMC
MA0GCSqGSIb3DQEBCwUAA4ICAQBntWFbLz9xDQnRZhxRkTDNrcEBKvYvP4kiojlKFzkF4p7RSTadY+Dw0zCM9W7TLapvLOeQBw38NrJQYcG2LwUq1iSkWj+mriNKUpoiGhIYNO6Q5n5pz//ww/GJLPINZL3l3b+K GBeWH3j4l2wVgDOnZBmj0BixBIJPakL4rRkBxWbmFH3Tr3USLwMHSVxPCWs6l3G4GqZ8o2uLSV5HzGyvb07Yc9YQh7Cl0zjea0f5nfK9+Emr5SfURSTnrs2ofQSwj0ygygobqWZi8EDJHYOtnEmyRwSKOUrTR6Jw qOnwzbnZYivMciwYb9Q39WP5jXMCdclwSBZmbE9+g2ctaS6OeIk7Wg9zP9j9wUTu2UTv4TEFqud5HzNeVJYrXfnI13usy4EhASK0IPtFljtYD009h4w2Doxgdpu6sxnYjP6tT7YzJ3B6OpyyBtFCjDZKmEDcSssv vDvQoAM+0VHl3NaZNT8M0Q0K/YMMxDkGxmCOWRcSNHRkFcgP1FeP7J90i1Sx24rzxygMm7ykATiz8gGl6GEHOP5gJDiFaygUwnwTnjxHGN3pv5pFiKGlB9zkrwta/fncuiP1g8QrNV7GCHZ0cD2FfYJLCkSSIWX0 E/SV6hsLQznJf8DCMhF/rFJi74SyDU4LCX3aQ03udwhGrpodEamS//+jyIszI0CjhqiemQ==
Firma:
mPt6+MS1s+funUO5is/8ZCzU1kG8UGLlQ0UkPhgXNS0kilQGgg4lT59wHsGRQr85brHaSQ7WBpmm9o9TwF4GvyhtMkYMtQQciE7JRqUxCLX5f5QRzadXCKVjNPKMuJrRT5dFOswULa5gjCJz/FiiTXLBRAGkS0n0 aPPP7Hkz/YgBMHQZaxObaIFIGI7Jo2BX/JRDEPE5mOqBt7bSLCEzyvIADc0ltg0n8u73YlfnlnisxoXh3yKmCBll36PeJhFt7K4O+pMxnFZHXNHx92zfy2D7nU/KVquVAgp64gR2p/kKGndz85G2eR+fCttlCm7v ATLbKKFjNpXagt5l3CusHQ==
Firmante: SECURE NEXTGEN SYSTEMS SA DE CV Número de Serie: 00001000000515302846
RFC: SNS180913TV2 Fecha de Firma: 10/05/2024 12:12
Certificado:
MIIGZjCCBE6gAwIBAgIUMDAwMDEwMDAwMDA1MTUzMDI4NDYwDQYJKoZIhvcNAQELBQAwggGEMSAwHgYDVQQDDBdBVVRPUklEQUQgQ0VSVElGSUNBRE9SQTEuMCwGA1UECgwlU0VSVklDSU8gREUgQURNSU5JU1RS
QUNJT04gVFJJQlVUQVJJQTEaMBgGA1UECwwRU0FULUlFUyBBdXRob3JpdHkxKjAoBgkqhkiG9w0BCQEWG2NvbnRhY3RvLnRlY25pY29Ac2F0LmdvYi5teDEmMCQGA1UECQwdQVYuIEhJREFMR08gNzcsIENPTC4g R1VFUlJFUk8xDjAMBgNVBBEMBTA2MzAwMQswCQYDVQQGEwJNWDEZMBcGA1UECAwQQ0lVREFEIERFIE1FWElDTzETMBEGA1UEBwwKQ1VBVUhURU1PQzEVMBMGA1UELRMMU0FUOTcwNzAxTk4zMVwwWgYJKoZIhvcN AQkCE01yZXNwb25zYWJsZTogQURNSU5JU1RSQUNJT04gQ0VOVFJBTCBERSBTRVJWSUNJT1MgVFJJQlVUQVJJT1MgQUwgQ09OVFJJQlVZRU5URTAeFw0yMjA5MjcxODA3NTdaFw0yNjA5MjcxODA4MzdaMIIBATEo MCYGA1UEAxMfU0VDVVJFIE5FWFRHRU4gU1lTVEVNUyBTQSBERSBDVjEoMCYGA1UEKRMfU0VDVVJFIE5FWFRHRU4gU1lTVEVNUyBTQSBERSBDVjEoMCYGA1UEChMfU0VDVVJFIE5FWFRHRU4gU1lTVEVNUyBTQSBE
RSBDVjELMAkGA1UEBhMCTVgxLTArBgkqhkiG9w0BCQEWHmFsYmVydG8udmFyZ2FzQHNlY25lc3lzLmNvbS5teDElMCMGA1UELRMcU05TMTgwOTEzVFYyIC8gVkFNQTc2MDgwN0dONzEeMBwGA1UEBRMVIC8gVkFN QTc2MDgwN0hERlJHTDAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAikj5s1dF+0CYzclp6dNUA6XYf4wvRpZC65DOE0ragKTxZ3ZR8goDcxoh92tQ1DpeAkrGQnqaS/xkeBiO9J18oJfGc3JgtXAb CGoD/MFraWtXou/SbkNRSclSOKCxJQ0pgsqUybXNYkCzUSu3q/XVlVzGS14VO12V9NLfPsmvRw9P/RcywQlFT/fChhi/8l/XxX/dWwcWC0K7BeTmA7PjZpbdS2vdxyqlSG3ehjwblWYd8Vn1kYWCoElPNrh4IT/5 ZeUDJPS0nN0sunaQ58K5Z+JoPzc0+Y/Zw6IeuoChimiioh47yn5ipgdlGz8Q+JmN12ihoN/4q1Dk4QEk49LgGQIDAQABo08wTTAMBgNVHRMBAf8EAjAAMAsGA1UdDwQEAwID2DARBglghkgBhvhCAQEEBAMCBaAw HQYDVR0lBBYwFAYIKwYBBQUHAwQGCCsGAQUFBwMCMA0GCSqGSIb3DQEBCwUAA4ICAQCIhZGyjl3j/+B+Ria3ZKPmcKc7Jo+FX9KdZ8xSSTxyGipk/hSZMLU/faRsxxkFUGF8m513EIdMHYRgcoTUBfptgklX2AvX vCH7PlalhedZAcEr8vhpBDzZ9M48Du08y6ucKX5o0cb4krT3KJUVJ3db6m0KeNVgl5sKmKWlYeUXso7SRuOeS7e07oc6tV95x6/3W4pp7difK6kWJXpfQkGmTYCu5S4zxVxMwV0Cc8l2vRsnbMMINDs5Qwsps4BY wN0zPx3OI4gRvcSN9fneaA4aNlzOQwjRtkDeCMKYOiEE/flh+szLsgoLQ3vflTGvD29/6gmkBqNsmcXv2OAkO8SmuWJmyugpstR4Mb7YhTD8UlrW2q273XCQr2ZopQcuE5lYXFYwT5+XQhYosWrySc03hc4Gyvox y6kj2fdsEFamcYYajaIhghHSiIxK4JRa8OGeZCYAYPSX1KKiqq4Nm+GNTkSIpEPXZewreZ3fl+UJWh3OUF0puOyISNYbdixxbU43PkZppfDuIQjyIs3zfrlvmFW4G9/1PYGlq6lc0Ulo2k/8rTJgE1XTe63GYjl4 mZi1491uiw0DjfBFvdPDw9G1EKC6OBJl9qNigWyQ+hNT5DFqB709mKr2A4Relg2TtNQO6jLF5QxHq5y3W+K561gvNytIE1U4oQ6Ugylw4kr8DA==
Firma:
MooS1UqM5AAuN6Ieij43IrUIblSuJ05sc4D8qiSVR8fS8mgFHCWSnMlHYg4LWLv0daQRWOjFeK8ghRffH+04SbWs8XxWhdgmKImKfyYXL16QRAze1FrhPoH60gvolnrt+QyS7mABWoEPERSI9Rb+VtsAgNpIbJjK xYl8CJjpFZwyRL8lHPYpoFFKf9U2iiONYMuKUIM+Sx0GYM/Qr+4lW10n0dc0aZzkY5knuZgtz3oHN355A4zkTfaT7z80VyJVnpdrSBz+aNpSoIgUVfYj5BMHUoueINLe+GPWIle5Yh3ueBEVQf/KhKXoczA+rels OymIGV5a0Y44LW4t6WVV1Q==
Firmante: SILENT4BUSINESS SA DE CV Número de Serie: 00001000000505809520
RFC: SIL160727HV7 Fecha de Firma: 10/05/2024 15:25
Certificado:
MIIGVjCCBD6gAwIBAgIUMDAwMDEwMDAwMDA1MDU4MDk1MjAwDQYJKoZIhvcNAQELBQAwggGEMSAwHgYDVQQDDBdBVVRPUklEQUQgQ0VSVElGSUNBRE9SQTEuMCwGA1UECgwlU0VSVklDSU8gREUgQURNSU5JU1RS
QUNJT04gVFJJQlVUQVJJQTEaMBgGA1UECwwRU0FULUlFUyBBdXRob3JpdHkxKjAoBgkqhkiG9w0BCQEWG2NvbnRhY3RvLnRlY25pY29Ac2F0LmdvYi5teDEmMCQGA1UECQwdQVYuIEhJREFMR08gNzcsIENPTC4g R1VFUlJFUk8xDjAMBgNVBBEMBTA2MzAwMQswCQYDVQQGEwJNWDEZMBcGA1UECAwQQ0lVREFEIERFIE1FWElDTzETMBEGA1UEBwwKQ1VBVUhURU1PQzEVMBMGA1UELRMMU0FUOTcwNzAxTk4zMVwwWgYJKoZIhvcN AQkCE01yZXNwb25zYWJsZTogQURNSU5JU1RSQUNJT04gQ0VOVFJBTCBERSBTRVJWSUNJT1MgVFJJQlVUQVJJT1MgQUwgQ09OVFJJQlVZRU5URTAeFw0yMDExMjUxODIzMjZaFw0yNDExMjUxODI0MDZaMIHyMSEw HwYDVQQDExhTSUxFTlQ0QlVTSU5FU1MgU0EgREUgQ1YxITAfBgNVBCkTGFNJTEVOVDRCVVNJTkVTUyBTQSBERSBDVjEhMB8GA1UEChMYU0lMRU5UNEJVU0lORVNTIFNBIERFIENWMQswCQYDVQQGEwJNWDEzMDEG
CSqGSIb3DQEJARYkZnJhbmNpc2NvLmJlcm5hbEBzaWxlbnQ0YnVzaW5lc3MuY29tMSUwIwYDVQQtExxTSUwxNjA3MjdIVjcgLyBERUFMODEwMTA4Q0kwMR4wHAYDVQQFExUgLyBERUFMODEwMTA4TURGTEdZMDQw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQChR5OrSj4xh1ZZW8DFRZoz+j1E4j2d0XmqIyuq0QSWoEqkh8RFBYKz+g5OOiLwgzbrc+KLWe8vmaJ3FzJVthHv6whMecirRW2fVFZP4nCBP64en2fsJ5Sf rxOrtKdLCb4tPRUGldTpljHrbbuibIFB0crqPOAqySeb0JprqgA4l28lqNDSYcy4vI39oSjJVVNw9UZMt9gGsD9Y2JPRj5iYeHo66FocPY1IXsh7UBw2r/F03+JiVeC3Kqk4OTxJspqGS6NHuuGU7UetP/Bbazji krrpMNVP0rAwWd32Rg6DLtiVropbOkq9pyPt4MU5swNLjiHFpSL1/Vcr+15iYZJ5AgMBAAGjTzBNMAwGA1UdEwEB/wQCMAAwCwYDVR0PBAQDAgPYMBEGCWCGSAGG+EIBAQQEAwIFoDAdBgNVHSUEFjAUBggrBgEF BQcDBAYIKwYBBQUHAwIwDQYJKoZIhvcNAQELBQADggIBAK0aFap+x2sdEflhl1MfHenYpnVSRr52LMx3wnqsSAtfey9xRwmLkOhIOp9an5HKC3562Fsz6UfJaXunNvp1FfSaaL6nZlZyU5e9OU+ikVbFDp5gg30Z Dd4ErNslabDHIK5vY1kL0kpXDw/hzSbzj9Z8eLtys+bD2kBKAMUeUQub1BAX2V3SR208lsSjPSHlyUQY7meeFNdDaWY8M5UEeDy2NVeslLVmVgwpjBndCrSoTp1lXKc7DCqpIyPBTgDHlDBiF3MpIo4NIcyM6qRm 4tYIJN1eukRyiqI5nDdVvOtq5zxm2Iv1s/K2tp+/cQfwopU6AxgVL9qmW1BzoqmXnhQlNeieiH0bY+hlGUaAQVoEOfTtTSo3AWk7jP/wMXvXxEa73DbZy8gkOyrTTwQzpMd3tbFsjBVdeuad1QYPqdS1zf9oIe7q YFMbh24i4CnYESUSSUd3sPzFJuCE05y/qaDvhYQTc3OAILUH9e7+R8ScJRl0+QeJiLmHLXDAcJNESCeAXq5IskeI+xfClwba79bqAXolSYjvO2fl+wkz3zMBpYPa3HUWy9TCIK4z3YS5fym1gl1NS3XOtfuMrvzy 5cLRcjeMAJZohELeyqplvzFZgNW7rFqZB4o1eBdLgzrpjDSe6KlUMwnhjq7jloPFt8n06jMkk5TL+KBGijdl0aKb
Firma:
MaQtRYmXzs4FnWWQOz3GartWHDnyyheH4Tz5y1e26We2zPVyal7OljdSElmlMnPblK3Rb05takOrdVc6CL6karkUNFZ0g2O7+beYakfcHZUVUsgoq2uKEN6rMj7mTaIjkAt+Xl32OziLO5JSKH4v8cVZF5UexV0d pl5Ybz8NyTSTd9KUFh0cmLwaUg5739R3TxSyYbPHhzxa0ilSj7YejOvqyHfyGulFLyGazV4w7ZaMnBdSlziHDT+d37EQTBdVhaWGe7bUZsHxcW8fPtXY2Jj2sxnaMPipnnLSXENOYF2HoJzq3P5lTegmSY4aZ6No
+dofj9Q/kodtkh1kIxdTVw==
CONTRATO No. FNCOT/LP/0163/2024
ANEXO I
Convenio de Participación Conjunta
Convenio de Participación Conjunta que celebran por una parte Secure Labs S.A. de C.V. representada por Xxxxxx Xxxxxx Xxxx en su carácter de Representante Legal, a quien en lo sucesivo se denominará “El Participante A”, la otra Secure Nextgen Systems S.A. de C.V., representada por Xxxxxxx Xxxxxx Xxxxxx en su carácter de Representante Legal, a quien en lo sucesivo se le denominará “El Participante B” y por la otra Silent4business
S.A. de C.V., representada por Xxxxxxx Xxxxxxx Xxxxx en su carácter de Representante Legal, a quien en lo sucesivo se le denominará “El Participante C” y cuando se haga referencia a los que intervienen se denominará “Las Partes” al tenor de las siguientes declaraciones y cláusulas:
D e c l a r a c i o n e s
“El Participante A” declara que:
.1. Es una sociedad legalmente constituida, de conformidad con las Leyes Mexicanas, según consta en el Testimonio de la Escritura Pública número 122,833, de fecha 23 de enero de 2020, pasada ante el Xx. Xxxxx Xxxxx Xxxxxxxxx xxx Xxxxxxxx Notario Público número 63, de la Ciudad de México e inscrita en el Registro Público de Comercio, con folio mercantil electrónico número N-2020018436 de fecha 23 de enero de 2020.
.2. Tiene los siguientes Registros Oficiales: Registro Federal de Contribuyentes número SLA2001239H9 y Registro Patronal ante “El IMSS” número Y6254970103.
.3. Su representante, con el carácter ya mencionado, cuenta con las facultades necesarias para suscribir el presente convenio, de conformidad con el contenido del Testimonio de la Escritura Pública Número 128,508, de fecha 01 xx xxxxx de 2022, pasada ante el Xx. Xxxxx Xxxxx Xxxxxxxxx, Notario Público número 63, de la Ciudad de México e inscrita en el Registro Público de Comercio, con folio mercantil electrónico número N-2020018436 de fecha 23 de enero de 2020, manifestando bajo protesta de decir la verdad que no le han sido revocadas, ni limitadas o modificadas en forma alguna, a la fecha en que se suscribe el presente instrumento.
.4. Su objeto social, entre otros, corresponde a: Servicios de consultoría en computación y servicios de ingeniería; por lo que cuenta con los recursos financieros, técnicos, administrativos y humanos para obligarse, en los términos y condiciones que se estipulan en el presente convenio.
.5. Señala como domicilio legal, para los efectos que deriven del presente convenio, el ubicado en Xxxxx Xxx Xxxxxxx Xxxxxx 0, Xxxxxxxxxxxx X, Xxxxxxx Xxx Xxxxx, Xxxxxxxx Xxxxxx Xxxxxxx, XX 00000, Xxxxxx xx Xxxxxx, Xxxxxx.
“El Participante B” declara que:
.1. Es una sociedad legalmente constituida, de conformidad con las Leyes Mexicanas, según consta en el Testimonio de la Escritura Pública número 168,180, de fecha 13 de septiembre de 2018, pasada ante el Lic. Xxxxxxxx Xxxxxxx Xxxxx, Notario Público número 42, de la Ciudad de México, e inscrita en el Registro Público de Comercio, con número electrónico N-2018086652, de fecha 06 de noviembre de 2018.
.2. Tiene los siguientes Registros Oficiales: Registro Federal de Contribuyentes número SNS180913TV2 y Registro Patronal ante “El IMSS” número Y6476411100.
.3. Su representante, con el carácter ya mencionado, cuenta con las facultades necesarias para suscribir el presente convenio, de conformidad con el contenido del Testimonio de la Escritura Pública Número 168,180, de fecha 13 de septiembre de 2018, pasada ante el Lic. Xxxxxxxx Xxxxxxx Xxxxx, Notario Público número 42, de la Ciudad de México, e inscrita en el Registro Público de Comercio, con número electrónico N-2018086652, de fecha 06 de noviembre de 2018, manifestando bajo protesta de decir la verdad que no le han sido revocadas, ni limitadas o modificadas en forma alguna, a la fecha en que se suscribe el presente instrumento.
.4. Su objeto social, entre otros, corresponde a: Servicios de ingeniería y Servicios de consultoría en computación; por lo que cuenta con los recursos financieros, técnicos, administrativos, y humanos para obligarse, en los términos y condiciones que se estipulan en el presente convenio.
.5. Señala como domicilio legal, para los efectos que deriven del presente convenio, el ubicado en Xxxxx Xxx Xxxxxxx Xxxxxx 0, Xxxxxxxxxxxx X, Xxxxxxx Xxx Xxxxx, Xxxxxxxx Xxxxxx Xxxxxxx, XX 00000, Xxxxxx xx Xxxxxx, Xxxxxx.
“El Participante C” declara que:
.1. Es una sociedad legalmente constituida, de conformidad con las Leyes Mexicanas, según consta en el Testimonio de la Escritura Pública número 61,579, de fecha 25 de julio del 2016, pasada ante el Lic. Xxxxxxxxx Xxxxxx Xxxxx, Notario Público número Notario 246, en el Protocolo de la Notaria 212, Ciudad de México e inscrita en el Registro Público de Comercio, con número 561326-1 de fecha 08 xx xxxxxx de 2016.
.2. Tiene los siguientes Registros Oficiales: Registro Federal de Contribuyentes número SIL160727HV7 y Registro Patronal ante “El IMSS” número Y6471134103.
.3. Su representante, con el carácter ya mencionado, cuenta con las facultades necesarias para suscribir el presente convenio, de conformidad con el contenido del Testimonio de la Escritura Pública Número 2047, de fecha 29 de noviembre de 2023, pasada ante el Lic. Xxxxxxx Xxxxxxxxx Xxxxx, Notario Público número 184, del Estado de México, e inscrita en el Registro Público de Comercio, con el número 455873 de fecha 12 septiembre de 2019, manifestando bajo protesta de decir la verdad que no le han sido revocadas, ni limitadas o modificadas en forma alguna, a la fecha en que se suscribe el presente instrumento.
.4. Su objeto social, entre otros, corresponde a: Servicios de consultoría en computación; por lo que cuenta con los recursos financieros, técnicos, administrativos, y humanos para obligarse, en los términos y condiciones que se estipulan en el presente convenio.
.5. Señala como domicilio legal, para los efectos que deriven del presente convenio, el ubicado en Xxxxxxx Xxxxxxxxxxx Xxx Xx. 0000, Xxxx 0. Colonia. Tizapán San Xxxxx, Alcaldía Xxxxxx Xxxxxxx, Código postal: 01090, Entidad federativa Ciudad de México, México.
“Las Partes” declaran que:
.1. Conocen los requisitos y condiciones estipuladas en las bases que se aplicaran en el procedimiento de Licitación Pública Electrónica Nacional número No. LA-14- P7R-014P7R001-N-31-2024 para la “CONTRATACIÓN ABIERTA DEL SERVICIO ADMINISTRADO DE ANÁLISIS DE VULNERABILIDADES Y PRUEBAS DE
PENETRACIÓN”, convocada por El Instituto del Fondo Nacional para el Consumo de los Trabajadores (Instituto FONACOT), a través de la Dirección de Recursos Materiales y Servicios Generales.
.2. Manifiestan su conformidad en formalizar el presente convenio, con objeto de participar conjuntamente en el procedimiento de Licitación Pública Electrónica Nacional número No. LA-14-P7R-014P7R001-N-31-2024, presentando su propuesta, cumpliendo con lo estipulado en el numeral III.10 - PRESENTACIÓN DE PROPOSICIONES CONJUNTAS, de las bases.
Expuesto lo anterior, las partes se otorgan las siguientes:
C l á u s u l a s Primero.- Objeto: Participación Conjunta.
“Las Partes” convienen en conjuntar sus recursos técnicos, legales, administrativos, económicos, y financieros, para presentar su proposición en el procedimiento de Licitación Pública Electrónica Nacional número No. LA-14- P7R-014P7R001-N-31-2024 y, en caso de que su propuesta resulte ganadora del procedimiento, se obliga a ejecutar los servicios de: “CONTRATACIÓN ABIERTA DEL SERVICIO ADMINISTRADO DE ANÁLISIS DE VULNERABILIDADES Y PRUEBAS
DE PENETRACIÓN”, con la participación siguiente:
No. | Participante | Parte del servicio a que se obliga a Ejecutar |
1 | Secure Labs S.A. de C.V. | Representante Legal del Consorcio Recurso Especialista en Pruebas de Penetración. Recurso Especialista en Análisis Forense. Operación del contrato (mesa de servicio y servicio administrado de Tenable) |
2 | Secure Nextgen Systems S.A. de C.V. | Recurso PM (Administrador del proyecto) Recurso Especialista en la herramienta de análisis y gestión de vulnerabilidades. Recurso Personal técnico de la mesa de servicios. Implementación de Tenable Soporte Segundo Nivel Tenable Suma Contratos y experiencia. |
3 | Silent4business S.A. de C.V. | Principal aportador de experiencia contractual Aportador de certificaciones como empresa ISO 27001, 37001. |
Segundo.- Representante común y constitución de aval y obligado solidario.
“Las Partes” aceptan expresamente en designar como representante común al “Participante A”, otorgándole, a través del presente instrumento, poder amplio y suficiente para suscribir la propuesta y resolver cualquier asunto que se derive del procedimiento de Licitación Pública Electrónica Nacional número No. LA-14- P7R-014P7R001-N-31-2024, firma de contrato y cobro de estimaciones, obligándose a protocolizar este mandato ante notario público.
Asimismo, convienen que los “Participantes A y B” se constituyen como avales y obligados solidarios para cumplir con el objeto del presente convenio, aceptando expresamente en responder ante El Instituto del Fondo Nacional para el Consumo de los Trabajadores (Instituto FONACOT), por la propuesta que se presente y en su caso, por las obligaciones que se llegaran a derivar del contrato, de resultar ganadoras en el procedimiento de Licitación Pública Electrónica Nacional número No. LA-14-P7R-014P7R001-N-31-2024, renunciando también expresamente al derecho de orden y excusión.
Tercero.- Del cobro de estimaciones o facturas.
“Las Partes” convienen expresamente, que “El Participante A” será el único responsable de la ejecución de los trabajos ante El Instituto del Fondo Nacional para el Consumo de los Trabajadores (Instituto FONACOT), en caso de resultar ganadores en el procedimiento de Licitación Pública Electrónica Nacional número No. LA-14-P7R-014P7R001-N-31-2024 y el único facultado para efectuar el cobro de las estimaciones que se generen de los trabajos que se deriven de la Licitación objeto del presente instrumento, sin perjuicio de lo dispuesto por la cláusula anterior.
Cuarto.- Vigencia.
“Las Partes” convienen en que la vigencia del presente convenio será la duración que tenga el procedimiento citado en la cláusula primera del presente convenio y en su caso resultar adjudicatarios del contrato, el plazo que se estipule en éste,
así como los convenios modificatorios resultantes que se adicionen con motivo de la ejecución de los trabajos.
Quinto.- Obligaciones.
“Las Partes” convienen que en el supuesto de que cualquiera de ellas se declare en quiebra o suspensión de pago, no las libera de sus obligaciones, por lo que cualquiera de las partes que subsista acepta y se obliga expresamente a responder solidaria y mancomunadamente de las obligaciones contractuales a que hubiere lugar.
En caso de resultar ganadora la propuesta que presenten las empresas conjuntadas, se obligan a firmar contrato, por conducto de su representante común.
“Las Partes” aceptan y se obligan expresamente a responder en su carácter de aval y obligado solidario, como se estipula en la Cláusula Segunda, a responder ante El Instituto del Fondo Nacional para el Consumo de los Trabajadores (Instituto FONACOT), de las Obligaciones Contractuales a que hubiere lugar.
“Las Partes” aceptan expresamente a protocolizar ante notario x xxxxxxxx público el presente convenio, formará parte integrante e inseparable del contrato que suscribirá el representante común y El Instituto del Fondo Nacional para el Consumo de los Trabajadores (Instituto FONACOT).
Sexto. - Penas convencionales y Deductivas.
“Las Partes” aceptan expresamente que los “Participantes A y B”, serán las responsables en el caso de que El Instituto del Fondo Nacional para el Consumo de los Trabajadores (Instituto FONACOT), efectué la aplicación de una pena convencional y/o deductiva.
Leído que fue el presente convenio por “Las Partes”, y enterados de su alcance y efectos legales, aceptando que no existió error, dolo, violencia, o mala fe, lo ratifican y firman, de conformidad en la Ciudad de México, el 11 xx xxxxx de 2024.
“El Participante A”
Xxxxxx Xxxxxx Xxxx
“El Participante B” “El Participante C”
Representante Legal
Secure Labs S.A. de C.V.
Xxxxxxx Xxxxxx Xxxxxx Representante Legal Secure Nextgen Systems
S.A. de C.V.
Xxxxxxx Xxxxxxx Xxxxx Representante Legal Silent4business S.A. de C.V.
ESCRITO PARA LA PRESICION DE CONVENIO DE PARTICIPACION CONJUNTA.
Ciudad de México, a 19 xx xxxxx del 2024.
Instituto del Fondo Nacional para el Consumo de los Trabajadores Presente.
Yo C. XXXXXX XXXXXX XXXX en mi carácter de Representante Legal de la empresa SECURE LABS, S.A DE C.V., según se acredita en el Testimonio de la Escritura Pública Número 128,508, de fecha 01 xx xxxxx de 2022, otorgada ante el Xx. Xxxxx Xxxxx Xxxxxxxxx, Notario Público número 63, de la Ciudad de México, manifiesto que el convenio de participación conjunta que presenta la agrupación, no está protocolizado considerando la respuesta dada en la respuesta a la repregunta 42751 del acta de cierre de la junta de aclaraciones de fecha 11 xx xxxxx de 2024, lo cual se cita textualmente lo siguiente:
ID | Licitante | Referencia a la pregunta | Pregunta | respuesta |
42751 | IDT en Sistemas de información S.A. de C.V. | En consideración de la pregunta 535140 | En consideración de la pregunta 535140 del licitante totalsec: participación conjunta en el caso de que el contrato, lo firme el representante común de la agrupación, deberá presentar lo siguiente: 1.convenio de participación conjunta protocolizado ante notario. Se solicita a la convocante presentar solo el convenio de participación conjunta firmado por las partes, sin ser necesario protocolizarlo ante notario público, toda vez que la ley de adquisiciones, arrendamientos y servicios del sector público en su artículo 34 no establece tal requerimiento, y considerando la respuesta de la convocante, se plantea la siguiente repregunta. ¿en caso de suscribirse con notario, la convocante podría aceptar que se suscriba con correduría publica ya que para este efecto cuentan con las mismas facultades, se acepta nuestra propuesta? | Se acepta su propuesta, en caso de que su representada resultara adjudicada, podrá presentar el convenio de participación conjunta debidamente protocolizado mediante una correduría pública |
Lo anterior con el objeto de que en caso de que resultar adjudicado dicho convenio se presentara protocolizado ante una correduría pública.
Atentamente,
XXXXXX XXXXXX XXXX REPRESENTANTE LEGAL SECURE LABS, S.A DE C.V.
INFORMACIÓN USO INTERNO ONESEC
CONTRATO No. FNCOT/LP/0163/2024
ANEXO II
“CARACTERÍSTICAS TÉCNICAS DEL SERVICIO”.
Ciudad de México, a 19 xx xxxxx del 2024.
Instituto del Fondo Nacional para el Consumo de los Trabajadores Presente.
Para efectos de afrontar y garantizar el éxito del proyecto, en caso de ser adjudicados, determinamos desarrollarlo en Participación Conjunta, entre las empresas; SECURE LABS,
S.A. DE C.V., SECURE NEXTGEN SYSTEMS, S.A. DE C.V y por SILENT4BUSINESS, S.A. DE C.V., y cuando se haga referencia a los que intervienen se denominará “La Agrupación”.
El Convenio de participación conjunta, forma parte de la documentación legal, que para tal efecto fue requerido por el Instituto.
Para nuestra Propuesta Técnica, determinamos conservar tal y como lo fueron publicadas las bases, el OBJETIVO, 1 INTRODUCCIÓN y 2 ANTECEDENTES e iniciamos a partir del numeral 3 REQUERIMIENTOS DEL SERVICIO.
OBJETIVO
Nombre del proyecto: “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración”.
Disponer del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración”, para el Instituto del Fondo Nacional para el Consumo de los Trabajadores "INFONACOT", cumpliendo con los niveles de servicio establecidos en el presente anexo, y que incluya todas las capacidades necesarias para brindar visibilidad integral del nivel de ciberseguridad con el que cuentan las aplicaciones y sistemas críticos que se utilizan para proporcionar los servicios financieros clave del "INFONACOT" a sus usuarios finales, considerando una cobertura a nivel nacional en todas las sucursales, oficinas regionales y estatales en un esquema 24x7x8 meses.
La importancia de tener un “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración " es crítica, ya que con este servicio se contará con una protección de carácter preventivo e integral a los activos críticos, los cuales son utilizados para brindar los servicios financieros clave del “INFONACOT” a sus usuarios finales. El diseño del servicio requeridos deberá brindar al “INFONACOT” con visibilidad, trazabilidad y protección en contra de incidentes y amenazas avanzadas que día a día son más sofisticadas y difíciles de detectar.
Por medio del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración” se podrá dar cumplimiento a los siguientes conceptos:
Confidencialidad: Se asocia con la privacidad de la información; que se tiene que asegurar para los trabajadores que utilicen los servicios del “INFONACOT”. Es la cualidad de la información para no ser divulgada a personas o sistemas no autorizados. Se trata básicamente de la propiedad por la que esa información solo resultará accesible con la debida y comprobada autorización.
Integridad: Esto es la certeza de que la información no ha sido alterada de cualquier manera; entendiéndose a su vez que es la cualidad de la información para ser correcta y no haber sido modificada, manteniendo sus datos exactamente tal cual fueron generados, sin manipulaciones ni alteraciones por parte de terceros.
Disponibilidad: Que la información que utilicen los trabajadores y usuarios internos dentro
de los sistemas del “INFONACOT” sea accesible cuando la necesiten a través de los canales adecuados siguiendo los procesos correctos.
El "INFONACOT" cuenta con servicios de seguridad informática que le han permitido proveer las condiciones adecuadas para asegurar la continuidad operativa y la correcta remediación, control y mitigación de riesgos, a través de herramientas, metodologías y personal especializado de seguridad de la información. Sin embargo, es necesario contar con el “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración " que permita al “INFONACOT”:
Identificar Vulnerabilidades: El objetivo principal es identificar brechas o vulnerabilidades en los sistemas críticos, redes, aplicaciones y activos digitales del “INFONACOT”. Estas vulnerabilidades pueden ser puntos de entrada para amenazas cibernéticas.
Evaluar la Seguridad: Las pruebas permiten evaluar el estado actual de la seguridad de la organización y determinar si las medidas de seguridad implementadas son efectivas en la detección y mitigación de amenazas, o en su caso, realizar recomendaciones para realizar los cambios necesarios que mitiguen o prevengan los ataques cibernéticos al “INFONACOT”.
Prevenir Brechas de Seguridad: Al identificar vulnerabilidades antes de que los ciberdelincuentes las exploren, se puede prevenir y mitigar el riesgo de brechas de seguridad, robo de datos o interrupciones del servicio.
“La Agrupación” contempla todos los elementos de hardware y software necesarios para la prestación del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración", mismos que son parte de nuestra propuesta técnica.
“La Agrupación” comprueba que cuenta con personal calificado para brindar el servicio requerido, así como que cuenta con al menos un administrador de proyectos para el desarrollo y seguimiento en el aprovisionamiento de los servicios.
Para la prestación de este servicio afirmamos que ninguna de las empresas que conforman “La Agrupación” están prestando actualmente un servicio tecnológico, de ciberseguridad o de seguridad de la información al Instituto, lo anterior se dispone ya que es la necesidad del “INFONACOT” el mantener una separación de roles y responsabilidades para garantizar una evaluación imparcial y objetiva de la seguridad de un sistema o servicio.
“La Agrupación” en caso de resultar adjudicada cumplirá con los niveles de servicio solicitados en el presente Anexo Técnico.
La totalidad de los componentes tecnológicos de hardware, software, licenciamientos y/o suscripciones propuestas para la prestación de los servicios, serán nuevos, de uso exclusivo del “INFONACOT” y de la última generación liberada en México por parte de los fabricantes.
“La Agrupación” ejecutará las actividades necesarias aplicables a cada caso de las que correspondan y a lo solicitado en la ejecución del servicio, así como realizar las acciones necesarias que aseguren la correcta operación del servicio.
“La Agrupación” se compromete a:
Acredita experiencia en la prestación de servicios iguales o similares a los requeridos por el “INFONACOT”.
Proveer un servicio de operación en un esquema 24x7x8 meses, para los servicios requeridos.
Contar con atención telefónica 24x7x8 meses a través de la mesa de servicio de “La Agrupación”, durante la vigencia del contrato.
Descripción General del Servicio
El “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración” es esencial para evaluar y mejorar la seguridad de sistemas y aplicaciones en el Instituto del Fondo Nacional para el Consumo de los Trabajadores “INFONACOT”. Estas pruebas buscan identificar debilidades y vulnerabilidades en la infraestructura de tecnología de la información y en las aplicaciones que podrían ser explotadas por amenazas potenciales, como hackers maliciosos.
El alcance de la contratación del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración”, considera el aprovisionamiento, instalación, habilitación, configuración, soporte y mantenimiento de todos los componentes necesarios para la prestación del servicio antes mencionado.
El “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración”, incluye los módulos y soluciones tecnológicas que den cumplimiento total a las funcionalidades, especificaciones y/o características técnicas descritas en el presente anexo técnico, mismos que contarán con una cobertura de soporte 24x7x8 meses (Las 24 horas del día, los 7 días de la semana por los 8 meses, durante el plazo de cumplimiento para la prestación de los servicios).
Análisis y Gestión de vulnerabilidades
El “INFONACOT” requiere que como parte del Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración, que “La Agrupación” en caso de resultar adjudicada, realice el análisis y la gestión de vulnerabilidades en los activos, servicios y sistemas con los que opera el Instituto y que integran el sistema de crédito institucional de “INFONACOT” los cuales “NO” forman parte de la infraestructura de seguridad, como un proceso continuo que permita la detección de vulnerabilidades, el monitoreo de las mismas, su clasificación y priorización, de acuerdo al catálogo de infraestructuras esenciales proporcionado por el “INFONACOT”, lo anterior para estar en condiciones de poder reducir los riesgos , como resultado de estos análisis se deberá generar un reporte que liste las vulnerabilidades encontradas en los activos informáticos y los aplicativos, brindar información detallada de las mismas, de su criticidad e impacto, que permita medir el nivel de riesgo que representan y poder categorizarlas, deberá apegarse al MGSI del “INFONACOT”, así como a las disposiciones de Carácter General Aplicables a los Organismos de Fomento y Entidades de Fomento.
Así mismo proporcionar las recomendaciones generales para su atención y brindar en conjunto con el “INFONACOT” el seguimiento para su remediación. Estas actividades deberán apegarse a metodologías y buenas prácticas en seguridad informática, para asegurar que los análisis de vulnerabilidades cuenten con todos los componentes necesarios para identificar
todas las vulnerabilidades dentro de la infraestructura del “INFONACOT”, la metodología
utilizada se integra como parte de nuestra propuesta técnica de “La Agrupación”.
“La Agrupación” cuenta con personal especializado en la o las tecnologías utilizadas para la prestación del servicio, el cual será el encargado de generar el documento de reporte de hallazgos de vulnerabilidades y deberá dar seguimiento a la remediación con las áreas correspondientes del “INFONACOT” donde se identifiquen las vulnerabilidades para dar cumplimiento a las políticas de seguridad del “INFONACOT”, estas actividades serán realizarlas en coordinación con el Administrador del Contrato que en su momento designe el “INFONACOT”.
“La Agrupación” considera que la herramienta propuesta cuente con la capacidad de monitorear los equipos de misión crítica del “INFONACOT” durante toda la vigencia del servicio y adicionalmente realizar los ejercicios mensuales de análisis de vulnerabilidades a los activos que se definan en conjunto con el “INFONACOT”, considerando como mínimo los activos descritos en la tabla de volumetría del servicio, para identificar y clasificar las vulnerabilidades existentes en el ambiente operativo.
Como parte de las actividades para el Análisis y Gestión de Vulnerabilidades, “La Agrupación”
en caso de resultar adjudicada, considera por lo menos los siguientes puntos:
Realizar de manera continua a través de una herramienta, en la cual se deberá realizar la detección, priorización, hasta que la vulnerabilidad se haya mitigado por el equipo correspondiente o el administrador responsable notifique la remediación de la vulnerabilidad.
Realizar análisis de vulnerabilidades a las aplicaciones que se definan en conjunto con el
“INFONACOT.
Los ejercicios se ejecutarán sólo dentro de los horarios y fechas previamente estipulados en el plan de trabajo de análisis de vulnerabilidades que se defina en conjunto con el personal del “INFONACOT”.
Posterior al análisis y una vez identificadas las vulnerabilidades, se entregará un reporte, que deberá incluir entre otras cosas las recomendaciones para su remediación, las cuales serán informadas a las áreas del “INFONACOT” correspondientes para su atención y remediación, apegándose al MGSI del “INFONACOT”.
Una vez notificada la remediación de las vulnerabilidades por parte del “INFONACOT”, “La Agrupación” realizará un nuevo Análisis de Vulnerabilidades para la validación de la remediación, apegándose al MGSI del “INFONACOT”.
En caso de identificar una vulnerabilidad crítica que ponga en riesgo la operación del “INFONACOT”, esta deberá de notificarse inmediatamente al Administrador de contrato para que se informe al área correspondiente para su atención inmediata.
“La Agrupación” en conjunto con el “INFONACOT”, de mutuo acuerdo definirán en cada ejercicio el número de activos o direcciones IP las cuales estarán sujetos al Análisis de Vulnerabilidades hasta cumplir con el ciclo de gestión de éstas. El ciclo de gestión deberá constar de las siguientes fases: planeación, ejecución, revisión y mejora; independientemente del monitoreo continuo que deberá realizar “La Agrupación”, para identificación de vulnerabilidades.
“La Agrupación” cuenta con procesos y/o procedimientos para la ejecución de Análisis de Vulnerabilidades, los cuales estarán alineados a metodologías con mejores prácticas, tales como OWASP, OSSTMM, SANS, ISECOM y/o NIST. Los procedimientos serán entregados en la reunión de kickoff.
Al inicio del contrato, el “INFONACOT” hará entrega del inventario y categorización por nivel
de criticidad de los activos de TI a “La Agrupación” en caso de resultar adjudicada.
“La Agrupación” se apegará en el Marco de Gestión de Seguridad de la Información (MGSI) del Instituto FONACOT, para el seguimiento de las vulnerabilidades identificadas y reportadas en los reportes técnicos de dicho servicio.
“La Agrupación” como parte de su propuesta para este servicio integra una herramienta tecnológica que cumple con las siguientes características o funcionalidades técnicas:
Rrealizar escaneo de vulnerabilidades de sistemas operativos, dispositivos de red, dispositivos de seguridad, firewalls de siguiente generación, hipervisores, bases de datos, servidores Web e infraestructuras esenciales para las vulnerabilidades y las infracciones de cumplimiento.
Proporcionar una consola de gestión en la nube para la gestión de la información de seguridad.
Ejecutar descubrimiento de activos y vulnerabilidades a través de:
Monitoreo pasivo mediante el análisis de red a través de un puerto espejo para el descubrimiento de activos, incluyendo el descubrimiento pasivo de objetivos utilizando IPv6. Dicha tecnología esta patentada.
Los sensores de monitoreo pasivo tendrán la capacidad de ser desplegados en modalidad de alto desempeño para el monitoreo de enlaces de 10 GB.
Sensores activos para el descubrimiento de activos y análisis de vulnerabilidades incluyendo el uso de IPv6. Estos sensores se pueden desplegar en forma de escáneres o agentes.
Los escáneres deben poder desplegarse en una variedad de plataformas, incluyendo: Windows Workstations y Servers, Linux, Mac OS ya sea en dispositivos virtuales o físicos.
El servicio permitirá la priorización de vulnerabilidades basada en una calificación dinámica de probabilidad de explotación que denote la urgencia de atención a una vulnerabilidad. Dicha calificación deberá ser obtenida a partir de los siguientes factores:
El modelo de priorización es capaz de predecir si una vulnerabilidad tiene posibilidades de explotación en el futuro cercano.
La solución desplegará el número de escáneres, monitores de red y agentes de escaneo donde sean necesarios, sin que esto represente un incremento en costo para el Instituto FONACOT.
La solución puede equilibrar cargas a través de múltiples escáneres de forma dinámica con base en la disponibilidad de cada escáner desplegado.
La solución provee una vista de soluciones que permitan enfocar al Instituto FONACOT en las secciones más importantes primero. Dicha vista deberá proveer los siguientes datos:
Descripción de la solución.
Número de dispositivos asociados a la solución.
Número de instancias de vulnerabilidades asociadas a la solución.
La calificación dinámica de probabilidad de explotación más alta para las vulnerabilidades asociadas a la solución.
La solución solicitada incluye la posibilidad de programar ventanas de escaneo.
Etiquetar los activos por grupos en función de las necesidades de la organización para poder categorizar los resultados y asignar las tareas correspondientes.
La solución permite proveer un esquema de perfiles de usuarios basados en funciones de trabajo y los niveles adecuados de acceso a la funcionalidad.
La solución cuenta con una bóveda de contraseñas para ser gestionadas de manera central.
La solución soporta múltiples sets de credenciales Windows, SSH y SNMPv3.
La solución permite la autenticación hacia diferentes servicios en la nube para aplicar escaneos de vulnerabilidades o de auditoría de la infraestructura dentro de estos servicios. Los servicios contemplados en esta característica deben ser al menos los siguientes: AWS, Microsoft Azure, Google y Office 365.
La solución cuenta con un módulo que permite la creación de filtros para mejorar las búsquedas. Estos filtros pueden ser por lo menos: protocolo, IP, activo, identificador de la vulnerabilidad, identificador CVE, CVSS, vulnerabilidades por su puntaje dinámico, explotabilidad, severidad.
La solución guarda estos filtros para reutilizarlos cuando se requieran.
La solución permite clasificar a los activos identificados de manera manual o dinámica, con base en diferentes atributos encontrados en el análisis con base en etiquetas o en grupos de trabajo, para poder usarse en escaneos posteriores.
La solución proporciona información de capacidad de explotación contra las plataformas de validación como Metasploit, CoreImpact y Canvas.
La solución permite la personalización de auditorías de configuraciones de acuerdo a la necesidad del Instituto FONACOT, estas personalizaciones deberán estar basadas en expresiones regulares especificadas en archivos que permitan validar la configuración, permisos de archivos y pruebas de controles de acceso a revisar. Los valores a comparar deberán poderse ajustar con base en las guías de configuración del Instituto FONACOT.
La solución es capaz de proporcionar información de reputación en procesos encontrados y fuentes de inteligencia de amenazas para búsqueda de malware.
La solución puede configurar reglas de escaneo con soporte de reglas YARA. La solución soporta un segundo factor de autenticación.
La solución soporta autenticación compatible con sistemas basados en SAML 2.0
La solución tiene la capacidad de simular ejercicios de explotación benignos para algunas de las vulnerabilidades identificadas a fin de confirmar la presencia y explotabilidad de las mismas.
El servicio permite consultar las tendencias de hallazgos de riesgos hacia las aplicaciones Web a través del tiempo.
El servicio soporta aplicaciones Web que hayan sido desarrolladas en HTML5 y AJAX. El servicio realiza análisis de SQL Injection y XSS.
El servicio permite que las sesiones puedan ser evaluadas por contraseña, por forma, o por cookies.
El servicio puede autenticar a las aplicaciones Web vía Selenium. El servicio puede auditar elementos de formato JSON y XML.
El servicio es capaz de evaluar aplicaciones Web externas e internas.
El servicio es capaz de hacer escaneos de descubrimiento, identificación de sitios que requieren autenticación y escaneos con credenciales.
El servicio es capaz de usar credenciales en aplicaciones web que usen los tipos de autenticación básica, digest, NTLM y vía cookies.
El servicio permite el uso de extensiones de navegadores con el objetivo de interactuar con el proceso de escaneo de vulnerabilidades sobre aplicaciones web.
El servicio de escaneo de vulnerabilidades web cuenta con al menos las siguientes familias de plugins: Code Execution, Cross Site Request Forgery, Cross Site Scripting, Data Exposure, File Inclusion, Injection.
El servicio es capaz de identificar servidores Web dentro de un rango dado de direcciones IP.
El servicio realiza pruebas de autenticación mediante la grabación de una secuencia de inicio de sesión utilizando el registrador de secuencias de inicio de sesión.
El servicio es capaz de generar escaneos de auditoría de configuraciones TLS/SSL.
El servicio es capaz de generar escaneos de cumplimiento PCI específicamente a aplicaciones web a través de una plantilla predefinida.
La solución convive en la misma consola de gestión de vulnerabilidades.
La solución tiene la capacidad de crear reglas que permitan limitar el uso de las imágenes con vulnerabilidades.
La solución es capaz de integrarse a ambientes de servicios como Amazon Web Services, Microsoft Azure y Google Cloud Platform.
La solución es capaz de analizar elementos en Google Cloud Platform de la categoría de cómputo (Google Compute Engine, Google Kubernetes Engine, Google Container Registry), bases de datos y almacenamiento (GCP Cloud SQL Database), networking (GCP Forwarding Rules).
La solución proporciona por defecto plantillas de auditorías basadas en la política de cumplimiento de auditorías de CIS.
La solución proporciona por defecto plantillas de auditoría para políticas basadas en SCAP para el cumplimiento de requerimientos de DISA STIG, NIST, entre otras.
La solución es capaz de deshabilitar toda actividad que pueda tener un efecto adverso en el activo escaneado.
Con el fin de reducir el tráfico innecesario en la red, la solución es capaz de detener el escaneo en activos que dejen de responder los intentos de comunicación.
El escáner utilizado por la solución es capaz de reducir la demanda del escaneo cuando detecte congestión en la red.
La solución tiene la capacidad de definir un número máximo de segundos que el escáner de la solución pueda esperar por una respuesta del activo a escanear.
La solución tiene la capacidad de establecer el número máximo de validaciones que pueden aplicarse simultáneamente en un activo escaneado.
El agente usado por la solución no debe tiene un tamaño en disco mayor a 6.6 MB ni usa más del 10% de memoria disponible mientras no se encuentre escaneando.
La solución puede inferir un puntaje de criticidad del activo considerando factores como: el tipo de dispositivo, los servicios en ejecución identificados en el dispositivo, el sistema operativo identificado y la exposición a internet. Esta criticidad podrá ser modificable por el usuario en caso de requerirse.
El puntaje de criticidad del activo puede ser ajustable manualmente por el administrador de la herramienta.
La solución es capaz de determinar automáticamente el nivel de exposición de cada activo tomando en cuenta la criticidad del mismo, las vulnerabilidades encontradas en él y su probabilidad de explotación.
La solución considera el nivel de exposición de todos los activos del Instituto FONACOT para determinar un puntaje de riesgo general que permita la toma de decisiones estratégicas de seguridad, pudiendo comparar este puntaje con la industria a la que pertenece o contra todo el mundo.
El puntaje de riesgo puede representarse en un contexto específico del Instituto FONACOT, por ejemplo: el nivel de riesgo por ubicación, por tipos de usuarios, por plataformas de sistema operativo, etc.
La solución provee una lista de las acciones recomendadas para poder atender las métricas del puntaje de riesgo de manera efectiva. Esta información deberá poderse exportar.
La solución puede medir la madurez en la práctica de remediación de vulnerabilidades proveyendo una calificación sobre la efectividad de las acciones de remediación que se realizan a la plataforma, tomando en cuenta elementos como: tiempo promedio de remediación desde el descubrimiento, tiempo promedio de remediación desde la publicación, cobertura en las acciones de remediación, promedio de vulnerabilidades por activo.
La solución es capaz de mostrar activos que cuenten con elementos de seguridad endpoint que sirvan como medidas de mitigación mostrando detalles del software involucrado como: fabricante de la solución, nombre de la solución y versión.
La solución proporciona información sobre la postura de seguridad de la organización comparando al menos las 10 principales categorías con alguna base de datos o compañía especializada en creación de scorecards externa.
La solución tiene la capacidad de integrarse con sistemas tipo SIEM para incrementar la capacidad de visibilidad de amenazas del Instituto FONACOT, así como de respuesta a vulnerabilidades. Por defecto debe tener la capacidad de integrarse al menos con las siguientes soluciones: Chronicle, IBM Qradar, LogRhytm, Splunk, Stellar Cyber, Sumo Logic.
La solución tiene la capacidad de integrarse con soluciones MDM para identificación de vulnerabilidades en dispositivos móviles, por lo menos: VMWare Workspace One, Apple Profile Manager, MaaS360, Blackberry, Microsoft Intune y MobileIron.
La solución tiene la capacidad de integrarse con soluciones tipo Privileged Access Management (PAM), pudiendo hacerlo de forma nativa al menos con los siguientes fabricantes: Arcon, Beyond Trust, Centrify, Cyber Ark, Xxxxx Corp, Thycotic y Senha Segura.
La solución proporciona una integración con los sistemas de administración de parches, auditoría e informes de diferencias en los parches contra equipos valorados. Por lo menos se deben soportar: Microsoft WSUS/SCCM, Red Hat Satellite, HCL BigFix, Symantec Altiris, Dell KACE K1000.
La solución cuenta con un conector específico para el servicio de Amazon Web Services, Microsoft Azure y Google Cloud Platform que permitan importar los activos existentes en estos servicios de nube pública.
Cuando un activo sea descubierto por el conector de AWS, Azure o GCP, no debe contar automáticamente contra la licencia de la solución, a menos que sean escaneados posteriormente para descubrir sus vulnerabilidades.
Para el servicio de nube pública de AWS la plataforma es capaz de ejecutar análisis de vulnerabilidades sin la necesidad de usar un escáner, agente o algún otro mecanismo intrusivo en la red privada virtual.
La solución proporciona dashboards por default que puedan ser exportados al menos en los siguientes formatos: PDF, PNG y JPG.
La solución proporciona Dashboards que deberán desplegar los datos históricos basados en la versión de CVSS configurada al momento de que los datos fueron calculados.
La solución puede exportar información en formatos PDF, HTML y CSV.
Los dashboards pueden mostrar la tendencia de identificación de vulnerabilidades y su evolución con el paso del tiempo, mostrando la información relevante de las vulnerabilidades.
Los dashboards permiten filtros editables a aplicar en función de los grupos de activos de la organización, ser editables y agregar búsquedas personalizadas.
Los dashboards son personalizables mediante la capacidad de agregar distintos componentes como: tablas, matrices, gráficas de línea, gráficas circulares, gráficas xx xxxxxx y gráficas de área.
Los dashboards pueden exportarse en formato PDF, así como poderse programar las exportaciones de acuerdo con las necesidades del administrador.
La solución identificará las debilidades ocultas en configuraciones dedicadas en el Directorio Activo
La solución sugerirá acciones preventivas de hardening para el Directorio Activo
La solución posee funcionalidades para analizar en detalle cada configuración incorrecta que acarrea riesgos de seguridad a través de lenguaje simple contextualizando tal riesgo para los equipos involucrados.
La solución proporciona recomendaciones de corrección para cada configuración incorrecta.
La solución evalúa las relaciones de confianza riesgosas entre Forests y Dominios.
La solución captura todos los movimientos que ocurren en el Directorio Activo y mostrarlos en la consola de administración.
La solución muestra un dashboard customizable con la información más relevante respecto a ataques y vulnerabilidades.
La solución permite la correlación de cambios en el Directorio Activo y desvíos en los parámetros de seguridad.
La solución provee una interfaz web para la administración de las funciones. La solución soporta un modelo de control basado en funciones RBAC.
La solución no realiza modificaciones en el Directorio Activo, sus objetos ni sus atributos. La solución no almacena ni sincronizar ninguna credencial de objetos del Directorio Activo. La solución soporta ambientes con múltiples Forests y Dominios.
La solución soporta el monitoreo continuo de ambientes con Directorio Activo con el nivel funcional de Forest y Xxxxxxx a partir del 2008.
La solución puede descubrir y mapear la superficie de ataque del Directorio Activo y sus dominios monitoreados con las siguientes características:
La solución no depende de agentes o sensores para la recolección de información del Directorio Activo.
La solución sigue buenas prácticas de menor privilegio, la cuenta de servicio utilizada para la conexión con el Directorio Activo siendo el menor nivel de acceso esperado para la cuenta de servicio como parte del grupo Domain User.
La solución proporciona Interfaz web que consolida y presenta de manera unificada los dominios monitoreados y las posibles relaciones de confianza establecidas entre ellos.
La solución analiza continuamente la postura de seguridad del Directorio Activo evaluando por lo menos:
Validación de GPOs desvinculadas, deshabilitadas o huérfanas. Validación de cuentas desactivadas en grupos privilegiados.
Xxxxxxxx usando una configuración peligrosa de compatibilidad con versiones anteriores por medio de alteraciones en el atributo dSHeuristics.
Validación de atributos relacionados al movimiento de credenciales vulnerables (ms-PKI-DPAPIMAsterKeys) administrados por un usuario sin privilegios.
Validación de un dominio sin GPOs de protección de computadora desactivando los protocolos vulnerables antiguos como NTLM v1.
Validación de cuentas con contraseñas que nunca expiran. Validación de cuentas reversibles en GPOs.
Validación de uso de contraseñas reversibles en cuentas de usuario. Validación de uso de protocolo de cifrado débil en cuentas de usuario.
Validación de uso de LAPS (Solución de contraseña de administrador local) para manejar contraseñas locales con privilegios.
Validación si el dominio posee un nivel funcional desactualizado. Validación de cuentas de usuario usando contraseña antigua.
Validación del uso del atributo AdminCount en los diferentes usuarios.
Validación del uso reciente de la cuenta de administración default.
Validación de usuarios con permiso para ingresar computadoras en el dominio. Validación de cuentas durmientes.
Validación de computadoras ejecutando un sistema operativo obsoleto.
Validación de restricciones de logon para usuarios privilegiados en ambiente con multiples tiers (1,2 y 3) de segregación de activos.
Validación de permisos peligrosos configurados en el “Schema” del Directorio
Activo.
Validación de cuentas que poseen un atributo peligroso del histórico SID Validación de cuentas utilizando control de acceso compatible con versiones
anteriores a Windows 2000
Validación de la última alteración de la contraseña del KDC.
Validación de la última alteración de la contraseña de la cuenta SSO xx Xxxxx AD. Validación de cuentas que pueden tener una contraseña en blanco o vacía.
Validación del uso del grupo nativo Protected Users.
Validación de privilegios sensibles (Ej.: Program Debug, Replace Level Process Token, etc.)
Validación de posibles contraseñas almacenadas en texto claro.
Validación de salud de las GPOs y los componentes tipo CSE (Client Side Extension) Validación de uso de algoritmos de cifrado débil en la infraestructura PKI del
Directorio Activo.
Validación de cuentas de servicio con SPN (Service Principal Name) que hacen parte de los grupos privilegiados.
Validación de cuentas anormales en los grupos administrativos del Directorio Activo.
Validación de consistencia en el contenedor adminSDHolder. Validación de Kerberos Delegation peligrosa.
Validación en permisos de objetos raíz que permiten ataques de tipo DCSync. Validación de políticas de contraseña débiles aplicadas a los usuarios.
Validación de permisos relacionados a las xxxxxxx xx Xxxxx AD Connect Validación del ID de grupo primario del usuario (Primary Group ID) Validación de permisos relacionados a xxxxxxx xx Xxxxx AD Connect.
Validación del ID de grupo primario de usuario (Primaty Group ID)
Validación de los permisos en GPOs sensibles asociados a la configuración, sitios, partición de Rooty OUs sensibles como los Domain Controllers.
Controladores de dominio administrados por usuarios ilegítimos
Validación de certificado mapeado a través de atributo altSecurityIdentities en cuentas privilegiadas.
Validación del uso de protocolo Netlogon inseguro (Zerologon/CVE-2020-1472)
La solución identifica las vulnerabilidades y configuraciones incorrectas del AD a medida que son introducidas siendo:
Identificar todas las vulnerabilidades y configuraciones incorrectas del Directorio Activo.
Monitorear las relaciones de confianza peligrosas en toda la estructura del Directorio Activo.
Presentar amenazas y alteraciones sin la necesidad de escaneos estáticos y programados en el Directorio Activo y su infraestructura.
Presentar amenazas y modificaciones sin la necesidad de escaneos estáticos y programados en el Directorio Activo y su infraestructura.
La solución identifica ataques específicos para la estructura del Directorio Activo.
La solución analiza en detalle un ataque explorando las descripciones a través del framework Mitre Attack.
Detección a ataques:
Monitorear continuamente los indicadores de posibles ataques como DCSync, DC Shadow, Password Spraying, Password Guessing / Brute Force, LSAAS Injection en los controladores de Dominio, Golden Ticket, NTLM Relay entre otros.
Detección de ataques en el Directorio Activo.
Análisis detallado del ataque presentando activo de origen, vector de ataque, controlador de dominio afectado y técnica aplicada.
Presentación de ataques en una línea de tiempo.
La solución permite la búsqueda ágil de eventos específicos en la base de la solución a través de queries customizadas.
La solución es capaz de enviar alertas por email.
La solución posee APIs tipo REST y todas deben estar documentadas.
La solución permite la creación de listas de exclusión soportando por lo menos exclusión por dominios del Directorio Activo monitoreados y por elemento individual analizado.
La licencia de la solución es por número de usuarios habilitados en los dominios monitoreados.
La solución tiene la capacidad de mostrar los resultados de riesgo representados por aplicaciones web, recursos cloud, evaluación del directorio activo y evaluación de la infraestructura tradicional. Estos niveles de riesgo deben ser representados en los mismos términos independientemente de cómo sean calculados desde su origen.
“La Agrupación” en caso de resultar adjudicada, llevará a cabo las siguientes actividades técnicas y administrativas:
“La Agrupación” proporcionará los profesionales calificados para realizar pruebas de penetración y explotación táctica de aplicaciones, infraestructura o servicio de TIC que “NO” sean parte del presente contrato con la finalidad de evaluar su nivel de seguridad.
“La Agrupación” incluirá para la ejecución de las pruebas de penetración todos los elementos tecnológicos necesarios (hardware, firmware y software) que “NO” sean parte del presente contrato, incluyendo el o los servicios de TIC específicos alojados en el objetivo de la prueba y no limitarse a los sistemas operativos de tales elementos. Los servicios deberán realizarse con herramientas licenciadas.
“La Agrupación” dispone de las herramientas tecnológicas especializadas en hackeo ético para desarrollar las actividades correspondientes a la entrega del servicio.
“La Agrupación” documentará todas las actividades realizadas y en caso de encontrar algún hallazgo deberá proporcionar recomendaciones para aplicar acciones de remediación.
EL “INFONACOT” solicitará este servicio bajo demanda de acuerdo con las necesidades que tenga respecto del mismo durante la vigencia del contrato, considerando al menos una prueba cada 8 meses.
“La Agrupación” realizará las pruebas de penetración solicitadas bajo demanda cuando EL “INFONACOT” las solicite formalmente, deberá realizarlas durante los horarios indicados por EL “INFONACOT”, priorizando la disponibilidad de los sistemas e infraestructura de TIC, por lo cual deberá considerar el ejecutar las actividades fuera de horario laboral.
EL “INFONACOT” reconocerá la entrega de cada prueba de penetración, una vez que “La Agrupación” formalice los entregables conforme a lo establecido en el presente documento
EL “INFONACOT” proporcionará la información requerida por “La Agrupación” para la ejecución de cada prueba de penetración, la cual se realizará sobre un objetivo específico, pudiendo ser de manera enunciativa mas no limitativa los siguientes:
Portales Web.
Equipos de comunicaciones.
Equipos de seguridad lógica perimetral. Servidores.
Bases de datos.
“La Agrupación” documentará y pondrá a disposición de EL “INFONACOT” el proceso bajo el cual desarrollará cada prueba, debiendo considerar al menos los siguientes aspectos:
Realizar un análisis activo del objetivo.
Identificar vulnerabilidades, fallas técnicas o errores humanos. Efectuar las pruebas desde la posición de un atacante potencial.
Incluir de ser requerido por EL “INFONACOT”, una explotación activa de las
vulnerabilidades.
“La Agrupación” antes de iniciar una prueba de penetración entregará un documento denominado “Statement Of Work” (SOW) donde se deberán especificar el conjunto de actividades que se realizaran durante la prueba, basándose en las mejores prácticas apegadas a este servicio como son: SANS, NIST, OWASP, entre otras, dicho documento deberá ser aprobado por EL “INFONACOT”.
“La Agrupación” entrega como parte de su propuesta técnica el procedimiento o metodología para la ejecución de las pruebas de penetración.
“La Agrupación” realizará un análisis dinámico del objetivo de la prueba, documentando las vulnerabilidades detectadas, su impacto, recomendaciones de remediación, o la aplicación de controles compensatorios que permitan reducir la exposición del sistema.
“La Agrupación” integrará dentro de sus entregables todas las evidencias generadas durante la ejecución de la prueba, tales como vectores de ataque.
“La Agrupación” considerará que existirán condiciones especiales donde EL “INFONACOT” solicitará que se realicen pruebas de penetración urgentes “en demanda” a algún objetivo específico con la premura de obtener los resultados oportunamente.
“La Agrupación” realizará la prueba de penetración urgente bajo el mismo esquema de ejecución y alcance que el descrito en la fase anterior.
“La Agrupación” concluirá la entrega de los servicios correspondientes a pruebas de penetración urgentes, dentro de los 3 días hábiles posteriores al día en que EL “INFONACOT” formalice la solicitud al “LICITANTE”.
En caso de que EL “INFONACOT” lo requiera, “La Agrupación” validará el tratamiento que los equipos responsables de la remediación hallan dado a los hallazgos correspondientes a la fase de ejecución de la prueba de penetración.
En caso de persistir hallazgos con nivel de riesgos altos o críticos “La Agrupación”
realizará una presentación técnica, al personal que defina EL “INFONACOT”, donde
exponga los hallazgos y el detalle de las recomendaciones para la remediación correspondiente.
“La Agrupación” se apegará al Marco de Gestión de Seguridad de la Información (MGSI)
del “INFONACOT”.
El “INFONACOT” requiere un Servicio de Análisis Forense que sea proporcionado en un esquema bajo demanda durante la vigencia del contrato, “La Agrupación” considerará personal especializado ya sea en sitio o de manera remota para la ejecución de las actividades relacionadas, de acuerdo al requerimiento del FONACOT. El Administrador del Contrato por parte del “INFONACOT” será el único medio de comunicación oficial para solicitar a “La Agrupación” en caso de resultar adjudicada, de manera formal los eventos que se requieran durante la vigencia del contrato, mismos que serán dimensionados tomando como referencia que un evento considera solo un equipo de cómputo o servidor.
El “INFONACOT” proporcionará el acceso necesario y de forma expedita, que permita realizar
el procedimiento de adquisición de información.
“La Agrupación” cuenta con un procedimiento o metodología para la ejecución de los análisis forenses, la cual deberá presentar como parte de su propuesta técnica.
Como parte del análisis de cómputo forense, “La Agrupación” ejecutará por lo menos las siguientes fases:
Identificación del incidente. Recopilación de evidencias. Preservación de la evidencia. Análisis de la evidencia.
Documentación y presentación de los resultados.
Generar y preservar en todo momento la información bajo un protocolo alineado a la norma NMX-I-289-NYCE-2016 que permita realizar copias bit a bit de los equipos de cómputo objeto del análisis y generar un reporte de dicho análisis.
Adquisición de la evidencia digital, lo cual consiste en el levantamiento de los indicios o elementos materiales probatorios a través de métodos y técnicas que garanticen la integridad de la evidencia digital.
El copiado de disco deberá realizarse mediante herramientas de propósito específico para la extracción de información, para lo cual se deberá garantizar la integridad de la información y la preservación de la evidencia por lo menos los 6 meses posteriores a la fecha del incidente a menos que el “INFONACOT” solicite por escrito que se preserve por un plazo mayor, el cual no debe exceder a la vigencia del contrato. “La Agrupación”
considerara como parte de su propuesta, los dispositivos que estime necesarios para preservar estas evidencias.
Contar con el equipo y licenciamiento necesario para realizar el análisis y búsqueda de evidencias durante el desarrollo de Análisis Forense.
Generar y registrar para cada caso los siguientes documentos:
Elaborar constancias o actas de hechos de los eventos de adquisición de información.
Registro de las actividades realizadas como parte de la generación y preservación de la información.
Memoria técnica de adquisición de información.
“La Agrupación” al término del análisis, realizará la presentación de resultados, elaborar y entregar un informe de Análisis Forense, el cual deberá contener de manera enunciativa, mas no limitativa, los siguientes apartados:
Resumen ejecutivo.
Reporte Técnico con lo siguiente: Alcance y objetivo.
Premisas.
Escenario de trabajo. Estado del equipo.
Técnicas utilizadas. Cronología de eventos. Causa u origen del incidente. Recomendaciones.
Hallazgos relevantes y detalle.
Con la finalidad de que se realice un dimensionamiento lo más acorde a las necesidades del “INFONACOT”, “La Agrupación” tomo en consideración la información de volumetrías para cada uno de los servicios que se describe a continuación:
LINEA BASE | ||||
SERVICIOS | UNIDAD DE MEDIDA | CANTIDAD MÍNIMA Mensual | CANTIDAD MÁXIMA Mensual | UNIDAD DE CRECIMIEN TO |
Análisis y Gestión de Vulnerabilidades | Activos | 12 | 17 | 1 |
Pruebas de Penetración | Activos | 0 | 2 | 1 |
Análisis Forense | Activos | 0 | 1 | 1 |
“La Agrupación” cuenta con una Mesa de Servicio para atender las solicitudes e incidentes que se presenten como parte de la operación del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración”.
La Mesa de Servicio permite el registro, notificación, seguimiento para la atención a solicitudes, incidentes, problemas o requerimientos relacionados con las herramientas ofertadas como parte de su propuesta para brindar los servicios. Así como, la atención de incidentes de seguridad.
Para recibir y dar seguimiento a solicitudes de servicio e incidentes que interrumpan o degraden el servicio o atender actualizaciones, “La Agrupación” atenderá las siguientes prácticas:
“La Agrupación” será el único punto de contacto para reportar incidencias, contar con personal de primer nivel para proveer soporte y atención.
“La Agrupación” proporcionará asistencia y soporte técnico de segundo y tercer nivel, telefónico o presencial, en formato de 24x7x8 meses, durante toda la vigencia del servicio.
“La Agrupación” implementará mecanismos de comunicación con el personal técnico del
“INFONACOT”.
“La Agrupación” proporcionará asistencia técnica telefónica desde sus instalaciones, con
personal capacitado y sin ningún costo adicional para el “INFONACOT”.
“La Agrupación” proporcionará el procedimiento para el levantamiento y seguimiento de tickets. El “INFONACOT” proporcionará a “La Agrupación” la lista del personal autorizado para poder levantar solicitudes.
“La Agrupación” cuenta con un aplicativo para la gestión de las solicitudes y proporcionar un acceso a través de una interfaz Web a esta herramienta para el personal técnico que el “INFONACOT” designe. Toda la información relativa a cualquier solicitud deberá estar disponible a través de esta herramienta. El cual deberá estar alineado a los procesos de ITIL.
“La Agrupación” proporcionará el procedimiento para escalamiento de los problemas cuando estos no hayan podido resolverse en los tiempos acordados por los niveles de
servicio. Dicho procedimiento deberá ser aprobado por el Administrador del Contrato
que designe el “INFONACOT”.
En caso de que la falla sea atribuible a “La Agrupación”, éste le dará una atención hasta la solución y en su caso se aplicará la deducción-penalización correspondiente de acuerdo a los niveles de servicio.
Un reporte será considerado como cerrado satisfactoriamente cuando se haya concluido exitosamente, documentado un incidente o problema presentado, regresando a la normalidad todos los conceptos o elementos involucrados, dentro de la ventana de tiempo especificada y haber aplicado la encuesta de satisfacción del usuario.
Una vez concluida la atención y soporte de las solicitudes, el nivel de soporte correspondiente que atendió el servicio deberá notificar al responsable del servicio, vía correo electrónico y través de la herramienta de gestión de solicitudes, que se dio por concluida la atención, indicando en forma resumida la causa de la falla y la acción de solución, así como la hora en que el servicio se restablece. Este correo es necesario para cerrar el reporte.
Será responsabilidad de “La Agrupación” la gestión, adquisición y mantenimiento de las herramientas y el hardware necesario con la cual opere el área de atención. Dicha área de atención fungirá como el único punto de contacto para la solución de solicitudes, incidentes, problemas y requerimientos relacionados con el servicio.
“La Agrupación” presenta como parte integral de su propuesta técnica el procedimiento para el registro, seguimiento y atención de solicitudes, incidentes, problemas o requerimientos relacionados con las herramientas tecnológicas propuestas como como parte del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración”, así como la respectiva matriz de escalamiento.
“La Agrupación” entregará un reporte mensual con la información de los tickets recibidos y atendidos durante dicho periodo, el cual deberá contener como mínimo la siguiente información.
Número de ticket.
Fecha y hora de creación. Descripción del evento Usuario que lo reportó.
Personal que lo atendió. Fecha y hora de resolución. Descripción de la solución.
Encuesta de satisfacción del usuario (percepción de calidad).
Se entiende que en cada nivel de soporte se tendrán los siguientes alcances:
Mesa de Servicio
Genera el ticket correspondiente a la solicitud, incidente, problema o requerimiento
reportado por el usuario del “INFONACOT”.
Diagnóstico inicial de la solicitud, incidente, problema o requerimiento.
Consulta en Base de Datos de Conocimientos de “La Agrupación” para la resolución en caso de aplicar de la solicitud, incidente, problema o requerimiento.
Determinar el nivel de severidad en conjunto con el “INFONACOT” y escalar en caso
necesario al nivel de soporte adecuado para su atención.
Ingeniero de 2° Nivel:
Análisis de la solicitud, incidente, problema o requerimiento reportado conforme a la solución específica.
Análisis de registros y en caso necesario conexión remota para la resolución de la solicitud, incidente, problema o requerimiento.
Identificar si la solicitud, incidente, problema o requerimiento requiere disparar asistencia en sitio y/o elevar la atención a tercer nivel.
Ingeniero de 3er Nivel:
Detección de problemas de aplicación e infraestructura.
Resolución remota o en sitio del incidente, problema o requerimiento atribuible a la aplicación y componentes de la solución.
Levantar la solicitud de atención ante el fabricante en caso necesario.
En casos extraordinarios en donde “La Agrupación” no pueda resolver el incidente o requerimiento en el tercer nivel, será necesario que escale el caso al fabricante, quien atenderá el evento y establecerá el mecanismo de resolución que corresponda, que para casos de ese tipo puede involucrar modificaciones al servicio y/o aplicación.
Fabricante:
Remplazo de equipo (RMA) en caso de ser necesario en menos de 24 horas.
Desarrollo de parches para solución del incidente o requerimiento en caso de ser necesario.
“La Agrupación” en caso de resultar adjudicada, cumplirá con los niveles de servicio para atención a todas las solicitudes, incidentes, problemas y requerimientos que se tengan dentro del periodo de vigencia del servicio. El personal de la Mesa de Servicio determinará en conjunto con el personal del “INFONACOT” el nivel de severidad de la solicitud, incidente, problema o requerimiento con base al impacto que presente, la afectación, atendiendo las siguientes definiciones:
SEVERIDAD | DEFINICIÓN | Tiempo de Atención |
1: Impacto Crítico | Cuando el servicio no esté operando y esto afecte la continuidad en la operación del "INFONACOT" o se presente una caída total de la infraestructura del "INFONACOT". | “La Agrupación” contará con un máximo de 2 horas para el iniciar con las actividades de Análisis. |
2: Impacto Alto | Cuando el servicio está siendo afectado de manera importante; y se presente afectación con intermitencia en la operación del servicio del "INFONACOT", siendo posible continuar con las operaciones básicas necesarias, pero a largo plazo se afectarán negativamente. | “La Agrupación” contará con un máximo de 4 horas para el iniciar con las actividades de Análisis. |
3: Impacto Medio | Cuando el servicio este afectado, pero se pueda continuar trabajando con una pérdida menor de servicios o recursos del "INFONACOT". | “La Agrupación” contará con un máximo de 8 horas para el iniciar con las actividades de Análisis. |
4: Impacto Bajo | Cuando exista un problema, pero este no afecte la operación normal del servicio. Peticiones de funcionalidad nueva, consultas, etc. | “La Agrupación” contará con un máximo de 24 horas para el iniciar con las actividades de Análisis. |
“La Agrupación” cumplirá los tiempos de atención y respuesta de las solicitudes, incidentes, problemas y requerimientos para la entrega de los servicios objeto del presente anexo técnico, atendiendo los siguientes niveles de soporte:
Responsable | Tiempo de Atención |
Mesa de Ayuda | Atención telefónica dentro de los primeros 5 minutos / Vía correo electrónico dentro de los primeros 15 minutos. |
Los niveles de servicio que cumpla “La Agrupación”, atenderán a las siguientes definiciones: Soporte de 1er. Nivel: Inicia en el momento en que el personal autorizado del “INFONACOT” levanta un ticket para la atención una solicitud, incidente, problema o requerimiento vía correo electrónico o vía telefónica a través de la Mesa de Servicio, el personal de la Mesa de Servicio por parte de “La Agrupación” realizará el diagnóstico inicial de la solicitud, incidente, problema o requerimiento y buscará darle solución con base a la información existente en su base de conocimientos, en caso de no poder dar solución al problema asignará el caso al ingeniero de soporte de acuerdo con el nivel de severidad identificado, el cual se encargará de elaborar un diagnóstico y dará seguimiento hasta la solución del problema.
Soporte de 2do. Nivel: Se asignará un ingeniero de segundo nivel para la solución de la
solicitud, incidente, problema o requerimiento, quien deberá identificar si este está relacionado con la infraestructura tecnológica o configuración de la misma y dará seguimiento en caso de que este no se pueda resolver vía telefónica a través de la Mesa de Servicio. Si fuese necesario, podrá asistir a sitio para la solución, dependiendo del diagnóstico realizado y el nivel de severidad de la solicitud, incidente, problema o requerimiento.
Soporte de 3er. Nivel: Es realizado por ingenieros especialistas certificados por el fabricante, dedicados en específico a la solución. El personal al que se asigne el incidente, problema o requerimiento tendrá como objetivo detectar cualquier falla en la aplicación y en caso necesario, levantar un caso con el fabricante, con quién coordinará la aplicación de medidas correctivas y dará seguimiento a la problemática hasta su solución.
En caso de que la solución del incidente, problema o requerimiento necesite el remplazo de equipo (RMA) o alguna solución de desarrollo del fabricante.
El tiempo total por mes se considerará de acuerdo a los días naturales de cada mes, según se muestra en la tabla siguiente:
Servicio | Disponibilidad del servicio | Observaciones | |||
Análisis y Gestión de Vulnerabilidades | 99.9% | Este servicio deberá mantener el disponibilidad mensual, incluyendo tecnologías que forman parte del servicio | 99.9% todas | de las | |
Pruebas Penetración | de | 99.9% | Este servicio deberá mantener el disponibilidad mensual, incluyendo tecnologías que forman parte del servicio | 99.9% todas | de las |
Análisis Forense | 99.9% | Este servicio deberá mantener el disponibilidad mensual, incluyendo tecnologías que forman parte del servicio | 99.9% todas | de las | |
“La Agrupación” de resultar adjudicada para el “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración”, deberá comprobar a solicitud del “INFONACOT” que cuenta con soporte técnico vigente para las herramientas tecnológicas
con las que este brindando el servicio, cumpliendo en todo momento con los niveles de servicio establecidos en el presente anexo técnico.
Los mantenimientos a la infraestructura necesaria para la prestación del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración” serán responsabilidad de “La Agrupación” en caso de resultar adjudicada y no deberá generar un costo adicional para “INFONACOT”.
“La Agrupación” en caso de resultar adjudicada dotará todos los componentes necesarios
(los recursos humanos, materiales, software, licencias, etc.), para el cumplimiento de los servicios en esta fase en tiempo y forma.
En esta Fase se deberá de llevar a cabo la reunión de trabajo kick off, en la cual se definirá y validará el Plan de Trabajo definitivo a detalle, que deberá incluir todas las actividades requeridas para el cumplimiento de las etapas generales del proyecto, dicha reunión será convocada y organizada de común acuerdo entre “La Agrupación” y el “INFONACOT”.
Deberá liderar la reunión el administrador del contrato asignado por el “INFONACOT”. “La Agrupación” presentará a los actores más relevantes que conformarán el comité de administración del proyecto por parte de “La Agrupación”, así mismo, será el responsable de realizar la gestión de las etapas del proyecto y sus lineamientos de comunicación. El Administrador del proyecto de “La Agrupación” conjuntamente con el Administrador del contrato del “INFONACOT”, determinarán la programación de las sesiones para las mesas de trabajo, el mecanismo de seguimiento al plan de trabajo de “La Agrupación” para atender todos los requerimientos que integran el desarrollo del proyecto, dicho plan deberá estar sustentando en las mejores prácticas en administración de proyectos.
Entre otros componentes relevantes y mínimos que “La Agrupación” entregará posteriores a dicha reunión, se encuentran:
El Plan de Administración del Proyecto que como mínimo debe tener: Resumen ejecutivo del entendimiento y alcance del proyecto Plan general de trabajo por etapas y fases del proyecto Estructura desglosada del trabajo
“La Agrupación” presentará la información de manera impresa y electrónica, pudiéndose
apoyar de herramientas de administración de proyectos para la presentación, por ejemplo, de diagramas de red, gráficos de Gantt, u otros que se requieran con base en las mejores prácticas.
En las reuniones iniciales se deberá definir el listado de activos críticos a ser considerados para las actividades de monitoreo, análisis y gestión de vulnerabilidades, así como para las pruebas de penetración, entre otros servicios.
“La Agrupación” de resultar adjudicada se encargará al 100% de la implementación y puesta a punto de las soluciones tecnológicas e infraestructura propuesta para brindar los servicios mencionados en esta fase.
Durante esta Fase se deberán de llevar a cabo las actividades mensuales de monitoreo, análisis y gestión de vulnerabilidades, de las pruebas de penetración y los servicios forenses de común acuerdo entre “La Agrupación” y el “INFONACOT”.
Se deberá dar seguimiento por medio del administrador del contrato por parte del “INFONACOT” a las remediaciones generadas por los dueños de los diferentes sistemas o servicios para realizar los análisis de vulnerabilidades o las pruebas de penetración que puedan comprobar que estas se realizaron de manera correcta, en caso de detectar nuevas vulnerabilidades o brechas de seguridad, se deberá realizar una actualización a las recomendaciones de remediación. El licitante podrá validar hasta 2 veces las remediaciones realizadas sin que esto cuente como un ejercicio nuevo, en caso de que se realicen más de 2 ejercicios de validación de las remediaciones y los sistemas o servicios sigan presentando los mismos o nuevos hallazgos derivados de las acciones realizadas, se requerirá como un nuevo ejercicio y se contabilizara para la facturación mensual.
Se tendrán sesiones mensuales durante la vigencia del servicio y se revisarán los reportes y entregables mensuales asociados a esta fase. Derivado de los hallazgos identificados en los análisis y pruebas realizadas durante el mes, el Administrador del Contrato por parte del “INFONACOT” podrá solicitar bajo su criterio y alineado al MGSI un número mayor o menor de análisis y/o pruebas a realizar para los siguientes meses.
“La Agrupación” en caso de ser adjudicada entregará la información o documentación relacionada con los servicios proporcionados en el presente anexo, cuando así lo solicite el Órgano Interno de Control Específico en el “INFONACOT” o demás órganos fiscalizadores o autoridades que ejercen facultades de supervisión al “INFONACOT”, con motivo de las auditorías, visitas o inspecciones practicadas, de conformidad con lo establecido en los artículos 57 de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, 107 de su Reglamento, 32 de la Ley del Instituto de Fondo Nacional para el Consumo de los Trabajadores y 9 de la Ley de Fiscalización y Rendición de Cuentas de la Federación “La Agrupación” sí resulta adjudicada considerará la incorporación de personal certificado para la operación, administración y el soporte técnico para la prestación del servicio. “La Agrupación” asignará a un administrador del proyecto de tiempo completo, para atender los requerimientos que como parte de la prestación de los servicios solicite el “INFONACOT”.
“La Agrupación” asignará durante la vigencia del contrato una mesa especializada de servicios para atender las diferentes solicitudes, incidentes, problemas o requerimientos producto de este proyecto, con capacidades y conocimientos técnicos necesarios para atender y resolver con calidad y eficiencia los requerimientos de los servicios de soporte técnico.
En caso de ser requerido para el correcto cumplimiento y cobertura de los niveles de servicio, “La Agrupación” podrá asignar personal en sitio para la atención de eventos o requerimientos relacionados con los servicios requeridos en el presente anexo técnico, así como tareas de seguimiento, troubleshouting o auditorias, considerando para ello al menos uno (1) recursos, los cuales deberán traer su equipamiento informático requerido y el “INFONACOT” asignará espacio de trabajo necesario para el desarrollo de sus funciones.
Al cierre de esta fase se deberá acordar con el administrador del contrato por parte del
“INFONACOT” las fechas para las sesiones de cierre de la Fase III.
Esta fase iniciará inmediatamente después de la terminación de la Fase II, donde “La Agrupación” en caso de resultar adjudicada, deberá haber cumplido con la operación al 100% de los servicios mencionados en la Fase II.
Las actividades que se realizarán en esta fase son: Entrega de acta de cierre del servicio.
Eliminación de cualquier información sensible que se haya colectado durante los servicios,
de manera segura y notificando al “INFONAOCT”
Transferencia de información de los hallazgos más relevantes detectados durante la fase II del servicio.
Dichas actividades mencionadas en el párrafo anterior son enunciativas mas no limitativas.
“La Agrupación” de resultar adjudicada generará los entregables de la Fase III descritos en la sección de Entregables del presente documento.
“La Agrupación” sí resulta adjudicada como parte del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración” deberá proporcionar al “INFONACOT” los entregables que se generen en las diferentes fases de ejecución del proyecto; los cuales deberán entregarse a periodo vencido del mes inmediato anterior, conforme al plan de trabajo establecido y a la tabla siguiente. Todos los entregables deberán ser firmados por el representante legal de “La Agrupación”. Los formatos de los entregables serán definidos por “INFONACOT” y se validarán en conjunto con “La Agrupación”.
Entregables de la FASE I.
Nombre del Entregable | Descripción del Entregable | Periodicid ad / fecha de entrega | Formato en que deberá entregarse |
1. Minuta de Reunión de Kick off | Minuta donde se describan los acuerdos de la reunión de kick off y en donde se establecerán las mesas de trabajo, con la presentación inicial para el arranque de la operación del proyecto. Este documento deberá mostrar lo que se espera del proyecto y las funciones de cada perfil participante. Permitiendo que todos tengan la misma visión de las tareas que necesitan ser realizadas para el éxito de la ejecución durante la vigencia del contrato. | Hasta 5 días hábiles posteriores a la fecha de adjudicació n. | Impreso o Electrónico, en formato PDF. |
2. Plan de Administraci ón del Proyecto | Plan de Administración del proyecto que como mínimo debe tener: Resumen ejecutivo del entendimiento y alcance del proyecto Plan general de trabajo por etapas y fases del proyecto | Hasta 5 días hábiles posteriores a la junta de inicio del proyecto (Kick off). | Impreso o Electrónico, en formato Microsoft Project 2013 o superior. |
3. Metodologías a usar para el análisis de vulnerabilida des, pruebas de penetración y análisis forense. | “La Agrupación” entregará las metodologías y su descripción a usar para el análisis de vulnerabilidades, las pruebas de penetración y análisis forense. | Hasta 7 hábiles días después del inicio del contrato | Impreso o Electrónico, formato libre |
4. Matriz de escalamiento | Documento que contenga los datos de las personas que serán designadas para la atención y ejecución del proyecto. Nombre. Puesto y/o Rol. | Hasta 5 días hábiles posteriores a la fecha de notificació n del fallo | Impreso o Electrónico en formato PDF. |
Nombre del Entregable | Descripción del Entregable | Periodicid ad / fecha de entrega | Formato en que deberá entregarse |
Actividades que desempeñarán durante el proyecto. Correo electrónico. Número telefónico de oficina. Extensión (cuando aplique). Número telefónico móvil. | |||
5. Relación del personal asignado al proyecto. | Documento con la relación del personal que estará asignado al proyecto, al cual se deberán adjuntar los currículos vitae y certificaciones correspondientes. | En la primera reunión inicial de las mesas de trabajo. | Impreso o Electrónico en formato PDF. |
6. Procedimient os para la atención a través de la mesa de servicio | Documento que contenga el procedimiento a seguir para la atención para las solicitudes, incidentes, problema o requerimientos, el cual deberá ser aprobado por el “INFONACOT”. | Hasta 5 días hábiles posteriores al inicio de la vigencia del contrato | Impreso o Electrónico, |
Entregables de la FASE II.
Nombre del Entregable | Descripción del Entregable | Periodicid ad / fecha de entrega | Formato en que deberá entregarse |
7. Reporte mensual de la infraestructur a y servicios críticos monitoreado s. | Documento que contenga la relación de equipos y servicios críticos que se están monitoreando continuamente, así como los hallazgos más relevantes y recomendaciones de remediación para el “INFONACOT” en caso de existir. | Los primeros 5 días hábiles de cada mes. | Impreso o Electrónico en formato PDF. |
8. Reporte mensual de análisis de vulnerabilida des. | Documento que contenga el resumen de los análisis de vulnerabilidades realizados durante el mes, la información deberá incluir: Usuario requirente. | Los primeros 5 días hábiles de cada mes. | Impreso o Electrónico en formato PDF. |
Nombre del Entregable | Descripción del Entregable | Periodicid ad / fecha de entrega | Formato en que deberá entregarse |
Fecha de solicitud. Vulnerabilidades encontradas. Criticidad de la vulnerabilidad e impacto. Riesgos e impacto que representan para el “INFONACOT” Recomendaciones para mitigar la vulnerabilidad. La información solicitada es la mínima necesaria y deberá coincidir con los reportes entregados por cada ejercicio solicitado durante el mes. | |||
9. Reporte mensual de pruebas de penetración. | Documento que contenga el resumen de los análisis de vulnerabilidades realizados durante el mes, la información deberá incluir: Usuario requirente. Fecha de solicitud. Tipo de prueba caja negra, caja gris o caja blanca. Pruebas realizadas. Brechas encontradas. Criticidad de las brechas e impacto. Método de descubrimiento y explotación. Riesgos e impacto que representan para el “INFONACOT” Recomendaciones para mitigar la vulnerabilidad. La información solicitada es la mínima necesaria y deberá coincidir con los reportes entregados por cada ejercicio solicitado durante el mes. | Los primeros 5 días hábiles de cada mes. | Impreso o Electrónico en formato PDF. |
10. Reporte mensual de Análisis Forense | Documento que contenga el resumen de los análisis forenses requeridos durante el mes, la información deberá incluir: Usuario requirente. Fecha de solicitud. Resumen ejecutivo. | Los primeros 5 días hábiles de cada mes. | Impreso o Electrónico en formato PDF. |
Nombre del Entregable | Descripción del Entregable | Periodicid ad / fecha de entrega | Formato en que deberá entregarse |
Alcance y objetivo. Premisas. Escenario de trabajo. Estado del equipo. Técnicas utilizadas. Cronología de eventos. Causa u origen del incidente. Recomendaciones. Hallazgos relevantes y detalle. |
Entregables de la FASE III.
Nombre del Entregable | Descripción del Entregable | Periodicid ad / fecha de entrega | Formato en que deberá entregarse |
11. Acta de cierre. | Documento que contenga el resume de las actividades realizadas durante la vigencia del contrato y el nivel de cumplimiento de los servicios requeridos. | 5 días hábiles antes del término del contrato. | Impreso o Electrónico en formato PDF. |
PERSONAL ESPECIALIZADO DE “La Agrupación”.
Como parte de la prestación del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración” “La Agrupación” demostrará que cuenta con personal especializado y calificado para la correcta administración y operación de las herramientas tecnológicas ofertadas para brindar los servicios requeridos en el presenta Anexo Técnico, lo anterior lo deberá demostrar presentando como parte de su propuesta técnica copia simple de las certificaciones vigentes emitidas por los fabricantes de la herramientas propuestas.
El personal propuesto deberá contar con estudios a nivel licenciatura o técnico superior universitario en carreras afines a los servicios requeridos. Lo anterior lo deberá demostrar presentando como parte de su propuesta técnica copia simple del título o cedula que avale el nivel de estudios requeridos.
“La Agrupación” considerará un recurso “Especialista en la herramienta” que podrá estar en sitio a solicitud del “INFONACOT"
A continuación, se listan los perfiles que se deberán acreditar como mínimo para la prestación de los servicios, mismos que deberán estar asignados al proyecto para la atención de los
servicios y podrán operar a distancia o en sitio de acuerdo a los requerimientos del
“INFONACOT”.
Administrador del proyecto.
Quien será el encargado de la administración del proyecto desde el inicio de la vigencia hasta la terminación de la misma, Entre sus actividades deberá realizar de manera enunciativa más no limitativa las siguientes:
Monitorear el cumplimiento de las obligaciones contractuales, del proyecto. Identificar desviaciones y riesgos en la implementación.
Asegurar el cumplimiento técnico y administrativo del contrato.
Atender las peticiones de cambios, implementaciones, juntas y cualquier solicitud dentro
del alcance del contrato por parte del “INFONACOT”.
Realizar consultoría técnica y administrativo del contrato.
Coordinar la atención a requerimientos y necesidades entre el “INFONACOT” y “La Agrupación” en caso de resultar adjudicada.
Identificar los riesgos de seguridad con bases en los análisis de vulnerabilidades y
notificarlos al “INFONACOT”.
Vigilar que los tiempos de atención a solicitudes o incidentes cumplan con los niveles de servicio establecidos
Para este perfil “La Agrupación” asignará por lo menos un (1) recurso.
Para respaldar los conocimientos y experiencia del personal propuesto para este perfil se deberá presentar copia simple de la siguiente documentación.
Currículo Vitae en donde se demuestre al menos 3 años de experiencia en tareas similares. Copia simple del título y/o cedula que avale los estudios a nivel licenciatura afín a sistemas. Certificado vigente Como Project Management In IT Security (PMITS).
Presición 1. con base a repregunta 4275S del participante idt se plantea la siguiente repregunta: se solicita a la convocante, que para el administrador del proyecto (pmp), al no ejecutar actividades técnicas y con objeto no cerrar la libre participación, el título de licenciatura o maestría que presente pueda ser de administrador?
Se acepta su propuesta, únicamente para el perfil del administrador del proyecto, sin que esto sea motivo de desechamiento de la propuesta de otro licitante, o asignación de mayor puntaje.
Presición 2. de respuesta a Pregunta de la junta de aclaraciones 4275c de IDT
en sistemas de información en consideración de la pregunta 535122
Se acepta su propuesta para dar cumplimiento con las certificación de pmp y la certificación cibersecurity consultant, esto en complemento de la respuesta con id 42701, sin que esto sea motivo de desechamiento de la propuesta de otro licitante, o asignación de mayor puntaje.
Especialista en la herramienta de análisis y gestión de vulnerabilidades.
Quien será el encargado de la administración, operación y resolución de fallas o problemas relacionados con la herramienta ofertada.
Para este perfil “La Agrupación” asignará por lo menos un (1) recurso.
Para respaldar los conocimientos y experiencia del personal propuesto para este perfil se deberá presentar copia simple de la siguiente documentación.
Currículo Vitae en donde se demuestre al menos 1 año de experiencia en tareas similares. Copia simple del título y/o cedula que avale los estudios a nivel licenciatura afín a sistemas.
Certificado vigente por parte del fabricante que avale los conocimientos para la administración y configuración de la herramienta tecnológica ofertada.
Especialista en Pruebas de Penetración.
Quien será el encargado de realizar las pruebas de penetración a los activos de infraestructura
y aplicaciones Web del “INFONACOT”.
Para este perfil “La Agrupación” asignará por lo menos un (1) recursos.
Para respaldar los conocimientos y experiencia del personal propuesto para este perfil se deberá presentar copia simple de la siguiente documentación.
Currículo Vitae en donde se demuestre al menos 1 año de experiencia en tareas similares. Copia simple del título y/o cedula que avale los estudios a nivel licenciatura afín a sistemas.
Certificado vigente en GIAC Penetration Tester y GIAC Web Application Penetration Tester
Especialista en Análisis Forense.
Quien será el encargado de realizar los Análisis Forenses requeridos por el “INFONACOT”.
Para este perfil “La Agrupación” asignará por lo menos un (1) recurso.
Para respaldar los conocimientos y experiencia del personal propuesto para este perfil se deberá presentar copia simple de la siguiente documentación.
Currículo Vitae en donde se demuestre al menos 1 año de experiencia en tareas similares. Copia simple del título y/o cedula que avale los estudios a nivel licenciatura afín a sistemas. Certificado vigente en GIAC Reverse Engeniering Malware.
Personal técnico de la mesa de servicios.
Quienes serán los encargados de la recepción de las solicitudes, incidentes, problemas o requerimientos para la generación del ticket correspondiente. Entre sus actividades deberá realizar de manera enunciativa más no limitativa las siguientes:
Definir en conjunto con el “INFONACOT” la severidad,
Consultar la base de datos de conocimiento para brindar una solución o
Escalarlo al nivel de servicio siguiente para su solución.
Para este perfil “La Agrupación” asignará por lo menos un (1) recursos.
Para respaldar los conocimientos y experiencia del personal propuesto para este perfil se deberá presentar copia simple de la siguiente documentación.
Currículo Vitae en donde se demuestre al menos 1 (un) año de experiencia en tareas similares.
Copia simple del título y/o cedula que avale los estudios a nivel licenciatura afín a sistemas. Certificado vigente en ITI v4 o superior.
Consideraciones para el personal propuesto.
El personal propuesto deberá cubrir la totalidad de los requerimientos mínimos señalados en la tabla anterior.
“La Agrupación” proporcionará al personal propuesto las herramientas, necesarias para el desempeño de sus funciones y poder garantizar los niveles de servicio especificados en el presente anexo técnico.
El “INFONACOT” se reserva el derecho de validar la autenticidad de los documentos del
personal propuesto por “La Agrupación” ante las instancias correspondientes.
Cuando se requiera hacer un cambio de plantilla “La Agrupación” deberá notificarlo al “INFONACOT” con por lo menos 15 días hábiles de antelación y se obliga a reemplazar el personal por otro que cubra el perfil solicitado, para lo cual deberá presentar al “INFONACOT”, los documentos que acrediten el cumplimiento de los requisitos solicitados para ese perfil.
“La Agrupación” no podrá reemplazar a más del 30% del personal asignado al proyecto durante la vigencia del contrato, lo anterior considerando que los cambios sean a petición del mismo licitante.
“INFONACOT” podrá solicitar el cambio de cualquier personal de “La Agrupación” en los casos de que no cumpla con las funciones a las que este asignado.
La vigencia de la prestación del servicio será a partir del día 1 de mayo y hasta el 31 de diciembre de 2024.
LUGAR DE ENTREGA DEL SERVICIO.
“La Agrupación” prestará sus servicios en la Subdirección General de Tecnología de la Información y Comunicación sito en Av. Insurgentes Sur Número 452, Colonia Roma Sur, Alcandía Cuauhtémoc, CP. 06760, Ciudad de México.
En caso de que así lo requiera “El Instituto”, el Proveedor deberá prestar su servicio en el edificio, ubicado en Av. Plaza de la República Número 32, Colonia Tabacalera, Alcandía Cuauhtémoc, CP. 06030, Ciudad de México y/o en algunas de las sucursales del Instituto que se ubican en la Ciudad de México.
“La Agrupación” será responsable de cubrir todos los gastos que se generen del traslado y estancia, de su personal, tanto en oficinas sedes como en sucursales, así como, a los centros de datos con los que cuente el Instituto Fonacot.
PENAS CONVENCIONALES Y DEDUCTIVAS.
El “INFONACOT” será responsable del cálculo y aplicación de las penas convencionales y deductivas correspondientes, una vez realizado lo anterior, solicitará a la Dirección de Recursos Materiales y Servicios Generales la validación correspondiente.
El monto de la suma de penas convencionales y deducciones no deberá exceder el 10 % (diez por ciento) del monto total del contrato, una vez transcurridos el supuesto el “INFONACOT” podrá iniciar el procedimiento de recisión administrativa y se hará efectiva la garantía de cumplimiento del mismo.
PENAS CONVENCIONALES
Las penas convencionales que se aplicarán al “La Agrupación” por incumplimiento con el inicio en la prestación del “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración”, serán de acuerdo con lo establecido en el artículo 53 de la LAASSP, los artículos 95 y 96 del RLAASSP, así como lo estipulado en el presente Anexo Técnico, de acuerdo con lo siguiente:
El “INFONACOT” aplicará las penas en el siguiente caso:
Penalizaciones FASE I.
Nivel de Servicio | Nivel de Servicio Descripción | Métrica | Penalización |
Entrega de Documento | Entrega de Minuta de Reunión de Kick off | Hasta 5 días hábiles posteriores a la fecha de adjudicación del contrato. | 1.0 % por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos |
establecidos en el presente anexo. | |||
Entrega de Documento | Entrega de Plan de Administración del Proyecto | Hasta 5 días hábiles posteriores a la junta de inicio del proyecto (Kick off). | 1.0% por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el presente anexo. |
Entrega de Documento | Entrega de Metodologías a usar para el análisis de vulnerabilidades, pruebas de penetración y análisis forense. | Hasta 7 hábiles días después del inicio del contrato | 1.0% por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el presente anexo. |
Entrega de Documento | Entrega de matriz de escalamiento | Hasta 5 días hábiles posteriores a la fecha de notificación del fallo | 1.0 % por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el presente anexo. |
Entrega de Documento . | Entrega de relación del personal asignado al proyecto. | En la primera reunión inicial de las mesas de trabajo. | 1.0 % por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el presente anexo. |
Entrega de Documento | Entrega de procedimientos para la atención a través de la mesa de servicio | Hasta 5 días hábiles posteriores a la fecha de notificación del fallo | 1.0 % por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el presente anexo.. |
Penalizaciones de la FASE II.
Nivel de Servicio
Nivel de Servicio Descripción
Métrica
Penalización
Entrega de Documento | Acta entrega de Implementación de los servicios. | Hasta 7 días hábiles de acuerdo al calendario de la terminación de la fase II | 1.0% por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el calendario de fases |
Entrega de Documento | Entrega de reporte mensual de la infraestructura y servicios críticos monitoreados. | Los primeros 5 días hábiles de cada mes. | 1.0% por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el presente anexo. |
Entrega de Documento | Entrega de reporte mensual de los análisis de vulnerabilidades. | Los primeros 5 días hábiles de cada mes. | 1.0% por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el presente anexo. |
Entrega de Documento | Entrega de reporte mensual de las pruebas de penetración. | Los primeros 5 días hábiles de cada mes. | 1.0% por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el presente anexo. |
Entrega de Documento | Entrega de reporte mensual de los análisis forenses. | Los primeros 5 días hábiles de cada mes. | 1.0% por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual total, no entregado en los tiempos establecidos en el presente anexo. |
Penalizaciones de la FASE III.
Nivel de Servicio | Nivel de Servicio Descripción | Métrica | Penalización |
Entrega de Documento | Acta de cierre. | 5 días hábiles antes del término del contrato. | 1.0 % por cada día natural de atraso, sobre el valor de la factura de antes de IVA del monto de facturación mensual, de no ser entregado en los tiempos establecidos en el presente anexo. |
Para efectos de la aplicación de las penas convencionales a que se refiere el presente apartado, estas se computarán a partir del día hábil siguiente a aquel en que tuviera que haber sido presentado el entregable y/o servicio.
El “INFONACOT” por ningún motivo autorizará condonaciones de sanciones por atrasos en la
entrega del servicio, cuando las causas sean imputables al “La Agrupación”.
En los supuestos previstos en el artículo 91, tercer párrafo del RLAASSP, no procederá aplicar a “La Agrupación”, penas convencionales por atraso. La modificación del plazo por caso fortuito o fuerza mayor podrá ser solicitada por el “La Agrupación”, o por el “INFONACOT”.
El pago parcial correspondiente del servicio quedará condicionado, proporcionalmente, al pago que “La Agrupación” deba efectuar por concepto de penas convencionales, las cuales serán calculadas de conformidad con la Tabla Penalización.
En su caso, cada factura deberá acompañarse del original (para cotejo) y copia simple del comprobante de pago, por concepto de pena convencional que se efectúe a favor de la Tesorería de la Federación, así como de un escrito debidamente firmado por el representante o apoderado legal de “La Agrupación” en el que señale los días de atraso y el monto correspondiente que le fue impuesto por el “Administrador del Contrato” derivado del cálculo de los retrasos en que haya incurrido.
El importe de dicho pago será verificado por el “Administrador del Contrato”. En ningún caso
las penas convencionales podrán negociarse en especie.
DEDUCCIONES
El “INFONACOT” establece deducciones al pago de servicios con motivo del incumplimiento parcial o deficiente en que pudiera incurrir “La Agrupación”, respecto al “Servicio Administrado de Análisis de Vulnerabilidades y Pruebas de Penetración”, objeto del presente Anexo Técnico, para lo cual se establecerán los límites del incumplimiento a partir del cual se iniciará el proceso de recisión administrativa en los términos de los artículos 53 Bis y 54 de la LAASSP y el artículo 97 del Reglamento de la LAASSP, conforme a lo establecido en el Anexo Técnico.
Las deducciones al pago del servicio previstas en el presente punto serán determinadas en función de los servicios prestados de manera parcial o deficiente. Dichas deducciones deberán calcularse hasta la fecha en que materialmente se cumpla la obligación y sin que cada concepto de deducciones exceda del 10 % (diez por ciento) del monto total del contrato una vez rebasado se deberá iniciar el procedimiento administrativo de rescisión correspondiente. Los montos para deducir se deberán aplicar en la factura que “La Agrupación” presente para su cobro, inmediatamente después de que el “INFONACOT” tenga cuantificada la deducción correspondiente.
Cabe señalar que todas aquellas regulaciones que no estén consideradas en estas penas se tratarán conforme a lo establecido en la LAASSP y el RLAASSP, así como en cualquier otra disposición normativa que emita la Secretaría de la Función Pública.
Los criterios para la aplicación de las deducciones serán a partir del primer día hábil de etapa de operación de acuerdo con el requerimiento, como se muestra a continuación:
Deductivas.
Nivel de Servicio | Nivel de Servicio Descripción | Métrica | Deductivas |
Análisis de Vulnerabilidad es | Tiempo máximo en el análisis de vulnerabilidades. | 5 días hábiles | Se aplicará la deductiva de 2 al millar por cada día de atrasado en su entrega sobre el importe mensual del servicio |
Análisis Forense | Tiempo máximo en el análisis forense del equipo | 10 días hábiles | Se aplicará la deductiva de 2 al millar por cada día de atrasado en su entrega sobre el importe mensual del servicio base. |
Pruebas de Penetración | Tiempo máximo de pruebas de penetración. | 5 días hábiles | Se aplicará la deductiva de 2 al millar por cada día de atrasado en su entrega sobre el importe mensual del servicio |
.
NORMAS, POLÍTICAS Y LINEAMIENTOS INSTITUCIONALES
Será aplicable para el presente contrato, la Ley de Adquisiciones, Arrendamiento y Servicio del Sector Público y su Reglamento; Código Civil Federal; Ley Federal de Procedimiento
Administrativo; Código Federal de Procedimientos Civiles; Ley Federal de Presupuesto y Responsabilidad Hacendaria, el Marco de Gestión de Seguridad de la Información y demás disposiciones aplicables.
Para garantizar el cumplimiento del contrato “La Agrupación”, se obliga a entregar dentro de los 10 (diez) días naturales siguientes a la fecha de firma del instrumento contractual, garantía divisible en moneda nacional (pesos mexicanos) por el equivalente al 10% (diez por ciento) del importe del contrato, sin considerar el impuesto al valor agregado, la cual deberá emitir conforme a los lineamientos de “INFONACOT” para cumplir con los requisitos establecidos en el artículo 103 del Reglamento de la LAASSP, aplicable en la materia.
El administrador del contrato será el Ing. Ricardo Oria Esquivel, Subdirector General de Tecnologías de la Información y Comunicación quien será responsable de calcular y notificar al Proveedor las deductivas que se hubieran determinado en la recepción del bien y/o prestación del servicio; así como, solicitar a la Dirección de Recursos Materiales y Servicios Generales la notificación de las penas convencionales. Para la recepción del bien o servicio el Administrador del contrato verificará el cumplimiento de las características técnicas requeridas en el presente anexo técnico, de conformidad con lo establecido en el penúltimo párrafo del artículo 84 del Reglamento de la LAASSP.
Activo. - Los programas de cómputo, bienes informáticos, soluciones tecnológicas, sistemas o aplicativos, sus componentes, las bases de datos o archivos electrónicos y la información contenida en éstos.
Activos Críticos. - Los programas de cómputo, bienes informáticos, soluciones tecnológicas,
sistemas o aplicativos, sus componentes, las bases de datos o archivos electrónicos y la información contenida en éstos que son de vital importancia para mantener las operaciones de una organización. AD. - (siglas – Active Directory) servicio de directorio en una red distribuida.
Amenaza. - Es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento
de nuestros sistemas. Desde el punto de vista de una organización pueden ser tanto internas como externas.
Amenaza Avanzada. - Es un ciberataque dirigido a una entidad en concreto, que emplea diferentes recursos, como malware, ataques de ingeniería social o vulnerabilidades desconocidas, incluso recursos diseñados específicamente para atacar el objetivo seleccionado, entre otros con el fin de permanecer dentro de los sistemas del objetivo todo el tiempo que estime necesarios para alcanzar sus propósitos.
Dashboard.- Son tableros de control que le permiten a una organización visualizar la información más importante para monitorear, analizar y administrar el desempeño del negocio de manera más efectiva. HIPS - Sistema de prevención de intrusiones basado en el Host.
HTTP.- (siglas - HyperText Transfer Protocol) es el método más común de intercambio de información en la world wide web, el método mediante el cual se transfieren las páginas web a un ordenador.
Incidente o Incidente de ciberseguridad. - Es un evento o serie de eventos inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio; provocando una pérdida o uso indebido de información, interrupción parcial o total de los Sistemas.
Internet.- Es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, lo cual garantiza que las redes físicas heterogéneas que la componen funciones como una red lógica única de alcance mundial.
IP.- (siglas – Internet Protocol) estándar que se emplea para el envío y recepción de información mediante una red que reúne paquetes conmutados.
ISO/IEC.- (siglas – International Organization for Standardizacion/ International Electrotechnical Commission) es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional.
PMI - El Project Management Institute.
PMP. - Project Management Professional.
Seguridad Informática. - Se define como una capa de protección para los activos de información, a partir de ella, se trabaja para evitar todo tipo de amenazas, las cuales ponen en riesgo la información que es procesada, transportada y almacenada en cualquier dispositivo.
SI. - Seguridad de la Información.
SLA. - (siglas - service-level agreement) es un acuerdo escrito entre un proveedor de servicio y el INFONACOT con objeto de fijar el nivel acordado para la calidad de los servicios contratados.
Atentamente,
CARLOS ǪUIJAS LUNA
REPRESENTANTE LEGAL SECURE LABS, S.A DE C.V.
CONTRATO No. FNCOT/LP/0163/2024
ANEXO III
PROPUESTA ECONÓMICA
INSTITUTO DEL FONDO NACIONAL PARA EL CONSUMO DE LOS TRABAJADORES (INSTITUTO FONACOT) LICITACIÓN PÚBLICA ELECTRÓNICA NACIONAL NO. LA-14-P7R- 014P7R001-N-31-2024, PARA LA “CONTRATACIÓN ABIERTA DEL SERVICIO
ADMINISTRADO DE ANÁLISIS DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN”
Secure Labs S.A. de C.V. en participación conjunta con Secure Nextgen Systems S.A. de C.V. y Silent4business S.A. de C.V.
CIUDAD DE MÉXICO, VIERNES 19 DE ABRIL DE 2024
INSTITUTODEL FONDONACIONAL PARA EL CONSUMO DE LOS TRABAJADORES LIC. GERARDODAZA LÓPEZ,
OFICIAL DE SEGURIDAD DE LA INFORMACIÓN.
De antemano, agradecemos la oportunidad que nos brindan para presentar nuestra propuesta sobre este proyecto de ciberseguridad, tan importante y relevante para FONACOT. Por las expectativas que tienen del proyecto y de los resultados esperados, entendemos que no es tarea fácil tomar una decisión sobre quienes deben realizarlo. Una de nuestras ventajas, es la relación costo-beneficio y el valor agregado que ofrecemos en la ejecución de nuestros proyectos. Aquí, seguramente les surgirán algunas preguntas que para nosotros son muy frecuentes, como:
¿Los consultores ofrecen la garantía de cumplir en los tiempos de entrega?; Hemos ejecutado proyectos altamente demandantes como la preparación a empresas para obtener certificaciones, como: PCI DSS, ISO27001, ISO22301, Anexo 28 y PAC del SAT, lográndolas en todos los casos, así como para el cumplimiento regulatorio de entidades financieras ante la CNBV y Banxico.
¿Los consultores realizarán su trabajo con la calidad que lo requiere el proyecto?; Nuestros consultores cuentan con las principales certificaciones y con amplia experiencia en las diferentes prácticas de seguridad de información y ciberseguridad, en sectores regulados y no regulados.
¿Los consultores son flexibles para ajustarse y atender nuevos requerimientos?; Tenemos desarrolladas las principales prácticas consultivas relacionadas con la seguridad de la información, lo que nos permite realizar trabajos específicos individuales hasta proyectos integrales; inclusive ofrecer servicios administrados.
¿Los consultores ofrecen referencias de clientes satisfechos?; Tenemos la confianza de proporcionar los datos de nuestros clientes para verificar referencias, en su caso, ya que mantenemos relación con ellos al estar renovando y ampliando nuestros servicios.
¿Los consultores están registrados o son socios de cámaras y/o asociaciones?; Somos socios o miembros de organismos como ISC2, Isaca EC-Council. También hemos participado como conferencistas en eventos de BugCon, OWASP LATAM, Infosecurity, Semana de Seguridad en Computo (UNAM), 8.8 México, GuadalajaraCON y más, presentando iniciativas e investigaciones.
Con nuestra experiencia de más de 15 años y la actualización constante en las mejores prácticas a través de las certificaciones más reconocidas, garantizamos el cumplimiento de objetivos y la implementación de estrategias de la empresa relacionadas con la seguridad de información. Sólo esperamos que nos otorguen su confianza para ejecutar el proyecto y nos permitan demostrar nuestro profesionalismo. Cualquier duda sobre el contenido de la propuesta, estamos a sus órdenes.
FORMATOPARALAPRESENTACIÓNDELAPROPUESTAECONÓMICA
Ciudad de México a viernes 19 de Abril de 2024, “La Agrupación integra la cotización considerando lo establecido en el Anexo 12 “Características Técnicas del Servicio”.
Los precios son en moneda nacional, y la vigencia de la cotización es por el ejercicio fiscal 2024 y los precios son fijos e inalterables durante la vigencia del contrato, así como la conformidad a las condiciones de pago establecidas en la convocatoria. Aceptando que, en caso de alguna suspensión del procedimiento por parte de la Secretaría de la Función Pública, la propuesta permanecerá vigente hasta en tanto quede sin efecto la suspensión.
Servicio Administrado de Seguridad Bajo Demanda. | UNIDAD DE MEDIDA | CANTIDAD MÍNIMA MENSUAL (A) | CANTIDAD MÁXIMA MENSUAL (B) | PRECIO UNITARIO (C) | PRECIO MÍNIMOS AxC | PRECIO MÁXIMOS BxC |
Análisis y Gestión de Vulnerabilidades | Evento | 12 | 17 | $56,400.00 | $5,414,400.00 | $7,670,400.00 |
Pruebas de Penetración | Evento | 0 | 2 | $118,200.00 | $0.00 | $1,891,200.00 |
Análisis Forense | Evento | 0 | 1 | $57,700.00 | $0.00 | $461,600.00 |
PRECIOS TOTALES ANTES DE IVA | $5,414,400.00 | $10,023,200.00 | ||||
IVA | $866,304.00 | $1,603,712.00 | ||||
PRECIOS TOTALES INCLUYENDO IVA | $6,280,704.00 | $11,626,912.00 | ||||
Precio total por 8 meses de servicio Mínimos (Antes de IVA) | $5,414,400.00 | Cinco millones cuatrocientos catorce mil cuatrocientos 00/100 M.N. Pesos Mexicanos |
Precio total por 8 meses de servicio Máximos (Antes de IVA) | $10,023,200.00 | Diez millones veintitrés mil doscientos 00/100 M.N. Pesos Mexicanos |
TERMINOSYCONDICIONES
• La vigencia de los servicios iniciará al día 1 de mayo de 2024 y terminará el 31 de diciembre de 2024.
• Esta propuesta será válida por hasta 3 meses posterior a su emisión.
• Todos los precios serán vigentes durante la vigencia del contrato.
• Todos los precios están expresados en moneda nacional, pesos mexicanos.
La Agrupación considerá 8 meses de servicio para la entrega de la propuesta económica, considerando que la vigencia de los servicios iniciará el 1 de mayo de 2024, aceptando que se pagará el tiempo devengado del primer mes de servicio y con el fin de realizar cálculos por días de servicio, por no cumplirse un mes de este, el factor a utilizar será dividir el costo mensual entre 30.4 para obtener el costo diario del servicio y así calcular el costo de los días de servicio.
Carlos Quijas Luna
REPRESENTANTE LEGAL del Consorcio Secure Labs S.A. de C.V. con Secure Nextgen Systems S.A. de C.V. y
Silent4business S.A. de C.V.