BASES DE CONCURSO PARA SERVICIOS Y/O CONSULTORÍA CÓDIGO DE CONTRATACIÓN: BPCS- COM-2022-003 COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA. OBJETO DE CONTRATACIÓN: SERVICIO DE ANTI PHISHING Y CONTROL DE ABUSO DE MARCA EN INTERNET Y REDES SOCIALES

Se convoca a las personas naturales o jurídicas, nacionales, asociaciones de éstas o consorcios o compromisos de asociación, legalmente capaces para contratar, a que presenten sus ofertas para el “Servicio de Anti Phishing y Control de abuso de marca en internet y redes sociales”.

Las condiciones de esta convocatoria son las siguientes:

Las bases y sus anexos están disponibles, sin ningún costo, en la página web de la Cooperativa xxxxx://xxx.00xxxxxxxxx.xxx.xx

La oferta técnico-económica debe presentarse de forma integral por la totalidad de la contratación.

La Cooperativa de Ahorro y Crédito se reserva el derecho de cancelar o declarar desierto el procedimiento de contratación, situación en la que no habrá lugar a pago de indemnización alguna.

Quito, martes, 14 xx xxxxx de 2022

Atentamente,

GERENCIA GENERAL

COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA.

SECCIÓN II

INFORMACIÓN GENERAL

FECHA:	martes, 14 xx xxxxx de 2022
	SI
JUSTIFICACIÓN Y OBJETIVOS:	JUSTIFICACIÓN: Contratar el servicio de Anti Phishing y Control de abuso de marca en internet y redes sociales, en función de cumplir con el marco normativo de la Superintendencia de Economía Popular y Solidaria (SEPS), el cual especifica en el numeral a, del literal “3. Servicios financieros a través de internet”, del Artículo “10.- Medidas operativas específicas por terminal electrónico”, de la Resolución No. SEPS-IGT-IR-ISF-ITIC-IGJ-2017-103, lo siguiente: “a) Implementar mecanismos que permitan detectar la copia de los diferentes componentes de su sitio web, verificar constantemente que no sean modificados sus enlaces (links), suplantados sus certificados digitales, ni modificada indebidamente la resolución de sistema de nombres de dominio;” OBJETIVO: Minimizar el riesgo de suplantación de identidad y uso no adecuado de la marca de la Cooperativa 29 de Octubre. OBJETIVOS ESPECÍFICOS: Monitorear el uso de la marca de la Cooperativa 29 de Octubre en internet y redes sociales Realizar alineamiento normativo Realizar el cierre de observaciones de auditoría Minimizar casos de estafa a socios y clientes ante suplantación de identidad de la Cooperativa Evitar afectación a la imagen institucional
Lugar en donde se prestarán los servicios:	Edificio Administración Central, ubicado en la Cooperativa 29 de Octubre, Matriz Cañaris OE 6-140 y Av. Xxxxxxxx Sucre
PLAZO DE EJECUCIÓN DE CONTRATO:
Ejecución del contrato inicia en:	Desde la firma del contrato
Plazo del contrato	1 año calendario
En caso de escoger la opción "Desde cualquier otra condición de acuerdo con la naturaleza del contrato" Detallar la condición:
FORMA DE PAGO:
Forma de Pago:	Pago 30 días previa suscripción del Acta Entrega Recepción
En caso de escoger la opción "Otra" (determinar la forma de pago):
OBLIGACIONES DEL CONTRATISTA:
Cumplir con el cronograma de implementación, acordado entre las partes previo al inicio del proyecto Cumplir con el SLA establecido para el servicio contratado Cumplir con la funcionalidad técnica solicitada, en el presente documento. Xxxxxxx todo el soporte y asesoría necesaria para que el servicio cumpla con el objeto de contratación. La disponibilidad de los recursos necesarios para cumplir con los tiempos que forman parte de la propuesta para entrega del servicio contratado. EL CONTRATISTA será responsable frente a LA COOPERATIVA únicamente por la implementación y por brindar el servicio ofertado, excepto en caso que la suspensión o interrupción se deba a eventos de fuerza mayor o caso fortuito debidamente comprobados; no obstante, EL CONTRATISTA se compromete, aún en tales circunstancias, a actuar con toda diligencia para procurar minimizar los impactos de tales eventos y efectuará todas las acciones conducentes a superar los inconvenientes que se puedan presentar para procurar retomar y continuar con las fases contratadas como parte del servicio. Atender las sugerencias de LA COOPERATIVA relacionadas con la prestación del servicio. Mantener la confidencialidad de la información o documentos que conozcan con ocasión del trabajo a desarrollar, para el efecto declara que toda la información que pudiera conocer de LA COOPERATIVA se considerará información no divulgable. Designar a uno o varios colaboradores debidamente calificados quienes serán los responsables de atender las llamadas consultivas de LA COOPERATIVA y canalizarlos con el fin de dar una solución apropiada, dentro del alcance de soporte de horas post implantación que se va a contratar. Estar y mantenerse como legalmente habilitada para la suscripción y ejecución de este contrato. Cumplir con las obligaciones tributarias propias y laborales con sus dependientes que por ley se requieran para el correcto desarrollo del contrato. Suministrar a LA COOPERATIVA los servicios contratados de acuerdo con el servicio descrito en presente documento y/o Anexos, acatando las disposiciones previstas en la Ley, en el presente documento. Respetar y someterse a las políticas internas de LA COOPERATIVA y en general a todas las leyes que tanto en el Ecuador cuanto en los demás países que regulan el servicio a ser contratado.
OBLIGACIONES DE LA COOPERATIVA:
Proveer de las facilidades técnicas para que el proveedor cumpla con los servicios contratados Cumplir con las condiciones acordadas y en caso de haber temas adicionales, deberá notificar con el tiempo correspondiente para que el proveedor realice el alcance correspondiente Ejecutar los pagos oportunamente a EL CONTRATISTA de acuerdo con la forma de pago definida, en los plazos acordados, el valor correspondiente al servicio suministrado. Suministrar toda la información y facilitar los recursos y colaboración técnica y operativa que requiera para la realización de la labor. Asignar el personal solicitado para el cumplimiento del Objeto del Contrato, el mismo que trabajará conjuntamente con el personal de EL CONTRATISTA. Informarse adecuadamente de las condiciones de los servicios que brinda EL CONTRATISTA, los cuales se rigen por el presente Contrato y las leyes aplicables vigentes, no pudiendo alegar desconocimiento de dichas condiciones contractuales y/o legales. LA COOPERATIVA no podrá usar el servicio objeto del presente contrato, para servicios que puedan ser ilegales, inmorales, o que afecten a las buenas costumbres o el orden público. LA COOPERATIVA, se compromete por medio del presente contrato, a designar, a su cargo, el personal funcional necesario para la definición de los procesos y de implementación del servicio contratado. LA COOPERATIVA declara contar con todos los permisos, autorizaciones o concesiones para la prestación de los servicios propios de su actividad por lo que declara que EL CONTRATISTA únicamente comercializa y presta el servicio. LA COOPERATIVA es responsable de la información que se proporcione como parte de los proyectos y procesos a implementar.
MULTAS:
FASE DE IMPLEMENTACIÓN Y PUESTA A PRODUCCIÓN: Por cada día de retraso en la implementación de las fases del proyecto se aplicará una multa del 1% del valor total del contrato. Los valores por concepto de multas serán descontados de la factura de la citada fase. No habrá lugar a aplicar multas cuando el retardo o incumplimiento se presente por causas imputables exclusivamente a LA COOPERATIVA, debidamente justificadas por el proveedor y por causa de fuerza mayor o caso fortuito, debidamente comprobado, que imposibiliten la ejecución del proyecto. Las multas serán aplicadas siempre y cuando la demora sea imputable al proveedor. FASE DE OPERACIÓN: Por cada incumplimiento a los SLAs, se aplicará una multa del 1% del valor total del contrato. El máximo valor de multas acumuladas al que se puede llegar en la fase de implementación y puesta en producción es del 5%. En el caso de cumplir o sobrepasar el máximo valor de multas acumuladas, LA COOPERATIVA podrá terminar unilateralmente el contrato.

SECCIÓN III

INSTRUCCIONES PARA LOS OFERENTES

A continuación, se detallan las instrucciones y condiciones que regirán el presente concurso, el cual se sujetarán los proveedores al momento de su participación.
CRONOGRAMA DEL CONCURSO
Concepto	Día	Hora
Fecha de publicación de Convocatoria o invitación	jueves, 16 xx xxxxx de 2022	17h00
Fecha límite para efectuar preguntas	martes, 21 xx xxxxx de 2022	17h00
Fecha límite para emitir respuestas y aclaraciones	jueves, 23 xx xxxxx de 2022	17h00
Fecha límite entrega de ofertas	martes, 28 xx xxxxx de 2022	17h00
Las preguntas o aclaraciones deberán ser enviadas al correo: xxxxxxxxx@00xxxxxxxxx.xxx.xx, xxxxxxxxxx@00xxxxxxxxx.xxx.xx; xxxxxxxxxxx@00xxxxxxxxx.xxx.xx con copia a: xxxxxxxx@00xxxxxxxxx.xxx.xx Las respuestas serán publicadas en la página web de la cooperativa dentro de las fechas establecidas para el concurso.
AMPLIACIÓN DE PLAZO PARA ENTREGA DE LAS OFERTAS
La Cooperativa de Ahorro y Crédito “29 de Octubre” Ltda., se reserva el derecho de prorrogar el plazo para la entrega de las ofertas, para lo cual notificará mediante correo electrónico a quienes se hayan presentado su manifestación en participar en el concurso.
FORMA DE PRESENTAR LA OFERTA
La oferta se presentará en sobre cerrado físico, debidamente etiquetado, foliado, anillado o en carpeta y con separadores a nombre de la Cooperativa de Ahorro y Crédito 29 de Octubre LTDA., ubicada en la Xxxxx Xxxxxxx x Xx. Xxxxxxxx Xxxxx, xxxxxx xx Xxxxxxxxx, primer piso Dirección Administrativa – Compras. Los documentos requeridos en este concurso serán parte integrante de la oferta y su incumplimiento podrá ser causal de descalificación La oferta se deberá presentar en un sobre único el cual contendrá la siguiente ilustración: CÓDIGO DEL PROCEDIMIENTO (BPCS-COM-2022-003) ANTI PHISHING Y CONTROL DE ABUSO DE MARCA EN INTERNET Y REDES SOCIALES SOBRE ÚNICO Señor (es): Dirección Administrativa – Compras Cooperativa de Ahorro y Crédito 29 de Octubre Ltda. Presente. - PRESENTADA POR: RUC: NOTAS: No se tomarán en cuenta las ofertas entregadas en otro lugar o después del día y hora fijados para su entrega-recepción. El documento de la oferta debe estar foliado, anillado o en carpeta y ordenado por formularios mediante separadores. La oferta deberá estar en sobre sellado debidamente etiquetado.
FORMULARIOS DE LA OFERTA
El oferente deberá firmar y entregar en su oferta cada uno de los formularios que a continuación se detalla:
Formulario Nro. 1	Carta de Presentación y Compromiso
Formulario Nro. 2	Datos generales del Oferente
Formulario Nro. 3	Documentos habilitantes para participar
Formulario Nro. 4	Oferta Económica
Formulario Nro. 5	Servicios ofertados
Formulario Nro. 6	Experiencia del oferente
Formulario Nro. 7	Personal técnico propuesto para el proyecto/servicio
Formulario Nro. 8	Acuerdo de confidencialidad
Formulario Nro. 9	Garantía seriedad de la oferta
Calificación y debida diligencia de proveedores	La Cooperativa de Ahorro y Crédito 29 DE OCTUBRE LTDA. ha designado a la empresa LOGICA para efectuar el proceso de Calificación de Proveedores, por lo que el proveedor ofertante deberá efectuar el proceso de calificación de manera obligatoria y de forma simultánea a la entrega de su oferta ya que esta formará parte de la evaluación. Se debe anexar la calificación o carta que han iniciado el proceso de calificación. Consultas o inquietudes sobre el proceso de calificación, contactar a: Lcda. Xxxxxxxx Xxxxxxxxxx xxxxxxxxxxx@00xxxxxxxxx.xxx.xx 0963 998 491
DESCALIFICACIÓN DE LAS OFERTAS
La Cooperativa de Ahorro y Crédito “29 de Octubre” Ltda., descalificará las propuestas, por cualquiera de las siguientes causas: Si la oferta no se sujeta o no cumple con los requisitos establecidos para el Concurso. Si alguno de los documentos solicitados no ha sido presentado. Si se hubiera entregado y/o presentado la oferta en lugar distinto al fijado o después de la hora establecida para ello. Si el contenido de los formularios presentados difiere del modelo, condicionándolos o modificándolos, de tal forma que alteren las condiciones previstas para la ejecución del contrato. De igual forma, si se condicionara la oferta con la presentación de cualquier documento o información. Si se presentaran documentos con tachaduras o enmendaduras no salvadas. No se aceptarán excepciones, condicionamientos, rubros no solicitados ni cualquier modificación a las bases del concurso. SI de la revisión de los documentos que fueren del caso, pudiere evidenciarse inconsistencia, simulación o inexactitud de la información presentada. La Cooperativa podrá solicitar al oferente la documentación que estime pertinente y que ha sido referida en cualquier documento de la oferta, no relacionada con el objeto mismo de la contratación, para validar la oferta presentada del procedimiento.


VIGENCIA DE LAS OFERTAS
Las ofertas deberán tener un plazo mínimo de validez de 60 días, contados a partir de la fecha límite para su presentación, el mismo que deberá constar expresamente en la propuesta.
NOTIFICACIÓN DE ADJUDICACIÓN
La Dirección Administrativa a través del área de Compras notificará la adjudicación del contrato al oferente ganador en el término de 5 días posteriores a la aprobación emitida por el nivel correspondiente.

DECLARATORIA DE DESIERTO DEL CONCURSO
Por recomendación de la Gerencia General podrá declararse desierto en los siguientes casos: Por no haberse presentado ninguna oferta; Por haber sido descalificadas o consideradas inconvenientes para los intereses Institucionales; Cuando sea necesario introducir una reforma sustancial que cambie el objeto del contrato; Por deficiencias comprobadas en el desarrollo del proceso. Para la reapertura, se seguirán los procedimientos originales, si a pesar de la reapertura se declarare nuevamente desierto, se podrá ordenar su archivo y se procederá a realizar otro concurso.


FORMALIZACIÓN Y SUSCRIPCIÓN DEL CONTRATO
La suscripción del contrato se realizará dentro de quince (15) días contados desde la fecha de notificación de la adjudicación, dentro del cual el oferente adjudicado debe entregar los documentos habilitantes para la suscripción del mismo y haber cumplido el proceso de calificación y debida diligencia.

GARANTÍAS
El oferente entregará las siguientes garantías: De Fiel Cumplimiento de la Oferta por el 5% del valor ofertado por el proveedor (obligatorio – parte integral de la oferta para todos los participantes). De Fiel Cumplimiento de Contrato por el 5% del valor establecido a la firma del contrato. (obligatorio – únicamente proveedor adjudicado). Los contratistas podrán rendir cualquiera de las siguientes garantías: Garantía Bancaria incondicional e irrevocable de cobro inmediato, otorgada por una institución del sistema financiero ecuatoriano con calificación AA en adelante; Fianza instrumentada en una Póliza de seguro, incondicional o irrevocable, de cobro inmediato emitida por una compañía de seguros establecida en el País con calificación AA en adelante y endosada a favor de la Cooperativa.

SECCIÓN IV

ESPECIFICACIONES TÉCNICAS

Alcance/Servicios esperado

Descripción	Característica	Cumple SI/NO	Observaciones
Características generales	El servicio ofertado para el monitoreo de actividad anómala de phishing, pharming IP, pharming DNS, aplicaciones móviles falsas, monitoreo de dominios similares, suplantación de identidad ejecutiva, uso inapropiado y suplantación de marca, suplantación de perfiles sociales, violación de derechos de autor, robo de propiedad intelectual.
	El servicio debe ser en modalidad 7x24 y en tiempo real para identificar de manera oportuna, alertar y derribar los ataques identificados, así como patrones y comportamientos sospechosos.
	El servicio debe cubrir todo el ciclo de vida de una alerta, desde que se inicia hasta que se soluciona, permitiendo a la institución tener completo conocimiento de la gestión de cada incidente mediante la consola de administración de la solución, así como por medio de alertas mediante correo electrónico.
	El servicio de monitoreo deberá detectar el registro de nuevos dominios en Internet, que guarden semejanza con el sitio protegido.
	La solución deberá proveer la funcionalidad de informaciones forenses de evidencias de ataques documentadas en los tickets
	La solución debe estar en capacidad de monitorear todas las principales tiendas de aplicativos móviles y una amplia gama de tiendas de terceros o no oficiales, con el objetivo de detectar aplicaciones que intenten hacer uso indebido de la marca y/o el nombre de la institución.
	La solución debe estar en capacidad de brindar protección contra Aplicaciones Móviles No Autorizadas, que estén siendo atacadas para robar datos de clientes o para instalar malware, mediante el uso indebido de la marca y/o el nombre de la institución. Por lo tanto, se debe contar con un servicio de identificación y remoción de esas aplicaciones.
	La solución brindada no debe implicar la compra de hardware para el servicio y almacenamiento a la institución
	El proveedor seleccionado debe tener la capacidad de realizar detección de registro de dominios similares al de la marca y mostrar esta información a través de un portal web con la siguiente información como mínimo: -Fecha de alerta -Dominio Similar -Registro MX (indicar si tiene registro MX activo)
	El servicio deberá complementarse con componente humano encargado de monitorear la información obtenida de las redes sociales para identificar la propagación de fraude (captación de credenciales) en estos medios y gestionar su desactivación.
	El servicio deberá contar con funcionalidades de machine learning para analizar la probabilidad de que las URL´s sean phishing o malware, por favor detallar.
	El proveedor seleccionado debe hacer un acompañamiento periódico (por lo menos una vez por trimestre) puesta en producción la solución, de manera de poder detectar posibles mejoras, requerimiento de crecimiento, entre otros.
	La solución debe estar en capacidad de identificar proactivamente, en donde sea posible, la información de personas que hayan sido víctimas de casos de phishing, y hayan entregado en dichos sitios de phishing, información sensible como credenciales o información de tarjetas de crédito.
	En el caso de identificar información sensible de usuarios, el servicio debe garantizar que esta información sea entregada al banco de forma cifrada, de tal forma que solo el banco pueda conocer esta información, y que por ende no sea almacenada por el servicio en claro.
	La solución debe contar con una funcionalidad de monitoreo, protección y prevención contra amenazas en redes sociales (incluyendo monitoreo de perfiles VIP), mostrar menciones de la marca en dichas redes y permitir gestión para desactivación de esas amenazas ante dueños de redes sociales.
Protección en Redes Sociales	El servicio debe monitorear las menciones en redes sociales como Twitter, Facebook y Google+, entre otros, dependiendo de la información que entregue cada una de estas redes sociales, de acuerdo con sus políticas de seguridad.
	La solución deberá permitir la definición de palabras clave definidas por la institución para realizar las búsquedas relevantes de menciones en redes sociales.
	El servicio deberá disponer de una interfaz gráfica donde se registren las publicaciones realizadas en las redes sociales.
	El servicio deberá incluir la detección y desactivación de perfiles y/o cuentas falsas en redes sociales que suplanten la identidad de los funcionarios de alto rango, de la institución, siempre y cuando dichos perfiles estén siendo usados para engañar a los usuarios o propagar fraude.
	El servicio deberá incluir la detección y desactivación de perfiles y/o cuentas falsas en redes sociales que suplanten la identidad de la institución.
Usurpación y suplantación de marca	El servicio ofertado deberá tener la capacidad de realizar detección y desactivación de incidentes que estén haciendo uso de la marca protegida.
Usurpación y suplantación de marca	La desactivación de incidentes se debe realizar tanto en redes sociales como en páginas que de forma no autorizada y de manera ilegal estén haciendo uso de la marca protegida.
Aplicaciones móviles falsas	El servicio ofertado debe tener la capacidad de monitoreo de tiendas oficiales y no oficiales en las cuales se pueda estar propagando aplicaciones de manera no autorizada.
	El servicio ofertado debe tener la capacidad de realizar desactivaciones de aplicaciones incluso si estas son una copia exacta de la original.
	En la información de cada incidente relacionado con aplicaciones se debe proporcionar información adicional como: -Nombre de la tienda -URL de descarga -Nombre del archivo (filename) -Versión de la aplicación - Sistema Operativo (Android o IOS) - Hash (MD5 y SHA256)
Deep y Dark Web	El servicio deberá realizar búsquedas de exposición de datos relacionados con la empresa en la deep & dark web, de forma complementaria con el monitoreo en la surface web. Esta capacidad se debe centrar en las credenciales de cuentas expuestas y/o tarjetas bancarias que se venden en los mercados de la red oscura.
	La información provista puede ser de carácter informativo, pero debe proporcionar información de valor para prevenir el riesgo de fuga de información y exposición de datos en línea, con la cual la organización pueda reconocer su nivel de riesgo de exposición.
	El servicio debe apalancarse en tecnología OSINT para monitorear proactivamente los activos digitales de la organización, tanto en web superficial como deep y dark web. Se deben incluir en este monitoreo sitio como Gitbug, Pastebin, Gitlab, Bitbuck, entre otros.
	El servicio debe cubrir filtración de credenciales de empleados de la empresa en sitios como marketplaces, chat como IRC o Telegram. La información recopilada debe estar disponible en tickets en el portal del servicio.
	El servicio debe cubrir monitoreo de eventos de Typo y Cybersquatting, a través de los cuales los criminales aprovechen errores tipográficos o similitudes en el registro de dominios similares, tanto en surface como deep y dark web.
	Es requerido que el servicio entregue información de fragmentos de código y/o documentos expuestos en la deep y dark web. Se requiere que se entregue un link al repositorio donde se encuentren y que la organización pueda validar el riesgo de exposición.
	Es necesario que la información encontrada en deep y dark web sea expuesta a través del portal del servicio y que se puedan filtrar por los diferentes tipos de eventos.
Consola de Administración	El servicio deberá proveer información de los incidentes y de gestión general mediante una consola web de administración. Esta consola debe permitir hacer seguimiento de cada uno de los incidentes, desde su registro hasta su solución final.
	El servicio debe contar con una consola de administración web, con acceso a varios tipos de usuarios, con diferentes roles.
	La consola debe suministrar información general del servicio mediante un Dashboard. El Dashboard debe permitir visualizar rápidamente información del servicio tal como tickets activos, conexiones analizadas, gráficas de tickets por tiempos, entre otros.
	La consola de administración debe permitir crear un ticket en caso que se detecte un evento por parte de la institución. En la creación del ticket debe permitir asignar un título, una descripción, una URL y asociar tickets que se hayan generado asociados al mismo evento. Así mismo debe permitir agregar archivos adjuntos como evidencia del evento.
	La consola debe permitir a la institución consultar la información consolidada de los tickets históricos. Esta visualización debe poder ser filtrada y organizada por características tales como la fuente de detección, el número del ticket, el tipo de ataque el estado del ticket, entre otros.
	La consola debe permitir visualizar la información histórica de tickets en periodos mensuales, trimestrales, o debe permitir definir un periodo definido por el usuario.
	La consola debe permitir exportar la información en formato CSV.
	La consola debe contar con la posibilidad de crear diferentes tipos de usuarios por parte de la institución, con diferentes tipos de roles, permitiendo definir de forma granular el tipo de notificaciones que puede recibir un usuario.
	La consola debe proveer la capacidad de generar reportes completamente personalizados para la institución. Es deseable que la consola permita a la institución crear plantillas de reportes que puedan ser reutilizados, e inclusive que permitan generar los reportes en background.
	Se requiere que los reportes generados mediante la consola de administración de la solución permitan configurar la periodicidad de su generación.
	Es deseable que la información provista mediante la consola de administración sea posible consultarla mediante un API de forma que pueda ser integrada a plataformas de monitoreo externo propias de la institución.
	La consola de administración debe estar en idioma español. Así como el soporte y sus diferentes canales de comunicación, tales como, correo electrónico, contactos telefónicos.
	El servicio actúa de forma colaborativa con entidades mundiales en la prevención de fraude electrónico para evitar el ingreso a sitios mal intencionados que han sido identificados
	El servicio de monitoreo deberá notificar alertas a través de diversos canales de comunicación, tales como, correo electrónico, portal de administración, entre otros.
	El servicio debe estar complementado mediante una consola de gestión y soporte 7x24x365.
	La solución debe monitorear activamente, de forma opcional, la veracidad del certificado SSL de los dominios protegidos, identificando de forma temprana posibles cambios, caducidad o riesgo con la entidad certificadora.
Source Code Protection	Servicio de identificación de URL solicitantes que pueden usar el código fuente robado del sitio web de la Cooperativa 29 de Octubre. Esto se logra al insertar una línea de JavaScript en la página web original para ofrecer una imagen transparente de 1x1 píxeles transparente. Todas las URL solicitantes serán capturadas y comparadas con una lista de dominios permitidos. Cualquier otra URL que no esté en la lista se enviará al Centro de Operaciones del Proveedor para su verificación
Protección inteligente de Imágenes	Servicio de escaneo de imágenes mediante el cual se debe comparar las imágenes encontradas en el sitio web de la Cooperativa 29 de Octubre y todas las imágenes encontradas en sitios de phishing anteriores, y las compara con las imágenes encontradas al escanear partes de alto riesgo de Internet, como las URL incluidas en el correo no deseado y el escaneo de Sitios web comprometidos o maliciosos. Cualquier coincidencia queda identificada por los analistas de seguridad del Proveedor para una revisión más detallada
Monitoreo de Spam por Phishing	El proveedor deberá utilizar una serie de métodos para monitorear el correo electrónico para detectar incidentes de phishing dirigidos a la marca de la Cooperativa 29 de Octubre.
Monitoreo de sitios web sospechosos y maliciosos	El proveedor deberá escanear todos los sitios web y servidores web maliciosos y comprometidos conocidos para detectar el phishing dirigido a la marca de la Cooperativa 29 de Octubre
Mensajería	Mensajería El servicio debe cubrir los proveedores de tráfico que forman parte de un ataque de phishing (es decir, los sistemas / plataformas / servicios que se utilizan para transmitir los correos electrónicos de phishing). Áreas a cubrir: Direcciones de Email Números de teléfono (SMiShing) Instant Messaging Accounts (Cuentas de mensajería instantánea) Cubriendo dos tipos de abuso: Brand Impersonation Accounts (Cuentas de suplantación de marcas): Cualquier cuenta utilizando los nombres de marcas de COAC 00 XX XXXXXXX o suplantando los nombres de empleados de COAC 29 DE OCTUBRE. Cuentas enviando contenidos/links maliciosos: Cualquier cuenta utilizando el nombre/marca de COAC 00 XX XXXXXXX y enviando contenido malicioso dirigido a las marcas y clientes de COAC 29 DE OCTUBRE.
	El proveedor escaneará las redes de mensajería instantánea más populares en busca de cuentas sospechosas El proveedor analizará los correos electrónicos entrantes a los honey pots existentes (Sistemas de señuelos) La Cooperativa podrá reenviar al Proveedor los mensajes maliciosos enviados al personal o a sus propios clientes para su análisis.
	Suspender cuentas o nombres de dominios para dominios de correo electrónico maliciosos Solucionar cuentas / servidores de correo comprometidos Los correos electrónicos requieren header data (datos de encabezados) para que el proveedor pueda gestionar los casos.
Tiempo de respuesta	Se solicita especificar tiempos de respuesta para cada uno de los servicios ofertados
Alcance del Servicio	El servicio debe incluir el monitoreo de todas las direcciones IP, URLs, certificados SSL, activos, etc. de la Cooperativa 29 de Octubre.
	El servicio debe incluir al menos 5 takedows (dar de baja): Portales de fraude. Perfiles de fraude de redes sociales: Facebook. Twitter. Instagram. LinkedIn. YouTube. - Números de WhatsApp de fraude. - App falsas
	La cantidad de escaneos serán ilimitados.
	El proveedor proveerá una matriz de vulnerabilidades con información complementaria que le permita al cliente conocer el nivel de explotabilidad de las mismas y priorizar la remediación.

Metodología de trabajo

El proveedor presentará la metodología de trabajo propuesta para efectuar los procesos de desactivación (Takedown), considerando:

Identificación de ataques
Aprobación para la Desactivación
Autorización legal para la Desactivación
Medidas de Remediación

Así mismo, deberá detallar en su propuesta los entregables para cada servicio.

SLA de los servicios

El servicio deberá brindarse las 24 horas los 7 días de la semana y los 365 días del año.

MONITOREO SEGURO DEL SITIO	OBJETIVO DEL NIVEL DE SERVICIO
Notificación de error de capa de sockets seguros (Secure Sockets Layer, SSL)	1 hora
Notificación de pharming del sistema de nombres de dominio (Domain Name System, DNS)	1 hora
Notificación de sitio no disponible	1 hora
Notificación de deformación de sitio web	1 hora

MONITOREO EXTERNO DEL SITIO	OBJETIVO DEL NIVEL DE SERVICIO
Respuesta ante incidente: Tiempo para responder ante un incidente de suplantación de identidad informado por el cliente en el Portal	30 minutos
Detección de incidentes: Tiempo para publicar información en el Portal sobre el ataque de phishing descubierto	30 minutos
Análisis de correo electrónico: Tiempo para identificar la URL de suplantación de identidad dentro del HTML del correo electrónico una vez que el cliente lo reenvía al equipo de operaciones del Servicio Detect Monitoring Service (DMS) (Digital Threat Protection (DTP)).	30 minutos
Desactivación administrativa: Comunicación de la obligación de desmantelamiento a los administradores host.	2 horas
Dominios similares reportados: Lapso desde el registro del dominio hasta que es monitoreado por el proveedor.	Dentro de 3 días, dependiendo de los informes de webhost
Monitoreo de dominios similares: Periodo posterior al registro del dominio.	Desde 1 día hasta días ilimitados, dependiendo del riesgo del dominio

SECCIÓN V

VERIFICACIÓN Y EVALUACIÓN DE LAS OFERTAS

DOCUMENTOS HABILITANTES PARA PARTICIPAR

Habilitante vigente de operación de la empresa – RUC actualizado.
Nombramiento del representante legal de la empresa Oferente, debidamente inscrito en el Registro Mercantil.
Certificado vigente de Cumplimiento Tributario, que indique que el Oferente no adeuda al Servicio xx Xxxxxx Internas.
Certificado de cumplimiento de obligaciones actualizado, emitido por la Superintendencia de Compañías, Valores y Seguros.
Documento de calificación o carta que han iniciado el proceso de calificación.
Nómina de socios actualizada, emitida por la Superintendencia de Compañías, Valores y Seguros.
Certificado de partner avalado por el fabricante de la solución.
Garantía fiel cumplimiento de la oferta.

EXPERIENCIA DEL OFERENTE

Experiencia específica

El oferente deberá tener experiencia dentro de los últimos 5 años en la provisión del servicio ofertado en entidades financieras, de preferencia Bancos a nivel nacional o internacional.

Para demostrar la experiencia deberá presentar certificados o contratos emitidos por clientes en el que constará la duración, nombre y monto del contrato de ser posible.

Se otorgará el máximo puntaje a la o las ofertas que tengan la mayor experiencia y que tenga el mayor número de clientes presentados, a las demás ofertas se asignará un puntaje directamente proporcional.

PERSONAL MÍNIMO Y EXPERIENCIA

Cantidad

Función

Descripción

Gestor del Servicio

Persona encargada de gestionar el servicio por parte del proveedor, el cual garantizará el eficaz cumplimiento de este, dentro de los plazos y niveles de servicio establecidos.

Formación: mínimo tercer nivel en tecnología o afines (adjuntar impresión registro de la Senescyt).

Deberá tener experiencia dirigiendo el servicio ofertado en al menos los últimos 3 años, para ello deberá adjuntar certificados de trabajo que avalen lo indicado.

Los documentos citados anteriormente deberán ir anexos al formulario Nro. 7

Técnicos especialistas

Personas encargadas de la operatividad del servicio a ser contratado.

Los Técnicos que participarán en el proyecto deberán ser certificados en el sistema licitado.

Deberán tener experiencia de al menos 3 años en operatividad del servicio ofertado, para ello deberá adjuntar certificados de trabajo o del fabricante que avalen lo indicado.

Los documentos citados anteriormente deberán ir anexos al formulario Nro. 7

OFERTA ECONÓMICA

Oferta económica

La oferta económica se evaluará aplicando un criterio inversamente proporcional; a menor precio, mayor puntaje. En caso de que existan errores aritméticos en la oferta económica, la Comisión de Calificación procederá a su corrección.

La evaluación de la oferta económica se efectuará aplicando el “precio corregido” en caso de que hubiera sido necesario establecerlo.

VALORES AGREGADOS

El oferente podrá especificar todos aquellos valores agregados que considere oportuno incluir en su propuesta, los mismos deberán estar obligatoriamente cuantificados, es decir, deberá estar indicado el valor de inversión que representa para el proveedor por cada valor agregado que se incluya.

RESUMEN

Para la valoración se observarán los siguientes criterios:

Parámetro	Valoración
Experiencia específica del oferente	40%
Experiencia del personal técnico	16%
Oferta económica	40%
Valores agregados	4%
TOTAL	100%

SECCIÓN VI

FORMULARIOS PARA LOS OFERENTES

FORMULARIO No. 1

CARTA DE PRESENTACIÓN Y COMPROMISO

El que suscribe, en atención a la convocatoria efectuada por la Cooperativa de Ahorro y Crédito 29 de Octubre Ltda., para la ejecución de (nombre del objeto de contratación), luego de examinar las bases del presente procedimiento de ejecución de obras, al presentar esta oferta por (sus propios derechos, si es persona natural) / (representante legal o apoderado de....... si es persona jurídica), (procurador común de…, si se trata de asociación o consorcio) declaro que:

La oferta la hago en forma independiente y sin conexión abierta u oculta con otra u otras personas, compañías o grupos participantes en este procedimiento y, en todo aspecto, es honrada y de buena fe. Por consiguiente, asegura no haber vulnerado y que no vulnerará ningún principio o norma relacionada con la competencia libre, xxxx y justa; así como declara que no establecerá, concertará o coordinará –directa o indirectamente, en forma explícita o en forma oculta- posturas, abstenciones o resultados con otro u otros oferentes, se consideren o no partes relacionadas en los términos de la normativa aplicable; asimismo, se obliga a abstenerse de acciones, omisiones, acuerdos o prácticas concertadas o y, en general, de toda conducta cuyo objeto o efecto sea impedir, restringir, falsear o distorsionar la competencia, ya sea en la presentación de ofertas y posturas o buscando asegurar el resultado en beneficio propio o de otro proveedor u oferente, en este procedimiento de contratación. En tal virtud, declara conocer que se presumirá la existencia de una práctica restrictiva, por disposición del Reglamento para la aplicación de la Ley Orgánica de Regulación y Control del Poder xx Xxxxxxx, si se evidencia la existencia de actos u omisiones, acuerdos o prácticas concertadas y en general cualquier conducta, independientemente de la forma que adopten, ya sea en la presentación de su ofertas, o buscando asegurar el resultado en beneficio propio o de otro proveedor u oferente, en este procedimiento de contratación.
Al presentar esta oferta, cumple con toda la normativa general, sectorial y especial aplicable a su actividad económica, profesión, ciencia u oficio; y, que los equipos y materiales que se incorporarán, así como los que se utilizarán para su ejecución, en caso de adjudicación del contrato, serán de propiedad del oferente o arrendados y contarán con todos los permisos que se requieran para su utilización.
Bajo juramento declara expresamente que no ha ofrecido, ofrece u ofrecerá, y no ha efectuado o efectuará ningún pago, préstamo o servicio ilegítimo o prohibido por la ley; entretenimiento, viajes u obsequios, a ningún funcionario o trabajador de la institución que hubiera tenido o tenga que ver con el presente procedimiento de contratación en sus etapas de planificación, programación, selección, contratación o ejecución, incluyéndose preparación de bases, aprobación de documentos, calificación de ofertas, selección de contratistas, adjudicación o declaratoria de procedimiento desierto, recepción de productos o servicios, administración o supervisión de contratos o cualquier otra intervención o decisión en la fase precontractual o contractual.
Acepta que en el caso de que se comprobare una violación a los compromisos establecidos en el presente formulario, la Cooperativa de Ahorro y Crédito 29 de Octubre Ltda., me descalifique como oferente, o dé por terminado en forma inmediata el contrato, observando el debido proceso, para lo cual me xxxxxx a responder por los daños y perjuicios que tales violaciones hayan ocasionado.
Conozco las condiciones de la contratación, he estudiado las especificaciones técnicas y demás información de las bases del concurso, las aclaraciones y respuestas realizadas en el procedimiento, y en esa medida renuncio a cualquier reclamo posterior, aduciendo desconocimiento por estas causas.
De resultar adjudicatario, manifiesto que suscribiré el contrato comprometiéndome a ejecutar el suministro o prestar el servicio sobre la base de las cantidades, especificaciones técnicas y condiciones, las mismas que declaro conocer; y en tal virtud, no podré aducir error, falencia o cualquier inconformidad, como causal para solicitar ampliación del plazo.
Conoce y acepta que la entidad contratante se reserva el derecho de adjudicar el contrato, cancelar o declarar desierto el procedimiento, si conviniere a los intereses nacionales o institucionales, sin que dicha decisión cause ningún tipo de reparación o indemnización a su favor.

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 2

DATOS GENERALES DEL OFERENTE.

DATOS GENERALES DEL OFERENTE

Razón Social:
Nombre Comercial:
Origen:
R.U.C.:
Personería (Jurídico/Natural):

DOCIMICILIO DEL OFERENTE

Provincia:
Cantón:
Calle principal:
Número:
Calle secundaria:
Código Postal:
Teléfono:
Correo electrónico:
Persona de contacto:

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 3

DOCUMENTOS HABILITANTES PARA PARTICIPAR

Se adjunta los documentos habilitantes para participar acorde al siguiente orden:

Habilitante vigente de operación de la empresa – RUC actualizado.
Nombramiento del representante legal de la empresa Oferente, debidamente inscrito en el Registro Mercantil.
Certificado vigente de Cumplimiento Tributario, que indique que el Oferente no adeuda al Servicio xx Xxxxxx Internas.
Certificado de cumplimiento de obligaciones actualizado, emitido por la Superintendencia de Compañías, Valores y Seguros.
Documento de calificación o carta que han iniciado el proceso de calificación.
Nómina de socios actualizada, emitida por la Superintendencia de Compañías, Valores y Seguros.
Certificado de partner avalado por el fabricante de la solución.
Garantía fiel cumplimiento de la oferta.

Nota: las presentaciones de los documentos citados anteriormente son obligatorios, la omisión de alguno de ellos podría ser causal de descalificación de las ofertas, salvo casos puntuales debidamente justificados y comprobados.

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 4

OFERTA ECONÓMICA

Nro.	Descripción del servicio	Cantidad	Precio unitario	Precio Total

PRECIO TOTAL DE LA OFERTA: (en números y letras), sin IVA

VALORES AGREGADOS: El oferente describirá los valores agregados diferenciadores en este apartado.

Los valores agregados deberán estar cuantificados individualmente (valor de inversión que representa para cada oferente).

A más de los formatos establecidos, en caso de ser necesario el oferente puede enviar sus propias tablas y servicios adicionales, tendientes a aclarar la propuesta

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 5

SERVICIOS OFERTADOS

Servicio o Bien requerido	Servicio o bien ofertado (La empresa debería indicar si se adhiere a lo solicitado en cada uno de los puntos requeridos por la institución)	Observaciones
Plazo
Alcance/Servicios esperados
Metodología de trabajo
SLA de servicios
Forma y Condiciones de Pago
Vigencia de la Oferta
Multas
Otros

Especificaciones técnicas:

Descripción	Característica	Cumple SI/NO	Observaciones
Características generales	El servicio ofertado para el monitoreo de actividad anómala de phishing, pharming IP, pharming DNS, aplicaciones móviles falsas, monitoreo de dominios similares, suplantación de identidad ejecutiva, uso inapropiado y suplantación de marca, suplantación de perfiles sociales, violación de derechos de autor, robo de propiedad intelectual.
	El servicio debe ser en modalidad 7x24 y en tiempo real para identificar de manera oportuna, alertar y derribar los ataques identificados, así como patrones y comportamientos sospechosos.
	El servicio debe cubrir todo el ciclo de vida de una alerta, desde que se inicia hasta que se soluciona, permitiendo a la institución tener completo conocimiento de la gestión de cada incidente mediante la consola de administración de la solución, así como por medio de alertas mediante correo electrónico.
	El servicio de monitoreo deberá detectar el registro de nuevos dominios en Internet, que guarden semejanza con el sitio protegido.
	La solución deberá proveer la funcionalidad de informaciones forenses de evidencias de ataques documentadas en los tickets
	La solución debe estar en capacidad de monitorear todas las principales tiendas de aplicativos móviles y una amplia gama de tiendas de terceros o no oficiales, con el objetivo de detectar aplicaciones que intenten hacer uso indebido de la marca y/o el nombre de la institución.
	La solución debe estar en capacidad de brindar protección contra Aplicaciones Móviles No Autorizadas, que estén siendo atacadas para robar datos de clientes o para instalar malware, mediante el uso indebido de la marca y/o el nombre de la institución. Por lo tanto, se debe contar con un servicio de identificación y remoción de esas aplicaciones.
	La solución brindada no debe implicar la compra de hardware para el servicio y almacenamiento a la institución
	El proveedor seleccionado debe tener la capacidad de realizar detección de registro de dominios similares al de la marca y mostrar esta información a través de un portal web con la siguiente información como mínimo: -Fecha de alerta -Dominio Similar -Registro MX (indicar si tiene registro MX activo)
	El servicio deberá complementarse con componente humano encargado de monitorear la información obtenida de las redes sociales para identificar la propagación de fraude (captación de credenciales) en estos medios y gestionar su desactivación.
	El servicio deberá contar con funcionalidades de machine learning para analizar la probabilidad de que las URL´s sean phishing o malware, por favor detallar.
	El proveedor seleccionado debe hacer un acompañamiento periódico (por lo menos una vez por trimestre) puesta en producción la solución, de manera de poder detectar posibles mejoras, requerimiento de crecimiento, entre otros.
	La solución debe estar en capacidad de identificar proactivamente, en donde sea posible, la información de personas que hayan sido víctimas de casos de phishing, y hayan entregado en dichos sitios de phishing, información sensible como credenciales o información de tarjetas de crédito.
	En el caso de identificar información sensible de usuarios, el servicio debe garantizar que esta información sea entregada al banco de forma cifrada, de tal forma que solo el banco pueda conocer esta información, y que por ende no sea almacenada por el servicio en claro.
	La solución debe contar con una funcionalidad de monitoreo, protección y prevención contra amenazas en redes sociales (incluyendo monitoreo de perfiles VIP), mostrar menciones de la marca en dichas redes y permitir gestión para desactivación de esas amenazas ante dueños de redes sociales.
Protección en Redes Sociales	El servicio debe monitorear las menciones en redes sociales como Twitter, Facebook y Google+, entre otros, dependiendo de la información que entregue cada una de estas redes sociales, de acuerdo con sus políticas de seguridad.
	La solución deberá permitir la definición de palabras clave definidas por la institución para realizar las búsquedas relevantes de menciones en redes sociales.
	El servicio deberá disponer de una interfaz gráfica donde se registren las publicaciones realizadas en las redes sociales.
	El servicio deberá incluir la detección y desactivación de perfiles y/o cuentas falsas en redes sociales que suplanten la identidad de los funcionarios de alto rango, de la institución, siempre y cuando dichos perfiles estén siendo usados para engañar a los usuarios o propagar fraude.
	El servicio deberá incluir la detección y desactivación de perfiles y/o cuentas falsas en redes sociales que suplanten la identidad de la institución.
Usurpación y suplantación de marca	El servicio ofertado deberá tener la capacidad de realizar detección y desactivación de incidentes que estén haciendo uso de la marca protegida.
Usurpación y suplantación de marca	La desactivación de incidentes se debe realizar tanto en redes sociales como en páginas que de forma no autorizada y de manera ilegal estén haciendo uso de la marca protegida.
Aplicaciones móviles falsas	El servicio ofertado debe tener la capacidad de monitoreo de tiendas oficiales y no oficiales en las cuales se pueda estar propagando aplicaciones de manera no autorizada.
	El servicio ofertado debe tener la capacidad de realizar desactivaciones de aplicaciones incluso si estas son una copia exacta de la original.
	En la información de cada incidente relacionado con aplicaciones se debe proporcionar información adicional como: -Nombre de la tienda -URL de descarga -Nombre del archivo (filename) -Versión de la aplicación - Sistema Operativo (Android o IOS) - Hash (MD5 y SHA256)
Deep y Dark Web	El servicio deberá realizar búsquedas de exposición de datos relacionados con la empresa en la deep & dark web, de forma complementaria con el monitoreo en la surface web. Esta capacidad se debe centrar en las credenciales de cuentas expuestas y/o tarjetas bancarias que se venden en los mercados de la red oscura.
	La información provista puede ser de carácter informativo, pero debe proporcionar información de valor para prevenir el riesgo de fuga de información y exposición de datos en línea, con la cual la organización pueda reconocer su nivel de riesgo de exposición.
	El servicio debe apalancarse en tecnología OSINT para monitorear proactivamente los activos digitales de la organización, tanto en web superficial como deep y dark web. Se deben incluir en este monitoreo sitio como Gitbug, Pastebin, Gitlab, Bitbuck, entre otros.
	El servicio debe cubrir filtración de credenciales de empleados de la empresa en sitios como marketplaces, chat como IRC o Telegram. La información recopilada debe estar disponible en tickets en el portal del servicio.
	El servicio debe cubrir monitoreo de eventos de Typo y Cybersquatting, a través de los cuales los criminales aprovechen errores tipográficos o similitudes en el registro de dominios similares, tanto en surface como deep y dark web.
	Es requerido que el servicio entregue información de fragmentos de código y/o documentos expuestos en la deep y dark web. Se requiere que se entregue un link al repositorio donde se encuentren y que la organización pueda validar el riesgo de exposición.
	Es necesario que la información encontrada en deep y dark web sea expuesta a través del portal del servicio y que se puedan filtrar por los diferentes tipos de eventos.
Consola de Administración	El servicio deberá proveer información de los incidentes y de gestión general mediante una consola web de administración. Esta consola debe permitir hacer seguimiento de cada uno de los incidentes, desde su registro hasta su solución final.
	El servicio debe contar con una consola de administración web, con acceso a varios tipos de usuarios, con diferentes roles.
	La consola debe suministrar información general del servicio mediante un Dashboard. El Dashboard debe permitir visualizar rápidamente información del servicio tal como tickets activos, conexiones analizadas, gráficas de tickets por tiempos, entre otros.
	La consola de administración debe permitir crear un ticket en caso que se detecte un evento por parte de la institución. En la creación del ticket debe permitir asignar un título, una descripción, una URL y asociar tickets que se hayan generado asociados al mismo evento. Así mismo debe permitir agregar archivos adjuntos como evidencia del evento.
	La consola debe permitir a la institución consultar la información consolidada de los tickets históricos. Esta visualización debe poder ser filtrada y organizada por características tales como la fuente de detección, el número del ticket, el tipo de ataque el estado del ticket, entre otros.
	La consola debe permitir visualizar la información histórica de tickets en periodos mensuales, trimestrales, o debe permitir definir un periodo definido por el usuario.
	La consola debe permitir exportar la información en formato CSV.
	La consola debe contar con la posibilidad de crear diferentes tipos de usuarios por parte de la institución, con diferentes tipos de roles, permitiendo definir de forma granular el tipo de notificaciones que puede recibir un usuario.
	La consola debe proveer la capacidad de generar reportes completamente personalizados para la institución. Es deseable que la consola permita a la institución crear plantillas de reportes que puedan ser reutilizados, e inclusive que permitan generar los reportes en background.
	Se requiere que los reportes generados mediante la consola de administración de la solución permitan configurar la periodicidad de su generación.
	Es deseable que la información provista mediante la consola de administración sea posible consultarla mediante un API de forma que pueda ser integrada a plataformas de monitoreo externo propias de la institución.
	La consola de administración debe estar en idioma español. Así como el soporte y sus diferentes canales de comunicación, tales como, correo electrónico, contactos telefónicos.
	El servicio actúa de forma colaborativa con entidades mundiales en la prevención de fraude electrónico para evitar el ingreso a sitios mal intencionados que han sido identificados
	El servicio de monitoreo deberá notificar alertas a través de diversos canales de comunicación, tales como, correo electrónico, portal de administración, entre otros.
	El servicio debe estar complementado mediante una consola de gestión y soporte 7x24x365.
	La solución debe monitorear activamente, de forma opcional, la veracidad del certificado SSL de los dominios protegidos, identificando de forma temprana posibles cambios, caducidad o riesgo con la entidad certificadora.
Source Code Protection	Servicio de identificación de URL solicitantes que pueden usar el código fuente robado del sitio web de la Cooperativa 29 de Octubre. Esto se logra al insertar una línea de JavaScript en la página web original para ofrecer una imagen transparente de 1x1 píxeles transparente. Todas las URL solicitantes serán capturadas y comparadas con una lista de dominios permitidos. Cualquier otra URL que no esté en la lista se enviará al Centro de Operaciones del Proveedor para su verificación
Protección inteligente de Imágenes	Servicio de escaneo de imágenes mediante el cual se debe comparar las imágenes encontradas en el sitio web de la Cooperativa 29 de Octubre y todas las imágenes encontradas en sitios de phishing anteriores, y las compara con las imágenes encontradas al escanear partes de alto riesgo de Internet, como las URL incluidas en el correo no deseado y el escaneo de Sitios web comprometidos o maliciosos. Cualquier coincidencia queda identificada por los analistas de seguridad del Proveedor para una revisión más detallada
Monitoreo de Spam por Phishing	El proveedor deberá utilizar una serie de métodos para monitorear el correo electrónico para detectar incidentes de phishing dirigidos a la marca de la Cooperativa 29 de Octubre.
Monitoreo de sitios web sospechosos y maliciosos	El proveedor deberá escanear todos los sitios web y servidores web maliciosos y comprometidos conocidos para detectar el phishing dirigido a la marca de la Cooperativa 29 de Octubre
Mensajería	Mensajería El servicio debe cubrir los proveedores de tráfico que forman parte de un ataque de phishing (es decir, los sistemas / plataformas / servicios que se utilizan para transmitir los correos electrónicos de phishing). Áreas a cubrir: Direcciones de Email Números de teléfono (SMiShing) Instant Messaging Accounts (Cuentas de mensajería instantánea) Cubriendo dos tipos de abuso: Brand Impersonation Accounts (Cuentas de suplantación de marcas): Cualquier cuenta utilizando los nombres de marcas de COAC 00 XX XXXXXXX o suplantando los nombres de empleados de COAC 29 DE OCTUBRE. Cuentas enviando contenidos/links maliciosos: Cualquier cuenta utilizando el nombre/marca de COAC 00 XX XXXXXXX y enviando contenido malicioso dirigido a las marcas y clientes de COAC 29 DE OCTUBRE.
	El proveedor escaneará las redes de mensajería instantánea más populares en busca de cuentas sospechosas El proveedor analizará los correos electrónicos entrantes a los honey pots existentes (Sistemas de señuelos) La Cooperativa podrá reenviar al Proveedor los mensajes maliciosos enviados al personal o a sus propios clientes para su análisis.
	Suspender cuentas o nombres de dominios para dominios de correo electrónico maliciosos Solucionar cuentas / servidores de correo comprometidos Los correos electrónicos requieren header data (datos de encabezados) para que el proveedor pueda gestionar los casos.
Tiempo de respuesta	Se solicita especificar tiempos de respuesta para cada uno de los servicios ofertados
Alcance del Servicio	El servicio debe incluir el monitoreo de todas las direcciones IP, URLs, certificados SSL, activos, etc. de la Cooperativa 29 de Octubre.
	El servicio debe incluir al menos 5 takedows (dar de baja): Portales de fraude. Perfiles de fraude de redes sociales: Facebook. Twitter. Instagram. LinkedIn. YouTube. - Números de WhatsApp de fraude. - App falsas
	La cantidad de escaneos serán ilimitados.
	El proveedor proveerá una matriz de vulnerabilidades con información complementaria que le permita al cliente conocer el nivel de explotabilidad de las mismas y priorizar la remediación.

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No .6

EXPERIENCIA DEL OFERENTE

Experiencia específica:

No.	Tipo	Contratante	Objeto de contrato	Valor del Contrato	Fecha inicio / fecha fin

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 7

PERSONAL TÉCNICO PROPUESTO PARA EL PROYECTO/SERVICIO

No.	Cargo / Función	Cantidad	Experiencia requerida

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 8

ACUERDO DE CONFIDENCIALIDAD

NOMBRE DEL OFERENTE: _______________________________

ACUERDO DE CONFIDENCIALIDAD

Entre los suscritos a saber:

El Ing. Xxxxxx Xxxxxxx De La Xxxxx Xxxxxxxx, en su calidad de Gerente General y Representante Legal de la Cooperativa de Ahorro y Crédito 29 DE OCTUBRE Ltda., parte a la que en adelante se le denominará simplemente LA COOPERATIVA;
El señor ………………………, por sus propios y personales derechos y por los que representa de ………………………………, parte a la que en adelante se le denominará simplemente LA EMPRESA.

Los Comparecientes, a quienes se les podrá denominar de forma conjunta como “las partes”, declaran que se encuentran legalmente capacitados para contratar y obligarse en las calidades antes invocadas.

PRIMERA: ANTECEDENTES. -

Durante la vigencia del presente convenio, las partes realizarán intercambio por escrito de información de carácter confidencial, que puede incluir, entre otros, planes de negocios y de desarrollo, información técnica y financiera, planes de productos y servicios, informes de mercadeo, análisis y proyecciones, especificaciones, diseños, dibujos, software, servidores, datos, prototipos, secretos industriales, know how, información de clientes y proveedores y otras informaciones de negocios o de carácter técnico, en adelante “LA INFORMACIÓN”.
1. Es intención de las partes, que dicha INFORMACIÓN se suministre únicamente entre las partes, para los fines exclusivos de generación de cartera., por lo que las partes requieren establecer una protección adecuada a LA INFORMACIÓN.

SEGUNDA: OBJETO. -

Las partes libre y voluntariamente, por los respectivos derechos que representan, y por así convenir a sus mutuos intereses, acuerdan celebrar el presente Convenio de Confidencialidad, mediante el cual se establecen los términos y condiciones que rigen el uso de la información que vayan a recibir o proporcionarse mutuamente, al tenor de las siguientes estipulaciones:

Las partes se obligan a guardar absoluta reserva y confidencialidad sobre el objeto, antecedentes, términos y condiciones del presente acuerdo.
Cualquiera de las partes, en calidad de parte emisora. podrá entregar a su contraparte - receptora, INFORMACIÓN de la que es titular y/o beneficiario, según la definición contenida en la cláusula siguiente, sobre la cual la parte receptora, sus socios, representantes, personal, etc., se obliga a guardar absoluta reserva y confidencialidad.
La parte receptora, una vez que reciba la información detallada en el párrafo que antecede, procederá a analizarla para evaluar la factibilidad de negocio en los términos establecidos en el numeral 3 de la cláusula primera de este instrumento.

TERCERA: DEFINICIONES.-. Se entiende por “LA INFORMACIÓN”, todo dato o documentación que en forma escrita o impresa en cualquier medio escrito, mecánico, electrónico, magnético o cualquier otro que las partes posean, hayan intercambiado entre ellas, o lleguen a conocer la una de la otra, o en poder de uno de ellos. Se entiende por información confidencial, toda información originada, o del conocimiento de quienes integran el presente acuerdo, que por virtud de su naturaleza o de la ley no sea o deba ser del dominio público o frente a la cual exista un deber de sigilo o sobre la cual exista un derecho o una protección contractual, legal y/o constitucional. Se entiende por secreto comercial, toda información que, sin ser reservada por naturaleza, quien la posee alberga un interés legítimo en mantenerla por fuera del dominio público, en cuanto se trata de:

Información producto del estudio xxx xxxxxxx, de la competencia, de las oportunidades de negocio, información estratégica, o de otros datos y observaciones accesibles al público;
Información que, no obstante basarse total o parcialmente en fuentes de dominio público implica tiempo, esfuerzo, dinero o despliegue intelectual en su obtención, análisis, elaboración o en la concepción o diseño de las respuestas o cursos de acción;
Información cuya posesión, en el grado de elaboración de tales datos o modelos de acción, implica, aún de tratarse de datos o modelos que conlleven una investigación o perfeccionamiento ulterior, algún tipo de ventaja para quien posee tal información de carácter estratégico.

CUARTA: CONFIDENCIALIDAD

Las partes contratantes acuerdan de manera expresa que LA COOPERATIVA y/o LA EMPRESA, su personal, contratistas, subcontratistas, y terceras personas relacionadas o vinculadas, no divulgarán ni revelarán la información proporcionada, ni la recibida con motivo del presente Convenio. La información proporcionada en forma oral, escrita, codificada, gráfica, digital, en medio magnético o de cualquier manera tangible sin limitación alguna, será considerada de exclusiva confidencialidad; por lo que, la misma deberá ser manejada y procesada únicamente por el personal autorizado de LA COOPERATIVA y/o LA EMPRESA, con el carácter de restringida y confidencial, y será de exclusiva responsabilidad de LA COOPERATIVA y/o LA EMPRESA, las medidas o precauciones que adopte para evitar que su personal divulgue la información de carácter confidencial.

LA COOPERATIVA y/o LA EMPRESA se comprometen a guardar estricta confidencialidad sobre toda la información recibida, y será de su exclusiva responsabilidad la correcta utilización de ésta, la misma que podrá ser empleada únicamente para los fines descritos en el presente convenio, cuyos resultados serán únicamente revelados al personal de LA COOPERATIVA y/o LA EMPRESA que se encuentre debidamente autorizado.

En caso de incumplimiento de las obligaciones asumidas en este convenio, LA COOPERATIVA y/o LA EMPRESA, sus representantes y/o el personal autorizado que viole la confidencialidad en el manejo de la información proporcionada, será responsable por los daños y perjuicios que el incumplimiento de éste Convenio de Confidencialidad ocasione o el mal manejo de dicha información causare, siendo la parte infractora sujeta de las sanciones penales correspondientes, sin perjuicio de las indemnizaciones civiles y económicas a las que tenga derecho la parte afectada. En tal sentido, las partes reconocen que LA INFORMACIÓN a la que se refiere el presente acuerdo, posee una valoración económica y su indebida divulgación o utilización causa un perjuicio.

En el evento de que una de las partes estuviere obligada a entregar o revelar la información materia de este convenio por orden de autoridad competente, ésta se obliga a notificar a su contraparte en forma inmediata, a fin de que la parte afectada tome las acciones que estime convenientes en defensa de sus intereses.

QUINTA: OBLIGACIONES DE LA PARTE EMISORA. - Con el propósito de facilitar la administración de la información, su titular tratará de:

Procurar discriminar por escrito la información que va a suministrar por cualquier medio al receptor, identificando en la carátula el nivel de confidencialidad, restricción, o uso de la misma;
Suministrar al receptor la información que estime necesaria para el desarrollo del proyecto, asesoría o trabajo.

La ausencia de un rótulo indicando el carácter reservado o no de la información, o su connotación o no xx xxxxxxx, no releva al receptor de su obligación de confidencialidad frente a tal tipo de información.

SEXTA: OBLIGACIONES DE LA PARTE RECEPTORA. - Son deberes de quien haga las veces de receptor de la información:

Guardar la reserva y confidencialidad, sin desmedro de los previsto en el presente convenio, respecto de cualquier tipo de información que se le suministre o a la cual llegare a tener acceso o conocimiento;
Utilizar la información suministrada por el titular de la información o de la que tenga conocimiento, únicamente de la manera y para los fines establecidos en este acuerdo;
Devolver toda la información recibida junto con todas las copias que de ella hubiere inmediatamente a la solicitud del titular de la información, mediante relación escrita del material entregado, firmado por las partes o con sello de recibido.
No realizar copia o duplicado alguno de la información mencionada en este acuerdo; tampoco podrán divulgar dicha información a tercera persona sin que medie igualmente autorización previa y escrita de la otra parte.

SÉPTIMA: PATRÓN DE CONDUCTA, IMPLICACIONES DE LA RECEPCIÓN DE LA INFORMACIÓN Y RESPONSABILIDAD. - Las partes actuarán con el parámetro de responsabilidad del buen comerciante en sus propios negocios, lo que supone entre otros deberes, el de limitar la divulgación autorizada al menor número de personas, y el de tomar las medidas idóneas y eficaces para evitar el tráfico y fuga indebida de la información, así como su uso por fuera de los límites de este convenio.

LA COOPERATIVA y/o LA EMPRESA podrán proveer dicha información solamente a sus empleados que tengan una necesidad inminente, en razón de sus funciones de conocer dicha información, para los cuales también se extiende la obligación de confidencialidad, razón por la que también deberán proteger toda LA INFORMACIÓN de eventual difusión no autorizada.

OCTAVA: Con la suscripción del presente instrumento, LA COOPERATIVA y/o LA EMPRESA acepta expresamente que la entrega – recepción de información confidencial y/o privilegiada se la realiza –bajo el propósito propuesto- con el fin de llegar a una negociación entre las partes que permita a COOPERATIVA DE AHORRO Y CREDITO 29 DE OCTUBRE LTDA contar con LA EMPRESA como asociado o socio estratégico. En caso de que las partes no llegaren a un acuerdo de negocio, COOPERATIVA DE AHORRO Y CREDITO 29 DE OCTUBRE LTDA y LA EMPRESA se restituirán de forma íntegra e inmediata la información recibida en los términos previstos en este contrato. En todo caso, y solo ante la imposibilidad de negocio entre las partes, LA COOPERATIVA queda en libertad de ofertar el mismo negocio con terceros distintos a LA EMPRESA, guardando absoluta reserva de la participación de ésta última y/o la fallida negociación.

NOVENA: EXCLUSIONES. - Este acuerdo no impone ninguna obligación a cargo del receptor de información confidencial respecto de la:

Información que de derecho ya se encontraba en su poder al ser enviada por la otra parte, o que, de otro modo, previamente haya sido objeto de su conocimiento, todo lo anterior, siempre y cuando así se haya informado por escrito a la otra parte al momento de recibir tal información y cuando su divulgación tenga una causa legítima;
Información disgregada que sea del dominio público al momento de recibirla, o que haya pasado a ser del dominio público sin que obre negligencia, culpa o dolo por parte del receptor;
Información que deba ser revelada bajo alguna ley o regulación emanada legítimamente del Estado;
Información que xxxx ser revelada por decisión judicial o de autoridad competente, siempre y cuando, de manera oportuna, se haya notificado de este hecho al titular y se le haya permitido una defensa efectiva en relación con su interés de mantenerla en reserva; y/o
Información que sea revelada por el receptor con aprobación escrita previa de su titular.

DÉCIMA: TITULARIDAD. - Ninguna de las partes que integran el presente acuerdo presume la titularidad sobre la información suministrada por su contraparte; por lo tanto, únicamente la utilizará para los fines y de la manera establecida en este convenio, en los documentos que hagan parte del mismo o en dicha información.

El acceso a la información no implica la transferencia de derecho alguno sobre la misma, tales como derechos derivados de la transferencia de tecnología, know-how, derechos de autor, patente u otros derechos intangibles.

DÉCIMA PRIMERA: LEGISLACIÓN APLICABLE. - En el evento de suscitarse cualquier controversia en relación con la ejecución del presente acuerdo, la legislación aplicable será la de la República de Ecuador.

DÉCIMO SEGUNDA: CORRESPONDENCIA Y COMUNICACIONES. -

Cualquier comunicación, notificación o documentación referida a este convenio, será enviada a las siguientes direcciones:

NOMBRE / RAZON SOCIAL: COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA.

DIRECCION: Matriz Xxxxxxx XX 0-000 x Xx. Xxxxxxxx Xxxxx

TELEFONOS: 00-0000-000

NOMBRE / RAZON SOCIAL: ……………………………………….

DIRECCION: ……………………………………….

TELEFONOS: ……………………………………….

DÉCIMA TERCERA: DURACIÓN. - Las obligaciones de confidencialidad adquiridos por el presente acuerdo se deberán mantener de manera indefinida.

DÉCIMA CUARTA: CLÁUSULA COMPROMISORIA. -

Las Partes se comprometen a ejecutar de buena fe las obligaciones recíprocas que contraen mediante este Convenio y a realizar todos los esfuerzos requeridos para superar, de mutuo acuerdo, cualquier controversia. Toda controversia o diferencia derivada de la aplicación, validez, interpretación, nulidad o cumplimiento del presente Convenio será resuelta con la asistencia de un mediador del Centro de Arbitraje y Mediación de la Cámara de Comercio de Quito. En el evento que el conflicto no fuere resuelto mediante este procedimiento, las partes someten sus controversias a la resolución de un Tribunal de Arbitraje que se sujetará a lo dispuesto en la Ley de Arbitraje y Mediación, el Reglamento del Centro de Arbitraje y Mediación de la Cámara de Comercio de Quito y las siguientes normas:

Las partes renuncian a la jurisdicción ordinaria, se obligan a acatar el laudo que expida el Tribunal Arbitral y se comprometen a no interponer ningún tipo de recurso en contra xxx xxxxx arbitral;
Para la ejecución de medidas cautelares el Tribunal Arbitral está facultado para solicitar el auxilio de los funcionarios públicos, judiciales, policiales y administrativos sin que sea necesario recurrir a juez ordinario alguno;
El Tribunal Arbitral estará integrado por un árbitro;
El procedimiento arbitral será confidencial; y,
El lugar de arbitraje será en las instalaciones de la Cámara de Comercio de Quito

DÉCIMO QUINTA: MISCELÁNEOS. -

15.1. Encabezamientos: Los encabezamientos de este documento están impresos sólo como referencia y no afectarán la interpretación del Convenio.

15.2 Mayúsculas y plurales: Las palabras o términos utilizados en mayúsculas en el presente Convenio, están impresos sólo como referencia e incluirán a las minúsculas, sin afectar la interpretación del Convenio. Las palabras utilizadas en plural incluirán su singular y viceversa.

15.3 Integridad: El presente Convenio constituye y representa la enunciación completa y exclusiva de los derechos y obligaciones de las partes, y deja sin efecto cualesquier otra comunicación, propuesta o documento, oral o escrita, cursada entre las partes con anterioridad a la firma del mismo.

15.4 Modificación: Toda modificación o reforma al presente Xxxxxxxx deberá adoptarse por acuerdo escrito entre las Partes.

15.5 Terceros Beneficiarios: El presente Convenio esta celebrado para beneficio exclusivo de las Partes contratantes, por lo que nada de lo aquí expresado o mencionado será entendido como un permiso, reconocimiento o autorización a un tercero para reclamar cualquier derecho en base a este Convenio.

En constancia se firma el presente documento por quienes en él intervinieron, en la ciudad de Quito, a los ……………. días del mes de ……………… del dos mil veintidos (2022), en dos ejemplares del mismo tenor y validez.

Sr. ……………………….

C.C. …………………….

REPRESENTANTE LEGAL

…………………………..

Xxx. Xxxxxx Xx Xx Xxxxx

XXXXXXX XXXXXXX

00 XX XXXXXXX LTDA.

FORMULARIO Nro. 9

GARANTÍA SERIEDAD DE LA OFERTA

El proveedor deberá adjuntar de forma obligatoria la garantía de “Seriedad de la Oferta”, la misma que corresponde al 5% del valor ofertado, el presente documento deberá adjuntarse en este apartado.

Para constancia de lo ofertado, suscribo este formulario y adjunto respaldos.

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

Página 50 de 50

Document Metadata

Table of Contents

BASES DE CONCURSO PARA SERVICIOS Y/O CONSULTORÍA CÓDIGO DE CONTRATACIÓN: BPCS- COM-2022-003 COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA. OBJETO DE CONTRATACIÓN: SERVICIO DE ANTI PHISHING Y CONTROL DE ABUSO DE MARCA EN INTERNET Y REDES SOCIALES

Document Metadata