CONDICIONES TÉCNICAS

Contar con un Servicio de provisión y gestión de herramientas de Colaboración y productividad institucional que permita contar con alta capacidad, disponibilidad, seguridad y confiabilidad para el trabajo de equipos de forma colaborativa, mitigando el riesgo de pérdida, sustracción de información u otras amenazas.

Como objetivos específicos tenemos:

• Asegurar la disponibilidad, capacidad y seguridad del Servicio del Correo Electrónico Institucional.

• Acceder desde cualquier dispositivo al servicio de colaboración; permitir la sincronización desde cualquier ubicación con acceso a internet.

• Requiere el servicio de software de ofimática en nube, colaboración interna, manejo de información compartida y mensajería electrónica en entorno nube, correo electrónico, portal colaborativo, servicios en línea (reuniones, conferencias virtuales con audio y/o video, mensajería instantánea y movilidad, entre otros), confiabilidad, seguridad, privacidad, administración y actualizaciones.

Las aplicaciones Ofimáticas tipo On Premise son cubiertas por PETROPERÚ con las suscripciones Xxxxxx 000 Pro Plus en el mismo Tenant donde estará las nuevas suscripciones solicitadas. Es por ello que las actualizaciones de las aplicaciones provenientes del Xxxxxx 000 Pro Plus están a cargo de KYNDRYL, siendo solo necesario por parte del Contratista realizar las recomendaciones para explotar al máximo las herramientas o suscripciones en su conjunto.

• Mitigar riesgo de pérdida o sustracción de información.

• Contar con herramientas de almacenamiento de información personal y organizacional.

• Contar con una protección de seguridad avanzada para el servicio de correo electrónico y los servicios de ofimática.

2 DESCRIPCION DEL SERVICIO

El CONTRATISTA deberá cumplir con todas las actividades indicadas en las presentes condiciones técnicas:

• La provisión de licencias será a demanda (modalidad de suscripción). Se considera provisión a demanda debido a que la cantidad podrá disminuirse o aumentarse de acuerdo con el requerimiento de PETROPERU y el precio unitario establecido en el apéndice Anexo BT N° 09 – Propuesta Económica.

• La provisión de la capa de seguridad para todo el servicio SaaS de Microsoft, de acuerdo con el Anexo BT N° 02 – Funcionalidades de la Capa de Seguridad. Asimismo, deberá permitir agregar o eliminar usuarios de acuerdo con el requerimiento de PETROPERU y el precio unitario establecido en el apéndice Anexo BT N° 09 – Propuesta Económica.

• El servicio debe contar con una disponibilidad de acceso no menor al 99.90% para todos sus componentes, calculado mensualmente. Asimismo, debe tener cero pérdidas de información en su plataforma.

• El servicio incluye la administración y gestión de toda la nube de Xxxxxx 000, capa de seguridad, y otros componentes necesarios provistos en el servicio (que debe considerar en su arquitectura para el funcionamiento del servicio solicitado), siendo necesario para ello considerar todos los procesos de gestión de servicios de ITIL como: Gestión de Incidentes, Gestión de Requerimientos, Gestión de Problemas, Gestión de Cambios, Gestión de la Configuración, Gestión de Eventos, Gestión de la Capacidad, Gestión de la Disponibilidad, Gestión de Accesos, Gestión de la Seguridad, Gestión de Niveles de Servicio y Gestión de entrega y despliegue. Debido a ello PETROPERÚ estará entregando al inicio del servicio los procesos y procedimientos aprobados y vigentes que están alineados a ITIL para su cumplimiento durante la ejecución del servicio.

• El servicio debe considerar el soporte técnico del servicio en las siguientes condiciones:

o EL CONTRATISTA deberá hacer uso de la herramienta ITSM Máximo que usa actualmente PETROPERÚ para la atención de los requerimientos, incidentes, problemas y demás atenciones para lo cual se le brindará 4 cuentas de acceso como límite máximo. Se le brindará capacitación en el uso de la herramienta Máximo y las licencias correspondientes corren por cuenta de PETROPERÚ (licencias nombradas). El acceso a la herramienta ITSM Máximo es vía web.

o EL CONTRATISTA actuará como soporte de 2do nivel, debido a que nuestra Mesa de Ayuda realizará el soporte de 1er nivel (contacto único de cara al usuario), por ello es necesario que brinde la matriz de escalamiento dando los datos de personas de contacto, número telefónico, correo electrónico que deberán estar disponibles las 24 horas del día, los 365 días del año por el periodo que dure la prestación del servicio. Los requerimientos/incidentes a ser atendidos serán canalizados por el 1er nivel de soporte, que es la mesa de ayuda de PETROPERÚ (que es dada por KYNDRYL), para lo cual es necesario que el proveedor le brinde los formatos de instructivos y procedimientos, así como transferencia de estas atenciones para que formalmente sean atendidos por KYNDRYL.

o EL CONTRATISTA deberá evaluar bajo su riesgo el uso de herramientas gratuitas considerando que muchas de ellas tienen su versión pagada para uso empresarial (pudiendo ser sancionados por uso no autorizado) y que además esta versión no acarre vulnerabilidades para el usuario final.

Actualmente en PETROPERU se usa Tivoli remoto control TRC brindado por KYNDRYL. En referencia a quienes son los que tienen acceso a usarlo solo son personal de soporte técnico de 1er nivel.

o El soporte debe realizarse en idioma español, bajo modalidad 24 x 7, vía remota.

o EL CONTRATISTA deberá contar con mecanismos para el escalamiento de los casos con el fabricante de la plataforma a fin de cumplir con los tiempos de atención.

o Los tiempos de atención serán medidos en función a los estados configurados de la herramienta ITSM.

o El Contratista deberá realizar el portal de autoservicio de TI (considerando como intranet) y de onboarding para los usuarios recién ingresados debiendo hacer uso de todas las herramientas de automatización provistas en el servicio, esto deberá estar implementado en el 2do mes de la fase operativa.

o El Contratista deberá brindar el servicio de capacitación y desarrollo de aplicaciones según el Anexo BT N° 11.

o El Contratista deberá realizar el esquema de gobierno para la colaboración en la Suite del Office 365 y cada mes deberá presentar lo ejecutado en relación a la administración de acceso a los usuarios a los recursos, controles, políticas configuradas en la Suite del Office, esto con el fin deberá optimizar y controlar el uso de servicios.

El Contratista debe considerar que los enlaces a internet de las localidades de PETROPERU a nivel nacional tienen anchos xx xxxxx limitados por lo cual deberá ejecutar medidas para la optimización de consumos dentro de los enlaces con los que se cuenta.

o El CONTRATISTA deberá considerar la provisión de antivirus (para ser usado sobre sobre Windows 10 Pro) y Licencias Windows 10 Pro (Licencia Perpetua Transferible).

o Todos los indicadores, métricas o KPIs para el presente servicio, incluyendo también las capacitaciones, deberán ser elaborados en Power BI y compartidos con PETROPERÚ, las licencias asociadas para el consumo de ese dashboard a compartir correrán por cuenta del CONTRATISTA. El Contratista debe proponer la medición de la madurez en el uso de las herramientas a nivel de todos los usuarios y también a nivel de los agentes de cambio o campeones de PETROPERÚ.

o Actualmente nuestro TENANT se encuentra integrado y funcionando con nuestro AD On Premise Windows Server 2012 (cuyo nivel funcional está sobre la misma versión), por medio del servicio de AADConnect que permite sincronizar todos los usuarios, grupos y contactos hacia la nube, manteniendo la misma contraseña de inicio de sesión. Estos servicios son administrados por KYNDRYL. Sin embargo, el

CONTRATISTA deberá atender como parte del servicio de gestión y administración de todos los requerimientos relacionados a esos componentes en conjunto con KYNDRYL a fin de considerar las mejoras a implementar en el esquema de seguridad solicitada.

3 NORMATIVA APLICABLE AL SERVICIO

Las siguientes normas son, en lo que corresponda, de cumplimiento obligatorio para EL CONTRATISTA, como tal es directamente responsable por las acciones y omisiones de sus subcontratistas (si fuere el caso), proveedores y otras personas que estén directa o indirectamente empleados por ellos.

▪ Reglamento de Contrataciones de PETROPERÚ S.A. (vigente desde 28.06.2021), ubicado en el enlace:

xxxxx://xxx.xxxxxxxxx.xxx.xx/Xxxx/xxx/xxxxx/xxxxxxxxxxxxx/xxxxxxxxxx- adquisicionescontratacionespetroperu-2021.pdf

▪ Reglamento de Seguridad de la Información de PETROPERÚ S.A. vigente.

▪ Ley N° 29733, Ley de Protección de Datos Personales (xxxx://xxx.xxxxx.xxxxxxxx.xxx.xx/Xxxxxxxxxx/Xxxxx/00000.xxx) y su Reglamento aprobado mediante el Decreto Supremo Nº 003-2013-JUS. xxxxx://xxx.xxxxxx.xxx.xx/xx- content/uploads/2013/04/DS-3-2013-JUS.REGLAMENTO.LPDP_.pdf

▪ Decreto Legislativo N° 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, y modifica la Ley N° 29733.

xxxxx://xxxxxxxxx.xxxxxxxxx.xx/xxxxxxxx/xxx/xxxxxxx-xxxxxxxxxxx-xxx-xxxx-xx-xxxxxxxxx- nacional-de-transp-decreto-legislativo-n-1353-1471551-5

▪ Norma Técnica Peruana NTP ISO/IEC 27001:2014 aprobado con R.M. N° 004-2016-PCM Tecnología de la Información. Técnicas de Seguridad. Sistema de Gestión de Seguridad de la Información. Requisitos. 2 edición; y sus modificatorias. xxxxx://xxxxxx.xxx.xxx.xx/xxxxxxx/0000/xxxxx/00000/xxxxxxxx?xxxxxxxx_xxxx0

▪ Directiva de Seguridad elaborada por la Autoridad Nacional de Protección de Datos Personales (ANPD). xxxxx://xxx.xxxxxx.xxx.xx/xx-xxxxxxx/xxxxxxx/0000/00/Xxxxxxxx-xx- Directiva-de-Seguridad.pdf

▪ Norma Técnica Peruana NTP-ISO/IEC 12207:2006 Ciclo de Vida del Software. xxxx://xxx- xxxx.xxxx.xx/xxxxxx-xxxxxxxx-xxxxxxxx/xxx-xxx-xxx-00000.

4 PLAZO DE EJECUCIÓN

El plazo de ejecución del servicio se divide en dos etapas:

4.1 Fase 1

La fecha de inicio de esta fase se dará al día siguiente de notificada la Orden de Trabajo de Terceros (XXX) al CONTRATISTA. El plazo máximo es de 15 días, en esta fase se considera la planificación, pruebas e implementación de los siguientes servicios (activación de suscripciones, configuración de consolas de administración de Xxxxx xx Xxxxxx 000 y de la capa de seguridad).

a) Activación de las suscripciones

Todas las suscripciones del presente contrato deberán estar asociadas al TENANT de PETROPERU (xxxxxxxxx.xxx.xx) con las cantidades iniciales indicadas en el Anexo BT N° 09, las cuales deben cumplir como mínimo con el Anexo BT N° 01. Esta actividad debe culminarse al final del día 31/12/2021, dado que el 01/01/2022 debe iniciar la fase 2.

b) Sobre la configuración de las consolas de administración:

El Contratista debe habilitar las consolas de administración de toda la Xxxxx xx Xxxxxx 000 y de la capa de seguridad a más tardar el 31.12.2021, dado que el 01/01/2022 debe iniciar la fase 2.

4.2 Fase 2

Esta Fase inicia el 01.01.2022, cuyo plazo es de 1 año (12 Meses). Las suscripciones de las diferentes licencias de los proveedores de Microsoft como de la capa de seguridad deben contabilizarse desde el inicio de esta fase. Durante esta fase se realizarán los pagos mensuales, luego de ejecutados los servicios, según costos de servicios reales ejecutados según partidas indicadas en el Anexo BT N° 09.

Asimismo, en esta etapa se considera que el CONTRATISTA realice la habilitación de los demás servicios asociados de acuerdo a las partidas del Anexo BT N° 09 siendo el plan y estrategia de PETROPERÚ el siguiente, la cual debe cumplir a cabalidad, de lo contrario se aplicará lo indicado en el Anexo BT N° 06 - Penalidades:

Figura N° 01

a) Sobre la consola de administración:

• Monitoreo en línea de la Xxxxx xx Xxxxxx 000 y de la capa de seguridad.

Por medio de la información de auditoría de la xxxxx Xxxxxx 000 y de la recolectada por la capa de seguridad debe poder explotarse la data y proveer indicadores y notificaciones como: Acciones de los usuarios, desvíos de seguridad, intentos de ataques, trazabilidad de flujo de información entre otros.

• Sacar reportes de usabilidad al detalle y monitoreo de disponibilidad, por cada usuario y que también se permita sacar de forma general.

• Sacar reportes de incidentes de seguridad, reportes de tipos de información (archivos) para la clasificación correspondiente, la cual será definida por PETROPERÚ a fin de tener monitoreado el flujo de la información.

• Realizar Altas/Bajas/Modificación de asignación de licencias cuando sea requerido.

• Configurar e implementar las políticas de seguridad que xxxxxx XXXXXXXXX, debe considerar que esto es dinámico en el tiempo, por lo que de requerirse cambios deberá realizarlo.

• Realizar la restauración de información, correos cuando sea solicitado por PETROPERÚ, esto está en función a las capacidades que brinda la suite de Xxxxxx 000 sin costos adicionales. Esto es referido a la retención que da el

proveedor de nube y a los procedimientos a ejecutar para la disponibilidad de esta información en otros repositorios.

• Realizar la habilitación de los logs de auditoria de la suite de Xxxxxx 000 y de la capa de seguridad.

La habilitación en la nube lo hace el proveedor así como la habilitación de los logs en los servicios Onpremise propios para la sincronización de identidades y cuentas.

• Se podrá solicitar la habilitación de funcionalidades o configuraciones (sin costo adicional para PETROPERÚ) que pueden hacerse en la suite de Xxxxxx 000 y de la capa de seguridad, que vienen incluidas en las suscripciones solicitadas. Asimismo, deberán configurar y/o instalar los prerrequisitos para la habilitación de las funcionalidades que puedan hacerse en la suite de office 365.

• Habilitar y configurar el MFA (Múltiple factor de autenticación del servicio SaaS) el cual deberá estar disponible para todos los usuarios.

• Las tareas para la implementación de Gobierno sobre la xxxxx Xxxxxx 000 se realiza en la consola de administración.

b) Sobre la implementación de solución de backup de la información:

El Contratista deberá implementar solución de backup de la información de todos los usuarios de la suite de office 365.

Esto debe permitir contar con el respaldo de la información de los usuarios incluyendo información histórica desde la activación de sus correos electrónicos Outlook y servicios de la suite de office 365 que fue el 01/12/2020. Considerar que cuando se activó el correo Outlook en los usuarios el 01/12/2020 se migró información de correo anterior IBM Notes a Outlook, por lo cual esta información también deberá estar incluida.

El Contratista deberá asegurar que en todo momento durante la fase 2 de la ejecución del servicio se cuente con el respaldo de información. PETROPERU durante la ejecución de la fase 2 podrá solicitar en cualquier momento información de los usuarios y deberá estar disponible en forma completa (con sus históricos) hasta la fecha en que sea solicitado.

c) Sobre el desarrollo de aplicaciones y casos de uso: Ver Anexo BT N° 11.

d) Sobre la implementación del esquema de seguridad avanzado:

El CONTRATISTA deberá identificar y levantar información de los activos de información haciendo uso de las herramientas provistas con CASB, DLP y toda la capa de seguridad, así como el uso de Gobierno y Gestión de Identidades y Acceso a fin de poder tener un modelo de ciberseguridad que cubra las mejoras prácticas y controles correspondientes, siendo necesario la evaluación de ciberseguridad.

5 SISTEMA DE CONTRATACIÓN

Precios Unitarios. Ver Anexo BT N° 09 – Formato de Propuesta Económica.

6 MONTO ESTIMADO

Reservado en Dólares Americanos.

7 LUGAR DE EJECUCIÓN

El servicio estará disponible a través de internet en todo el territorio peruano o en el extranjero, para lo cual PETROPERU contará con los respectivos enlaces de comunicación.

8 REQUERIMENTOS TÉCNICOS MÍNIMOS

Para admitir la propuesta técnica se deberá acreditar y cumplir con lo siguiente:

a) Deberá acreditar ser Proveedor de soluciones en la nube directo de Microsoft. Asimismo, deberá estar acreditado por el Fabricante Microsoft de que es un partner (asociado de negocio) en “Collaboration and Content y/o Cloud Productivity”, y de brindar la capa de seguridad de otro fabricante también deberá acreditar que es partner del mismo.

Para la acreditación deberá presentar cartas de fabricante.

b) El postor deberá tener experiencia en haber brindado servicios de nube (IaaS, PaaS o SaaS) públicos o privadas por un monto acumulado mínimo de US$ 650,000.00 durante los últimos 8 años, contados desde la presentación de la propuesta hacia atrás.

Se aceptará experiencia en servicios especializados de hosting o servicios de cloud o servicio de cloud computing.

Se aceptará experiencia en servicios en nube pública o privada y servicios asociados. Esta experiencia debe sustentarse con copia de comprobantes de pago cancelados o, en su defecto, con copia de Contratos u Órdenes de Servicio y su respectiva conformidad de culminación de la prestación de servicio (de no contar con dicha conformidad no se considerará como válido el Contrato u Orden de Servicio respectivo). En caso EL POSTOR requiere acreditar contratos globales que incluyan otros servicios, deberá incluir las partes del Contrato que muestren el alcance de éste y que permitan acreditar su experiencia en los componentes solicitados.

Se aceptará comprobantes de pago por servicios parciales cancelados y no necesariamente por servicios culminados, o copia de Contratos u Órdenes de Servicio y su conformidad de servicios parciales y no necesariamente por servicios culminados. En estos casos sólo se considerará la ejecución parcial cancelada o con conformidad.

Para aquellos contratos, que EL POSTOR incluya para acreditar la experiencia en los que existan otras prestaciones diferentes a los componentes solicitados en este literal, y que no se pueda diferenciar en el mismo, EL POSTOR deberá presentar una constancia emitida por su cliente para identificar el porcentaje correspondiente de la facturación realizada. De no ser así, dicho contrato no será tomado en cuenta durante la evaluación de las propuestas.

En caso EL POSTOR sea una sucursal, podrá presentar la documentación de la sucursal y/o de la empresa matriz, dado que ambas constituyen una misma personería jurídica. En caso EL POSTOR sea una subsidiaria, al constituirse en una personería jurídica diferente a la de su casa matriz o a la de las demás empresas de la corporación, solo podrán acreditar la experiencia con su propia documentación.

Sin perjuicio de lo anteriormente indicado, las empresas, si así lo consideran conveniente, podrán consorciarse de acuerdo con lo indicado en la normativa vigente de contrataciones del Estado. En ese sentido se señala que para acreditar el cumplimiento de los requerimientos técnicos mínimos, en caso el Postor presente su propuesta en Consorcio, deberá cumplir con lo señalado en el artículo 54 – Consorcios, del Reglamento de Contrataciones de PETROPERÚ. Es posible presentar experiencia de los miembros de un consorcio indistintamente del lugar de la ejecución del servicio. En el caso de optar por el consorcio, todas las empresas que lo conformen deberán estar inscritas en la base de datos de proveedores de PETROPERÚ.

Si el postor no presenta documentos en el tipo de moneda indicado en la Hoja de Proceso, se aplicará el tipo de cambio venta publicado por la Superintendencia de Banca y Seguros y AFP, a fin de conocer el monto facturado. Para tal efecto, se tomará en cuenta la cotización del día, en el que se haya otorgado la conformidad del contrato, cancelado el comprobante de pago, o emitido los certificados o cartas de los clientes, según sea el caso.

9 DOCUMENTOS:

9.1 EN SU PROPUESTA TÉCNICA

• Debe entregar la información solicitada en el numeral 8 – Requerimientos Técnicos Mínimos en formato digital (foliada) que permita su fácil ubicación en PDF.

9.2 PREVIOS A LA EMISIÓN DE LA ORDEN DE TRABAJO A TERCEROS.

• Carta fianza de fiel cumplimiento, ver detalle en el Anexo BT N° 13 - Garantías.

• Anexo BT N° 08 debidamente llenado.

• Declaración Jurada de cumplimiento del Anexo BT N° 04 y Anexo BT N° 10.

• Documento completo de SLA del(os) proveedor(es) de nube.

9.3 ENTREGABLES DURANTE LA FASE 1:

• Pólizas de seguros indicado en el numeral 11, al inicio de la fase 1

• Listado del personal que forma parte del equipo de trabajo con la documentación de sustento de acuerdo con el Anexo BT N° 03 y el Anexo BT N° 07

• Plan de habilitación de la xxxxx Xxxxxx 000 y capa de seguridad correspondiente, al inicio de esta etapa.

• Participación en el protocolo de pruebas relacionadas a la habilitación de la xxxxx Xxxxxx 000 y capa de seguridad correspondiente, y posteriormente sus resultados. Como parte de todo proyecto deben ponerse criterios de conformidad, que son los check previos lo cual corresponde a los protocolos de prueba donde se debe verificar que las funcionalidades se encuentran operativas.

• Acta de conformidad de habilitación de la xxxxx Xxxxxx 000 y capa de seguridad correspondiente.

• Plan detallado de capacitación y desarrollo de aplicaciones, durante todo el servicio de acuerdo con el Anexo BT N° 11.

• Nivel de Servicio relacionado a la atención de los requerimientos (que se incluirán como parte del numeral 10 a fin de que sean aplicados en la fase 2). En esta definición se indicarán los tipos de requerimiento y sus tiempos de atención e implementación.

9.4 ENTREGABLES DURANTE LA FASE 2:

• Informe Mensual del servicio, el contenido de este se definirá durante la fase 1. Este informe contendrá además:

- Datos de los indicadores, métricas o KPIs para el presente servicio.

- Reporte de avance mensual de consumo de horas de capacitación y desarrollo de aplicaciones.

- Reporte mensual de la implementación del Gobierno sobre la Suite del Office 365 (administración de acceso a los usuarios a los recursos, controles, políticas configuradas en la Suite del Office, optimización y control de uso de servicios, medidas para optimización de consumos dentro de los enlaces de Internet con los que cuenta PETROPERU a nivel nacional).

- Reporte de avance mensual de la implementación del esquema de seguridad avanzada.

• Informe Final por aplicaciones desarrolladas en la suite de Xxxxxx 000, luego de la finalización de su implementación. Como máximo esas aplicaciones deben ser culminadas en el mes 5 de la fase 2 del servicio, donde se muestre su publicación o puesta en operación.

• Informe Final del modelo de Ciberseguridad y la implementación del esquema de seguridad avanzada.

10 NIVELES DE SERVICIO

Para medir la calidad de los servicios, se contempla la utilización del concepto de Niveles de Servicio como el elemento que permite cuantificar objetivamente la eficiencia con la que se está prestando el servicio contratado, siendo necesario el cumplimiento de lo indicado en el Anexo BT N° 12.

Estos niveles de servicio deben estar orientados al aseguramiento del cumplimiento de plazos planeados, disponibilidad, eliminación de errores o defectos del servicio y a la mejora de la satisfacción de los usuarios de los servicios.

EL CONTRATISTA debe establecer los medios necesarios para mantener actualizadas en una herramienta compartida con PETROPERU las variables e indicadores de desempeño relacionadas con los Niveles de Servicio establecidos. Los dashboard donde se consolide las mediciones mensuales deben ser en Power BI, la cual deberá compartirse al equipo de PETROPERÚ.

Con los 4 usuarios brindados el proveedor puede descargar la información de la herramienta ITSM; pero es el proveedor quien deberá realizar los cálculos de los indicadores los cuales se presentarán en los informes mensuales y deberán ser cargados en su herramienta compartida.

En la Herramienta Xxxxxx se encontrará los tiempos de cada uno de los estados de las atenciones, para que sea descargado en excel por el Contratista para que lo cargue ya calculado los niveles de servicio en la herramienta de Power BI de tal forma de visualizarlas de forma histórica desde el inicio del servicio.

Los acuerdos de niveles de servicios pueden ser revisados y actualizados en función a las mediciones obtenidas durante la ejecución del servicio en forma conjunta entre el CONTRATISTA y PETROPERÚ. Aquellos nuevos acuerdos de niveles de servicio iniciarán previamente como métricas de desempeño.

11 PÓLIZAS

El Contratista es responsable de contratar y mantener vigentes durante el plazo de tiempo de ejecución del contrato, todas las pólizas de seguros y coberturas que por Ley le competen a su actividad 1 . Adicionalmente y en amparo al presente contrato, deberá contar las siguientes pólizas de seguros.

Seguro de Riesgo Cibernético o Cyber Risk: Que cubra la integridad y disponibilidad de los sistemas de información y operativos, por una Suma Asegurada no menor de US$ 250,000.

Seguro de Responsabilidad Civil Profesional: Que ampare el perjuicio financiero a Petroperú y cualquier otro tercero derivado de errores u omisiones no intencionales del contratista en el ejercicio de sus servicios profesionales, por una Suma Asegurada no menor de US$ 250,000 en Limite único y combinado, por evento y en el agregado anual.

DISPOSICIONES GENERALES PARA LAS PÓLIZAS DE SEGUROS:

• Las pólizas de seguros deberán tener el carácter de primarias. Cualquier otra póliza de seguro contratada sobre el mismo interés asegurado, es en exceso y no concurrente.

• PETROPERÚ y/o sus accionistas y/o compañías afiliadas y/o asociadas, funcionarios y trabajadores, así como las empresas que prestan servicio a PETROPERU S.A. y sus trabajadores y/o subcontratistas, tendrán la denominación de terceros en caso de siniestro.

• El CONTRATISTA y su asegurador renuncia a su derecho de subrogación contra PETROPERÚ S.A. y/o sus accionistas y/o asociadas, funcionarios y trabajadores. (Aplicable a la póliza de Responsabilidad Civil)

• El CONTRATISTA deberá obtener autorización expresa y por escrito de PETROPERÚ S.A., antes de efectuar cualquier cambio, modificación o cancelación en las pólizas de seguro contratadas. Asimismo, cada póliza de seguro deberá incluir una disposición por la cual se estipule que el asegurador deberá cursar notificación por escrito a PETROPERÚ, en caso

1 Seguro de Xxxx Xxx y Seguro Complementario por Trabajo de Xxxxxx (SCTR) para el personal que labore en el contrato, tanto en la cobertura de salud (Essalud o EPS) como en la de invalidez, muerte y sepelio (ONP o Cía. de Seguros) entre otras. Esta póliza se entregará cuando se inicien los trabajos de campo y/o taller incluyendo la factura que acredite el pago de la póliza y serán actualizadas cada vez que ingrese personal nuevo.

de que fuera a producirse algún cambio o cancelación o suspensión de cobertura por falta de pago, por lo menos treinta días (30) antes de dicho cambio o cancelación o suspensión.

• La póliza de Responsabilidad Civil debe incluir a PETROPERÚ S.A. y/o sus accionistas y/o compañías afiliadas y/o asociadas, funcionarios y trabajadores, como Asegurados Adicionales.

12 SUBCONTRATACIÓN

Conforme al Artículo 70 del Reglamento de Contrataciones de PETROPERÚ, durante la ejecución contractual se reserva el derecho de autorizar los porcentajes de subcontratación de prestaciones.

EL CONTRATISTA podrá acordar con terceros, la subcontratación de parte de las prestaciones a su cargo, siempre que:

• PETROPERÚ lo apruebe por escrito y de manera previa dentro de los cinco días hábiles de formulado el pedido. EL CONTRATISTA deberá presentar el listado de subcontratistas. La aprobación de PETROPERÚ se limitará a confirmar que el Sub- Contratista propuesto cumple con lo requerido en este numeral.

• Las prestaciones para subcontratarse con terceros no excedan del cuarenta por ciento (40%) del monto del contrato original.

• El subcontratista se encuentre inscrito en la Base de Datos de Proveedores Calificados de PETROPERÚ (BDPC) o cuente con RNP y no esté suspendido o inhabilitado para contratar con el Estado.

• En caso de subcontratar, el Contratista deberá exigir a sus subcontratistas que cumplan con las normas del Sistema de Integridad y Políticas Corporativas de PETROPERÚ.

• Aun cuando EL CONTRATISTA haya subcontratado, conforme con lo indicado precedentemente, éste es el único responsable de la ejecución total del contrato frente a PETROPERÚ. Las obligaciones y responsabilidades derivadas de la subcontratación son ajenas a PETROPERÚ.

13 PENALIDADES

El procedimiento de la aplicación de penalidades se describe en el Anexo BT N° 06.

• En caso de retraso injustificado en la ejecución de las prestaciones objeto del contrato, PETROPERÚ aplicará las penalidades indicadas a continuación:

Penalidad Diaria (PD) = (0.10xMC) / (F x Plazo en Días) Donde MC = Monto Contractual

Para Plazos Mayores a 60 días F=0.25 Penalidad (P) = (días de retraso) x PD

• Además, se aplicarán las siguientes penalidades:

Estas penalidades serán aplicadas a partir del 4to mes, y el mecanismo de las mismas funciona de la siguiente manera:

De acuerdo con las métricas definidas en el Anexo BT N° 13 y a los valores establecidos para las mismas, al finalizar cada mes de operación del servicio, se calcularán los Puntos Débito de cada una de las métricas.

Puntos Débito, son los puntos obtenidos a partir de la fórmula correspondiente para las métricas asociadas con los Niveles de Servicio requeridos.

La fórmula para obtener los Puntos Débito es la siguiente:

Para el caso en el que en la tabla resumen de Niveles de Servicio se indique un valor N/A para el Valor Mínimo, considerar el valor xx xxxx (0) al aplicar la fórmula de Puntos Débito.

En el caso que el valor de la medición de alguna de las métricas se encuentre entre el Límite Inferior y el Valor Mínimo establecido, se cobrarán las penalidades correspondientes. De igual manera, en caso de que alguna de las métricas traspase el umbral del Valor Mínimo PETROPERÚ tendrá la potestad de aplicar la cláusula de Resolución de Contrato.

En el caso que alguna de las métricas sea igual al Valor Mínimo establecido o traspase este umbral (zona de incumplimiento de contrato), PETROPERÚ aplicará la máxima penalidad. La fórmula será:

Puntos Débito =100

De esta manera:

Para Puntos Débito > 0

Penalidad = (Puntos_ Débito x Costo_Mensual) / 2000 Para Puntos Débito = 0:

Penalidad = 0

• Adicionalmente se considera los siguientes puntos como criterios de penalidad:

a) Aplicar 3 puntos por cada día de demora en cada uno de los entregables de los hitos indicados en la figura N° 01 de la fase 2.

b) Aplicar 2 puntos por cada día de demora en cada compromiso contractual identificado y solicitado que no se este realizando.

El monto de penalidad de estos criterios adicionales se obtiene de la siguiente fórmula: Penalidad Total de este criterio=∑0.025*UIT*puntos (ei/cci),

siendo puntos(ei)= Puntos de cada entregable i y puntos(cci)= Puntos de cada compromiso contractual i.

Nota:

Cualquier retraso que no es imputable al Contratista no está sujeto a penalidad.

Cuando se llegue a cubrir el monto máximo de la penalidad (10% del monto contractual), PETROPERÚ podrá resolver el contrato, sin perjuicio de la indemnización por los daños y perjuicios que pueda exigirse.

14 FACTURACIÓN Y FORMA DE PAGO

Las valorizaciones se presentarán de manera mensual, después de ejecutada la respectiva prestación.

PETROPERÚ efectuará el pago en dólares americanos.

Los pagos se realizarán durante la fase 2 de manera mensual según servicios consumidos por partidas indicadas en el Anexo BT N° 09 – Propuesta Económica, para ello debe contarse con la conformidad mensual, siendo necesario para ello contar con el informe ejecutivo mensual).

Asimismo, en la primera valorización de la fase 2 se pagará la implementación del servicio de backup de la información, luego del fin de su implementación.

El plazo para la conformidad de la prestación será de 15 días calendario. Este plazo no está comprendido dentro del plazo de ejecución del servicio.

El/los comprobante(s) de pago será (n) pagado (s) a los Treinta (30) días calendario de la correcta presentación de la factura y la conformidad del entregable correspondiente.

En caso de existir observaciones al entregable, el Contratista deberá subsanarlo a más tardar en 02 días hábiles, en caso de requerir mayor tiempo para la subsanación, siendo el máximo 07 días hábiles, deberá solicitarlo y sustentar la ampliación de plazo a PETROPERU, el mismo que de ser razonable procederá ampliarlo.

El/los comprobante(s) de pago manuales, deberá(n) presentarse en la Oficina de Trámite Documentario, sito en Xx. Xxxxxxx Xxxxxxx Xxxxxxx 000. Xxx Xxxxxx. El/los comprobante(s) de pago electrónico(s) 2 deberá(n) ser presentado(s) a través xx Xxxx de Partes Virtual3, al siguiente correo electrónico: xxxxxxxxxxxxxxxxxxx@xxxxxxxxx.xxx.xx, Ambos tipos de comprobantes de pago deberán estar acompañadas de:

• Para el caso de pagos parciales: Copia del Contrato u Orden de Trabajo a Terceros (XXX), la valorización aprobada.

• Para el caso del pago final: Contrato u Orden de Trabajo de Terceros (XXX) original, la valorización final aprobada, el acta de conformidad de servicio

El Contratista consignará obligatoriamente en su factura el número y descripción del Contrato x XXX y el número de HES (en caso de servicios).

Tratándose de comprobantes de pago electrónico, éstos deberán ser autorizados por la SUNAT.

Aquellos comprobantes de pago presentados incorrectamente o presentados antes de obtener la conformidad serán devueltos para su subsanación, rigiendo el nuevo plazo a partir de la fecha de su correcta presentación.

Nota:

- Los Contratistas deberán presentar sus Comprobantes de Pago una vez recibida la HES y la conformidad de las prestaciones; así como el Acta de Conformidad final al cierre del contrato.

15 ADMINISTRACIÓN Y CONFORMIDAD

La administración del Servicio estará a cargo de Supervisor de la Unidad de Infraestructura y Servicios TIC, de la Gerencia Departamento Tecnologías de Información.

La conformidad del Servicio estará a cargo del Jefe de la Unidad de Infraestructura y Servicios TIC de la Gerencia Departamento Tecnologías de Información.

Cualquier requerimiento que implique cambios al alcance del servicio será tratado según lo detallado en el Anexo BT N° 05 Gestión de Cambios al Contrato.

16 OBLIGACIONES Y RESPONSABILIDADES DEL CONTRATISTA

El contratista deberá brindar el suficiente personal que permita cumplir en el tiempo estimado para la implementación y brindar un servicio adecuado con las exigencias descritas en el presente documento, en el Anexo BT N° 03 se indica la cantidad mínima de personal para la implementación y administración del servicio.

El servicio será atendido de forma remota, no se requerirá ingresos del personal del Contratista a las instalaciones de PETROPERU.

Siendo un contrato a precios unitarios, El CONTRATISTA deberá cumplir con las partidas unitarias presentadas en la propuesta económica, tanto para adicionales o reducciones

2 Comprobantes de pago electrónicos incluye: facturas, notas de crédito, notas de débito, recibos por honorarios, boletas de pago, liquidaciones de cobranza, recibos de servicio público, entre otros.

3 Para mayor detalle sobre el formato permitido y los documentos que podrán ser presentados por Mesa de Partes Virtual, revisar link: xxxxx://xxx.xxxxxxxxx.xxx.xx/xxxxxxxxxxx/xxxx-xx-xxxxxx-xxxxxxx/

sobre las mismas partidas. En caso de requerirse nuevas partidas están deberán cumplir con el procedimiento del Anexo BT N° 05 Gestión de Cambios al Contrato.

El Contratista deberá garantizar la coexistencia de ambas plataformas (del servidor local “on premise” y el servidor en la Nube), deberá existir una correlación entre el servidor local y el servidor en la nube.

El Contratista deberá solicitar y sostener reuniones de trabajo con los equipos técnico/funcional y los actores que intervienen en el flujo para el análisis y modelo de los flujos de trabajo a configurar en las herramientas. Esto permitirá que el Contratista diseñe los procesos, flujos de trabajo y procedimientos para la atención de requerimientos, que PETROPERU designe y requiera.

El CONTRATISTA deberá respetar la política integrada de gestión de la calidad, ambiente, seguridad y salud ocupacional de PETROPERÚ indicada en el Anexo BT N°10. Dicho documento no libera a El CONTRATISTA de la obligación de adoptar todas las medidas de seguridad necesarias que requiere el servicio.

Es de responsabilidad de El CONTRATISTA el cumplimiento de sus obligaciones legales en lo que respecta a su personal para la ejecución del servicio.

El CONTRATISTA asume la responsabilidad civil derivada de las acciones dolosas, así como las de culpa leve y/o culpa inexcusable que cometa su personal, siendo de cargo suyo la obligación de indemnizar los daños y perjuicios que generen contra PETROPERÚ o terceros.

Respecto a las pólizas de seguros es responsabilidad del Contratista lo siguiente:

• Las pólizas de seguros deberán contratarse en compañías de seguros sujetas al ámbito de supervisión de la Superintendencia de Banca, Seguros y AFP.

• Entregar a PETROPERÚ S.A. copia de las pólizas de seguros y comprobantes que certifiquen el pago de la prima de seguro. antes de iniciar los trabajos.

• El CONTRATISTA se obliga a cumplir con todas las condiciones, cargas y obligaciones estipuladas en las pólizas contratadas, a fin de garantizar que la cobertura se encuentre y mantenga siempre vigente. Caso contrario, la reposición de los daños directos y consecuenciales serán de entera responsabilidad del CONTRATISTA y asumirá directamente el pago de la indemnización a terceros, PETROPERU S.A. y a su personal.

• La responsabilidad del CONTRATISTA no se limita al monto asegurado en las pólizas contratadas ni a sus coberturas; por lo que este responderá por todos los daños y perjuicios resultantes con ocasión de la prestación del Servicio.

• Todos y cada uno de los deducibles y el pago de las primas de seguros correspondientes a las pólizas mencionadas, serán asumidos por el CONTRATISTA y corren por cuenta y riesgo de los mismos.

• Es responsabilidad del CONTRATISTA obtener coberturas adicionales, a las señaladas anteriormente, cuando sea aplicable. La no contratación de las pólizas necesarias y adicionales no libera de responsabilidad al CONTRATISTA por los daños ocasionados a PETROPERÚ S.A. y/o a cualquier tercero que se vea afectado, siempre que le sean imputables.

• Los contratistas independientes/subcontratistas deben de tener las coberturas indicadas

17 FACILIDADES, OBLIGACIONES Y/O RESPONSABILIDADES DE PETROPERU

PETROPERÚ brindará los servidores virtuales y el sistema operativo Windows Server 2012 para los servidores que deben instalarse de forma on Premise para el funcionamiento e integración con el AD y aplicaciones de PETROPERÚ que hacen uso del correo.

PETROPERÚ brindará los accesos para ingreso remoto por VPN del personal del servicio del Contratista, previamente deberá presentar los formatos que le serán entregados al inicio de la fase 1.

PETROPERÚ brindará todos los enlaces de internet en cada una de las sedes a nivel nacional de PETROPERÚ a fin de que se consuman los servicios SaaS de Microsoft.

PETROPERÚ cuenta con su TENANT activo con el dominio @xxxxxxxxx.xxx.xx y sincronizado con el AD On Premise con el uso de AD Connect, donde los usuarios contarán con asignación de licencias de Oficce 365 Pro-Plus (o actualmente llamada On Premise), la cantidad de licencias son 2453. Igual estas deben ser usadas e incluidas en el Plan de Trabajo del CONTRATISTA.

18 CAUSALES DE RESOLUCIÓN DE CONTRATO

El Contrato podrá ser resuelto de conformidad con lo indicado en el Artículo 76 del Reglamento de Contrataciones de PETROPERÚ.

19 SEGURIDAD Y PROTECCIÓN DEL AMBIENTE

El Contratista está obligado a cumplir con lo establecido en el Manual Corporativo de Seguridad, Salud y Protección Ambiental para Contratistas de PETROPERÚ.

El Contratista debe contar con el Plan de seguridad, vigilancia y control del COVID 19 registrado en SICOVID, el cual debe ser presentado al inicio del contrato.

El contratista debe cumplir con lo indicado en los Anexos BT N° 14 y BT N° 15

Anexo BT N°01 – Funcionalidades de la SUITE de Microsoft Office 365

Todas estas funcionalidades están indicadas en la página web del fabricante y han sido validadas durante el uso de servicios anteriores. Se considera que estas funcionalidades son actualizadas por el fabricante en el tiempo para mejoras de las Herramientas de Colaboración y Productividad las cuales deberán ser informadas por el Contratista para que sean adoptadas por los usuarios durante el servicio y en beneficio de PETROPERÚ y en función al tipo de suscripciones que se solicite durante la fase 2. En nuestro caso las funcionalidades listadas a continuación de la capa de Colaboración y Productividad estará enmarcada a lo que las suscripciones E1 brindan, como a las suscripciones que Power Bi Pro brinda también, entre otros, de acuerdo a lo solicitado en el Anexo BT N° 09.

1. Del Correo electrónico

• La solución de correo de electrónico debe ser corporativa, que permita las funciones habituales de envío, recepción, envío con copia, copia oculta, formato y adjuntar documentos.

• Disponer de herramientas de colaboración integradas a la plataforma de mensajería, tales como: Calendario, Agenda, Grupos (listas de distribución) y bandejas de entrada colaborativas.

• Debe contar con la capacidad de permitir la interacción entre los usuarios y estos puedan compartir contactos y calendarios.

• Todas las cuentas de correo electrónico deberán contar, desde su creación con un espacio de almacenamiento de mensajes electrónicos de mínimo 50 GB.

• Permitir adjuntar archivos de como mínimo de 150 MB, con opción a filtrar determinado tipo de archivos.

• Capacidad de crear contactos personales.

• Capacidad de crear listas de distribución personal

• Contar con una lista global de correos común a todos los usuarios, incluyendo los usuarios de directorio activo de la institución.

• Capacidad para implementar políticas de envío y recepción de correos según dominios específicos por cuenta de usuario y/o grupo.

• Debe contar con una función que permita analizar el comportamiento de los usuarios individuales en busca de la información clave para ellos.

• Los usuarios deben poder leer correos sincronizados con el equipo y redactar nuevos mensajes directamente desde su navegador o cliente de correo instalado en el equipo, aun cuando no cuente con una conexión a internet (modo desconectado). Para ello el Contratista deberá crear un script para su aplicación parcial o masiva, y a la vez deberá preparar el instructivo para manejo de la mesa de ayuda de PETROPERÚ.

• Delegación de buzones de correo electrónico; permitir que los usuarios deleguen el control de sus buzones a otros usuarios designados. (Ej.: Jefe - Asistente).

• Tener la capacidad de definir mensajes de respuesta tipo “Fuera de la Oficina” o “de vacaciones” o entre otros, y debe ser posible configurar quiénes reciben esos mensajes (todos los correos entrantes, sólo los remitentes que sean contactos del usuario o sólo los remitentes que hagan parte del dominio).

• Posibilidad de organizar visualmente los correos electrónicos en carpetas o etiquetas, pudiendo organizar un único correo en varias categorías.

• La solución debe permitir encontrar la información rápidamente, es decir deberá contar con una búsqueda avanzada, de tal manera que busque el contenido por palabras clave, filtrar por tipo de archivo, por propietario, por etiqueta, entre otros.

• La aplicación de correo electrónico debe ser compatible para dispositivos móviles basados en iOS, Android y Windows Phone.

• La plataforma debe contar con antispam integrado, y en alta disponibilidad; asimismo se debe tener la capacidad de generar políticas para los archivos adjuntos y filtro de contenidos.

• Los correos electrónicos viajarán de manera encriptada con protocolo de seguridad “https”.

• El buzón de correo debe permitir la funcionalidad de reglas para mejorar la administración del correo.

• La solución deberá permitir a los usuarios liberar sus correos en cuarentena – retenidos por políticas de seguridad del AntiSPAM o AntiVirus.

• El servicio debe permitir la visualización de archivos adjuntos dentro del correo electrónico de los formatos .doc, .docx, .xls, .xlsx, .ppt y .pptx, que son usados por PETROPERU.

• Permitir que los usuarios puedan tener múltiples alias de correo electrónico.

• Permitir que los usuarios puedan modificar la configuración del mecanismo de priorización de sus correos en la bandeja de entrada.

• Permitir el acceso a los usuarios de PETROPERU, que puedan ingresar al sistema de mensajería mediante la conexión por protocolos estándar POP, IMAP, SMTP, MAPI, SSL

/ TLS.

• Los usuarios deben poder iniciar sesión en la solución usando un usuario y contraseña, dicho usuario deberá tener el dominio @xxxxxxxxx.xxx.xx y debe ser autenticado contra el Directorio Activo de usuarios de PETROPERU.

2. Del Calendario, agenda y eventos

• El servicio de calendario debe permitir crear múltiples calendarios, visualizar gráficamente la agenda personal y las compartidas por otros usuarios y debe tener funcionalidades avanzadas como la creación de eventos.

• Debe permitir las características por evento como: permitir la posibilidad de aceptar, cancelar o proponer nueva fecha y hora por cada uno de los invitados, poder visualizar la lista de invitados y agregar nuevos invitados.

• Deben existir controles granulares de acceso por calendario que incluyan niveles de visibilidad: sin acceso, solo ocupado/disponible, detalles completos y editable por otros

• Se requiere poder visualizar múltiples calendarios en simultáneo diferenciados.

3. Del Portal Colaborativo:

• Permitir crear sitios web, intranet o portal corporativo, bibliotecas de documentos y página de colaboración.

• Capacidad de administración de permisos centralizada y con capacidad de heredar los permisos hacia los sites secundarios.

• Agregar elementos web para personalizar el contenido

• Permitir realizar flujos de trabajo y la administración de los mismos.

• Ofrecer una plataforma centralizada que permita la gestión de los contenidos.

• Permitir mostrar elementos visuales como noticias y actualizaciones con un sitio de grupo o comunicación.

• Permitir crear contenidos en distintos formatos, los cuales deben ser desde la realización de un enlace con su respectivo título hasta la realización de un contenido complejo que incluya documentos de ofimática con los que trabaja PETROPERU

• Permitir gestionar privilegios y perfiles de usuario.

• Permitir aislar al usuario no autorizado de las fuentes de información, garantizando la seguridad e integridad de las mismas mediante el acceso a través de una pantalla de acceso.

• Permitir la creación de paneles, reportes, indicadores, KPIs, totalmente integrados con el portal

• Permitir crear comunidades de trabajo.

• Permitir el uso de gadgets como un calendario en el cual según sus privilegios podrá colocar actividades.

• Soportar la carga y descarga de los formatos de archivos más comunes tales como .doc,

.ppt, .xls, .pdf, .jpg, rar, .zip.

• Portal de colaboración con capacidad de visualización y edición de documentos de ofimática .doc, .docx, .xls, .xlsx, .ppt y .pptx, en su formato nativo.

• El servicio debe tener la capacidad de gestionar la información digital del uso no autorizado.

• Manejar BI (data inteligente) con datos de múltiples fuentes y convertirlos en tabla dinámicas.

• Permitir un flujo para automatizar procesos.

• Debe permitir la personalización del logo corporativo en la interfaz web del portal.

• Servicio de portal que permita un acceso seguro usando la encriptación Sockets Layer (SSL) o Transport Layer Security (TLS).

• Debe incluir protección antimalware.

• Debe incluir opciones de auditoria y reportes para hacer un seguimiento de las acciones de los usuarios sobre las librerías, carpetas y documentos almacenados.

• Los propietarios de contenido pueden definir quién puede abrir, modificar, imprimir, reenviar o tomar otras acciones con la información contenida en los correos electrónicos según políticas definidas en la entidad.

• Debe tener la capacidad de publicar reportes interactivos basados en hojas de cálculo, con soporte a filtros, definición y edición de parámetros y ser accedidos desde un navegador.

• En el esquema de colaboración, se debe poder identificar visualmente qué están haciendo los otros colaboradores en tiempo real.

• La solución debe incluir algún mecanismo para sincronizar documentos automáticamente hacia la nube y de regreso, con sólo agregarlos a un directorio local en Windows o Mac.

• La solución debe permitir compartir archivos o carpetas con las personas que se requiera y decidir si pueden ver, modificar o comentar el contenido. Es importante recalcar que se debe poder compartir con usuarios dentro y fuera de la organización sin que esto implique un costo de licenciamiento adicional.

• La solución debe permitir la creación de sitios web para compartir información y aumentar la colaboración de los equipos sin que esto requiera conocimientos técnicos por parte de los usuarios de negocio ni involucrar al área de Tecnología.

• Soporte provisto por el proveedor o por el fabricante en línea 7 x 24 durante el período de la contratación del servicio. La responsabilidad contractual es del proveedor en función a las responsabilidades y niveles de servicio contratado.

4. Del Planificador de tareas y colaboración

• Permitir crear planes de trabajo, organizar y asignar las tareas

• Permitir compartir archivos y documentos ofimática

• Permitir chatear sobre el trabajo organizado

• Permitir validar y actualizar el status del progreso de los trabajos

• Cada proyecto o plan de trabajo creado debe tener su panel de tareas

• Se debe permitir cargar las tareas según el estado del usuario a asignar

• Permitir cambiar las asignaciones de tareas

• Permitir la visibilidad de mi lista de tarea y su estado

• Permitir que todos los miembros usuarios, puedan ver mis estados, para saber mi carga personal

• Permitir adjuntar archivos a las tareas asignadas

• Permitir colaborar y modificar esos archivos en línea

• Poder saber quién modifico el archivo en línea

• Debe funcionar en equipos o celulares

• Permitir visualizar los gráficos generados, para saber status de un proyecto (dashboard)

• Permitir notificaciones por correo al momento de asignar una tarea nueva

• Permitir notificaciones por correo cuando se te agregue a una conversación

5. De la Mensajería instantánea y Videoconferencia:

• Servicio de mensajería instantánea que permita un acceso seguro usando la encriptación Sockets Layer (SSL) o Transport Layer Security (TLS).

• La plataforma deberá permitir establecer sesiones de audio y video de PC a PC.

• Todos los contenidos de mensajería instantánea deben ser encriptados y seguros.

• Brindar una plataforma centralizada que permita la gestión de los perfiles a nivel de funcionalidades de la solución de mensajería instantánea y videoconferencia de los usuarios de PETROPERU.

• Permitir configurar grupo de usuarios.

• El usuario puede editar el mensaje antes de enviarlo (fuente, color y tamaño).

• La solución debe soportar conferencia de audio (voz), video, web y escritorio

• Debe contar con una aplicación de reunión en línea que permita organizar reuniones en línea con transmisión de audio y video en calidad HD.

• compartido bajo el mismo servicio.

• La aplicación de reunión deberá permitir realizar una reunión en línea en cualquier momento y en cualquier lugar.

• La aplicación de reunión en línea debe permitir realizar chat y compartir contenido en las llamadas.

• La solución de mensajería instantánea y videoconferencia estará disponible para la cantidad total de usuarios a licenciar.

• La solución debe permitir realizar a los usuarios sesiones de mensajería instantánea y video conferencia de uno a uno o de uno a muchos.

• La solución debe de permitir hacer uso a través de un cliente web, el cual tendrá que instalarse a manera de componente o un cliente que se instale en la estación de trabajo de los usuarios a utilizar la solución.

• La solución debe ofrecer una plataforma centralizada que permita la gestión y administración de los usuarios.

• La solución debe ofrecer una plataforma centralizada que permita la gestión de los perfiles de los usuarios.

• Los usuarios deben poder iniciar sesión usando un usuario y contraseña, dicho usuario deberá tener el dominio de PETROPERU, además la herramienta debe asignar privilegios y perfiles al usuario, según los ya configurados.

6. De la Red social corporativa

• Permitir a los empleados conectar con otras personas de la institución.

• Permitir compartir información con otros grupos o equipos de trabajo de la institución.

• Permitir debatir y trabajar en colaboración creando comunidades organizadas por proyectos o temas de conversación.

• Permitir buscar conversaciones y archivos.

• Permitir el uso de la bandeja de entrada para ver, clasificar por orden de prioridad y administrar el contenido más relevante de la red social corporativa.

• Permitir a los usuarios iniciar sesión usando un usuario y contraseña, dicho usuario y contraseña debe ser validado contra el directorio de usuarios de PETROPERU.

• La solución debe tener la capacidad de utilizar la herramienta mediante cualquier navegador de internet y también debe tener la capacidad de ejecutarse mediante un cliente en las estaciones de trabajo de los usuarios a utilizar la solución.

• Todos los servicios serán escalables y serán activados y desactivados según Roadmap del Proyecto de Implementación y/o necesidades de PETROPERU.

• Asimismo, todos los servicios deberán ser accedidos por personal de PETROPERU, de acuerdo a sus políticas de acceso y seguridad de información.

7. De la Plataforma

• Debe contar con alta disponibilidad y escalabilidad.

• Debe incluir un esquema de replicación de la información de las cuentas de correos y colaboración en múltiples Centro de Datos ubicados en zonas geográficas distintas para prevenir la pérdida de información y garantizar la continuidad del servicio ante cualquier desastre natural.

• Debe permitir la administración remota.

• Debe tener una consola de administración general, que permita la modificación, creación y/o eliminación de usuarios. Creación y asignación de privilegios y perfiles de usuarios.

• El buzón de correo debe permitir la funcionalidad de reglas para mejorar la administración del correo, esto debido a la gran cantidad de correos recibidos por los usuarios.

• Debe poder sincronizarse con dispositivos móviles que cuenten con acceso a internet (Android, iOS y Windows Phone).

• Capacidad de personalización con el logo corporativo en la interfaz web del portal colaborativo.

• La plataforma debe permitir la visualización de archivos adjuntos en la web en formatos de ofimática (procesador de texto, hojas de cálculo, presentaciones), dentro del correo electrónico, esta funcionalidad debe estar incorporado al servicio, sin requerir ningún tipo de instalación en el equipo del cliente.

• El servicio debe ser transparente a la plataforma desde la que se accede, pudiendo ser accesible y plenamente funcional tanto si se accede desde computadores personales con sistemas operativos Windows (8 y 10), Mac OS, o Linux; así como en los distintos navegadores (Opera, Safari, Internet Explorer, Chrome, o Firefox), ofreciendo

exactamente la misma versión de la solución en todos ellos, sin más requerimiento que contar con un navegador instalado.

• La cantidad de subdominios que podrán ser creados o asignados a la suite de Microsoft será de mínimo 5, el mismo no demandará costos adicionales a PETROPERU.

• La comunicación entre el usuario y la plataforma debe realizarse a través de un entorno seguro (https).

• Se debe proporcionar una interfaz de administración que le permita al PETROPERU, realizar la personalización de los servicios por usuario.

• La plataforma debe permitir recuperar los buzones de correo eliminados en un tiempo no menor a 07 días.

• Debe permitir realizar el backup de la información de todas las herramientas de Xxxxxx 000, a fin de que con la solución de backup solicitada para la fase2, se realice la misma.

• Las facilidades de hacer archivado de correos en el cliente Outlook con las suscripciones que cuenta PETROPERÚ deben estar habilitadas

• Debe permitir controlar el acceso a documentos y correos.

• Debe analizar amenazas contra usuarios de manera proactiva.

• Debe contar con herramienta para explotación de información mediante analíticas.

• Debe contar con un gestor de contenidos empresarial.

• Debe contar con una red social empresarial.

• La solución deberá permitir ejecutar actividades administrativas en los dispositivos móviles, tales como: bloqueo y borrado remoto de la información del dispositivo, para ello se podrá hacer uso de funciones propias de la plataforma ofrecida. Esta funcionalidad deberá estar integrada a la solución de mensajería.

• Debe contar con Anti Spam y Anti Virus, y en alta disponibilidad.

8. Software de Ofimática:

• Cada cuenta debe contar con los siguientes componentes mínimos en línea: procesador de texto, hojas de cálculo, herramienta para crear y modificar presentaciones, cliente de correo electrónico para equipos móviles y mensajería instantánea.

• Los programas de ofimática deben permitir la visualización y edición de archivos en línea de los formatos nativos de doc, .docx, .xls, .xlsx, .ppt, .pptx y entre otros

9. De los componentes adicionales:

• La solución deberá permitir contar con una unidad de almacenamiento de documentos como mínimo 1TB de capacidad por usuario y compartir información con usuarios internos y externos.

• La solución deberá permitir la creación de redes sociales y comunidades privadas para la difusión de eventos, comunicados e ideas.

• La solución deberá contar con un portal interno que permita cargar videos y transmitirlos a demanda dentro de la organización.

• La solución deberá permitir la creación de grupos de trabajo para colaboración en línea desde cualquier dispositivo.

• La solución deberá permitir que los grupos compartidos tengan un buzón y no deberá requerir licenciamiento.

• La solución deberá permitir la gestión de tareas en grupos de trabajo.

• Deberá permitir cambios frecuentes de password, a nivel de usuario o de administrador, incrementando la seguridad de la red.

En una primera etapa todo se realiza mediante un aplicativo de cambio de contraseña con el que se cuenta y es usado por todos los usuarios, lo cual durante la operación del servicio se irá llevando a que sea el portal de cambio de contraseña que brinda el Office 365 usando al AD on premise como el maestro.

• De requerir algún certificado digital, deberá ser asumido por el Proveedor y no generar un costo adicional a PETROPERU.

• Todas las herramientas de colaboración y productividad contempladas en la propuesta deberán ser del mismo fabricante. No se aceptarán propuestas que combinen herramientas de colaboración y productividad de distintos fabricantes.

Las funcionalidades de seguridad como ATP-plan 2, Defender, Protección de la información, administración de puntos de conexión y administración de acceso e identidades de Microsoft pueden ser cubiertas también por una solución de terceros que deberá también cumplir con el Anexo BT N° 02.

Anexo BT N°02 – Funcionalidades de la Capa de Seguridad

La provisión de la capa de seguridad para todo el servicio SaaS de Microsoft, debe cumplir con el ATP-plan 2, Defender, Protección de la información, administración de puntos de conexión y administración de acceso e identidades, o sus equivalentes con terceros, y los punto a y b del presente anexo, ya que esto fortalecerá los controles a implementar.

La capa de seguridad debe ser provista por el proveedor y debe ser en nube.

La capa de seguridad de poder integrarse a soluciones SIEM para la colección de eventos de la seguridad, cubriendo al menos los siguientes datos de los eventos: flujo de correo, eventos de ataques avanzados, extracción de correos, gestión de usuarios en solución de correo.

a. PLATAFORMA DE SEGURIDAD PARA CORREOS ELECTRONICOS

Requerimientos Generales

La solución debe ser parte de una plataforma del oferente que comparta información sin requerir configuraciones y/o extracción/importación manual de datos.

La plataforma debe cubrir los siguientes tipos de funcionalidades: seguridad de correo electrónico (flujo de entrada) protección contra amenazas avanzadas, identificación de personas más atacadas, protección en la nube mediante detección de cuentas comprometidas, identificación y

protección de los datos de la organización.

Características Técnicas Generales

MTA propietario

Administración vía HTTPS.

Identificación de comportamiento de usuarios para detectar amenazas

Control de archivos sensibles de la organización enfocado a lo que está en la nube y capacidad futura de descrubrimiento.

Debe soportar procesamiento nativo de SMTP sin PROXY reverso a otros protocolos.

Requerimientos de protección Anti-virus

Deberá contar con un engine de hora cero para poder identificar y contener ataques nuevos para los que no haya firmas.

El Antivirus deberá contar con actualizaciones periódicas, el deployment de las mismas deberá ser validado para asegurarse de que no existan efectos secundarios que afecten el tráfico.

Los engines propuestos debe tener la capacidad de detectar y bloquear: virus conocidos a través

de firmas, mensajes corruptos sospechosos, mensajes que contengan Riskware/Spyware, Phishing así como permitir bloquear mensajes con archivos cifrados.

Para el engine de protección de ataques de hora cero, se debe permitir que un correo sospechoso sea reprocesado después de recibir actualizaciones a las firmas

Cualquiera de los engines debe ser capaz de identificar archivos o códigos maliciosos en el contenido del correo, identificando siempre la extensión original.

Requerimientos de Seguridad de Correo (incluye SPAM)

La solución debe contar con un sistema de reputación propietario no dependiente del resto de los engines de detección, que opere para los correos de entrada.

La detección de tráfico malicioso debe poder realizarse tanto para tráfico de entrada como de salida, permitiendo el control e identificación de ataques originados en el interior de la organización

Capacidad de configurar los engines basado en políticas de: rutas, grupos de usuarios, grupos de dominios, usuarios y direcciones IP. Esto en cualquier dirección de tráfico.

Los correos con amenazas deberán ser contenidos en áreas divididas por engine de detección y su gestión por área debe ser independiente.

Debe contar con un área de búsqueda de incidentes que permita ubicar por distintos argumentos los mensajes.

La solución deberá permitir identificar amenazas mediante puntajes de los distintos engines a través de la correlación de los mismos, la información debe ser mostrada al administrador a

través de la consola para que pueda tomar acciones o tener el detalle de las acciones aplicadas.

La solución debe permitir la modificación de los umbrales de detección de acuerdo con las necesidades de la empresa, así como la creación de perfiles para distintas rutas, dominios, usuarios o direcciones IP, tanto para correo entrante como para correo saliente.

Los engines de detección deben actualizarse regularmente y las actualizaciones deben ser descargadas del site del fabricante una vez probados para evitar cualquier impacto al tráfico.

Los engines de detección deben ser configurables de forma independiente para poder ajustarlos a los requerimientos de la empresa, tales como distintas reglas para IP's, dominios, grupos de usuarios, usuarios, etc.

La solución debe poderse configurar para bloquear correos de marketing o similares (Bulk Mail).

La solución debe ser capaz de contener el correo de phishing estándar.

La solución debe contar con un motor de clasificación de correos de suplantación (BEC) que no dependa de la creación de reglas estáticas. La funcionalidad anti-suplantación debe operar en base a "machine learning" que sea capaz de analizar los flujos entrantes y salientes, a fin de clasificar correctamente los correos maliciosos de esta naturaleza

La solución debe poder configurar listas blancas y negras para los engines de Anti-Spam, tanto a nivel general como individual de así precisarse.

Se debe contar con la granularidad que permita que el administrador genere reglas para

mensajes específicos tanto permisivos como restrictivos que hagan override a las reglas estándar definidas por la solución. Esto puede ser para IP's, dominios, usuarios, etc.

Las políticas de control de SPAM deben ser modificables, ejemplo que permita tener distintas reglas para el tráfico de entrada y salida.

Debe contar con soporte para análisis de DKIM para el tráfico entrante

Debe contar con soporte para análisis de SPF para el tráfico entrante

Debe soportar análisis de DMARC para tráfico entrante

Debe soportar la integración con una herramienta que analice cumplimiento DMARC no solo para los correos entrantes, sino los correos que circulan en Internet como originados por la organización mediante "MFrom". Esta integración debe ser automática y transparente

Debe contar con una herramienta para bouncing que permita llaves fijas y dinámicas, estas

últimas generadas sin necesidad de intervención, o bien, alguna característica de seguridad que permita identificar intentos de suplantación de remitente.

Debe poseer la funcionalidad de control de SMTP, volúmenes, recurrencia, hosts, etc, para controlar ataques tanto internos como externos. En el caso de soluciones en nube, se debe asegurar la capacidad de los datacenters donde se aloja la solución con altos estándares como XXX, XXX 00000, XXX 00000.

Poseer integración con directorio activo o bases de datos para verificación de usuarios. No necesaria para la operación de la plataforma.

La herramienta debe contar con reportes a usuario final que permitan tomar acciones como

liberar o notificar spam, vía correo electrónico o bien a través de un portal de usuario. Que pueda configurarse desde, para un usuario como para un grupo o bien a toda la empresa

Las opciones de las notificaciones a usuario final deben poder ser configurables por el administrador para restringir o habilitar funcionalidades.

Debe contar con áreas de cuarentena específicas por engine.

El módulo debe tener la capacidad de configurarse para distintas rutas, direcciones y dominios.

Debe permitir la utilización de diccionarios específicos que permitan la búsqueda de palabras, frases e incluso expresiones regulares, mismas que serán evaluadas en cualquier correo ya en el header, body, attachment y footer.

Detección de Xxxxxxxx Xxxxxxxxx

El módulo debe contar con un sandboxing para evaluar archivos adjuntos y URLs

Para los archivos anexos, éstos deben ser analizados de manera que el 99% sea liberado en un plazo no superior a 10 minutos o que ofrezcan una tasa de efectividad de detección de malware de más de 99%

Para el análisis de URL's debe ser capaz de ejecutarlas a través del sandboxing y poder identificar payloads en el sitio referenciado. Las URL ya conocidas como maliciosas deberán ser

bloqueadas antes de ser entregadas a los usuarios finales. Si al momento del análisis la reputación es desconocida, las URL deberán ser reescritas a fin de proporcionar protección al usuario al momento de dar click redirigiendo la navegación a un servicio hosteado por el oferente. Este paso adicional deberá permitir al oferente chequear nuevamente la reputación y bloquear

la navegación si ésta es maliciosa.

Debe mostrar a través de un dashboard la información relacionada con los ataques recibidos, mostrar información forense de cada ataque y poseer una solución que permita mitigar los ataques mediante URL maliciosas, de tal forma, que se proteja a los usuarios en caso de acceso y/o detectar los usuarios que regularmente hacen click a los links.

La solución debe proporcionar un reporte dinámico y con "drill down", enfocado a destacar las personas de la organización que han sido sujeto de los ataques más peligrosos, determinados mediante un algoritmo que pondere el nivel de peligrosidad del ataque, nivel de sofisticación del

atacante, así como volumen de correos

Los reportes de las personas más atacadas, según se describe arriba, deben poder integrarse

en forma automática y/o manual a la plataforma que la marca ofrezca para detección y remediación de cuentas comprometidas, así como CASBI

Extracción automatizable de correos

La solución debe contar con un sistema que permita efectuar extracción automática o manual de correos que hayan sido evidenciados como maliciosos posteriores a la entrega en la casilla de correos

Esta funcionalidad debe también permitir el manejo de Falsos Positivos, haciendo posible la devolución al usuario de los correos que hayan sido extraídos erróneamente

La solución debe operar sobre la misma plataforma que realiza el análisis de correos entrante, de manera que no exista una necesidad de conectar a otros componentes separados (aún de la misma marca) para lograr esta funcionalidad

b. PLATAFORMA CLOUD ACCESS SECURITY BROKER

Principales Funcionalidades

La herramienta debe tener un enfoque centrado en las personas que incluye información de riesgos, ofreciendo visibilidad y control de sus aplicaciones en la nube

Debe tener visibilidad granular de los usuarios y los datos que están en riesgo

Debe considerar la seguridad de datos aplicando políticas con prevención de la pérdida de datos (DLP)

Debe permitir el despliegue de políticas de DLP coherentes en el correo electrónico, las apps de la nube y los repositorios de archivos locales.

La solución debe analizar el comportamiento de los usuarios y detectar anomalías en las aplicaciones en la nube

Debe dar visibilidad y control de las tecnologías shadow IT para limitar los riesgos relacionados con los usuarios.

Debe permitir la clasificación de cada aplicación y servicio en la nube al que los usuarios puedan acceder.

Identificar las cargas y descargas de archivos, con información del usuario implicado.

Debe proteger las aplicaciones SaaS como Microsoft Office 365, e integrarse con otras aplicaciones que se requieran proteger.

Debe permitir la identificación de los archivos de SaaS que están en riesgo, así como el propietario, la actividad y con quién se han compartido

Debe comprobar a través de paneles interactivos los inicios de sesión y actividades.

Debe contar con la funcionalidad de análisis y entorno aislado (sandbox) para detectar los riesgos potenciales de las aplicaciones SaaS.

Se aceptará que la detección de los riesgos sean realizados por el fabricante sin necesidad de un sandbox.

Debe permitir combinar los indicadores de riesgo específicos de los usuarios sobre amenazas en varios canales: el correo electrónico, SaaS y otros

Se aceptará que combine o haga los indicadores de riesgo específicos de los usuarios.

Podrá permitir aplicar autenticación basada en riesgos (esta funcionalidad es opcional)

Debe impedir que los empleados compartan datos sensibles de la empresa abiertamente o a través de cuentas personales

Debe contar con más de 200 clasificadores integrados para agilizar el cumplimiento de las normativas de seguridad de datos PCI, PII, PHI, RGPD y locales en PERÚ.

Debe poder realizar el descubrimiento de cuentas huérfanas o vulneradas, para proteger los datos corporativos

Se aceptará que permita la identificación de cuentas vulneradas en vez de descubrimiento de cuentas huérfanas o vulneradas.

Debe establecer y aplicar políticas de seguridad de datos para permitir a los usuarios acceder solo a ciertas categorías de datos en función de sus privilegios

Debe permitir, descubrir y controlar los complementos de terceros, y detectar aplicaciones en la nube no autorizadas

Debe soportar la creación de políticas para usuarios con privilegios, definiendo permisos de lectura y escritura para un token de acceso

Debe contar con información de auditoría de toda la actividad de los usuarios para contribuir a las investigaciones, con análisis forenses de direcciones IP, agentes del usuario, ubicación,

entre otros.

Debe tener la capacidad de correlacionar alertas con amenazas adentro de correo electrónico. Se aceptará de que la correlación sea de los eventos de seguridad a través de los servicios nube provistos.

Debe tener la habilidad de advertir de un compromiso retrospectivo con información nueva.

Debe tener la capacidad de integrarse al sistema de DLP de Email

Debe contar con la capacidad de Integrarse a sistemas de SIEM.

Debe contar con funcionalidades de detección antimalware para Onedrive, teams y sharepoint Se aceptará detección y prevención de malware para repositorios de información tales como OneDrive, teams y Sharepoint.

Prevención de fuga de información

La solución debe estar en la capacidad de aplicar políticas a la información en la nube basado en: Diccionarios, palabras clave, grupos de usuarios y expresiones regulares

La solución debe soportar fingerprinting de información estructurada y no estructurada y utilizar dichas firmas para aplicar políticas de DLP

La solución debe incluir identificadores inteligentes de información, mas allá de expresiones regulares simples.

La solución debe permitir el uso de validaciones de proximidad entre diferentes tipos de Identificadores de información

La solución debe permitir la creación de identificadores completamente personalizados, compuestos de patrones, palabras clave y criterios de proximidad entre estas. Dentro de un mismo criterio de clasificación. (Por ejemplo, un patrón de cédulas de ciudadanía que se activa sólo si encuentra en una proximidad de 20 caracteres las palabras "identidad" o "persona")

La solución debe poder ejecutar las siguientes acciones de remediación ante un incidente de DLP: generar un incidente, enviar notificación de correo, bloquear, remover link de colaboración, modificar permisos de colaboración, colocar en cuarentena, y eliminar.

Se debe tener la capacidad de crear roles de usuario diferentes al del administrador global de la solución, para que usuarios específicos tengan la capacidad de:

>Definir o activar políticas de DLP y Compliance

>Crear, Acceder y remediar incidentes

>Administrar (acceder, restaurar, eliminar) documentos en cuarentena.

El motor de DLP de la solución debe ser propietario, desarrollado nativamente por el fabricante.

Se debe tener la capacidad de configurar políticas de DLP vía Reverse Proxy o vía API para servicios Cloud corporativos.

La solución debe tener la capacidad de ejecutar escaneos bajo demanda de DLP sobre la información en reposo en los servicios Cloud Corporativos integrados mediante API.

La capacidad debe ser en tiempo real, dado que se busca evitar la fuga de información.

La solución debe permitirle al administrador la capacidad de ejecutar un rollback sobre acciones de remediación para restaurar el documento o sus permisos de colaboración en servicios Cloud

La solución debe poder configurar diferentes niveles de severidad para un mismo criterio de identificación de la información

Al aplicar políticas de DLP vía API, la solución debe identificar violaciones en la carga de documentos a servicios Cloud Corporativos y tomar las acciones de remediación configuradas

Se debe poder configurar políticas de control de colaboración basadas en usuarios y grupos de usuarios

La solución debe mostrar un resumen de colaboración que incluya colaboración con: dominios externos, correos personales, usuarios internos.

La solución de DLP para shadow IT debe poder integrarse con la solución de Proxy actual de la entidad, sin requerir proxys adicionales o esquemas duplicados tipo Proxy Chaining.

También se aceptará que la funcionalidad de shadow IT puede ser brindada por solución CASB.

Prevencion de Amenazas:

La solución debe proveer una auditoria detallada de las acciones ejecutadas por usuarios y

administradores de los servicios Cloud integrados, inclusive servicios cloud desarrollados inhouse

Cada log de actividad debe ser complementado por la solución con metadata que informe sobre elementos como Geolocalización, Reputación de IP o agente de usuario

Se debe poder filtrar las actividades de los usuarios por: servicio cloud, rango de fecha, nombre de la actividad, categoría de la actividad y nombre de usuario

Se debe poder integrar los eventos en una solución de SIEM.

Se deben poder monitorear las actividades realizadas a través de diferentes tipos de dispositivos, como equipos móviles o computadores personales

La solución debe estar en la capacidad de ingerir y categorizar nuevos tipos de actividad recibidos desde el servicio Cloud integrado de manera automática, e incluirlos dentro del análisis

de anomalías y amenazas

La solución debe poder identificar anomalías dentro del servicio Cloud y generar alertas basado en:

>Comportamiento de usuarios

>Localización

>Actividad de usuarios privilegiados

>Fuga de información

>Cuentas comprometidas

>Reputación de IP

No se debe requerir una configuración previa para que la solución empiece a identificar las anomalías mencionadas en el punto anterior

La solución debe incorporar un modelo de User Behavior Analisys

La solución debe poder identificar uso anómalo de cuentas privilegiadas, basado en escalamientos de privilegios, creación/eliminación masiva de cuentas, y exceso de actividades administrativas para un usuario

La solución debe correlacionar anomalías a través de varios servicios Cloud integrados con la solución, inclusive servicios cloud desarrollados inhouse

Se debe contar con un modelo de amenazas que identifique amenazas reales automáticamente a partir de la correlación de múltiples anomalías

Debe permitir escaneos bajo demanda en busca de Malware vía API

Anexo BT N°03 – Perfil del personal del equipo de trabajo

En la Fase 1.-

1. Gerente de Proyecto – Para la Fase 1:

Profesional Titulado y/x xxxxxxxxx en Ingeniería de Sistemas y/o Computación y/o Informática, Electrónica, Redes, Telecomunicaciones o afines, con una experiencia no menor de tres (03) años en Gestión de Proyectos de Tecnologías de la Información o como jefe y/o Supervisor de Proyectos de TI. Este estará a cargo de las funciones de gestión y control del proyecto.

Deberá contar con las siguientes certificaciones:

• Project Management Professional (PMP).

2. Mínimo un (01) especialista para implementación de la Plataforma de Colaboración:

Personal con una experiencia no menor de dos (02) años en la implementación o administración de la plataforma y colaboración ofertada, con conocimientos de despliegue de la solución en equipos y dispositivos móviles, configuración de herramientas de ofimática de la solución y puesta en marcha.

Deberá contar con certificación en las herramientas de Colaboración y Productividad de Microsoft.

3. Mínimo un (01) especialista para implementación de la capa de seguridad propuesta

Personal con una experiencia no menor de (02) años en la implementación o administración de la plataforma de seguridad ofertada, con conocimientos de despliegue de la solución con alcance similar a lo solicitado por Petroperú.

En la Fase 2.-

1. Coordinador o Jefe de Servicio – Para la Fase 2:

Profesional Titulado y/x xxxxxxxxx en Ingeniería de Sistemas y/o Computación y/o Informática, Electrónica, Redes, Telecomunicaciones o afines, con una experiencia no menor de tres (03) años en Gestión de Servicios de Tecnologías de la Información o como coordinador, jefe y/o Supervisor de Servicios de TI. Este estará a cargo de las funciones de gestión y control del servicio.

Deberá contar con las siguientes certificaciones:

• ITIL Foundation

2. Mínimo un (01) especialista para administración de Plataforma de Colaboración:

Deberá contar con certificación en las herramientas de Colaboración y Productividad de Microsoft.

3. Mínimo un (01) especialista para administración de la capa de seguridad propuesta

Consideraciones para las acreditaciones del personal

1. Los grados o títulos expedidos en el extranjero, del personal propuesto por los postores, que realizará labores desde el Perú, deben encontrarse registrados en la Superintendencia Nacional de Educación Universitaria (SUNEDU), conforme al Reglamento del Registro Nacional de Grados y Títulos, aprobado por Resolución del Consejo Directivo N° 009-2015-SUNEDU/CO.

2. En caso de reemplazo (antes de la formalización contractual, al inicio o durante la ejecución contractual) del personal propuesto con el cual se acreditó el RTM, el postor ganador de la buena pro/ Contratista deberá solicitar a PETROPERÚ la autorización de dicho reemplazo, para lo cual deberá alcanzar el sustento correspondiente, así como la documentación del nuevo personal propuesto el cual debe tener un perfil igual o superior al del inicialmente presentado.

3. La presentación de documentos del personal es para la firma del contrato, y debe ser en idioma español.

El perfil requerido del personal se deberá acreditar con los siguientes documentos:

• Copia simple del grado o título para cada perfil solicitado.

• Copia simple del certificado o constancia o transcript (expediente académico) solicitado.

• La experiencia de este perfil se acreditará con cualquiera de los siguientes documentos:

(i) copia simple de contratos y su respectiva conformidad o (ii) constancia o (iii) certificados o (iv) cualquier otra documentación que, de manera fehaciente demuestre la experiencia del personal propuesto. En caso de que en la constancia/certificado de trabajo no se indique la posición o experiencia en los proyectos solicitados, se deberá presentar una carta del empleador o contratante, según sea el caso, donde se indique en forma expresa el proyecto y el puesto ocupado.

Cada personal propuesto deberá presentar los siguientes documentos según corresponda:

• En caso de existir una relación de dependencia laboral: Copia de Contrato Laboral o Copia Certificado de Trabajo vigentes emitidos por la Empresa Postora.

• En caso de existir una relación civil: Copia del Contrato Civil vigente entre la persona natural propuesta para prestar el servicio y la respectiva Empresa Postora.

• En caso de no existir relación laboral o civil: Carta Compromiso suscrita por dicha persona natural, mediante la cual manifieste su compromiso de brindar el servicio por la empresa Postora a PETROPERÚ.

En todos los casos, de acuerdo con los requerimientos de la Ley 29733 Protección de Datos Personales, EL POSTOR deberá adjuntar la aceptación explícita del personal propuesto autorizando tanto al POSTOR como a PETROPERÚ al uso de sus datos personales para el presente proceso de contratación, según el Formato del Anexo BT N°07 Hoja de Vida del Personal propuesto.

Los certificados, constancias de estudio o diplomas que se presenten para acreditar los conocimientos o cursos de herramientas de hardware o software que se incluya en la propuesta, deberán ser emitidos por entidades educativas o por el fabricante. En caso EL CONTRATISTA estuviera autorizado por el fabricante para brindar estos cursos, deberá presentar copia de la carta del fabricante que lo acredite como tal.

En la eventualidad de que, por motivos no atribuibles al Ganador de la Buena Pro o al CONTRATISTA, según corresponda, requiriera hacer cambios del personal propuesto antes de la suscripción de la Orden de Trabajo a terceros o durante su ejecución, deberá acreditar fehacientemente que el personal de reemplazo cuenta con los conocimientos y experiencia del mismo nivel o superior que los requerimientos técnicos mínimos de las presentes Bases Técnicas. Para ello el Ganador de la Buena Pro o EL CONTRATISTA, según corresponda, deberá presentar la documentación que evidencie que los motivos no le son atribuibles, a fin de solicitar la aprobación de PETROPERÚ para proceder a dichos cambios.

Anexo BT N° 04 – ACUERDO DE CONFIDENCIALIDAD

1. ACUERDO DE CONFIDENCIALIDAD

EL CONTRATISTA y su personal se obligan a mantener y guardar estricta reserva y absoluta confidencialidad sobre todos los documentos e informaciones marcados como confidencial de PETROPERÚ a los que tenga acceso en ejecución del presente servicio. En tal sentido, EL CONTRATISTA y su personal deberán abstenerse de divulgar tales documentos e informaciones, sea en forma directa o indirecta, a personas naturales o jurídicas, salvo autorización expresa y por escrito de PETROPERÚ. Asimismo, EL CONTRATISTA y su personal conviene en que toda la información marcada como confidencial y suministrada en virtud de este servicio es confidencial y de propiedad de PETROPERÚ, no pudiendo EL CONTRATISTA y su personal usar dicha información para uso propio o para dar cumplimiento a otras obligaciones ajenas a las del presente servicio. EL CONTRATISTA deberá presentar al inicio del servicio el Formato del Anexo BT N°08, por cada uno de los integrantes de su organización para prestación de los servicios.

Los datos de carácter personal entregados por PETROPERÚ a EL CONTRATISTA y su personal, y obtenidos por estos durante la ejecución del servicio, única y exclusivamente podrán ser aplicados o utilizados para el cumplimiento de los fines del presente documento contractual. EL CONTRATISTA se compromete a cumplir con lo indicado en la Ley N° 29733, Ley de protección de datos personales.

EL CONTRATISTA y su personal deberán adoptar las medidas de índole técnica y organizativa necesarias para que sus trabajadores, directores, accionistas, proveedores y en general, cualquier persona que tenga relación con EL CONTRATISTA no divulgue a ningún tercero los documentos e informaciones a los que tenga acceso, sin autorización expresa y por escrito de PETROPERÚ, garantizando la seguridad de los datos de carácter personal y evitar su alteración. Asimismo, EL CONTRATISTA y su personal se hacen responsables por la divulgación que se pueda producir. EL CONTRATISTA se compromete a destruir todo el material que le haya proporcionado PETROPERÚ a los dos (02) días hábiles siguientes de la culminación o resolución del servicio, sin que sea necesario un requerimiento previo. Sin embargo, EL CONTRATISTA se encuentra facultado a guardar copia de los documentos producto del resultado de la prestación del servicio prestado, siendo PETROPERÚ el único que pueda acceder a dicha información. Dicha copia no puede ser dada a terceros, salvo autorización expresa y por escrito de PETROPERÚ.

La obligación de confidencialidad establecida en la presente cláusula seguirá vigente incluso luego de la culminación del presente servicio, hasta por cinco (05) años.

El incumplimiento de lo establecido en la presente cláusula, por parte de EL CONTRATISTA y su personal, constituye causal de resolución del presente servicio y PETROPERÚ se reserva el derecho de las acciones legales civiles y penales que correspondieran si se vulnera esa confidencialidad durante el periodo de hasta cinco (05) años después de concluido el servicio. Al inicio del servicio el contratista presentará una declaración jurada de confidencialidad de acuerdo a lo descrito en los párrafos anteriores.

2. PROPIEDAD INTELECTUAL

EL CONTRATISTA cederá los derechos de autor y la propiedad intelectual a PETROPERÚ de toda la documentación elaborada por el presente servicio, absteniéndose de registrar o comercializar parcial o totalmente la documentación entregada. Al inicio del servicio el contratista presentará una declaración jurada de propiedad intelectual de acuerdo a lo descrito en el párrafo anterior.

3. FORMATO DE DECLARACIÓN JURADA DE CUMPLIMIENTO DEL ANEXO BT N° 04- ACUERDO DE CONFIDENCIALIDAD

Lugar,…….., de de 2021

Señores:

Petróleos del Perú – PETROPERU S.A. Presente. -

Ref.: Proceso

Servicio de Herramientas de Colaboración y Productividad para PETROPERÚ

(Nombre del Postor), con R.U.C. N° ……………, con domicilio legal en ,

teléfono..............., e-mail....................……......................, identificado con D.N.I. N° ,

declaramos bajo juramento lo siguiente:

Cumpliremos con el Anexo BT N° 4 y con la Política Corporativa, Reglamento y Procedimientos de Seguridad de la Información de PETROPERÚ, guardar confidencialidad y reserva de la información a la que acceda en virtud del presente contrato, y reportar de inmediato cualquier irregularidad de seguridad de la información detectada.

No mantener el riguroso cuidado de los activos de información de PETROPERÚ otorgados para su uso, ni avisar a tiempo xx xxxxxx en los mismos al área de Tecnologías de Información de la dependencia donde suministra servicios, es considerado un incumplimiento de la Política Corporativa, Reglamento y Procedimientos de Seguridad de la Información de PETROPERÚ.

…………………………………………….. Representante Legal del Postor

Razón Social o DNI

Anexo BT N° 05 - GESTIÓN DE CAMBIOS AL CONTRATO

1. Solicitud de Cambio al Contrato

Un cambio al Contrato podrá ser iniciado a solicitud de cualquiera de las partes. Para asegurar un tratamiento formal, se usará una comunicación escrita indicando como mínimo, el siguiente contenido:

• Identificación del solicitante del cambio.

• Descripción del cambio.

• Justificación y conveniencia del cambio.

• Descripción de los componentes de los servicios afectados.

2. Calificación del Cambio

Las solicitudes de cambio al contrato serán manejadas por el Jefe de la Unidad Infraestructura y Servicios TIC. El Gerente del Servicio de EL CONTRATISTA efectuará un análisis técnico- económico preliminar para calificar el cambio de acuerdo con su magnitud e impacto en los cargos o términos y condiciones de los Servicios. Si existe un impacto en los costos, se determinará el monto que EL CONTRATISTA facturaría en forma adicional o restituiría a PETROPERÚ según el caso, en base a la propuesta económica presentada.

Calificaciones posibles:

2.1. Cambio Menor

Si el requerimiento está enmarcado en el alcance de lo establecido en el Contrato y no afecta los costos. Será aprobado por el Jefe de la Unidad Infraestructura y Servicios TIC.

2.2. Cambio Medio

Si el requerimiento afecta el alcance de lo establecido en el Contrato, pero no afecta los costos. Será aprobado por el Jefe de la Unidad Infraestructura y Servicios TIC.

2.3. Cambio Mayor

Si el requerimiento afecta el costo del servicio. Dicho cambio se tramitará como prestación de adicional o reducción de prestaciones.

Cualquiera de las partes podrá hacer observaciones a la calificación dentro de los tres días hábiles para cambios menores o cinco días hábiles para cambios mayores siguientes a la comunicación formal. De no mediar respuesta en el plazo indicado, esta calificación se dará por aprobada. Será aprobado por el Jefe de la Unidad Infraestructura y Servicios TIC.

3. Manejo del Cambio

Cada nivel de cambio se manejará siguiendo la siguiente secuencia de actividades:

3.1. “Cambio Menor”

• El Gerente del Servicio de EL CONTRATISTA comunicará formalmente a su contraparte el Jefe de la Unidad de Infraestructura y Servicios TIC que el cambio solicitado es un CAMBIO MENOR.

• Aprobada la calificación como CAMBIO MENOR, éste pasará a formar parte del plan de trabajo y el Gerente del Servicio o encargados de ejecutar el servicio, se asegurarán de su cumplimiento.

3.2. “Cambio Medio”

• El Gerente del Servicio de EL CONTRATISTA comunicará formalmente a su contraparte el Jefe de la Unidad Infraestructura y Servicios TIC que el cambio solicitado es un CAMBIO MEDIO.

• El Gerente del Servicio de EL CONTRATISTA preparará un informe con el análisis que sustente que el cambio no impactará en los costos del proyecto y es equivalente en costos al alcance solicitado inicialmente.

• Aprobada la calificación como CAMBIO MEDIO, éste pasará a formar parte del plan de trabajo y el Gerente del Servicio o encargados de ejecutar el servicio, se asegurarán de su cumplimiento.

3.3. “Cambio Mayor”

Para los “CAMBIOS MAYORES” se aplicarán los siguientes lineamientos:

a) El SOLICITANTE preparará una propuesta técnica, económica y legal del cambio solicitado, la cual será entregada y sustentada formalmente al Jefe Unidad Infraestructura y Servicios TIC para evaluar su viabilidad.

b) Dentro de los diez días de recepción de la propuesta de cambio, Jefe Unidad Infraestructura y Servicios TIC evaluará la viabilidad de la misma.

c) Si la solicitud de CAMBIO MAYOR fue originada por PETROPERÚ, EL CONTRATISTA comunicará por escrito a PETROPERÚ su opinión respecto al cambio propuesto y su efecto. Esta opinión no será determinante para la decisión de realización del cambio.

d) La decisión del cambio corresponde al Jefe Unidad Infraestructura y Servicios TIC. Las alternativas de decisión serán notificadas por escrito, pudiendo ser:

✓ Aceptada, con lo que el CAMBIO MAYOR pasará a formar parte del plan de trabajo y será incorporado al Servicio; el Gerente del Servicio o encargado de ejecutar el servicio, se asegurarán de su cumplimiento.

✓ Rechazada, en cuyo caso quedará documentadas las razones por las cuales fue rechazado.

e) De estar pendiente un acuerdo para implantar un CAMBIO MAYOR, EL CONTRATISTA procederá según los términos y condiciones vigentes en el Contrato.

Todos los adicionales y reducciones se realizarán conforme lo establecido en el Reglamento de Contrataciones de PETROPERÚ y Cuadro de Niveles de Aprobación de Contrataciones de PETROPERÚ vigente.

Todos los cambios quedarán documentados.

Anexo BT N° 06 – PENALIDADES

Las penalidades contempladas podrán ser aplicadas en cualquier momento desde el inicio del Contrato hasta la liquidación del mismo, las cuales serán pagadas por el CONTRATISTA previa emisión de la correspondiente Nota de Débito o descontadas por PETROPERÚ de cualquier factura pendiente de pago al CONTRATISTA o del monto de la ejecución de la garantía de fiel cumplimiento.

Las penalidades serán aplicadas sin perjuicio de la ejecución de la(s) Garantía(s), de la aplicación de otras penalidades pactadas contractualmente, de la resolución del contrato, de la responsabilidad civil o de las acciones legales que correspondan.

Para la aplicación de la penalidad, PETROPERÚ informará por escrito al CONTRATISTA, el mismo que tendrá un período de cinco (5) días naturales para efectuar su descargo. En caso amerite por la complejidad del caso presentado, el CONTRATISTA podrá solicitar que dicho plazo se prorrogue, no excediendo de los 10 días naturales. Si el descargo presentado por EL CONTRATISTA no es aceptado por PETROPERÚ, sin perjuicio de la corrección o subsanación del hecho que motivó la penalidad, PETROPERÚ lo pondrá en conocimiento del CONTRATISTA, procediendo a ejecutar la penalidad correspondiente.

Entiéndase por xxxxxxxx, el informe presentado por el CONTRATISTA en donde sustenta con documentos probatorios, que los motivos o causas del hecho que se pretende penalizar, no son atribuibles al mismo o escapa a su responsabilidad contractual. No se aplicará penalidades sólo si PETROPERÚ considera que el descargo presentado por el CONTRATISTA, está adecuadamente sustentado con documentos probatorios [todo medio válido para probar un hecho).

PETROPERÚ podrá realizar inspecciones de todo proceso involucrado en los servicios solicitados en los términos de referencia y acordados durante la ejecución del contrato, según estime conveniente, sin previo aviso, por su cuenta o a través de terceros, para verificar el estricto cumplimiento del servicio.

El informe de inspección podrá ser remitido al CONTRATISTA, el mismo que tendrá un plazo de setenta y dos (72) horas para presentar su descargo, el cual contendrá un plan de acción de medidas correctivas que deberán implementarse en un plazo máximo de 10 días naturales, vencido dicho plazo PETROPERÚ estudiará, de ser el caso, la aplicación de las penalidades a que hubiera lugar. Las inspecciones realizadas permitirán evaluar la calidad del servicio prestado, lo que incluirá la detección de errores e irregularidades.

Anexo BT N° 07 - HOJA DE VIDA DEL PERSONAL PROPUESTO

Propuesto para el Puesto de:

INFORMACIÓN PERSONAL

Nombre
Dirección
Teléfono
Nacionalidad
Documento de Identidad
Fecha de nacimiento	(Día/mes/año)

FORMACIÓN ACADÉMICA (iniciar por el más reciente)

Nombre y tipo de organización que ha impartido la educación o la formación
Título o grado obtenido
Principales materias o capacidades ocupacionales tratadas relacionadas a la actividad

EXPERIENCIA PROFESIONAL (iniciar por el más reciente)

Fechas (de – a)
Razón social del empleador
Tipo de empresa o sector
Puesto o cargo ocupados
Principales actividades y responsabilidades

INFORMACIÓN ADICIONAL

(Incluir aquí cualquier información que considere importante, como idiomas, referencias)

Por medio de la presente Yo (nombre del personal propuesto)… , con DNI/CE

N°… , autorizo a la empresa ( indicar el nombre del Postor) así como a PETROPERÚ en el

uso de mis datos personales para el presente proceso de contratación.

Atentamente

Nombres y Apellidos, firma (igual al DNI/CE)

ANEXOS

(Se presentará los documentos solicitados en el Anexo BT N° 03 relacionado al Personal, tales como constancias de trabajo, certificados, entre otros).

Anexo BT N° 08 - MODELO DE CARTA DE COMPROMISO DE CONFIDENCIALIDAD

San Xxxxxx,……de… de 2021

Señores

Petróleos del Perú - PETROPERÚ S.A. Ciudad.-

Referencia: Proceso

Servicio de Herramientas de Colaboración y Productividad para PETROPERÚ De mi consideración:

Por medio de la presente Yo (indicar nombre del personal asignado al servicio)……………………….., con DNI/CE N°…………….…., trabajador de la empresa ,

domiciliado en ……………………………, manifiesto mi compromiso de respeto a la confidencialidad de la información a la que tenga acceso como parte del servicio brindado en merced al Contrato N° (indicar el número del contrato) , mediante el cual me obligo

a mantener toda la información recibida, protegida y en secreto, incluso después de concluida la relación contractual entre (indicar nombre de la empresa) y PETROPERÚ S.A. o

entre (indicar nombre de la empresa) y el suscrito.

Atentamente,

---------------------------------------------- -------------------------------------------

Nombre y firma del personal asignado Nombre y firma del representante

Número de DNI Legal de la Empresa

Anexo BT N° 09 – PROPUESTA ECONÓMICA

Partida N°

Concepto

Unidad

Cantidad Inicial (CI)

Cantidad Presupuestada (CP)

Costo Unitario Mensual con IGV

(CUM)

Costo Unitario Anual con IGV (CUA)

Costo por 12 meses (US$con IGV)

Suscripción E1

Usuarios

2,800

3,091

---

Suscripción E3

Usuarios

---

Suscripción de Capa de

Seguridad.

Usuarios

2,824

3,141

---

Suscripción

Power BI Pro

Usuarios

220

264

---

Conectores Premium (Power Automate per

Flow plan)

Usuarios

---

Antivirus (Anual)

Usuarios

---

Win 10 Pro (Licencia

Perpetua)

Usuarios

---

Licenciamiento Backup de la

Información

Unidad

---

Implementación Servicio Backup de la información

Unidad

---

Administración, gestión del

servicio

Usuarios

---

Costo Total US$ con IGV

Nota:

• La propuesta económica estará basada en la cantidad presupuestada.

• La cantidad inicial es la que se brindará el 1er mes, y que de acuerdo con la demanda que se presente en el servicio, podrá subir o bajar, de acuerdo a los requerimientos de PETROPERU. En todo momento se pagará la cantidad real de servicios recibidos.

• En la partida 5 el postor deberá considerar el costo unitario mensual de Power Automate per Flow Plan, sólo para efectos de la propuesta económica. Durante la ejecución del servicio se podrán utilizar otros conectores premium distintos según requiera PETROPERU, para lo cual el Contratista al inicio de la fase 2 deberá indicar los costos correspondientes de los distintos conectores premium.

• En la columna “Costo por 12 meses (US$ con IGV)” se debe colocar:

- Para las partidas 1, 2, 3, 4, 5, 8, 10: (CP)x(CUM)x12

- Para la partida 6, 7 y 9: (CP)x(CUA)

- Respecto a la partida 8 en la columna “CUA” deberá el costo unitario de pago único dado que es licencia perpetua.

Anexo BT N° 10 – POLÍTICA DE GESTIÓN INTEGRADA

1. POLÍTICA INTEGRADA

2. FORMATO DE DECLARACIÓN JURADA DE CUMPLIMIENTO DE LO ESTABLECIDO EN LA POLÍTICA DE GESTIÓN SOCIAL Y POLITICA DE GESTION INTEGRADA DE LA CALIDAD, AMBIENTE, SEGURIDAD Y SALUD EN EL TRABAJO DEL ANEXO BT N° 10

Lugar,…….. de de 2021

Señores:

Petróleos del Perú – Petroperú S.A. Presente.-

Ref.: Proceso

Servicio de Herramientas de Colaboración y Productividad para PETROPERÚ

……………………………………………….. , con R.U.C. Nº , con domicilio

legal en……………………………………..– ………………..– ………………….. - Lima, teléfono

…………………., e-mail …………………………………., debidamente representada por

……………………………….., con D.N.I N° ………………….., declaramos bajo juramento que nos comprometemos a cumplir lo establecido en la Política de Gestión Social y Política de Gestión Integrada de la Calidad, Ambiente, Seguridad y Salud en el Trabajo, Anexo BT N° 10 de las Bases.

Representante Legal del postor / Postor Razón Social o DNI

Anexo BT N°11 – CAPACITACIÓN Y DESARROLLO DE APLICACIONES

El Contratista deberá brindar talleres/capacitaciones al personal de PETROPERU. Se estima un promedio de 250 horas durante el transcurso del contrato.

Dentro de esta bolsa de 250 horas anual se realizarán talleres/capacitaciones de los siguientes tipos, según requerimientos de PETROPERU:

- Tipo Técnica y de Consultorías para usuarios claves (definido como campeones) de distintas Gerencias de áreas, y personal del Dpto. Tecnologías de Información, para el desarrollo de aplicaciones y flujos haciendo uso principalmente de Power Apps, Power Automate, Power BI, Share Point, Forms, y Agentes Virtuales Inteligentes. Como parte de la estrategia se considera talleres avanzados con los Campeones o agentes de cambio proponiendo casos de uso novedosos de la suite de Office 365 mínimo 1 vez al mes haciendo el preparativo y la campaña en el grupo TEAMs que se tiene con ellos, asimismo deberá enviar información constante para el autoaprendizaje remitiendo links e ingresándolos a la comunidad de Microsoft para el desarrollo de sus habilidades técnicas.

- Tipo Estándar, para usuarios en general en las distintas herramientas de la xxxxx xx Xxxxxx 000.

El Contratista deberá realizar el desarrollo de 10 aplicaciones, o casos de uso con los analistas funcionales de PETROPERÚ que conocen las reglas del proceso o negocio, lo cual deberá ser transferido gradualmente a los analistas funcionales para que se apropien de este desarrollo y puedan realizar su mantenimiento o modificaciones posteriores luego de su finalización.

Para estos desarrollos el Contratista deberá considerar los conectores premium con el fin de brindar las aplicaciones sin restricciones, considerando los conectores premium para conexión con SAP de forma bidireccional (incluye también portal SAP), Sistcorr, Firma Digital, Digitalización de Documentos, Active Directory, visualización previa de archivos pdf, Word, Excel, PowerPoint, los cuales estarán incluidos en la partida 5 del Anexo BT N° 09.

Las capacitaciones y talleres serán dados de forma remota, en el horario de trabajo de PETROPERU. Es responsabilidad de PETROPERÚ de asegurar la asistencia de todos los participantes, pero es parte de la estrategia planteada en el plan por el proveedor, de acuerdo a su experiencia en gestión del cambio y adopción tecnológica el como enfocar y abordar a los usuarios.

El Contratista deberá generar un portal con información de autoservicio para el personal de la empresa, que contenga una buena Gestión del Contenido Digital y actualizado con información de las distintas herramientas de la Xxxxx xx Xxxxxx 000, guías de uso, tips, y de las capacitaciones que realicen (incluye grabaciones de reunión).

Anexo BT N°12 – ACUERDOS DE NIVELES DE SERVICIO

1. Definiciones para los Niveles de Servicio

Acuerdo de Niveles de Servicio (SLA): Se refiere a los indicadores de desempeño a utilizarse, de tal manera que permitan aceptabilidad y posibilidad de comparación con pares de la industria.

Una vez determinados, PETROPERÚ y EL CONTRATISTA procederán a oficializarlos mediante la firma de un documento de acuerdo.

Valor Objetivo: Es el valor de la métrica deseado durante el período de soporte. Si el valor de la métrica es mayor o igual al valor establecido, PETROPERÚ considerará que EL CONTRATISTA está brindando un servicio con la calidad esperada (Color Verde).

Zona de Tolerancia: Rango entre el Límite Inferior y el Valor Objetivo en el cual no se aplican penalidades.

Si el valor de la métrica es menor que el Valor Objetivo y mayor o igual al Valor del Límite inferior, EL CONTRATISTA garantiza la operatividad, pero no cumple con los objetivos establecidos (Color Naranja).

Límite Inferior: Valor mínimo permitido de la métrica en el cual PETROPERÚ considerará que EL CONTRATISTA está brindando un servicio razonable para garantizar la operatividad, pero no cumple con los objetivos establecidos. En caso de que alguna de las métricas sea menor al Límite Inferior establecido, PETROPERÚ aplicará penalidades según lo indicado en el numeral 13. Penalidades.

Métricas: Son las variables e indicadores que servirán para la evaluación de desempeño del CONTRATISTA, a excepción de aquellas variables e indicadores denominados informativos, sobre los cuales EL CONTRATISTA tendrá la responsabilidad de actualizar, informar y utilizar para su gestión.

Los acuerdos de niveles de servicio deben ser claramente definidos, medibles, revisables y corregibles. El proceso de medición será automatizado aunque las mediciones manuales no serán eliminadas en la medida que puedan ser realizadas de una manera flexible y rápida. Si la medición no conduce a ninguna acción concreta, entonces la misma será revisada y cambiada.

Horarios: Todas las referencias a horarios (por ejemplo, 07:30 horas) se hacen con relación a la hora de Perú y en los SLA’s hacen referencia a los horarios de atención de los servicios.

2. Contexto del Servicio brindado

El Servicio brindado tiene 2 componentes importantes:

• Servicio modalidad SaaS (software as a service): Dada por los fabricantes o grandes proveedores de nube donde el cumplimiento de los SLA de la plataforma de nube no depende del CONTRATISTA. Para nuestro caso tendremos los siguientes servicios SaaS:

o Servicio SaaS de la suite de Colaboración y Productividad de Microsoft.

o Servicio SaaS de la suite de Seguridad propuesta por el Contratista.

Para este caso se debe reportar desde la misma plataforma del proveedor de nube las métricas de disponibilidad con el detalle respectivo, ya que esto debe ser traducido en la misma proporción en créditos para beneficio de PETROPERÚ, las cuales puede usarse en cualquier momento del servicio o en su defecto aplicar los descuentos en la misma proporción de la afectación respecto a la disponibilidad.

Los eventos de indisponibilidad que no estén registrados en la plataforma del proveedor de nube son responsabilidad del CONTRATISTA, ya que ellos son los que administrarían el TENANT de PETROPERÚ, siendo necesarios que estos se encuentren explicados y sustentados en los informes y en la Herramienta Máximo, ya que esto se hace visible con el reporte de todos los usuarios hacia la Mesa de Ayuda.

Es necesario que se entregue el documento completo de contrato de SLA del proveedor de nube, y que cualquier afectación o incumplimiento se traduzca en créditos o descuentos a PETROPERÚ de acuerdo con las políticas del mismo proveedor de nube.

• Servicio dados directamente por el Contratista: Estas actividades son directamente dadas por el CONTRATISTA por medio de sus especialista y recursos asignados, de los cuales tenemos:

o Servicio de Implementación de la Suite de Microsoft.

o Servicio de Administración y Gestión de toda la Suite de Microsoft y de la de Seguridad propuesta.

o Servicio de Capacitación y Desarrollo de Aplicaciones.

3. Acuerdos de Niveles de Servicio

Los acuerdos de niveles de servicio que se detallen a continuación son para todos los temas que son de responsabilidad directa del CONTRATISTA y son a los que se aplican penalidad.

DISP(X) – Disponibilidad del Sistema

El porcentaje de disponibilidad, para la suite de Microsoft 4 (SaaS) o de la capa de Seguridad propuesta por el CONTRATISTA (en modo SaaS), se mide en forma mensual y se calcula de la siguiente manera:

DISP(X) = (MDISP(x) - DWT(x)) / MDISP(x) * 100

DISP(X) Porcentaje de disponibilidad del servicio SaaS (x) al mes

MDISP(x) Cantidad en minutos de disponibilidad al mes

DWT(x) Cantidad en minutos de indisponibilidad al mes

En e caso de indisponibilidad por usuario se considera el tiempo en minutos multiplicado por el factor 0.0005, es decir sería igual= ∑Un x Tnmin x 0.0005, en donde Un: Usuario n y Tnmin: Tiempo de indisponibilidad de usuario n.

Prioridad	Valor Objetivo	Límite Inferior	Xxxxx Xxxxxx
DISP(X)	99.9%	99.0%	95.0%

Se considera x= 1 para el SaaS de Microsoft

Se considera x=2 para el SaaS de la capa de Seguridad propuesta por el CONTRATISTA.

Debe entenderse que estas indisponibilidades se deben a todos los eventos imputables al CONTRATISTA y no al proveedor de nube, las cuales se verificarán en la página del proveedor de nube o mediante informe del mismo proveedor de nube.

AINC(X) – Atención de Incidencias

El porcentaje de atención de incidencias, para todos los ambientes, se mide en forma mensual y se calcula de la siguiente manera:

AINC (X) = (CI2NP(X) / CI2N(X)) * 100

AINC (x) Porcentaje del total de incidencias para la prioridad (x) cuyo tiempo de intervención(x) es mayor al límite establecido.

CI2NP(x) Cantidad de incidentes de Prioridad (x) que exceden el tiempo transcurrido. El tiempo transcurrido es el tiempo entre que se reporta la

4 En caso del no cumplimiento del SLA de disponibilidad, y que la causa sea directamente del proveedor de nube deberá calcularse los créditos a favor de PETROPERÚ (siendo necesario para ello que también comparta el Contrato de Nivel de Servicio para Servicios Online del proveedor de nube), solo en este caso que no está bajo el control del Contratista no se aplicará la penalidad. En los demás casos donde haya responsabilidad del Contratista si serán aplicados las penalidades correspondientes.

xxxxx a EL CONTRATISTA y el inicio de la Acción Correctiva.

CI2N(x) Cantidad de Incidencias de Prioridad (x).

Prioridad	Valor Objetivo	Límite Inferior	Xxxxx Xxxxxx
%AINC(x)	0%	3%	5%

CI2N será un indicador mensual.

Prioridad

Limite

Clasificación

Tipo de Eventos

1 Hora

Muy alta: Sin Servicio

Impacto Crítico

Consecuencias muy graves.

Como: Plataforma Fuera de Servicio por más de 15 minutos.

2 Horas

Alta:

Problema Mayor Alto Impacto

Consecuencias graves Como: Servicio alterado,

Funcionalidad o módulo que impida a una gran cantidad de usuarios trabajar con normalidad

4 Horas

Media: Problema Menor Medio Impacto

Consecuencias de impacto medio Como: Servicio parcialmente alterado, Funcionalidad o módulo que no funcione con normalidad

8 Horas

Baja:

No hay interrupción del servicio

Sin Impacto

Consecuencias de impacto bajo Como: Evento sin impacto para el trabajo de los usuarios.

TAR – Tiempos de Atención de Consultorías.

El porcentaje de atención de consultorías, desde que fue solicitada hasta el tiempo de respuesta de especialista.

CRMP= (CRNP / CRP) * 100

CRMP Porcentaje del total de requerimientos cuyo tiempo de atención es mayor a las 24 horas.

CRNP Cantidad de requerimientos de consultorías que exceden las 24 horas en su atención. El tiempo transcurrido es el tiempo entre que se reporta el requerimiento a EL CONTRATISTA y el tiempo de respuesta del especialista.

CRP Cantidad de requerimientos de consultoría.

Prioridad	Valor Objetivo	Límite Inferior	Xxxxx Xxxxxx
%CRMP	0%	3%	5%

Consultoría: Solicitud de servicios de configuración, mantenimiento y/o asesoramiento en soluciones Microsoft y de la capa de seguridad propuesta. También se considera todos los requerimientos relacionados al servicio de gestión del cambio y adopción tecnológica.

Anexo BT N°13 – GARANTÍAS

EL CONTRATISTA deberá entregar una Garantía de carta fianza de Fiel Cumplimiento de sus obligaciones contractuales, la cual deberá presentar para la emisión de la Orden de Trabajo a Terceros, la que deberá ser emitida por una suma equivalente al diez por ciento (10%) del monto contractual y tendrá vigencia hasta la conformidad de la recepción de la totalidad de la prestación a cargo de EL CONTRATISTA. Esta carta fianza deberá estar vigente durante todo el tiempo de ejecución del presente contrato (1 año y 15 días). Se puede aceptar de manera excepcional la presentación de carta Fianza con vigencia de un (01) año, con el compromiso de que su vigencia sea renovada hasta la conformidad de la culminación de la prestación de la Orden de Trabajos a Terceros. De extenderse el servicio, la Garantía será renovada en los mismos términos y condiciones.

De extenderse el servicio, la Garantía será renovada en los mismos términos y condiciones.

La Carta Fianza tendrán la condición de solidaria, irrevocable, incondicional, de realización automática y sin beneficio de excusión, al solo requerimiento de PETROPERÚ, bajo responsabilidad de las entidades que las emiten, la misma que deberá estar dentro del ámbito de supervisión de la Superintendencia de Banca y Seguros y AFP o estar consideradas en la última lista de Bancos Extranjeros de primera categoría que periódicamente publica el Banco Central de Reserva del Perú.

Anexo BT N°14

Prevención xx Xxxxxx de Activos y Financiamiento del Terrorismo, de delitos de Corrupción y de Soborno

(aplicable a los proveedores para la adquisición de hidrocarburos, biocombustibles y otros bienes, contratación de servicios y obras nacionales e internacionales; sean personas naturales o jurídicas de Derecho Privado nacional o internacional)

“Prevención xx Xxxxxx de Activos y Financiamiento del Terrorismo, de delitos de Corrupción y de Soborno:

En virtud de la presente cláusula, el Contratista declara haber recibido y leído la Política de Prevención xx Xxxxxx de Activos y Financiamiento del Terrorismo, de Delitos de Corrupción y de Gestión Antisoborno de PETROPERÚ adjunta al presente contrato; manifestando comprenderla y comprometiéndose a cumplirla, conjuntamente con sus socios o asociados, directores, integrantes de los órganos de administración, representantes legales, apoderados, y toda persona natural o jurídica que actúa por su cuenta o beneficio, por su encargo o en su representación; con énfasis en los siguientes aspectos:

1. Utilizar recursos en la ejecución del presente contrato y la totalidad de pagos o cualquier otra transferencia de recursos, incluyendo garantías reales, efectuadas en favor de PETROPERÚ S.A., que proceden de fondos lícitos.

2. No incurrir en delitos xx Xxxxxx de Activos, Financiamiento del Terrorismo, o Corrupción bajo las formas de: Cohecho Activo Genérico, Específico o Transnacional, Tráfico de Influencias, Colusión Simple o Agravada, entre otros delitos que las leyes de la materia establezcan, tales como la Ley N° 30424 y sus normas modificatorias, en relación con la celebración y la ejecución del presente contrato.

3. No realizar, ofrecer, autorizar, solicitar o aceptar cualquier pago indebido o ilegal o, en general, cualquier beneficio indebido o ilegal o soborno, en relación con la celebración y la ejecución del presente contrato.

4. Que ni el, ni sus socios o asociados (con la titularidad del 10% o más de acciones o participaciones), directores y gerentes: a) Tienen condena, mediante sentencia firme, por delito xx Xxxxxx de Activos, Financiamiento del Terrorismo, delitos precedentes como Narcotráfico, Delitos Tributarios o Aduaneros, Minería Ilegal, Corrupción u otros que genere ganancias ilegales; Cohecho Activo Genérico, Específico y Transnacional, Tráfico de Influencias, Colusión Simple y Agravada o Soborno; en el ámbito nacional o internacional;

b) Se encuentran comprendidos en la Lista OFAC (Oficina de Control de Activos Extranjeros del departamento xx Xxxxxx de los Estados Unidos de América), Lista de Terroristas del Consejo de Seguridad de las Naciones Unidas, Lista relacionada con el Financiamiento de la Proliferación xx Xxxxx de Destrucción Masiva emitida por el Consejo de Seguridad de las Naciones Unidas.

5. Prevenir el soborno, adoptando medidas técnicas, organizativas o de personal apropiadas para evitar acto o práctica indebidos o conductas ilícitas; en la materia sobre la que versa el presente contrato.

6. Poner a disposición de PETROPERÚ S.A. información veraz y completa, y en caso ésta sufra variaciones, presentar la información actualizada en un plazo de quince (15) días hábiles. PETROPERÚ S.A. puede solicitar la información que considere pertinente en cumplimiento de la legislación xx xxxxxx de activos y financiamiento del terrorismo.

7. Comunicar a PETROPERÚ S.A. y las autoridades competentes, de manera directa y oportuna, cualquier acto o práctica indebidos o conductas ilícitas de la que tuviera conocimiento en relación con la celebración y la ejecución del presente contrato.

PETROPERÚ S.A. puede resolver en cualquier momento el presente Contrato de pleno derecho, mediante notificación escrita al Contratista si, respaldado por evidencias, considera que el Contratista ha incumplido cualquiera de los compromisos mencionados en esta cláusula, situando a PETROPERÚ S.A. frente a un riesgo legal, patrimonial o reputacional o que pueda generarle sanciones administrativas, civiles, penales; sin perjuicio de que PETROPERÚ S.A. brinde información a las autoridades competentes e inicie las acciones legales pertinentes, incluyendo las indemnizatorias que resulten aplicables”.

Anexo BT N°15 - CLÁUSULA SISTEMA DE INTEGRIDAD

“El Sistema de Integridad tiene como finalidad gestionar la ética e integridad en PETROPERÚ, asumiendo un compromiso con las normas del sistema, así como fortalecer la cultura ética basada en la política de tolerancia cero frente al fraude, a la corrupción y a cualquier acto irregular, proporcionando así las directrices a seguir para desarrollar acciones preventivas y detectar actos irregulares.

En ese sentido, el CONTRATISTA/CLIENTE se obliga al cumplimiento de lo dispuesto en: i) el Código de Integridad de PETROPERÚ; ii) la Política Corporativa de Integridad y Lucha contra la Corrupción yel Fraude; y, iii) los lineamientos del Sistema de Integridad, en lo que le sea aplicable a las obligaciones a su cargo.

El Código de Integridad de PETROPERÚ, la Política Corporativa de Integridad y Lucha contra la Corrupción y el Fraude, así como los Lineamientos del Sistema de Integridad se encuentran publicados en el portal de PETROPERÚ, en el siguiente enlace: xxxxx://xxx.xxxxxxxxx.xxx.xx/xxxx-xxxxxxxxxxxxxxxxxxx/xxxxxxx-xxxxxxx-xx-xxxxxxxxxx/ ”

Document Metadata

Table of Contents

CONDICIONES TÉCNICAS

Document Metadata