BASES DE CONCURSO PARA CONTRATACIÓN DE SERVICIOS CÓDIGO DE CONTRATACIÓN: BPCS- COM-2023-003 COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA. OBJETO DE CONTRATACIÓN: CONTRATACIÓN DEL SERVICIO DE UNA PLATAFORMA DE BANCA PERSONAS Y BANCA EMPRESAS PARA...

Se convoca a las personas jurídicas nacionales, extranjeras que tengan representación en el Ecuador asociaciones de éstas o consorcios o compromisos de asociación, legalmente capaces para contratar, a que presenten sus ofertas para la “Contratación del servicio de una plataforma de banca Personas y banca Empresas para la Cooperativa “29 de Octubre” Ltda”.

Las condiciones de esta convocatoria son las siguientes:

Las bases y sus anexos están disponibles, sin ningún costo, en la página web de la Cooperativa xxxxx://xxx.00xxxxxxxxx.xxx.xx

La oferta técnico-económica debe presentarse por la totalidad de la contratación de acuerdo con las condiciones establecidas en las presentes bases.

La Cooperativa de Ahorro y Crédito se reserva el derecho de cancelar o declarar desierto el procedimiento de contratación, situación en la que no habrá lugar a pago de indemnización alguna.

Quito, lunes, 27 de febrero de 2023

Atentamente,

COMISIÓN CALIFICADORA

COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA.

SECCIÓN II

INFORMACIÓN GENERAL

FECHA:

lunes, 27 de febrero de 2023

JUSTIFICACIÓN Y OBJETIVOS:

La Cooperativa 29 de Octubre Ltda., requiere contratar una plataforma de Banca Electrónica para Personas y Empresas, con el objetivo de brindar a los socios y clientes servicios financieros (consultas de los productos y servicios, transferencias internas e interbancarias, pagos de servicios, etc.) mediante los canales Web y Aplicación Móvil.

Objetivo General:

Xxxxxxx un servicio de calidad a las personas naturales y jurídicas, en su calidad de socios y clientes de la Cooperativa, incrementando la transaccionalidad en diversos canales electrónicos, así también implementar nuevos servicios como créditos en línea, contratación de seguros y todo producto o servicio que la Cooperativa requiera incorporar, descongestionado la atención en agencias.

Objetivos Específicos:

Brindar una solución personalizada, adaptable y de fácil implementación con el objetivo de facilitar el trabajo a los socios con personería natural y jurídica, y apalancados con el cumplimiento normativo vigente en canales electrónicos y ley de protección de datos personales.

Incrementar la transaccionalidad mediante canales electrónicos ampliando el catálogo de servicios a personas naturales y jurídicas.

Incrementar la transaccionalidad enfocado a las personas jurídicas. Actualmente la Cooperativa no brinda el servicio Cash Management Empresarial, por lo que genera una carga operativa a la Cooperativa y una insatisfacción del cliente, considerando que en el mercado ya existen opciones automatizadas relativas al producto en mención.

Lugar en donde se prestarán los servicios:

La implementación se efectuará de manera presencial o remota de acuerdo con el cronograma acordado por ambas partes.

Presencial: Se llevará a cabo en las instalaciones de la Cooperativa ubicada en la calle Cañaris No Oe6-140 y Xxxxxxxx Sucre de la ciudad de Quito, Provincia de Pichincha, específicamente en el ambiente asignado por la Cooperativa, y previa coordinación y autorización por el personal de la Cooperativa.

PLAZO DE EJECUCIÓN DE CONTRATO:

El plazo total del contrato será de setenta y cuatro meses considerando las siguientes fases:

1. Fase de implementación		2. Fase de operación

Banca personas		Banca personas	Plazo total del contrato para Banca personas
Plazo	Módulos para implementar	Plazo: 68 meses desde su puesta en producción	74 meses
6 meses	Banca personas - Web y aplicación móvil
6 meses	Reportes, métricas que permitan conciliar la información para Banca personas

Banca empresas		Banca empresas	Plazo total del contrato para Banca empresas
Plazo	Módulos para implementar	Plazo: 60 meses desde la puesta en producción de esta funcionalidad	68
8 meses posterior a la finalización de implementación de Banca personas	Banca empresas, Banca Web - Banca móvil, Cash Management
	Pago de nómina
	Reportes, métricas que permitan conciliar la información para Banca empresas
	BackOffice: Módulo de administración, seguridad y parametrización del sistema de los sistemas xx xxxxxxx electrónicos y los servicios que brinda para Banca Personas y Banca Empresas (BackOffice)		NOTA: Banca empresas iniciará la implementación después de 6 meses posteriores de la implementación de Banca personas

Ejecución del contrato inicia en:

Desde la firma del contrato

En caso de escoger la opción "Desde cualquier otra condición de acuerdo con la naturaleza del contrato" Detallar la condición:

FORMA DE PAGO:

Forma de Pago:

Otra (determinar la forma de pago)

En caso de escoger la opción "Otra"

(determinar la forma de pago):

Fase I: Implementación y estabilización.

Banca Personas

Pago 1: 30% hasta 15 días posteriores a la firma del contrato y presentación de las facturas correspondientes.
Pago 2: 70% hasta 30 días posterior al termino de las fases implementadas, con la aceptación mediante un acta de capacitación y firma a satisfacción de la Cooperativa, el acta de capacitación a los funcionarios sobre el manejo de la herramienta y la presentación de la factura correspondiente.
Estabilización 60 días sin costos adicionales.

Banca Empresas

Pago 3: 30% hasta 15 días posteriores al inicio de la fase de implementación de la Banca Empresas y la presentación de la factura correspondiente.
Pago 4: 70% hasta 30 días posterior al termino de las fases implementadas, con la aceptación mediante un acta de capacitación y firma a satisfacción de la Cooperativa, el acta de capacitación a los funcionarios sobre el manejo de la herramienta y la presentación de la factura correspondiente.
Estabilización 60 días sin costos adicionales.

Fase II: Operación.

Banca Personas: Una vez se hubiere puesto el servicio en producción.

Banca Empresas: Una vez se hubiere puesto el servicio en producción

Pago mensual acorde al tarifario de la propuesta económica del proveedor, incluye Banca Personas y Banca Empresas.

OBLIGACIONES DE LA CONTRATISTA:

LA CONTRATISTA debe diseñar y entregar según cronograma la metodología probada y certificada de aseguramiento de calidad aplicable a todos los entregables de los servicios contratados, que incluya cronograma de actividades, recursos, personal y acompañamientos requeridos, con el fin de asegurar el cumplimiento de las actividades objeto del contrato.
LA CONTRATISTA debe realizar la entrega de los servicios de manera puntual y de acuerdo con lo establecido en el alcance de la contracción.
LA CONTRATISTA será responsable frente a LA COOPERATIVA por la implementación del servicio ofertado, excepto en caso que la suspensión o interrupción se deba a eventos de fuerza mayor o caso fortuito debidamente comprobados; no obstante, EL CONTRATISTA se compromete, aún en tales circunstancias, a actuar con toda diligencia para procurar minimizar los impactos de tales eventos y efectuará todas las acciones conducentes a superar los inconvenientes que se puedan presentar para procurar retomar y continuar con las fases contratadas como parte del servicio.
Designar a uno o varios colaboradores debidamente calificados quienes serán los responsables de atender las llamadas consultivas de LA COOPERATIVA y canalizarlos con el fin de dar una solución apropiada.
LA CONTRATISTA debe entregar la factura en la oficina matriz de la Cooperativa hasta el 15 de cada mes adjuntando los documentos de respaldo pertinentes.
EL CONTRATISTA debe contar con todos los permisos y autorizaciones vigentes, que le habiliten para el ejercicio de actividad objeto de este contrato. Los permisos y autorizaciones deberán estar vigentes durante todo el plazo contractual
EL CONTRATISTA debe cubrir cualquier daño que sufran los bienes de la Cooperativa y sean causados por LA CONTRATISTA.
EL CONTRATISTA debe contar con el personal suficiente y calificado para solventar los requerimientos emergentes y de esta manera garantizar la continuidad del servicio.
LA CONTRATISTA debe ejercer las funciones de su competencia con diligencia, evitando que se generen demoras o problemas injustificados, que afecten el curso normal del Contrato por su causa.
LA CONTRATISTA debe ejercer, bajo su entera responsabilidad, la dirección y el control del Contrato, para obtener la correcta realización del objeto contratado, manteniendo durante la ejecución de este, la organización técnica y administrativa requerida para garantizar el correcto desarrollo del contrato.
LA CONTRATISTA debe garantizar que el personal presentado para la realización del objeto contractual cumpla con los requisitos establecidos, así como la dedicación requerida conforme a lo estipulado en el numeral referente a "Personal Técnico Mínimo Requerido del presente documento
LA CONTRATISTA debe suministrar todos los recursos técnicos y el apoyo logístico que se requiera para lleva a cabo el objeto del contrato.
LA CONTRATISTA debe elaborar las actas de reunión de seguimiento y técnicas que se lleven a cabo en el desarrollo del Contrato,
LA CONTRATISTA debe generar en los formatos que LA COOPERATIVA designe las actas de seguimiento, control y demás documentación que requiera el proyecto.
LA CONTRATISTA deberá realizar mínimo una reunión quincenal de manera virtual con el Administrador de Contrato para efectuar el seguimiento del avance del proyecto.
LA CONTRATISTA deberá atender todas las consultas que requiera LA COOPERATIVA a través Administrador del Contrato.
LA CONTRATISTA deberá verificar la calidad y completitud de los entregables a LA COOPERATIVA.
LA CONTRATISTA deberá realizar la gestión y actividades necesarias para la consecución de información requerida para el desarrollo del contrato.
LA CONTRATISTA debe conocer, aceptar y cumplir la totalidad del alcance definido para el servicio contratado.
La totalidad de la documentación y el control del proyecto se deberá efectuar en idioma español.
LA CONTRATISTA se obliga al cumplimento de las disposiciones establecidas en el Código del Trabajo y en la Ley de Seguro Social Obligatorio, respecto a sus trabajadores, la calidad de patrono, sin que LA COOPERATIVA tenga responsabilidad alguna por tales cargas, ni relación con el personal que labore en la ejecución de los trabajos.
LA CONTRATISTA, bajo su costo y responsabilidad, dará atención a cualquier emergencia médica que sufra el personal de EL CONTRATISTA durante el cumplimiento de sus obligaciones y será de su exclusiva responsabilidad.
LA CONTRATISTA, debe cumplir con las medidas de bioseguridad frente a la emergencia sanitaria por la pandemia COVID-19 u otros que deben aplicarse para un trabajo seguro durante la ejecución de actividades en las diferentes instalaciones de LA COOPERATIVA.
LA CONTRATISTA no debe contratar a personas menores de edad para realizar actividades algunas durante la ejecución contractual; en caso de incumplimiento se someterá y aceptará las sanciones correspondientes, inclusive, la terminación unilateral y anticipada del contrato, con las consecuencias legales y reglamentarias pertinentes.
A más de las obligaciones ya establecidas en el presente documento que rige el proceso de contratación, EL CONTRATISTA está obligado a cumplir con cualquiera otra que se derive de la naturaleza objeto del contrato.
LA CONTRATISTA debe cumplir con todas las especificaciones técnicas descritas en las bases para la prestación del servicio.
LA CONTRATISTA debe dotar y exigir que los empelados cumplan con la normativa de SSO de forma obligatoria y permanente.
LA CONTRATISTA debe guardar estricta confidencialidad y reserva sobre información recibida. Para el efecto declara que toda la información que pudiera conocer de LA COOPERATIVA se considerará información no divulgable.
LA CONTRATISTA no podrá ceder, asignar o trasferir en forma alguna ni todo ni en parte del contrato.
Efectuar el reconocimiento de firmas y rúbricas del presente contrato, cuyo costo le corresponderá en su totalidad a la CONTRATISTA.
LA CONTRATISTA prestará las facilidades para la revisión y seguimiento del servicio prestado, ya sea, por la unidad de auditoría interna u otra área que la entidad designe, así como, por parte de los auditores externos o de la Superintendencia.
LA CONTRATISTA acepta que la COOPERATIVA tiene la facultad de realizar auditorías informáticas al proveedor en el caso de ser requerido, tanto por la entidad como por el ente de control.
LA CONTRATISTA, tiene la obligación de notificar a la COOPERATIVA por escrito y/o correo electrónico el cambio de representante legal, transferencias de dominio o cesiones de derechos sobre el paquete accionarial, en el término de 10 días posteriores a su inscripción en el respectivo Registro Mercantil.
Cumplir con las obligaciones tributarias propias y laborales con sus dependientes que por ley se requieran para el correcto desarrollo del contrato.
Integración con el switch que LA COOPERATIVA en la prestación de servicios.
La normativa de LA COOPERATIVA se entiende incorporada al presente proceso de contratación, por lo que LA CONTRATISTA se obliga a cumplir a cabalidad los manuales y políticas pertinentes.
LA CONTRATISTA será responsable en su totalidad ante LA COOPERATIVA de los perjuicios económicos por multas del organismo de control, afectación de la imagen institucional y costos generados en escenarios de fraude cuando estas circunstancias deriven de mal funcionamiento del aplicativo o por incumplimientos de las normas de seguridad de transacciones electrónicas.
LA CONTRATISTA se obliga a realizar demostraciones y visitas en implementaciones de casos de éxito en instituciones financieras.
LA CONTRATISTA deberá abrir una cuenta bancaria en la Cooperativa, para la cancelación de sus haberes o servicios prestados.

OBLIGACIONES DE LA COOPERATIVA:

LA COOPERATIVA, debe ejecutar los pagos de manera oportuna a LA CONTRATISTA de acuerdo con la forma de pago definida, en los plazos acordados, el valor correspondiente al servicio suministrado.
LA COOPERATIVA debe suministrar toda la información y facilitar los recursos y colaboración técnica y operativa que requiera para la realización de la labor.
LA COOPERATIVA debe asignar el personal solicitado para el cumplimiento del Objeto del Contrato, el mismo que trabajará con el personal de LA CONTRATISTA.
LA COOPERATIVA debe informarse adecuadamente de las condiciones de los servicios que brinda LA CONTRATISTA, los cuales se rigen por el presente Contrato y las leyes aplicables vigentes, no pudiendo alegar desconocimiento de dichas condiciones contractuales y/o legales.
LA COOPERATIVA no podrá usar el servicio objeto del presente contrato, para servicios que puedan ser ilegales, inmorales, o que afecten a las buenas costumbres o el orden público. LA COOPERATIVA, se compromete por medio del presente contrato, a designar, a su cargo, el personal funcional necesario para la definición de los procesos y de implementación del servicio contratado.
LA COOPERATIVA declara contar con todos los permisos, autorizaciones o concesiones para la prestación de los servicios propios de su actividad por lo que declara que LA CONTRATISTA únicamente comercializa y presta el servicio.
LA COOPERATIVA es responsable de la información que se proporcione como parte de los proyectos y procesos a implementar.
LA COOPERATIVA es responsable de asignar al personal funcional operativo para la certificación de cada uno de los módulos que integran las Fases.

MULTAS:

En caso de retraso en el cronograma de implementación que sea atribuido a LA CONTRATISTA se aplicará una multa del 0.5% del valor total del contrato por cada semana de retraso en el plazo establecido. Para el efecto se considerarán fechas perentorias de obligatorio cumplimiento a aquellas establecidas por LA CONTRATISTA en el cronograma de ejecución del contrato, los valores por concepto de multas serán descontados de la factura correspondiente al último pago.
No habrá lugar a aplicar multas cuando el retraso o incumplimiento se presente por causas imputables exclusivamente a LA COOPERATIVA; por causas debidamente justificadas por LA CONTRATISTA devenidas por fuerza mayor o caso fortuito, debidamente comprobado y aceptado por LA COOPERATIVA que imposibiliten la ejecución del proyecto.
El máximo valor de multas acumuladas al que se puede llegar durante la ejecución del contrato es del 10% del monto total del contrato. En el caso de cumplir o sobrepasar el máximo valor de multas acumuladas, se podrá terminar unilateralmente el contrato.
En la fase de operación, entra en vigor lo descrito por el SLA en fase de operación. (numeral 3 de la SECCIÓN IV, ESPECIFICACIONES)

SECCIÓN III

INSTRUCCIONES PARA LOS OFERENTES

A continuación, se detallan las instrucciones y condiciones que regirán el presente concurso, el cual se sujetarán los proveedores al momento de su participación.
CRONOGRAMA DEL CONCURSO
Concepto	Día	Hora
Fecha de publicación de Convocatoria o invitación	lunes, 27 de febrero de 2023	17h00
Fecha límite para efectuar preguntas	jueves, 9 xx xxxxx de 2023	17h00
Fecha límite para emitir respuestas y aclaraciones	miércoles, 15 xx xxxxx de 2023	17h00
Fecha límite entrega de ofertas	jueves, 23 xx xxxxx de 2023	17h00
Las preguntas o aclaraciones deberán ser enviadas al correo: xxxxxxxxxx@00xxxxxxxxx.xxx.xx; con copia a: xxxx@00xxxxxxxxx.xxx.xx; xxxxxxxxx@00xxxxxxxxx.xxx.xx
AMPLIACIÓN DE PLAZO PARA ENTREGA DE LAS OFERTAS
La Cooperativa de Ahorro y Crédito “29 de Octubre” Ltda., se reserva el derecho de prorrogar el plazo para la entrega de las ofertas, para lo cual notificará mediante correo electrónico a quienes hayan presentado su manifestación en participar en el concurso.
FORMA DE PRESENTAR LA OFERTA
La oferta se presentará EN SOBRE CERRADO FÍSICO: debidamente etiquetado, numerado, anillado o en carpeta y con separadores a nombre de la Cooperativa de Ahorro y Crédito 29 de Octubre LTDA., ubicada en la Xxxxx Xxxxxxx x Xx. Xxxxxxxx Xxxxx, xxxxxx xx Xxxxxxxxx, xxxxxx xxxx Dirección Administrativa – área de Compras. Los documentos requeridos en este concurso serán parte integrante de la oferta y su incumplimiento podrá ser causal de descalificación. Las bases deberán ser numeradas y separadas por cada formulario entregado. La oferta se deberá presentar en un sobre único el cual contendrá la siguiente ilustración: CÓDIGO DEL PROCEDIMIENTO (BPCS-COM-2023-003) “CONTRATACIÓN DEL SERVICIO DE UNA PLATAFORMA DE BANCA PERSONAS Y BANCA EMPRESAS PARA LA COOPERATIVA “00 XX XXXXXXX” XXXX.” SOBRE ÚNICO Señor (es): Comisión Calificadora Dirección Administrativa – Compras COORDINADOR DE COMPRAS Ing. Xxxxx Xxxxxxxx Cooperativa de Ahorro y Crédito 29 de Octubre Ltda. Presente. - PRESENTADA POR: EMPRESA: RAZÓN SOCIAL: RUC: NOTA: No se tomarán en cuenta las ofertas entregadas en otro lugar o después del día y hora fijados para su entrega-recepción. El documento de la oferta debe estar numerado, anillado o en carpeta y ordenado por formularios mediante separadores. La oferta deberá estar en sobre sellado debidamente etiquetado.
FORMULARIOS DE LA OFERTA
La Contratista deberá firmar y entregar en su oferta cada uno de los formularios que a continuación se detalla:
Formulario Nro. 1	Carta de Presentación y Compromiso
Formulario Nro. 2	Datos generales del Oferente
Formulario Nro. 3	Documentos habilitantes para participar
Formulario Nro. 4	Oferta Económica
Formulario Nro. 5	Servicios ofertados
Formulario Nro. 6	Experiencia del oferente
Formulario Nro. 7	Personal técnico propuesto para el proyecto/servicio
Formulario Nro. 8	Acuerdo de confidencialidad
Formulario Nro. 9	Garantía Seriedad de la Oferta
Calificación y debida diligencia de proveedores	La Cooperativa de Ahorro y Crédito 29 de Octubre Ltda. ha designado a la empresa LÓGICA para efectuar el proceso de Calificación de Proveedores, por lo que, el proveedor ofertante deberá efectuar el proceso de calificación de manera obligatoria y de forma simultánea a la entrega de su oferta. Se debe anexar la calificación o carta que han iniciado el proceso de calificación. Consultas o inquietudes sobre el proceso de calificación, contactar a: Lcdo. Xxxx Xxxxx xxxxxx@00xxxxxxxxx.xxx.xx 098 147 6777
DESCALIFICACIÓN DE LAS OFERTAS
LA COOPERATIVA de Ahorro y Crédito “29 de Octubre” Ltda., descalificará las propuestas, por cualquiera de las siguientes causas: Si la oferta no se sujeta o no cumple con los requisitos establecidos para el Concurso. Si alguno de los documentos solicitados no ha sido presentado. Si se hubiera entregado y/o presentado la oferta en lugar distinto al fijado o después de la hora establecida para ello. Si el contenido de los formularios presentados difiere del modelo, condicionándolos o modificándolos, de tal forma que alteren las condiciones previstas para la ejecución del contrato. De igual forma, si se condicionara la oferta con la presentación de cualquier documento o información. Si se presentaran documentos con tachaduras o enmendaduras no salvadas. No se aceptarán excepciones, condicionamientos, rubros no solicitados ni cualquier modificación a las bases del concurso. Si de la revisión de los documentos que fueren del caso, pudiere evidenciarse inconsistencia, simulación o inexactitud de la información presentada. LA COOPERATIVA podrá solicitar al oferente la documentación que estime pertinente y que ha sido referida en cualquier documento de la oferta, no relacionada con el objeto mismo de la contratación, para validar la oferta presentada del procedimiento.


VIGENCIA DE LAS OFERTAS
Las ofertas deberán tener un plazo mínimo de validez de 60 días, contados a partir de la fecha límite para su presentación, el mismo que deberá constar expresamente en la propuesta.
NOTIFICACIÓN DE ADJUDICACIÓN
La Dirección Administrativa a través del área de Compras notificará la adjudicación del contrato al oferente ganador en el término de 5 días posteriores a la aprobación emitida por el nivel correspondiente.

DECLARATORIA DE DESIERTO DEL CONCURSO
Por recomendación de la Comisión Calificadora podrá declararse desierto en los siguientes casos: Por no haberse presentado ninguna oferta; Por haber sido descalificadas o consideradas inconvenientes para los intereses Institucionales; Cuando sea necesario introducir una reforma sustancial que cambie el objeto del contrato; Por deficiencias comprobadas en el desarrollo del proceso. Cuando no se cuente con el mínimo requerido de ofertas o estas estén fuera del presupuesto referencial establecido por la Cooperativa Cuando las ofertas no cumplan con el alcance, condiciones solicitadas por el área requirente o los documentos habilitantes obligatorios. Para la reapertura, se seguirán los procedimientos originales, si a pesar de la reapertura se declarare nuevamente desierto, se podrá ordenar su archivo y se procederá a realizar otro concurso. En caso de identificar que los oferentes no incluyeron los documentos habilitantes obligatorios la oferta será eliminada.


FORMALIZACIÓN Y SUSCRIPCIÓN DEL CONTRATO
La suscripción del contrato se realizará dentro de ocho (8) días contados desde la fecha de notificación de la adjudicación, dentro del cual LA CONTRATISTA adjudicado debe entregar los documentos habilitantes para la suscripción del mismo y haber cumplido el proceso de calificación y debida diligencia.

GARANTÍAS
LA CONTRATISTA entregará las siguientes garantías al momento de la presentación de la oferta: De fiel cumplimiento de la oferta por el 5% del valor ofertado por LA CONTRATISTA con una vigencia mínima de 60 días - Formulario Nro. 10 (obligatorio – parte integral de la oferta para todos los Proveedores). LA CONTRATISTA adjudicada entregará la siguiente garantía, previo a la suscripción del contrato: De Fiel Cumplimiento de Contrato por el 5% del valor establecido a la firma del contrato y permanecerá vigente durante el plazo del contrato. (obligatorio – únicamente proveedor adjudicado). Buen uso del anticipo, por el 100% del valor a ser entregado. (obligatorio – únicamente proveedor adjudicado) LA CONTRATISTA podrá rendir cualquiera de las siguientes garantías: Garantía Bancaria incondicional e irrevocable de cobro inmediato, otorgada por una institución del sistema financiero ecuatoriano con calificación AA en adelante; Fianza instrumentada en una Póliza de seguro, incondicional o irrevocable, de cobro inmediato emitida por una compañía de seguros establecida en el País con calificación AA en adelante y endosada a favor de la Cooperativa.

SECCIÓN IV

ESPECIFICACIONES TÉCNICAS

1. Alcance contratación/Servicios esperados:

Enrolamiento de usuarios

Módulo	Transacción
Enrolamiento	Interfaz de suscripción de nuevos usuarios asegurando que estos accedan a todos los servicios y productos que ofrece la Cooperativa
	Proceso de adquisición de nuevos usuarios, el registro de sus datos e información y su integración digitalizada en los sistemas de la Cooperativa
	Para lo cual se deberá garantizar lo indicado en el módulo de Autentificación de Usuarios en lo referente a Gestión de Accesos

Gestión de acceso APP, Web y BackOffice

Gestión de Accesos

Módulo	Transacción
Autenticación de Usuarios	Enrolar usuarios - Banca Empresas, mediante doble factor de autenticación (llave digital de seguridad y/o reconocimiento facial mediante modelo propio)
	Enrolar usuarios - Banca Personas, mediante doble factor de autenticación (uno de ellos reconocimiento facial mediante modelo propio)
	Ingreso al sistema usuario autenticado por reconocimiento con: usuario, reconocimiento facial, huella dactilar, pin y otros, dependiendo de la funcionalidad del equipo telefónico.
	Olvidé usuario Mediante doble factor de autenticación (de preferencia biometría a través de reconocimiento facial mediante modelo propio)
	Olvidé contraseña Mediante doble factor de autenticación (de preferencia biometría uno de ellos reconocimiento facial mediante modelo propio)
	Segundo factor de autenticación: Para ingreso a página web mediante llave digital generado desde app móvil Biometría (uno de ellos reconocimiento facial) SMS (configurable de manera masiva o individual) Correo Electrónico (configurable de manera masiva o individual)
	Control de accesos fallidos
	Administración de roles y perfiles
Perfil	Cambio de usuario
	Cambio de contraseña: Considerar sintaxis que garantice fortaleza de la contraseña: mínimo 8 caracteres, mayúsculas minúsculas, alfanumérica, carácter especial (valores parametrizables) Imposibilidad de utilizar 5 ultimas contraseñas (valor parametrizable)
	Parametrización de montos generales por cada canal
Notificaciones	Tanto en la aplicación móvil como en la página web, el sistema deberá presentar luego del proceso de autenticación, un mensaje en donde conste la fecha y hora de su ultimo ingreso satisfactorio, y el número de intentos fallidos. Notificaciones del proceso de autenticación: Acceso Exitoso Acceso sin Éxito Solicitud de Código de Seguridad. Confirmación de Actualización de Contraseña. Notificación de bloqueo de contraseña por intentos fallidos. Notificación de bloqueo de factor de autenticación por intentos fallidos. Notificación por transferencias internas procesadas exitosas y fallidas Notificación por transferencias interbancarias procesadas exitosas y fallidas. Notificación por pagos Caducidad tiempo para el cierre de aplicación. Cronometraje de tiempo de inactividad en canales electrónicos Entre otras. Notificaciones de transacciones: Débitos Pagos Otros
Enrolamiento de equipos	Enrolamiento mediante doble factor de autenticación (de preferencia biometría uno de ellos reconocimiento facial) Control de enrolamiento de un solo equipo celular, se deberá desactivar el servicio en el celular anterior, en caso de que se enrole un nuevo equipo. En caso de que desde un equipo celular en donde ya se haya usado el sistema con una cuenta, y se desee emplear una cuenta distinta, el sistema deberá obligar a la desinstalación del aplicativo previo al uso de la otra cuenta.
Cierre de sesión por inactividad	El sistema deberá controlar la inactividad del sistema, cerrando la sesión de manera automática y obligando a que el usuario se autentique nuevamente para usar la aplicación o la página web. (valor de tiempo parametrizable en cada canal)
Seguridad en procesos de enrolamiento	El sistema dispondrá de flujos que garanticen la seguridad en las plataformas Web y Móviles (Android e IOS), en las siguientes transacciones relacionadas con la autenticación: Registro de nuevo usuario Recuperar contraseña Recordar usuario Cambio/ Olvido de PIN Debiendo considerar los siguientes procesos de validación: Reconocimiento facial con validación de identidad a través de la información obtenida del Registro Civil, comprobación de que la persona que está realizando el proceso es quien dice ser. PIN de la tarjeta de débito, dato conocido únicamente por el socio el cual es utilizado para realizar retiros en ATMs. Clave de retiro de tarjeta de crédito (cuando la institución disponga de la misma) Otros propuestos por el proveedor

Módulo 1: Banca Personas –Web y aplicación móvil

Módulo	Detalle
Posición Consolidada	Cuentas. Ahorros, otras cuentas (todos los productos cuentas que ofrece la Cooperativa).
	Tarjetas.
	Préstamos.
	Inversiones.
Cuentas	Saldos.
	Movimientos: - Despliegue de movimientos incluyendo filtros por fechas. - Descarga/impresión de comprobantes por cada movimiento
	Corte de estado de cuenta para descargar en formato Excel o PDF y opción de envió mediante correo.
	Emisión de certificados financieros.
	Aviso de salida del país
	Bloqueo/desbloqueo
	Configuración de montos por cuenta y por canal (máximo y mínimo - día)
	Habilitación /Deshabilitación xx xxxxxxx
	Pago recurrente de tarjetas de crédito
	Firmador de documentos electrónicos con validez en ARCOTEL
	Creación de nuevas cuentas
Transferencias	Entre cuentas propias.
	A cuentas de terceros en la Cooperativa.
	A cuentas en otras instituciones financieras (incluye Pago Directo)
	Descarga/impresión de comprobantes por cada movimiento (por ejemplo, formato pdf).
	Registro de cuentas para transferencias recurrentes
SMS Tarjeta de Débito	Retiro en cajeros automáticos sin tarjeta mediante OTP
	Generación de nueva clave mediane OTP
	Bloqueo de tarjeta de débito (temporal, definitivo)
	Solicitud de tarjeta.
Tarjetas de crédito	Saldos de tarjetas de crédito de la Cooperativa
	Pago de tarjetas de crédito de la Cooperativa
	Pago de tarjetas de crédito de otras instituciones financieras
	Registro de tarjetas de crédito para pagos recurrentes
	Movimientos de pagos de tarjetas: Despliegue de movimientos incluyendo filtros por fechas. Descarga/impresión de comprobantes por cada movimiento
	Bloqueo/desbloqueo.
	Avances de efectivo.
	Efectivo Express
	Aviso de salida del país.
	Solicitud de tarjeta.
	Personalización de cupos por cada canal.
	Pago recurrente de servicios.
	Refinanciamiento de deuda
	Diferimiento de consumo
	Precancelación de cupos
	Administración xx xxxxxx
Pago de Servicios y Recargas	Consulta de pagos.
	Programar pagos (pagos recurrentes).
	Historial de pagos.
	Pago de Servicios básicos y todos los productos que tenga habilitado la Cooperativa a través del switch transaccional integrador que defina la Cooperativa de acuerdo con las necesidades comerciales.
	Recargas celulares, planes y todos los que el switch transaccional que la Cooperativa defina de acuerdo con las necesidades comerciales.
	Reimpresión de comprobantes.
	Pagos mediante código QR.
	Registro de servicios para pagos recurrentes
Préstamos	Consulta de préstamos.
	Solicitud de refinanciamiento.
	Crédito en línea
	Firmador de documentos electrónicos con validez en ARCOTEL
	Simulación de crédito
	Pago de Crédito (incluye Pago Directo)
Inversiones	Consulta de inversiones.
	Generación de inversiones.
	Firmador de documentos electrónicos con validez en ARCOTEL
	Simulación de inversión
Perfil	Mis datos.
	Datos del usuario como: direcciones, residencia fiscal, etc.
	Datos de contacto. Actualización correo electrónico Actualización número de celular
	Actualizar mi perfil
	Usuario
	Contraseña
	Gestión de dispositivos
	Cuentas, tarjetas y servicios.
	Mis contactos (agregar, editar, eliminar)
	Generación de llave digital
Servicios bancarios	Activación de seguro
Servicios bancarios	Emisión de certificados
Billetera móvil (solo APP)	Ingreso a Billetera Móvil, por medio de los métodos de autenticación.
	Transferencias entre cuentas de la Cooperativa.
	Devoluciones
Otros	Agente virtual (llamada, chat, programar llamada, pantalla compartida, e-mail, video llamada)
	Ubíquenos
	Notas de información
	Contáctenos

Módulo 2: Banca Empresas, Banca web – Banca Móvil, Cash Management

Opción: Empresas Web Y Móvil

Módulo	Transacción
Posición Consolidada	Cuentas Clientes
	Cuentas Especiales
	Tarjetas
	Préstamos
	Inversiones
Cuentas	Saldos
	Cuenta Ahorros
	Cuenta Cliente
	Resumen de movimientos
	Creación de cuentas en línea
	Firmador de documentos electrónicos con validez en ARCOTEL
	Movimientos de la cuenta
Préstamos	Consulta
	Simulación
	Generación de solicitudes
	Crédito en línea
	Firmador de documentos electrónicos con validez en ARCOTEL
Inversiones	Consulta
	Simulación
	Generación de Inversiones
	Creación de Inversiones en línea
	Firmador de documentos electrónicos con validez en ARCOTEL
Pago de servicios	Consulta y ubicación del pago
	Programar pagos
	Realizar pago de servicios individuales y masivos
	Registrar un nuevo Favorito
	Consultar favoritos
	Cargar favoritos por archivo (esta opción aplica solo para la web)
	Editar Favoritos
	Eliminar favorito
	Aprobar Favorito
	Historial de pagos
	Reimpresión de comprobantes
Ingreso de información	Carga de órdenes de pago por archivo y por teclado: pago de nóminas, pago a proveedores, etc.
	Carga de órdenes de cobro por archivo y por teclado
	Consultar resultado de la carga de órdenes
Administración de órdenes	Aprobar órdenes
	Eliminar órdenes
	Revocatoria de orden
	Revocatoria de ítems
Consultas generales	Consultar órdenes cargadas
	Consulta detalle de Ítems
	Consultar aprobaciones
	Consultar movimientos
	Consultar débitos créditos
	Consultar totales de órdenes
	Consultar comisiones
Administración de Beneficiarios	Agregar beneficiarios de pago
	Editar beneficiarios de pago
	Eliminar beneficiarios de pago
	Ingreso masivo de beneficiarios
Transferencias	Transferencias propias
	Transferencias a terceros en la Cooperativa
	Transferencias interbancarias

Pago de Nómina

Módulo	Transacción
Perfil empleado	Consultar solicitud de anticipo de sueldos.
Perfil empleado	Solicitar anticipo xx xxxxxx.
Perfil Empresa	Consultar solicitud de anticipo de sueldos realizados por sus empleados
	Aprobar solicitud de anticipo de sueldos.
	Administración de beneficiarios.
	Consultar condiciones del servicio.
Perfil Administrador	Consultar solicitud de anticipo de sueldos realizados por los empleados de todas las empresas afiliadas al servicio.
	Anular solicitud de anticipo de sueldos.
	Parametrizar condiciones del servicio por empresa.

Conciliación

Módulo	Transacción
Consultas	Transferencias
	Pago de Servicios
	Recargas
Reporte de Inconsistencias	Transferencias De cuentas propias A terceros. Interbancarias Tarjetas
	Pago de servicios
	Recargas

Módulo de administración, seguridad y parametrización del sistema de los sistemas xx xxxxxxx electrónicos y los servicios que brinda (BackOffice)

Módulo de administración

Módulo	Transacción
Empresas	Consultar Empresas
	Agregar empresas
	Editar empresas
	Activar/Inactivar empresas
	Crear empresa template formatos
	Editar empresas template formatos
	Activar/Inactivar empresas template formatos
Grupos	Consultar grupos locales de empresas
	Crear grupos locales de empresas
	Editar grupos locales de empresas
	Desasociar una empresa de un grupo
	Activar/Inactivar grupos locales de empresas
Servicios	Consultar servicio
	Agregar servicio
	Editar servicio
	Activar/Inactivar servicio
Tarifas	Consultar tarifas
	Agregar tarifa
	Editar tarifas
	Activar/Inactivar tarifas
	Agregar tarifa template
	Editar tarifas template
	Activar/Inactivar tarifas template
	Consultar tarifas piso
	Agregar tarifa piso
	Editar tarifas piso
	Activar/Inactivar tarifas piso
Contratos	Consultar contratos de una empresa
	Agregar contratos de una empresa: pagos, cobros, corresponsales no bancarios, gestión rol.
	Editar contratos de una empresa
	Activar/Inactivar contratos de una empresa
	Agregar contratos template de una empresa
Límites	Parametrización de limites generales para transferencias interbancarias o internas y por cada servicio (número máximo de transferencias, montos, números de pagos diarios y mensuales)

Requerimientos Técnicos

Definición	Detalle
Respaldo de Bases de datos	Deberá entregar un respaldo de la base de datos con periodicidad mensual y cuando la cooperativa lo requiera bajo demanda.
Contingencia	Deberá contar con un sitio alterno el cual deberá brindar las mismas funcionalidades del sitio principal. La Cooperativa realizará pruebas de continuidad al menos dos veces al año
Ambiente de Pruebas	Deberá contar con un ambiente de pruebas (dando por entendido que el proveedor deberá contar con sus propios ambientes de desarrollo, pruebas y producción, debidamente segregados física y lógicamente) para desarrollos puntuales y pruebas de funcionalidades.
Métodos de encriptación	Deberá contar con métodos de encriptación al menos con RSA, AES para el consumo de servicios
Consumos de servicios	Deberá consumir los servicios que ofrece el bus de servicios institucional, y directamente de los switchs transaccionales de los convenios definidos por la Cooperativa
Integración con Active Directory	El Back Office debe integrarse con el Active Directory de la Cooperativa
Acceso de Back Office	El Back Office solo se deberá poder ingresar a través del segmento de red de la Cooperativa.
Disponibilidad en tiendas	La App debe estar disponible en todas las tiendas de los Apps, y disponible en todos los países
Lenguaje	La App y Página web debe ser multilenguaje
Plataforma de navegación	La Página Web debe ser multi plataforma de navegación
Modalidad del Servicio	La modalidad del servicio deberá ser Software como Servicio (SaaS) en: Microsoft Azure, Amazon Web Services (AWS) o Google Cloud.
Monitoreo	Deberá aplicar un permanente monitoreo a la plataforma y servicio, emitiendo alertas oportunas.
Informes de monitoreo	Deberá emitir un informe mensual sobre la disponibilidad y operación del servicio.
Versionamiento	Se deberá garantizar que la versión del aplicativo siempre se encuentre en su última versión estable.
Control de versionamiento	Todos los cambios internos que se efectué sobre la plataforma deben ser ejecutado siguiendo el procedimiento de control de cambios y versionamiento, previo aviso a la cooperativa. Los cambios solicitados por la cooperativa deberán seguir el proceso de control de cambios definidos por la cooperativa.
Capacitación	Se deberá brindar dos capacitaciones: Técnica: Arquitectura, administración Base de Datos, proceso de respaldos, procedimiento de contingencia, procedimiento de versionamiento, procedimiento de control de cambios Funcional: Funcionamiento de la plataforma y sus módulos, conciliaciones. Las capacitaciones pueden realizarse de manera presencial o virtual, en el caso de ser las capacitaciones presenciales, deberán ser en las Instalaciones de la Cooperativa ubicada en la calle Cañaris No Oe6-140 y Xxxxxxxx Sucre de la cuidad de Quito, Provincia de Pichincha, se realizará por fases implementadas puestas en producción al personal que la Cooperativas designe.
Soporte y/o Ayuda en línea	Disponer de funcionalidades en la Aplicación Móvil y Página Web, que permitan proveer al usuario final de ayuda en línea de las funcionalidades ya existentes o de funcionalidades nuevas mediante videos, pantallas y/o ventanas emergentes.
Sincronización de relojes	La Cooperativa indicará al proveedor adjudicatario, el servicio al cual deberá integrarse tanto principal como secundario
Pop- ups publicitarios	El sistema dispondrá de funcionalidades que permitan mostrar al socio o cliente pop-ups y mensajes publicitarios sobre nuevos productos o servicios. Permitiendo segregar los socios o clientes en base a bases proporcionadas por la Cooperativa.

Seguridad

Módulo	Transacción
Consulta	Reporte de auditoría
Perfiles	Perfiles Banco
	Perfiles Persona
	Perfiles Empresa
	Perfiles Seguridad
Usuarios	Desbloqueo de Usuario
	Habilitar Usuarios
	Reseteo Clave Usuarios Banco
	Reseteo Clave Usuarios Persona
	Reseteo Clave Usuarios Empresa
	Reseteo Clave Usuarios Seguridades
	Administrar Usuarios Banco
	Administrar Usuarios Persona
	Administrar Usuarios Empresa
	Usuarios Seguridad

Requisitos de Seguridad:

REQUERIMIENTO

El sistema dispondrá de módulos para la gestión de cuentas de usuario y perfiles de acceso.

Los módulos de gestión de cuentas de usuario y perfiles dispondrán de sus propios registros de auditoría y reportes, disponiendo de pantallas para sus consultas.

El sistema deberá permitir la gestión de accesos mediante asignación de privilegios a perfiles y nunca a usuarios individuales. Los usuarios podrán ser asignados a un único perfil a la vez.

Para la gestión de cuentas de usuarios el sistema deberá registrar como mínimo: identificador, nombres, apellidos, número de cédula, fecha de activación, fecha de inhabilitación de la cuenta (temporal o indefinida), estado: habilitado/deshabilitado/bloqueado.

El sistema permitirá la creación de cuentas bajo el mismo estándar manejado por el Directorio Activo de la Cooperativa 29 de Octubre.

El módulo de gestión de perfiles deberá tener la capacidad de vincular la totalidad de opciones, programas, funcionalidades y menús de cada módulo del sistema a los perfiles del sistema.

El sistema deberá permitir la creación, modificación y eliminación de los perfiles que sean requeridos por la Cooperativa 29 de Octubre, cuando la Cooperativa lo considere necesario, en base a sus requerimientos del negocio, siendo esta una característica de “parametrización” que deberá tener el sistema (es decir, no se debe requerir desarrollo de código para crear, eliminar o modificar perfiles en el sistema).

De manera automática el sistema asignará el estado “Bloqueado” a las cuentas de usuario que no han ingresado al mismo en un tiempo mayor a un período determinado (por ejemplo 3 meses), el tiempo debe ser un valor parametrizable.

De manera automática el sistema asignará el estado “Deshabilitado” a las cuentas de usuario que han permanecido en estado “Bloqueado” en un tiempo mayor a un período determinado (por ejemplo 1 mes), el tiempo debe ser un valor parametrizable.

El sistema deberá presentar al usuario luego del proceso de identificación y autenticación (exitoso), un mensaje indicando la fecha y hora de su último acceso satisfactorio al sistema, así como el número de intentos fallidos desde el mismo.

En el proceso de identificación y autenticación, para el caso de accesos fallidos, el sistema no se proveerá información detallada de que parámetro está errado (usuario/clave).

En todo proceso de ingreso de contraseña (identificación, autenticación, cambio de contraseña) la contraseña se presentará enmascarada.

El sistema debe controlar el tiempo de inactividad de la sesión, pasado el lapso establecido deberá desactivar la sesión y cerrar el sistema, obligando al funcionario a identificarse y autentificarse nuevamente. El tiempo de inactividad deberá ser un parámetro configurable.

No se podrá ingresar al sistema con una misma cuenta más de una vez de manera concurrente, ya sea desde el mismo equipo o desde equipos diferentes.

El sistema deberá permitir la consulta en pantalla de todos los usuarios, un conjunto de ellos, o uno exclusivamente, con sus datos respectivos, estado (habilitado, deshabilitado, bloqueado), así como el perfil asignado en el sistema.

El sistema deberá permitir la consulta en pantalla de todos los perfiles, un conjunto de ellos, o uno exclusivamente, con el detalle de las transacciones y opciones que lo componen.

El sistema deberá contar con controles de autorización de transacciones que defina el negocio, en base a la sensibilidad de éstas (ejecución/ aprobación).

El sistema deberá disponer de los siguientes registros de auditoría:

Registro de auditoría de las actividades que se realicen en los módulos de administración de usuarios/perfiles, registrando los siguientes eventos:

Cambios en los parámetros de configuración del sistema
Altas, bajas y modificaciones de usuarios
Altas, bajas y modificación de perfiles
Asignación/cambio de asignación usuarios - perfiles

Registro de auditoría de control de acceso, en donde se registren los accesos válidos y los intentos fallidos.
Registro de auditoría de todas las opciones y pantallas de parametrización del sistema
Registro de auditoría de las consultas sobre las operaciones sensibles del negocio, saldos, movimientos, etc.
Registros de auditoría de acceso y consulta de información personal de los clientes.
Registros de auditoría de transacciones que el negocio defina como sensibles, críticas o de riesgo ante fraude o dolo.

Los registros de auditoría deberán contener los siguientes campos:

Identificador de usuario, nombre del usuario, dirección IP equipo desde dónde se realizó la conexión, nombre del equipo, módulo al que ingresó, afectación en el módulo tanto para la modificación, actualización (que detalle el valor anterior y el nuevo valor), inserción y borrado de datos, fecha y hora en que realizó la conexión.

Todos los registros de auditoría deberán estar disponibles en la interfaz gráfica del sistema mediante reportes independientes, que permitan efectuar búsquedas en base a filtros de los distintos valores presentados en el reporte, así como su exportación en formado Excel y PDF.

El sistema deberá disponer de los siguientes reportes:

Usuarios activos, inactivos, bloqueados, eliminados.
Reporte de perfiles vs recursos.
Reporte de usuarios vs perfiles.
Reporte de ingresos exitosos y fallidos.
Reporte de actividades del administrador de usuarios/perfiles
Registros (Logs) transaccionales sobre los procesos realizados por el usuario final. (Incluido ID, Fecha, Hora de cambio.

El sistema debe cumplir con los controles de seguridad que garanticen la mitigación de las vulnerabilidades de desarrollo especificadas en el estándar de desarrollo de código seguro OWASP.

El sistema debe utilizar la propiedad MaxLength para los datos tipo texto.

El sistema debe utilizar cadenas protegidas de conexión en la interacción con la base de datos.

La aplicación debe redireccionar a la página de LOGIN ante cualquier intento directo de conexión a las páginas de la aplicación.

La aplicación no debe almacenar las credenciales de acceso en las máquinas de los clientes.

En lo referente al proceso de Identificación y autenticación, el sistema deberá integrarse al Active Directory de la Cooperativa 29 de Octubre.

Debe disponer de certificado digital.

LA CONTRATISTA se compromete a establecer y ejecutar procedimientos de auditoría de seguridad por lo menos una vez al año, con el fin de identificar vulnerabilidades y mitigar los riesgos que podrían afectar a la seguridad y calidad de los servicios e información de los sistemas empleados para brindar el servicio a la Cooperativa.

La auditoría de seguridad deberá incluir como mínimo el análisis de vulnerabilidades a ser contratado con un tercero especialista en dicho ámbito. El análisis de vulnerabilidades debe ser realizado a la versión del software empleado para dar el servicio a la Cooperativa.

La Contratista deberá confirmar que las vulnerabilidades identificadas fueron cerradas teniendo la certificación de cierre de la empresa que realizó dicho análisis, o a su vez el cronograma de cierre con las evidencias pertinentes.

En caso de que el sistema no se integre al Active Directory de la Cooperativa 29 de Octubre en lo referente a identificación y autenticación, deberá cumplir con las siguientes normativas:

La aplicación debe obligar al usuario a cambiar la clave, en su primer ingreso luego de la creación de la cuenta, así como luego del reinicio de la misma.

La aplicación debe obligar al usuario a cambiar la clave luego de un cierto período de tiempo (valor parametrizable)

Las contraseñas deberán almacenarse de cifradas.

El sistema debe manejar algoritmos de cifrado que sean considerados estándares mundiales en la industria de la seguridad informática, los mismos que deberán ser aprobados por la Cooperativa 29 de Octubre.

El sistema deberá proporcionar al usuario la funcionalidad de cambio de contraseña bajo demanda, pudiendo efectuarlo cuando éste lo desee.

En el proceso de cambio de contraseña el sistema pedirá la contraseña antigua y la confirmación de la contraseña nueva antes de continuar con el mecanismo de cambio de contraseña, ya sea por caducidad de esta o por cambio voluntario del usuario.

La asignación de contraseñas tanto para el reinicio como en la creación de los usuarios deberá ser gestionada automáticamente por el sistema, el mismo que generará contraseñas de forma aleatoria. Las contraseñas aleatorias deberán cumplir con la sintaxis para contraseñas descrita en el presente documento.

Las contraseñas de las cuentas no deberán ser visibles en ningún momento por el administrador, ni en el proceso de creación de cuentas ni en el reinicio de las mismas.

Tanto en la creación de las cuentas como en el reseteo de las mismas, el sistema deberá distribuir las credenciales (contraseña e identificador) de manera automática mediante correo electrónico dirigido al correo de la cuenta que está siendo afectada, debiendo enviarse el identificador y la contraseña en correos separados.

El sistema forzará al usuario a cambiar la contraseña luego de un periodo parametrizable de días.

El sistema bloqueará el usuario luego de un número determinado de intentos fallidos. (el número debe ser un valor parametrizable)

El sistema dispondrá de control histórico de contraseñas, los usuarios no podrán reutilizar sus 10 últimas contraseñas (valor parametrizable)

El sistema deberá cumplir con la siguiente sintaxis de contraseñas (deberán ser valores parametrizables):

Longitud de la contraseña: mínimo 8 caracteres
Por lo menos una mayúscula
Por lo menos una minúscula
Por lo menos un número y una letra
Al menos un carácter especial

LA CONTRATISTA confirma que dispone de políticas, procedimientos, y manuales de seguridad de la Información, comprometiéndose a brindar el servicio alineado a las mejores prácticas y políticas de seguridad de la Información.

LA CONTRATISTA deberá presentar con periodicidad anual, evidencia de validez de la certificación ISO 27001 de seguridad de la Información en el servicio contratado por la cooperativa, o a su vez, deberá presentar un Reporte SOC Tipo II emitido por un tercero (La auditoría de los Controles de Servicio y Organización 2 conocida como SOC II, es un estándar internacional que permite evaluar los controles de seguridad de un proveedor y las amenazas de ciberseguridad.

LA CONTRATISTA deberá presentar con periodicidad anual la certificación de conformidad del cumplimiento de la resolución No. SEPS-IGT-IR-ISF-ITIC-IGJ-2017-103 “Norma de control de las seguridades en el uso de transferencias electrónicas” o la que le sustituya, el mismo que deberá ser emitido por una firma auditora autorizada.

LA CONTRATISTA debe presentar anualmente la evidencia de cumplimiento de las normativas citadas en los puntos que aplique para el objeto de este contrato, a continuación (o las que les sustituyan o defina el ente regulador):

PCI V3.2.1
Ley Orgánica De Protección De Datos Personales
Ley Orgánica Para Defender Los Derechos De Los Clientes Del Sistema Financiero Nacional Y Evitar Cobros Indebidos Y Servicios No Solicitados

LA CONTRATISTA garantiza que el personal asignado a la ejecución del proyecto o prestación del servicio contratado con LA COOPERATIVA ha sido capacitado debidamente en materia de Seguridad de la Información y que mantiene un proceso continuo de capacitación en dicho ámbito.

LA CONTRATISTA confirma que dispone de un proceso de selección del personal asignado a la prestación del servicio contratado por LA COOPERATIVA, el cual incluye un proceso de validación de antecedentes laborales y personales, garantizando la idoneidad del personal contratado.

LA CONTRATISTA confirma que cuenta con un Proceso de Control de Cambios, en los procesos tecnológicos que dan soporte al servicio contratado por LA COOPERATIVA y que dicho proceso deberá estar coordinado con el proceso de Control de Cambios de la Cooperativa.

LA CONTRATISTA declara contar con todos los permisos, autorizaciones o concesiones para la prestación de los servicios contratados por LA COOPERATIVA.

LA CONTRATISTA declara contar con personal técnico, sistemas e infraestructura necesaria, acorde al servicio contratado, con el fin de garantizar un óptimo servicio a LA COOPERATIVA.

LA CONTRATISTA deberá garantizar la disponibilidad de recurso humano y tecnológico para poder brindar el servicio contratado en escenarios de confinamiento o emergencia sanitaria.

LA CONTRATISTA debe asegurar la prestación del servicio para el que fue contratado en línea con los requerimientos de continuidad de operación establecidos por LA COOPERATIVA.

LA CONTRATISTA deberá colaborar y permitir a LA COOPERATIVA realizar auditorías sobre la calidad del servicio, cumplimiento de políticas o infraestructura tecnológica y física que soporta la prestación de los servicios incluidos en la relación contractual, auditorías que serán notificadas a LA CONTRATISTA con mínimo tres (3) días calendario de antelación, indicando los nombres y documentos de identidad de las personas que las realizarán, pudiendo ser estos trabajadores o personal externo autorizado por LA COOPERATIVA o sus entes reguladores.

Todo proceso de auditoria estará sujeto a los conceptos de confidencialidad de información definido en las políticas de seguridad de LA COOPERATIVA.

LA CONTRATISTA deberá asegurar que exista una adecuada segregación de funciones entre el personal que administra, opera, mantiene y en general accede a los terminales y sistemas usados para transferencias electrónicas;

Sincronización de relojes (NTP): LA CONTRATISTA deberá mantener sincronizados todos los relojes de su plataforma con los indicados por la cooperativa

LA CONTRATISTA garantiza que cuenta con un proceso de gestión de parches el cual considera la debida segregación y pruebas en ambientes de desarrollo, pruebas y producción, respecto al software base de la infraestructura tecnológica empleada para brindar el servicio, el cual garantiza la actualización permanente de actualizaciones de seguridad.

En caso de que LA COOPERATIVA identifique vulnerabilidades en el código entregado por LA CONTRATISTA, ya sea antes de la salida a producción, o dentro de la vigencia del contrato de servicios, LA CONTRATISTA deberá efectuar el cierre de estas, sin que dicho trabajo implique costo para la Cooperativa.

En caso de que LA COOPERATIVA identifique problemas de funcionalidad en el código entregado por LA CONTRATISTA, ya sea antes de la salida a producción, o dentro de la vigencia del contrato de soporte, LA CONTRATISTA deberá efectuar el cierre de estas, sin que dicho trabajo implique costo para la Cooperativa.

LA CONTRATISTA reconoce y acepta que, en el transcurso de su contratación por parte de LA COOPERATIVA, LA CONTRATISTA puede recibir o tener acceso a información relacionada a LA COOPERATIVA. LA CONTRATISTA se compromete a considerar como Confidencial, Restringida, toda la información relacionada con el objeto del contrato, y aquella que obtenga durante la prestación de sus servicios.

LA CONTRATISTA se compromete a manejar la información de LA COOPERATIVA de acuerdo con la obligación de reserva y sigilo, y en aplicación de la normativa vigente respecto de LA COOPERATIVA sobre el manejo, recolección, recepción, transmisión, almacenamiento, disposición y administración de datos, de conformidad con las normas establecidas, de manera especial por el Código Orgánico Monetario y Financiero.

LA CONTRATISTA se compromete a custodiar y mantener la confidencialidad de toda credencial de autenticación que sea entregada por parte de LA COOPERATIVA, cuyo control les sea temporalmente confiado debido a la prestación de servicios establecidos por el presente contrato. Dichas credenciales deberán ser utilizadas únicamente por empleados autorizados para tal uso, y en estricta ejecución del objeto del presente contrato. Información de terceros obtenida durante el manejo de las cuentas de propiedad de LA COOPERATIVA deberá ser tratada en aplicación de los estándares de confidencialidad previamente establecidos.

LA CONTRATISTA se compromete a trasladar sus obligaciones al personal que dedique al cumplimiento del presente contrato, y a advertir a tal personal de todas las obligaciones que adquiere por este instrumento. LA CONTRATISTA implementará además toda normas y políticas administrativas, encaminadas a garantizar el correcto uso de la información proporcionada y garantizará la debida protección de datos de titularidad de LA COOPERATIVA. El acceso a dicha información deberá limitarse tan sólo a personal directamente involucrado en la prestación de los servicios, y no podrá ser revelada o cedida a terceros en ningún caso, ni aún en el supuesto de terminación de este contrato.

Los documentos, procesos, manuales técnicos y funcionales y demás material que sea entregado por LA COOPERATIVA a LA CONTRATISTA para uso de ésta, quedará bajo su custodia y responsabilidad, desde el momento de su recepción hasta su total entrega o elaboración, obligándose LA CONTRATISTA a guardar confidencialidad sobre la información a la que, con ocasión del presente contrato, tenga acceso o genere.

LA CONTRATISTA se obliga a informar a LA COOPERATIVA, por escrito e inmediatamente, de cualquier posible ruptura de confidencialidad que fuese descubierta en sus operaciones. Si una ruptura tal es descubierta por LA COOPERATIVA, el Administrador del contrato es responsable de la notificación formal de los posibles incumplimientos, para lo cual debe enviar comunicación escrita a LA CONTRATISTA sobre la investigación de la incidencia. De confirmarse el incumplimiento y bajo previa notificación a LA CONTRATISTA, LA COOPERATIVA se reserva el derecho de ejecutar las acciones legales pertinentes, así como la terminación unilateral del presente contrato.

Ninguna de las PARTES incurrirá en responsabilidad alguna cuando la información confidencial que se le haya proporcionado llegue a ser de conocimiento de un tercero por una de las siguientes causas:

Que la información confidencial sea o llegue a ser de dominio público durante la vigencia del contrato, excepto si dicha circunstancia es causada por la negligencia o el incumplimiento de una de las partes.
Cuando el titular de la información confidencial autorice por escrito, a través de su representante legal, que la otra parte difunda la información confidencial sin restricciones a terceros, según lo establezca; o
En caso de que cualquiera de las partes se vea obligada, por disposición administrativa o por orden judicial a entregar, total o parcialmente, la información confidencial, debiendo comunicarlo por escrito a las otras partes en el momento en que tenga conocimiento del requerimiento correspondiente, siempre y cuando se hayan agotado todos los medios legales para evitarlo.
Por todo lo anteriormente citado, ninguna de las PARTES podrá retener o conservar indebidamente información Confidencial que haya sido proporcionada conforme al contrato y no podrá divulgarla incluso después de la terminación o resolución del contrato.

El lema comercial, nombre, logo y todo signo distintivo y marcas de LA COOPERATIVA son de exclusiva propiedad de ésta última. LA CONTRATISTA se halla autorizado a utilizar dichos signos distintivos y marcas única y exclusivamente dentro de los parámetros establecidos por el presente contrato y relacionados con su ejecución. Todo otro uso, comercial o no, de signos distintivos y marcas de LA COOPERATIVA queda expresamente prohibido, tanto respecto LA CONTRATISTA como de sus proveedores directos, indirectos, contratistas, funcionarios, empleados o directivos, y de terceros que mantengan relación comercial o profesional con LA CONTRATISTA.

LA CONTRATISTA se compromete a respetar, en el curso de la prestación de los servicios brindados a LA COOPERATIVA, los derechos de propiedad intelectual de titularidad de terceros. Si un elemento o material preexistente, protegido por derechos de propiedad intelectual, es incorporado a los contenidos, productos, y servicios brindados por LA CONTRATISTA a LA COOPERATIVA, LA CONTRATISTA deberá informar por escrito, expresa y previamente, a LA COOPERATIVA sobre dicha inclusión, complementando tal información con la evidencia de haber obtenido los derechos intelectuales o la autorización necesaria de la legitimidad absoluta a tal incorporación a fin de no causar daños a la Cooperativa. En ausencia de dicha información previa y de los documentos justificativos necesarios al efecto, cualquier uso indebido de propiedad intelectual de titularidad de terceros será de única y exclusiva responsabilidad de LA CONTRATISTA, reservándose LA COOPERATIVA el derecho de ejecutar las acciones legales pertinentes al respecto, así como la terminación unilateral del presente contrato.

En caso de que LA COOPERATIVA haga la entrega a LA CONTRATISTA de las credenciales de acceso para ejecución del servicio. LA CONTRATISTA se compromete a gestionar dichas credenciales y accesos acorde a las Políticas de seguridad de LA COOPERATIVA, por lo que deberá garantizar la confidencialidad y el buen uso de estas. cualquier uso indebido derivado del mal manejo de las credenciales entregadas, será de única y exclusiva responsabilidad de LA CONTRATISTA, reservándose LA COOPERATIVA el derecho de ejecutar las acciones legales pertinentes al respecto. Al finalizar el contrato de servicios LA CONTRATISTA deberá efectuar la devolución de las credenciales a la Cooperativa.

Se deberán establecer procedimientos seguros para levantar el bloqueo, para lo cual se debe proporcionar las notificaciones correspondientes al socio, cliente o usuario.

Integración con sistema antifraude, que permita el cumplimiento del Artículo 7, de la Sección III.- Medidas Tecnológicas De Seguridad En El Uso De Transferencias Electrónicas, de la resolución No. SEPS-IGT-IR-ISF-ITIC-IGJ-2017-103, que indica: “Artículo 7.- Bloqueo y restauración de operaciones. Los sistemas de transferencias electrónicas deberán permitir en cualquier momento y en tiempo real, el bloqueo al uso del sistema cuando se detecten eventos inusuales o cuando se adviertan situaciones fraudulentas o después de un número máximo de tres intentos fallidos de acceso.”

Registrar las direcciones IP y números de telefonía móvil desde las que se realizan las transacciones. Para permitir transacciones desde direcciones IP o telefonía móvil de otros países se debe tener la autorización expresa del socio, cliente o usuario;

El control de reconocimiento facial deberá ser amigable al usuario final y disponer de las siguientes métricas:

Máxima Tasa de Rechazo Falso (FRR): 1/1.000.000
Máxima Tasa de Aceptación Falsa (FAR) máximo: 1/1.000.000

El sistema dispondrá de mecanismos de seguridad en la conectividad a la base de datos y cada uno de sus módulos (Middleware, Back Office, Web y App Móvil).

LA CONTRATISTA implementará controles que permitan registrar el número de transacción, identificativo que permita localizar todos los eventos realizados por cada transacción solamente ingresando el secuencial.

Integración sistema Antifraude

La aplicación móvil y pagina web transaccional deberá contar con las funcionalidades técnicas que permitan un total aprovechamiento de la plataforma antifraude de la Cooperativa “29 de Octubre” Ltda., sistema Monitor Plus, provisto por la empresa PlusTI, cuyos módulos y necesidades para la integración se describen a continuación:

SDK (Software Development Kit) Digital Banking Fraud Detector

Este SDK forma parte del Digital Banking Fraud Detector y busca prevenir fraude en las diferentes pantallas que pueda tener la institución (Login, Transacciones, Menú́ principal, etc.) Este módulo cuenta con la capacidad de generar un patrón de usuario que permite analizar cuando un usuario legítimo es el que ingresa a la aplicación, cuando el usuario legítimo está siendo engañado por parte de un defraudador o cuando se trata de un dispositivo previamente usado por un defraudador. Para esto este módulo recopila cierta cantidad xx xxxxxx del dispositivo del cliente que lo identifica tanto a nivel de dispositivo como a nivel de la red a la que se conecta.

Este módulo permite evaluar la información recopilada del usuario y determinar en base a esta información el riesgo de la acción.

Device Finger Print Web & Hybrid

La librería Web Device Fingerprint tiene como propósito vincular al cliente y sus dispositivos para generar un patrón que permite identificar al usuario. Esta librería genera una cadena en formato JSON que deberá ser adjuntada a la trama del registro que la institución parametrizará en Monitor Plus. Dentro de este JSON el cliente deberá adjuntar el encabezado de usuario para que pueda ser procesado por el servicio. Para lo anterior se debe instalar un Java Script proporcionado por PlusTI dentro del web site.

Device Finger Print Android

Esta librería genera una cadena en formato JSON que deberá́ ser adjuntada a la trama del registro que la institución tiene parametrizada.

Esta librería está disponible para la versión de Android 4.2 hasta las versiones actuales.

Device Finger Print IOS

Se debe agregar a un proyecto Xcode el SDK proporcionado por PlusTI.

Esta librería está disponible para la versión 8 de IOS hasta las versiones actuales.

Para lo anterior se debe integrar el SDK proporcionado por PlusTI dentro del App de la institución.

Los siguientes son algunos de los datos recopilados:

Las categorías por las que se divide la información que capturamos con el Device Fingerprint son las siguientes:

Información del dispositivo: En esta sección se obtiene la información del dispositivo como la versión del software que se tiene instalado, el modelo del dispositivo, la marca del dispositivo, etc.
Información general del dispositivo: En esta sección se obtiene información como la resolución de pantalla del dispositivo, versión del kernel, si el dispositivo es un emulador o tiene permisos de super administrador.
Identificadores del dispositivo: Estos valores son generados por el SDK a partir de un conjunto xx xxxxxx que lo identifican dentro de Monitor.
Geolocalización: Esta información cuenta con la latitud, longitud, región y el país desde donde se realiza la conexión.
Red: Esta sección nos proporciona información como por qué medio se conecta el usuario (Datos telefónicos o una red wifi).
Sensores: Esta información nos retorna si el dispositivo cuenta con sensores como acelerómetro, giroscopio y determina la posición del dispositivo.

Módulo Multi Factor Authentication de Monitor Plus®

El módulo Multi Factor Authentication de Monitor Plus®, tiene como objetivo brindar protección a los usuarios al ofrecer diferentes mecanismos para realizar una autenticación robusta, tomando como referencia un dispositivo móvil del cliente o las características que este posee como una selección de imágenes basadas en los gustos del usuario.

El funcionamiento del módulo Multi Factor Authentication de Monitor Plus®, requiere que la institución elabore las pantallas visuales con el look and feel en su aplicación móvil o página web para que el usuario digite/seleccione su mecanismo de autenticación.

Diagrama de arquitectura

El siguiente diagrama ilustra el funcionamiento del módulo, como primera instancia se deberá agregar el JavaScript y SDK a las aplicaciones web y móvil de la institución para que estas generen la información que se evaluará, esta información deberá́ ser enviada al servidor de Monitor Plus donde se evaluará con las condiciones y reglas creadas y devolverá́ una respuesta con la acción que se deberá́ tomar a la aplicación.

Por medio de los canales seguros que provee la institución se comunicará al Back End de la institución, en el back end utilizando un distribuidor de aplicaciones se va a comunicar con el API Rest de Monitor Plus®. El API Rest de Monitor Plus® va a trasladar toda la información de los JSON que la Institución envía, para que Monitor Plus®, proceda a hacer todo el diagnostico necesario y emita un score de riesgo para que la institución basada en este score tome diferentes tipos de acción ej: si el score es bajo, continua el flujo de la transacción, si el score es alto, bloquee la transacción.

En el caso de que el score sea intermedio, se realiza un llamado al módulo Multi Factor Authentication de Monitor Plus®.

Luego el Multi Factor Authentication de Monitor Plus®, trasladara la información correspondiente hacia el API Rest y él lo colocara en la cola que la Institución determine para que consuma la respuesta, una vez consumida la respuesta la institución va a reaccionar de acuerdo con lo que le diga el módulo Multi Factor Authentication de Monitor Plus®.

Nota: La anterior información es referencial, el modelo de solución y la información técnica del proyecto se prepara y documenta posterior a las reuniones sostenidas entre los equipos de ingeniería, donde se obtiene el detalle técnico definitivo, las características de las librerías y SDK provistos por PlusTI.

Cumplimientos normativos:

El PROVEEDOR, deberá cumplir con lo establecido en las normativas vigentes resolución Xx. XXXX-XXX-XX-XXX-XXXX-XXX-0000-000, xxxxxxxxxx Xx. XXXX-XXX-XX-XXX-0000-0000 y Resolución No. SEPS-IGT-IGS-INR-INGINT-2022-0211 o sus reformas durante la vigencia del servicio:

REQUERIMIENTO

LA CONTRATISTA dispone de centros de procesamiento de datos principal y/o alterno, contratados en la nube, implementados siguiendo el estándar TIA-942 y que cuenta como mínimo con la certificación TIER III o superior para diseño, implementación y operación, con una disponibilidad de 99.982% al año, y un tiempo xx xxxxxx de 1.6 horas, e incluye redundancia en sus componentes de infraestructura, así como fuentes alternativas de electricidad y refrigeración en caso de emergencia.

Certificación ISO 27001 en seguridad de la información para los servicios ofertados, así como, la implementación de los controles establecidos en los estándares ISO 27017 (controles de seguridad para servicios en la nube), ISO 27018 (protección de información personal en la nube) y/o aquella que aplique conforme el servicio ofertado.

LA CONTRATISTA por lo menos una (1) vez al año, con el fin de identificar amenazas y

vulnerabilidades y mitigar los riesgos que podrían afectar a la seguridad de los servicios que brindan, deberá contratar personas o empresas especializadas en seguridad de la información en la nube e independientes a la contratista, aplicando estándares vigentes y reconocidos a nivel internacional. LA CONTRATISTA de servicios en la nube debe definir y ejecutar planes de acción para gestionar las vulnerabilidades detectadas. Informe que deberá ser remitido a la Cooperativa.

LA CONTRATISTA dispone de representación comercial en el país, con capacidad para brindar soporte integral con personal y representar legalmente al proveedor internacional en el país (aplica a proveedores internacionales)

LA CONTRATISTA confirma que dispone de capacidad para transferir sólidamente los conocimientos.

La información almacenada por LA CONTRATISTA estará a disposición permanente de LA COOPERATIVA y a través de ésta, del organismo de control, por medio de los canales o mecanismos que disponga para el efecto. La información es de estricta confidencialidad y no podrá ser comercializada o utilizada para otros fines distintos a los manejados por la entidad dueña de la información.

La notificación de término del contrato deberá ser informada a LA CONTRATISTA con la debida anticipación, con el propósito de garantizar la continuidad de las operaciones de LA COOPERATIVA.

En caso de terminación del contrato de servicios de infraestructura, plataforma y/o software, la información será devuelta por LA CONTRATISTA a LA COOEPRATIVA de forma inmediata, conservando un respaldo de seguridad por un período de al menos tres meses debiendo observar estricta confidencialidad y el impedimento para utilizarla y comercializarla, comprometiéndose a destruir de su infraestructura tecnológica, de manera segura (mediante métodos que garanticen que no podrá ser recuperada tanto digital como físicamente), toda la información Confidencial y/o Restringida, calificada como tal por LA COOPERATIVA.

LA CONTRATISTA deberá disponer de políticas de desarrollo seguro de software y procedimientos de control de cambios en los sistemas de transferencia electrónica; con el objetivo de precautelar la seguridad de la información a lo largo del ciclo de vida de desarrollo de software;

Políticas aprobadas que menciones caducidad de contraseñas en todos los canales electrónicos

Manejo de claves encriptadas

Mecanismos para identificar contraseñas según su uso

Controles de ingresos de datos válidos

Encriptación de datos ingresados

Almacenar datos de origen de transacciones

Validar el país de origen de la transacción

Validar requerimiento de nuevo inicio de sesión

Verificación de roles de usuarios

Verificación de perfiles de usuario por rol

2. Metodología de trabajo:

La metodología de trabajo se deberá llevar bajo los siguientes lineamientos:

El proyecto deberá ser gestionado acorde a la metodología de Gestión de Proyectos establecida en la Cooperativa.
Se dará inicio al proyecto mediante una reunión inicial de Kick Off donde se explicará la metodología de trabajo, ruta crítica, hitos importantes, equipos de trabajo, cronograma y tiempos.
Se realizarán al menos una reunión semanal para conocer avances del proyecto.
LA CONTRATISTA deberá generar los siguientes documentos:

Plan de ejecución del proyecto y elaboración del cronograma. El administrador del contrato designado deberá confirmar la aprobación del cronograma.
Plan de comunicación
Plan de capacitación y entrenamiento a usuarios y técnicos
Actas de reunión y capacitación
Acta de entrega-recepción
Manual digital del uso y mantenimiento para el usuario final
Lecciones aprendidas

Desarrollo de las fases:
1. Fase de Implementación: esta fase involucra el aprovisionamiento de la infraestructura, instalación de la solución, configuración, parametrización, pruebas técnicas, control de calidad, despliegue en producción y estabilización.
2. Fase de Operación: Sistema operando normalmente en producción bajo el cumplimiento del SLA

3. SLA de servicios

El objeto de esta sección es detallar los términos y condiciones del Acuerdo de Nivel de Servicio (SLA iniciales en inglés de Service Level Agreement) para los PRODUCTOS Y SERVICIOS contratados.

Los objetivos de desempeño y disponibilidad serán los parámetros medibles de la relación entre LA COOPERATIVA LA CONTRATISTA.

Los objetivos del presente acuerdo son los siguientes:

Proveer referencias y definiciones claras con respecto a las responsabilidades y roles de LAS PARTES.
Presentar una descripción clara y medible de la provisión de los servicios y consecuencias en caso de incumplimiento.
Empatar las percepciones del servicio esperado con el servicio entregado.
Establecer Procedimientos de Soporte y Niveles de Escalamiento.

Procedimiento De Soporte Y Escalamiento

Definiciones

Respuesta, cuando un Incidente recibe respuesta inicial por parte de personal de soporte de LA CONTRATISTA y se apertura un reporte.
Estimación, cuando se comunica a LA COOPERATIVA un tiempo estimado de resolución del Incidente o Problema.
Solución, cuando LA CONTRATISTA entrega una solución al incidente/problema que reestablezca el servicio a condiciones normales.
Incidente, cualquier evento que no forma parte de la operación estándar de un Producto y que causa, o puede causar, una interrupción o una reducción de calidad del mismo
Problema, es la causa subyacente, aún no identificada, de una serie de incidentes o un incidente aislado de importancia significativa. Un problema se transforma en un Error conocido cuando se han determinado sus causas.
Error, significa una falla significativa de funcionamiento de un Producto de acuerdo con la Documentación de tal producto.
Work Around, significa una solución temporal a un problema que permita restablecer el servicio a un nivel satisfactorio hasta la implementación de una solución permanente.
Soporte Telefónico, incluye la prestación de asistencia para la atención de un incidente o problema. El soporte telefónico NO incluye asistencia para diseño de soluciones, asistencia en la instalación o configuración de productos.

Primer punto de contacto

El primer punto de contacto de soporte de LA CONTRATISTA a consultas de parte de LA COOPERATIVA es:

Teléfono
Email
Tiempo de Respuesta	30 minutos promedio de tiempo de contacto o 1 hora máximo antes de escalar el incidente al siguiente nivel.
Comentarios	Una vez levantado el incidente se procederá internamente a seguir el procedimiento de soporte y la tabla de escalamiento interno.

En caso de que no hubiere respuesta por parte de LA CONTRATISTA después de 30 minutos de haber reportado un incidente, se escala al siguiente nivel. En caso de haber respuesta, pero no estimación a un problema de Severidad 1 en 1 hora, se escala al siguiente nivel.

Escalamiento Primer Nivel

Nombre
Rol
Teléfono
Email

En caso de que no hubiere respuesta después de 90 minutos de haber reportado un incidente, se escala al segundo nivel. En caso de haber respuesta, pero no estimación a un problema de Severidad 1 en 2 horas, se escala al segundo nivel.

Escalamiento Segundo Nivel

Nombre
Rol
Teléfono
Email

Nombre
Rol
Teléfono
Email

Escalamiento en la Cooperativa

Nivel	Responsable	Contacto email	Contacto telefónico	Celular
1er.
2do.
3er.

Información de Contacto Hacia el Help Desk.

En caso de requerir reportar un incidente en relación con los servicios proporcionados, LA COOPERATIVA deberá reportarlo por los siguientes puntos de contacto:

Medio	Información
Portal de Soporte
Correo electrónico
Línea telefónica
Celular Standby

Acuerdo de Servicio

Los parámetros detallados en esta sección son las responsabilidades de LA CONTRATISTA.

ALCANCE DEL SERVICIO

Funcionamiento del Software al 99% de disponibilidad mensual de acuerdo con lo indicado en la Tabla de Ponderaciones.
Soporte telefónico de primer nivel con disponibilidad del 99% de acuerdo con lo indicado en la Tabla de Ponderaciones para la solución de eventos que requieran la intervención de LA CONTRATISTA.
Soporte vía correo electrónico o mensajería instantánea por ejemplo WhatsApp.
Asistencia presencial planificada o por incidencia de software con disponibilidad 24/7.
Monitoreo de la infraestructura tecnológica que soporta el servicio contratado por la COOPERATIVA
Plan de Contingencia Site Alterno PCI/DSS

Clasificación de Incidentes y Tiempos de Respuesta

LA CONTRATISTA comunicará cada incidente a LA COOPERATIVA de la siguiente manera:

Número de Reporte
Fecha y hora
Descripción del incidente
La afectación a LA COOPERATIVA si la hubiere
Severidad (1-4) o Categoría del Incidente
Hora estimada de Solución
El contacto de la persona responsable

En caso de mantenimientos de software preventivos o actualizaciones programadas, LA CONTRATISTA notificará a LA COOPERATIVA con al menos 72 horas de anticipación, y en acuerdo de las partes se planificarán las actividades que correspondan. Deberá considerarse horarios que no afecten la atención al público.

TIEMPOS DE RESPUESTA EN INCIDENCIAS

LA CONTRATISTA priorizará los casos, basado en la urgencia del problema y sus consecuencias para LA COOPERATIVA. De la prioridad asignada dependerá el tiempo de respuesta inicial. Los tiempos a continuación no son acumulables.

Severidad 1: Servicio de banca personal y/o empresarial no están operativos (no se realizan transacciones de ningún tipo). El ambiente de producción está detenido. Incidentes de esta clasificación deben ser comunicados a LA CONTRATISTA telefónicamente. Ejemplo: No se procesa ninguna transacción.

Severidad 2: Servicio está operativo, pero su funcionalidad está seriamente afectada. Uno de estos módulos está fuera de servicio (Back Office (Banca Personas), Conciliación (Banca Personas), Pago de Nómina, Back Office (Banca Empresas), Conciliación (Banca Empresas))

Severidad 3: (Default) Servicio está operativo pero el ambiente de producción está impactado, una opción de algún módulo está fallando.

Severidad 4: Servicio está operativo, pero LA COOPERATIVA tiene reportes de alerta xx xxxxxx del servicio.

Tiempos de respuesta del proveedor

Tiempo	Severidad 1	Severidad 2	Severidad 3	Severidad 4
Tiempo de respuesta	30 minutos	1 hora	1 hora	1 hora
Tiempo de estimación	2 horas	4 horas	8 horas	8 horas
Tiempo de solución o work around	4 horas	6 horas	12 horas	24 horas

Tiempos de Respuesta de la Cooperativa

Evento	Severidad 1	Severidad 2	Severidad 3	Severidad 4
Bus de servicios, Core Financiero	30 minutos después de solicitado por LA CONTRATISTA	45 minutos después de solicitado por LA CONTRATISTA	1 HORA	4 HORAS
Entrega de recursos y personal necesario para probar y certificar la solución que reestablezca el servicio a su condición normal	30 minutos después de solicitud	45 minutos después de solicitado	2 HORAS	8 HORAS

Disponibilidad Ambiente de Producción y Contingencia

Tiene como objetivo medir la disponibilidad de los elementos computacionales, circunscritos estrictamente en la operación del sistema. Este indicador será medido estrictamente para los tiempos en producción de los elementos computacionales y se excluyen aquellos tiempos de mantenimiento debidamente programados y notificados.

Esta métrica de disponibilidad permitirá a la COOPERATIVA calcular el nivel de servicio prestado por LA CONTRATISTA, y establecer los planes de remediación en caso de ser necesario.

El proveedor deberá alinearse a los tiempos de RTO (8 horas) y RPO (4 horas) establecido por la Cooperativa posteriormente.

Indisponibilidad: Consiste en el porcentaje del tiempo total en el que el servicio provisto por LA CONTRATISTA no se encuentra disponible. Se excluyen y por lo tanto no serán aplicables para el cálculo las interrupciones ocasionadas o atribuibles a los mantenimientos preventivos programados previstos para los servicios y formalmente autorizados por la COOPERATIVA. Cuando los servicios afectados por el control de cambios son los servicios centrales, la fecha y horario de estos eventos los definirá LA CONTRATISTA procurando el mínimo impacto sobre la operación normal de los mismos. En estos casos la COOPERATIVA será informada con cinco (5) días de antelación. En caso contrario la fecha y horario de los eventos serán acordados con la COOPERATIVA en procura de mitigar el impacto del cambio.

Parámetros de medición.

Para el conjunto de elementos computacionales alojados en el Sitio Principal, se medirá la disponibilidad.
La disponibilidad se calculará como el porcentaje o tiempo de disponibilidad mensual, de todos los elementos computacionales.
El indicador se calcula promediando la disponibilidad mensual de la totalidad de elementos computacionales alojados en el Sitio Principal.

Tabla de ponderaciones.

SLA Disponibilidad

Para establecer las multas para este SLA de Disponibilidad, se debe consultar la siguiente tabla, considerando que el número máximo de horas sin servicio (severidad 1 y 2) no puede ser consecutivo en el mismo y se considera la sumatoria de minutos sin servicio dentro del periodo de un mes no acumulable entre meses y debidamente notificado por escrito.

Criticidad (%) Porcentaje de tiempo Disponibilidad Mensual	Número Máximo Horas sin Servicio (Mes)	% Dscto.
Mayor o igual 99.00% Cumple (> 99.00)	7.2	0%
Mayor o igual 97.00% y Menor a 99.00% (>= 97.00 x < 99.00)	21.6	5%
Mayor o igual a 96.00% y Menor a 97.00% (>= 96.00 x < 97.00)	28.8	10%
Mayor o igual a 95.00% y Menor a 96.00% (>= 95.00 x < 96.00)	36.0	15%

SLA Incidencias

En caso de no cumplimiento del SLA de las incidencias reportadas a LA CONTRATISTA, se le descontará el 0.1% del valor total de la factura mensual por cada hora de retraso en Tiempo de solución o work around, Tiempo de estimación y/o Tiempo de respuesta.

El porcentaje de descuento de penalización se aplicará sobre el monto total de la facturación del mes en que se presentó el incidente, para lo cual LA CONTRATISTA emitirá la respectiva nota de crédito a favor de la COOPERATIVA.

Este tiempo acumulado será el resultante de la revisión del reporte mensual de disponibilidad.

Disponibilidad Ambientes de Pruebas

El ambiente de pruebas deberá estar disponible en el horario de 08:00 AM a 08:00 PM.

Criticidad (%) Porcentaje de tiempo Disponibilidad Mensual	Número Máximo Horas sin Servicio (Mes)	% Dscto.
Mayor o igual 95.00% Cumple (> 95.00)	24	0%
Mayor o igual 93.00% y Menor a 95.00% (>= 93.00 x < 95.00)	36	5%
Mayor o igual a 90.00% y Menor a 93.00% (>= 90.00 x < 93.00)	72	10%

Plan de Continuidad Y Contingencia

LA CONTRATISTA será responsable de mantener un plan de continuidad activo con la COOPERATIVA que garantice la continuidad del servicio, mismo que deberá ser entregado a la firma de contrato.

4. Garantías de la oferta/Garantías técnicas

LA CONTRATISTA entregará las siguientes garantías al momento de la presentación de la oferta:

De fiel cumplimiento de la oferta por el 5% del valor ofertado por LA CONTRATISTA con una vigencia mínima de 60 días - Formulario Nro. 10 (obligatorio – parte integral de la oferta para todos los Proveedores).

LA CONTRATISTA adjudicada entregará la siguiente garantía, previo a la suscripción del contrato:

De Fiel Cumplimiento de Contrato por el 5% del valor establecido a la firma del contrato y permanecerá vigente durante el plazo del contrato. (obligatorio – únicamente proveedor adjudicado).

Buen uso del anticipo, por el 100% del valor a ser entregado. (obligatorio – únicamente proveedor adjudicado)

La Cooperativa de Ahorro y Crédito 29 de Octubre Ltda., podrá hacer efectivas dichas garantías sin observar ningún otro procedimiento por incumplimientos en la prestación del servicio.

La garantía de fiel cumplimiento del contrato se devolverá a la terminación del contrato una vez que se haya suscrito el acta de entrega recepción del Despliegue (instalación, configuración y capacitación) de las impresoras, siempre que no exista reclamo alguno al respecto de la prestación del servicio.

Garantía de actualización tecnológica

La Contratista pondrá a disposición de la Cooperativa las actualizaciones (update) y configuraciones de software durante la vigencia del contrato, los mismos que deben contener versiones completas del software, impidiéndose la instalación de software en modo demo o licencias parciales para la plataforma ofertada, sin representar un costo para la Cooperativa.

La Contratista pondrá a disposición de la Cooperativa las mejoras tecnológicas (upgrades) que pudieran desarrollarse en plataforma ofertada, para que pueda adquirirlos si así lo decide.

Será responsabilidad de la contratista, cualquier actualización que sea necesaria para la mitigación de vulnerabilidades presentes en la plataforma.

Requisitos de Seguridad

Cláusulas ante gestión de Información de Tarjetas de Crédito

Opción A: Proveedor certificado PCI

Se incluirá las siguientes clausulas en el contrato:

PROTECCIÓN DE DATOS DE TARJETA DE CRÉDITO DE LOS SOCIOS/CLIENTES.

LA CONTRATISTA será responsable por la seguridad del almacenamiento y/o tratamiento de los datos de tarjetas de débito y/o crédito de los socios/clientes de la Cooperativa 29 de Octubre que recibiera con motivo de la prestación de sus servicios bajo este Contrato;
A tal fin, LA CONTRATISTA declara y garantiza a la Cooperativa 29 de Octubre que: (i) cumple y cumplirá durante toda la vigencia del Contrato con el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (“PCI DSS”); y (ii) cuenta y contará durante toda la vigencia del Contrato con un certificado AoC [Attestation of Compliance] que acredite fecha de cumplimiento y versión de la norma PCI DSS, el cual será remitido a la Cooperativa 29 de Octubre a solo requerimiento; y
Las obligaciones previstas en esta Cláusula son aplicables a todos los datos de tarjeta de crédito por operaciones que LA CONTRATISTA gestione, procese, almacene o transmita, en función de los servicios prestados a la Cooperativa 29 de Octubre.

Opción B: Proveedor no certificado PCI

Se incluirá las siguientes clausulas en el contrato:

PROTECCIÓN DE DATOS DE TARJETA DE CRÉDITO DE LOS SOCIOS/CLIENTES.

LA CONTRATISTA será responsable por la seguridad del almacenamiento y/o tratamiento de los datos de tarjetas de débito y/o crédito de los socios/clientes de la Cooperativa 29 de Octubre que recibiera con motivo de la prestación de sus servicios bajo este Contrato;
A tal fin, LA CONTRATISTA declara y garantiza a la Cooperativa 29 de Octubre que cumple y cumplirá durante toda la vigencia del Contrato con el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (“PCI DSS”);
LA CONTRATISTA acepta que la Cooperativa 29 de Octubre realice pruebas de penetración, monitoreos o auditorías de seguridad informática en los sistemas o instalaciones de LA CONTRATISTA, a fin de verificar el cumplimiento con las normas PCI DSS; y
Las obligaciones previstas en esta Cláusula son aplicables a todos los datos de tarjeta de crédito por operaciones que LA CONTRATISTA gestione, procese, almacene o transmita, en función de los servicios prestados a la Cooperativa 29 de Octubre.

SECCIÓN V

VERIFICACIÓN Y EVALUACIÓN DE LAS OFERTAS

DOCUMENTOS HABILITANTES PARA PARTICIPAR

ES OBLIGATORIA LA PRESENTACIÓN DE LOS SIGUIENTES DOCUMENTOS, LA OMISIÓN DE CUALQUIERA DE ELLOS SERÁ MOTIVO DE DESCALIFICACIÓN, LOS MISMOS SE ENTREGARÁN EN EL SIGUIENTE ORDEN ESTABLECIDO:

Habilitante vigente de operación de la empresa – RUC actualizado.
Nombramiento del representante legal de la empresa Oferente, debidamente inscrito en el Registro Mercantil.
Certificado vigente de Cumplimiento Tributario, que indique que la Contratista no adeuda al Servicio xx Xxxxxx Internas.
Certificado de cumplimiento de obligaciones actualizado, emitido por la Superintendencia de Compañías, Valores y Seguros.
Documento de calificación o carta que han iniciado el proceso de calificación.
Nómina de socios actualizada, emitida por la Superintendencia de Compañías, Valores y Seguros.
Garantía de Seriedad de la oferta
Certificado de calificación de proveedor auxiliar SEPS.

EXPERIENCIA DEL OFERENTE

Parámetro

Descripción

Experiencia Específica

El oferente deberá tener experiencia dentro de los últimos 5 años en la provisión del servicio ofertado en instituciones financieras a nivel nacional o internacional, se comprobará la veracidad de la información con copias de contratos o certificados emitidos por parte de las instituciones a las que se ha prestado el servicio en el que constará la duración, nombre y monto del contrato. Los documentos de respaldo van anexados al formulario # 6

No se aceptarán: notas de entrega, copias de facturas, órdenes de compra, únicamente certificados o copias de contratos que cuenten con toda la información necesaria para poder evaluar y considerar el documento como válido.

Evaluación:

Se otorgará el máximo puntaje a la o las ofertas que tengan la mayor experiencia y que tenga el mayor número de clientes presentados, a las demás ofertas se asignará un puntaje directamente proporcional.

PERSONAL MÍNIMO Y EXPERIENCIA

Cantidad

Función

Descripción

Gestor del Proyecto

Persona encargada de gestionar el proyecto el cual garantizará el eficaz cumplimiento del proyecto dentro de los plazos establecidos.

Deberá tener experiencia dirigiendo proyectos de esta naturaleza en los últimos 3 años, para ello deberá adjuntar certificados de trabajo que avalen lo indicado.

Evaluación:

• Se otorgará el máximo puntaje a la o las ofertas que tengan el mejor perfil a nivel académico y experiencia laboral, a las demás ofertas se asignará un puntaje directamente proporcional.

Técnicos

Persona encargada de la implementación de la solución con sólidos conocimientos en soluciones de nube.

Deberá tener experiencia en implementación de este tipo de soluciones en los últimos 3 años, para ello deberá adjuntar certificados de trabajo que avalen lo indicado.

Evaluación:

• Se otorgará el máximo puntaje a la o las ofertas que tengan el mejor perfil a nivel académico y experiencia laboral, a las demás ofertas se asignará un puntaje directamente proporcional.

OFERTA ECONÓMICA

Oferta económica

La oferta económica se evaluará aplicando un criterio inversamente proporcional; a menor precio, mayor puntaje. En caso de que existan errores aritméticos en la oferta económica, la Comisión de Calificación procederá a su corrección.

La evaluación de la oferta económica se efectuará aplicando el “precio corregido” en caso de que hubiera sido necesario establecerlo.

VALORES AGREGADOS

El oferente podrá adherirse al valor agregado propuesto por la Cooperativa y ubicar todos aquellos valores agregados que considere oportuno incluir en su propuesta.

Valor agregado propuesto por la Cooperativa:

Publicación anual del aplicativo móvil en las tiendas de aplicaciones APP Gallery.

VALORACIÓN DE OFERTAS

Para la valoración se observarán los siguientes criterios:

Parámetro	Valoración
Experiencia Especifica del oferente	30%
Experiencia del personal técnico	20%
Oferta económica	45%
Valores Agregados	5%
TOTAL	100%

Nota: Todo parámetro a evaluar, será considerado únicamente los que cuenten con el respaldo solicitado.

SECCIÓN VI

FORMULARIOS PARA LOS OFERENTES

FORMULARIO No. 1

CARTA DE PRESENTACIÓN Y COMPROMISO

El que suscribe, en atención a la convocatoria efectuada por la Cooperativa de Ahorro y Crédito 29 de Octubre Ltda., para la ejecución de (nombre del objeto de contratación), luego de examinar las bases del presente procedimiento de ejecución de obras, al presentar esta oferta por (sus propios derechos, si es persona natural) / (representante legal o apoderado de....... si es persona jurídica), (procurador común de…, si se trata de asociación o consorcio) declaro que:

La oferta la hago en forma independiente y sin conexión abierta u oculta con otra u otras personas, compañías o grupos participantes en este procedimiento y, en todo aspecto, es honrada y de buena fe. Por consiguiente, asegura no haber vulnerado y que no vulnerará ningún principio o norma relacionada con la competencia libre, xxxx y justa; así como declara que no establecerá, concertará o coordinará –directa o indirectamente, en forma explícita o en forma oculta- posturas, abstenciones o resultados con otro u otros oferentes, se consideren o no partes relacionadas en los términos de la normativa aplicable; asimismo, se obliga a abstenerse de acciones, omisiones, acuerdos o prácticas concertadas o y, en general, de toda conducta cuyo objeto o efecto sea impedir, restringir, falsear o distorsionar la competencia, ya sea en la presentación de ofertas y posturas o buscando asegurar el resultado en beneficio propio o de otro proveedor u oferente, en este procedimiento de contratación. En tal virtud, declara conocer que se presumirá la existencia de una práctica restrictiva, por disposición del Reglamento para la aplicación de la Ley Orgánica de Regulación y Control del Poder xx Xxxxxxx, si se evidencia la existencia de actos u omisiones, acuerdos o prácticas concertadas y en general cualquier conducta, independientemente de la forma que adopten, ya sea en la presentación de su ofertas, o buscando asegurar el resultado en beneficio propio o de otro proveedor u oferente, en este procedimiento de contratación.
Al presentar esta oferta, cumple con toda la normativa general, sectorial y especial aplicable a su actividad económica, profesión, ciencia u oficio; y, que los equipos y materiales que se incorporarán, así como los que se utilizarán para su ejecución, en caso de adjudicación del contrato, serán de propiedad del oferente o arrendados y contarán con todos los permisos que se requieran para su utilización.
Bajo juramento declara expresamente que no ha ofrecido, ofrece u ofrecerá, y no ha efectuado o efectuará ningún pago, préstamo o servicio ilegítimo o prohibido por la ley; entretenimiento, viajes u obsequios, a ningún funcionario o trabajador de la institución que hubiera tenido o tenga que ver con el presente procedimiento de contratación en sus etapas de planificación, programación, selección, contratación o ejecución, incluyéndose preparación de bases, aprobación de documentos, calificación de ofertas, selección de contratistas, adjudicación o declaratoria de procedimiento desierto, recepción de productos o servicios, administración o supervisión de contratos o cualquier otra intervención o decisión en la fase precontractual o contractual.
Acepta que en el caso de que se comprobare una violación a los compromisos establecidos en el presente formulario, la Cooperativa de Ahorro y Crédito 29 de Octubre Ltda., me descalifique como oferente, o dé por terminado en forma inmediata el contrato, observando el debido proceso, para lo cual me xxxxxx a responder por los daños y perjuicios que tales violaciones hayan ocasionado.
Conozco las condiciones de la contratación, he estudiado las especificaciones técnicas y demás información de las bases del concurso, las aclaraciones y respuestas realizadas en el procedimiento, y en esa medida renuncio a cualquier reclamo posterior, aduciendo desconocimiento por estas causas.
De resultar adjudicatario, manifiesto que suscribiré el contrato comprometiéndome a ejecutar el suministro o prestar el servicio sobre la base de las cantidades, especificaciones técnicas y condiciones, las mismas que declaro conocer; y en tal virtud, no podré aducir error, falencia o cualquier inconformidad, como causal para solicitar ampliación del plazo.
Conoce y acepta que la entidad contratante se reserva el derecho de adjudicar el contrato, cancelar o declarar desierto el procedimiento, si conviniere a los intereses nacionales o institucionales, sin que dicha decisión cause ningún tipo de reparación o indemnización a su favor.

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 2

DATOS GENERALES DE LA CONTRATISTA.

DATOS GENERALES DE LA CONTRATISTA:

Nombre o razón social:
Nombre comercial:
Ciudad:
R.U.C.
Personería (Jurídica/Natural):

DOCIMICILIO DE LA CONTRATISTA:

Provincia:
Cantón:
Calle principal:
Número:
Calle secundaria:
Código Postal:
Teléfono:
Correo electrónico:
Nombre persona de contacto.

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DE LA CONTRATISTA, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 3

DOCUMENTOS HABILITANTES PARA PARTICIPAR

ES OBLIGATORIA LA PRESENTACIÓN DE LOS SIGUIENTES DOCUMENTOS, LA OMISIÓN DE CUALQUIERA DE ELLOS SERÁ MOTIVO DE DESCALIFICACIÓN, LOS MISMOS SE ENTREGARÁN EN EL SIGUIENTE ORDEN ESTABLECIDO:

Habilitante vigente de operación de la empresa – RUC actualizado.
Nombramiento del representante legal de la empresa Oferente, debidamente inscrito en el Registro Mercantil.
Certificado vigente de Cumplimiento Tributario, que indique que la Contratista no adeuda al Servicio xx Xxxxxx Internas.
Certificado de cumplimiento de obligaciones actualizado, emitido por la Superintendencia de Compañías, Valores y Seguros.
Documento de calificación o carta que han iniciado el proceso de calificación.
Nómina de socios actualizada, emitida por la Superintendencia de Compañías, Valores y Seguros.
Garantía fiel cumplimiento de la oferta.
Certificado de calificación de proveedor de servicios auxiliares autorizado por la Superintendencia de Economía Popular y Solidara (SEPS).

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 4

OFERTA ECONÓMICA

Ítem	Valor Total (USD)
Implementación
a) Banca Personas
b) Banca Empresas
Precio Total Implementación

Detalle	Meses de servicio	Valor Mensual (USD)	Valor Total (USD)
Operación
a) Banca Personas	68
b) Banca Empresas	60
Precio Total Operación

Requerimientos adicionales:

Detalle	Valor unitario
Costos por requerimientos adicionales (por hora de desarrollo):
Costos por capacitación:

PRECIO TOTAL DE LA OFERTA: (se debe sumar el valor total de implementación y operación) (en números y letras), sin IVA:

NOTA: El oferente deberá tomar en cuenta y cotizar un costo de operación mensual fijo, en caso de que el oferente presente un valor adicional variable el mismo será sumado al valor fijo como parte del costo total de operación mensual.

A más de los formatos establecidos, en caso de ser necesario el oferente puede enviar sus propias tablas y servicios adicionales, tendientes a aclarar la propuesta
Indicar qué elementos no cubre la propuesta
Valores agregados: El oferente describirá los valores agregados diferenciadores en este apartado
Los valores agregados deberán estar cuantificados individualmente (valor de inversión que representa para cada oferente)
Ofertar el costo de hora hombre para el desarrollo de requerimientos puntuales, capacitaciones, generación de información.
Los costos referenciales de la operación deberán ser presentados a través de un tarifario fijo o por volumen de transacciones.

Para constancia de lo ofertado, suscribo este formulario,

-----------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No .5

SERVICIOS OFERTADOS

Servicio requerido	Servicio ofertado (La empresa debería indicar si se adhiere a lo solicitado en cada uno de los puntos requeridos por la institución)	Observaciones
Plazo
Alcance/ Servicios esperados
Metodología de trabajo
SLA de servicio
Forma y Condiciones de Pago
Vigencia de la Oferta
Multas
Garantías
Otros

Alcance/Servicios esperados

Enrolamiento de usuarios

Módulo	Transacción	Cumple SI/NO	Observaciones
Enrolamiento	Interfaz de suscripción de nuevos usuarios asegurando que estos accedan a todos los servicios y productos que ofrece la Cooperativa
	Proceso de adquisición de nuevos usuarios, el registro de sus datos e información y su integración digitalizada en los sistemas de la Cooperativa
	Para lo cual se deberá garantizar lo indicado en el módulo de Autentificación de Usuarios en lo referente a Gestión de Accesos

Gestión de acceso APP, Web y BackOffice

Gestión de Accesos

Módulo	Transacción	Cumple SI/NO	Observaciones
Autenticación de Usuarios	Enrolar usuarios - Banca Empresas, mediante doble factor de autenticación (llave digital de seguridad y/o reconocimiento facial mediante modelo propio)
	Enrolar usuarios - Banca Personas, mediante doble factor de autenticación (uno de ellos reconocimiento facial mediante modelo propio)
	Ingreso al sistema usuario autenticado por reconocimiento con: usuario, reconocimiento facial, huella dactilar, pin y otros, dependiendo de la funcionalidad del equipo telefónico.
	Olvidé usuario Mediante doble factor de autenticación (de preferencia biometría a través de reconocimiento facial mediante modelo propio)
	Olvidé contraseña Mediante doble factor de autenticación (de preferencia biometría uno de ellos reconocimiento facial mediante modelo propio)
	Segundo factor de autenticación: Para ingreso a página web mediante llave digital generado desde app móvil Biometría (uno de ellos reconocimiento facial) SMS (configurable de manera masiva o individual) Correo Electrónico (configurable de manera masiva o individual)
	Control de accesos fallidos
	Administración de roles y perfiles
Perfil	Cambio de usuario
	Cambio de contraseña: Considerar sintaxis que garantice fortaleza de la contraseña: mínimo 8 caracteres, mayúsculas minúsculas, alfanumérica, carácter especial (valores parametrizables) Imposibilidad de utilizar 5 ultimas contraseñas (valor parametrizable)
	Parametrización de montos generales por cada canal
Notificaciones	Tanto en la aplicación móvil como en la página web, el sistema deberá presentar luego del proceso de autenticación, un mensaje en donde conste la fecha y hora de su ultimo ingreso satisfactorio, y el número de intentos fallidos. Notificaciones del proceso de autenticación: Acceso Exitoso Acceso sin Éxito Solicitud de Código de Seguridad. Confirmación de Actualización de Contraseña. Notificación de bloqueo de contraseña por intentos fallidos. Notificación de bloqueo de factor de autenticación por intentos fallidos. Notificación por transferencias internas procesadas exitosas y fallidas Notificación por transferencias interbancarias procesadas exitosas y fallidas. Notificación por pagos Caducidad tiempo para el cierre de aplicación. Cronometraje de tiempo de inactividad en canales electrónicos Entre otras. Notificaciones de transacciones: Débitos Pagos Otros
Enrolamiento de equipos	Enrolamiento mediante doble factor de autenticación (de preferencia biometría uno de ellos reconocimiento facial) Control de enrolamiento de un solo equipo celular, se deberá desactivar el servicio en el celular anterior, en caso de que se enrole un nuevo equipo. En caso de que desde un equipo celular en donde ya se haya usado el sistema con una cuenta, y se desee emplear una cuenta distinta, el sistema deberá obligar a la desinstalación del aplicativo previo al uso de la otra cuenta.
Cierre de sesión por inactividad	El sistema deberá controlar la inactividad del sistema, cerrando la sesión de manera automática y obligando a que el usuario se autentique nuevamente para usar la aplicación o la página web. (valor de tiempo parametrizable en cada canal)
Seguridad en procesos de enrolamiento	El sistema dispondrá de flujos que garanticen la seguridad en las plataformas Web y Móviles (Android e IOS), en las siguientes transacciones relacionadas con la autenticación: Registro de nuevo usuario Recuperar contraseña Recordar usuario Cambio/ Olvido de PIN Debiendo considerar los siguientes procesos de validación: Reconocimiento facial con validación de identidad a través de la información obtenida del Registro Civil, comprobación de que la persona que está realizando el proceso es quien dice ser. PIN de la tarjeta de débito, dato conocido únicamente por el socio el cual es utilizado para realizar retiros en ATMs. Clave de retiro de tarjeta de crédito (cuando la institución disponga de la misma) Otros propuestos por el proveedor

Módulo 1: Banca Personas –Web y aplicación móvil

Módulo	Detalle	Cumple SI/NO	Observaciones
Posición Consolidada	Cuentas. Ahorros, otras cuentas (todos los productos cuentas que ofrece la Cooperativa).
	Tarjetas.
	Préstamos.
	Inversiones.
Cuentas	Saldos.
	Movimientos: - Despliegue de movimientos incluyendo filtros por fechas. - Descarga/impresión de comprobantes por cada movimiento
	Corte de estado de cuenta para descargar en formato Excel o PDF y opción de envió mediante correo.
	Emisión de certificados financieros.
	Aviso de salida del país
	Bloqueo/desbloqueo
	Configuración de montos por cuenta y por canal (máximo y mínimo - día)
	Habilitación /Deshabilitación xx xxxxxxx
	Pago recurrente de tarjetas de crédito
	Firmador de documentos electrónicos con validez en ARCOTEL
	Creación de nuevas cuentas
Transferencias	Entre cuentas propias.
	A cuentas de terceros en la Cooperativa.
	A cuentas en otras instituciones financieras (incluye Pago Directo)
	Descarga/impresión de comprobantes por cada movimiento (por ejemplo, formato pdf).
	Registro de cuentas para transferencias recurrentes
SMS Tarjeta de Débito	Retiro en cajeros automáticos sin tarjeta mediante OTP
	Generación de nueva clave mediane OTP
	Bloqueo de tarjeta de débito (temporal, definitivo)
	Solicitud de tarjeta.
Tarjetas de crédito	Saldos de tarjetas de crédito de la Cooperativa
	Pago de tarjetas de crédito de la Cooperativa
	Pago de tarjetas de crédito de otras instituciones financieras
	Registro de tarjetas de crédito para pagos recurrentes
	Movimientos de pagos de tarjetas: Despliegue de movimientos incluyendo filtros por fechas. Descarga/impresión de comprobantes por cada movimiento
	Bloqueo/desbloqueo.
	Avances de efectivo.
	Efectivo Express
	Aviso de salida del país.
	Solicitud de tarjeta.
	Personalización de cupos por cada canal.
	Pago recurrente de servicios.
	Refinanciamiento de deuda
	Diferimiento de consumo
	Precancelación de cupos
	Administración xx xxxxxx
Pago de Servicios y Recargas	Consulta de pagos.
	Programar pagos (pagos recurrentes).
	Historial de pagos.
	Pago de Servicios básicos y todos los productos que tenga habilitado la Cooperativa a través del switch transaccional integrador que defina la Cooperativa de acuerdo con las necesidades comerciales.
	Recargas celulares, planes y todos los que el switch transaccional que la Cooperativa defina de acuerdo con las necesidades comerciales.
	Reimpresión de comprobantes.
	Pagos mediante código QR.
	Registro de servicios para pagos recurrentes
Préstamos	Consulta de préstamos.
	Solicitud de refinanciamiento.
	Crédito en línea
	Firmador de documentos electrónicos con validez en ARCOTEL
	Simulación de crédito
	Pago de Crédito (incluye Pago Directo)
Inversiones	Consulta de inversiones.
	Generación de inversiones.
	Firmador de documentos electrónicos con validez en ARCOTEL
	Simulación de inversión
Perfil	Mis datos.
	Datos del usuario como: direcciones, residencia fiscal, etc.
	Datos de contacto. Actualización correo electrónico Actualización número de celular
	Actualizar mi perfil
	Usuario
	Contraseña
	Gestión de dispositivos
	Cuentas, tarjetas y servicios.
	Mis contactos (agregar, editar, eliminar)
	Generación de llave digital
Servicios bancarios	Activación de seguro
Servicios bancarios	Emisión de certificados
Billetera móvil (solo APP)	Ingreso a Billetera Móvil, por medio de los métodos de autenticación.
	Transferencias entre cuentas de la Cooperativa.
	Devoluciones
Otros	Agente virtual (llamada, chat, programar llamada, pantalla compartida, e-mail, video llamada)
	Ubíquenos
	Notas de información
	Contáctenos

Módulo 2: Banca Empresas, Banca web – Banca Móvil, Cash Management

Opción: Empresas Web Y Móvil

Módulo	Transacción	Cumple SI/NO	Observaciones
Posición Consolidada	Cuentas Clientes
	Cuentas Especiales
	Tarjetas
	Préstamos
	Inversiones
Cuentas	Saldos
	Cuenta Ahorros
	Cuenta Cliente
	Resumen de movimientos
	Creación de cuentas en línea
	Firmador de documentos electrónicos con validez en ARCOTEL
	Movimientos de la cuenta
Préstamos	Consulta
	Simulación
	Generación de solicitudes
	Crédito en línea
	Firmador de documentos electrónicos con validez en ARCOTEL
Inversiones	Consulta
	Simulación
	Generación de Inversiones
	Creación de Inversiones en línea
	Firmador de documentos electrónicos con validez en ARCOTEL
Pago de servicios	Consulta y ubicación del pago
	Programar pagos
	Realizar pago de servicios individuales y masivos
	Registrar un nuevo Favorito
	Consultar favoritos
	Cargar favoritos por archivo (esta opción aplica solo para la web)
	Editar Favoritos
	Eliminar favorito
	Aprobar Favorito
	Historial de pagos
	Reimpresión de comprobantes
Ingreso de información	Carga de órdenes de pago por archivo y por teclado: pago de nóminas, pago a proveedores, etc.
	Carga de órdenes de cobro por archivo y por teclado
	Consultar resultado de la carga de órdenes
Administración de órdenes	Aprobar órdenes
	Eliminar órdenes
	Revocatoria de orden
	Revocatoria de ítems
Consultas generales	Consultar órdenes cargadas
	Consulta detalle de Ítems
	Consultar aprobaciones
	Consultar movimientos
	Consultar débitos créditos
	Consultar totales de órdenes
	Consultar comisiones
Administración de Beneficiarios	Agregar beneficiarios de pago
	Editar beneficiarios de pago
	Eliminar beneficiarios de pago
	Ingreso masivo de beneficiarios
Transferencias	Transferencias propias
	Transferencias a terceros en la Cooperativa
	Transferencias interbancarias

Pago de Nómina

Módulo	Transacción	Cumple SI/NO	Observaciones
Perfil empleado	Consultar solicitud de anticipo de sueldos.
Perfil empleado	Solicitar anticipo xx xxxxxx.
Perfil Empresa	Consultar solicitud de anticipo de sueldos realizados por sus empleados
	Aprobar solicitud de anticipo de sueldos.
	Administración de beneficiarios.
	Consultar condiciones del servicio.
Perfil Administrador	Consultar solicitud de anticipo de sueldos realizados por los empleados de todas las empresas afiliadas al servicio.
	Anular solicitud de anticipo de sueldos.
	Parametrizar condiciones del servicio por empresa.

Conciliación

Módulo	Transacción	Cumple SI/NO	Observaciones
Consultas	Transferencias
	Pago de Servicios
	Recargas
Reporte de Inconsistencias	Transferencias De cuentas propias A terceros. Interbancarias Tarjetas
	Pago de servicios
	Recargas

Módulo de administración, seguridad y parametrización del sistema de los sistemas xx xxxxxxx electrónicos y los servicios que brinda (BackOffice)

Módulo de administración

Módulo	Transacción	Cumple SI/NO	Observaciones
Empresas	Consultar Empresas
	Agregar empresas
	Editar empresas
	Activar/Inactivar empresas
	Crear empresa template formatos
	Editar empresas template formatos
	Activar/Inactivar empresas template formatos
Grupos	Consultar grupos locales de empresas
	Crear grupos locales de empresas
	Editar grupos locales de empresas
	Desasociar una empresa de un grupo
	Activar/Inactivar grupos locales de empresas
Servicios	Consultar servicio
	Agregar servicio
	Editar servicio
	Activar/Inactivar servicio
Tarifas	Consultar tarifas
	Agregar tarifa
	Editar tarifas
	Activar/Inactivar tarifas
	Agregar tarifa template
	Editar tarifas template
	Activar/Inactivar tarifas template
	Consultar tarifas piso
	Agregar tarifa piso
	Editar tarifas piso
	Activar/Inactivar tarifas piso
Contratos	Consultar contratos de una empresa
	Agregar contratos de una empresa: pagos, cobros, corresponsales no bancarios, gestión rol.
	Editar contratos de una empresa
	Activar/Inactivar contratos de una empresa
	Agregar contratos template de una empresa
Límites	Parametrización de limites generales para transferencias interbancarias o internas y por cada servicio (número máximo de transferencias, montos, números de pagos diarios y mensuales)

Requerimientos Técnicos

Definición	Detalle	Cumple SI/NO	Observaciones
Respaldo de Bases de datos	Deberá entregar un respaldo de la base de datos con periodicidad mensual y cuando la cooperativa lo requiera bajo demanda.
Contingencia	Deberá contar con un sitio alterno el cual deberá brindar las mismas funcionalidades del sitio principal. La Cooperativa realizará pruebas de continuidad al menos dos veces al año
Ambiente de Pruebas	Deberá contar con un ambiente de pruebas (dando por entendido que el proveedor deberá contar con sus propios ambientes de desarrollo, pruebas y producción, debidamente segregados física y lógicamente) para desarrollos puntuales y pruebas de funcionalidades.
Métodos de encriptación	Deberá contar con métodos de encriptación al menos con RSA, AES para el consumo de servicios
Consumos de servicios	Deberá consumir los servicios que ofrece el bus de servicios institucional, y directamente de los switchs transaccionales de los convenios definidos por la Cooperativa
Integración con Active Directory	El Back Office debe integrarse con el Active Directory de la Cooperativa
Acceso de Back Office	El Back Office solo se deberá poder ingresar a través del segmento de red de la Cooperativa.
Disponibilidad en tiendas	La App debe estar disponible en todas las tiendas de los Apps, y disponible en todos los países
Lenguaje	La App y Página web debe ser multilenguaje
Plataforma de navegación	La Página Web debe ser multi plataforma de navegación
Modalidad del Servicio	La modalidad del servicio deberá ser Software como Servicio (SaaS) en: Microsoft Azure, Amazon Web Services (AWS) o Google Cloud.
Monitoreo	Deberá aplicar un permanente monitoreo a la plataforma y servicio, emitiendo alertas oportunas.
Informes de monitoreo	Deberá emitir un informe mensual sobre la disponibilidad y operación del servicio.
Versionamiento	Se deberá garantizar que la versión del aplicativo siempre se encuentre en su última versión estable.
Control de versionamiento	Todos los cambios internos que se efectué sobre la plataforma deben ser ejecutado siguiendo el procedimiento de control de cambios y versionamiento, previo aviso a la cooperativa. Los cambios solicitados por la cooperativa deberán seguir el proceso de control de cambios definidos por la cooperativa.
Capacitación	Se deberá brindar dos capacitaciones: Técnica: Arquitectura, administración Base de Datos, proceso de respaldos, procedimiento de contingencia, procedimiento de versionamiento, procedimiento de control de cambios Funcional: Funcionamiento de la plataforma y sus módulos, conciliaciones. Las capacitaciones pueden realizarse de manera presencial o virtual, en el caso de ser las capacitaciones presenciales, deberán ser en las Instalaciones de la Cooperativa ubicada en la calle Cañaris No Oe6-140 y Xxxxxxxx Sucre de la cuidad de Quito, Provincia de Pichincha, se realizará por fases implementadas puestas en producción al personal que la Cooperativas designe.
Soporte y/o Ayuda en línea	Disponer de funcionalidades en la Aplicación Móvil y Página Web, que permitan proveer al usuario final de ayuda en línea de las funcionalidades ya existentes o de funcionalidades nuevas mediante videos, pantallas y/o ventanas emergentes.
Sincronización de relojes	La Cooperativa indicará al proveedor adjudicatario, el servicio al cual deberá integrarse tanto principal como secundario
Pop- ups publicitarios	El sistema dispondrá de funcionalidades que permitan mostrar al socio o cliente pop-ups y mensajes publicitarios sobre nuevos productos o servicios. Permitiendo segregar los socios o clientes en base a bases proporcionadas por la Cooperativa.

Seguridad

Módulo	Transacción	Cumple SI/NO	Observaciones
Consulta	Reporte de auditoría
Perfiles	Perfiles Banco
	Perfiles Persona
	Perfiles Empresa
	Perfiles Seguridad
Usuarios	Desbloqueo de Usuario
	Habilitar Usuarios
	Reseteo Clave Usuarios Banco
	Reseteo Clave Usuarios Persona
	Reseteo Clave Usuarios Empresa
	Reseteo Clave Usuarios Seguridades
	Administrar Usuarios Banco
	Administrar Usuarios Persona
	Administrar Usuarios Empresa
	Usuarios Seguridad

Requisitos de Seguridad:

REQUERIMIENTO	Cumple SI/NO	Observaciones
El sistema dispondrá de módulos para la gestión de cuentas de usuario y perfiles de acceso.
Los módulos de gestión de cuentas de usuario y perfiles dispondrán de sus propios registros de auditoría y reportes, disponiendo de pantallas para sus consultas.
El sistema deberá permitir la gestión de accesos mediante asignación de privilegios a perfiles y nunca a usuarios individuales. Los usuarios podrán ser asignados a un único perfil a la vez.
Para la gestión de cuentas de usuarios el sistema deberá registrar como mínimo: identificador, nombres, apellidos, número de cédula, fecha de activación, fecha de inhabilitación de la cuenta (temporal o indefinida), estado: habilitado/deshabilitado/bloqueado.
El sistema permitirá la creación de cuentas bajo el mismo estándar manejado por el Directorio Activo de la Cooperativa 29 de Octubre.
El módulo de gestión de perfiles deberá tener la capacidad de vincular la totalidad de opciones, programas, funcionalidades y menús de cada módulo del sistema a los perfiles del sistema.
El sistema deberá permitir la creación, modificación y eliminación de los perfiles que sean requeridos por la Cooperativa 29 de Octubre, cuando la Cooperativa lo considere necesario, en base a sus requerimientos del negocio, siendo esta una característica de “parametrización” que deberá tener el sistema (es decir, no se debe requerir desarrollo de código para crear, eliminar o modificar perfiles en el sistema).
De manera automática el sistema asignará el estado “Bloqueado” a las cuentas de usuario que no han ingresado al mismo en un tiempo mayor a un período determinado (por ejemplo 3 meses), el tiempo debe ser un valor parametrizable.
De manera automática el sistema asignará el estado “Deshabilitado” a las cuentas de usuario que han permanecido en estado “Bloqueado” en un tiempo mayor a un período determinado (por ejemplo 1 mes), el tiempo debe ser un valor parametrizable.
El sistema deberá presentar al usuario luego del proceso de identificación y autenticación (exitoso), un mensaje indicando la fecha y hora de su último acceso satisfactorio al sistema, así como el número de intentos fallidos desde el mismo.
En el proceso de identificación y autenticación, para el caso de accesos fallidos, el sistema no se proveerá información detallada de que parámetro está errado (usuario/clave).
En todo proceso de ingreso de contraseña (identificación, autenticación, cambio de contraseña) la contraseña se presentará enmascarada.
El sistema debe controlar el tiempo de inactividad de la sesión, pasado el lapso establecido deberá desactivar la sesión y cerrar el sistema, obligando al funcionario a identificarse y autentificarse nuevamente. El tiempo de inactividad deberá ser un parámetro configurable.
No se podrá ingresar al sistema con una misma cuenta más de una vez de manera concurrente, ya sea desde el mismo equipo o desde equipos diferentes.
El sistema deberá permitir la consulta en pantalla de todos los usuarios, un conjunto de ellos, o uno exclusivamente, con sus datos respectivos, estado (habilitado, deshabilitado, bloqueado), así como el perfil asignado en el sistema.
El sistema deberá permitir la consulta en pantalla de todos los perfiles, un conjunto de ellos, o uno exclusivamente, con el detalle de las transacciones y opciones que lo componen.
El sistema deberá contar con controles de autorización de transacciones que defina el negocio, en base a la sensibilidad de éstas (ejecución/ aprobación).
El sistema deberá disponer de los siguientes registros de auditoría: Registro de auditoría de las actividades que se realicen en los módulos de administración de usuarios/perfiles, registrando los siguientes eventos: Cambios en los parámetros de configuración del sistema Altas, bajas y modificaciones de usuarios Altas, bajas y modificación de perfiles Asignación/cambio de asignación usuarios - perfiles Registro de auditoría de control de acceso, en donde se registren los accesos válidos y los intentos fallidos. Registro de auditoría de todas las opciones y pantallas de parametrización del sistema Registro de auditoría de las consultas sobre las operaciones sensibles del negocio, saldos, movimientos, etc. Registros de auditoría de acceso y consulta de información personal de los clientes. Registros de auditoría de transacciones que el negocio defina como sensibles, críticas o de riesgo ante fraude o dolo.
Los registros de auditoría deberán contener los siguientes campos: Identificador de usuario, nombre del usuario, dirección IP equipo desde dónde se realizó la conexión, nombre del equipo, módulo al que ingresó, afectación en el módulo tanto para la modificación, actualización (que detalle el valor anterior y el nuevo valor), inserción y borrado de datos, fecha y hora en que realizó la conexión.
Todos los registros de auditoría deberán estar disponibles en la interfaz gráfica del sistema mediante reportes independientes, que permitan efectuar búsquedas en base a filtros de los distintos valores presentados en el reporte, así como su exportación en formado Excel y PDF.
El sistema deberá disponer de los siguientes reportes: Usuarios activos, inactivos, bloqueados, eliminados. Reporte de perfiles vs recursos. Reporte de usuarios vs perfiles. Reporte de ingresos exitosos y fallidos. Reporte de actividades del administrador de usuarios/perfiles Registros (Logs) transaccionales sobre los procesos realizados por el usuario final. (Incluido ID, Fecha, Hora de cambio.
El sistema debe cumplir con los controles de seguridad que garanticen la mitigación de las vulnerabilidades de desarrollo especificadas en el estándar de desarrollo de código seguro OWASP.
El sistema debe utilizar la propiedad MaxLength para los datos tipo texto.
El sistema debe utilizar cadenas protegidas de conexión en la interacción con la base de datos.
La aplicación debe redireccionar a la página de LOGIN ante cualquier intento directo de conexión a las páginas de la aplicación.
La aplicación no debe almacenar las credenciales de acceso en las máquinas de los clientes.
En lo referente al proceso de Identificación y autenticación, el sistema deberá integrarse al Active Directory de la Cooperativa 29 de Octubre.
Debe disponer de certificado digital.
LA CONTRATISTA se compromete a establecer y ejecutar procedimientos de auditoría de seguridad por lo menos una vez al año, con el fin de identificar vulnerabilidades y mitigar los riesgos que podrían afectar a la seguridad y calidad de los servicios e información de los sistemas empleados para brindar el servicio a la Cooperativa. La auditoría de seguridad deberá incluir como mínimo el análisis de vulnerabilidades a ser contratado con un tercero especialista en dicho ámbito. El análisis de vulnerabilidades debe ser realizado a la versión del software empleado para dar el servicio a la Cooperativa. EL proveedor deberá confirmar que las vulnerabilidades identificadas fueron cerradas teniendo la certificación de cierre de la empresa que realizó dicho análisis, o a su vez el cronograma de cierre con las evidencias pertinentes.
En caso de que el sistema no se integre al Active Directory de la Cooperativa 29 de Octubre en lo referente a identificación y autenticación, deberá cumplir con las siguientes normativas:
La aplicación debe obligar al usuario a cambiar la clave, en su primer ingreso luego de la creación de la cuenta, así como luego del reinicio de la misma.
La aplicación debe obligar al usuario a cambiar la clave luego de un cierto período de tiempo (valor parametrizable)
Las contraseñas deberán almacenarse de cifradas.
El sistema debe manejar algoritmos de cifrado que sean considerados estándares mundiales en la industria de la seguridad informática, los mismos que deberán ser aprobados por la Cooperativa 29 de Octubre.
El sistema deberá proporcionar al usuario la funcionalidad de cambio de contraseña bajo demanda, pudiendo efectuarlo cuando éste lo desee.
En el proceso de cambio de contraseña el sistema pedirá la contraseña antigua y la confirmación de la contraseña nueva antes de continuar con el mecanismo de cambio de contraseña, ya sea por caducidad de esta o por cambio voluntario del usuario.
La asignación de contraseñas tanto para el reinicio como en la creación de los usuarios deberá ser gestionada automáticamente por el sistema, el mismo que generará contraseñas de forma aleatoria. Las contraseñas aleatorias deberán cumplir con la sintaxis para contraseñas descrita en el presente documento.
Las contraseñas de las cuentas no deberán ser visibles en ningún momento por el administrador, ni en el proceso de creación de cuentas ni en el reinicio de las mismas.
Tanto en la creación de las cuentas como en el reseteo de las mismas, el sistema deberá distribuir las credenciales (contraseña e identificador) de manera automática mediante correo electrónico dirigido al correo de la cuenta que está siendo afectada, debiendo enviarse el identificador y la contraseña en correos separados.
El sistema forzará al usuario a cambiar la contraseña luego de un periodo parametrizable de días.
El sistema bloqueará el usuario luego de un número determinado de intentos fallidos. (el número debe ser un valor parametrizable)
El sistema dispondrá de control histórico de contraseñas, los usuarios no podrán reutilizar sus 10 últimas contraseñas (valor parametrizable)
El sistema deberá cumplir con la siguiente sintaxis de contraseñas (deberán ser valores parametrizables): Longitud de la contraseña: mínimo 8 caracteres Por lo menos una mayúscula Por lo menos una minúscula Por lo menos un número y una letra Al menos un carácter especial

LA CONTRATISTA confirma que dispone de políticas, procedimientos, y manuales de seguridad de la Información, comprometiéndose a brindar el servicio alineado a las mejores prácticas y políticas de seguridad de la Información.
LA CONTRATISTA deberá presentar con periodicidad anual, evidencia de validez de la certificación ISO 27001 de seguridad de la Información en el servicio contratado por la cooperativa, o a su vez, deberá presentar un Reporte SOC Tipo II emitido por un tercero (La auditoría de los Controles de Servicio y Organización 2 conocida como SOC II, es un estándar internacional que permite evaluar los controles de seguridad de un proveedor y las amenazas de ciberseguridad.
LA CONTRATISTA deberá presentar con periodicidad anual la certificación de conformidad del cumplimiento de la resolución No. SEPS-IGT-IR-ISF-ITIC-IGJ-2017-103 “Norma de control de las seguridades en el uso de transferencias electrónicas” o la que le sustituya, el mismo que deberá ser emitido por una firma auditora autorizada.
LA CONTRATISTA debe presentar anualmente la evidencia de cumplimiento de las normativas citadas en los puntos que aplique para el objeto de este contrato, a continuación (o las que les sustituyan o defina el ente regulador): PCI V3.2.1 Ley Orgánica De Protección De Datos Personales Ley Orgánica Para Defender Los Derechos De Los Clientes Del Sistema Financiero Nacional Y Evitar Cobros Indebidos Y Servicios No Solicitados
LA CONTRATISTA garantiza que el personal asignado a la ejecución del proyecto o prestación del servicio contratado con LA COOPERATIVA ha sido capacitado debidamente en materia de Seguridad de la Información y que mantiene un proceso continuo de capacitación en dicho ámbito.
LA CONTRATISTA confirma que dispone de un proceso de selección del personal asignado a la prestación del servicio contratado por LA COOPERATIVA, el cual incluye un proceso de validación de antecedentes laborales y personales, garantizando la idoneidad del personal contratado.
LA CONTRATISTA confirma que cuenta con un Proceso de Control de Cambios, en los procesos tecnológicos que dan soporte al servicio contratado por LA COOPERATIVA y que dicho proceso deberá estar coordinado con el proceso de Control de Cambios de la Cooperativa.
LA CONTRATISTA declara contar con todos los permisos, autorizaciones o concesiones para la prestación de los servicios contratados por LA COOPERATIVA.
LA CONTRATISTA declara contar con personal técnico, sistemas e infraestructura necesaria, acorde al servicio contratado, con el fin de garantizar un óptimo servicio a LA COOPERATIVA.
LA CONTRATISTA deberá garantizar la disponibilidad de recurso humano y tecnológico para poder brindar el servicio contratado en escenarios de confinamiento o emergencia sanitaria.
LA CONTRATISTA debe asegurar la prestación del servicio para el que fue contratado en línea con los requerimientos de continuidad de operación establecidos por LA COOPERATIVA.
LA CONTRATISTA deberá colaborar y permitir a LA COOPERATIVA realizar auditorías sobre la calidad del servicio, cumplimiento de políticas o infraestructura tecnológica y física que soporta la prestación de los servicios incluidos en la relación contractual, auditorías que serán notificadas a LA CONTRATISTA con mínimo tres (3) días calendario de antelación, indicando los nombres y documentos de identidad de las personas que las realizarán, pudiendo ser estos trabajadores o personal externo autorizado por LA COOPERATIVA o sus entes reguladores.
Todo proceso de auditoria estará sujeto a los conceptos de confidencialidad de información definido en las políticas de seguridad de LA COOPERATIVA.
LA CONTRATISTA deberá asegurar que exista una adecuada segregación de funciones entre el personal que administra, opera, mantiene y en general accede a los terminales y sistemas usados para transferencias electrónicas;
Sincronización de relojes (NTP): LA CONTRATISTA deberá mantener sincronizados todos los relojes de su plataforma con los indicados por la cooperativa
LA CONTRATISTA garantiza que cuenta con un proceso de gestión de parches el cual considera la debida segregación y pruebas en ambientes de desarrollo, pruebas y producción, respecto al software base de la infraestructura tecnológica empleada para brindar el servicio, el cual garantiza la actualización permanente de actualizaciones de seguridad.
En caso de que LA COOPERATIVA identifique vulnerabilidades en el código entregado por LA CONTRATISTA, ya sea antes de la salida a producción, o dentro de la vigencia del contrato de servicios, LA CONTRATISTA deberá efectuar el cierre de estas, sin que dicho trabajo implique costo para la Cooperativa.
En caso de que LA COOPERATIVA identifique problemas de funcionalidad en el código entregado por LA CONTRATISTA, ya sea antes de la salida a producción, o dentro de la vigencia del contrato de soporte LA CONTRATISTA deberá efectuar el cierre de estas, sin que dicho trabajo implique costo para la Cooperativa.
LA CONTRATISTA reconoce y acepta que, en el transcurso de su contratación por parte de LA COOPERATIVA, EL PROVEEDOR puede recibir o tener acceso a información relacionada a LA COOPERATIVA. LA CONTRATISTA se compromete a considerar como Confidencial, Restringida, toda la información relacionada con el objeto del contrato, y aquella que obtenga durante la prestación de sus servicios.
LA CONTRATISTA se compromete a manejar la información de LA COOPERATIVA de acuerdo con la obligación de reserva y sigilo, y en aplicación de la normativa vigente respecto de LA COOPERATIVA sobre el manejo, recolección, recepción, transmisión, almacenamiento, disposición y administración de datos, de conformidad con las normas establecidas, de manera especial por el Código Orgánico Monetario y Financiero.
LA CONTRATISTA se compromete a custodiar y mantener la confidencialidad de toda credencial de autenticación que sea entregada por parte de LA COOPERATIVA, cuyo control les sea temporalmente confiado debido a la prestación de servicios establecidos por el presente contrato. Dichas credenciales deberán ser utilizadas únicamente por empleados autorizados para tal uso, y en estricta ejecución del objeto del presente contrato. Información de terceros obtenida durante el manejo de las cuentas de propiedad de LA COOPERATIVA deberá ser tratada en aplicación de los estándares de confidencialidad previamente establecidos.
LA CONTRATISTA se compromete a trasladar sus obligaciones al personal que dedique al cumplimiento del presente contrato, y a advertir a tal personal de todas las obligaciones que adquiere por este instrumento. LA CONTRATISTA implementará además toda normas y políticas administrativas, encaminadas a garantizar el correcto uso de la información proporcionada y garantizará la debida protección de datos de titularidad de LA COOPERATIVA. El acceso a dicha información deberá limitarse tan sólo a personal directamente involucrado en la prestación de los servicios, y no podrá ser revelada o cedida a terceros en ningún caso, ni aún en el supuesto de terminación de este contrato.
Los documentos, procesos, manuales técnicos y funcionales y demás material que sea entregado por LA COOPERATIVA a LA CONTRATISTA para uso de ésta, quedará bajo su custodia y responsabilidad, desde el momento de su recepción hasta su total entrega o elaboración, obligándose LA CONTRATISTA a guardar confidencialidad sobre la información a la que, con ocasión del presente contrato, tenga acceso o genere.
LA CONTRATISTA se obliga a informar a LA COOPERATIVA, por escrito e inmediatamente, de cualquier posible ruptura de confidencialidad que fuese descubierta en sus operaciones. Si una ruptura tal es descubierta por LA COOPERATIVA, el Administrador del contrato es responsable de la notificación formal de los posibles incumplimientos, para lo cual debe enviar comunicación escrita a LA CONTRATISTA sobre la investigación de la incidencia. De confirmarse el incumplimiento y bajo previa notificación a LA CONTRATISTA, LA COOPERATIVA se reserva el derecho de ejecutar las acciones legales pertinentes, así como la terminación unilateral del presente contrato.
Ninguna de las PARTES incurrirá en responsabilidad alguna cuando la información confidencial que se le haya proporcionado llegue a ser de conocimiento de un tercero por una de las siguientes causas: Que la información confidencial sea o llegue a ser de dominio público durante la vigencia del contrato, excepto si dicha circunstancia es causada por la negligencia o el incumplimiento de una de las partes. Cuando el titular de la información confidencial autorice por escrito, a través de su representante legal, que la otra parte difunda la información confidencial sin restricciones a terceros, según lo establezca; o En caso de que cualquiera de las partes se vea obligada, por disposición administrativa o por orden judicial a entregar, total o parcialmente, la información confidencial, debiendo comunicarlo por escrito a las otras partes en el momento en que tenga conocimiento del requerimiento correspondiente, siempre y cuando se hayan agotado todos los medios legales para evitarlo. Por todo lo anteriormente citado, ninguna de las PARTES podrá retener o conservar indebidamente información Confidencial que haya sido proporcionada conforme al contrato y no podrá divulgarla incluso después de la terminación o resolución del contrato. ·
El lema comercial, nombre, logo y todo signo distintivo y marcas de LA COOPERATIVA son de exclusiva propiedad de ésta última. LA CONTRATISTA se halla autorizado a utilizar dichos signos distintivos y marcas única y exclusivamente dentro de los parámetros establecidos por el presente contrato y relacionados con su ejecución. Todo otro uso, comercial o no, de signos distintivos y marcas de LA COOPERATIVA queda expresamente prohibido, tanto respecto de LA CONTRATISTA como de sus proveedores directos, indirectos, contratistas, funcionarios, empleados o directivos, y de terceros que mantengan relación comercial o profesional con LA CONTRATISTA.
LA CONTRATISTA se compromete a respetar, en el curso de la prestación de los servicios brindados a LA COOPERATIVA, los derechos de propiedad intelectual de titularidad de terceros. Si un elemento o material preexistente, protegido por derechos de propiedad intelectual, es incorporado a los contenidos, productos, y servicios brindados por EL PROVEEDOR a LA COOPERATIVA, LA CONTRATISTA deberá informar por escrito, expresa y previamente, a LA COOPERATIVA sobre dicha inclusión, complementando tal información con la evidencia de haber obtenido los derechos intelectuales o la autorización necesaria de la legitimidad absoluta a tal incorporación a fin de no causar daños a la Cooperativa. En ausencia de dicha información previa y de los documentos justificativos necesarios al efecto, cualquier uso indebido de propiedad intelectual de titularidad de terceros será de única y exclusiva responsabilidad de LA CONTRATISTA, reservándose LA COOPERATIVA el derecho de ejecutar las acciones legales pertinentes al respecto.
En caso de que la Cooperativa haga la entrega a LA CONTRATISTA de las credenciales de acceso para ejecución del servicio. LA CONTRATISTA se compromete a gestionar dichas credenciales y accesos acorde a las Políticas de seguridad de LA COOPERATIVA, por lo que deberá garantizar la confidencialidad y el buen uso de estas. cualquier uso indebido derivado del mal manejo de las credenciales entregadas, será de única y exclusiva responsabilidad de LA CONTRATISTA, reservándose LA COOPERATIVA el derecho de ejecutar las acciones legales pertinentes al respecto. Al finalizar el contrato de servicios LA CONTRATISTA deberá efectuar la devolución de las credenciales a la Cooperativa.
Se deberán establecer procedimientos seguros para levantar el bloqueo, para lo cual se debe proporcionar las notificaciones correspondientes al socio, cliente o usuario.
Integración con sistema antifraude, que permita el cumplimiento del Artículo 7, de la Sección III.- Medidas Tecnológicas De Seguridad En El Uso De Transferencias Electrónicas, de la resolución No. SEPS-IGT-IR-ISF-ITIC-IGJ-2017-103, que indica: “Artículo 7.- Bloqueo y restauración de operaciones. Los sistemas de transferencias electrónicas deberán permitir en cualquier momento y en tiempo real, el bloqueo al uso del sistema cuando se detecten eventos inusuales o cuando se adviertan situaciones fraudulentas o después de un número máximo de tres intentos fallidos de acceso.”
Registrar las direcciones IP y números de telefonía móvil desde las que se realizan las transacciones. Para permitir transacciones desde direcciones IP o telefonía móvil de otros países se debe tener la autorización expresa del socio, cliente o usuario;
El control de reconocimiento facial deberá ser amigable al usuario final y disponer de las siguientes métricas: Máxima Tasa de Rechazo Falso (FRR): 1/1.000.000 Máxima Tasa de Aceptación Falsa (FAR) máximo: 1/1.000.000
El sistema dispondrá de mecanismos de seguridad en la conectividad a la base de datos y cada uno de sus módulos (Middleware, Back Office, Web y App Móvil).
El proveedor implementará controles que permitan registrar el número de transacción, identificativo que permita localizar todos los eventos realizados por cada transacción solamente ingresando el secuencial.

Integración sistema Antifraude

La aplicación móvil y pagina web transaccional deberá contar con las funcionalidades técnicas que permitan un total aprovechamiento de la plataforma antifraude de la Cooperativa 29 de Octubre, sistema Monitor Plus, provisto por la empresa Plus TI, cuyos módulos y necesidades para la integración se describen a continuación:

SDK (Software Development Kit) Digital Banking Fraud Detector	Cumple SI/NO	Observaciones
Este SDK forma parte del Digital Banking Fraud Detector y busca prevenir fraude en las diferentes pantallas que pueda tener la institución (Login, Transacciones, Menú́ principal, etc.). Este módulo cuenta con la capacidad de generar un patrón de usuario que permite analizar cuando un usuario legítimo es el que ingresa a la aplicación, cuando el usuario legítimo está siendo engañado por parte de un defraudador o cuando se trata de un dispositivo previamente usado por un defraudador. Para esto este módulo recopila cierta cantidad xx xxxxxx del dispositivo del cliente que lo identifica tanto a nivel de dispositivo como a nivel de la red a la que se conecta. Este módulo permite evaluar la información recopilada del usuario y determinar en base a esta información el riesgo de la acción.
Device Finger Print Web & Hybrid
La librería Web Device Fingerprint tiene como propósito vincular al cliente y sus dispositivos para generar un patrón que permite identificar al usuario. Esta librería genera una cadena en formato JSON que deberá ser adjuntada a la trama del registro que la institución parametrizará en Monitor Plus. Dentro de este JSON el cliente deberá adjuntar el encabezado de usuario para que pueda ser procesado por el servicio. Para lo anterior se debe instalar un Java Script proporcionado por Plus TI dentro del web site.
Device Finger Print Android
Esta librería genera una cadena en formato JSON que deberá́ ser adjuntada a la trama del registro que la institución tiene parametrizada. Esta librería está disponible para la versión de Android 4.2 de Android hasta las versiones actuales.
Device Finger Print IOS
Se debe agregar a un proyecto Xcode el SDK proporcionado por Plus TI. Esta librería está disponible para la versión 8 de IOS hasta las versiones actuales. Para lo anterior se debe integrar el SDK proporcionado por Plus TI dentro del App de la institución. Los siguientes son algunos de los datos recopilados: Las categorías por las que se divide la información que capturamos con el Device Fingerprint son las siguientes: Información del dispositivo: En esta sección se obtiene la información del dispositivo como la versión del software que se tiene instalado, el modelo del dispositivo, la marca del dispositivo, etc. Información general del dispositivo: En esta sección se obtiene información como la resolución de pantalla del dispositivo, versión del kernel, si el dispositivo es un emulador o tiene permisos de super administrador. Identificadores del dispositivo: Estos valores son generados por el SDK a partir de un conjunto xx xxxxxx que lo identifican dentro de Monitor. Geolocalización: Esta información cuenta con la latitud, longitud, región y el país desde donde se realiza la conexión. Red: Esta sección nos proporciona información como por qué medio se conecta el usuario (Datos telefónicos o una red wifi). Sensores: Esta información nos retorna si el dispositivo cuenta con sensores como acelerómetro, giroscopio y determina la posición del dispositivo.
Módulo Multi Factor Authentication de Monitor Plus®
El módulo Multi Factor Authentication de Monitor Plus®, tiene como objetivo brindar protección a los usuarios al ofrecer diferentes mecanismos para realizar una autenticación robusta, tomando como referencia un dispositivo móvil del cliente o las características que este posee como una selección de imágenes basadas en los gustos del usuario. El funcionamiento del módulo Multi Factor Authentication de Monitor Plus®, requiere que la institución elabore las pantallas visuales con el look and feel en su aplicación móvil o página web para que el usuario digite/seleccione su mecanismo de autenticación.
Diagrama de arquitectura
El siguiente diagrama ilustra el funcionamiento del módulo, como primera instancia se deberá agregar el Javascript y SDK a las aplicaciones web y móvil de la institución para que estas generen la información que se evaluará, esta información deberá́ ser enviada al servidor de Monitor Plus donde se evaluará con las condiciones y reglas creadas y devolverá́ una respuesta con la acción que se deberá́ tomar a la aplicación Por medio de los canales seguros que provee la institución se comunicará al Back End de la institución, en el back end utilizando un distribuidor de aplicaciones se va a comunicar con el API Rest de Monitor Plus®. El API Rest de Monitor Plus® va a trasladar toda la información de los JSON que la Institución envía, para que Monitor Plus®, proceda a hacer todo el diagnostico necesario y emita un score de riesgo para que la institución basada en este score tome diferentes tipos de acción ej: si el score es bajo, continua el flujo de la transacción, si el score es alto, bloquee la transacción. En el caso de que el score sea intermedio, se realiza un llamado al módulo Multi Factor Authentication de Monitor Plus®. Luego el Multi Factor Authentication de Monitor Plus®, trasladara la información correspondiente hacia el API Rest y él lo colocara en la cola que la Institución determine para que consuma la respuesta, una vez consumida la respuesta la institución va a reaccionar de acuerdo con lo que le diga el módulo Multi Factor Authentication de Monitor Plus®. Nota: La anterior información es referencial, el modelo de solución y la información técnica del proyecto se prepara y documenta posterior a las reuniones sostenidas entre los equipos de ingeniería, donde se obtiene el detalle técnico definitivo, las características de las librerías y SDK provistos por Plus TI.

Cumplimientos normativos:

LA CONTRATISTA, deberá cumplir con lo establecido en las normativas vigentes resolución Xx. XXXX-XXX-XX-XXX-XXXX-XXX-0000-000, xxxxxxxxxx Xx. XXXX-XXX-XX-XXX-0000-0000x Xxxxxxxxxx Xx. XXXX-XXX-XXX-XXX-XXXXXX-0000-0000 o sus reformas durante la vigencia del servicio:

REQUERIMIENTO	Cumple SI/NO	Observaciones
LA CONTRATISTA dispone de centros de procesamiento de datos principal y/o alterno, contratados en la nube, implementados siguiendo el estándar TIA-942 y que cuenta como mínimo con la certificación TIER III o superior para diseño, implementación y operación, con una disponibilidad de 99.982% al año, y un tiempo xx xxxxxx de 1.6 horas, e incluye redundancia en sus componentes de infraestructura, así como fuentes alternativas de electricidad y refrigeración en caso de emergencia.
Certificación ISO 27001 en seguridad de la información para los servicios ofertados, así como, la implementación de los controles establecidos en los estándares ISO 27017 (controles de seguridad para servicios en la nube), ISO 27018 (protección de información personal en la nube) y/o aquella que aplique conforme el servicio ofertado
LA CONTRATISTA por lo menos una (1) vez al año, con el fin de identificar amenazas y vulnerabilidades y mitigar los riesgos que podrían afectar a la seguridad de los servicios que brindan, deberá contratar personas o empresas especializadas en seguridad de la información en la nube e independientes al proveedor, aplicando estándares vigentes y reconocidos a nivel internacional. El proveedor de servicios en la nube debe definir y ejecutar planes de acción para gestionar las vulnerabilidades detectadas. Informe que deberá ser remitido a la Cooperativa.
LA CONTRATISTA dispone de representación comercial en el país, con capacidad para brindar soporte integral con personal y representar legalmente al proveedor internacional en el país (aplica a proveedores internacionales)
LA CONTRATISTA confirma que dispone de capacidad para transferir sólidamente los conocimientos.
La información almacenada por LA CONTRATISTA estará a disposición permanente de LA COOPERATIVA y a través de ésta, del organismo de control, por medio de los canales o mecanismos que disponga para el efecto. La información es de estricta confidencialidad y no podrá ser comercializada o utilizada para otros fines distintos a los manejados por la entidad dueña de la información.
La notificación de término del contrato deberá ser informada por LA CONTRATISTA con la debida anticipación, con el propósito de garantizar la continuidad de las operaciones de LA COOPERATIVA.
En caso de terminación del contrato de servicios de infraestructura, plataforma y/o software, la información será devuelta por LA CONTRATISTA a LA COOEPRATIVA de forma inmediata, conservando un respaldo de seguridad por un período de al menos tres meses debiendo observar estricta confidencialidad y el impedimento para utilizarla y comercializarla, comprometiéndose a destruir de su infraestructura tecnológica, de manera segura (mediante métodos que garanticen que no podrá ser recuperada tanto digital como físicamente), toda la información Confidencial y/o Restringida, calificada como tal por la Cooperativa.
LA CONTRATISTA deberá disponer de políticas de desarrollo seguro de software y procedimientos de control de cambios en los sistemas de transferencia electrónica; con el objetivo de precautelar la seguridad de la información a lo largo del ciclo de vida de desarrollo de software;
Políticas aprobadas que menciones caducidad de contraseñas en todos los canales electrónicos
Manejo de claves encriptadas
Mecanismos para identificar contraseñas según su uso
Controles de ingresos de datos válidos
Encriptación de datos ingresados
Almacenar datos de origen de transacciones
Validar el país de origen de la transacción
Validar requerimiento de nuevo inicio de sesión
Verificación de roles de usuarios
Verificación de perfiles de usuario por rol

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No .6

EXPERIENCIA DEL OFERENTE

Experiencia Especifica:

No.	Empresa	RUC	Valor del Contrato	Fecha de inicio	Fecha de fin
1
2
3
4
5
6
7
8
9
10

Para constancia de lo ofertado, suscribo este formulario y adjunto respaldos.

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 7

PERSONAL TÉCNICO PROPUESTO PARA EL PROYECTO/SERVICIO

No.	Cargo / Función	Cantidad	Experiencia requerida

Para constancia de lo ofertado, suscribo este formulario y adjunto respaldos.

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 8

ACUERDO DE CONFIDENCIALIDAD

NOMBRE DEL OFERENTE: _______________________________

ACUERDO DE CONFIDENCIALIDAD

Entre los suscritos a saber:

El Ing. Xxxxxx Xxxxxxx De La Xxxxx Xxxxxxxx, en su calidad de Gerente y Representante Legal de la Cooperativa de Ahorro y Crédito 29 DE OCTUBRE Ltda., parte a la que en adelante se le denominará simplemente LA COOPERATIVA;
El señor ………………………, por sus propios y personales derechos y por los que representa de ………………………………, parte a la que en adelante se le denominará simplemente LA EMPRESA.

Los Comparecientes, a quienes se les podrá denominar de forma conjunta como “las partes”, declaran que se encuentran legalmente capacitados para contratar y obligarse en las calidades antes invocadas.

PRIMERA: ANTECEDENTES. -

Durante la vigencia del presente convenio, las partes realizarán intercambio por escrito de información de carácter confidencial, que puede incluir, entre otros, planes de negocios y de desarrollo, información técnica y financiera, planes de productos y servicios, informes de mercadeo, análisis y proyecciones, especificaciones, diseños, dibujos, software, servidores, datos, prototipos, secretos industriales, know how, información de clientes y proveedores y otras informaciones de negocios o de carácter técnico, en adelante “LA INFORMACIÓN”.
1. Es intención de las partes, que dicha INFORMACIÓN se suministre únicamente entre las partes, para los fines exclusivos de generación de cartera., por lo que las partes requieren establecer una protección adecuada a LA INFORMACIÓN.

SEGUNDA: OBJETO. -

Las partes libre y voluntariamente, por los respectivos derechos que representan, y por así convenir a sus mutuos intereses, acuerdan celebrar el presente Convenio de Confidencialidad, mediante el cual se establecen los términos y condiciones que rigen el uso de la información que vayan a recibir o proporcionarse mutuamente, al tenor de las siguientes estipulaciones:

Las partes se obligan a guardar absoluta reserva y confidencialidad sobre el objeto, antecedentes, términos y condiciones del presente acuerdo.
Cualquiera de las partes, en calidad de parte emisora. podrá entregar a su contraparte - receptora, INFORMACIÓN de la que es titular y/o beneficiario, según la definición contenida en la cláusula siguiente, sobre la cual la parte receptora, sus socios, representantes, personal, etc., se obliga a guardar absoluta reserva y confidencialidad.
La parte receptora, una vez que reciba la información detallada en el párrafo que antecede, procederá a analizarla para evaluar la factibilidad de negocio en los términos establecidos en el numeral 3 de la cláusula primera de este instrumento.

TERCERA: DEFINICIONES.-. Se entiende por “LA INFORMACIÓN”, todo dato o documentación que en forma escrita o impresa en cualquier medio escrito, mecánico, electrónico, magnético o cualquier otro que las partes posean, hayan intercambiado entre ellas, o lleguen a conocer la una de la otra, o en poder de uno de ellos. Se entiende por información confidencial, toda información originada, o del conocimiento de quienes integran el presente acuerdo, que por virtud de su naturaleza o de la ley no sea o deba ser del dominio público o frente a la cual exista un deber de sigilo o sobre la cual exista un derecho o una protección contractual, legal y/o constitucional. Se entiende por secreto comercial, toda información que, sin ser reservada por naturaleza, quien la posee alberga un interés legítimo en mantenerla por fuera del dominio público, en cuanto se trata de:

Información producto del estudio xxx xxxxxxx, de la competencia, de las oportunidades de negocio, información estratégica, o de otros datos y observaciones accesibles al público;
Información que, no obstante basarse total o parcialmente en fuentes de dominio público implica tiempo, esfuerzo, dinero o despliegue intelectual en su obtención, análisis, elaboración o en la concepción o diseño de las respuestas o cursos de acción;
Información cuya posesión, en el grado de elaboración de tales datos o modelos de acción, implica, aún de tratarse de datos o modelos que conlleven una investigación o perfeccionamiento ulterior, algún tipo de ventaja para quien posee tal información de carácter estratégico.

CUARTA: CONFIDENCIALIDAD

Las partes contratantes acuerdan de manera expresa que LA COOPERATIVA y/o LA EMPRESA, su personal, contratistas, subcontratistas, y terceras personas relacionadas o vinculadas, no divulgarán ni revelarán la información proporcionada, ni la recibida con motivo del presente Convenio. La información proporcionada en forma oral, escrita, codificada, gráfica, digital, en medio magnético o de cualquier manera tangible sin limitación alguna, será considerada de exclusiva confidencialidad; por lo que, la misma deberá ser manejada y procesada únicamente por el personal autorizado de LA COOPERATIVA y/o LA EMPRESA, con el carácter de restringida y confidencial, y será de exclusiva responsabilidad de LA COOPERATIVA y/o LA EMPRESA, las medidas o precauciones que adopte para evitar que su personal divulgue la información de carácter confidencial.

LA COOPERATIVA y/o LA EMPRESA se comprometen a guardar estricta confidencialidad sobre toda la información recibida, y será de su exclusiva responsabilidad la correcta utilización de ésta, la misma que podrá ser empleada únicamente para los fines descritos en el presente convenio, cuyos resultados serán únicamente revelados al personal de LA COOPERATIVA y/o LA EMPRESA que se encuentre debidamente autorizado.

En caso de incumplimiento de las obligaciones asumidas en este convenio, LA COOPERATIVA y/o LA EMPRESA, sus representantes y/o el personal autorizado que viole la confidencialidad en el manejo de la información proporcionada, será responsable por los daños y perjuicios que el incumplimiento de éste Convenio de Confidencialidad ocasione o el mal manejo de dicha información causare, siendo la parte infractora sujeta de las sanciones penales correspondientes, sin perjuicio de las indemnizaciones civiles y económicas a las que tenga derecho la parte afectada. En tal sentido, las partes reconocen que LA INFORMACIÓN a la que se refiere el presente acuerdo, posee una valoración económica y su indebida divulgación o utilización causa un perjuicio.

En el evento de que una de las partes estuviere obligada a entregar o revelar la información materia de este convenio por orden de autoridad competente, ésta se obliga a notificar a su contraparte en forma inmediata, a fin de que la parte afectada tome las acciones que estime convenientes en defensa de sus intereses.

QUINTA: OBLIGACIONES DE LA PARTE EMISORA. - Con el propósito de facilitar la administración de la información, su titular tratará de:

Procurar discriminar por escrito la información que va a suministrar por cualquier medio al receptor, identificando en la carátula el nivel de confidencialidad, restricción, o uso de la misma;
Suministrar al receptor la información que estime necesaria para el desarrollo del proyecto, asesoría o trabajo.

La ausencia de un rótulo indicando el carácter reservado o no de la información, o su connotación o no xx xxxxxxx, no releva al receptor de su obligación de confidencialidad frente a tal tipo de información.

SEXTA: OBLIGACIONES DE LA PARTE RECEPTORA. - Son deberes de quien haga las veces de receptor de la información:

Guardar la reserva y confidencialidad, sin desmedro de los previsto en el presente convenio, respecto de cualquier tipo de información que se le suministre o a la cual llegare a tener acceso o conocimiento;
Utilizar la información suministrada por el titular de la información o de la que tenga conocimiento, únicamente de la manera y para los fines establecidos en este acuerdo;
Devolver toda la información recibida junto con todas las copias que de ella hubiere inmediatamente a la solicitud del titular de la información, mediante relación escrita del material entregado, firmado por las partes o con sello de recibido.
No realizar copia o duplicado alguno de la información mencionada en este acuerdo; tampoco podrán divulgar dicha información a tercera persona sin que medie igualmente autorización previa y escrita de la otra parte.

SÉPTIMA: PATRÓN DE CONDUCTA, IMPLICACIONES DE LA RECEPCIÓN DE LA INFORMACIÓN Y RESPONSABILIDAD. - Las partes actuarán con el parámetro de responsabilidad del buen comerciante en sus propios negocios, lo que supone entre otros deberes, el de limitar la divulgación autorizada al menor número de personas, y el de tomar las medidas idóneas y eficaces para evitar el tráfico y fuga indebida de la información, así como su uso por fuera de los límites de este convenio.

LA COOPERATIVA y/o LA EMPRESA podrán proveer dicha información solamente a sus empleados que tengan una necesidad inminente, debido a sus funciones de conocer dicha información, para los cuales también se extiende la obligación de confidencialidad, razón por la que también deberán proteger toda LA INFORMACIÓN de eventual difusión no autorizada.

OCTAVA: Con la suscripción del presente instrumento, LA COOPERATIVA y/o LA EMPRESA acepta expresamente que la entrega – recepción de información confidencial y/o privilegiada se la realiza –bajo el propósito propuesto- con el fin de llegar a una negociación entre las partes que permita a COOPERATIVA DE AHORRO Y CREDITO 29 DE OCTUBRE LTDA contar con LA EMPRESA como asociado o socio estratégico. En caso de que las partes no llegaren a un acuerdo de negocio, COOPERATIVA DE AHORRO Y CREDITO 29 DE OCTUBRE LTDA y LA EMPRESA se restituirán de forma íntegra e inmediata la información recibida en los términos previstos en este contrato. En todo caso, y solo ante la imposibilidad de negocio entre las partes, LA COOPERATIVA queda en libertad de ofertar el mismo negocio con terceros distintos a LA EMPRESA, guardando absoluta reserva de la participación de ésta última y/o la fallida negociación.

NOVENA: EXCLUSIONES. - Este acuerdo no impone ninguna obligación a cargo del receptor de información confidencial respecto de la:

Información que de derecho ya se encontraba en su poder al ser enviada por la otra parte, o que, de otro modo, previamente haya sido objeto de su conocimiento, todo lo anterior, siempre y cuando así se haya informado por escrito a la otra parte al momento de recibir tal información y cuando su divulgación tenga una causa legítima;
Información disgregada que sea del dominio público al momento de recibirla, o que haya pasado a ser del dominio público sin que obre negligencia, culpa o dolo por parte del receptor;
Información que deba ser revelada bajo alguna ley o regulación emanada legítimamente del Estado;
Información que xxxx ser revelada por decisión judicial o de autoridad competente, siempre y cuando, de manera oportuna, se haya notificado de este hecho al titular y se le haya permitido una defensa efectiva en relación con su interés de mantenerla en reserva; y/o
Información que sea revelada por el receptor con aprobación escrita previa de su titular.

DÉCIMA: TITULARIDAD. - Ninguna de las partes que integran el presente acuerdo presume la titularidad sobre la información suministrada por su contraparte; por lo tanto, únicamente la utilizará para los fines y de la manera establecida en este convenio, en los documentos que hagan parte del mismo o en dicha información.

El acceso a la información no implica la transferencia de derecho alguno sobre la misma, tales como derechos derivados de la transferencia de tecnología, know-how, derechos de autor, patente u otros derechos intangibles.

DÉCIMA PRIMERA: LEGISLACIÓN APLICABLE. - En el evento de suscitarse cualquier controversia en relación con la ejecución del presente acuerdo, la legislación aplicable será la de la República de Ecuador.

DÉCIMO SEGUNDA: CORRESPONDENCIA Y COMUNICACIONES. -

Cualquier comunicación, notificación o documentación referida a este convenio, será enviada a las siguientes direcciones:

NOMBRE / RAZÓN SOCIAL: COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA.

DIRECCIÓN: Matriz Xxxxxxx XX 0-000 x Xx. Xxxxxxxx Xxxxx

TELÉFONOS: 00-0000-000

NOMBRE / RAZÓN SOCIAL: ……………………………………….

DIRECCIÓN: ……………………………………….

TELÉFONOS: ……………………………………….

DÉCIMA TERCERA: DURACIÓN. - Las obligaciones de confidencialidad adquiridos por el presente acuerdo se deberán mantener de manera indefinida.

DÉCIMA CUARTA: CLÁUSULA COMPROMISORIA. -

Las Partes se comprometen a ejecutar de buena fe las obligaciones recíprocas que contraen mediante este Convenio y a realizar todos los esfuerzos requeridos para superar, de mutuo acuerdo, cualquier controversia. Toda controversia o diferencia derivada de la aplicación, validez, interpretación, nulidad o cumplimiento del presente Convenio será resuelta con la asistencia de un mediador del Centro de Arbitraje y Mediación de la Cámara de Comercio de Quito. En el evento que el conflicto no fuere resuelto mediante este procedimiento, las partes someten sus controversias a la resolución de un Tribunal de Arbitraje que se sujetará a lo dispuesto en la Ley de Arbitraje y Mediación, el Reglamento del Centro de Arbitraje y Mediación de la Cámara de Comercio de Quito y las siguientes normas:

Las partes renuncian a la jurisdicción ordinaria, se obligan a acatar el laudo que expida el Tribunal Arbitral y se comprometen a no interponer ningún tipo de recurso en contra xxx xxxxx arbitral;
Para la ejecución de medidas cautelares el Tribunal Arbitral está facultado para solicitar el auxilio de los funcionarios públicos, judiciales, policiales y administrativos sin que sea necesario recurrir a juez ordinario alguno;
El Tribunal Arbitral estará integrado por un árbitro;
El procedimiento arbitral será confidencial; y,
El lugar de arbitraje será en las instalaciones de la Cámara de Comercio de Quito

DÉCIMO QUINTA: MISCELÁNEOS. -

15.1. Encabezamientos: Los encabezamientos de este documento están impresos sólo como referencia y no afectarán la interpretación del Convenio.

15.2 Mayúsculas y plurales: Las palabras o términos utilizados en mayúsculas en el presente Convenio, están impresos sólo como referencia e incluirán a las minúsculas, sin afectar la interpretación del Convenio. Las palabras utilizadas en plural incluirán su singular y viceversa.

15.3 Integridad: El presente Convenio constituye y representa la enunciación completa y exclusiva de los derechos y obligaciones de las partes, y deja sin efecto cualesquier otra comunicación, propuesta o documento, oral o escrita, cursada entre las partes con anterioridad a la firma del mismo.

15.4 Modificación: Toda modificación o reforma al presente Xxxxxxxx deberá adoptarse por acuerdo escrito entre las Partes.

15.5 Terceros Beneficiarios: El presente Convenio esta celebrado para beneficio exclusivo de las Partes contratantes, por lo que nada de lo aquí expresado o mencionado será entendido como un permiso, reconocimiento o autorización a un tercero para reclamar cualquier derecho en base a este Convenio.

En constancia se firma el presente documento por quienes en él intervinieron, en la ciudad de Quito, a los ……………. días del mes de ……………… del dos mil veinte y tres (2023), en dos ejemplares del mismo tenor y validez.

Sr. ……………………….

C.C. …………………….

REPRESENTANTE LEGAL

…………………………..

Xxx. Xxxxxx Xx Xx Xxxxx

XXXXXXX

00 XX XXXXXXX LTDA.

FORMULARIO No. 9

GARANTÍA SERIEDAD DE LA OFERTA

El proveedor deberá adjuntar de forma obligatoria la garantía de “Seriedad de la Oferta”, la misma que corresponde al 5% del valor ofertado, el mencionado documento deberá adjuntarse en este apartado y deberá contar con una vigencia de 60 días.

Para constancia de lo ofertado, suscribo este formulario y adjunto respaldos.

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

Página 88 de 88

Document Metadata

Table of Contents

BASES DE CONCURSO PARA CONTRATACIÓN DE SERVICIOS CÓDIGO DE CONTRATACIÓN: BPCS- COM-2023-003 COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA. OBJETO DE CONTRATACIÓN: CONTRATACIÓN DEL SERVICIO DE UNA PLATAFORMA DE BANCA PERSONAS Y BANCA EMPRESAS PARA...

Document Metadata