BASES DE CONCURSO PARA SERVICIOS Y/O CONSULTORÍA CÓDIGO DE CONTRATACIÓN: BPCS- COM-2022-004 COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA. ÁREA REQUIRENTE: SEGURIDAD DE LA INFORMACIÓN OBJETO DE CONTRATACIÓN: SOLUCIÓN PARA GESTIÓN DE CUENTAS...

Se convoca a las personas naturales o jurídicas, nacionales, asociaciones de éstas o consorcios o compromisos de asociación, legalmente capaces para contratar, a que presenten sus ofertas para la “Solución de Gestión de Cuentas Privilegiadas”.

Las condiciones de esta convocatoria son las siguientes:

Las bases y sus anexos están disponibles, sin ningún costo, en la página web de la Cooperativa xxxxx://xxx.00xxxxxxxxx.xxx.xx

La oferta técnico-económica debe presentarse de forma integral por la totalidad de la contratación.

La Cooperativa de Ahorro y Crédito se reserva el derecho de cancelar o declarar desierto el procedimiento de contratación, situación en la que no habrá lugar a pago de indemnización alguna.

Quito, lunes, 25 xx xxxxx de 2022

Atentamente,

GERENCIA GENERAL

COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA.

SECCIÓN II

INFORMACIÓN GENERAL

FECHA:	lunes, 25 xx xxxxx de 2022
	SI
JUSTIFICACIÓN Y OBJETIVOS:	Justificación: Una cuenta privilegiada es aquella que dispone de accesos de administración a los sistemas. Constituye una buena práctica el uso de sistemas especializados para la Gestión de Accesos Privilegiados (PAM) para protegerse contra las amenazas que suponen el robo de credenciales y el uso indebido de privilegios, estrategia de ataque utilizada comúnmente por la mayoría de las amenazas cibernéticas incluyendo los ataques de ransomware. XXX hace referencia a una estrategia integral de ciberseguridad (que comprende personas, procesos y tecnología) para controlar, supervisar, proteger y auditar las identidades y actividades con privilegios administrativos humanas y no humanas en el entorno informático institucional. Para el caso de la Cooperativa el alcance planteado cubre la protección de cuentas privilegiadas para el acceso a las bases de datos que administra la Cooperativa, así como a los sistemas operativos de servidores y ATMs considerados como sistemas críticos. Objetivos: Minimizar los riesgos derivados de amenazas relacionadas con ataques cibernéticos avanzados contra la Cooperativa de ahorro y crédito 29 de Octubre. Disponer de un control que proteja a la Cooperativa de ataques dirigidos hacia cuentas privilegiadas, mediante una plataforma de seguridad especializada para tal efecto. Llevar la administración de cuentas privilegiadas en base a mejores prácticas y marco normativo ISO 27001 y PCI.
ÁREA REQUIRENTE:	Seguridad de la Información
Lugar en donde se prestarán los servicios:	Administración Central: Cooperativa de Ahorro y Crédito 29 de Octubre Ltda., Matriz Cañaris OE 6-140 y Av. Xxxxxxxx Sucre
PLAZO DE EJECUCIÓN DE CONTRATO:
Ejecución del contrato inicia en:	Desde la firma del contrato
Plazo del contrato	1 año de suscripción
En caso de escoger la opción "Desde cualquier otra condición de acuerdo con la naturaleza del contrato" Detallar la condición:
FORMA DE PAGO:
Forma de Pago:	Otra (determinar la forma de pago)
En caso de escoger la opción "Otra" (determinar la forma de pago):	Los pagos se realizarán en base a los siguientes entregables. El valor del licenciamiento al momento de la activación. El valor de los servicios de implementación y capacitación contra firma acta entrega recepción que certifique la culminación de los mismos a satisfacción de la Cooperativa.
OBLIGACIONES DEL CONTRATISTA:
Cumplir con el cronograma de implementación, acordado entre las partes previo al inicio del proyecto. Cumplir con el SLA establecido para el servicio contratado. Cumplir con la funcionalidad técnica solicitada, en el presente documento. Xxxxxxx todo el soporte y asesoría necesaria para que el servicio cumpla con el objeto de contratación. La disponibilidad de los recursos necesarios para cumplir con los tiempos que forman parte de la propuesta para entrega del servicio contratado. EL CONTRATISTA será responsable frente a LA COOPERATIVA únicamente por la implementación del servicio ofertado, excepto en caso que la suspensión o interrupción se deba a eventos de fuerza mayor o caso fortuito debidamente comprobados; no obstante, EL CONTRATISTA se compromete, aún en tales circunstancias, a actuar con toda diligencia para procurar minimizar los impactos de tales eventos y efectuará todas las acciones conducentes a superar los inconvenientes que se puedan presentar para procurar retomar y continuar con las fases contratadas como parte del servicio. Atender las sugerencias de LA COOPERATIVA relacionadas con la prestación del servicio. Mantener la confidencialidad de la información o documentos que conozcan con ocasión del trabajo a desarrollar, para el efecto declara que toda la información que pudiera conocer de LA COOPERATIVA se considerará información no divulgable. Designar a uno o varios colaboradores debidamente calificados quienes serán los responsables de atender las llamadas consultivas de LA COOPERATIVA y canalizarlos con el fin de dar una solución apropiada, dentro del alcance de soporte de horas post implantación que se va a contratar. Estar y mantenerse como legalmente habilitada para la suscripción y ejecución de este contrato. Cumplir con las obligaciones tributarias propias y laborales con sus dependientes que por ley se requieran para el correcto desarrollo del contrato. Suministrar a LA COOPERATIVA los servicios contratados de acuerdo con el servicio descrito en presente documento y/o Anexos, acatando las disposiciones previstas en la Ley, en el presente documento. Respetar y someterse en todo, a las políticas internas de LA COOPERATIVA y en general a todas las leyes que tanto en el Ecuador cuanto en los demás países regulan la materia. La normativa de LA COOPERATIVA se entiende incorporada al presente proceso de contratación, por lo que EL CONTRATISTA se obliga a cumplir a cabalidad los manuales y políticas pertinentes. La CONTRATISTA será responsable en su totalidad ante LA COOPERATIVA de los perjuicios económicos por multas del organismo de control, afectación de la imagen institucional y costos generados en escenarios de fraude cuando estas circunstancias deriven de mal funcionamiento del aplicativo o por incumplimientos de las normas de seguridad de transacciones electrónicas. Proveer el servicio alineado a las políticas internas de LA COOPERATIVA y en general a todas las leyes que tanto en el Ecuador cuanto en los demás países regulan la materia.
OBLIGACIONES DE LA COOPERATIVA:
Proveer de las facilidades técnicas para que el proveedor cumpla con los servicios contratados Cumplir con las condiciones acordadas y en caso de haber temas adicionales, deberá notificar con el tiempo correspondiente para que el proveedor realice el alcance correspondiente. Ejecutar los pagos de manera oportuna a EL CONTRATISTA de acuerdo con la forma de pago definida, en los plazos acordados, el valor correspondiente al servicio suministrado. Suministrar toda la información y facilitar los recursos y colaboración técnica y operativa que requiera para la realización de la labor. Asignar el personal solicitado para el cumplimiento del Objeto del Contrato, el mismo que trabajará con el personal de EL CONTRATISTA. Informarse adecuadamente de las condiciones de los servicios que brinda EL CONTRATISTA, los cuales se rigen por el presente Contrato y las leyes aplicables vigentes, no pudiendo alegar desconocimiento de dichas condiciones contractuales y/o legales. LA COOPERATIVA no podrá usar el servicio objeto del presente contrato, para servicios que puedan ser ilegales, inmorales, o que afecten a las buenas costumbres o el orden público. LA COOPERATIVA, se compromete por medio del presente contrato, a designar, a su cargo, el personal funcional necesario para la definición de los procesos y de implementación del servicio contratado. LA COOPERATIVA declara contar con todos los permisos, autorizaciones o concesiones para la prestación de los servicios propios de su actividad por lo que declara que EL CONTRATISTA únicamente comercializa y presta el servicio. LA COOPERATIVA es responsable de la información que se proporcione como parte de los proyectos y procesos a implementar. Toda penalidad se aplicará para incumplimientos imputables a la contratista.
MULTAS:
FASE DE IMPLEMENTACIÓN Y PUESTA A PRODUCCIÓN: Por cada día de retraso en la implementación de las fases del proyecto se aplicará una multa del 1% del valor de la fase de implementación. Los valores por concepto de multas serán descontados de la factura de la citada fase. No habrá lugar a aplicar multas cuando el retardo o incumplimiento se presente por causas imputables exclusivamente a LA COOPERATIVA, debidamente justificadas por el proveedor y por causa de fuerza mayor o caso fortuito, debidamente comprobado, que imposibiliten la ejecución del proyecto. El máximo valor de multas acumuladas al que se puede llegar en la fase de implementación y puesta en producción es del 5% del monto total de esta fase. En el caso de cumplir o sobrepasar el máximo valor de multas acumuladas, se podrá terminar unilateralmente el contrato. Las multas serán aplicadas siempre y cuando la demora sea imputable al proveedor. FASE DE OPERACIÓN: A partir de que la solución esté en producción y operando, entra en vigor lo descrito por el SLA.

SECCIÓN III

INSTRUCCIONES PARA LOS OFERENTES

A continuación, se detallan las instrucciones y condiciones que regirán el presente concurso, el cual se sujetarán los proveedores al momento de su participación.
CRONOGRAMA DEL CONCURSO
Concepto	Día	Hora
Fecha de publicación de Convocatoria o invitación	miércoles, 11 xx xxxx de 2022	17h00
Fecha límite para efectuar preguntas	martes, 17 xx xxxx de 2022	17h00
Fecha límite para emitir respuestas y aclaraciones	viernes, 20 xx xxxx de 2022	17h00
Fecha límite entrega de ofertas	miércoles, 25 xx xxxx de 2022	17h00
Las preguntas o aclaraciones deberán ser enviadas al correo: xxxxxxxxx@00xxxxxxxxx.xxx.xx ; xxxxxxxxxx@00xxxxxxxxx.xxx.xx con copia a: xxxxxxxx@00xxxxxxxxx.xxx.xx Las respuestas serán publicadas en la página web de la cooperativa dentro de las fechas establecidas para el concurso.
AMPLIACIÓN DE PLAZO PARA ENTREGA DE LAS OFERTAS
La Cooperativa de Ahorro y Crédito “29 de Octubre” Ltda., se reserva el derecho de prorrogar el plazo para la entrega de las ofertas, para lo cual notificará mediante correo electrónico a quienes se hayan presentado su manifestación en participar en el concurso.
FORMA DE PRESENTAR LA OFERTA
La oferta se presentará en sobre cerrado físico, debidamente etiquetado, foliado, anillado o en carpeta y con separadores a nombre de la Cooperativa de Ahorro y Crédito 29 de Octubre LTDA., ubicada en la Xxxxx Xxxxxxx x Xx. Xxxxxxxx Xxxxx, xxxxxx xx Xxxxxxxxx, primer piso Dirección Administrativa - Compras. Los documentos requeridos en este concurso serán parte integrante de la oferta y su incumplimiento podrá ser causal de descalificación La oferta se deberá presentar en un sobre único el cual contendrá la siguiente ilustración: CÓDIGO DEL PROCEDIMIENTO (BPCS-COM-2022-004) SOLUCIÓN PARA GESTIÓN DE CUENTAS PRIVILEGIADOS SOBRE ÚNICO Señor (es): Dirección Administrativa - Compras Cooperativa de Ahorro y Crédito 29 de Octubre Ltda. Presente. - PRESENTADA POR: RUC: NOTAS: No se tomarán en cuenta las ofertas entregadas en otro lugar o después del día y hora fijados para su entrega-recepción. El documento de la oferta debe estar foliado, anillado o en carpeta y ordenado por formularios mediante separadores. La oferta deberá estar en sobre sellado debidamente etiquetado.
FORMULARIOS DE LA OFERTA
El oferente deberá firmar y entregar en su oferta cada uno de los formularios que a continuación se detalla:
Formulario Nro. 1	Carta de Presentación y Compromiso
Formulario Nro. 2	Datos generales del Oferente
Formulario Nro. 3	Documentos habilitantes para participar
Formulario Nro. 4	Oferta Económica
Formulario Nro. 5	Servicios ofertados
Formulario Nro. 6	Experiencia del oferente
Formulario Nro. 7	Personal técnico propuesto para el proyecto/servicio
Formulario Nro. 8	Acuerdo de confidencialidad
Calificación y debida diligencia de proveedores	La Cooperativa de Ahorro y Crédito 29 DE OCTUBRE LTDA. ha designado a la empresa LOGICA para efectuar el proceso de Calificación de Proveedores, por lo que el proveedor ofertante deberá efectuar el proceso de calificación de manera obligatoria y de forma simultánea a la entrega de su oferta ya que esta formará parte de la evaluación. Se debe anexar la calificación o carta que han iniciado el proceso de calificación. Consultas o inquietudes sobre el proceso de calificación, contactar a: Ing. Carolina Tanicuchí xxxxxxxxxx@00xxxxxxxxx.xxx.xx 0983 481 828
DESCALIFICACIÓN DE LAS OFERTAS
La Cooperativa de Ahorro y Crédito “29 de Octubre” Ltda., descalificará las propuestas, por cualquiera de las siguientes causas: Si la oferta no se sujeta o no cumple con los requisitos establecidos para el Concurso. Si alguno de los documentos solicitados no ha sido presentado. Si se hubiera entregado y/o presentado la oferta en lugar distinto al fijado o después de la hora establecida para ello. Si el contenido de los formularios presentados difiere del modelo, condicionándolos o modificándolos, de tal forma que alteren las condiciones previstas para la ejecución del contrato. De igual forma, si se condicionara la oferta con la presentación de cualquier documento o información. Si se presentaran documentos con tachaduras o enmendaduras no salvadas. No se aceptarán excepciones, condicionamientos, rubros no solicitados ni cualquier modificación a las bases del concurso. SI de la revisión de los documentos que fueren del caso, pudiere evidenciarse inconsistencia, simulación o inexactitud de la información presentada. La Cooperativa podrá solicitar al oferente la documentación que estime pertinente y que ha sido referida en cualquier documento de la oferta, no relacionada con el objeto mismo de la contratación, para validar la oferta presentada del procedimiento.


VIGENCIA DE LAS OFERTAS
Las ofertas deberán tener un plazo mínimo de validez de 60 días, contados a partir de la fecha límite para su presentación, el mismo que deberá constar expresamente en la propuesta.
NOTIFICACIÓN DE ADJUDICACIÓN
La Dirección Administrativa a través del área de Compras notificará la adjudicación del contrato al oferente ganador en el término de 5 días posteriores a la aprobación emitida por el nivel correspondiente.

DECLARATORIA DE DESIERTO DEL CONCURSO
Por recomendación de Xxxxxxxx General se podrá declararse desierto en los siguientes casos: Por no haberse presentado ninguna oferta; Por haber sido descalificadas o consideradas inconvenientes para los intereses Institucionales; Cuando sea necesario introducir una reforma sustancial que cambie el objeto del contrato; Por deficiencias comprobadas en el desarrollo del proceso. Para la reapertura, se seguirán los procedimientos originales, si a pesar de la reapertura se declarare nuevamente desierto, se podrá ordenar su archivo y se procederá a realizar otro concurso.


FORMALIZACIÓN Y SUSCRIPCIÓN DEL CONTRATO
La suscripción del contrato se realizará dentro de quince (15) días contados desde la fecha de notificación de la adjudicación, dentro del cual el oferente adjudicado debe entregar los documentos habilitantes para la suscripción del mismo y haber cumplido el proceso de calificación y debida diligencia.

GARANTÍAS
El oferente entregará las siguientes garantías: De Fiel Cumplimiento de la Oferta por el 5% del valor ofertado por el proveedor (obligatorio – parte integral de la oferta para todos los participantes) De Fiel Cumplimiento de Contrato por el 5% del valor establecido a la firma del contrato. (obligatorio – únicamente proveedor adjudicado) Los contratistas podrán rendir cualquiera de las siguientes garantías: Garantía Bancaria incondicional e irrevocable de cobro inmediato, otorgada por una institución del sistema financiero ecuatoriano con calificación AA en adelante; Fianza instrumentada en una Póliza de seguro, incondicional o irrevocable, de cobro inmediato emitida por una compañía de seguros establecida en el País con calificación AA en adelante y endosada a favor de la Cooperativa.

SECCIÓN IV

ESPECIFICACIONES TÉCNICAS

Alcance/Servicios esperado

Especificaciones y Cuantitativas

GRUPO 1 - la adquisición de una solución de seguridad para identidades y privilegios, suscripción anual, incluyendo soporte técnico, garantía de actualización e instalación y servicios de formación durante 12 meses.

Artículo	Descriptivo	Tipo	Cantidad
1	Solución de seguridad para identidades y privilegios - Monitoreo de comportamiento y mitigación de riesgo de identidades con privilegios	Suscripción 12 meses (usuarios/sistemas de destino)	20
2	Solución de seguridad de identidad y privilegios: autenticación adaptativa simplificada (SSO)	Suscripción 12 meses (usuarios)	20
3	Solución de seguridad para identidades y privilegios - Autenticación adaptativa multifactor MFA	Suscripción 12 meses (usuarios)	20
4	Servicio de instalación y configuración para soluciones de seguridad para identidades y privilegios	Servicio	1
5	Servicio de Consultoría de Seguridad para Identidades y Privilegios	Servicio	1
6	Capacitación para la solución de seguridad para identidades y privilegios	Servicio(clase)	4

Especificaciones técnicas de la solución

1	Solución de Seguridad de Identidad y Accesos Privilegiados - Monitoreo conductual y mitigación de riesgos de identidades con privilegios
1.1	Características generales de la solución
1.1.1	La solución debe apoyar con el cumplimiento como mínimo de los requisitos (artículos 6, 42, 43, 46, 48 y 50) de la Ley Orgánica De Protección De Datos Personales, tales como: Determinar cómo deben tratarse, mantenerse y protegerse los datos y a quién debe notificarse en caso de incumplimiento; Proteger el acceso a datos personales confidenciales; Monitorear al personal y responder a los incidentes; Aplicar buenas prácticas de gobernanza, a través de normas que deben cumplir con los preceptos de la ley, con el fin de mitigar los riesgos inherentes al procesamiento de datos e implementar y demostrar la eficacia de las políticas de seguridad relacionadas con el procesamiento de datos.
1.1. 2	Apoyando los requisitos de la Ley Orgánica De Protección De Datos Personales, la solución debe proteger y monitorear el acceso a datos personales confidenciales a través de la seguridad de credenciales y accesos de alto privilegio a servicios y activos críticos, Detectar y responder rápidamente a incidentes de seguridad, identificar y mitigar acciones privilegiadas con comportamientos de alto riesgo, evaluar riesgos y probar la eficacia de los procesos de protección de datos a través de informes de soluciones identificando y clasificando el estado de riesgo del entorno privilegiado, demostrando el cumplimiento y la prueba de que los controles de seguridad necesarios están en los lugares adecuados, proporcionando análisis de comportamiento, auditoría y seguridad de acceso a los sistemas a través de todas las credenciales administrativas de alto privilegio en dispositivos y sistemas de destino diversos del entorno.
1.1. 3	Un sistema de solución de destino se define como un servidor, una estación de trabajo, una red y un activo de seguridad, entre otros mencionados en el numeral 1.1.5, cuyas credenciales de acceso ahora están protegidas y administradas por la solución;
1.1. 4	Un usuario de la solución se define como cualquier persona que tiene acceso a un sistema de destino iniciando sesión en la solución y utilizando las credenciales administradas por ella.
1.1. 5	Debe supervisar las sesiones, grabar, detectar, correlacionar y mitigar todos los comportamientos anormales de al menos 20 usuarios simultáneos accediendo al menos a 400 sistemas de destino, entre ellos servidores Linux/Unix, Windows, controladores de dominio de Microsoft Active Directory, estaciones de trabajo Windows, diversos activos de red y de Seguridad así como aplicaciones Cliente servidor/Web y servicios en Nube ya sean IaaS, SaaS o PaaS, ya teniendo en cuenta un crecimiento del 10% durante la vigencia del contrato
1.1. 6	La solución debe tener la capacidad de entregar un acceso remoto seguro (externo a la red corporativa) a los usuarios corporativos o externos, sin necesidad de instalación de clientes VPN en los dispositivos de usuarios remotos y garantizando un acceso seguro con MFA sin necesidad de modificar los recursos de autenticación corporativos como el AD, estos servicios se deben prestar durante todo el período de suscripción contratado.
1.1. 7	La solución debe entregarse con múltiples factores de autenticación adaptativa para los usuarios internos y/o remotos (externos a la red corporativa) mencionados, durante todo el período de garantía contratado, soportando al menos:
1.1. 7.1	Usuario y contraseña de directorios compatibles, aplicación para dispositivos móviles tipo IOS y Android, soporte para biometría tipo FaceID y a través del lector digital, Smartphone push (Notificación para aprobar o rechazar una autenticación), Geolocalización a través de Coordenadas GPS y base de datos IP, soporte de tokens OATH OTP, autenticación en la pantalla de inicio de sesión a través de QR code sin la necesidad de introducir usuario y contraseña (Passwordless), con la opción de forzar la biometría en el dispositivo móvil, Entrega de código a través de SMS y llamada de voz, preguntas de seguridad, notificaciones de correo electrónico y teléfono móvil, OTP tokens (en línea, fuera de línea, por correo electrónico y Hardware).
1.1. 7.2	Autenticación dinámica basada en el contexto de riesgo y seguridad aprendido por la solución, permitiendo la creación de un perfil para cada usuario, aprovechando los atributos históricos y situacionales específicos del mismo, como la ubicación, el dispositivo, la red, el horario y el índice de riesgo de comportamiento.
1.1. 7.3	Análisis de las solicitudes de autenticación con los estándares históricos, asignación de índice de riesgo a cada intento de inicio de sesión, generación de alertas y creación de directivas de bloqueo para que se activen cuando se detecte un comportamiento anómalo y se simplifique el acceso cuando se entienda que el usuario es legítimo.
1.1. 7.4	Permitir a los usuarios agregar y modificar factores de autenticación directamente en un portal con una definición de período de omisión de autenticación multifactor.
1.1. 7.5	Proporcione informes y paneles personalizables que detallen la información en tiempo real sobre las actividades de autenticación, como errores de autenticación secundarios, intentos de inicio de sesión correctos y los factores de autenticación más utilizados.
1.1.8	Sistemas de destino basados en al menos las siguientes tecnologías: S.O.: Linux/Unix y Microsoft Windows; Hipervisores: VMWare, RedHat KVM y Microsoft Hyper-V; Cuentas de usuario del sistema y de procesos como (servicios, Tareas programadas, Config File, .ini, ETC); Credenciales de Microsoft COM+, IIS, Apache TomCat, RedHat Jboss; Objetos de Microsoft Active Directory y LDAP (usuarios, grupos y equipos); Administradores de bases de datos de Microsoft SQL Server, Oracle, PostgreSQL y cuentas de usuario; Cuentas de equipos de conectividad de red de área local activa (LAN) y WAN (red de área amplia): conmutadores, enrutadores, controladores WiFi/AP, red de área de almacenamiento (SAN) y almacenamiento de red conectado (NAS); Cuentas de usuario y administradores de consolas de administración de servidores y estaciones de trabajo; Cuentas de equipos dedicadas a la seguridad como Firewall, IPS, AntiSpam y filtros de contenido; Cuentas de equipos dedicados a la seguridad física, tales como cámaras de vigilancia, torniquetes, etc.; Credenciales en la nube en VMWare ESXi, Azure, AWS, GCP, Office 365.
1.2	Gestión de datos del ciclo de vida y uso compartido de cuentas con privilegios, monitoreo y registro de sesiones con privilegios
1.2.1	La solución debe conceder acceso a los sistemas mediante "Escritorio remoto RDP" y "SSH", puestos a disposición por los sistemas de destino del entorno, sin que los usuarios vean ninguna contraseña o secreto (estas credenciales previstas para aplicaciones y conexiones remotas, deben recuperarse de forma automática en caso de cambio de las mismas desde el repositorio seguro de credenciales de la solución), asegurándose de que no es necesario instalar aplicaciones (API) y/o agentes en las estaciones de los usuarios para realizar el acceso a sistemas y aplicaciones parametrizables, donde la aplicación debe ejecutarse de modo virtualizado (usando Terminal servicies seguros) o a través de un entorno Web HTML5 con SSL, autenticado correctamente con el usuario y la contraseña predeterminadas o recuperadas de la base de datos de soluciones, sin iniciar sesión interactiva por el usuario directamente en el servidor de destino, lo que permite la grabación de sesiones de destino. Ejemplo: Ejecutar el cliente de conexión de SQL Management Studio de modo seguro (Virtualizado), autenticarse automáticamente con la credencial de administrador del sistema (SA) sin que el usuario conozca la contraseña y sin necesidad de que el usuario deba iniciar sesión directa en el sistema host de destino, ni que este tenga instalado el cliente de SQL Manager Studio en su estación de trabajo;
1.2.2	La Solución debe entregar sesiones administrativas a las que se acceda y monitoree en tiempo real, con el uso compartido de pantalla y el control de periféricos, como el teclado y el ratón (asistencia remota), y mediante la grabación de comandos y vídeos de los mismos, en formato estándar de ejecución no propietaria de la solución, permitiendo que los comandos y vídeos generados se puedan indexar para futuras búsquedas, permitiendo el filtro de comandos y acciones realizadas a lo largo de la sesión grabada , lo que le permite buscar acciones específicas en la sesión grabada;
1.2.3	Proteger contra la pérdida, el robo y la administración incorrecta de credenciales a través de reglas de complejidad de contraseñas que incluyen la longitud de la contraseña (número de caracteres), la frecuencia de intercambio automatizado de contraseñas, secretos y claves SSH, la especificación de caracteres permitidos o prohibidos en la composición de contraseñas y otras medidas, y mitigar los problemas de seguridad relacionados con el uso compartido incorrecto de credenciales con privilegios que se almacenan localmente en dispositivos, y también cuentas que no son administradas de forma centralizada por los servicios de directorio;
1.2.4	Descubrir las credenciales privilegiadas a las que hacen referencia los servicios y procesos automatizados, distribuir contraseñas generadas aleatoriamente de manera automática donde quiera que se hagan referencia y descubran estas credenciales y cambiar las credenciales en el entorno de Windows, incluidas las cuentas con nombre, los administradores integrados y los invitados, para evitar los movimientos laterales (PassTheHash), también debe contar con herramientas para mostrar en un mapa de red gráfico e interactivo vulnerabilidades como (PassTheHash o Golden Ticket), o a través de informes e interfaz de administración;
1.2.5	Administrar de forma segura las contraseñas utilizadas por las cuentas de servicio, evitando el uso de contraseñas de texto no cifrado mediante scripts o rutinas de equipos y garantizando la implementación de los privilegios mínimos necesarios, proporcionando acceso a contraseñas de cuentas con privilegios solo al personal y servicios autorizados;
1.2.6	Tener funcionalidad "AD Bridge" para integrar servidores Linux/Unix en Active Directory, realizar un seguimiento de la misma nomenclatura y grupos de directorios ldap o AD; Aprovisionar en la plataforma tipo Unix cuentas de directorio activo y grupos que tienen permiso de acceso, de forma automatizada y transparente;
1.2.7	Permitir que la definición de Flujos de aprobación (Flujos de trabajo) obtenga acceso a Cuentas Privilegiadas, con las siguientes características: Personalización de flujos: permitir la configuración de flujos para su aprobación, de acuerdo con la criticidad y características de la cuenta, y la aprobación de al menos uno responsable; Permitir la aprobación antes de programar acciones administrativas; es decir; la aprobación de acceso tendrá lugar en un día, pero la liberación de la contraseña se producirá automáticamente solo en la fecha y hora programadas; Ser capaz de encontrar cuentas de usuario con privilegios que se pueden administrar mediante la solución; Ser capaz de reemplazar las contraseñas de identidad con privilegios que están siendo utilizadas por un servicio determinado en todas las ubicaciones donde se utilizan; La detección automática debe realizarse mediante búsquedas en active Directory (AD) y segmentos de direcciones IP;
1.2.8	Ofrecer en su Interfaz de usuario UI diferentes vistas y opciones según los permisos y roles de los usuarios, mostrando, por ejemplo, sólo las funcionalidades delegadas a ese usuario; Métodos de soporte para registrar e informar de cualquier acción realizada y detectada por la solución, incluidos los registros de aplicaciones basados en texto, la auditoría de bases de datos, las aplicaciones de Syslog, las notificaciones por correo electrónico, ETC.
1.2.9	Registre cada acceso, incluido el acceso a través de la aplicación web, para solicitudes de contraseñas, aprobaciones, checkout, cambios de delegación, informes y otras actividades. El acceso a la consola de administración de soluciones debe registrarse tanto para la configuración como para los informes, así como para todas las actividades de cambio de contraseña; cierre de sesión de los usuarios; Cambios en las funciones de delegación; Adiciones y cambios de contraseñas gestionados por la solución; Operaciones de las contraseñas de los usuarios, incluyendo check-in y check-out, solicitudes denegadas y permitidas; Los informes deben filtrarse por período de tiempo, tipo de operación, sistema, administrador y otros criterios;
1.2.10	Debe proporcionar informes detallados de cumplimiento de las operaciones realizadas por la solución, tales como: Lista de sistemas administrados; Contraseñas almacenadas; Eventos de cambio de contraseña; Permisos de acceso web; Auditoría de cuentas, sistemas y usuarios; Alerta en tiempo real;
1.3	Análisis conductual y mitigaciones de riesgos en el entorno crítico para las identidades privilegiadas
1.3.1	La solución debe realizar la identificación y correlación de todas las acciones mencionadas a continuación, pero sin limitarse a estableciendo perfiles de comportamiento general (usuarios, accesos, credenciales, máquinas y otros parámetros descritos a continuación) del entorno privilegiado y acceso a los sistemas de destino a través de la solución.
1.3.2	Combinaciones que tipifican abusos, comportamientos anormales y fuera de los estándares aprendidos/asignados, aplicando acciones atenuantes automáticas como la re-autenticación, suspensión y terminación de sesiones y rotación de credenciales privilegiadas en caso de actividad sospechosa de alto riesgo, detectando al menos los siguientes casos:
1.3. 3	Accesos a la solución:
1.3.3.1	Durante horarios irregulares: cuando un usuario recupera una contraseña de cuenta con privilegios en un momento irregular según su perfil de comportamiento;
1.3.3.2	Durante días irregulares: cuando un usuario recupera una contraseña de cuenta con privilegios en un día irregular de acuerdo con su perfil de comportamiento;
1.3.3.3	A través de IP irregular y desconocida: cuando un usuario accede a cuentas con privilegios de una dirección IP o subred inusual, de acuerdo con su perfil de comportamiento y cuando se realiza una conexión a un equipo con una cuenta con privilegios que no se administra en la solución.
1.3.4	Acceso general:
1.3.4.1	Cuentas con privilegios excesivos: cuando un usuario accede a cuentas con privilegios con más frecuencia de lo normal, según su perfil de comportamiento;
1.3.4.2	Anómalo para varias máquinas: cuando una cuenta ha iniciado sesión en un gran número de máquinas inesperadas durante un tiempo relativamente corto;
1.3.4.3	Realizado fuera de la solución: directamente en el sistema de destino;
1.3.4.4	Excesivo a una máquina;
1.3.4.5	Registro inusual de usuarios desde una máquina de origen conocida;
1.3.4.6	Cuando se producen indicaciones de actividad de un usuario inactivo de la solución;
1.3.4.7	Actividades definidas como sospechosas detectadas en sesiones con privilegios: comandos y anomalías en la solución.
1.3.5	Máquinas:
1.3.5.1	Se accede desde direcciones IP inusuales;
1.3.5.2	Accedido durante horas irregulares, de acuerdo con su patrón de uso;
1.3.5.3	Inusuales éxitos de origen.
1.3. 6	Credenciales y cuentas:
1.3.6.1	Sospechoso de robo de credenciales cuando un usuario se conecta a una máquina sin recuperar primero las credenciales necesarias de la solución;
1.3.6.2	Cambio de contraseña sospechoso, cuando se identifica una solicitud para cambiar o restablecer una contraseña omitiendo la solución;
1.3.6.3	Credenciales expuestas de cuentas de servicio que se conectan a LDAP en texto no cifrado;
1.3.6.4	Cuentas con privilegios con configuración de nombre principal de servicio (SPN) que son vulnerables a ataques de fuerza bruta y diccionario sin conexión, lo que permite a un usuario interno malintencionado recuperar la contraseña de texto sin cifrar de las cuentas;
1.3.6.5	Cuentas de servicio conectadas a través de inicio de sesión interactivo.
1.3.7	Debe permitir la clasificación de los eventos por niveles de riesgo y respuestas automáticas (alertamiento, suspensión y terminación de sesión) basadas en los mismos, con la posibilidad de sesiones de cuarentena, pendientes de liberación y terminación por parte del administrador,
1.3.8	Debe permitir que la configuración de eventos críticos se notifique automáticamente, basado en comandos de Linux, ventanas y aplicaciones de Windows, expresiones regulares para comandos en general y eventos configurados manualmente, lo que permite la asignación de nivel de riesgo personalizado;
1.4	Análisis de comportamiento y mitigación de riesgo para acceso en aplicaciones de negocio para colaboradores y terceros (UBA)
1.4.1	La solución se debe basar en algoritmos de aprendizaje de máquina (machine learning) no supervisados. Es decir, los modelos estadísticos con los casos de uso ya deben estar listos y calibrados.
1.4.2	La solución debe medir el riesgo de la autenticación verificando el comportamiento histórico de la identidad a través del conjunto de los siguientes atributos:
1.4.2.1	Geo velocidad: mide la velocidad respuesta del login comparando la localización del último login con la localización actual y evitando "desplazamientos imposibles". Además, de perfil de comportamiento del usuario en este aspecto. Por ejemplo, personas que se desplazan mucho pueden tener una puntuación de riesgo baja, aun cuando su geo velocidad sea mayor que la de personas que no se desplazan.
1.4.2.2	Geolocalización: mide el riesgo de autenticación verificando su localización geográfica de acceso actual en comparación con su comportamiento usual.
1.4.2.3	Día de la semana: mide el riesgo de autenticación verificando el día de la semana de acceso actual en comparación con su comportamiento usual.
1.4.2.4	Horario de acceso: mide el riesgo de autenticación verificando el horario de acceso actual en comparación con su comportamiento usual.
1.4.2.5	Sistema operativo: mide el riesgo de autenticación verificando el sistema operativo de acceso actual en comparación con su comportamiento usual.
1.4.2.6	Fallas de login consecutivas: mide el riesgo de autenticación verificando las fallas de login consecutivas del acceso actual en comparación con su comportamiento usual.
1.4.3	La solución debe permitirles a los administradores personalizar los rangos de puntuación (0 a 100) para las categorías: Sin riesgo Riesgo bajo Riesgo medio Riesgo alto
1.4.4	La solución debe permitirles a los administradores personalizar la influencia en la medición del riesgo para cada atributo citado en el ítem 1.3.2. Por ejemplo, para La Cooperativa, la geo velocidad puede ser un factor poco relevante. Por eso, debe poder configurar la influencia de este riesgo como baja en la configuración del riesgo de la plataforma.
1.4.5.	El riesgo calculado durante la autenticación por el motor de análisis del comportamiento de los usuarios debe compartirse con los módulos (SSO y MFA) que realizan el login, para los casos de uso citados en este documento, y utilizarlo como contexto para: Solicitar autenticación de múltiples factores de forma dinámica Permitir el login sin el uso de múltiples factores Negar la autenticación
1.4.6	Debe brindarles a los administradores de la solución la capacidad de explorar los datos históricos a través de dashboards, filtros y gráficos configurables, verificar las alertas y los factores que los influenciaron y explorar los eventos capturados y sus atributos.
1.4.7	Debe proveer gráficos de línea de tiempo, donuts, mapas con la geolocalización de los eventos, gráficos xx xxxxxx, tablas analíticas y mapas de relación. Sus dimensiones y categorías deben ser personalizables.
1.4.8	Debe ser capaz de exportar los datos de alertas, riesgos calculados y eventos a PDF y CSV y, además, grabar las visualizaciones en la solución para consultas posteriores.
1.4.9	Debe estar integrada x xxxxxxx de inteligencia cibernética de terceros reconocidas en el mercado como, por ejemplo, Palo Alto Cloud.
1.4.10.	Debe poseer interfaz para el envío de alertas de forma automatizada. Debe soportar, como mínimo: Correo electrónico con contenido de alerta Webhooks como, por ejemplo, envío de mensaje a un canal de Microsoft Teams x Xxxxx
1.4.11	Poseer dashboards configurados previamente con informaciones y gráficos con las siguientes características: Utilización de motor de análisis del comportamiento de los usuarios Comportamiento de los usuarios en la utilización de las aplicaciones Visión sobre la seguridad de las aplicaciones Mapa con la geolocalización de las autenticaciones Visión sobre el comportamiento de los Endpoints (móviles y computadoras) Visión sobre el comportamiento de las identidades
1.4.12	La solución debe permitir configurar dashboards personalizados.
1.4.13	Debe permitir compartir los dashboards con otros usuarios.
1.5	Arquitectura y seguridad de soluciones
1.5.1	Incorporar medidas de seguridad como la Certificación de Criterios Comunes (CC) - ISO/IEC 15408 - como garantía de seguridad del método utilizado en el desarrollo del sistema xx xxxxxx segura de credenciales, el sistema de almacenamiento de información ya sea sistema estructurado de datos o Base de datos debe incluir un cifrado fuerte siendo compatible con: AES con claves de 256 bits, FIPS 140-2 y ENCRYPTION PKCS-11 o superior; y protocolos de transmisión seguros con el fin de proteger la información en tránsito entre los módulos de solución y las aplicaciones web de los usuarios finales.
1.5.2	Debe usar la base de datos de alta disponibilidad para el almacenamiento de credenciales, con prácticas recomendadas de seguridad como: mecanismo de protección del sistema operativo, deshabilitando o desinstalando servicios y puertos de acceso no esenciales para el funcionamiento de la solución. Si la base de datos utilizada para el almacenamiento de credenciales es de terceros, la solución debe entregarse con licencias de software, garantía y soporte que la hagan compatible con la solución sin que la entidad deba incurrir en ningún costo oculto de licenciamiento para el funcionamiento de la misma en las condiciones establecidas;
1.5.3	La solución debe estar disponible como SaaS o en modelo de suscripción para implementación en ambientes de Nube (AWS, Azure y Google Cloud) y/o entorno físico o virtualizado con infraestructura (servidores / software en entorno virtualizado, S.O., capa de balanceo de tráfico / redirección, etc.) de Windows Server 2016 R2, Windows Server 2019 y / o Linux.
1.5.4	Los elementos críticos de la solución, como Bóveda segura de credenciales, deben garantizar esquemas de alta resiliencia, en caso de ser nube deben cumplir con SOC2, en caso de ser implementaciones On-Premises, Nubes Privadas (AWS, Azure o GC) o ambientes híbridos esta debe instalarse en alta disponibilidad activa-activa, Satélite o al menos DR en cada una de las ubicaciones (sitio principal y sitio redundante adicional), con sincronización entre sitios), asegurando que el proceso sea transparente para los usuarios conectados y la normalización de la funcionalidad se produce en 5 (cinco) minutos, si hay pérdida de comunicación y mecanismos para la recuperación ante desastres compatibles con soluciones de copia de seguridad y archivado disponibles en el mercado;
1.5.5	En caso de ser implementación con licenciamiento propio debe proporcionar al menos dos entornos externos adicionales de la solución en producción para pruebas y homologación, replicando las mismas licencias y funcionalidades del entorno de producción sin ningún costo adicional para la entidad, en caso de ser un SaaS se debe proporcionar el licenciamiento necesario de los componente instalados en las instalaciones de La Cooperativa para propósitos de pruebas y homologación sin ningún costo para la misma.
2	Solución de seguridad para identidades y privilegios – Autenticación Adaptativa y simplificada (SSO)(AppGateway)
2.1	La solución debe proporcionar un catálogo de aplicaciones web con modelos de configuración de inicio de sesión único (SSO)que contengan al menos 1000 tipos de las aplicaciones más conocidas xxx xxxxxxx, con el fin de facilitar la configuración de estas integraciones.
2.2	La solución debe permitir la configuración de las aplicaciones web mínimamente a través de los siguientes protocolos y métodos: SAML 2.0 Modo cliente Oauth 2.0 WS-Federation Conexión OpenID Ntlm Modo de servidor Oauth 2.0 HTTP Basic Extensión en el navegador para capturar aplicaciones web que utilizan el formulario con el usuario y la contraseña y realizar la finalización automática del inicio de sesión y la contraseña de forma automatizada. Esta información debe almacenarse de forma segura en la solución para la finalización automática en futuros inicios de sesión en estas aplicaciones.
2.3	La solución debe ofrecer un componente/software para intermediar el SSO en aplicaciones web hosteadas en el centro de datos de La Cooperativa sin necesidad de exponer estas aplicaciones al uso de Internet o VPN y debe admitir los mismos métodos y protocolos que el elemento anterior.
2.4	La solución debe proporcionar una extensión avanzada del explorador solo para los administradores de soluciones, con el fin de asignar los campos de los formularios (normalmente inicio de sesión y contraseña) para que después de asignar el usuario administrado pueda incluir como una aplicación web para SSO en el catálogo general, lo que permite el SSO de aplicaciones que no admiten protocolos más modernos como SAML y Oauth.
2.5	Admite SSO a través de la autenticación integrada de Windows (IWA) que reutiliza el inicio de sesión de red para la autenticación en aplicaciones web, sin necesidad de introducir el usuario y la contraseña de nuevo.
2.6	Admite la personalización de respuestas SAML, como la asignación de atributos de directorio a atributos SAML, la capacidad de incluir lógica compleja para controlar las respuestas SAML y habilitar la visualización de la respuesta SAML configurada antes de su implementación.
2.7	La solución debe proporcionar un portal WEB para el usuario final con las siguientes características: Después de iniciar sesión presente las aplicaciones web disponibles para realizar el SSO, a través de un conjunto de iconos donde cada uno representa una aplicación que el usuario tiene el derecho de realizar el SSO Realice cambios en los atributos de identidad, como el teléfono celular, el correo electrónico y la foto. Compruebe sus actividades de identidad a través del panel de control con la siguiente información: Total, de inicios de sesión. Total, de errores de inicio de sesión. Geolocalización de sus inicios de sesión. Compruebe la geolocalización actual de sus dispositivos registrados. Uso de aplicaciones. Historial de eventos importantes, como una nueva aplicación agregada a su portal de SSO, errores de inicio de sesión, entre otros.
2.8	Debe tener servicio de directorio para almacenar identidades en la solución, sin depender de la sincronización con otros servicios de directorio on-premise o en la nube de terceros.
2.9	El servicio de directorio de soluciones debe tener la capacidad de ampliar su esquema configurando atributos personalizados para satisfacer requisitos empresariales complejos
2.10	El servicio de directorio de soluciones debe ser auto-escalable para admitir millones de identidades y miles de atenciones simultáneas.
2.11	Debe tener la capacidad de forzar la complejidad de las contraseñas mínimamente a los siguientes requisitos: Tamaño mínimo. Tamaño máximo. Requiere dígitos mínimos. Requiere letras mayúsculas y minúsculas. Requiere una función especial (símbolo). Limitar caracteres consecutivos. Forzar la expiración de las contraseñas en función de su edad. Guardar historial de contraseñas para evitar la reutilización
2.12	Proporcione una notificación para la expiración de las contraseñas por correo electrónico.
2.13	Capturar errores de inicio de sesión repetidos para el bloqueo de usuarios
2.14	La solución también debe admitir la integración con los servicios de directorio en la nube y on-premises, lo que debe admitir mínimamente: Microsoft Active Directory. Microsoft Azure AD Directorio de Google Directorios LDAP
2.15	Las integraciones con un directorio de terceros no deben sincronizarse con estas bases de datos, es decir, cargar todo el directorio configurado en la nube, la solución debe actuar como intermediario entre los servicios de directorio de terceros y la solución.
2.16	La solución debe integrarse con proveedores de identidad social con el fin de autenticar delegados a dichos proveedores y cumplir los requisitos empresariales potenciales, apoyando mínimamente a los siguientes proveedores: Google. Facebook. LinkedIn. Microsoft.
2.17	La solución debe tener la capacidad de configurar LOS PROVEEDORES DE IDENTIDAD (IDP) de los socios comerciales de La Cooperativa para dar acceso a identidades federadas en aplicaciones empresariales de La Cooperativa sin necesidad de crear una nueva identidad en la infraestructura, a través de la federación realizada a través del protocolo SAML.
3	Solución de seguridad para identidades y privilegios - Autenticación Adaptativa Multifactorial MFA
3.1	La solución debe ser capaz de cumplir mínimamente los siguientes casos de uso para solicitar uno y más factores de autenticación: Aplicaciones web integradas en la autenticación simplificada - funciones SSO. En las pantallas de inicio de sesión y desbloqueo de los sistemas operativos Windows y MacOs. Autenticación multifactor para soluciones VPN a través de RADIUS o SAML. Cualquier dispositivo o sistema operativo que admita RADIUS. Complemento para ADFS (IDP, proveedor de identidad), servicios de federación de Active Directory. A petición mediante el protocolo Oauth y las API de REST. Para realizar el restablecimiento de contraseña de servicio automático o desbloqueo de usuario.
3.2	La solución debe ser capaz de ofrecer mínimamente los siguientes métodos para múltiples factores de autenticación:
3.2.1	Usuario y contraseña de los directorios admitidos en la solución.
3.2.2	A través de la aplicación móvil iOS y Android, que ofrece soporte para: Biometría FaceID. Biometría a través del lector digital. Inserción de Smartphone (Notificación para aprobar o rechazar una autenticación). Geolocalización a través de GPS coordenadas e IDatabase. Suporte tokens OATH OTP. Autenticación en la pantalla de inicio de sesión a través de QRcode (Passwordless) sin necesidad de introducir el usuario y la contraseña, con la opción de forzar la biometría en el dispositivo móvil.
3.2.3	Llamada telefónica solicitando un PIN configurado previamente.
3.2.4	Mensaje de texto SMS que ofrece el código para la entrada manual y también una URL única presente en el mensaje de texto que ofrece la opción de aprobar o rechazar la autenticación sin la necesidad de introducir el código manualmente.
3.2.5	Confirmación de código por correo electrónico.
3.2.6	Clientes de Oath OTP (por ejemplo, Google Authenticator).
3.2.7	Autenticadores que admiten FIDO2 / U2F, que admiten mínimamente: Windows Hello. Yubikey. Google Titan Key MacOS TouchID.
3.2.8	Preguntas y respuestas previamente configuradas.
3.3	Permita que los usuarios realicen el restablecimiento de contraseña y el desbloqueo del usuario, autoservicio mediante los múltiples métodos de factor de autenticación citados para la verificación positiva a través del portal de soluciones, Windows y la pantalla de inicio de sesión del sistema operativo MacOS, y a través de las API de REST que ofrece la solución.
3.4	Para cada caso de uso o conjunto de casos de uso de varios factores de autenticación citados, la solución puede identificar los atributos de contexto de cada autenticación para proporcionar los métodos mejor definidos para la autenticación, lo que admite mínimamente: Direccionamiento IP. Día de la Semana. Fechas específicas. Ventanas de tiempo entre dos fechas. Ventanas de tiempo entre horas (por ejemplo, horario laboral). Tipo de sistema operativo. Tipo de navegador. Perfiles configurados en la solución. País de acceso. Si es un dispositivo administrado. Autenticación a través del certificado. Nivel de riesgo de autenticación medido por un motor de análisis de comportamiento del usuario.
3.5	La solución debe ser capaz de detectar casos de uso y perfiles de autenticación ya validados por los usuarios y ya no solicitarlos durante un período de tiempo configurado por el administrador de la solución, evitando así validaciones repetidas en un corto período de tiempo.
3.6	El conjunto de factores de autenticación disponibles debe basarse en el acceso a través de las reglas especificadas en el elemento anterior y segregadas por: Suite de aplicaciones. Una sola aplicación. Reglas para el restablecimiento de contraseña de autoservicio y el desbloqueo del usuario. Portal do Administrador. Portal de usuarios.
3.7	La solución debe proporcionar un portal WEB para el usuario final con las siguientes características: Permitir al usuario realizar el registro automático de sus factores de autenticación, como preguntas y respuestas, tokens FIDO2, OATH OTP, establecer PIN para llamada telefónica, TouchID, FaceID, Windows Hello, entre otros. Permitir que el usuario redirija la autenticación multifactor a otros usuarios (siempre y cuando se permita). Permitir a los usuarios administrar sus dispositivos inscritos mínimamente: Smartphone, Android e IOS. Sistemas operativos Windows y MacOS. Para cada dispositivo registrado, los usuarios deben tener las siguientes capacidades de administración: Deshabilite SSO de forma remota. Habilite SSO de forma remota. Realizar el registro automático de nuevos dispositivos móviles.
3.8	La solución debe proporcionar una aplicación móvil para Android e IOS con las siguientes características: Después de iniciar sesión presente las aplicaciones web disponibles para realizar el SSO, a través de un conjunto de iconos donde cada uno representa una aplicación que el usuario tiene el derecho de realizar el SSO ya integrado con los navegadores instalados en dispositivos móviles. Proporcionar el inicio de sesión a través del análisis de QRcode en el portal web que permite SSO sin ID de usuario y contraseña (Passwordless). Configure OATH OTP adicional de otras soluciones. Configure OATH OTP para la autenticación multifactor en sistemas operativos Windows y MacOS (pantallas de inicio de sesión y bloqueo) cuando se desconectan de Internet. Compruebe los dispositivos registrados (dispositivos móviles y sistemas operativos). Integración nativa con FaceID, TouchID, lector biométrico de dispositivos móviles que los aprovechan para la autenticación biométrica durante el inicio de sesión en aplicaciones. Reporte coordenadas GPS a sistemas que utilicen geolocalización. Detectar ROOT en dispositivos Android y Jailbreak en dispositivos IOS con el propósito de detectar actividad maliciosa y como consecuencia la aplicación está deshabilitada para su uso
3.9	La aplicación debe admitir la autenticación de tipo de inserción, donde el usuario tiene la opción de aceptar o rechazar el desafío, esta notificación contiene mínimamente: Acceso a la IP de origen. Fecha y hora. Geolocalización ciudad /acceso Aplicación a la que se accede.
4	Servicio de instalación y configuración para la solución de seguridad de identidad y privilegios
4.1	A efectos del numeral 1, se considera 1 día (8 horas)
4.2	Para la implementación será realizada un plazo de 60 días, a partir de la fecha de firma del contrato
4.3	En el momento previo a la firma del plazo de recepción provisional, se solicitará al Organización la reunión de inicio del proyecto (KickOff), con el fin de definir el alcance de la implementación. Este KickOff debe contener las actividades, plazos y responsables de la implementación para supervisar la evolución del proyecto.
4.4	Durante esta etapa, el equipo del La Contratista debe estar disponible en los momentos de instalación definidos por el equipo de La Cooperativa.
4.5	Las actividades de instalación y configuración, según la necesidad, se pueden realizar durante el horario laboral, nocturno o fin de semana.
4.6	Será responsabilidad del Proveedor la provisión de la infraestructura necesaria para la correcta implementación de la solución ofertada.
4.7	El montaje e instalación de todos los componentes que componen la solución adquirida son responsabilidad del La Contratista.
4.8	Los componentes de software deben estar en la versión más actualizada de la solución, garantizando su estabilidad.
4.9	La Contratista deberá comunicar a La Cooperativa toda la información necesaria para la correcta instalación y configuración de la solución.
4.10	La Contratista proporcionará la información necesaria para la correcta instalación de la solución.
4.11	La Contratista proporcionará la transferencia de conocimientos en el formato práctico al equipo técnico de La Cooperativa en la implementación de la solución, a lo largo de las actividades de configuración, así como durante las actividades de apoyo y personalización.
4.12	La Contratista debe, al final de la implementación, preparar la documentación técnica de los procedimientos realizados durante la implementación.
4.13	La Contratista prestará el servicio de personalización con el equipo técnico de La Cooperativa durante la vigencia del contrato derivado de este proceso.
4.14	Las personalizaciones son incrementos en el uso de la herramienta que van más allá de la mera configuración de los recursos existentes o no se caracterizan como un servicio de soporte o implementación inicial por lo cual puede acarrear costos que deben ser comunicados y socializados por el La Contratista a La Cooperativa.
4.15	En la personalización de soluciones, los servicios cubren casos tales como: Realizar personalizaciones que requieran desarrollo de scripts, automatizaciones avanzadas, paneles y congéneres; Integración de la solución con las nuevas tecnologías adquiridas por La Cooperativa; Nueva instalación de la solución debido a la recuperación ante desastres del entorno; Consultoría utilizando las mejores prácticas adoptadas para las soluciones.
4.16	Antes de iniciar una orden de servicio, el/la Contratista, junto con La Cooperativa, estimará el esfuerzo para realizar el servicio.
4.17	El/la Contratista supervisará y contará el uso de días/horas.
4.18	La prestación de servicios de instalación/configuración debe ser realizada por profesionales especializados, que cuentan con la certificación del fabricante de la solución adquirida, que les dan las habilidades necesarias para llevar a cabo los servicios respectivos o por el fabricante de la solución ofrecida.
5	Solución de capacitación para la seguridad para identidades y privilegios
5.1	Para efectos del documento, se considera 1 clase (a menos 4 días).
5.2	Serán por lo menos 24 horas para una clase de al menos 6 estudiantes;
5.3	Debe contener un contenido orientado las tareas necesarias para el funcionamiento y el mantenimiento de los elementos de este proyecto.
5.4	Se llevará a cabo preferiblemente en el modelo virtual.
5.5	Si la Cooperativa elige el modelo virtual, debe realizarse en línea por videoconferencia, en español, utilizando la herramienta propia de el/la Contratista (por ejemplo, Cisco Webex, Adobe Connect, etc.).
5.6	El/la Contratista pondrá a disposición los ordenadores que utilizarán los participantes en el curso;
5.7	El/la Contratista proporcionará material didáctico del curso en formato digital (PDF) a los participantes y cualquier contenido y herramientas adicionales que puedan ser necesarios para la transferencia de conocimientos.

Metodología de trabajo

El trabajo empezará con una reunión inicial de Kick Off donde se explicará la metodología de trabajo, ruta crítica, hitos importantes, equipos de trabajo, cronograma y tiempos.
Se realizarán al menos una reunión semanal para conocer avances del proyecto.
Se realizará al menos una reunión semanal para temas técnicos.
El contratista deberá generar al menos los siguientes documentos:

Plan de ejecución del Proyecto
Plan de comunicación
Plan de capacitación y entrenamiento a usuarios y técnicos
Actas de reunión y capacitación
Acta de entrega-recepción
Lecciones aprendidas.

Condiciones y requisitos generales:

La plataforma de cuentas privilegiadas ofertado debe instalarse en su última versión estable y estar cubierto por el acuerdo de soporte y actualización de versiones de los fabricantes durante la vigencia del contrato.

Horas de soporte post implementación 8x5:

Se requiere contratar un paquete de 15h de soporte, que podrán ser utilizadas posterior a la implementación para actividades de soporte directo y apoyo en seguimiento de casos con el fabricante.

Servicios de implementación y configuración:

La ejecución de los servicios de implementación, capacitación se llevará a cabo acorde al plan de trabajo que deberá ser presentado por parte de la Contratista y deberá contar con la autorización de la Cooperativa a través del administrador de contrato.

SLA de los servicios

SLA de los servicios de soporte plataforma cuentas privilegiadas

A continuación, se encuentran los detalles de la prioridad del caso según lo establecido en el acuerdo de mantenimiento. Al abrir un caso es importante que se seleccione la prioridad adecuada para garantizar que el caso se manejará adecuadamente.

• Crítico: una situación de inactividad en la que un cliente no puede realizar el trabajo de producción y no hay disponible un WorkAround, esta categoría incluye:

El servicio deja de estar operativo
El Producto requiere reinicios repetidos del sistema
Tenga en cuenta que esto puede requerir una solicitud de gestión de cambios de emergencia si corresponde

• Alto: una función principal no se puede usar y no hay ninguna alternativa disponible, pero el cliente puede realizar parcialmente el trabajo de producción.

El Producto puede:

Ser utilizado, pero fon funcionalidad parcial (uno o más de los principales comandos/funciones documentadas están inoperable/faltante)
Requerir reiniciar el sistema
Tener rendimiento degradado (altos tiempos de respuesta)

• Moderado: hay una pérdida de una función o recurso que no afecta gravemente al cliente operaciones u horarios.

Además, cualquier problema que se informó originalmente como Crítico o Serio, pero que se resuelva temporalmente con un Work-Around, se reducirá a Moderado.

• Menor: todos los demás problemas con los productos de la empresa distintos de los que se incluyen en las categorías anteriores.

Esta categoría incluye:

Errores en la Documentación del Producto o Instancias en las que el producto no funciona estrictamente de acuerdo con las especificaciones

Priority/Severity	24x7 SLA
Crítico	Respuesta inicial: 2 horas Acción: Trabajo continuo hasta solucionar el problema
Alto	Respuesta inicial: 4 horas Acción: Trabajo durante el día laborable
Moderado	Respuesta inicial: 6 horas laborables Acción: Razonable hay recursos disponibles
Menor	Respuesta inicial: 12 horas laborables Acción: Razonable hay recursos disponibles

SLA de los servicios de implementación y horas de soporte Contratista

La Contratista deberá contar con una mesa de ayuda para registro de tickets que permita llevar seguimiento de las horas de soporte contratadas dentro del alcance del servicio

Garantías

La Contratista deberá brindar una garantía técnica xx xxxxxx de mínimo 30 días calendario, a partir de la firma del acta entrega recepción de la implementación del servicio

SECCIÓN V

VERIFICACIÓN Y EVALUACIÓN DE LAS OFERTAS

EXPERIENCIA DEL OFERENTE

Parámetro

Descripción

Experiencia específica

El oferente deberá tener experiencia dentro de los últimos 5 años en la provisión del servicio ofertado, otorgado a entidades financieras, de preferencia Bancos y Cooperativas del segmento 1 y 2.

Para demostrar la experiencia deberá presentar certificados o contratos emitidos por clientes en el que constará la duración, nombre y monto del contrato de ser posible.

Se otorgará el máximo puntaje a la o las ofertas que tengan la mayor experiencia y que tenga el mayor número de clientes presentados, a las demás ofertas se asignará un puntaje directamente proporcional.

El oferente debe ser un Partner certificado por parte del fabricante de la solución a ser ofertada en respuesta a la presente licitación, por lo que deberá presentar un certificado del fabricante que valide el estatus y categoría de Partner vigente. Además, deberá presentar un certificado por parte del fabricante que confirme estar calificado para brindar los servicios de soporte de la plataforma ofertada.

PERSONAL MÍNIMO Y EXPERIENCIA

Cantidad

Función

Descripción

Gestor del Proyecto

Persona encargada de gestionar el proyecto el cual garantizará el eficaz cumplimiento de éste, dentro de los plazos establecidos.

Formación: mínimo tercer nivel en Tecnología o afines, se deberá adjuntar certificado de la Senescyt.

Deberá tener experiencia dirigiendo proyectos en los últimos 3 años, para ello deberá adjuntar certificados de trabajo que avalen lo indicado.

Los documentos citados anteriormente deberán ir anexos al formulario Nro. 7.

Técnicos especialistas

Persona encargada de la implementación de la solución con sólidos conocimientos en la solución a ser implementada.

Deberán tener experiencia de al menos 3 años en implementación de la solución ofertada, para ello deberá adjuntar certificados de trabajo o del fabricante que avalen lo indicado.

Los documentos citados anteriormente deberán ir anexos al formulario Nro. 7.

OFERTA ECONÓMICA

Oferta económica

La oferta económica se evaluará aplicando un criterio inversamente proporcional; a menor precio, mayor puntaje. En caso de que existan errores aritméticos en la oferta económica, la Comisión de Calificación procederá a su corrección.

La evaluación de la oferta económica se efectuará aplicando el “precio corregido” en caso de que hubiera sido necesario establecerlo.

VALORES AGREGADOS

El oferente podrá especificar todos aquellos valores agregados que considere oportuno incluir en su propuesta, los mismos deberán estar obligatoriamente cuantificados, es decir, deberá estar indicado el valor de inversión que representa para el proveedor por cada valor agregado que se incluya.

VALORACIÓN DE OFERTAS

Para la valoración se observarán los siguientes criterios:

Parámetro	Valoración
Experiencia específica del oferente	40%
Experiencia del personal técnico	16%
Oferta económica	40%
Valores agregados	4%
TOTAL	100%

SECCIÓN VI

FORMULARIOS PARA LOS OFERENTES

FORMULARIO No. 1

CARTA DE PRESENTACIÓN Y COMPROMISO

El que suscribe, en atención a la convocatoria efectuada por la Cooperativa de Ahorro y Crédito 29 de Octubre Ltda., para la ejecución de (nombre del objeto de contratación), luego de examinar las bases del presente procedimiento de ejecución de obras, al presentar esta oferta por (sus propios derechos, si es persona natural) / (representante legal o apoderado de ....... si es persona jurídica), (procurador común de…, si se trata de asociación o consorcio) declaro que:

La oferta la hago en forma independiente y sin conexión abierta u oculta con otra u otras personas, compañías o grupos participantes en este procedimiento y, en todo aspecto, es honrada y de buena fe. Por consiguiente, asegura no haber vulnerado y que no vulnerará ningún principio o norma relacionada con la competencia libre, xxxx y justa; así como declara que no establecerá, concertará o coordinará –directa o indirectamente, en forma explícita o en forma oculta- posturas, abstenciones o resultados con otro u otros oferentes, se consideren o no partes relacionadas en los términos de la normativa aplicable; asimismo, se obliga a abstenerse de acciones, omisiones, acuerdos o prácticas concertadas o y, en general, de toda conducta cuyo objeto o efecto sea impedir, restringir, falsear o distorsionar la competencia, ya sea en la presentación de ofertas y posturas o buscando asegurar el resultado en beneficio propio o de otro proveedor u oferente, en este procedimiento de contratación. En tal virtud, declara conocer que se presumirá la existencia de una práctica restrictiva, por disposición del Reglamento para la aplicación de la Ley Orgánica de Regulación y Control del Poder xx Xxxxxxx, si se evidencia la existencia de actos u omisiones, acuerdos o prácticas concertadas y en general cualquier conducta, independientemente de la forma que adopten, ya sea en la presentación de su ofertas, o buscando asegurar el resultado en beneficio propio o de otro proveedor u oferente, en este procedimiento de contratación.
Al presentar esta oferta, cumple con toda la normativa general, sectorial y especial aplicable a su actividad económica, profesión, ciencia u oficio; y, que los equipos y materiales que se incorporarán, así como los que se utilizarán para su ejecución, en caso de adjudicación del contrato, serán de propiedad del oferente o arrendados y contarán con todos los permisos que se requieran para su utilización.
Bajo juramento declara expresamente que no ha ofrecido, ofrece u ofrecerá, y no ha efectuado o efectuará ningún pago, préstamo o servicio ilegítimo o prohibido por la ley; entretenimiento, viajes u obsequios, a ningún funcionario o trabajador de la institución que hubiera tenido o tenga que ver con el presente procedimiento de contratación en sus etapas de planificación, programación, selección, contratación o ejecución, incluyéndose preparación de bases, aprobación de documentos, calificación de ofertas, selección de contratistas, adjudicación o declaratoria de procedimiento desierto, recepción de productos o servicios, administración o supervisión de contratos o cualquier otra intervención o decisión en la fase precontractual o contractual.
Acepta que en el caso de que se comprobare una violación a los compromisos establecidos en el presente formulario, la Cooperativa de Ahorro y Crédito 29 de Octubre Ltda., me descalifique como oferente, o dé por terminado en forma inmediata el contrato, observando el debido proceso, para lo cual me xxxxxx a responder por los daños y perjuicios que tales violaciones hayan ocasionado.
Conozco las condiciones de la contratación, he estudiado las especificaciones técnicas y demás información de las bases del concurso, las aclaraciones y respuestas realizadas en el procedimiento, y en esa medida renuncio a cualquier reclamo posterior, aduciendo desconocimiento por estas causas.
De resultar adjudicatario, manifiesto que suscribiré el contrato comprometiéndome a ejecutar el suministro o prestar el servicio sobre la base de las cantidades, especificaciones técnicas y condiciones, las mismas que declaro conocer; y en tal virtud, no podré aducir error, falencia o cualquier inconformidad, como causal para solicitar ampliación del plazo.
Conoce y acepta que la entidad contratante se reserva el derecho de adjudicar el contrato, cancelar o declarar desierto el procedimiento, si conviniere a los intereses nacionales o institucionales, sin que dicha decisión cause ningún tipo de reparación o indemnización a su favor.

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 2

DATOS GENERALES DEL OFERENTE.

DATOS GENERALES DEL OFERENTE:

Razón social:
Nombre del oferente:
Ciudad:
R.U.C.
Personería (Jurídico/Natural):

DOMICILIO DEL OFERENTE:

Provincia:
Cantón:
Calle principal:
Número:
Calle secundaria:
Código Postal:
Teléfono:
Correo electrónico:
Persona de contacto:

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 3

DOCUMENTOS HABILITANTES PARA PARTICIPAR

Se adjunta los documentos habilitantes para participar acorde al siguiente orden:

Habilitante vigente de operación de la empresa – RUC actualizado.
Nombramiento del representante legal de la empresa Oferente, debidamente inscrito en el Registro Mercantil.
Certificado vigente de Cumplimiento Tributario, que indique que el Oferente no adeuda al Servicio xx Xxxxxx Internas.
Certificado de cumplimiento de obligaciones actualizado, emitido por la Superintendencia de Compañías, Valores y Seguros.
Documento de calificación o carta que han iniciado el proceso de calificación.
Nómina de socios actualizada, emitida por la Superintendencia de Compañías, Valores y Seguros.
Garantía fiel cumplimiento de la oferta.
Certificado Partner de la marca

Nota: La presentación de los documentos citados anteriormente son obligatorios, la omisión de alguno de ellos podría ser causal de descalificación de las ofertas, salvo casos puntuales debidamente justificados y comprobados.

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 4

OFERTA ECONÓMICA

Nro.	Descripción del servicio	Cantidad	Precio unitario	Precio Total

PRECIO TOTAL DE LA OFERTA: (en números y letras), sin IVA:

A más de los formatos establecidos, en caso de ser necesario el oferente puede enviar sus propias tablas y servicios adicionales, tendientes a aclarar la propuesta
Indicar qué elementos no cubre la propuesta
Valores agregados: El oferente describirá los valores agregados diferenciadores en este apartado
Los valores agregados deberán estar cuantificados individualmente (valor de inversión que representa para cada oferente)

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 5

SERVICIOS OFERTADOS

Servicio requerido	Servicio o bien ofertado (La empresa debería indicar si se adhiere a lo solicitado en cada uno de los puntos requeridos por la institución)	Observaciones
Plazo
Alcance/Servicios esperados
Metodología de trabajo
SLA de servicio
Forma y Condiciones de Pago
Vigencia de la Oferta
Multas
Otros

Especificaciones técnicas:

1	Solución de Seguridad de Identidad y Accesos Privilegiados - Monitoreo conductual y mitigación de riesgos de identidades con privilegios	Cumple SI/NO	Observaciones
1.1	Características generales de la solución
1.1.1	La solución debe apoyar con el cumplimiento como mínimo de los requisitos (artículos 6, 42, 43, 46, 48 y 50) de la Ley Orgánica De Protección De Datos Personales, tales como: Determinar cómo deben tratarse, mantenerse y protegerse los datos y a quién debe notificarse en caso de incumplimiento; Proteger el acceso a datos personales confidenciales; Monitorear al personal y responder a los incidentes; Aplicar buenas prácticas de gobernanza, a través de normas que deben cumplir con los preceptos de la ley, con el fin de mitigar los riesgos inherentes al procesamiento de datos e implementar y demostrar la eficacia de las políticas de seguridad relacionadas con el procesamiento de datos.
1.1. 2	Apoyando los requisitos de la Ley Orgánica De Protección De Datos Personales, la solución debe proteger y monitorear el acceso a datos personales confidenciales a través de la seguridad de credenciales y accesos de alto privilegio a servicios y activos críticos, Detectar y responder rápidamente a incidentes de seguridad, identificar y mitigar acciones privilegiadas con comportamientos de alto riesgo, evaluar riesgos y probar la eficacia de los procesos de protección de datos a través de informes de soluciones identificando y clasificando el estado de riesgo del entorno privilegiado, demostrando el cumplimiento y la prueba de que los controles de seguridad necesarios están en los lugares adecuados, proporcionando análisis de comportamiento, auditoría y seguridad de acceso a los sistemas a través de todas las credenciales administrativas de alto privilegio en dispositivos y sistemas de destino diversos del entorno.
1.1. 3	Un sistema de solución de destino se define como un servidor, una estación de trabajo, una red y un activo de seguridad, entre otros mencionados en el numeral 1.1.5, cuyas credenciales de acceso ahora están protegidas y administradas por la solución;
1.1. 4	Un usuario de la solución se define como cualquier persona que tiene acceso a un sistema de destino iniciando sesión en la solución y utilizando las credenciales administradas por ella.
1.1. 5	Debe supervisar las sesiones, grabar, detectar, correlacionar y mitigar todos los comportamientos anormales de al menos 20 usuarios simultáneos accediendo al menos a 400 sistemas de destino, entre ellos servidores Linux/Unix, Windows, controladores de dominio de Microsoft Active Directory, estaciones de trabajo Windows, diversos activos de red y de Seguridad así como aplicaciones Cliente servidor/Web y servicios en Nube ya sean IaaS, SaaS o PaaS, ya teniendo en cuenta un crecimiento del 10% durante la vigencia del contrato
1.1. 6	La solución debe tener la capacidad de entregar un acceso remoto seguro (externo a la red corporativa) a los usuarios corporativos o externos, sin necesidad de instalación de clientes VPN en los dispositivos de usuarios remotos y garantizando un acceso seguro con MFA sin necesidad de modificar los recursos de autenticación corporativos como el AD, estos servicios se deben prestar durante todo el período de suscripción contratado.
1.1. 7	La solución debe entregarse con múltiples factores de autenticación adaptativa para los usuarios internos y/o remotos (externos a la red corporativa) mencionados, durante todo el período de garantía contratado, soportando al menos:
1.1. 7.1	Usuario y contraseña de directorios compatibles, aplicación para dispositivos móviles tipo IOS y Android, soporte para biometría tipo FaceID y a través del lector digital, Smartphone push (Notificación para aprobar o rechazar una autenticación), Geolocalización a través de Coordenadas GPS y base de datos IP, soporte de tokens OATH OTP, autenticación en la pantalla de inicio de sesión a través de QRcode sin la necesidad de introducir usuario y contraseña (Passwordless), con la opción de forzar la biometría en el dispositivo móvil, Entrega de código a través de SMS y llamada de voz, preguntas de seguridad, notificaciones de correo electrónico y teléfono móvil, OTP tokens (en línea, fuera de línea, por correo electrónico y Hardware).
1.1. 7.2	Autenticación dinámica basada en el contexto de riesgo y seguridad aprendido por la solución, permitiendo la creación de un perfil para cada usuario, aprovechando los atributos históricos y situacionales específicos del mismo, como la ubicación, el dispositivo, la red, el horario y el índice de riesgo de comportamiento.
1.1. 7.3	Análisis de las solicitudes de autenticación con los estándares históricos, asignación de índice de riesgo a cada intento de inicio de sesión, generación de alertas y creación de directivas de bloqueo para que se activen cuando se detecte un comportamiento anómalo y se simplifique el acceso cuando se entienda que el usuario es legítimo.
1.1. 7.4	Permitir a los usuarios agregar y modificar factores de autenticación directamente en un portal con una definición de período de omisión de autenticación multifactor.
1.1. 7.5	Proporcione informes y paneles personalizables que detallen la información en tiempo real sobre las actividades de autenticación, como errores de autenticación secundarios, intentos de inicio de sesión correctos y los factores de autenticación más utilizados.
1.1.8	Sistemas de destino basados en al menos las siguientes tecnologías: S.O.: Linux/Unix y Microsoft Windows; Hipervisores: VMWare, RedHat KVM y Microsoft Hyper-V; Cuentas de usuario del sistema y de procesos como (servicios, Tareas programadas, Config File, .ini, ETC); Credenciales de Microsoft COM+, IIS, Apache TomCat, RedHat Jboss; Objetos de Microsoft Active Directory y LDAP (usuarios, grupos y equipos); Administradores de bases de datos de Microsoft SQL Server, Oracle, PostgreSQL y cuentas de usuario; Cuentas de equipos de conectividad de red de área local activa (LAN) y WAN (red de área amplia): conmutadores, enrutadores, controladores WiFi/AP, red de área de almacenamiento (SAN) y almacenamiento de red conectado (NAS); Cuentas de usuario y administradores de consolas de administración de servidores y estaciones de trabajo; Cuentas de equipos dedicadas a la seguridad como Firewall, IPS, AntiSpam y filtros de contenido; Cuentas de equipos dedicados a la seguridad física, tales como cámaras de vigilancia, torniquetes, etc.; Credenciales en la nube en VMWare ESXi, Azure, AWS, GCP, Office 365.
1.2	Gestión de datos del ciclo de vida y uso compartido de cuentas con privilegios, monitoreo y registro de sesiones con privilegios
1.2.1	La solución debe conceder acceso a los sistemas mediante "Escritorio remoto RDP" y "SSH", puestos a disposición por los sistemas de destino del entorno, sin que los usuarios vean ninguna contraseña o secreto (estas credenciales previstas para aplicaciones y conexiones remotas, deben recuperarse de forma automática en caso de cambio de las mismas desde el repositorio seguro de credenciales de la solución), asegurándose de que no es necesario instalar aplicaciones (API) y/o agentes en las estaciones de los usuarios para realizar el acceso a sistemas y aplicaciones parametrizables, donde la aplicación debe ejecutarse de modo virtualizado (usando Terminal servicies seguros) o a través de un entorno Web HTML5 con SSL, autenticado correctamente con el usuario y la contraseña predeterminadas o recuperadas de la base de datos de soluciones, sin iniciar sesión interactiva por el usuario directamente en el servidor de destino, lo que permite la grabación de sesiones de destino. Ejemplo: Ejecutar el cliente de conexión de SQL Management Studio de modo seguro (Virtualizado), autenticarse automáticamente con la credencial de administrador del sistema (SA) sin que el usuario conozca la contraseña y sin necesidad de que el usuario deba iniciar sesión directa en el sistema host de destino, ni que este tenga instalado el cliente de SQL Manager Studio en su estación de trabajo;
1.2.2	La Solución debe entregar sesiones administrativas a las que se acceda y monitoree en tiempo real, con el uso compartido de pantalla y el control de periféricos, como el teclado y el ratón (asistencia remota), y mediante la grabación de comandos y vídeos de los mismos, en formato estándar de ejecución no propietaria de la solución, permitiendo que los comandos y vídeos generados se puedan indexar para futuras búsquedas, permitiendo el filtro de comandos y acciones realizadas a lo largo de la sesión grabada , lo que le permite buscar acciones específicas en la sesión grabada;
1.2.3	Proteger contra la pérdida, el robo y la administración incorrecta de credenciales a través de reglas de complejidad de contraseñas que incluyen la longitud de la contraseña (número de caracteres), la frecuencia de intercambio automatizado de contraseñas, secretos y claves SSH, la especificación de caracteres permitidos o prohibidos en la composición de contraseñas y otras medidas, y mitigar los problemas de seguridad relacionados con el uso compartido incorrecto de credenciales con privilegios que se almacenan localmente en dispositivos, y también cuentas que no son administradas de forma centralizada por los servicios de directorio;
1.2.4	Descubrir las credenciales privilegiadas a las que hacen referencia los servicios y procesos automatizados, distribuir contraseñas generadas aleatoriamente de manera automática donde quiera que se hagan referencia y descubran estas credenciales y cambiar las credenciales en el entorno de Windows, incluidas las cuentas con nombre, los administradores integrados y los invitados, para evitar los movimientos laterales (PassTheHash), también debe contar con herramientas para mostrar en un mapa de red gráfico e interactivo vulnerabilidades como (PassTheHash o Golden Ticket), o a través de informes e interfaz de administración;
1.2.5	Administrar de forma segura las contraseñas utilizadas por las cuentas de servicio, evitando el uso de contraseñas de texto no cifrado mediante scripts o rutinas de equipos y garantizando la implementación de los privilegios mínimos necesarios, proporcionando acceso a contraseñas de cuentas con privilegios solo al personal y servicios autorizados;
1.2.6	Tener funcionalidad "AD Bridge" para integrar servidores Linux/Unix en Active Directory, realizar un seguimiento de la misma nomenclatura y grupos de directorios ldap o AD; Aprovisionar en la plataforma tipo Unix cuentas de directorio activo y grupos que tienen permiso de acceso, de forma automatizada y transparente;
1.2.7	Permitir que la definición de Flujos de aprobación (Flujos de trabajo) obtenga acceso a Cuentas Privilegiadas, con las siguientes características: Personalización de flujos: permitir la configuración de flujos para su aprobación, de acuerdo con la criticidad y características de la cuenta, y la aprobación de al menos uno responsable; Permitir la aprobación antes de programar acciones administrativas; es decir; la aprobación de acceso tendrá lugar en un día, pero la liberación de la contraseña se producirá automáticamente solo en la fecha y hora programadas; Ser capaz de encontrar cuentas de usuario con privilegios que se pueden administrar mediante la solución; Ser capaz de reemplazar las contraseñas de identidad con privilegios que están siendo utilizadas por un servicio determinado en todas las ubicaciones donde se utilizan; La detección automática debe realizarse mediante búsquedas en active Directory (AD) y segmentos de direcciones IP;
1.2.8	Ofrecer en su Interfaz de usuario UI diferentes vistas y opciones según los permisos y roles de los usuarios, mostrando, por ejemplo, sólo las funcionalidades delegadas a ese usuario; Métodos de soporte para registrar e informar de cualquier acción realizada y detectada por la solución, incluidos los registros de aplicaciones basados en texto, la auditoría de bases de datos, las aplicaciones de Syslog, las notificaciones por correo electrónico, ETC.
1.2.9	Registre cada acceso, incluido el acceso a través de la aplicación web, para solicitudes de contraseñas, aprobaciones, checkout, cambios de delegación, informes y otras actividades. El acceso a la consola de administración de soluciones debe registrarse tanto para la configuración como para los informes, así como para todas las actividades de cambio de contraseña; cierre de sesión de los usuarios; Cambios en las funciones de delegación; Adiciones y cambios de contraseñas gestionados por la solución; Operaciones de las contraseñas de los usuarios, incluyendo check-in y check-out, solicitudes denegadas y permitidas; Los informes deben filtrarse por período de tiempo, tipo de operación, sistema, administrador y otros criterios;
1.2.10	Debe proporcionar informes detallados de cumplimiento de las operaciones realizadas por la solución, tales como: Lista de sistemas administrados; Contraseñas almacenadas; Eventos de cambio de contraseña; Permisos de acceso web; Auditoría de cuentas, sistemas y usuarios; Alerta en tiempo real;
1.3	Análisis conductual y mitigaciones de riesgos en el entorno crítico para las identidades privilegiadas
1.3.1	La solución debe realizar la identificación y correlación de todas las acciones mencionadas a continuación, pero sin limitarse a estableciendo perfiles de comportamiento general (usuarios, accesos, credenciales, máquinas y otros parámetros descritos a continuación) del entorno privilegiado y acceso a los sistemas de destino a través de la solución.
1.3.2	Combinaciones que tipifican abusos, comportamientos anormales y fuera de los estándares aprendidos/asignados, aplicando acciones atenuantes automáticas como la re-autenticación, suspensión y terminación de sesiones y rotación de credenciales privilegiadas en caso de actividad sospechosa de alto riesgo, detectando al menos los siguientes casos:
1.3. 3	Accesos a la solución:
1.3.3.1	Durante horarios irregulares: cuando un usuario recupera una contraseña de cuenta con privilegios en un momento irregular según su perfil de comportamiento;
1.3.3.2	Durante días irregulares: cuando un usuario recupera una contraseña de cuenta con privilegios en un día irregular de acuerdo con su perfil de comportamiento;
1.3.3.3	A través de IP irregular y desconocida: cuando un usuario accede a cuentas con privilegios de una dirección IP o subred inusual, de acuerdo con su perfil de comportamiento y cuando se realiza una conexión a un equipo con una cuenta con privilegios que no se administra en la solución.
1.3.4	Acceso general:
1.3.4.1	Cuentas con privilegios excesivos: cuando un usuario accede a cuentas con privilegios con más frecuencia de lo normal, según su perfil de comportamiento;
1.3.4.2	Anómalo para varias máquinas: cuando una cuenta ha iniciado sesión en un gran número de máquinas inesperadas durante un tiempo relativamente corto;
1.3.4.3	Realizado fuera de la solución: directamente en el sistema de destino;
1.3.4.4	Excesivo a una máquina;
1.3.4.5	Registro inusual de usuarios desde una máquina de origen conocida;
1.3.4.6	Cuando se producen indicaciones de actividad de un usuario inactivo de la solución;
1.3.4.7	Actividades definidas como sospechosas detectadas en sesiones con privilegios: comandos y anomalías en la solución.
1.3.5	Máquinas:
1.3.5.1	Se accede desde direcciones IP inusuales;
1.3.5.2	Accedido durante horas irregulares, de acuerdo con su patrón de uso;
1.3.5.3	Inusuales éxitos de origen.
1.3. 6	Credenciales y cuentas:
1.3.6.1	Sospechoso de robo de credenciales cuando un usuario se conecta a una máquina sin recuperar primero las credenciales necesarias de la solución;
1.3.6.2	Cambio de contraseña sospechoso, cuando se identifica una solicitud para cambiar o restablecer una contraseña omitiendo la solución;
1.3.6.3	Credenciales expuestas de cuentas de servicio que se conectan a LDAP en texto no cifrado;
1.3.6.4	Cuentas con privilegios con configuración de nombre principal de servicio (SPN) que son vulnerables a ataques de fuerza bruta y diccionario sin conexión, lo que permite a un usuario interno malintencionado recuperar la contraseña de texto sin cifrar de las cuentas;
1.3.6.5	Cuentas de servicio conectadas a través de inicio de sesión interactivo.
1.3.7	Debe permitir la clasificación de los eventos por niveles de riesgo y respuestas automáticas (alertamiento, suspensión y terminación de sesión) basadas en los mismos, con la posibilidad de sesiones de cuarentena, pendientes de liberación y terminación por parte del administrador,
1.3.8	Debe permitir que la configuración de eventos críticos se notifique automáticamente, basado en comandos de Linux, ventanas y aplicaciones de Windows, expresiones regulares para comandos en general y eventos configurados manualmente, lo que permite la asignación de nivel de riesgo personalizado;
1.4	Análisis de comportamiento y mitigación de riesgo para acceso en aplicaciones de negocio para colaboradores y terceros (UBA)
1.4.1	La solución se debe basar en algoritmos de aprendizaje de máquina (machine learning) no supervisados. Es decir, los modelos estadísticos con los casos de uso ya deben estar listos y calibrados.
1.4.2	La solución debe medir el riesgo de la autenticación verificando el comportamiento histórico de la identidad a través del conjunto de los siguientes atributos:
1.4.2.1	Geo velocidad: mide la velocidad respuesta del login comparando la localización del último login con la localización actual y evitando "desplazamientos imposibles". Además, de perfil de comportamiento del usuario en este aspecto. Por ejemplo, personas que se desplazan mucho pueden tener una puntuación de riesgo baja, aun cuando su geovelocidad sea mayor que la de personas que no se desplazan.
1.4.2.2	Geolocalización: mide el riesgo de autenticación verificando su localización geográfica de acceso actual en comparación con su comportamiento usual.
1.4.2.3	Día de la semana: mide el riesgo de autenticación verificando el día de la semana de acceso actual en comparación con su comportamiento usual.
1.4.2.4	Horario de acceso: mide el riesgo de autenticación verificando el horario de acceso actual en comparación con su comportamiento usual.
1.4.2.5	Sistema operativo: mide el riesgo de autenticación verificando el sistema operativo de acceso actual en comparación con su comportamiento usual.
1.4.2.6	Fallas de login consecutivas: mide el riesgo de autenticación verificando las fallas de login consecutivas del acceso actual en comparación con su comportamiento usual.
1.4.3	La solución debe permitirles a los administradores personalizar los rangos de puntuación (0 a 100) para las categorías: Sin riesgo Riesgo bajo Riesgo medio Riesgo alto
1.4.4	La solución debe permitirles a los administradores personalizar la influencia en la medición del riesgo para cada atributo citado en el ítem 1.3.2. Por ejemplo, para La Cooperativa, la geovelocidad puede ser un factor poco relevante. Por eso, debe poder configurar la influencia de este riesgo como baja en la configuración del riesgo de la plataforma.
1.4.5.	El riesgo calculado durante la autenticación por el motor de análisis del comportamiento de los usuarios debe compartirse con los módulos (SSO y MFA) que realizan el login, para los casos de uso citados en este documento, y utilizarlo como contexto para: Solicitar autenticación de múltiples factores de forma dinámica Permitir el login sin el uso de múltiples factores Negar la autenticación
1.4.6	Debe brindarles a los administradores de la solución la capacidad de explorar los datos históricos a través de dashboards, filtros y gráficos configurables, verificar las alertas y los factores que los influenciaron y explorar los eventos capturados y sus atributos.
1.4.7	Debe proveer gráficos de línea de tiempo, donuts, mapas con la geolocalización de los eventos, gráficos xx xxxxxx, tablas analíticas y mapas de relación. Sus dimensiones y categorías deben ser personalizables.
1.4.8	Debe ser capaz de exportar los datos de alertas, riesgos calculados y eventos a PDF y CSV y, además, grabar las visualizaciones en la solución para consultas posteriores.
1.4.9	Debe estar integrada x xxxxxxx de inteligencia cibernética de terceros reconocidas en el mercado como, por ejemplo, Palo Alto Cloud.
1.4.10.	Debe poseer interfaz para el envío de alertas de forma automatizada. Debe soportar, como mínimo: Correo electrónico con contenido de alerta Webhooks como, por ejemplo, envío de mensaje a un canal de Microsoft Teams x Xxxxx
1.4.11	Poseer dashboards configurados previamente con informaciones y gráficos con las siguientes características: Utilización de motor de análisis del comportamiento de los usuarios Comportamiento de los usuarios en la utilización de las aplicaciones Visión sobre la seguridad de las aplicaciones Mapa con la geolocalización de las autenticaciones Visión sobre el comportamiento de los Endpoints (móviles y computadoras) Visión sobre el comportamiento de las identidades
1.4.12	La solución debe permitir configurar dashboards personalizados.
1.4.13	Debe permitir compartir los dashboards con otros usuarios.
1.5	Arquitectura y seguridad de soluciones
1.5.1	Incorporar medidas de seguridad como la Certificación de Criterios Comunes (CC) - ISO/IEC 15408 - como garantía de seguridad del método utilizado en el desarrollo del sistema xx xxxxxx segura de credenciales, el sistema de almacenamiento de información ya sea sistema estructurado de datos o Base de datos debe incluir un cifrado fuerte siendo compatible con: AES con claves de 256 bits, FIPS 140-2 y ENCRYPTION PKCS-11 o superior; y protocolos de transmisión seguros con el fin de proteger la información en tránsito entre los módulos de solución y las aplicaciones web de los usuarios finales.
1.5.2	Debe usar la base de datos de alta disponibilidad para el almacenamiento de credenciales, con prácticas recomendadas de seguridad como: mecanismo de protección del sistema operativo, deshabilitando o desinstalando servicios y puertos de acceso no esenciales para el funcionamiento de la solución. Si la base de datos utilizada para el almacenamiento de credenciales es de terceros, la solución debe entregarse con licencias de software, garantía y soporte que la hagan compatible con la solución sin que la entidad deba incurrir en ningún costo oculto de licenciamiento para el funcionamiento de la misma en las condiciones establecidas;
1.5.3	La solución debe estar disponible como SaaS o en modelo de suscripción para implementación en ambientes de Nube (AWS, Azure y Google Cloud) y/o entorno físico o virtualizado con infraestructura (servidores / software en entorno virtualizado, S.O., capa de balanceo de tráfico / redirección, etc.) de Windows Server 2016 R2, Windows Server 2019 y / o Linux.
1.5.4	Los elementos críticos de la solución, como Bóveda segura de credenciales, deben garantizar esquemas de alta resiliencia, en caso de ser nube deben cumplir con SOC2, en caso de ser implementaciones On-Premises, Nubes Privadas (AWS, Azure o GC) o ambientes híbridos esta debe instalarse en alta disponibilidad activa-activa, Satélite o al menos DR en cada una de las ubicaciones (sitio principal y sitio redundante adicional), con sincronización entre sitios), asegurando que el proceso sea transparente para los usuarios conectados y la normalización de la funcionalidad se produce en 5 (cinco) minutos, si hay pérdida de comunicación y mecanismos para la recuperación ante desastres compatibles con soluciones de copia de seguridad y archivado disponibles en el mercado;
1.5.5	En caso de ser implementación con licenciamiento propio debe proporcionar al menos dos entornos externos adicionales de la solución en producción para pruebas y homologación, replicando las mismas licencias y funcionalidades del entorno de producción sin ningún costo adicional para la entidad, en caso de ser un SaaS se debe proporcionar el licenciamiento necesario de los componente instalados en las instalaciones de La Cooperativa para propósitos de pruebas y homologación sin ningún costo para la misma.
2	Solución de seguridad para identidades y privilegios – Autenticación Adaptativa y simplificada (SSO)(AppGateway)
2.1	La solución debe proporcionar un catálogo de aplicaciones web con modelos de configuración de inicio de sesión único (SSO)que contengan al menos 1000 tipos de las aplicaciones más conocidas xxx xxxxxxx, con el fin de facilitar la configuración de estas integraciones.
2.2	La solución debe permitir la configuración de las aplicaciones web mínimamente a través de los siguientes protocolos y métodos: SAML 2.0 Modo cliente Oauth 2.0 WS-Federation Conexión OpenID Ntlm Modo de servidor Oauth 2.0 HTTP Basic Extensión en el navegador para capturar aplicaciones web que utilizan el formulario con el usuario y la contraseña y realizar la finalización automática del inicio de sesión y la contraseña de forma automatizada. Esta información debe almacenarse de forma segura en la solución para la finalización automática en futuros inicios de sesión en estas aplicaciones.
2.3	La solución debe ofrecer un componente/software para intermediar el SSO en aplicaciones web hosteadas en el centro de datos de La Cooperativa sin necesidad de exponer estas aplicaciones al uso de Internet o VPN y debe admitir los mismos métodos y protocolos que el elemento anterior.
2.4	La solución debe proporcionar una extensión avanzada del explorador solo para los administradores de soluciones, con el fin de asignar los campos de los formularios (normalmente inicio de sesión y contraseña) para que después de asignar el usuario administrado pueda incluir como una aplicación web para SSO en el catálogo general, lo que permite el SSO de aplicaciones que no admiten protocolos más modernos como SAML y Oauth.
2.5	Admite SSO a través de la autenticación integrada de Windows (IWA) que reutiliza el inicio de sesión de red para la autenticación en aplicaciones web, sin necesidad de introducir el usuario y la contraseña de nuevo.
2.6	Admite la personalización de respuestas SAML, como la asignación de atributos de directorio a atributos SAML, la capacidad de incluir lógica compleja para controlar las respuestas SAML y habilitar la visualización de la respuesta SAML configurada antes de su implementación.
2.7	La solución debe proporcionar un portal WEB para el usuario final con las siguientes características: Después de iniciar sesión presente las aplicaciones web disponibles para realizar el SSO, a través de un conjunto de iconos donde cada uno representa una aplicación que el usuario tiene el derecho de realizar el SSO Realice cambios en los atributos de identidad, como el teléfono celular, el correo electrónico y la foto. Compruebe sus actividades de identidad a través del panel de control con la siguiente información: Total, de inicios de sesión. Total, de errores de inicio de sesión. Geolocalización de sus inicios de sesión. Compruebe la geolocalización actual de sus dispositivos registrados. Uso de aplicaciones. Historial de eventos importantes, como una nueva aplicación agregada a su portal de SSO, errores de inicio de sesión, entre otros.
2.8	Debe tener servicio de directorio para almacenar identidades en la solución, sin depender de la sincronización con otros servicios de directorio on-premise o en la nube de terceros.
2.9	El servicio de directorio de soluciones debe tener la capacidad de ampliar su esquema configurando atributos personalizados para satisfacer requisitos empresariales complejos
2.10	El servicio de directorio de soluciones debe ser auto-escalable para admitir millones de identidades y miles de atenciones simultáneas.
2.11	Debe tener la capacidad de forzar la complejidad de las contraseñas mínimamente a los siguientes requisitos: Tamaño mínimo. Tamaño máximo. Requiere dígitos mínimos. Requiere letras mayúsculas y minúsculas. Requiere una función especial (símbolo). Limitar caracteres consecutivos. Forzar la expiración de las contraseñas en función de su edad. Guardar historial de contraseñas para evitar la reutilización
2.12	Proporcione una notificación para la expiración de las contraseñas por correo electrónico.
2.13	Capturar errores de inicio de sesión repetidos para el bloqueo de usuarios
2.14	La solución también debe admitir la integración con los servicios de directorio en la nube y on-premises, lo que debe admitir mínimamente: Microsoft Active Directory. Microsoft Azure AD Directorio de Google Directorios LDAP
2.15	Las integraciones con un directorio de terceros no deben sincronizarse con estas bases de datos, es decir, cargar todo el directorio configurado en la nube, la solución debe actuar como intermediario entre los servicios de directorio de terceros y la solución.
2.16	La solución debe integrarse con proveedores de identidad social con el fin de autenticar delegados a dichos proveedores y cumplir los requisitos empresariales potenciales, apoyando mínimamente a los siguientes proveedores: Google. Facebook. LinkedIn. Microsoft.
2.17	La solución debe tener la capacidad de configurar LOS PROVEEDORES DE IDENTIDAD (IDP) de los socios comerciales de La Cooperativa para dar acceso a identidades federadas en aplicaciones empresariales de La Cooperativa sin necesidad de crear una nueva identidad en la infraestructura, a través de la federación realizada a través del protocolo SAML.
3	Solución de seguridad para identidades y privilegios - Autenticación Adaptativa Multifactorial MFA
3.1	La solución debe ser capaz de cumplir mínimamente los siguientes casos de uso para solicitar uno y más factores de autenticación: Aplicaciones web integradas en la autenticación simplificada - funciones SSO. En las pantallas de inicio de sesión y desbloqueo de los sistemas operativos Windows y MacOs. Autenticación multifactor para soluciones VPN a través de RADIUS o SAML. Cualquier dispositivo o sistema operativo que admita RADIUS. Complemento para ADFS (IDP, proveedor de identidad), servicios de federación de Active Directory. A petición mediante el protocolo Oauth y las API de REST. Para realizar el restablecimiento de contraseña de servicio automático o desbloqueo de usuario.
3.2	La solución debe ser capaz de ofrecer mínimamente los siguientes métodos para múltiples factores de autenticación:
3.2.1	Usuario y contraseña de los directorios admitidos en la solución.
3.2.2	A través de la aplicación móvil iOS y Android, que ofrece soporte para: Biometría FaceID. Biometría a través del lector digital. Inserción de Smartphone (Notificación para aprobar o rechazar una autenticación). Geolocalización a través de GPS coordenadas e IDatabase. Suporte tokens OATH OTP. Autenticación en la pantalla de inicio de sesión a través de QRcode (Passwordless) sin necesidad de introducir el usuario y la contraseña, con la opción de forzar la biometría en el dispositivo móvil.
3.2.3	Llamada telefónica solicitando un PIN configurado previamente.
3.2.4	Mensaje de texto SMS que ofrece el código para la entrada manual y también una URL única presente en el mensaje de texto que ofrece la opción de aprobar o rechazar la autenticación sin la necesidad de introducir el código manualmente.
3.2.5	Confirmación de código por correo electrónico.
3.2.6	Clientes de Oath OTP (por ejemplo, Google Authenticator).
3.2.7	Autenticadores que admiten FIDO2 / U2F, que admiten mínimamente: Windows Hello. Yubikey. Google Titan Key MacOS TouchID.
3.2.8	Preguntas y respuestas previamente configuradas.
3.3	Permita que los usuarios realicen el restablecimiento de contraseña y el desbloqueo del usuario, autoservicio mediante los múltiples métodos de factor de autenticación citados para la verificación positiva a través del portal de soluciones, Windows y la pantalla de inicio de sesión del sistema operativo MacOS, y a través de las API de REST que ofrece la solución.
3.4	Para cada caso de uso o conjunto de casos de uso de varios factores de autenticación citados, la solución puede identificar los atributos de contexto de cada autenticación para proporcionar los métodos mejor definidos para la autenticación, lo que admite mínimamente: Direccionamiento IP. Día de la Semana. Fechas específicas. Ventanas de tiempo entre dos fechas. Ventanas de tiempo entre horas (por ejemplo, horario laboral). Tipo de sistema operativo. Tipo de navegador. Perfiles configurados en la solución. País de acceso. Si es un dispositivo administrado. Autenticación a través del certificado. Nivel de riesgo de autenticación medido por un motor de análisis de comportamiento del usuario.
3.5	La solución debe ser capaz de detectar casos de uso y perfiles de autenticación ya validados por los usuarios y ya no solicitarlos durante un período de tiempo configurado por el administrador de la solución, evitando así validaciones repetidas en un corto período de tiempo.
3.6	El conjunto de factores de autenticación disponibles debe basarse en el acceso a través de las reglas especificadas en el elemento anterior y segregadas por: Suite de aplicaciones. Una sola aplicación. Reglas para el restablecimiento de contraseña de autoservicio y el desbloqueo del usuario. Portal do Administrador. Portal de usuarios.
3.7	La solución debe proporcionar un portal WEB para el usuario final con las siguientes características: Permitir al usuario realizar el registro automático de sus factores de autenticación, como preguntas y respuestas, tokens FIDO2, OATH OTP, establecer PIN para llamada telefónica, TouchID, FaceID, Windows Hello, entre otros. Permitir que el usuario redirija la autenticación multifactor a otros usuarios (siempre y cuando se permita). Permitir a los usuarios administrar sus dispositivos inscritos mínimamente: Smartphone, Android e IOS. Sistemas operativos Windows y MacOS. Para cada dispositivo registrado, los usuarios deben tener las siguientes capacidades de administración: Deshabilite SSO de forma remota. Habilite SSO de forma remota. Realizar el registro automático de nuevos dispositivos móviles.
3.8	La solución debe proporcionar una aplicación móvil para Android e IOS con las siguientes características: Después de iniciar sesión presente las aplicaciones web disponibles para realizar el SSO, a través de un conjunto de iconos donde cada uno representa una aplicación que el usuario tiene el derecho de realizar el SSO ya integrado con los navegadores instalados en dispositivos móviles. Proporcionar el inicio de sesión a través del análisis de QRcode en el portal web que permite SSO sin ID de usuario y contraseña (Passwordless). Configure OATH OTP adicional de otras soluciones. Configure OATH OTP para la autenticación multifactor en sistemas operativos Windows y MacOS (pantallas de inicio de sesión y bloqueo) cuando se desconectan de Internet. Compruebe los dispositivos registrados (dispositivos móviles y sistemas operativos). Integración nativa con FaceID, TouchID, lector biométrico de dispositivos móviles que los aprovechan para la autenticación biométrica durante el inicio de sesión en aplicaciones. Reporte coordenadas GPS a sistemas que utilicen geolocalización. Detectar ROOT en dispositivos Android y Jailbreak en dispositivos IOS con el propósito de detectar actividad maliciosa y como consecuencia la aplicación está deshabilitada para su uso
3.9	La aplicación debe admitir la autenticación de tipo de inserción, donde el usuario tiene la opción de aceptar o rechazar el desafío, esta notificación contiene mínimamente: Acceso a la IP de origen. Fecha y hora. Geolocalización ciudad /acceso Aplicación a la que se accede.
4	Servicio de instalación y configuración para la solución de seguridad de identidad y privilegios
4.1	A efectos del numeral 1, se considera 1 día (8 horas)
4.2	Para la implementación será realizada un plazo de 60 días, a partir de la fecha de firma del contrato
4.3	En el momento previo a la firma del plazo de recepción provisional, se solicitará al Organización la reunión de inicio del proyecto (KickOff), con el fin de definir el alcance de la implementación. Este KickOff debe contener las actividades, plazos y responsables de la implementación para supervisar la evolución del proyecto.
4.4	Durante esta etapa, el equipo del La Contratista debe estar disponible en los momentos de instalación definidos por el equipo de La Cooperativa.
4.5	Las actividades de instalación y configuración, según la necesidad, se pueden realizar durante el horario laboral, nocturno o fin de semana.
4.6	Será responsabilidad del Proveedor la provisión de la infraestructura necesaria para la correcta implementación de la solución ofertada.
4.7	El montaje e instalación de todos los componentes que componen la solución adquirida son responsabilidad del La Contratista.
4.8	Los componentes de software deben estar en la versión más actualizada de la solución, garantizando su estabilidad.
4.9	La Contratista deberá comunicar a La Cooperativa toda la información necesaria para la correcta instalación y configuración de la solución.
4.10	La Contratista proporcionará la información necesaria para la correcta instalación de la solución.
4.11	La Contratista proporcionará la transferencia de conocimientos en el formato práctico al equipo técnico de La Cooperativa en la implementación de la solución, a lo largo de las actividades de configuración, así como durante las actividades de apoyo y personalización.
4.12	La Contratista debe, al final de la implementación, preparar la documentación técnica de los procedimientos realizados durante la implementación.
4.13	La Contratista prestará el servicio de personalización con el equipo técnico de La Cooperativa durante la vigencia del contrato derivado de este proceso.
4.14	Las personalizaciones son incrementos en el uso de la herramienta que van más allá de la mera configuración de los recursos existentes o no se caracterizan como un servicio de soporte o implementación inicial por lo cual puede acarrear costos que deben ser comunicados y socializados por el La Contratista a La Cooperativa.
4.15	En la personalización de soluciones, los servicios cubren casos tales como: Realizar personalizaciones que requieran desarrollo de scripts, automatizaciones avanzadas, paneles y congéneres; Integración de la solución con las nuevas tecnologías adquiridas por La Cooperativa; Nueva instalación de la solución debido a la recuperación ante desastres del entorno; Consultoría utilizando las mejores prácticas adoptadas para las soluciones.
4.16	Antes de iniciar una orden de servicio, el La Contratista, junto con La Cooperativa, estimará el esfuerzo para realizar el servicio.
4.17	El La Contratista supervisará y contará el uso de días/horas.
4.18	La prestación de servicios de instalación/configuración debe ser realizada por profesionales especializados, que cuentan con la certificación del fabricante de la solución adquirida, que les dan las habilidades necesarias para llevar a cabo los servicios respectivos o por el fabricante de la solución ofrecida.
5	Solución de capacitación para la seguridad para identidades y privilegios
5.1	Para efectos del documento, se considera 1 clase (a menos 4 días).
5.2	Serán por lo menos 24 horas para una clase de al menos 6 estudiantes;
5.3	Debe contener un contenido orientado las tareas necesarias para el funcionamiento y el mantenimiento de los elementos de este proyecto.
5.4	Se llevará a cabo preferiblemente en el modelo virtual.
5.5	Si La Cooperativa elige el modelo virtual, debe realizarse en línea por videoconferencia, en español, utilizando la herramienta propia del La Contratista (por ejemplo, Cisco Webex, Adobe Connect, etc.).
5.6	El La Contratista pondrá a disposición los ordenadores que utilizarán los participantes en el curso;
5.7	El La Contratista proporcionará material didáctico del curso en formato digital (PDF) a los participantes y cualquier contenido y herramientas adicionales que puedan ser necesarios para la transferencia de conocimientos.

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No .6

EXPERIENCIA DEL OFERENTE

Experiencia específica:

No.	Tipo	Contratante	Objeto de contrato	Valor del Contrato	Fecha inicio / Fecha fin

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN (según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 7

PERSONAL TÉCNICO PROPUESTO PARA EL PROYECTO

No.	Cargo / Función	Cantidad	Experiencia requerida

Para constancia de lo ofertado, suscribo este formulario,

-------------------------------------------------------

FIRMA DEL OFERENTE, SU REPRESENTANTE LEGAL, APODERADO O PROCURADOR COMÚN

(según el caso)

(LUGAR Y FECHA)

FORMULARIO No. 8

ACUERDO DE CONFIDENCIALIDAD

NOMBRE DEL OFERENTE: _______________________________

ACUERDO DE CONFIDENCIALIDAD

Entre los suscritos a saber:

El Ing. Xxxxxx Xxxxxxx De La Xxxxx Xxxxxxxx, en su calidad de Gerente General y Representante Legal de la Cooperativa de Ahorro y Crédito 29 DE OCTUBRE Ltda., parte a la que en adelante se le denominará simplemente LA COOPERATIVA;
El señor ………………………, por sus propios y personales derechos y por los que representa de ………………………………, parte a la que en adelante se le denominará simplemente LA EMPRESA.

Los Comparecientes, a quienes se les podrá denominar de forma conjunta como “las partes”, declaran que se encuentran legalmente capacitados para contratar y obligarse en las calidades antes invocadas.

PRIMERA: ANTECEDENTES. -

Durante la vigencia del presente convenio, las partes realizarán intercambio por escrito de información de carácter confidencial, que puede incluir, entre otros, planes de negocios y de desarrollo, información técnica y financiera, planes de productos y servicios, informes de mercadeo, análisis y proyecciones, especificaciones, diseños, dibujos, software, servidores, datos, prototipos, secretos industriales, know how, información de clientes y proveedores y otras informaciones de negocios o de carácter técnico, en adelante “LA INFORMACIÓN”.
1. Es intención de las partes, que dicha INFORMACIÓN se suministre únicamente entre las partes, para los fines exclusivos de generación de cartera., por lo que las partes requieren establecer una protección adecuada a LA INFORMACIÓN.

SEGUNDA: OBJETO. -

Las partes libre y voluntariamente, por los respectivos derechos que representan, y por así convenir a sus mutuos intereses, acuerdan celebrar el presente Convenio de Confidencialidad, mediante el cual se establecen los términos y condiciones que rigen el uso de la información que vayan a recibir o proporcionarse mutuamente, al tenor de las siguientes estipulaciones:

Las partes se obligan a guardar absoluta reserva y confidencialidad sobre el objeto, antecedentes, términos y condiciones del presente acuerdo.
Cualquiera de las partes, en calidad de parte emisora. podrá entregar a su contraparte - receptora, INFORMACIÓN de la que es titular y/o beneficiario, según la definición contenida en la cláusula siguiente, sobre la cual la parte receptora, sus socios, representantes, personal, etc., se obliga a guardar absoluta reserva y confidencialidad.
La parte receptora, una vez que reciba la información detallada en el párrafo que antecede, procederá a analizarla para evaluar la factibilidad de negocio en los términos establecidos en el numeral 3 de la cláusula primera de este instrumento.

TERCERA: DEFINICIONES.-. Se entiende por “LA INFORMACIÓN”, todo dato o documentación que en forma escrita o impresa en cualquier medio escrito, mecánico, electrónico, magnético o cualquier otro que las partes posean, hayan intercambiado entre ellas, o lleguen a conocer la una de la otra, o en poder de uno de ellos. Se entiende por información confidencial, toda información originada, o del conocimiento de quienes integran el presente acuerdo, que por virtud de su naturaleza o de la ley no sea o deba ser del dominio público o frente a la cual exista un deber de sigilo o sobre la cual exista un derecho o una protección contractual, legal y/o constitucional. Se entiende por secreto comercial, toda información que, sin ser reservada por naturaleza, quien la posee alberga un interés legítimo en mantenerla por fuera del dominio público, en cuanto se trata de:

Información producto del estudio xxx xxxxxxx, de la competencia, de las oportunidades de negocio, información estratégica, o de otros datos y observaciones accesibles al público;
Información que, no obstante basarse total o parcialmente en fuentes de dominio público implica tiempo, esfuerzo, dinero o despliegue intelectual en su obtención, análisis, elaboración o en la concepción o diseño de las respuestas o cursos de acción;
Información cuya posesión, en el grado de elaboración de tales datos o modelos de acción, implica, aún de tratarse de datos o modelos que conlleven una investigación o perfeccionamiento ulterior, algún tipo de ventaja para quien posee tal información de carácter estratégico.

CUARTA: CONFIDENCIALIDAD

Las partes contratantes acuerdan de manera expresa que LA COOPERATIVA y/o LA EMPRESA, su personal, contratistas, subcontratistas, y terceras personas relacionadas o vinculadas, no divulgarán ni revelarán la información proporcionada, ni la recibida con motivo del presente Convenio. La información proporcionada en forma oral, escrita, codificada, gráfica, digital, en medio magnético o de cualquier manera tangible sin limitación alguna, será considerada de exclusiva confidencialidad; por lo que, la misma deberá ser manejada y procesada únicamente por el personal autorizado de LA COOPERATIVA y/o LA EMPRESA, con el carácter de restringida y confidencial, y será de exclusiva responsabilidad de LA COOPERATIVA y/o LA EMPRESA, las medidas o precauciones que adopte para evitar que su personal divulgue la información de carácter confidencial.

LA COOPERATIVA y/o LA EMPRESA se comprometen a guardar estricta confidencialidad sobre toda la información recibida, y será de su exclusiva responsabilidad la correcta utilización de ésta, la misma que podrá ser empleada únicamente para los fines descritos en el presente convenio, cuyos resultados serán únicamente revelados al personal de LA COOPERATIVA y/o LA EMPRESA que se encuentre debidamente autorizado.

En caso de incumplimiento de las obligaciones asumidas en este convenio, LA COOPERATIVA y/o LA EMPRESA, sus representantes y/o el personal autorizado que viole la confidencialidad en el manejo de la información proporcionada, será responsable por los daños y perjuicios que el incumplimiento de éste Convenio de Confidencialidad ocasione o el mal manejo de dicha información causare, siendo la parte infractora sujeta de las sanciones penales correspondientes, sin perjuicio de las indemnizaciones civiles y económicas a las que tenga derecho la parte afectada. En tal sentido, las partes reconocen que LA INFORMACIÓN a la que se refiere el presente acuerdo, posee una valoración económica y su indebida divulgación o utilización causa un perjuicio.

En el evento de que una de las partes estuviere obligada a entregar o revelar la información materia de este convenio por orden de autoridad competente, ésta se obliga a notificar a su contraparte en forma inmediata, a fin de que la parte afectada tome las acciones que estime convenientes en defensa de sus intereses.

QUINTA: OBLIGACIONES DE LA PARTE EMISORA. - Con el propósito de facilitar la administración de la información, su titular tratará de:

Procurar discriminar por escrito la información que va a suministrar por cualquier medio al receptor, identificando en la carátula el nivel de confidencialidad, restricción, o uso de la misma;
Suministrar al receptor la información que estime necesaria para el desarrollo del proyecto, asesoría o trabajo.

La ausencia de un rótulo indicando el carácter reservado o no de la información, o su connotación o no xx xxxxxxx, no releva al receptor de su obligación de confidencialidad frente a tal tipo de información.

SEXTA: OBLIGACIONES DE LA PARTE RECEPTORA. - Son deberes de quien haga las veces de receptor de la información:

Guardar la reserva y confidencialidad, sin desmedro de los previsto en el presente convenio, respecto de cualquier tipo de información que se le suministre o a la cual llegare a tener acceso o conocimiento;
Utilizar la información suministrada por el titular de la información o de la que tenga conocimiento, únicamente de la manera y para los fines establecidos en este acuerdo;
Devolver toda la información recibida junto con todas las copias que de ella hubiere inmediatamente a la solicitud del titular de la información, mediante relación escrita del material entregado, firmado por las partes o con sello de recibido.
No realizar copia o duplicado alguno de la información mencionada en este acuerdo; tampoco podrán divulgar dicha información a tercera persona sin que medie igualmente autorización previa y escrita de la otra parte.

SÉPTIMA: PATRÓN DE CONDUCTA, IMPLICACIONES DE LA RECEPCIÓN DE LA INFORMACIÓN Y RESPONSABILIDAD. - Las partes actuarán con el parámetro de responsabilidad del buen comerciante en sus propios negocios, lo que supone entre otros deberes, el de limitar la divulgación autorizada al menor número de personas, y el de tomar las medidas idóneas y eficaces para evitar el tráfico y fuga indebida de la información, así como su uso por fuera de los límites de este convenio.

LA COOPERATIVA y/o LA EMPRESA podrán proveer dicha información solamente a sus empleados que tengan una necesidad inminente, en razón de sus funciones de conocer dicha información, para los cuales también se extiende la obligación de confidencialidad, razón por la que también deberán proteger toda LA INFORMACIÓN de eventual difusión no autorizada.

OCTAVA: Con la suscripción del presente instrumento, LA COOPERATIVA y/o LA EMPRESA acepta expresamente que la entrega – recepción de información confidencial y/o privilegiada se la realiza –bajo el propósito propuesto- con el fin de llegar a una negociación entre las partes que permita a COOPERATIVA DE AHORRO Y CREDITO 29 DE OCTUBRE LTDA contar con LA EMPRESA como asociado o socio estratégico. En caso de que las partes no llegaren a un acuerdo de negocio, COOPERATIVA DE AHORRO Y CREDITO 29 DE OCTUBRE LTDA y LA EMPRESA se restituirán de forma íntegra e inmediata la información recibida en los términos previstos en este contrato. En todo caso, y solo ante la imposibilidad de negocio entre las partes, LA COOPERATIVA queda en libertad de ofertar el mismo negocio con terceros distintos a LA EMPRESA, guardando absoluta reserva de la participación de ésta última y/o la fallida negociación.

NOVENA: EXCLUSIONES. - Este acuerdo no impone ninguna obligación a cargo del receptor de información confidencial respecto de la:

Información que de derecho ya se encontraba en su poder al ser enviada por la otra parte, o que, de otro modo, previamente haya sido objeto de su conocimiento, todo lo anterior, siempre y cuando así se haya informado por escrito a la otra parte al momento de recibir tal información y cuando su divulgación tenga una causa legítima;
Información disgregada que sea del dominio público al momento de recibirla, o que haya pasado a ser del dominio público sin que obre negligencia, culpa o dolo por parte del receptor;
Información que deba ser revelada bajo alguna ley o regulación emanada legítimamente del Estado;
Información que xxxx ser revelada por decisión judicial o de autoridad competente, siempre y cuando, de manera oportuna, se haya notificado de este hecho al titular y se le haya permitido una defensa efectiva en relación con su interés de mantenerla en reserva; y/o
Información que sea revelada por el receptor con aprobación escrita previa de su titular.

DÉCIMA: TITULARIDAD. - Ninguna de las partes que integran el presente acuerdo presume la titularidad sobre la información suministrada por su contraparte; por lo tanto, únicamente la utilizará para los fines y de la manera establecida en este convenio, en los documentos que hagan parte del mismo o en dicha información.

El acceso a la información no implica la transferencia de derecho alguno sobre la misma, tales como derechos derivados de la transferencia de tecnología, know-how, derechos de autor, patente u otros derechos intangibles.

DÉCIMA PRIMERA: LEGISLACIÓN APLICABLE. - En el evento de suscitarse cualquier controversia en relación con la ejecución del presente acuerdo, la legislación aplicable será la de la República de Ecuador.

DÉCIMO SEGUNDA: CORRESPONDENCIA Y COMUNICACIONES. -

Cualquier comunicación, notificación o documentación referida a este convenio, será enviada a las siguientes direcciones:

NOMBRE / RAZON SOCIAL: COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA.

DIRECCION: Matriz Xxxxxxx XX 0-000 x Xx. Xxxxxxxx Xxxxx

TELEFONOS: 00-0000-000

NOMBRE / RAZON SOCIAL: ……………………………………….

DIRECCION: ……………………………………….

TELEFONOS: ……………………………………….

DÉCIMA TERCERA: DURACIÓN. - Las obligaciones de confidencialidad adquiridos por el presente acuerdo se deberán mantener de manera indefinida.

DÉCIMA CUARTA: CLÁUSULA COMPROMISORIA. -

Las Partes se comprometen a ejecutar de buena fe las obligaciones recíprocas que contraen mediante este Convenio y a realizar todos los esfuerzos requeridos para superar, de mutuo acuerdo, cualquier controversia. Toda controversia o diferencia derivada de la aplicación, validez, interpretación, nulidad o cumplimiento del presente Convenio será resuelta con la asistencia de un mediador del Centro de Arbitraje y Mediación de la Cámara de Comercio de Quito. En el evento que el conflicto no fuere resuelto mediante este procedimiento, las partes someten sus controversias a la resolución de un Tribunal de Arbitraje que se sujetará a lo dispuesto en la Ley de Arbitraje y Mediación, el Reglamento del Centro de Arbitraje y Mediación de la Cámara de Comercio de Quito y las siguientes normas:

Las partes renuncian a la jurisdicción ordinaria, se obligan a acatar el laudo que expida el Tribunal Arbitral y se comprometen a no interponer ningún tipo de recurso en contra xxx xxxxx arbitral;
Para la ejecución de medidas cautelares el Tribunal Arbitral está facultado para solicitar el auxilio de los funcionarios públicos, judiciales, policiales y administrativos sin que sea necesario recurrir a juez ordinario alguno;
El Tribunal Arbitral estará integrado por un árbitro;
El procedimiento arbitral será confidencial; y,
El lugar de arbitraje será en las instalaciones de la Cámara de Comercio de Quito

DÉCIMO QUINTA: MISCELÁNEOS. -

15.1. Encabezamientos: Los encabezamientos de este documento están impresos sólo como referencia y no afectarán la interpretación del Convenio.

15.2 Mayúsculas y plurales: Las palabras o términos utilizados en mayúsculas en el presente Convenio, están impresos sólo como referencia e incluirán a las minúsculas, sin afectar la interpretación del Convenio. Las palabras utilizadas en plural incluirán su singular y viceversa.

15.3 Integridad: El presente Convenio constituye y representa la enunciación completa y exclusiva de los derechos y obligaciones de las partes, y deja sin efecto cualesquier otra comunicación, propuesta o documento, oral o escrita, cursada entre las partes con anterioridad a la firma del mismo.

15.4 Modificación: Toda modificación o reforma al presente Xxxxxxxx deberá adoptarse por acuerdo escrito entre las Partes.

15.5 Terceros Beneficiarios: El presente Convenio esta celebrado para beneficio exclusivo de las Partes contratantes, por lo que nada de lo aquí expresado o mencionado será entendido como un permiso, reconocimiento o autorización a un tercero para reclamar cualquier derecho en base a este Convenio.

En constancia se firma el presente documento por quienes en él intervinieron, en la ciudad de Quito, a los ……………. días del mes de ……………… del dos mil veintiuno (2021), en dos ejemplares del mismo tenor y validez.

Sr. ……………………….

C.C. …………………….

REPRESENTANTE LEGAL

…………………………..

Xxx. Xxxxxx Xx Xx Xxxxx

XXXXXXX XXXXXXX

00 XX XXXXXXX LTDA.

Página 61 de 61

Document Metadata

Table of Contents

BASES DE CONCURSO PARA SERVICIOS Y/O CONSULTORÍA CÓDIGO DE CONTRATACIÓN: BPCS- COM-2022-004 COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA. ÁREA REQUIRENTE: SEGURIDAD DE LA INFORMACIÓN OBJETO DE CONTRATACIÓN: SOLUCIÓN PARA GESTIÓN DE CUENTAS...

Document Metadata