Fecha: 09.10.2013 Pgina 51 de 129 Versin: V 1.0.0
'"''''
l
iJ
/
Inteligencia en
Seguridad
Todo dispositivo de seguridad debe de venir acompaftado con
investigacin y anlisis detrs para poder mitigar las amenazas y
vectores de ataque actuales. Por lo que el fabricante de la solucin
debe de contar con algn sistema de inteligencia donde se est
monitoreando las amenazas de Internet a nivel mundial y debe de
cumplir con al menos las siguientes caracterlsticas:
Al menos analizar 3 Terabits por segundo en Internet para tener una
amplia muestra y visin a nivel mundial
Al menos 70 JSP's deben de compartir informacin de ataques con el
fabricante
Al menos 30 GB de trfico malicioso debe de ser analizado diariamente
proveniente de darknets o honeypots
Estos datos deben de estar pblicos en el sitio web del fabricante, por
transparencia no se aceptarn cartas firmadas de ningn tipo donde
clamen cumplir este punto si no se encuentra pblicamente disponible
en el sitio web del fabricante.
3.2.3.4 Sistema de control de acceso a la red cableada e inalmbrica
Se requiere un sistema de Control de Accesos que autorice, niegue o limite los accesos de dispositivos a la red,
validando las credenciales de usuario, tipo de usuario, tipo de dispositivo, salud del dispositivo y otras pollticas de
seguridad definidas por el Administrador de la Red, teniendo como puntos de validacin equipos de conmutacin
IP (switches) que soporten el protocolo 802.1X.
Terminologa
Entidad fundamental del sistema de Control de Accesos, encargada de
autenticar y autorizar el acceso a los usuarios/dispositivos la red, asl como
definir su nivel de acceso permitido, con base en la validacin del
Nodo de polticas cumplimiento de polticas y posturas preestablecidas.
El nodo de pollticas ser el encargado de aplicar las funcionalidades de
AAA, adicionando la validacin de perfil de usuario/dispositivo, validacin
de posturas y remediacin.
Almacena una bitcora con todas las peticiones de acceso a la red y
Nodo de
monitoreo
Nodo de
administracin
proporciona un reporteo de la actividad de los usuarios y las caracterlsticas
de seuridad de los dispositivos a los que se les ha concedido el acceso.
Proporciona una nica interfaz grfica para la administracin del sistema, a
travs de la cual se administra el Control de Accesos para usuarios
cableados, inalmbricos \'USuarios conectados vla VPN.
Se le denomina as al software instalado, pre-instalado y de instalacin bajo
Agente/Suplicante demanda que reside en los dispositivos de usuarios y solicita acceso a la
red. Este aente debe tener funcionalidades de 802.1X
Equipo de red que recibe peticiones de acceso por parte de los
Network Access
Device (NAD)
usuarios/dispositivos y las compara con la polftica de acceso establecida en
el "Nodo de pollticas", para autorizar, negar o limitar el acceso a Jos
dispositivos que se conectan a travs de sus puertos (fsicos o lgicos),
mediante el protocolo 802.1X.
,J, "'-"'"'''_-:;';,". ''''''"'""'""'''""''"S'f.c,;;\, ,;,,";;- .; ,;._:;,,,;,, ,.;0''-=ii; ; ,,;;=;,. ,,w, ,;;."''"'<'@'IW'=@]"'"""''"=@] "';"'"'' -"'' '"""'"!o. ., ., ,.@i_,_,._,@ '"','.._,_
Fecha: 09.10.2013 Pgina 52 de 129 Versin: V 1.0.0
Dispositivo
Un dispositivo es cualquier equipo electrnico que tenga la capacidad de
conectarse a la red IP, ya sea cableada (802.3) o inalmbrica (802.11).
En la red existen dos tipos de dispositivos: dispositivos de usuarios como
pueden ser PCs, laptops, telfonos inteligentes y tabletas, y dispositivos
NO usuarios, como pueden ser impresoras y telfonos IP.
Usuario
Un usuario es cualquier persona que requiere acceso a la red, ya s
Administrador de Red, empleado o visitante.
Estadsticamente, un usuario en promedio conecta 3 dispositivos a l
su PC/Iaptop, su tablet v su telfono inteliente personal v/o corpora
a
a red:
tivo.
1
e
Caracterfsticas tcnicas requeridas en la solucin de Control de Accesos:
Generales
La solucin debe controlar el acceso de los dispositivos a la LAN y fa WLAN,
con un licenciamiento inicial que soporte el control de acceso para 1000
dispositivos concurrentes en ambas redes. Los dispositivos deben ser
autenticados y clasificados con base en su perfil, manteniendo el perfil de
cada uno de ellos en la base de datos del sistema.
Considerando un mximo de 3 dispositivos por usuario y un mximo de 1200
empleados, la solucin debe permitir la escalabilidad de licenciamiento para
hasta 3600 dispositivos concurrentes, sin la necesidad de realizar cambios
en el hardware.
La solucin debe incluir el hardware y software necesarios para realizar
funcionalidades de autenticacin y autorizacin para usuarios/dispositivos
que se conectan a red por medio cableado e inalmbrico, asf como tambin
para dispositivos que se conectan a la red vfa VPNs, con la implementacin
de una polftica de seguridad consistente para todo el x basada en ef
protocolo 802.1X
La solucin debe considerar la validacin de posturas y el anlisis del
contexto de los dispositivos (tipo de dispositivo, Jugar de conexin, horario de
conexin y medio de conexin) como parte de las polticas configurables
para la autorizacin del acceso a la red.
La solucin debe contar con nodos de Polticas, Administracin y Monitoreo,
de acuerdo a fas caracterfsticas de estos elementos descritas anteriormente
v debe haber redundancia en todos estos elementos.
La solucin debe residir en servidores dedicados (appliances), instalados
dentro de las instalaciones deix, en una ubicacin con seguridad fsica
que el x destine para estos equipos.
Se deben incluir todos los accesorios necesarios para fa instalacin de los
equipos en rack de 19".
La propuesta debe considerar los Servicios de Consultora para traducir la
Polftica Corporativa de Seguridad hacia reglas aplicables ar Sistema de
Control de Acceso.
Los dispct>sitivos que soliciten acceso a la red podrn ser autorizados,
Control de
limitados o rechazados basados en los siguientes criterios:
Acceso
Atributos del usuario: Usuario y contrasea de dominio, certificado
digital, grupo de usuario.
Contexto del dispositivo: Horario de conexin, lugar de conexin,
---> """ >- W->HP-' " 0' " = ---- - - - --..... -- -- "rm @@
medio de conexin (cableado, inalmbrico, VPN) y tipo de
dispositivo.
Cumplimiento del dispositivo: Versin del sistema operativo, parches,
actualizaciones, aplicaciones instaladas, antivirus, anti spyware, etc.
Para identificar el tipo de dispositivo que se est conectando a la red, la
solucin debe realizar pruebas a los dispositivos basadas en DHCP, NetFiow
vSNMP.
En funcin de los atributos de usuario y atributos de dispositivo, la solucin
debe aplicar las siguientes reglas generales de control de acceso:
Si el usuario/dispositivo pertenece al dominio y cumple las polfticas
establecidas, debe poder ingresar a la red con el perfil adecuado a
su funcin dentro de la organizacin y ser colocado en una VLAN
productiva.
Si el usuario/dispositivo pertenece al dominio pero su mquina no
cumple las polfticas establecidas, debe poder ingresar a la red con el
perfil restrictivo y colocado en una VLAN de Remediacin o
cuarentena. Ante una remediacin exitosa, podr ser colocado en
una VLAN productiva.
S el usuario/dispositivo no pertenece al dominio y por ende no tiene
credenciales en el directorio corporativo, debe ser re-direccionado a
un portal WEB a travs del cual podr autenticarse con credenciales
temporales, para ser colocado en una VLAN de invitado con acceso
limitado. Ante la falla de esta autenticacin, se le negar totalmente
el acceso al usuario.
Si el usuario/dispositivo no logra autenticarse a travs de ningn
mtodo, se le negar el acceso a la red.
La solucin debe permitir la aplicacin de listas de acceso descargables
(dACLs) para limitar temporalmente el flujo de trfico de dispositivos que no
cumplen con las posturas requeridas, con la finalidad de permitirles acceder
exclusivamente a recursos de remediacin.
El sistema debe realizar peridicamente la verificacin del cumplimiento de
posturas de los dispositivos que solicitan acceso a la red, asl como de los
dispositivos ya conectados (autenticados y autorizados) y el Administrador
del Sistema podr configurar el intervalo de tiempo en que el nodo de
polticas realiza dicha verificacin. Si en cualquier momento el cumplimiento
de posturas no es el correcto, automticamente y sin intervencin de ningn
administrador, el usuario debe ser advertido y el acceso de su dispositivo
debe ser limitado a una VLAN de remediacin.
Debe poseer las siguientes funcionalidades cmo parte de la validacin de
posturas:
Verificacin de versiones y parches de sistema operativo.
Verificacin de antivirus y anti-spyware instalado y actualizado a la
ltima versin.
Verificacin de determinados registros en el dispositivo, para
identificacin pertenencia de la estacin de trabaio al organismo.
Se debe utilizar un cliente de software en los dispositivos finales,
exclusivamente para la validacin de posturas, con las siguientes
caracterlsticas:
f:""'""'i'- "'"'"""'""""""'::::?""
i!S! .pp
g .;qpg A "
2
evfi!W.!tt!'""'-='-""'?.:'"'ii1l f H
GH P'-'-"''S''"1"21R"S >-'f! JVM 8i H [fp
"'""=<f."!?"'"''" iil! 8 Wli""""""'""
Fecha: 09.10.2013
N
Pa
'
gma 54 de 129 Vers1
"
o
'
n: V 1.0.0
Podr ser instalado permanentemente en equipos que cuenten con
los siguientes sistemas operativos: Windows 8, Windows Vista,
Windows 7, Windows XP y MacOS X
Podr ser instalado temporalmente a travs de un applet personal:
Active X Java en equipos Windows.
Podr realizar verificaciones recurrentes del cumplimiento de
_ll_osturas en el qui_o.
La solucin debe ofrecer herramientas para remediar el incumplimiento de
Jlosturas en la estacin de trabajo.
La solucin debe incluir un modelo de control de acceso basado en roles de
usuario.
La solucin debe tener la capacidad de integracin con plataformas MDM
(manejo de dispositivos mviles), para controlar las aplicaciones que tienen
instaladas los telfonos mviles corporativos, como parte de la polrtica de
control de accesos.
La solucin debe incluir un modelo de control de acceso basado en grupos
de usuarios. Los usuarios deben poder ser relacionados a uno o ms grupos
y, con base a su pertenencia a determinado grupo, se les podr
conceder/ne:ar el acceso a determinados recursos de red.
La validacin de pollticas en la estacin de trabajo debe poder realizarse
antes y despus que el usuario se haya identificado.
A cada polltica de verificacin del puesto de trabajo se le debe poder
configurar una leyenda que describa el cumplimiento y otra de remediacin.
El usuario debe poder responder a la misma seleccionado una opcin
indicada.
El mtodo principal para la autenticacin de los usuarios debe ser con la
autenticacin en el dominio Windows utilizando tcnicas de SSO (Single-
Sign-On), es decir, que las mismas credenciales que utiliza el usuario para
acceder al dominio de Windows sean utilizadas para acceder a la red.
Las credenciales de los usuarios deben ser almacenadas y validadas en un
directorio corporativo Microsoft Windows Active Directory 2012.
Adicionalmente, el sistema debe permitir la autenticacin transparente para
el usuario a travs de certificados digitales X.509 instalados en su
dispositivo.
La solucin permitir analizar los certificados que presentan los clientes para
permitir o denegar el acceso a los recursos internos y basados en los
campos del certificado presentado por el cliente se asocia el cliente a un
grupo o role con determinados privilegios de acceso sobre los recursos.
El sistema debe permitir acceso limitado a equipos externos a la red
corporativa que no estn registrados en el dominio (proveedores, invitados,
etc.) mediante un portal web cautivo a travs del cual se realice la
autenticacin web de estos usuarios.
El sistema debe permitir la autenticacin por direccin MAC exclusivamente
para dispositivos que no soportan 802.1x (dispositivos no usuarios, como
impresoras).
El sistema debe soportar el protocolo RADIUS para autenticacin,
autorizacin y Auditorla (AAA).
j
El sistema debe soportar los siguientes protocolos y estndares del
framework 802.1X:
Autenticacin PAP
Autenticacin MS-CHAP
Autenticacin Extensible Authentication Protocol (EAP)-MD5
Autenticacin Protected EAP (PEAP)
Autenticacin EAP-Fiexible Authentication via Secure Tunneling (
EAP-FAST)
Autenticacin EAP-Transport Layer Securitv (EAP- TLS)
El sistema debe permitir asignar uno o ms grupos al usuario dependiendo
de cualquier atributo, especificado por el administrador, obtenido de su
fuente de autenticacin (por ejemplo LDAP, Radius).
lnteoracin a un esquema PKI
Almacenamiento de certificados propios (self-siqned)
Utilizacin de certificados generados por una CA
Administracin,
monitoreo y
reporteo
La administracin debe ser centralizada para todo el sistema.
Debe proporcionar el monitoreo, reportes y solucin de problemas mediante
una consola de operaciones.
Debe incluir plantillas predefinidas para la configuracin de pollticas de
dispositivos comunes.
Debe contar con la facilidad de descubrir los dispositivos conectados a la red
y clasificarlos automticamente.
Debe permitir la creacin y administracin de perfiles y posturas.
Debe permitir la administracin y credencializacin de usuarios invitados
conectados a la red, administrando su ciclo de vida: fecha y horario de inicio
y fin de su conexin temporal.
Debe ofrecer informacin contextua! en tiempo real de todos los usuarios y
dispositivos conectados a la red.
La solucin debe incluir como opcin el auto-aprovisionamiento de usuarios
invitados, los cuales deben ser aislados en una VLAN con acceso restringido.
La solucin debe almacenar los logs de todos los pedidos de autenticacin
de los usuarios como tambin los resultados de cumplimiento de normas de
cada uno de ellos.
Debe poder almacenar al menos:
Informacin del usuario que se registra (lag in) y del que finaliza su
sesin (lag-out).
Timeout de sesiones, incluyendo tiempos sin actividad y tiempos
mximos de sesin.
Cumplimiento de las pollticas de seguridad y auditora por usuario.
Estado de la comunicaciones entre los Agentes y los Network
Access Device (NAD)s.
Cantidad de usuarios que inQresan al sistema con/sin xito.
Los logs deben poder ser ex"portados a una plataforma de correlacin de
eventos compatible con sysloQ. Se debe soportar uno o ms sysloq.
El sistema debe permitir la navegacin, filtro y ordenamiento de los logs y su
consulta desde la misma plataforma.
El sistema debe permitir la categorizacin de los logs en funcin de la
=d " ?;?;:q!!'!'l'f'':'&' ::'!!:::'P.lo" "- "- -- """""""' -
M *'llifl"'WM"'-'t''"*'W'iJ63J"'"""'"!: ':'t:m F +y< &'E!iffi'!"-"' ml''"'f'r """."''?:':' 2'illiillilli!A" f'Jm"fi"h'"''M"'ff-=
Fecha: 09.10.2013 Pa
'
gma 56 de 129 Vers1on: V 1.0.0
importancia.
Los administradores deben contar con perfiles de acceso con
lectura/escritura o solo lectura para cada una de las funciones de
configuracin: configuracin, gestin, roles, tareas administrativas, tareas de
mantenimiento, entre otras.
El sistema debe permitir generar roles de administracin por atributos como:
nombre de usuario o qrupo en el dominio.
La configuracin del equipo debe poder ser guardada y/o exportada en forma
programada a un repositorio de configuraciones externo.
Se podr instalar en los equipos de la red una versin pre-configurada del
agente.
3.2.3.5 Balanceador de carga
Se definen como Servicios de Balanceo de Cargas de enlaces al uso de la facilidad de los enlaces a la red de
Internet que el x recibe.
Con la finalidad de simplificar los requerimientos bajo demanda del presente documento, se define la Unidad de
Balanceo de Cargas (UBaiC) como el equipamiento con hardware redundante en esquema activo/pasivo que
permite: proporcionar alta disponibilidad para la seleccin del enlace que utilizaran los usuarios internos deix
para navegacin a interne! y seleccin, mediante resolucin de DNS, del enlace por el cual los usuarios externos
podrn acceder a los aplicativos publicados por el x.
Dicho equipamiento debe contar con procesador de varios ncleos y ser compatible con la infraestructura de la
red LAN/WAN
EIX requiere 2 Unidades de Balanceo de Cargas de enlaces como parte de la solucin y las solicitar bajo
demanda; el licitante ganador se obliga a proporcionar dichas Unidades de Balanceo de Cargas en forma
independiente, es decir, el par redundante debe estar conformado por sistemas individuales con un mecanismo
de alta disponibilidad.
CARACTERSTICAS TCNICAS MNIMAS DEL BALANCEADOR DE CARGAS
Balancear al menos 4 enlaces.
Soporte de al menos 212,000 sesiones por segundo en capa 7 (L7).
Soporte 5 Gbps de Throughput.
Sistema operativo a 64 bits.
Soporte de un mlnimo de 8 puertos, en cobre RJ-45.
Soporte 2 puertos de 10 G (opcional).
Soporte para cuando menos 250 IP's Virtuales (Virtual servers).
Soportar al menos los siguientes algoritmos de balanceo de entrada: Round Robn, Topologa,
Proporcin (ratio), Enlace preferente.
Soportar al menos los Siguientes algoritmos de balanceo de salida: Round Robn, IP Origen, IP Destino. )
Soportar al menos los siguientes mecanismos de monitoreo de la disponibilidad de enlaces de salida
mediante la validacin ?e la capacidad de estos para navegar hacia sitios pblicos de interne!: ping, http,
tcp, udp.
Determinacin del enlace de entrada a utilizar mediante mecanismo de resolucin por DNS.
Fecha: 09.10.2013 Pgina 57 de 129 Versin: V 1.0.0
Soporte del Protocolo SNMP.
Consola de administracin remota con seguridad basada en usuario y clave, con un canal seguro de
comunicacin, que soporte GUI y CLI.
Configuracin Dinmica de Recursos.
Manejo de pistas de auditorla e informacin estadistica.
Para la partida 3 el licitante debe presentar carta emitida por los fabricantes de los equipos propuestos
donde lo certifique como distribuidor autorizado y como especialista en seguridad avanzada.
El licitante debe presentar copia del siguiente certificado del personal asignado a la implementacin del proyecto:
1 Ingeniero con el nivel mximo especializado en seguridad.
El licitante debe tener al personal asignado al proyecto en su nmina para lo cual debe presentar comprobante
de alta en eiiMSS
3.2.3.5.1 Servicio de mantenimiento y Garanta
Ah'_en'a'.:Ji,' t'd'' eQUiP'',p :'aeg d-dP ifrri t ' -\- -?.\.: '};' -:-:-:,:E_ -,' ::_, :._ -;;.: -- -7i. --;?,,j'I'.h:'"i' ,,, .,, " '''-' :. .'{' . _,_;\
..
- :aiite'rrstic'a:'''.-.__ -; _, _._,,,. :_,.__.,. ,.c. . :.:. .;o ';
;J;--.c:: ,,.
Propsito Proporcionar los equipos que soporten las funcionalidades del Sistema de Prevencin de Intrusos,
Filtrado de Contenido,Sistema de proteccin contra ataque de denegacin de servicios, Sistema de
control de acceso a la red cableada e Inalmbrica y Sistema de Servicios de Balanceo de Cargas para
las localidades del X., asf como las funcionalidades requeridas para estos equipos.
Tipo de servicio Equipos para red de datos
Area geogrfica y/o lgica de cobertura Centro de Cmputo de!X e instalaciones adicionales.
Vigencia a partir de la firma del contrato y hasta el31de Diciembre de 2017
Horario delservicio
7x24
Prioridad Critica
Periodicidad de revisin del ANS Mensual
\
Fecha: 09.10.2013 Pgina 58 de 129 Versin: V 1.0.0
.
caraterrstlca
Indicador de Desempeo Disponibilidad. la capacidad y funcionalidad de los equipo para la red de datos, debiendo tener una
disponibllldad de 24 horas al dfa, 7 das a la semana, por la duracin del contrato.Se espera que la
disponibilidad cumpla con los siguientes parmetros.
Disponibilidad Total
Disponibilidad Total
U oras Totales del periodo-Horas de ventana de mantenimiento
Hotos totales del periodo
Horas totales del periodo anual= 8760
las horas de ventana de mantenimiento se contabilizan a partir de la hora programada de inicio del
paro,hasta elmomento en que ellicitante ganador libera a produccin y recibe la aprobacin por
parte del administrador de la infraestructura.
Se considera que se podrn tener un mximo de dos periodos de hasta 48 horas consecutivas como
ventanas de mantenimiento en un ao,lo que da como r sultado:
Disponibilidad anualTotal> 98.904%
Disponibilidad anualTotal> 8,664 horas
Disponibilidad por Incidentes
Horas Totales del periodo- Horas de paro por falla
Disponibilidad por iucldentes = H
otas tota
l
es
d
e
l
pen
o
d
o
Horas totales delperiodo anual= 8760
las horas de paro por falla se contabilizan a partir de la hora en que se genera la notificacin,va
electrnica,allicitante ganador a causa de un evento notificado como incidente,que est causando el
paro totalo parcial {deterioro mayor al20% en tiempo de respuesta o asignacin de recursos de
computo, almacenamiento o ancho de banda,reflejado en los parmetros de monitoreo) de los
ambientes de produccin,hasta elmomento en que el licitante ganador libera a produccin y recibe la
aprobacin por parte del administrador de la infraestructura.
Se considera que podr tener la infraestructura eventos que paren la produccin hasta por un mximo
de 24 horas acumuladas en un ao,lo que da como resultado:
Disponibilidad por incidentes> 99.726%
Disponibilidad por incidentes> 8,736 horas
Rendimiento.
Fecha: 09.10.2013 Pgina 59 de 129 Versin: V 1.0.0
--A i- da -e- t-de-eqcJp-p u Segtirid-3'd P;'ffi'fi-a-
'---:-'rat:te'ri t'ia -
Nivel de Servicio mfnimo esperado
Deduccin
El tiempo de solucin a incidentes, para componentes de hardware y software, ser en la
localidad en la que se ubican los equipos en los tiempos indicados en el apartado 3.2.4.1.2
Prioridades de incidentes,a partir de la confirmacin del incidente y su tipificacin. la
atencin ser obligada mente en sitio y solamente podr cambiarse a atencin remota con
previa autorizacin del responsable del centro de datos o del Director de Sistemas
informticos dellfT.
En caso de incumplimiento en elparmetro de Disponibilidad Total el licitante ganador ser
acreedor a una pena de 1% de la facturacin del periodo por cada hora de incumplimiento
de la disponibilidad total en caso de paros programados.
En caso de incumplimiento de los parmetros de disponibilidad el licitante ganador ser
acreedor de penas de 1% de la facturacin del periodo por cada hora de incumplimiento
de la disponibilidad por incidentes en el periodo en caso de paros no programados.
En caso de que la deduccin no pueda reflejarse en la facturacin en su totalidad, el
licitante ganador har el depsito correspondiente para cubrir el excedente.
3.2.4 Esquemas de servicio, atencin a fallas y mantenimientos de la partida de Servicios
Administrados de Infraestructura Telefnica
Area geogrfica
y/o Lgica de
cobertura Insurgentes
Localidades
en:
Cdigo
Alternas
.
del la Zona
De acuerdo con la cobertura geogrfica por definir por el x, se podr asignar un sitio
adicional de instalacin para cobertura por parte de los Servicios de este proyecto, este sitio
estar situado dentro del rea metropolitana La atencin a esta localidad adicional se har
con un ingeniero del Grupo de soporte tcnico en sitio, el cual podr adicionarse una vez
autorizado orla Direccin de Sistemas Informticos.
)
Vigencia A partir de la adjudicacin y por la vigencia del contrato.
Fecha: 09.10.2013 Pgina 60 de 129
Ser.iicios de atencin a cambios, altas y bajasy mantenimiento'; . . ; '.: , ,'
Horario del Lunes a Viernes con horarios continuos de 8:00 a 18:00 Hrs.
servicio
Prioridad Prioridad Alta
Periodicidad de Ninguno
revisin del ANS
3.2.4.1 Servicios de atencin en sitio de la partida de Servicios Administrados de Infraestructura
Telefnica
El alcance del soporte tcnico debe incluir un Grupo de soporte tcnico en sitio, integrado como mlnimo un
ingeniero en sitio, especialista en voz, con la finalidad de que provean servicios correctivos a los equipos que se
instalaran en las oficinas del X, el horario de atencin del ingeniero ser de Lunes a Viernes de 08:00 hrs. a 18
hrs. Se debe considerar que las prestaciones contractuales de los ingenieros de servicio, que integren el
grupo de soporte tcnico en sitio, deben ser cubiertas y notificadas con un mnimo de 24 horas de anticipacin, a
excepcin de las que sean originadas por causa de fuerza mayor, las cuales deben ser cubiertas., considerando
el horario de trabajo antes mencionado, con el fin de cumplir el tiempo de atencin solicitado en los sitios de
cobertura determinados y acordados con el Administrador del Contrato.
Este ingeniero especialista debe tener la capacidad de proporcionar el servicio correctivo a los sistemas
propuestos, as como lo servicios de Altas, bajas y Cambios de programacin necesarios durante la vigencia del
contrato.
Estos servicio no incluirn el suministro de materiales adicionales y/o miscelneos, a los propuestos inicialmente,
por lo que se cotizaran como ampliaciones y deben ser estimadas e integradas en una propuesta, la cual debe
ser autorizada por el Administrador del Contrato, antes de iniciar la ejecucin de las actividades que involucren
los materiales adicionales y/o miscelneos.
Los ingenieros que integren el Grupo de Soporte en sitio, se encontrarn en las instalaciones deix, de tiempo
completo y sern responsables de atender los servicios solicitados por la Mesa de Servicio x del X.
3.2.4.1.1 Atencin a Fallas y nivel de soporte
La atencin a fallas debe prestarlo El Licitante, mediante personal propio en sitio o mediante un nmero
telefnico de atencin nico, esto de acuerdo a los siguientes niveles de servicio.
Nivel1:
Nivel2:
Atencin telefnica a travs de un nmero nico de contacto, donde se podr contactar, abrir y registrar
incidentes, recopilar la informacin de la falla presentada, diagnstico y soporte inicial, asl como el
proceso de escalamiento a nivel 2 y nivel 3, actividades de seguimiento y cierre de incidentes.
Investigacin y diagnstico de los incidentes escalados por la mesa de ayuda (Nivel 1). En este nivel se
realizara el diagnstico y aplicacin de soluciones ya sea en sitio, a travs del ingeniero asignado, de
Fecha: 09.10.2013 Pgina 61 de 129 Versin: V 1.0.0
u
'
"O
Nivel3:
forma remota para la solucin de incidentes y escalacin a nivel 3.
Este nivel debe contemplar soporte en sitio por parte de los ingenieros de campo, para la solucin de los
incidentes, debe contemplar reconfiguracin y/o sustitucin de hardware del equipo y aplicaciones que se
propongan como solucin.
3.2.4.1.2 Prioridades de incidentes
Para la atencin y resolucin de incidentes, se deben utilizar diferentes prioridades, a continuacin se detallan las
requeridas como mfnimo:
Nivel de Servicio mnimo esperado es el siguiente:
El tiempo de respuesta al reporte ser de menos de 15 minutos, al reporte levantado por correo
electrnico.
El tiempo de atencin a incidentes, para componentes de hardware y software, ser en la localidad en la
que se ubican los equipos a travs del Grupo de Soporte en un tiempo menor a 30 minutos, a partir de la
confirmacin del incidente y su tipificacin. La atencin ser obligadamente en sitio y solamente podr
cambiarse a atencin remota con previa autorizacin del responsable del Proyecto o del Director de
Sistemas informticos deix.
La prioridad se asignar de acuerdo a la siguiente tabla:
Toda la red
telefnica
3
e
Un Edificio
O
o localidad
ro
completa
<( Un rea de
<lJ
trabajo
Qj
completa
z
>
Un Usuario
'3
Informativo o
planeacin
Baja. Puede
planearse su
atencin
Importante. Causa una
disminucin en la
disponibilidad del
recurso
Criticidad
Urgente. El recurso no
est disponible y causa
una afectacin a las
actividades
La prioridad aplica para eventos clasificados como incidentes y de los cuales es responsabilidad del licitante
ganador su atencin. En caso de que se determine que los recursos que permitirn corregir el evento no forman
parte de los recursos a ser suministrados por el licitante ganador, el tiempo queda suspendido en tanto se
e '.e'" """"'- ... '-=-"""""'''""''"'""" m+&"@"'-=='-= '"--
k
Fecha: 09.10.2013 Pgina 62 de 129 Versin: V 1.0.0 \
determina y autorizan los recursos necesarios para corregir el incidente.
Cdigo de
Prioridad
Tiempo mximo de
diagnstico (Horas)
Tiempo mximo de
solucin (Horas).
1
1
4
2
2
8
3
2
12
4
2
24
El licitante ganador del servicio administrado debe considerar la mejora continua de los servicios solicitados a
travs de la actualizacin tecnolgica y/o mediante la habilitacin y el soporte de nuevas funcionalidades,
optimizaciones al servicio, durante la duracin total del contrato de servicio. Esto lo lograr garantizando que la
infraestructura y los componentes del servicio, se mantengan actualizados durante la vigencia del contrato, tanto
en la ltima versin de software que libere el fabricante de los mismos (actualizaciones menores y mayores tanto
para aplicaciones como para sistemas operativos), como mediante el reemplazo de dichos componentes por
elementos equivalentes o superiores, cuando el fabricante anuncie su retiro del mercado, por discontinuidad y fin
de soporte del hardware, software, licencias, funcionalidades, servicios, entre otros y licitante ganador del
servicio administrado no tenga forma alterna de seguirlos soportando.
Los servicios administrados consideran como parte de su alcance la administracin, operacin, mantenimiento y
soporte de la infraestructura existente en el X. El licitante ganador del servicio administrado debe otorgar los
servicios operativos (tales como: soporte tcnico, optimizacin, mantenimiento preventivo y reactivo, puesta a
punto, ajustes finos, mejoras, actualizaciones de hardware, software, firmware), de soporte proactivo y reactivo,
para cumplir con los niveles de servicio asociados.
Para todas las partidas .- Para la administracin de los incidentes durante el periodo de garantfa el licitante
ganador debe contar con una mesa de servicio alineada con los procesos de ITIL, para lo cual debe demostrar
que su herramienta de mesa de servicio est certificada por Pink Verify en al menos 4 procesos, imprimiendo la
pgina de Internet.
La mesa de servicio debe contar al menos con 5 personas certificadas en ITIL para lo cual debe presentar copia
de sus certificados en el sobre de ofertas. La mesa de servicio debe contar con una cobertura de atencin
7x24x365 y al menos 1O posiciones.
La empresa licitante debe contar con alguna certificacin de calidad similar a JS0-9000 para lo cual debe
presentar copia del certificado.
.- Para garantizar Jos niveles de soporte solicitados, el licitante debe contratar con cada uno de los fabricantes las
plizas de soporte tcnico y reemplazo de p9rtes durante la vigencia del contrato con los mismos niveles de
servicio solicitados por la convocante. Previo; a la firma de contrato el licitante debe presentar la evidencia
documental de haber contratado con Jos fabricantes.
Fecha: 09.10.2013 Pgina 63 de 129 Versin: V 1.0.0
"'"'.:;; &9 "*f&2 tt =="''""' & a ' p ="ft'--m;y
-- m :g "'&r'A'""' 4P4i&
R-ffl..,
ifu!'f"'"6 o m :=
Fecha: 09.10.2013 Pgina 64 de 129
Versin: V 1.0.0
'
3.2.4.2 Actividades de soporte tcnico para equipos de las partidas de Arrendamiento de Equipo para la
Red de Datos y Seguridad Perimetral.
Para las partidas de arrendamiento de equipo, se requiere de los servicios de soporte en sitio para realizar tareas
de cambios a la configuracin, tareas de administracin especializada y de diagnstico. Por lo cual es necesario
que el licitante ganador asigne los recursos especializados de soporte cuando le sea solicitado, para la
realizacin de las actividades antes mencionadas.
Por lo anterior, se estima el uso de un mximo de 120 horas al ano de servicios especializados de soporte para
la partida de Arrendamiento de Equipo para la Red de Datos, y se estima el uso de un mximo de 180 horas al
ano de servicios especializados de soporte para la partida de Arrendamiento de Equipo para la Seguridad
Perimetral.
La realizacin de actividades de soporte no forma parte de la garanta y atencin de soporte tcnico en sitio que
corresponden a incidentes, fallas y problemas reportados y que surjan dentro de la operacin normal de los
equipos, los cuales seguirn el curso normal de gestin de incidentes y problemas y la atencin en sitio
correspondiente, que deben estar incluida como parte de la cobertura de soporte en sitio que debe extenderse
por la vida del contrato y hasta su conclusin.
3.3 Elementos dentro del Alcance
3.3.1 INSTALACION.
El Licitante Ganador tendr un periodo de 43 dfas naturales una vez que haya sido dado el fallo de la Licitacin
para poner en operacin los servicios descritos en este anexo para fas partidas 1 y 2, a satisfaccin del X.
En caso de que a partir de fa notificacin del fallo, el licitante ganador no pueda cumplir con el compromiso de
proveer el servicio a partir del 12 de Febrero de 2014, asf sea que no hayan transcurrido los 42 das naturales,
deber negociar con el proveedor actual del servicio para que a travs de ste pueda seguir ofreciendo el
servicio al X mientras realiza la instalacin, configuracin y puesta a punto del servicio objeto del contrato.
En caso de que no se logre un acuerdo entre las partes (proveedores involucrados), ser responsabilidad del
proveedor adjudicado asumir los costos que se generen mientras instala y configura la infraestructura para
ofrecer el servicio.
3.3.1.1 Partida 1. Servicios administrados de Infraestructura telefnica.
El sistema telefnico convergente debe ser instalado en el mismo sitio donde actualmente se localiza el sistema
telefnico en operacin. El licitante ganador debe incluir en su propuesta un plan de instalacin que considere los
siguientes puntos:
Todos los elementos que integran la solucin y que se mencionan en el punto 3.2 del presente
documento, deben ser instalados en gabinetes de piso o racks de 19 pulgadas y 42 U de altura. No se
aceptan soluciones donde ef montaje de los componentes sea sin gabinete de piso o rack, o que sean de
montaje en pared, con excepcin a los componentes de cableado.
Se deben incluir todos los elementos necesarios para la instalacin, montaje y canalizacin necesarios
para la solucin de adecuaciones de cableado telefnico propuesta.
\
-
Se deben incluir todos los elementos necesarios para el montaje, fijacin y conexin de los componentes
integran la solucin yque se mencionan en el punto 3.2 del presente documento.
El x entregara un alimentador elctrico bifsico (220 volts) desde el tablero general para la
energizacin de todos los componentes de la solucin propuesta. En caso de requerir energla
monofsica (127 volts) la solucin debe incluir todo lo necesario para lograrlo.
Con el fin de dimensionar la capacidad del alimentador descrito en el punto anterior, es necesario que se
entregue junto con la propuesta un cuadro de cargas detallado que incluya todos los componentes que
sern alimentados.
Como parte de la propuesta, se debe entregar un plano detallado de la propuesta de instalacin que
incluya: la ubicacin y distribucin de los componentes que integran la solucin propuesta en el sitio de
instalacin.
Como resultado de la instalacin y configuracin del equipo que prestar el servicio de Infraestructura
telefnica, el licitante ganador debe de generar un entregable de nombre "Memoria Tcnica de
despliegue, instalacin y configuracin de los equipos la Infraestructura Telefnica".
3.3.1.2 Partida 2. Arrendamiento de equipo para red de datos.
Los equipos solicitados en arrendamiento para la red de datos, debern instalarse en sustitucin de los equipos
de la red de datos que actualmente prestan servicio de switch principal (Core Switch) y switches de distribucin,
configurando los equipos para establecer las mismas funcionalidades que cumplen los equipos actuales.
Se consideran dos etapas adicionales de despliegue, instalacin y configuracin de switch principal y switches de
distribucin:
En la etapa 2, se considera agregar una localidad adicional a la ya existente en lztapalapa. En este sitio se
requiere que los equipos sean instalados y configurados de acuerdo al requerimiento y plan de trabajo
establecidos entre el licitante ganador y el responsable del proyecto en el x.
Una etapa 3, incluye el cambio de cableado en las instalaciones de lztapalapa. Este cableado no es materia de
este contrato. Por lo que las actividades solo incluirn la reubicacin de los equipos de switch principal y switches
de distribucin de acuerdo al requerimiento y plan de trabajo establecido entre el licitante ganador y el
responsable del proyecto en el x.
Cada una de las tres etapas consideradas para el despliegue, instalacin y configuracin de los equipos la red de
datos debe de generar un entregable de nombre "Memoria Tcnica de despliegue, instalacin y configuracin de
los equipos la red de datos" correspondiente a cada una de las etapas.
3.3.1.3 Partida 3. Arrendamiento de equipo para Seguridad Perimetral.
Los equipos solicitados en arrendamiento para seguridad perimetral, debern instalarse por el licitante ganador
dentro del Centro de Datos y en las localidades adicionales, segn corresponda.
El licitante ganador deber incluir dentro del PAS dos entregables: Plan de Trabajo y una "Propuesta de
Despliegue, Instalacin y Configuracin de la Seguridad Perimetral y Sistema de Control de Acceso a los
recursos de la red de datos del x", ambos documentos debern ser validados y autorizados por el responsable del
proyecto en el x.
-Como resultado de la instalacin y configuracin del equipo que prestar los servicios de Seguridad Perimetral y
Control de Acceso a los recursos de la red de datos del x, el licitante ganador debe de generar un entregable
Fecha: 09.10.2013 Pgina 65 de 129 Versin:V 1.0.0
)
de nombre "Memoria Tcnica de despliegue, instalacin y configuracin de los servicios de Seguridad Perimetral
y Control de Acceso a los recursos de la red de datos del x".
3.3.2 PUESTA EN OPERACION.
La propuesta debe incluir un plan de trabajo para la puesta en operacin de la plataforma.
La puesta en operacin debe llevarse a cabo como mximo al dla siguiente al final del contrato actual de
servicios contratados, en caso de requerir tiempo adicional para instalar, configurar y desplegar la
solucin propuesta; el licitante ganador se obliga a establecer los convenios necesarios con el proveedor
actual para continuar prestando el servicio hasta el momento de la transicin. Lo que significa que los
servicios prestados en la plataforma actual, por el periodo de tiempo de la transicin a los servicios del
licitante ganador, podrn ser devengados en el nuevo contrato.
.- El licitante debe disponer de una Centro de Administracin de Migraciones (CAM) dedicado al
proyecto. Se debe proveer el servicio de asistencia, coordinacin y control de las actividades para
minimizar el efecto de los cambios durante el periodo de migracin a la nueva plataforma y su puesta en
marcha con las siguientes caractersticas:
Se debe contar con la infraestructura y recursos necesarios para controlar los procesos de migracin de
los sitios donde se instalarn los servicios.
El CAM se debe ubicar en las instalaciones del licitante ganador.
El CAM ser el responsable de la elaboracin del plan de trabajo y de la coordinacin total de las
instalaciones y migraciones de los sitios en conjunto con el supervisor del contrato de la convocante.
El CAM tambin tendr como responsabilidad la coordinacin de las reubicaciones y la adicin en su
caso de nodos nuevos a la Red durante la vigencia del contrato.
El servicio debe ser provisto a travs de un nmero 800 nico, correo electrnico, Intranet e Internet.
Las funciones principales del CAM sern las siguientes:
Verificacin de las variables, de manera enunciativa y no limitativa, de una migracin tales como: acceso
f!sico al sitio, nombre del responsable de la convocante, ubicacin de los equipos, domicilios,
cumplimiento de normas y requerimientos de instalaciones, Ventanas programas de tiempo fuera, etc.
Verificar el cumplimiento de la logstica para la construccin de medios, entrega de equipos y llegada de
personal al sitio.
Recolectar la informacin tcnica necesaria para la implantacin, tales como bitcoras, inventarios,
configuraciones etc.
Documentar la bitcora del proceso de migracin tales como actividades tcnicas, protocolo de prueba,
protocolo de aceptacin y niveles de operacin obtenidos.
Verificar la funcionalidad de cada nodo migrado en materia de rendimiento de los servicios nuevos hasta
obtener el visto bueno o aceptacin definitiva.
Informar la finalizacin de las actividades de migracin.
Documentar e informar a la convocante las causas de migraciones suspendidas o fallidas
El licitante debe considerar en su oferta un administrador de proyecto dedicado durante el periodo de
implementacin y migracin y hasta el periodo de estabilizacin del servicio, dicho administrador ser el punto
nico de contacto entre el X y el licitante ganador; debe contar con la certificacin ITIL practitioner v3.0 o PMI.
Debe incluir copia del certificado en el sobre de ofertas y demostrar que se encuentra en la nmina del
licitante.
\
Fecha: 09.10.2013 Pgina 66 de 129 Versin: V 1.0.0
3.3.3 Capacitacin.
3.3.3.1 Capacitacin sobre el uso de las terminales telefnicas.
El Licitante debe incluir como parte del alcance los medios y el tiempo necesario para capacitar a los usuarios en
el uso de las diferentes terminales que tendrn bajo su responsabilidad y que sern su herramienta de trabajo.
La capacitacin debe incluir los siguientes puntos:
Caracterlsticas fsicas de la terminal telefnica.
Diferencia entre los tipos de terminales.
Uso de las facilidades retencin, desvi, transferencia, 2da. Llamada, alternar entre llamadas, mute,
conferencia y consulta de buzn de voz.
Se deben considerar grupos homogneos de usuario.
Grupos de mximo 15 personas para mejor aprovechamiento de la capacitacin.
Sesiones de dos horas de duracin.
Tres sesiones durante el dfa.
Un total de 43 sesiones y 15 das hbiles para la realizacin de las mismas.
Considerar horario de oficina para las capacitaciones.
Se debe contemplar usar terminales distintas a las de los usuarios pero con el mismo sistema que se
implementar para el x, no se aceptar el uso de maquetas o escenarios emulados, con la finalidad de
que las prestaciones que se aborden sean las que pertenezcan realmente al sistema de comunicacin
de voz.
3.3.3.2 Capacitacin sobre el uso del sistema de correo de voz y mensajeria unificada nivel usuario.
El Licitante debe incluir como parte del alcance los medios y el tiempo necesario para capacitar a los usuarios en
el uso de los servicios prestados por el sistema de correo de voz y mensajerfa unificada.
La capacitacin debe incluir los siguientes puntos:
Grupos de mximo 15 personas para mejor aprovechamiento de la capacitacin.
Sesiones de una hora de duracin.
Cuatro sesiones durante el dia.
Un total de 20 sesiones y 5 dlas hbiles para la realizacin de las mismas.
Considerar horario de oficina para las capacitaciones.
Los temas que se tratarn en las sesiones de capacitacin deben ser autorizadas por el Subdirector de
Sistemas Administrativos, quedando establecido el tiempo y horario de dichas sesiones.
a) Solo buzn de voz.
1
Acceso mediante terminal telefnica al buzn de voz.
Navegacin mediante el teclado numrico del telfono
Personalizacin del buzn de voz. f
Identificar un mensaje voz nuevo.
Almacenamiento o borrado de los mensajes de voz en el buzn del usuario.
Nombre de la Etapa
Planeacin
Se cuenta con el Plan de Administracin del Servicio.
Se cuenta con el Plan de Calidad.
Se cuenta con el Cronograma del Servicio.
Se ha efectuado la junta de Inicio del proyecto.
Ejecucin
Todos Jos entreqables descritos se han revisado v aprobado por parte de.
Cierre
Se ha firmado el "Acta de Cierre" del servicio .
Se han entregado los productos y servicios.
Se han liberado Jos recursos del provecto.
.a M!F!l2?ilill
Se consideran toda la informacin que corresponde a solo buzn de voz y se integra la
identificacin del mensaje emitido por el sistema de correo electrnico.
Reproduccin del mensaje de voz adjunto en la pe del usuario.
3.3.3.3 Capacitacin sobre la administracin el sistema automtico de atencin nivel tcnico.
El Licitante debe incluir como parte del esquema de capacitacin, la transferencia de conocimiento que permita
a 3 personas (incluyendo el Grupo de Soporte en sitio).
La transferencia de conocimiento debe contemplar Jos siguientes temas:
Conocimiento general del entorno de programacin del rbol de decisiones.
Grabacin y cambio de los mensajes para Jos diferentes mens.
Diseo de scripts de decisiones de nivel simple a medio.
Configuracin y puesta en servicios de un men de funciones.
Configuracin de grupos ACD.
Conocimiento para realizar altas, bajas y cambios en Jos usuarios que conformen los grupos ACD.
Modificacin de Jos anuncios de informacin para las colas de llamada.
4. '..ine<i!ilfer1t<>s
Esta seccin establece Jos lineamientos que debe seguir El Licitante Ganador durante la realizacin de las
actividades y la vigencia del contrato. Para facilitar su referencia, Jos lineamientos se han clasificado en
lineamientos generales que aplican durante toda la vigencia del contrato y lineamientos especfficos para las
etapas de planeacin, ejecucin y cierre.
.. .. . ...... ..
..Criterios de Trmino
...
... . . . ..
.. .
4.1 Restricciones
Se consideran las siguientes restricciones:
4.1.1 Temporalidad
Este proyecto tiene una duracin a partir de la adjudicacin y hasta el31 de Diciembre de 2017.
4.1.2 Forma de Pago
\
La forma y lugar de pago ser conforme a lo establecido en el articulo 51 de la Ley de Adquisiciones,
Arrendamientos y Servicios del Sector Pblico, los pagos que se generen con motivo de la prestacin de los
servicios de este proyecto se realizarn dentro de los 20 dfas naturales contados a partir de la entrega y
aceptacin formal de la factura, la cual debe cumplir con los requisitos fiscales vigentes. El pago ser realizado a
travs de la Tesorerfa de fa Federacin, mediante transferencia electrnica a la cuenta bancaria del proveedor.
Para que un pago se libere, el licitante ganador debe contar con la aprobacin del administrador del contrato, as
como del acta de entrega recepcin que avale los componentes en arrendamiento que sern facturados en el
mes que le corresponda.
El licitante en su propuesta debe considerar que el precio de los equipos ofertados ser fijo durante la vigencia
del contrato.
&, Objetivos M'i:lilidaa..
En la siguiente tabla se describen los objetivos de calidad de la solucin.
Todos Todos
,Objetivo.de
Calidad e
Cumplimiento a
Requerimientos
Aceptacin formal de entregables mediante el
Acta de aprobacin definida.
Esta seccin establece los lineamientos que debe seguir el Licitante durante la realizacin de las actividades y la
vigencia del contrato. Para facilitar su referencia los lineamientos se han clasificado en lineamientos generales
que aplican durante toda la vigencia del contrato y lineamientos especificas para las etapas de pfaneacin,
ejecucin y cierre.
Nornbre dela Etapa .... . ,.;... >: .
Criterios de Trmino' . '
L ; ;',',;,,. ..
Planeacin
Se cuenta con el Plan de Administracin del Servicio.
Se cuenta con el Plan de Calidad.
Se cuenta con ef Cronograma del Servicio.
Se ha efectuado la junta de Inicio del provecto.
Ejecucin
Todos los entreqables descritos se han revisado y aprobado por parte de x.
Cierre
Se ha firmado el "Acta de Cierre" del servicio por parte de la x.
Se han entregado los productos y servicios.
Se han liberado los recursos del proyecto.
6.1 Lineamientos Generales
\
6.2 Lineamientos para la Planeacin
6.2.1 Inicio de Actividades
El Licitante Ganador debe iniciar las actividades del servicio a partir del primer dfa hbil despus de la
fecha de notificacin del fallo para la adjudicacin del contrato.
=e::!@!f+ *"f"' _>;' Wh '""iiltw.m;{AG - E"'!"'
1
& 'ffl ... -""'"").P"? N-"'- """"?"2'iff'4HEP " 'c'-'5\d!llil
Fecha: 09.10.2013 Pgina 69 de 129 Versin: V 1.0.0
6.2.2 Induccin de Administracin de Proyectos
El licitante Ganador debe considerar un da para la sesin de induccin al proceso de administracin de
proyecto de la X.
6.2.3 Administrador del Servicio
A partir del periodo de estabilizacin del servicio y durante toda la vigencia del contrato El licitante
Ganador debe dedicar a un Administrador de Servicio como nico punto de contacto para las cuestiones
de control y evaluacin del servicio.
Dicho administrador debe contar con la certificacin ITIL practitioner v3.0 o PMI. Debe incluir copia del
certificado en el sobre de ofertas y demostrar que se encuentra en la nmina del licitante.
Asimismo, se debe proporcionar el nmero de telfono de su despacho, nmero de telfono mvil y su
direccin de correo electrnico.
El licitante Ganador se compromete a notificar por escrito en el domicilio dellnstitutocualquier cambio en
el punto de contacto.
6.3 Lineamientos para la Ejecucin
6.3.1 Apego al Plan de Administracin del Servicio
El licitante debe iniciar las actividades del servicio a partir de la vigencia del contrato. El plan de
administracin del servicio deber ser realizado por el licitante Ganador y entregado al Administrador del
contrato en los primeros 6 dlas posteriores a la fecha de notificacin del fallo.
6.3.2 Apego al Cronograma del Servicio
El licitante Ganador debe realizar las actividades del servicio con apego al Cronograma del Servicio.
Cualquier tipo de omisin, retraso o cambio en las actividades del servicio que afecten los hitos de
entrega de productos puede tener un fuerte impacto en cuanto a los tiempos asignados originalmente,
por lo que debe considerarse una estrategia de resolucin de esta afectacin. Esta estrategia de
resolucin debe someterse a la evaluacin del x para su aceptacin y autorizacin de acuerdo al
mecanismo establecido para este fin en el PAS.
6.3.3 Entrega de Productos
Todos los productos del proyecto deben cumplir con los lineamientos del Sistema de Administracin de la
Configuracin descritos en el PAS antes de la firma de Actas de entrega - recepcin para la aceptacin
de entregables. Los productos aprobados por parte deix deben ser entregados en formato digital antes de
firmarse el acta de Cierre correspondiente.
El licitante ganador deber garantizar al X que los equipos entregados en cada etapa son nuevos. En el
caso de que el modelo ofertado haya sido sustituido en los catlogos del fabricante, el licitante
adjudicado deber entregar un modelo similar o superior al modelo ofertado en su propuesta. Para lo
cual, deber entregar un comparativo de las especificaciones tcnicas de ambos equipos, el cual deber
ser autorizado por el administrador del contrato, antes de la entrega de los equipos.
6.4 Lineamientos para el Cierre
-:: - -""""'-'"---e-- _, """" ?""w' -"""
Fecha: 09.10.2013 Pgina 70 de 129 Versin: V 1.0.0
6.4.1 Cierre
El servicio es considerado como terminado a satisfaccin cuando todos los componentes, entregables y
servicios descritos en el numeral "3 Alcance" sean revisados y aprobados formalmente mediante la
firma del Acta de Cierre correspondiente, asf como la conformidad del licitante ganador de que hasta en
tanto ello no se cumpla, estos no se tendrn por recibidos o aceptados.
Antes de firmar ef Acta de Cierre la x debe garantizar:
Que se han aplicado y verificado todas las. sanciones y deducciones pendientes.
Que el Licitante ganador reciba por parte de la x la acreditacin de que no ha quedado
pendiente ningn entregable, salvo ro que resulte por concepto de garantfas.
7;"PENA C:NVENCIONAL'Y DEDUC:TfVA:
Para el caso de atraso en el cumplimiento de las obligaciones del "Licitante ganador" derivadas del contrato o
porque stas no se presenten de la manera convenida, se establece como pena convencional/a siguiente:
F'''_- e .::
...,,._.,,-_--- :_:c.- >_--bescriilcln'--
, ,---:: ':'>:':_-:_-.-
Montc>delaiJenalizcin-_-,_--_-
-- -
Retraso en el inicio de la prestacin del servicio Por cada dia de atraso se penalizar 2% en el inicio
de la prestacin del servicio, sobre el monto mlnimo
del contrato y aplicable a partir de la primera factura.
En caso de incumplimiento parcial o deficiente respecto de los servicios prestados har las deducciones al pago
de los mismos sobre la siguiente factura que se presente para su pago de acuerdo a lo siguiente:
Descripcin Monto de la penalizacin
Disponibilidad Total 1% del pago mensual por cada punto porcentual por
debajo del 99.5 % en lo que se refiera a la facturacin
mensual asociada a cada componente del servicio.
Por ejemplo si el nivel de disponibilidad en un mes en
particular fuera del 95.5% para el componente del
Sistema de Tarificacin, el licitante ganador tendrfa
una penalizacin del 3% de fa facturacin mensual
asociada a este componente. Aplica para todos los
componentes especificados en este anexo.
s. Procedimiento de E'val uacilf
8.1 Puntos y Porcentajes
Basado en el capitulo SEGUNDO, articulo SEGUNDO seccin SEGUNDA lineamiento OCTAVO del
acuerdo por el que se emiten diversos lineamientos en materia de Adquisiciones, Servicios administrados
y Servicios del Sector Pblico y servicios de obras pblicas y servicios relacionados con las mismas.
..
Evaluacin Tcnica.-
La puntuacin a obtener en la propuesta tcnica para ser considerado solvente y, por tanto, no ser
desechada, ser de cuando menos 37.5 de los 50 puntos mximos que se pueden obtener en su
evaluacin.
Los siguientes rubros representan la integracin de la parte tcnica y sus puntos respectivos.
a) Caractersticas del bien o bienes objeto de la propuesta tcnica.
b) Capacidad del licitante
e) Experiencia y especialidad del licitante
d) Cumplimiento de contratos
La suma de a + b + e + d = 50 puntos
-_ e- PROPlJI:STTCNICA
Los siguientes rubros representan la integracin de la parte tcnica y sus porcentajes respectivos.
Rubro ......... ...... ...
..
. ... . .
. ... . .
. ...
.. .
.. Porcentaje
. .. . . .
/. Caracterlsticas del bien o bienes obieto de la propuesta tcnica (CB) 25%
11. Capacidad del Licitante (CL) 10%
/11. Experiencia y Especialidad del Licitante (EE) 05%
IV. Cumplimiento a Contratos (CC) 10%
Total 50%
Rubro l. Caracterislicas del bien o bienes objeto de la propuesta tcnica (CB)
Partida 1. Servicios Administrados de Infraestructura Telefnica
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.1.1 Plataforma Base de comunicaciones de voz convergente (56)
Componente Descripcin
Los sistemas propuestos por ellicitante deben ser de montaje en gabinete de 19
pulgadas. Y la solucin propuesta no exceder de la capacidad de 1 Qabinele de 42 U.
El sistema de comunicaciones unificadas propuesto debe soportar troncales de tipo:
IP
SIP
E1 ISDN
E1 con soporte de Q.SIG
El sistema de comunicaciones unificadas debe estar habilitado para el servici de
videotelefona punto a punto, habilitada con manejo del codee H.264 como mfnimo para
un mnimo de 70 usuarios sin la necesidad de software adicional.
Montaje 10
Troncales
soportadas
2
Servicio de
videotelefonfa
2
Operacin
automtica de la
supervivencia
Los procedimientos automticos de supervivencia en el gateway remoto, deben
ejecutarse ante la prdida de comunicacin del gateway remoto con el gestor de
llamadas central al cualest firmado, los telfonos IP deben de continuar con la
operacin por lo cual se pide se incluya elsoftware y hardware necesario para dicha
funcionalidad.
10
Servicios
complementarios y
mejorados en
Telfonos IP y
aatewavs de voz
Permitir extender los servicios complementarios y mejorados como retencin,
transferencia, reenvfo, conferencia, elsoporte de varias lineas en el mismo aparato, la
seleccin automtica de ruta, la marcacin rpida, llamada al ltimo nmero y otras
caractersticas a telfonos IP y gateways de voz.
2
Alta disponibilidad
de sistema de
procesamiento de
llamadas
El sistema de procesamiento de llam das debe manejar un esquema de alta
disponibilidad en sistemas de procesamiento de llamadas redundantes, asf mismo los
sistemas propuestos por el licitante deben manejar fuentes redundantes internas.
5.
Cifrado de llamadas El sistema debe manejar el cifrado de llamadas entre extensiones y se debe mostrar
que est siendo cifrada la voz, mediante un indicador visualen el telfono !P.
La solucin propuesta debe garantizar el cifrado de la llamada punto a punto y en
conferencia mediante AES-128 y los protocolos SRTP (Secure Real Time Transport
Prolocol) y TLS (Transport Layer Securily), definidos en los RFC 3711 y RFC 2246
respectivamente, como mfnimo,
oDe telfono IP de hardware a telfono IP de hardware.
oDe telfono IP de hardware a gateway de voz.
oEn conferencias telefnicas.
10
Caractersticas del
cifrado
2
Alcance en el
manejo del cifrado
en los telfonos IP.
2
Fecha: 09.10.2013 Pgina 73 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.1.1 Platafonna Base de comunicaciones de voz convergente (56)
Comoonente Descriocin
Funciones propias
del sistema de
telefonfa
Seleccin automtica de ruta.
Generacin de msica en espera de forma local.
Tratamiento y anlisis digital de la llamada
Prvate Line Automatic Response.
Manejo de video-telefonfa punto a punto, mediante el algoritmo de codificacin H.264
Endpoints de video que puedan ser registrados de manera nativa alsistema de
telefonia.
Funcionalidad de configurar un nmero nico de usuario a partir del cual se pueden
asociar los nmeros telefnicos.de extensiones, telfonos externos y celulares.
Permitir generar llamadas a travs de un cdigo de autorizacin.
El sistema debe incluir presencia bsica y ser desplegada en los telfonos al momento
que un usuario digita la extensin a la cual quiere llamar desplegando el estatus del
usuario a quien se busca: estatus disponible, estatus ocupado, estatus no molestar. Del
mismo modo cuando el usuario busca en el directorio de la x.
2
suite de
administracin
Debe cumplir los siguientes requerimientos mfnimos para los dispositivos mencionados:
Solucin basada en WEB, habilitada para el uso de SNMPv3.
Manejo de una interfaz de acceso mediante https.
Monitoreo en tiempo real de todos dispositivos de comunicaciones unificadas
(telfonos IP, videotelfonos, Gateways de voz, PBX-IP, mensajera unificada,
presencia, etc}.
Manejo de estadfsticas de jitter y prdida de paquetes.
Manejo de reportes histricos de indicadores (KPI}.
Integracin con el directorio corporativo delCentro (AD).
Asignacin de un portal al usuario para su autogestin de marcaciones
rpidas y passwords.
Envfo de alarmas va correo electrnico.
Soporte de pruebas y diagnsticos de retardo, jitter y prdida de paquetes de
voz.
Calendarizacin y pruebas previas de omponentes de la red de voz.
Reportes de inventario de la infraestructura y telfonos con informacin de
nmeros de serie, versiones de firmware y localizaciones de los dispositivos
en la red.
5
f
Fecha: 09.10.2013 Pgina 74 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.1.1 Plataforma Base de comunicaciones de voz convergente (56)
Componente Descripcin
Vistas de la suite de Contenido de las vistas de la cuite de administracin:: 2
administracin
Total de videotelfonos en uso.
Cambio en nmero de videotelfonos en el ltimo mes.
Duracin total de las videollamadas.
Total de telfonos en uso.
Cambio en nmero de telfonos en el ltimo mes.
Duracin total de las llamadas.
Top N de los usuarios que ms llevan a cabo llamadas.
Top N de los nmeros marcados con ms frecuencia
Top N del trfico de llamadas a los sitios de la red basados en el volumen de
estas o la duracin de las mismas.
Anlisis del trfico de llamadas: distribucin de llamadas en categoras
(internas, externas, conferencias, larga distancia, internacionales, etc)
Consumo de ancho de banda por localidad (en porcentaje, tipo de trfico
originado audio/video).
Utilizacin de las troncales en la hora con mayor trfico (Capacidad
disponible,capacidad mxima requerida, capacidad requerida promedio).
Calidad del audio en las llamadas MOS (porcentaje de llamadas con buena,
aceptable y pobre calidad de audio de acuerdo al umbral establecido).
Dispositivos por tipo y modelo que experimentan problemas de calidad de
servicio.
Localidades con top N de intentos de llamadas que no fueron exitosas
Servicios Alta de usuarios. 2
aprovisionados a Cambiar de nombre de en los usuarios dados de alta.
travs de la suite de Cambiar el nmero de extensin a un usuario.
administracin Cambiar el correo electrnico a un usuario (para el servicio de mensajerfa unificada).
Adicionar o remover telfonos IP de la lista de inventarios del sistema.
Aprovisionar los servicios de mensajerfa unificada y extensin virtual a los usuarios.
Aprovisionar los servicios de clientes de software para smartphones y tabletas
(presencia, chat, voz y video).
Permitir procesos de batch mediante los cuales se puedan aprovisionar los servicios
definidos anteriormente de forma masiva.
Subtotal de puntos de Plataforma Base de comunicaciones de voz converaente 56
RUBRO SUBRUBRO Ptos Tot.
Entreaabte E3.2.1.2 Sistema de correo de voz v mensajerla unificada (36)
Componente
Requerimientos
Mfnimos del sistema
de mensajera
unificada
Descripcin
El sistema debe manejar los mens en idioma espaole ingls.
El sistema debe ser compatible con el sistema de control de telefonfa IP.
El sistema debe estar disponible para los perfiles de telfonos IP bsicos, semi
ejecutivos, ejecutivos e inalmbricos.
Manejo de 24 sesiones simultneas, con posibilidad de tener un mfnimo de 800 y hasta
1200 buzones.
El sistema debe habiltar elservicio de mensajera de voz por usuario, podr ser
accedido mediante el telfono directamente con una tecla de acceso dedicado con el
uso de una clave de usuario y contrasea. El usuario debe tener la facilidad de acceder
a sus mensajes desde cualquier telfono dentro o fuera de la red marcando a un
nmero directo, elcual debe contestar con una grabacin que pedir su usuario y
contrasea.
El usuario debe tener diferentes mensajes de contestacin que puede activar o
desactivar. La comunicacin entre el correo de voz y el sistema de control de telefonfa
debe estar cifrada aligual que los mensajes almacenados.
Los usuarios del servicio de mensajerfa unificada contarn adems de los servicios de
correo de voz con la facilidad de recibir, escuchar, contestar, guardar, crear y borrar sus
mensajes de voz en su cliente de correo electrnico (Cliente Microsoft Outlook 2003 6
posterior).
Los correos de voz deben llegar a la misma bandeja de entrada en donde se reciben el
correo electrnico
El sistema debe ofrecer una interfaz para cualquier tipo de telfono IP solicitado en este
anexo para observar a manera de lista los mensajes de voz que el usuario tiene en su
buzn y as poder escucharlos en el orden que el usuario elija.
El sistema debe contar la integracin con el directorio de Microsoft Outlook propiedad de
la x. Con esta funcionalidad, los usuarios deben marcar el nmero telefnico de sus
contactos con un click, sin necesidad de ut/izar el teclado del telfono. Cuando el
usuario seleccione un contacto podr utilizar la funcionalidad de automarcado, la cual
permitir que se pueda iniciar la llamada desde un botn que ocasiona que el telfono
marque los nmeros correspondientes al contacto.
Debe soportar sincronizar la informacin de los usuarios mediante LDAP, utilizando
Microsoft Exchange Server.
El sistema debe permitir el cifrado en el flujo de audio entre los telfonos IP y elservidor
de mensajera-integrada mediante SRTP.
Debe soportar aplicaciones tales como fax, mensajera por internet, networking y
aplicaciones de text to speech.
10
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.1.2 Sistema de correo de voz y mensajerfa unificada (36)
Componente Descripcin
Requerimientos
Mfnimos de los
servicios delcorreo
de voz
Los servicios deben contar al menos con lo siguiente:
Desde cualquier tipo de telfono IP propuesto la interfaz del usuario debe ser intuitiva
para reproducir, repetir, responder, adelantar, eliminar, guardar, marcar como nuevo,
escuchar fecha y dfa en la que se dej el mensaje y saltar al siguiente mensaje.
Debe ofrecer funciones de reversa, pausa o reenvfo rpido del mensaje.
Debe ofrecer control delvolumen y control de la velocidad durante la reproduccin del
mensaje.
Debe ofrecer la funcin de pausa o resumen durante la grabacin del mensaje.
Debe ofrecer la funcin de direccionar el mensaje a mltiples recipientes.
Debe ofrecer la funcin de bsqueda de los mensajes por nombre, nmero de
identificacin delllamante, nmero telefnico, extensin.
Debe ofrecer la funcin de marcar los mensajes con estatus de regular, urgente y
privado.
Debe ofrecer un icono especialpara representar aquellos mensajes con estatus de
urgente.
Debe ofrecer la funcin de entrega del mensaje en un tiempo futuro.
Debe ofrecer la funcin de confirmacin de recepcin del mensaje.
Debe ofrecer la funcin de clasificacin de mensajes por !!amante, fecha, tipo y
prioridad.
Debe ofrecer la funcin de direccionar el mensaje por extensin o por nombre.
Debe reenviar faxes a cualquier mquina de fax.
Debe integrarse con la herramienta de colaboracin para acceder a reuniones
agendadas en el sistema.
Debe ofrecer la funcin de establecer preferencias por dispositivo, tales como
velocidad, volumen y requerimiento de clave para acceder al buzn de voz.
El sistema debe permitir que el usuario pueda reescribir una nueva clave.
Debe ofrecer la facilidad de editar los nmeros de contacto alterno desde la interfaz del
usuario en el telfono.
Debe reproducir, pausar, reenviar rpidamente desde cualquier reproductor de medios
genrico.
Debe ofrecer la funcionalidad de responder al correo de voz con elcorreo electrnico.
Debe permitir aplicar. reglas al buzn para los correos de voz y correo electrnico.
5
}
&U Ah&90 ? 833ft+' " ES M #' E &EJ!Hi!\ , N fE '8'
Fecha: 09.10.2013 Pgina 77 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.1.2 Sistema de correo de voz y mensajerfa unificada (36)
Componente Descripcin
Interfaz naturalde reconocimiento de comandos de voz.
Permitir marcar a contactos personales o miembros del directorio.
Permitir mediante comandos de voz reproducir, repetir, responder, reenviar, eliminar,
guardar, marcar como nuevo, escuchar dfa y hora del mensaje, saltar al siguiente
mensaje, pausar, resumir, incrementar la velocidad, decrementar la velocidad de
reproduccin del mensaje.
Permitir mediante comandos de voz editar y administrar los saludos personales.
Permitir mediante comandos de voz decir la clave de acceso al buzn de voz.
Integrarse con elsistema de presencia
la recepcin de los mensajes de voz debe estar sincronizada con la lmpara
indicadora de recepcin de mensajes de todos los tipos de telfonos IP requeridos en
este anexo.
Debe integrarse con el sistema de colaboracin a travs de herramientas de calendario
para que los usuarios puedan unirse a una sesin que debe estar en progreso, escuchar
la lista de los participantes, enviar un mensaje al organizador o a los participantes y
establecer una sesin inmediata.
la interfaz de administracin debe ser web vfa HTIPS y mediante lfnea de comandos.
El sistema debe debe soportar SNMP.
El sistema debe de manejar un tiempo de expiracin personalizable de los mensajes
grabados
El sistema de correo de voz debe de ser de la misma marca que el sistema de
procesamiento de llamadas.
5
Sistema de correo
de voz
Sistema de
operadora
automtica.
El sistema de ofrecer funcin de operadora automtica con definicin ilimitada de
niveles configurables.
El sistema debe alcanzar a la operadora para ayuda, debe incluir transferencias
automticas para los que llaman sin responder a los mensajes en un tiempo
determinado.
El sistema debe integrarse con el sistema de operadora automtica como un nmero
de marcado rpido en el telfono.
Debe ofrecer la posibilidad de grabar mfnimo 7 saludos personales.
Debe ofrecer la posibilidad de activar un saludo alterno y definir la fecha y hora de
expiracin del mismo, notificar a los usuarios, reproducir elsaludo completo a los
!!amantes.
Debe grabar conjuntos separados de saludos en diferentes idiomas.
Debe ofrecer listas de distribucin privadas.
El sistema de operadora automtica debe de ser de la misma marca que el sistema de
procesamiento de llamadas.
2
j
(
'.
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.1.2 Sistema de correo de voz v mensaierfa unificada (36)
Componente Descripcin
Funcionalidades del Debe permitir ver el estado de actividad de un usuario en especffico. Los estados 5
Sistema de bsicos que deben ser reflejados en el "estado" del usuario deben ser:
Presencia a)Estado desconectado. Se presenta cuando el usuario no est conectado o la
aplicacin no haya sido abierta.
b)Estado inactivo. El usuario personaliza esta funcin y su finalidad es que si el usuario
por un determinado tiempo no ha usado su computadora o eltelfono entonces
cambiar el usuario a este estado de inactividad.
c)Estado lejos. Si el usuario dej su computadora por un largo tiempo, por ejemplo,
cuando va a una junta, sale a comer y no ha usado el telfono y dej encendida su
computadora automticamente el cliente del usuario lo pondr en este estado.
d)Estado en el telfono. Si el usuario est en una llamada utilizando la extensin
asociada a su telfono o a su cliente PC
e)Estado ocupado. Si el usuario est en alguna actividad calendarizada en su outlook,
aparecer automticamente reflejado este estado durante elperfodo de tiempo
agendado para dicha actividad.
f)Estado disponible. Cuando el usuario est en capacidad de tomar la llamada porque
est firmado en el servicio de presencia v est cercano a su PC.
Funcionalidades del Para cada usuario, la solucin debe permitir la configuracin de un dispositivo preferido 2
Sistema de para contacto en caso que el usuario tenga ms de un cliente de comunicaciones
Presencia unificadas.
Por medio de SIP y simple, el "estado" de presencia debe poder ser publicado y
notificado a los diversos clientes de comunicaciones unificadas compatibles.
Debe integrarse con soluciones de calendarizacin de eventos, de tal manera que la
disponibilidad del usuario pueda ser reflejada automticamente en su gestado" aun
cuando no est firmado al sistema.
Debe permitir elintercambio de informacin de presencia entre diferentes
organizaciones que estn utilizando la misma solucin de presencia y comunicaciones
unificadas.
A travs delcliente PC de presencia elusuario podr enviar mensajes instantneos a
otro usuario con cliente PC de presencia o a un usuario que est firmado en el servicio
desde su telfono.
Mediante el cliente PC de presencia el usuario podr consultar sus mensajes de voz,
buscar a un usuario del directorio activo, ser capaz de realizar llamadas, video-
llamadas.
El sistema debe soportar la integracin con el cliente lync de Microsoft, dicha
integracin debe ser de forma natural y debe tener todas las funciones pertenecientes al
sistema de telefona.
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.1.2 Sistema de correo de voz y_mensajerfa unificada (36)
Componente Descripcin
Sistema de debe ser habilitado en el momento en que la convocante Jo decida sin un costo adicional 2
Movilidad para la convocante se debe contemplar los siguientes servicios:
-Comunicacin a travs de telfonos IP inalmbricos conectados mediante la red
inalmbrica deIlFT en los edificios designados con cobertura, en donde la red deix
soporta el protocolo IEEE 802.11alb/g/n
-Soporte de dispositivos mviles como tabletas o smartphones.
-El sistema debe contar con un cliente para dispositivos mviles con la capacidad de
mantener el estado de presencia fuera de la red institucional. Debe proveer elcliente de
presencia fuera de la red institucional mediante una conexin de VPN IPSEC desde la
computadora porttil del usuario.
Las VPN de IPSEC son parte del sistema de movilidad y deben de estar incluidas en un
equipo de propsito especfico para almenos 70 usuarios
Sistema de El sistema debe manejar los mens en idioma espaol. 5
distribucin El sistema debe ser compatible con el sistema de control de telefonfa !P.
automtica de El sistema debe poder integrarse al sistema de control de telefonfa mediante protocolos
llamadas (ACD) standard, Jos protocolos a considerar son TCP/IP,SIP y/o QSIG.
asistida por IVR El sistema debe proporcionar la capacidad en canales de comunicacin suficientes
para atender un mfnimo de 10 llamadas simultneas.
El sistema debe proporcionar un entorno de configuracin amigable, basada en un
ambiente grfico, compatible con navegadores web y basado en TCP/IP, debe poder
ejecutarse en sistemas operativos de Microsoft Windows en sus versiones Windows XP
Professional, , Windows 7 y superiores.
Grabadora IP para el servicio de Call Center con almacenamiento externo, para
grabacin pennanente.El almacenamiento ser proporcionado por el x en su red de
almacenamiento.
El sistema debe permitir la creacin de al menos 5 mens interactivos distintos, con la
capacidad de asociarse entre ellos, (configuracin de rbol de decisiones).
El sistema debe permitir la navegacin por los mens interactivos mediante tonos
telefnicos, ofreciendo la capacidad de avanzar o retroceder de acuerdo a la orden dada
por elusuario.
El sistema propuesto podr ser basado en un servicio combinado entre la platafonna de
voz y sistema de operadora automtica.
Debe poder manejar al menos 4 grupos de atencin de tipo ACD. Incluyendo al
supervisor de cada grupo.
Debe manejar al menos 4 colas de espera.
El sistema debe ofrecer anuncios promocionales, que sern designados por el x,
para las llamadas que queden en cola hasta su atencin en los grupos ACD.
El sistema debe integrar todas las prestaciones tanto en hardware como software para
proporcionar los servicios iniciales solicitados, elhardware podr ser propietario o
basado en plataformas de cmputo estndar.
El sistema de distribucin automtica de llamadas debe ser de la misma marca que el
procesamiento de llamadas.
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.1.2 Sistema de correo de voz y mensajerra unificada {36)
Componente Descripcin
Sistema de
Tarificacin
centralizado
Debe contar con las siguientes funcionalidades:
Usabilidad. (De acuerdo a lo descrito en el apartado 3.2.1.7.1) Administracin Web.
(De acuerdo a lo descrito en el apartado 3.2.1.7.2) Compatibilidad del sistema. {De
acuerdo a lo descrito en el apartado 3.2.1.7.3) Manejo de niveles Jerrquicos. (De
acuerdo a lo descrito en el apartado 3.2.1.7.4) Importacin de usuarios desde
directorio activo (active directory) . {De acuerdo a lo descrito en el apartado
3.2.1.7.5)
Debe incluir todos los accesorios, componentes, hardware y software necesarios para
que el sistema de tarificacin opere de acuerdo a lo indicado en esta especificacin. De
acuerdo a la solucin propuesta, debe de manera enunciativa pero no limitativa incluir lo
siguiente:
Todas las licencias necesarias de software que acrediten la operacin del sistema.
Manuales de configuracin y operacin de todos los equipos del sistema propuesto.
2
Subtotal de Sistema de correo de voz y mensajerfa unificada 36
R 1.1. Marca
Deben ser de la misma marca que el sistema telefnico IP, con el fin de
garantizar su.correcta operacin e integracin.
la terminal ejecutiva debe ser de la m!sma marca que la plataforma de
procesamiento de llamadas.
R 1.2. Pantalla
Debe contar con una pantalla color touch screen con una resolucin de al 2
menos 620x450 pixeles que permita distinguir caracteres, smbolos,
graflcas, datos estadfstlcos en forma clara y sin distorsin para el usuario
que provengan de aplicaciones XML.
R 1.3. Configuracin de IP
El telfono debe soportar configuracin de IP de manera debe esttica o de
10
manera dinmica a travs del protocolo DHCP.
R 1.4. Conferencia 2
Debe incluir la posibilidad de conferencias con al menos 6 lneas telefnicas
MEA?&iif
Fecha: 09.10.2013 Pgina 81 de 129 Versin: V 1.0.0
(
Botones
Debe contar con un botn dedicado para activar el altavoz y con manejo
comunicacin a manos libres, contar con consulta al directorio telefnico e
integrable con LDAP3 y contar con un Indicador de recepcin de buzn de
voz.
Tecla dedicada para activar el altavoz y con
o/ o/ o/
manejo de comunicacin a manos libres.
Tecla para consulta al directorio telefnico e
integrable con LDAP3.
o/
Debe contar con un indicador de recepcin
de buzn de voz. o/ o/
10 5 1 o
R 1.6. Debe contar con al menos puertos de red BaseT a travs de S
Puertos
una interfaz RJ-45 para una sencilla conexin lAN, tanto del telfono como
de un PC en la misma ubicacin. Con ello el administrador del sistema
puede designar LAN virtuales independientes (VLAN) (802.1q) para la PC y
los telfonos IP. Tambin debe contar con 2 puertos USB y un puerto para
diadema preferentemente.
Debe contar con al menos 2 puertos de red
10/100/1000 BaseT a travs de una interfaz RJ-45
o/ o/ o/
Contar con 2 puertos USB o/
Contar con un puerto para diadema
preferentemente.
o/ o/
5 2 1 o
1
1
R 1.7. Protocolos
802.1q
DSCP
802.1p
802.1x
802.3af (PoE).
10 5 3 2 1 o
10
R 1.8.
Protocolos de Audio
Debe manejar los protocolos de audio G.711,G.729a,G.722.
G.711
G.729a
G.722
5 2 1 o
5
R 1.9.
Cifrado
Manejo de cifrado tanto en los protocolos de sealizacin con TlS y en el
flujo de audio de las llamadas con SRTP.
Debe manejar cifrado AES 128
S
Manejo de cifrado tanto en los protocolos de
sealizacin con TLS y en el flujo de audio de las
llamadas con SRTP.
../ ./
Debe manejar cifrado AES-128
5 1 o
R 1.10.
Alimentacin
los telfonos IP deben permitir recibir la alimentacin elctrica a travs del
puerto de red LAN mediante el protocolo 802.3af (PoE).
40
R 1.11.
Manejo autenticacin mediante X.509v3 de
acuerdo a la recomendacin de la ITU-T en los telfonos IP para evitar
accesos no autorizados por el administrador del sistema de telefona.
10
R 1.12.
Debe soportar que mediante un servidor TFTP el dispositivo obtenga su
configuracin.
R 1.13. Video Cmara Soporte de una vfdeo cmara en el mismo aparato telefnico la cual puede
estar o no interconstruida para video llamadas. Para habilitar el servicio de
video llamadas, solo es necesaria la adicin de la cmara.
10
R 1.14. Bluetooth Debe contar con capacidad de conexin vfa Bluetooth. 5
R 1.15.
UTP Como a una r UTP el aparato telefnico debe soportar
una antena para comunicacin va inalmbrica
s
Subtotal de puntos delTelfono IP Ejecutivo
134
R 1.16. Marca
Deben ser de la misma marca que el sistema telefnico IP, con el fin de
garantizar su correcta operacin e integracin.
la terminal ejecutiva debe ser de la misma marca que la plataforma de
procesamiento de llamadas.
La terminal semi-ejecutiva debe ser de la misma marca que la plataforma de
procesamiento de llamadas.
R 1.17. Pantalla Debe contar con una pantalla a color de cristallfquido con una de 2
al menos 300x200 pixeles que permita distinguir caracteres, smbolos,
graficas,datos estadsticos en forma clara y sin distorsin.
R 1.18. Configuracin de IP
El telfono debe soportar configuracin de IP de manera debe esttica o de
10
manera dinmica a travs del protocolo DHCP.
R 1.19.
Conferencia
Debe incluir la posibilidad de conferencias con al menos 6 lfneas telefnicas
2
)
R 1.20.
Botones
Debe contar con un botn dedicado para activar el altavoz y con manejo de 10
comunicacin a manos libres, contar con consulta al directorio telefnico e
integrable con LDAP3 y contar con un indicador de recepcin de buzn de
voz.
Tecla dedicada para activar el altavoz y con .'
manejo de comunicacin a manos libres.
Tecla para consulta al directorio telefnico e
Integrable con lDAP3. .'
Debe contar con un indicador de recepcin
de buzn de voz. v' v'
10 S 1 o
R 1.21.
Puertos
Debe contar con al menos 2 puertos 10/100/1000 BaseT a travs de 5
una interfaz RJ-45 para una sencilla conexin LAN,tanto del telfono como
de un PC en la misma ubicacin. Con ello el administrador del sistema puede
designar lAN virtuales independientes (VlAN) (802.1q) para la PC y los
telfonos IP. Tambin debe contar con un puerto para diadema
preferentemente.
Debe contar con al menos 2 puertos de red ./ ./
10/100/1000 BaseT a travs de una interfaz RJ-4S
Contar con un puerto para diadema .'
preferentemente.
S 2 o
R 1.22. 10
802.1q
DSCP
802.1p
802.1x
802.3af (PoE).
Fecha: 09.10.2013 Pgina 85 de 129
10 S
3 2 1 o
Versin: V 1.0.0
R 1.23.
Protocolos de Audio
Debe manejar los protocolos de audio G.711,G.729a, G.722.
G.711
.'
G.729a
.'
.'
G.722
.'
.'
.'
5 2 1 o
R 1.24.
Cifrado
5
Debe manejar cifrado AES-128
R 1.25. Los telfonos IP deben permitir recibir la alimentacin elctrica a travs del 40
Alimentacin
puerto de red lAN mediante el protocolo 802.3af (PoE).
R 1.26. Autentificacin Manejo de autenticacin mediante i X.509v3 acuerdo 10
a la recomendacin de la ITU-T en los telfonos IP para evitar accesos no
autorizados por el administrador del sistema de telefona.
R 1.27. Servidor TFTP Debe soportar que mediante un servidor TFTP el dispositivo obtenga su S
configuracin.
R 1.28. Tonos Debe ofrecer al menos 16 tonos de timbre seleccionables por el usuario. 2
R 1.29.
Personalizacin El telfono debe integrarse a una herramienta mismo fabricante de los 5
sistemas propuestos para personalizar la imagen de fondo y el tono de
timbre.Dicha herramienta debe estar incluida.
Subtotal de puntos del Telfonos Tipo Semi-ejecutivo 121
R 1.1 Marca
Deben ser de la misma marca que el sistema telefnico IP, con el fin de
garantizar su correcta operacin e integracin.
la terminal ejecutiva debe ser de la misma marca que la plataforma de
procesamiento de llamadas.
la terminal semi-ejecutiva debe ser de la misma marca que la plataforma de
procesamiento de llamadas.
Subtotal de puntos de los Paneles de 12 teclas compatibles con las 10
terminales IP
Subtotal de puntos de los Paneles de 12 teclas compatibles con las 20
IP
R 1.30. Marca Deben ser de la misma marca que el sistema telefnico IP, con el fin de 10
garantizar su correcta operacin e integracin.
la terminal ejecutiva debe ser de la misma marca que la plataforma de
procesamiento de llamadas.
R 1.31. Pantalla Cada telfono JP debe contar con una pantalla basada en pfxeles. 2
R 1.32. Configuracin de IP de manera automtica a travs del 10
Fecha: 09.10.2013 Pgina 87 de 129 Versin: V 1.0.0
llU
R 1.33.
Funcionalidades
funcionalidades:
Colocar en espera una llamada
Soporte de transferencia de llamada.
Remarcado
Conferencia
Desvi de llamada
Captura de llamada
Manejo de altavoz.
Control de Volumen.
Colocar en espera una <{' <{' <{' <{' <{' <{' <{'
llamada
Soporte de transferencia de
llamada.
Remarcado
Conferencia
Desvi de llamada
Captura de llamada
Manejo de altavoz
Control de volumen
10 8
4 4 4 2 1 o
R 1.34.
Puertos
R 1.35.
de
Cada telfono IP debe tener integrado en el mismo aparato telefnico dos S
puertos switcheados 10/100/1000 Base T interconstruido en la electrnica
del telfono para su conexin a los switches propuestos y una PC. El
administrador del sistema pueda designar LAN virtuales independientes
(VLAN) (802.1Q) para el PC y los telfonos IP.
Configuracin automtica de VLAN mediante 802.1q. 10
R 1.36. 5
Soporte de los siguientes codees G.722, G.729a
R 1.37.
Alimentacin
Fecha: 09.10.2013
los permitir recibir la alimentacin
puerto de red LAN mediante el protocolo 802.3af (PoE).
del 40
o/ o/ o/ o/
o/
R 1.38.
5
R 1.39.
R 1.40.
Buzn de voz
Marca
Debe contar con un indicador de recepcin buzn de voz. 2
Subtotal de puntos de los Telfonos IP Bsicos 99
Deben ser de la misma marca que el sistema telefnico IP, con el fin de 10
garantizar su correcta operacin e Integracin.
El telfono para sala de juntas debe ser de la misma marca que la
plataforma de procesamiento de llamadas.
R 1.41. Pantalla
Contar con una pantalla con una resolucin mnima de 250 x 120 pixeles. 2
R 1.42. Configuracin de IP la estacin debe soportar configuracin de IP de manera esttica o de 10
manera dinmica a travs delprotocolo DHCP.
R 1.43.
Debe incluir: control automtico de ganancia, generacin de ruido de 5
Funcionalidades
confort,supresin de silencio 1Volee Activity Detection, supresin de eco y
reduccin dinmica de ruido.Soporte de altavoces fui! duplex.
Control automtico de ganancia
o/ o/ o/ o/ o/ o/
Generacin de ruido de confort o/ o/ o/ o/ o/
Supresin de silencio 1 Volee
Activity Detection
Supresin de eco
Reduccin dinmica de ruido
o/ o/ o/
o/ o/
Soporte de altavoces full
duplex.
5 4 2 2 1 1 o
R 1.44.
5
R 1.45.
LAN virtuales independientes 10
R 1.46.
Manejo de codees G.711, G.729 y G.722
G.711
G.729
G.722
10 4 1 o
R 1.47.
Autentificacin
Manejo 802.1x, MDS-EAP. 10
R 1.48. Micrfonos contar con micrfonos externo
alcance de al menos 11 metros.
que permita tener un 10
Subtotal de puntos del Telfono IP Para la Sala de Juntas 72
Deben ser de la misma marca que el sistema telefnico IP, con el
garantizar su correcta operacin e Integracin.
El telfono Inalmbrico debe ser de la misma marca que la plataforma de
procesamiento de llamadas.
R 1.50. Pantalla
Contar con una pantalla de al menos 176 x 220 pixeles.
2
R 1.51. Configuracin de IP
manera esttica o 10
R 1.52.
R 1.53.
Codees
5
5
Soporte de los siguientes codees G.711, G.729 y G.722.
G.711
G.729
)
G.722
5 2 1 o
Fecha: 09.10.2013 Pgina 90 de 129 Versin: V 1.0.0
.'
.'
.'
.'
.'
.'
10 4 1
R 1.55. Autentificacin Manejo de autenticacin a 10
Subtotal de puntos del Telfono IP Inalmbricos 52
R 1.57. Puertos Contar con un mfnimo 2 puertos para extensiones analgicas.
S
R 1.58. Configuracin de IP de IP de manera esttica o de manera 10
DHCP.
R 1.59. Actualizacin Actualizaciones de manera remota. S
R 1.60. Codees S
Soporte de los siguientes codees G.711y G.729a, G.729ab
G.711
G.729a
G.729ab v'
R 1.61. Protocolos 10
Manejo de SIP
Manejo de T38 Fax
Manejo de 802.1Q
Manejo de SIP
Manejo de T38 Fax
Manejo de 802.1Q
Fecha: 09.10.2013 Pgina 91 de 129 Versin: V 1.0.0
Fecha: 09.10.2013 Pgina 92 de 129 Versin: V 1.0.0
1
negociacin.
El equipo debe ser apilable (hasta 8 equipos) y debe poder ser montado en
un rack de 19 pulgadas.
Debe contar con un mdulo de 4 puertos de uplink
Incluir 1SFP del tipo 1000BaseSX por equipo.
Debe contar con un puerto dedicado para el apilamiento de al menos 60GB
la densidad de puertos soportada por pila debe ser 432 puertos
10/100/1000 BaseTX.
Debe manejar 48 puertos energizados a 15.4 Watts para dispositivos que
soporten PoE.
Mnimo 48 puertos 10/100/1000 BaseTX de
tipo MDI/MDJX/ con autonegociacion.
El equipo debe ser apilable (hasta 8
equipos) y debe poder ser montado en un
rack de 19 pulgadas.
Debe contar con un mdulo de 4 puertos
de upllnk
Incluir 1SFP deltipo 1000BaseSX por
equipo.
Debe contar con un puerto dedicado para el
apilamiento de al menos 60GB
la densidad de puertos soportada por pila
debe ser 432 puertos 10/100/1000 BaseTX.
Debe manejar 48 puertos energizados a
15.4 Watts para dispositivos que soporten
PoE.
./
./
./
./
./
./
./
10
./
./
./
./
./
./
4
./
./
./
./
./
./
2
./
./
./
./
1
o
Partida 2. Arrendamiento de equipo para red de datos
Debe contar 48 puertos 10/100/1000 BaseTX de tipo MDI/MDIX con auto
Fecha: 09.10.2013 Pgina 93 de 129 Versin: V 1.0.0
R 1.64. Puertos SFP los puertos pticos Gigabit Ethernet deben soportar son al menos: 10
1000BaseSX
1000BaselX (alcance de al menos 10Km)
1000BaseTX
1000BaseSX
1000BaselX (alcance de al menos 10Km)
lOOOBaseTX
10 4 1 o
R 1.65. Capacidad de
R 1.66.
R 1.67. de
i i
R 1.68. Direcciones MAC
R 1.69. Autenticacin y
cifrado
G S
101.2 Mpps S
64 Gbps S
6,000 2
Uso de 802.1x utilizando Extensible Authentlcation Protocol(EAP) o MAC s
Address, de tal manera que ambos mtodos de autenticacin pueden ser
habilitados de manera simultnea en un mismo puerto.
Manejo de SNMPv3, SSH, inspeccin dinmica de ARP, proteccin contra
ataques de IP Spoofing.
Uso de 802.1x utilizando Extensible .' .' .' .'
Authentication Protocol (EAP) o MAC .'
Address
Manejo de SNMPv3
.' .' .' .'
SSH
.' .' .'
lnspeccion dinmica de ARP
.' .'
Protecclon contra ataques de IP
.'
Spoofing
S 3 2 1 1 o
!
J
Debe soportar 4000 VLAN IDs
Prvate VLAN
Voice VlAN mantiene separado el trfico de voz para facilitar la
administracin.
Debe soportar 4000 VLAN IDs ._' Y Y
Private VLAN
Volee VLAN mantiene separado el trfico de
voz para facilitar la administracin.
S 2 1
R 1.71.
Debe en puerto en direcciones MAC 2
R 1.72. Supresin de Tormentas de Broadcast por puerto. 2
R 1.73.
Debe soportar filtrado de paquetes en capa 2 mediante ACLs por puerto o 2
porVLAN.
R 1.74. incluir siguientes
funcionalidades para
Clasificacin de trfico
y Calidad de Servicio
(QoS)
Permitir la clasificacin de trfico travs de hasta 8 colas de prioridad por 2
puerto de tal manera que el manejo de las colas de prioridad incluye
algoritmos de control encolamiento deltipo Weighted Round Robn (WRR o
SRR) y de Prioridad Estricta (SP) permitiendo priorizar el trfico y la
integracin de voz,video y datos mediante 802.1P CoS ("Ciass of Service")
Permitir la clasificacin de trafico de paquetes de capa 2,3 y 4 basados en
al menos:
MAC Address
Direccin IP origen y destino
Puerto TCP / UDP
Calidad de servicio basado en 802.1Q
Manejo de 802.1p Clase de Servicio (COS) y DSCP usado para marcar y
reclasificar de paquetes.
R 1.75. Mecanismos de
proteccin contra
Loops
2
Multiple Spanning Tree '{' '{' '{'
Rapid Spanning Tree '{' '{'
Permite o
manera manual los puertos de acceso que estn
recibiendo paquetes BPDU (Bridge Protocol Data
Fecha: 09.10.2013 Pgina 95 de 129
DHCP
.'
.'
.'
.'
.'
5NTP NTP
.'
.'
.'
.'
Soporte de Jumbo Frames.
.'
.'
.'
Soporta una sola direccin IP para
administrar el stack
.'
.'
Soporte de gestin de consumo elctrico
de los puertos PoE mediante una sulte de
software gestora.
.'
20 8 4 2 1
R 1.77. Debe soportar un mnimo de 8 puertos agrupados 2
R 1.78. El equipo 5
las siguientes
funcionalidades y
caractersticas:
R 1.79. Gestin y Manitoreo 5
CU a travs de un puerto DB9
.' .' .'
Soporte de mltiples archivos de
.' .' .'
configuracin.
Telnet
.' .' .'
SSL (Web seguro)
.' .' .'
SNMPV3
.' .'
RMONI
.' .'
Syslog
.'
TFTP
.'
20 8 2
1
IEEE 802.1Q (VLAN Tagging)
.'
.'
.'
.'
.'
.'
.'
IEEE 802.1w (Rapid Spannlng
Tree)
.'
.'
.'
.'
.'
.'
IEEE 802.3x (Fiow Control)
.'
.'
.'
.'
.'
IEEE 802.3ad (link
Aggregation Control Protocol
(lACP))
.'
.'
.'
.'
IEEE 802.1s (Multiple
Spanning Trees)
.'
.'
.'
IEEE 802.1p (CoS Traffic
Management}
.'
.'
IEEE 802.1x (Authentication)
.'
5 2 2 2 1 1 1
Subtotal de puntos del Equipo de Acceso
.'
.'
.'
.'
.'
.'
.'
10
.'
4
.'
2
.'
1
o
R 1.80. Estndares
Soportados
71
R 1.81. Ranuras
Debe, ser un conmutador de datos de Gigabit Ethernet con 6 ranuras de
expansin que soporte una densidad mnima de: 200 puertos en fibra ptica
Gigabit Ethernet,60 puertos 10GE y 200 puertos 10/100/100 con manejo de
PoE (802.3af soporte de 802.3at).
6 ranuras de expansin
200 puertos en fibra ptica Gigabit Ethernet
60 puertos 10GE
200 puertos 10/100/100 con manejo de PoE
(802.3af 6 soporte de 802.3at).
R 1.82. Capacidad de
conmutacin
La capacidad de conmutacin debe de ser de al menos 500 Gbps con
5
de al menos 48 slot.
Fecha: 09.10.2013 Pgina 97 de 129 Versin: V 1.0.0
1
./
R 1.83. Tarjetas S
Incluir dos tarjetas
10/100/1000 Base-T
Incluir una tarjeta c
para colocar los SFPs
interconexin de los
de
.
24 puertos Ethernet
./
on puertos de 1Gbps
adecuados para la
equipos de acceso
./ ./
Incluir un mnimo de
1000BaseSX.
8 SFP del tipo
./ ./ ./
S 2 1
R 1.84. Fuentes Debe S
R 1.8S. En cuanto a la seguridad los aspectos mnimos son: S
Seguridad
Manejo de 8 colas por puerto ./ ./
Debe proveer autenticacin de mltiples ./ ./ ./ ./ ./
usuarios a travs de IEEE 802.1X.
Soporte de conexin a backplane a 48
./ ./ ./
Gbps como mfnimo por tarjeta.
Manejo de un mfnimo de 64,000 rutas ./ ./ ./ ./
en 1Pv4 y 32,000 rutas en 1Pv6.
Manej9 de Netf/ow,IPflow o similar. ./
S 2 2 1 1
R 1.86.
Desempeo
2
Capacidad Soportada:Hasta 22SMpps para 1Pv4 y 110 Mpps para 1Pv6 y SOO
Gbps de ancho de banda y un tamao de la tabla de direcciones MAC: Al
menos 55.000 direcciones.
Hasta 22SMpps para 1Pv4 y 110 Mpps para 1Pv6
.'
Tamao de la tabla de direcciones MAC: Al
.'
menos 55.000 direcciones
2 1
:0*' Wff A - 'i.fP."'4k00btf"b''"'' "'- JYWi"'"'M'"'"- "'"'' .:! & """"''rn'> """-'"'""""M""'$"' /Zm_,, A&&d==:J
Fecha: 09.10.2013 Pgina 98 de 129 Versin: V 1.0.0
R 1.87.
Administracin segura: Autenticada y cifrada SNMPv3, adems de SSHv2
y/o SSL y duplicacin de puertos: Debe proveer duplicacin de trfico de
entrada desde el puerto(s) del switch a un puerto local o dispositivo de
control remoto para el anlisis del trfico, o para propsitos de
cumplimiento.
R 1.88.
Convergencia
IP multicast routing: Soporte de enrutamiento avanzado.
Soporte de IP muiticast snooping (IGMP basada en datos): Evita
automticamente la saturacin por trfico IP multicast (MlD}.
10
R 1.89.
Conectividad
Soporte de IEEE 802.3af y 802.3at Power over Ethernet.
Soporte de 1Pv6: Debe soportar administracin dual de host en 1Pv4 11Pv6
con el ruteo 1Pv6 va una licencia opcional de ruteo 1Pv6.
S
Soporte de IEEE 802.3af y 802.3at Power over
Ethernet.
y" y"
Soporte de 1Pv6 y"
2 1 o
R 1.90.
Conmutacin Capa 2
IEEE 802.1q Soporte de VLAN y etiquetado: Debe admitir hasta 4,000 VLANs
activas.
S
Autenticada y cifrada SNMPv3, adems de
SSHv2 y/o SSL
y"
proveer duplicacin de trfico de entrada
desde el puerto(s) del switch a un puerto
local o dispositivo de control remoto para el
anlisis del trfico
V' ,'
2 1 o
IP multicast routing: V'
Soporte de JP multicast snooping (IGMP basada
en datos)
y" y"
2 1 o
J
Fecha: 09.10.2013 Pgina 99 de 129 Versin: V 1.0.0
R 1.91. Servicios Capa 3
Capa 3 Ruteo IP: Debe proveer direccionamiento IP bajo enrutamiento
bsico. Enrutamiento RIPvly RIPv2 para un mximo de 64,000 entradas de
rutas 1Pv4. Ruteo avanzado que incluye PIM, VRRP, BGP y OSPF3.
Proveer direccionamiento IP bajo
enrutamiento bsico
Enrutamlento RIPv1y RIPv2 para un mximo
de 64,000 entradas de rutas 1Pv4
Ruteo avanzado que incluye PIM, VRRP, BGP
y OSPF3.
.'
.'
.'
.'
.'
.'
S 2 1 o
R 1.92. Estndares S
Soportados
IEEE 802.1Q (VlAN)
.'
IEEE 802.1x (Authentlcation)
.'
IEEE 802.3 (Ethernet)
.' .'
IEEE 802.3ae (10 Gigabit Ethernet)
.' .'
IEEE 802.1D (Spanning Tree Protocol)
.' .' .'
IEEE 802.1s (Multiple Spanning Trees)
.' .' .'
RMON 1 and 11 standards
.' .' .'
IEEE 02.3ad (LACP) .' .' .'
IEEE 802.1p (CoS Prioritization) .' .' .'
IEEE 802.1w (Rapid Reconfiguratlon of .' .' .'
Spanning Tree)
S 2 1 o
Subtotal de puntos del Equipo de Core 62
1
.
Partida 3. Arrendamiento de equipo para Seguridad Perimetral
RUBRO SUBRUBRO Ptos Tot.
Entregab!e E3.2.3.1 Sistema de Prevencin de Intrusos
Componente Descripcin
Funcionalidades El licitante ganador del servicio ser responsable de la totalinstalacin y puesta en 10
mfnimas operacin de los equipos involucrados. Asimismo, debe incluir todos los accesorios que
estime conveniente para este propsito.
Los IPS deben soportar 1,000,000 conexiones por segundo por cada Gigabit de
inspeccin como mfnimo.
Debe ofrecer una latencia mxima de 1 milisegundo.
Interfaces de monitoreo 10/100/1000 en cobre necesarias. El licitante ganador de
servicio debe proveer todos los transceivers y cables necesarios para su
implementacin.
. El monitoreo debe de ser transparente para los usuarios.
EIIPS solicitado debe operar en la capa 2 del modelo de OSI, por lo que las interfaces
de inspeccin no requieren de una direccin IP ni MAC.
Elequipo podr configurarse en modo transparente; es decir, de deteccin en linea,
pero sin bloquear trfico. Elsistema slo alerta que eventos serfan bloqueados.
El sistema debe permitir la configuracin de modo transparente para todo el trfico o
slo para los paquetes especificados por direccin IP, protocolo y VLAN ID.
Debe permitir la creacin de reglas y filtros de acceso.
Elequipamiento debe de ser capaz de indicar a un dispositivo de tipo FW, en
respuesta a un ataque, la adicin de reglas para mitigar el ataque apropiadamente de
manera escalonada en las dos capas de seguridad, IPS y FW.
Soportar funcionamiento pasivo como un IDS (sistema de deteccin de intrusos), con
alertas de ataque, trfico malicioso o no deseado, sin interferir con el trfico.
Soportar combinacin de las modalidades IDS (pasivo) y IPS (en linea)
dentro de un mismo eauioo.
Deteccin de trfico Capacidad de detectar trfico anmalo o vulnerabilidades en las siguientes aplicaciones 5
anmalo o lnstant Messenger y P2P:
vulnerabilidades
Yahoo! Messenger
Gnutella
Kazaa
eDonkey
BitTorrent
SouiSeek
Fecha: 09.10.2013 Pgina 101 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.3.1 Sistema de Prevencin de Intrusos
Componente Descripcin
Caractersticas de Deben incluir una herramienta de anlisis de trfico del mismo fabricante, Esta 10
Jos equipos herramienta debe generar reportes de utilizacin y poder sugerir cambios para el
involucrados acomodo (tuning) de la polrtica deiiPS en base al comportamiento del trfico en la red.
Debe tener una administracin de seguridad centralizada que incluya las polfticas,
actualizacin, respuestas y opciones de auditorfa.
Debe contar con almenos un puerto de administracin ethemet 10/100 o en su mejor
caso 10/100/1000, adicionala las interfaces de anlisis solicitadas. As tambin, es
recomendable que cuente con una interface serial de administracin.
La solucin de seguridad debe contemplar que el flujo de infonnacin este asegurado
ante una falla en eiiPS, pudiendo conmutar el trfico, obviando el anlisis deiiPS, sin
necesidad de un dispositiVo exterior que pudiera representar otro punto de falla en la
red.
Debe poder integrarse a la consola centralizada de eventos de tipo SJEM.
Debe integrase a una autentificacin va RAOIUS. La autenticacin RADIUS ser a nivel
de consola de administracin, validando el acceso de los usuarios a la misma.
El equipo debe soportar elmanejo de polfticas por dispositivo, puerto, VLAN tag, IP o
rango de IP's.
Debe contar con un mecanismo de prevencin de spyware;
Debe soportar los siguientes tipos de respuestas: bloquear, ignorar, guardar en un lag,
enviar correo electrnico, SNMP, respuestas definidas por el usuario, cambios de
configuracin a equipos de seguridad o de red de terceros, sugerencia de cambios a la
poltica en base al anlisis de impacto de un evento.
Debe soportar funcionalidades de alta disponibilidad y configuraciones del tipo
activo/activo y activo/failover. Esto debe ser soportado sin degradar elperformance del
IPS y manteniendo elmnimo throughput requerido para inspeccin, en este caso 1
Gbps por cada equipo.
Debe manejar actualizaciones automticas de seguridad del archivo de firmas de
cuando menos dos veces por mes.
Debe hacer Anlisis de trfico de voz sobre IP. Debe soportar para dicho anlisis de
voz, como mnimo los siguientes protocolos, SIP, H.323, H245, H.225.
El producto debe soportar trabajar en capa 2 como Bridge.
Debe soportar monitoreo de VLANs, incluyendo trames 802.1q.
El dispositivo IPS debe soportar monitoreo de redes MPLS.
El dispositivo IPS de soportar el monitoreo de lpv6.
El dispositivo IPS debe soportar monitoreo stateful inspection y mid state pickup.
Las Interfaces utilizadas para censar trfico deben trabajar en modo stealth, sin stack de
TCP/IP en la interfaz.
La deteccin de ataques debe ser independiente al sistema operativo.
, """"' "'"""--'""'"'""'""-""-""""'""""-"""""'---
Fecha: 09.10.2013 Pgina 102 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.3.1 Sistema de Prevencin de Intrusos
Componente Descripcin
Contar, como
mnimo, con las
siguientes tcnicas
de anlisis de trfico
1.1dentifica elprotocolo a travs del puerto utilizado.
2.permite la identificacin de protocolos que utilizan puertos aleatorios.
3.Permite la identificacin de protocolos en fonna independiente del puerto utilizado.
4.Protocol Tunneling Recognition- permite la identificacin de protocolos aun cuando
estos estn encapsulados.
5.Heuristics- uso de anlisis heurfstico.
6.Protocol Analysis- anlisis de protocolo con decodificacin mnimo de 400 protocolos
de las 7 capas OSI.
7.Application layer Pre-processing- Los equipos deben poder realizar una revisin de
los datos dentro del protocolo de aplicacin en busca de patrones de ataques de red.
8.Reconnaissance- deteccin de escaneo de puertos (port probes).
9.ProtocolModeling eiiPS ser capaz de modelar y analizar cualquier protocolo,
existente y/o propietario
10.Firmas basadas en vulnerabilidades permitiendo la deteccin de ataques
desconocidos o variaciones de ataques conocidos.
11.RFC Compliance Checking- verificacin de compatibilidad con las RFCs.
12.Protocol Anomaly Deteclion- identifica anomalias de protocolo.
13.TCP Reassembly- reemsamblado de paquetes fragmentadas
14.Deteccin de anomalas de trfico y a lisis de impacto por evento para evitar
ataques de da cero, como una funcionalidad detro delmismo IPS y sin necesidad del
uso de aplicaciones adicionales como sistema de deteccin de anomalas o escanners.
15.Firmas definidas por el usuario mediante el uso de expresiones regulares.
16. Correlacin y agregacin de eventos en el agente de monitoreo, (IPS) sin
necesidad de aplicaciones adicionales y siendo esta funcionalidad propietaria
delmismo fabricante.
5
Caractersticas
mnimas de
configuracin de
polfticas
.Capacidad de creacin de reglas basadas en:
Segmento monitoreado (puerto del appliance).
Direccin IP origen y destino.
c)Puertos origen y destino.
Debe soportar la bsqueda de firmas por nombre a travs de la interfaz grfica.
Captura de trfico para el anlisis de evidencia en formato soportado por TCPDUMP y
ENC (estndar para el software de anlisis de protocolos). Elarchivo puede ser usado
para hacer playback delataque. Se aceptaran propuestas que consideren la captura de
trfico para el anlisis de evidencia en fonnato compatible con libpcap (compatible a su
vez con TCPDUMP), y opcionalmente en formato ENC
Filtro de protocolos TCP, UDP, ICMP (por filtro se entiende paquetes que no sern
analizados).
Filtro de ataques especfficos o todos los ataques a partir de direcciones/redes IP
especfficos.
5
t
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.3.1 Sistema de Prevencin de Intrusos
Componente Descriocin
Acciones de control
de accesos
Realizar como mfnimo las siguientes acciones:
Monitorear: acta como un IP "whitelist. Los paquetes son procesados pero las
respuestas de descartar paquetes no son aplicadas.
Descartar: descarta el paquete en el momento que este pasa por el mecanismo
de control de acceso. Descartar con Reset funciona de la misma forma que la
accin anterior, pero enva un paquete de reset al computador origen. La
conexin se cierra de esta forma ms rpidamente debido a que no hay
reenvfo de paquetes. Esta funcionalidad tambin debe estar disponible en
modo de IPS.
2
Caracterfsticas
mfnimas de Bloqueo
de Ataque, Trfico
malicioso o Trfico
no deseado.
Debe contar, como mfnimo, con las siguientes caractersticas:
IP whitelist -lista de direcciones IP "confiablesque el sistema no bloquear.
Reset de la sesin TCP cuando se utiliza en modo pasivo.
Descarte de paquetes
Conexin con Reset: descarta todos Jos paquetes de la conexin en la cual el evento
ocurri y envra paquetes de reset TCP al origen y al destino de la conexin.
Conexin: descarta todos los paquetes de la conexin en la cualelevento ocurri.
Paquete:Efecta un drop del paquete identificado con el ataque.
5
)
1
'
Fecha: 09.10.2013 Pgina 104 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entreoable E3.2.3.1 Sistema de Prevencin de Intrusos
Componente Descripcin
Sistema de El sistema permitir un anlisis dinmico y en tiempo real en para crear un mapa de la 10
correlacin de red monitoreada, incluyendo al menos lo siguiente:
eventos y deteccin
de anomalas,
caractersticas
bsicas
Redes existentes
Host activos
Nuevos host o servers en la red
Nuevas MAC address en la red
Mquinas virtuales nuevas o existentes
Sistema operativo de cada uno de los host identificados
Servicios activos de cada uno de los host identificados
Aplicaciones activas de cada uno de los host identificados
Vulnerabilidades de cada uno de los host identificados
Debe contar al menos con las siguientes banderas de impacto para cada uno de los
eventos deiiPS, independientemente de la criticidad de la vulnerabilidad en el exterior
Vulnerable
No Vulnerable
Posible Vulnerabilidad Existente
Debe ser capaz de crear perfiles de cumplimiento con alguna normativa de seguridad,
para emitir una alarma cuando algunos de los servicios no permitidos por una normativa
de seguridad sea utilizado en el segmento de red acotado por la normativa de
seguridad.
Debe ser capaz de realizar un escaneo de vulnerabilidades a Jos host de la red para
validar la existencia de las vulnerabilidades o como una respuesta a un incidente, por
ejemplo al detectar un nuevo host en la red, debe escanearlo inmediatamente.
Debe permitir una integracin automtica para realizar un cambio de configuracin o
enviar informacin a mdulos de terceros como:
Scanners de vulnerabilidades
SEM/SIEM systems
Firewall
Routers
Switches
Sistemas de patch management
Wireless Access Point
h)NAC servers.
Fecha: 09.10.2013 Pgina 105 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.3.1 Sistema de Prevencin de Intrusos
Componente Descripcin
El sistema de
o
Nuevos host en la red 2
correlacin de o Vulnerabilidades existentes en la red
eventos y deteccin o Servicios existentes en la red
de anomalfas debe o AnomaHas de trfico
permitir, como o Perfiles de trfico
mnimo, obtener o Sistemas operativos existentes en la red
reportes detallados o Vulnerabilidades por cada host
sobre los siguientes
o
Uso de trfico por aplicacin
temas: o Uso de trfico por usuario
o Uso de trfico por host
o Uso de trfico por servicio
o Eventos de seguridad por impacto en la red
o Eventos de seguridad por criticidad de la vulnerabilidad
El sistema de Debe ser capaz de a travs de una versin virtual, monitorear y as;gurar una granja de 2
correlacin de
servidores virtuales, sin necesidad de instalar un agente a cada servidor virtual utilizado.
eventos y deteccin
Debe ser capaz de integrarse con herramientas de terceros, para crear un mapa grfico
de anomalas, debe
de la red Debe ser capaz de integrarse con herramientas de terceros, para crear un
incluir las siguientes
mapa grfico de la red que incluya Geo localizacin.
caracterfsticas
Debe ser capaz de crear un mapa de flujo de trfico entre host de la red, para guardar
registro de la cantidad de trfico entre los dispositivos de la red
Debe identificar vulnerabilidades de los host de la red en tiempo real y sin necesidad de
correr un anlisis de vulnerabilidades
El sistema de 1.Debe permitir la integracin con eldirectorio activo de la red para tener un mapeo de 5
correlacin de usuario e IP utilizada actualmente.
eventos y deteccin 2.Debe permitir tener la informacin de contacto de los usuarios que estn siendo
de anomalfas, debe atacados
integrarse con el 3.Los eventos de seguridad mostrados deben mostrar el usuario que est generando o
directorio activo, recibiendo elataque y generar una alerta o tomar acciones en base al perfil del usuario
proveyendo las en cuestin
siguientes 4.Debe de poder generar un mapa de eventos de seguridad generados/recibidos por
caracterfsticas. usuario
5.Debe de poder generar un mapa de trfico generado/recibido po1usuario
6.Debe ser capaz de mantener un mapa de los usuarios, IP actual, tipo de aplicacin
usada, v un historial de las direcciones IP aue ese usuario ha usado en el Uemoo.
Subtotal de puntos del Sistema de Prevencin de Intrusos 56
1
Fecha: 09.10.2013 Pgina 106 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.3.2 Filtrado de contenido
Componente Descripcin
Filtrado Contenido
caractersticas
requeridas:
Soporte para al menos 1000 usuarios
Protocolos soportados para la solucin (p. ej. HTTP v1.011.1 o HTTPS), aslcomo
puertos o protocolos adicionales (p. ej. P2P, Skype).
Bloqueo Proactivo de amenazas en tiempo real actualizacin de la inteligencia en la
nube de al menos cada 5 minutos.
Contener motores (engines) de deteccin heurfsticos basados en la identificacin de
comportamientos inusuales y brotes de amenazas de dia Cero.
Debe de contar con proteccin de usuarios mviles con itinerancia, dirigiendo todo el
trfico de internet a la nube de seguridad ms cercana para analizar el trfico en tiempo
real y permitir el acceso.
Motores (Engines) de filtrado de contenido utilizados (p. ej. reputacin URL, reputacin
IP, categorizacin).
Capacidad de configurar y aplicar politicas por categorfas de contenido. Mencionar si se
tienen polticas o sugerencias de plantillas de polfticas.
Capacidad de configurar filtros adicionales o especficos por usuario, por grupo(slo
por el administrador del dominio).
Integracin de solucin de filtrado de contenido con Directorio Activo para autenticacin
de usuario. Evitar doble autenticacin. Soporte a Security Assertion Markup Language
(SAML) para Single-Sign On.
Capacidad de mantener una polftica de filtrado bsica o default en caso de no tener
comunicacin con el Directorio Activo.
Capacidad de detectar y filtrar pginas en diferentes idiomas o con diferentes conjuntos
de caracteres.
Capacidad de bloqueo por ubicacin de origen (geoiP). Bloque regional por paises.
Capacidad de bloqueo por contexto (horario, usuario, ubicacin, etc).
Capacidad de bloqueo por versin de navegador utilizado.
Capacidad de bloquear el acceso a sitios clasificados como Phishing, o redes de
botnet.
10
Filtrado Contenido
caractersticas
requeridas:
Bloqueo de descarga por tipo de archivo o extensin.
Capacidad de deteccin y filtrado por URL o direccin IP.
Soportar clasificacin dinmica para sitios web no categorizados, o tiempQ compromiso
para categorizar sitio.
Capacidad de re categorizar o cambiar la clasificacin a pginas o URL por parte del
administrador para una organizacin.
Capacidad de bloquear la descarga de archivos desde ciertos sitios sospechosos.
Capacidad de bloquear en Hnea sitios con XSS y robo de cookies.
Capacidad de bloquear en lnea sitios anonimizadores (proxy annimo) en general y
para aplicaciones Web 2.0.
5
RUBRO SUBRUBRO Ptos Tot.
En'tregable E3.2.3.2 Filtrado de contenido
Comoonente Descriocin
Control de
aplicaciones (Web
2.0}, caracterlsticas
requeridas:
Capacidad de detectar amenazas o ataques en Web 2.0 (inspeccin profunda de
payload)
Capacidad de realizar polfticas granulares para el uso aplicaciones Web 2.0 para filtrar
funcionalidades especficas (p. ej. posting o subir videos)
Mensajerfa Instantnea. Deteccin y bloqueo de uso de aplicaciones de mensajerfa
instantnea basadas en Web
Deteccin y bloqueo de "uploading" de archivos en aplicaciones de correo basadas en
Web.
5
DLP-Data Leakage
Prevention/ Data
Loss Prevention,
caractersticas
requeridas:
Capacidades para la ap licacin de polfticas de DLP granulares y por usuario.
ues conocidos y recientes mediante firmas actualizadas.
sin firmas o por comportamiento, o por contexto en tiempo real.
ataques de da cero y el mecanismo asociado.
y bloqueo) de descarga y ejecucin de cdigo malicioso
s). Mencionar si se verifica flujos de entrada y salida
5
Proteccin contra
malware, spyware y
bots, caracterfsticas
requeridas:
Proteccin contra ataq
Deteccin de malware
Capacidad de detectar
Prevencin (deteccin
(malware, spyware, bot
(inbound/outbound).
2
Cifrado,
caractersticas
requeridas:
Tener la capacidad de fungir como un proxy para sesiones SSL iniciadas por el usuario.
Dispositivos mviles soportados para integrarlos a la solucin de filtrado (sistemas
operativos). Por ejemplo:Windows Mobile, BlackBerry, MacOS, lOS (iPhone and iPad),
y Android.
Mecanismos para mejorar o mantener la latencia cuando el usuarios est fuera de su
zona geogrfica habitual.
Esquemas soportados para integrar oficinas remotas a la solucin de filtrado en nube
(Ejemplo. GRE, Proxy Chaining, PAC).
2
Soporte a equipos
mviles/oficinas
remotas,
caracterfsticas
requeridas:
5
Fecha: 09.10.2013 Pgina 108 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
EntreQable E3.2.3.2 Filtrado de contenido
Componente Descripcin
Reportes, debe
permitir, como
mnimo, obtener
reportes sobre los
Contar con un tablero inicial de indicadores y grficos para tener una visin completa del
estado del servicio.
Tablero configurable por diente, y soporte de esquema white-labeling.
Capacidad de realizar "drill-down" a partir de reporte o grfico inicial del tablero de
control.
Capacidad de generar consultas mediante aplicacin de filtros contra atributos de
eventos.
Reportes disponibles para administrador de dominio de las funcionalidades Web
Security.
Reportes exportables a diferentes formatos a un archivo csv, pdf, html.
Capacidad para generar plantlllas de reportes comunes para su rpida generacin y
consulta.
Capacidad de almacenar y consultar reportes generados.
Capacidad de asignar reportes y contenido de acuerdo a perfil del usuario.
Capacidad de ca!endarizar reportes y enviarlos a un grupo de destinatarios por correo
electrnico, o notificar su disponibilidad para la consulta Web.
2
siguientes temas:
Seguridad,
caracterlsticas
requeridas:
la solucin debe permitir la creacin de diferentes dominios por cliente y garantizar que
cualquier configuracin de funcionalidad es independiente.
Capacidad de manejar 1 configurar diferentes niveles de roles o privilegios, por ejemplo:
operador, administrador y/o auditor.
2
Gestin de eventos
y bitcoras, con las
siguientes
caracterfsticas:
Capacidad de recoleccin y manejo (reduccin, nonnalizacin, procesamiento) de
eventos:
Eventos almacenados relacionados con la administracin de plataforma
(bitcoras de administracin, de usuarios).
Eventos almacenadas relacionados con elproceso de filtrado de navegacin
Tiempo de retencin (configurable) para el manejo de eventos tanto de administracin
como de uso de seJVicio.
Procedimientos para consultar o compartir eventos por solicitud (en linea) y fuera de
lnea.
2
Capacidad/
Escalabilidad,
con las
siguientes
caractersticas:
Infraestructura requerida para un nodo Web Security
Soporte para integrar clientes con 1Pv6.
5
Redundancia en los
siguientes
componentes:
Esquema de redundancia en caso de fallo de nodo principal de Filtrado. - reenvfo a
Nodo alterno (activo-activo, activo-pasivo); Nodo en Nube de Proveedor
Ubicacin y Nmero de nodos del proveedor para redundancia (para esquema de nube
pblica)
Contar con Arquitectura o Esquema para proteger o respaldar informacin de
confiauracin de seJVicio (nube Pblica)
10
Sub}otal de puntos del Filtrado de contenido
55
Fecha: 09.10.2013 Pgina 109 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E 3.2.3.3 Sistema de proteccin contra ataque de denegacin de serviCios (ODas)
Componente Descripcin
El sistema debe proporcionar interfaces a velocidades de 1 Gbps, soporte de almenos 5
pares de interfaces GE (5 puertos internos y 5 puertos externos) que permita la
conexin en lnea de hasta 5 segmentos de Gig bit Ethernet.
El sistema debe soportar interfaces a velocidades de 10 Gbps, apoyando almenos 1 par
de interfaces 10GE (1 puerto interno y 1 puerto externo) que permita la conexin en
lfnea de 1 segmento de 10GE.
La solucin debe de soportar almenos 9.5 millones de paquetes por segundo.
La solucin debe de soportar al menos 610,000 conexiones http por segundo.
El sistema debe de tener embebido el bypass ffsico en cada interface para garantizar
alta disponibilidad y debe activarse en los siguientes casos: Perdida de energa
elctrica, falla lgica en la interface de control, prdida de conectividad con la tarjeta
madre del dispositivo, colapso del sistema operativo.
El sistema debe permitir el aumento de su rendimiento de 2GB/S a 10GB/S a travs de
cambios en las licencias sin la necesidad de hardware nuevo.
El sistema debe implementar hardware bypass en todas las interfaces de servicio
(proteccin).
El sistema alposicionarse en lfnea debe de ser completamente transparente, sin
introducir ningn cambio de encapsulamiento.
El sistema debe ser capaz de soportar un modo de prueba "inactivo" cuando se
configura en lnea, que permita el ajuste de la configuracin de proteccin sin bloquear
el trfico y proporcione reportes de todo el trfico que bloqueara si se define como
"activo".
El sistema debe soportar la implementacin en modo "monitor'' en el que no introduce
ningn punto adicional de falla a la red.
El sistema debe ser capaz de capturar trfico directamente desde un puerto espejo
(SPAN) en un enrutador, switch o tap.
El sistema debe de soportar una configuracin en donde no reenve el trfico entre los
puertos de proteccin al operar en modo espejo, SPAN, o tap de red, para evitar la
inyeccin de trfico duplicado. La configuracin para "nunca reenviar el trfiCo" no debe
de poder ser modificada en el flujo de trabajo de la interfaz de usuario normal.
El sistema debe ser compatible con alimentacin de energfa AC.
El sistema debe soportar redundancia completa para fuentes de alimentacin AC.
El sistema debe admitir intercambio caliente de una fuente de alimentacin de AC
de uadada durante el funcionamiento normal del sistema.
Especificaciones
tcnicas.
Cumpliendo, como
mfnimo, las
siguientes
caractersticas:
10
Fecha: 09.10.2013 Pgina 110 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E 3.2.3.3 Sistema de proteccin contra ataque de denegacin de servicios (ODas)
Componente Descripcin
Administracin. El sistema debe proporcionar documentacin en lnea en la GUI para ayudar a los 2
Cumpliendo, como usuarios a comprender las funciones.de cada pantalla.
mfnimo,las La GUI del sistema debe permitir mltiples los niveles de acceso como administrador y
siguientes operador.
caracterrsticas: El sistema GUJ debe incluir un registro de cambios que reporte todos los eventos que
podrian afectar la administracin incluyendo Jos inicios de sesin de usuario, los
cambios de configuracin, comandos CU y actualizaciones del sistema.
El sistema debe proporcionar la capacidad para crear y exportar paquetes de
diagnstico que contienen informacin del estado y configuracin a utilizarse para
resolver problemas.
El sistema debe proporcionar la capacidad para administrar sus archivos a travs de la
GUI, incJuida la carga, descarga y eliminacin.
El sistema debe proporcionar una interfaz CLJ que proporcione funciones de supervisin
del sistema.
El sistema debe proporcionar una opcin de SYSLOG, SNMP o notificaciones SMTP
para las alertas del sistema, los cambios de modo de despliegue (activo/inactivo) y
cambios de nivel de proteccin.
El sistema debe admitir el control de su estado general a travs de SNMP v2 o v3.
El sistema debe proporcionar la capacidad de visualizar, buscar y eliminar alertas
caducadas y activas a travs de la GUI.
El sistema debe permitir la creacin, eliminacin y administracin de cuentas de usuario
a travs de la GUI(Interfaz Grfica del Usuario)
Seguridad. Todas las comunicaciones externas al sistema deben ser manejadas a travs de un
Cumpliendo, como cortafuegos incorporado de filtrado de paquetes que permita slo servicios obligatorios y
mnimo, las opcionales que deban habilitarse explfcitamente por subred.
siguientes El acceso a la CLI (Interfaz de lnea de comandos) debe proporcionarse mediante SSH.
caracterrsticas: El acceso de GUI al sistema debe ser a travs de HTTPS. No deben permitirse
protocolos de GUIno seguros.
El sistema debe permitir la configuracin de mltiples cuentas de usuario local.
El sistema debe proporcionar controles de acceso a nivel de usuario basados en Tokens
que pueden asignarse a usuarios o grupos de usuarios para aplicar la separacin de
privilegios.
A los usuarios sin privilegios administrativos se le permitir administrar la configuracin
de sus propias cuentas y contraseas pero no puede ver o cambiar cuentas de otros
usuarios.
El sistema debe proporcionar listas de control de acceso IP para todos los servicios
remotos que estn accesibles.
El sistema debe proporcionar completa AAA a los usuarios a travs de una base de
datos de: usuario local, RADIUS y/o TACACS o la configuracin combinada de mtodos.
Fecha: 09.10.2013
!JW & sen
Pgina 111 de 129 Versin: V 1.0.0
Componente Descripcin
Seguridad.
El sistema debe admitir configuracin a travs de navegadores web estndar 5
Cumpliendo, como
actualizados.
mnimo, las
El sistema debe proporcionar una interfaz CLI accesible a travs de la conexin de red o
siguientes
de la consola.
caractersticas:
El sistema debe proporcionar un panel de estado de dispositivo que incluya informacin
sobre las alertas activas, todas las protecciones aplicadas al trfico, total del trfico
permitido y bloqueado a travs de las interfaces, estado de la CPU y memoria de
sistema.
El sistema debe mostrar una lista de protecciones activas en conjunto con estadsticas
resumidas de la cantidad de trfico permitido y bloqueado para cada grupo de
proteccin configurado.
El sistema debe proporcionar estadfsticas detalladas y grfjcos para cada proteccin,
mostrando su impacto en eltrfico durante los ltimos 5 minutos, 1 hora, 24 horas, 7
das o un intervalo personalizado especificado.
El sistema debe mostrar estadsticas de proteccin en tiempo real sobre trfico
permitido y bloqueado en bytes y paquetes, con estadfsticas en bps y pps
Las estadfsticas detalladas y grficos para cada grupo de proteccin para servidores
genricos deben incluir informacin sobre el trfico total, trfico total permitido y
bloqueado, nmero de hosts bloqueados, estadsticas sobre cada tipo de prevencin,
trfico por URL, trfico por dominio, informacin de ubicacin IP, distribucin de
protocolos, distribucin de servicios y estadfsticas principales de hosts bloqueados.
Las estadfsticas detalladas y grficos para cada grupo de proteccin para servidores
Web deben incluir informacin sobre el trfico total, trfico total permitido y bloqueado,
nmero de hosts bloqueados, estadfsticas sobre cada tipo de prevencin, trfico por
URL, trfico por dominio, informacin de ubicacin IP, distribucin de protocolos,
distribucin de servicios y estadsticas principales hosts bloqueados.
Las estadsticas detalladas y grficos para cada grupo de proteccin para los servidores
DNS deben incluir informacin sobre el trfico total, trfico total permitido y bloqueado,
nmero de hosts bloqueados, estadsticas sobre cada tipo de prevencin, informacin
de ubicacin IP, distribucin de protocolos, distribucin de servicios y estadsticas
principales de hosts bloqueados.
Las estadfsticas detalladas y grficos para cada grupo de proteccin para servidores
VoiP deben incluir informacin sobre el trfico total, , trfico total permitido y bloqueado,
nmero de hosts bloqueados, estadfsticas sobre cada tipo de prevencin, informacin
de localizacin de IP, distribucin de protocolos, distribucin de servicios y estadsticas
principales de hosts bloqueados.
El sistema debe admitir la generacin de infonnes pdf que contiene las estadfsticas
detalladas y grficos para cada grupo de proteccin.
El sistema debe admitir la generacin de reportes de correo electrnico con las
estadfsticas detalladas y grficos para cada grupo de proteccin.
El sistema debe suministrar toda la interfaz CLI a travs delpuerto de consola serie RS-
232.
RUBRO SUBRUBRO Ptos Tot.
Entregable E 3.2.3.3 Sistema de proteccin contra ataque de denegacin de servicios (ODos)
}
t
Fecha: 09.10.2013
RUBRO SUBRUBRO Ptos Tot.
Entregable E 3.2.3.3 Sistema de proteccin contra ataque de denegacin de servicios (ODa }.
Componente
Mitigacin en la
nube. Cumpliendo,
como mnimo, las
siguientes
caractersticas:
Descripcin
El sistema debe de proporcionar la posibilidad de solicitar a travs de un protocolo de
sealizacin en la nube al Proveedor de Servicios (ISP), para que empiece una
mitigacin ascendente ("mitigacin en la nube") cuando el enlace sea saturado por un
ataque volumtrico de ODaS.
La funcionalidad del sistema de "sefalizacin en la nube" debe de soportar la solicitud
de mitigacin ascendente en la nube desde el Proveedor de Servicios (ISP) que
proporciona la conectividad a Internet o desde el Proveedor de Servicios Administrados
de Seguridad en la nube (no directamente conectado al sitio).
El sistema debe de poder disparar la solicitud para una mitigacin de nube ascendente,
ya sea manual o automticamente a travs de la configuracin de umbrales de trfico.
El sistema debe automticamente reportar el estado y estadisticas durante una
mitigacin en la nube, iniciada por el Proveedor de Servicios OSP) sin la necesidad de
una solicitud explcita.
El sistema debe ser capaz de informar la cantidad de trfico bloqueado en bps y pps
durante una mitigacin en la nube en curso.
El sistema debe ser capaz de informar la cantidad de tiempo que una mitigacin de
nube lleva ejecutndose.
El sistema debe ser capaz de informar el estado actual de una mitigacin de nube
solicitada, informando si se ha activado correctamente en la nube o no.
El sistema debe enviar notificaciones acerca cualquier cambio de la mitigacin en la
mitigacin.
El sistema debe de ser capaz de reportar el estado de la conexin de sealizacin en la
nube con el sistema del Proveedor de Servicios Administrados de Seguridad, mostrando
el estado de conexin, errores de conexin y cuando haya sido deshabilitado.
El sistema debe de poder proporcionar la capacidad para manualmente disparar una
prueba de conexin de sealizacin en la nube con el sistema del Proveedor de
Servicios Administrados de SeQuridad.
5
Fecha: 09.10.2013 Pgina 113 de 129
,_,"!3..'03< -? i!) + - "'"' h """"'''"'*' '::""'2.:0!
Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entreoable E 3.2.3.3 Sistema de proteccin contra ataque de deneoacin de servicios (DDos)
Comoonente Descripcin
Prevencin de
ataques.
Cumpliendo, como
mlnimo, las
siguientes
caractersticas:
El sistema debe ser capaz de bloquear paquetes que no son vlidos (incluidos los
controles de encabezados IP malformados, fragmentos incompletos, checksum IP
errneos, fragmentos duplicados, fragmentos muy largos, paquetes pequeos, paquetes
TCP pequeos, paquetes UDP pequef\os, paquetes ICMP pequeos, checksums
TCP/UDP errneos, banderas TCP invlidas, nmeros ACK invlidos) y proporcionar
estadfsticas para los paquetes descartados.
Es imperativo que estos valores estn pblicos en documentos oficiales del fabricante,
por transparencia con elproceso no se aceptarn cartas del fabricante o canalpara
justificar cumplimiento.
El sistema debe permitir la configuracin de listas de filtros que contengan expresiones
FCAPS para permitir o bloquear trfico.
El sistema debe ser capaz de detectar fuentes que envfen cantidades excesivas de
trfico bajo umbrales configurables, para despus colocar esas fuentes en listas de
hosts bloqueados temporalmente (bloqueo basado en la tasa de trfico).
El sistema debe de ser capaz de descartar paquetes segn puertos TCP especfficos y
payloads que coincidan o no con expresiones regulares configurables.
El sistema debe de ser capaz de descartar paquetes segn puertos UDP especificas y
payloads que coincidan o no con expresiones regulares configurables.
El sistema debe de soportar prevencin de inundacin suplantada de SYN's TCP que
autentifiquen conexiones TCP desde los host origen.
La prevencin de inundacin suplantada de SYN's TCP debe de ser capaz de
especificar los puertos TCP origen y destino a ser ignorados.
La prevencin de inundacin suplantada SYN's TCP debe proporcionar una forma de no
impactar sesiones de usuarios legftimos HTTP a travs de redireccin HTTP
subsecuente.
La prevencin de inundacin suplantada de SYN's TCP debe de proporcionar opciones
de mecanismos fuera de secuencia ACK para la autentificacin de la conexin de las
aplicaciones basadas en TCP que son sensitivas a envfo de TCP RST a los clientes.
El sistema debe de soportar la supresin de sesiones TCP inactivas si elcliente no
envfa una cantidad de datos configurable por el usuario dentro de un periodo de tiempo
configurable por el usuario.
El sistema debe de soportar la capacidad de poner en listas negras a los host despus
de un nmero de conexiones TCP consecutivas inactivas configurables por elusuario,
El sistema debe de soportar elbloqueo de solicitudes DNS malformadas en el puerto 53
que no cumplan con el estndar RFC.
El sistema debe de ser capaz de autentificar solicitudes DNS desde el host origen y
suprimir aquellas que no puedan ser autentificadas dentro de un tiempo especfico.
El sistema debe ser capaz de limitar el nmero de consultas DNS por segundo a una
velocidad configurable por el.usuario.
El sistema debe ser capaz de bloquear el trfico desde cualquier host que genere ms
solicitudes DNS fallidas consecutivas dellfmite configurado y poner al host origen en
una lista negra.
5
f
RUBRO SUBRUBRO Ptos Tot.
Entregabte E 3.2.3.3 Sistema de proteccin contra ataaue de deneaacin de servicios (ODas)
Componente Descriocin
Prevencin de
ataques.
Cumpliendo, como
mfnimo, las
siguientes
caractersticas:
La prevencin de inundacin suplantada de SYN's TCP debe -de proporcionar opciones
de mecanismos fuera de secuencia ACK para la autentificacin de la conexin de las
aplicaciones basadas en TCP que son sensitivas a envo de TCP RST a los clientes.
El sistema debe de soportar la supresin de sesiones TCP inactivas si el cliente no
enva una cantidad de datos configurable por el usuario dentro de un periodo de tiempo
configurable por elusuario.
El sistema debe de soportar la capacidad de poner en listas negras a los host despus
de un nmero de conexiones TCP consecutivas inactivas configurables por el usuario.
El sistema debe de soportar el bloqueo de solicitudes DNS malformadas en el puerto 53
que no cumplan con el estndar RFC.
El sistema debe de ser capaz de autentificar solicitudes DNS desde el host origen y
suprimir aquellas que no puedan ser autentificadas dentro de un tiempo especifico.
El sistema debe ser capaz de limitar elnmero de consultas DNS por segundo a una
velocidad configurable por el usuario.
El sistema debe ser capaz de bloquear el trfico desde cualquier host que genere ms
solicitudes DNS fallidas consecutivas del lmite configurado y poner al host origen en
una lista negra.
El sistema debe proporcionar la posibilidad de configurar expresiones REGEX para
suprimir el trfico DNS especifico con los encabezados que coincidan con las
expresiones.
El sistema debe ser capaz de detectar y eliminar paquetes con formatos incorrectos de
HTIP que no se ajusten a los RFC's para los encabezados de solicitud y poner al host
origen en una lista negra.
El sistema debe de ser capaz de bloquear hosts que exceden un umbral configurable
para el nmero total de operaciones por segundo, por servidor destino.
El sistema debe ser capaz de suprimir paquetes HTTP especificas segn los
encabezados HTTP coincidentes con hasta 5 expresiones REGEX configurables.
El sistema debe de proporcionar la capacidad de normalizar el trfico que coincida con
una expresin FCAPS especifica, y suprimir el trfico que exceda la tasa configurada.
Las expresiones FCAPS deben soportar la seleccin de los campos de encabezado IP y
campos de los encabezados en capa 4 (UDP y TCP).
El sistema debe proporcionar la capacidad para detectar y bloquear las inundaciones de
SYN's TCP por encima de la tasa configurada.
El sistema debe proporcionar la capacidad para detectar y bloquear las inundaciones
ICMP por encima de la tasa configurada.
El sistema debe proporcionar la capacidad de bloquear el trfico procedente de fuentes
que interrumpen reiteradamente solicitudes HTIP.
El sistema debe proporcionar la capacidad de bloquear el trfico originado por bot's
segn las firmas proporcionadas por el sistema.
5
RUBRO SUBRUBRO Ptos Tot.
Entregable E 3.2.3.3 Sistema de_proteccin contra at-9_ue de denegacin de servicios_{DDos) _
Componente Descripcin
Prevencin de El sistema debe de ser capaz de activar de manera peridica las nuevas tcnicas de 5
ataques.
Cumpliendo, como
mnimo, las
siguientes
caractersticas:
defensa actualizando las firmas que sern mantenidas por el equipo de investig8cin del
fabricante 24x7, monitoreando al menos el70% del trfico del Internet a nivel mundial
en busca de botnets y nuevos vectores de ataque. Es imperativo que estos valores
(porcentaje} estn pblicos en documentos oficiales del fabricante, por transparencia
con elproceso no se aceptarn cartas delfabricante o canalpara justificar
cumplimiento.
El sistema debe proporcionar la posibilidad de actualizar de manera peridica y
automticamente sus firmas de proteccin de ataques , en intervalos configurables.
El sistema debe proporcionar la posibilidad de actualizar automticamente sus firmas de
proteccin de ataques cuando sea solicitado manualmente.
El sistema debe proporcionar la capacidad para realizar la actualizacin de firma de
proteccin de ataques ataque a travs de servidores proxy.
El sistema debe de poder bloquear trfico Multicast.
El sistema debe de proteger contra amenazas en TLS.
El sistema debe de prevenir el bloqueo global de CON o proxies.
El sistema debe de identificar web crawlers y monitorear su uso.
El sistema debe permitir la configuracin de protecciones predefinidas asociadas con
servicios especificos, como Web, DNS, VoiP o un servidor genrico.
El sistema debe de soportar la capacidad de cambiar el Nivel de Proteccin que se
aplica al trfico, cambiando efectivamente la configuracin en uso por elsistema para
todas las prevenciones, simplemente con presionar botones acorde al tipo de
proteccin:Baja,Media y Alta.
El sistema debe de permitir que los parmetros de proteccin sean cambiados mientras
la proteccin est corriendo.
El sistema debe de poder bloauear Por oals de orioen.
Inteligencia en
Seguridad.
Cumpliendo, como
mfnimo, las
siguientes
caracterfsticas:
Todo dispositivo de seguridad debe de venir acompaado con investigacin y anlisis
detrs para poder mitigar las amenazas y vectores de ataque actuales. Por lo que el
fabricante de la solucin debe de contar con algn sistema de inteligencia donde se est
monitoreando las amenazas de Internet a nivelmundial y debe de cumplir con al menos
las siguientes caracterfsticas:
Al menos analizar 3 Terabits por segundo en Internet para tener una amplia
.
muestra y visin a nivel mundial
Al menos 70 ISP's deben de compartir informacin de ataques con el
fabricante
Al menos 30 GB de trfico malicioso debe de ser analizado diariamente
proveniente de darknets o honeypots
Estos datos deben de estar pblicos en el sitio web del fabricante, por transparencia no
se aceptarn cartas firmadas de ningn tipo donde clamen cumplir este punto si no se
encuentra pblicamente disoonib/e en el sitio web del fabricante.
10
Subtotal de puntos del Sistema de proteccin contra ataque de denegacin de servicios
(ODas)
37
1
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.3.4 Sistema de control de acceso a la red cableada e inalmbrica
Componente Descripcin
Control de Accesos.
Caracterfsticas
tcnicas generales
requeridas:
La solucin debe controlar el acceso de los dispositivos a la lAN y la WLAN, con un
licenciamiento inicial que soporte el control de acceso para 1000 dispositivos
concurrentes en ambas redes. Los dispositivos deben ser autenticados y clasificados
con base en su perfil, manteniendo el perfil de cada uno de ellos en la base de datos del
sistema.
Considerando un mximo de 3 dispositivos por usuario y un mximo de 1200
empleados, la solucin debe permitir la escalabilidad de licenciamiento para hasta 3600
dispositivos concurrentes, sin la necesidad de realizar cambios en el hardware.
La solucin debe incluir el hardware y software necesarios para realizar funcionalidades
de autenticacin y autorizacin para usuarios/dispositivos que se conectan a red por
medio cableado e inalmbrico, as como tambin para dispositivos que se conectan a la
red va VPNs, con la implementacin de una poltica de seguridad consistente para todo
el x basada en el protocolo 802.1X
La solucin debe considerar la validacin de posturas y el anlisis del contexto de los
dispositivos (tipo de dispositivo, lugar de conexin, horario de conexin y medio de
conexin) como parte de las polticas configurables para la autorizacin del acceso a la
red.
La solucin debe contar con nodos de Polticas, Administracin y Monitoreo, de acuerdo
a las caractersticas de estos elementos descritas anteriormente y debe haber
redundancia en todos estos elementos.
La solucin debe residir en servidores dedicados (appliances), instalados dentro de las
instalaciones de IFETEL, en una ubicacin con seguridad ffsica que IFETEL destine
para estos equipos.
Se deben incluir todos los accesorios necesarios para la instalacin de los equipos en
rack de 19".
La propuesta debe considerar los Servicios de Consultora para traducir la Polftica
Corporativa de Seguridad hacia reglas aplicables al Sistema de Control de Acceso.
10
Fecha: 09.10.2013 Pgina 117 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.3.4 Sistema de control de acceso a la red cableada e inalmbrica
Componente Descripcin
Control de Acceso. Los dispositivos que solicten acceso a la red podrn ser autorizados, limitados o 10
Caractersticas rechazados basados en los siguientes criterios:
tcnicas mfnimas Atributos del usuario: Usuario y contrasea de dominio, certificado digital, grupo de
requeridas: usuario.
Contexto del dispositivo: Horario de conexin, Jugar de conexin, medio de conexin
(cableado, inalmbrico, VPN) y tipo de dispositivo.
Cumplimiento del dispositivo: Versin del sistema operativo, parches, actualizaciones,
aplicaciones instaladas, antivirus, anti spyware, etc.
Para identificar el tipo de dispositivo que se est conectando a la red, la solucin debe
realizar pruebas a Jos dispositivos basadas en DHCP, NetFiowy SNMP.
En funcin de los atributos de usuario y atributos de dispositivo, la solucin debe aplicar
las siguientes reglas generales de control de acceso:
Si el usuario/dispositivo pertenece al dominio y cumple las polticas establecidas, debe
poder ingresar a la red con el perfil adecuado a su funcin dentro de la organizacin y
ser colocado en una VLAN productiva.
Si el usuario/dispositivo pertenece al dominio pero su mquina no cumple las polfticas
establecidas, debe poder ingresar a la red con el perfil restrictivo y colocado en una
VLAN de Remediacin o cuarentena. Ante una remediacin exitosa, podr ser colocado
en una VLAN productiva.
Sf elusuario/dispositivo no pertenece al dominio y por ende no tiene credenciales en el
directorio corporativo, debe ser re-direccionado a un portal WEB a travs delcual podr
autenticarse con credenciales temporales, para ser colocado en una VLAN de invitado
con acceso limitado. Ante la falla de esta autenticacin, se le negar totalmente el
acceso alusuario.
Si el usuario/dispositivo no logra autenticarse a travs de ningn mtodo, se le negar
el acceso a la red.
La solucin debe permitir la aplicacin de listas de acceso descargables (dACls) para
limitar temporalmente el flujo de trfico de dispositivos que no cumplen con las posturas
requeridas, con la finalidad de permitirles acceder exclusivamente a recursos de
remediacin.
El sistema debe realizar peridicamente la verificacin del cumplimiento de posturas de
los dispositivos que solicitan acceso a la red, asf como de los dispositivos ya conectados
(autenticados y autorizados) y elAdministrador del Sistema podr configurar el intervalo
de tiempo en que el nodo de poHticas realiza dicha verificacin. Sien cualquier
momento el cumplimiento de posturas no es el correcto, automticamente y sin
intervencin de ningn administrador, el usuario debe ser advertido y elacceso de su
1
diPositivo debe ser limitado a una VlAN de remediacin.
t
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.3.4 Sistema de control de acceso a-la red cableada e inalmbrica
Componente Descripcin
Control de Acceso.
Funcionalidades
mfnimas requeridas:
Debe poseer -las siguientes funcionalidades cmo parte de la validacin de posturas:
Verificacin de versiones y parches de sistema operativo.
Verificacin de antivirus y anti-spYNare instalado y actualizado a la ltima versin.
Verificacin de determinados registros en el dispositivo, para identificacin pertenencia
de la estacin de trabajo al organismo.
Se debe utilizar un cliente de software en los dispositivos finales, exclusivamente para la
validacin de posturas, con las siguientes caracterfsticas:
Podr ser instalado permanentemente en equipos que cuenten con los siguientes
sistemas operativos: Windows 8, Windows Vista, Windows 7, Windows XP y MacOS X
Podr ser instalado temporalmente a travs de un applet personal: Active X 6 Java en
equipos Windows.
Podr realizar verificaciones recurrentes del cumplimiento de posturas en el equipo.
La solucin debe ofrecer herramientas para remediar elincumplimiento de posturas en
la estacin de trabajo.
La solucin debe incluir un modelo de control de acceso basado en roles de usuario. La
solucin debe tener la capacidad de integracin con plataformas MDM (manejo de
dispositivos mviles), para controlar las aplicaciones que tienen instaladas los telfonos
mviles corporativos, como parte de la polftica de control de accesos.
La solucin debe incluir un modelo de control de acceso basado en grupos de usuarios.
Los usuarios deben poder ser relacionados a uno o ms grupos y, con base a su
pertenencia a determinado grupo, se les podr conceder/negar el acceso a
determinados recursos de red.
La validacin de polticas en la estacin de trabajo debe poder realizarse antes y
despus que el usuario se haya identificado.
A cada poHtica de verificacin del puesto de trabajo se le debe poder configurar una
leyenda que describa el cumplimiento y otra de remediacin. El usuario d be poder
responder a la misma seleccionado una opcin indicada.
Elmtodo principal para la autenticacin de los usuarios debe ser con la autenticacin
en el dominio Windows utilizando tcnicas de SSO (Single-Sign-On), es decir, que las
mismas credenciales que utiliza el usuario para acceder al dominio de Windows sean
utilizadas para acceder a la red.
Las credenciales de los usuarios deben ser almacenadas y validadas en un directorio
corporativo Microsoft Windows Active Directory 2012.
Adicionalmente, el sistema debe permitir la autenticacin transparente para el usuario a
travs de certificados digitales X.509 instalados en su dispositivo.
La solucin permitir analizar los certificados que presentan los clientes para permitir o
denegar el acceso a los recursos internos y basados en los campos del certificado
presentado por el cliente se asocia el cliente a un grupo o role con determinados
privile : ios de acceso sobre los recursos.
10
Fecha: 09.10.2013 Pgina 119 de 129 Versin: V 1.0.0
F"E"W'?i'""'-tt _; '!?"" 'N""-_ t;!f:'0d.-Hf@ AM""'"'"' "03"" i h'P"M'"'""' ""'" _;::,if&P-"""' =- -'5._"'--'"'!'W""'""" '--' """'"""'":::"'-? fu"""d""'-._. kfi< --,'*" .ml11
Fecha: 09.10.2013 Pgina 120 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO Ptos rot.
Entregable E3.2.3.4 Sistema de control de acceso a la red cableada e inalmbrica
Comoonente DescriPcin
Control de Acceso.
Funcionalidades
mfnimas requeridas:
El sistema debe permitir acceso limitado a equipos externos a la red corporativa que no
estn registrados en el dominio (proveedores, invitados, etc.) mediante un portal web
cautivo a travs delcual se realice la autenticacin web de estos usuarioS.
El sistema debe permitir la autenticacin por direccin MAC exclusivamente para
dispositivos que no soportan 802.1x (dispositivos no usuarios, como impresoras).
El sistema debe soportar el protocolo RADIUS para autenticacin, autorizacin y
Auditorfa (AAA).
El sistema debe soportar los siguientes protocolos y estndares del framework 802.1X:
Autenticacin PAP
Autenticacin MS-CHAP
.
Autenticacin Extensible Authentication Protocol (EAP)-MD5
Autenticacin Protected EAP (PEAP)
Autenticacin EAP-Fiexible Authentication via Secure Tunneling ( EAP -FASD
Autenticacin EAP-Transport Layer Security (EAP- TLS)
El sistema debe permitir asignar uno o ms grupos al usuario dependiendo de cualquier
atributo, especificado por el administrador, obtenido de su fuente de autenticacin (por
ejemplo LDAP, Radius).
Integracin a un esquema PKI
Almacenamiento de certificados propios (self-signed)
Utilizacin de certificados Qenerados oor una CA
5
!
RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.3.4 Sistema de control de acceso a la red cableada e inalmbrica
Componente Descripcin
Administracin, la administracin debe ser centralizada para todo el sistema. 5
monitoreo y Debe proporcionar el monitoreo, reportes y solucin de problemas mediante una
reporteo. consola de operaciones.
Caracterfsticas Debe incluir plantillas predefinidas para la configuracin de polfticas de dispositivos
mfnimas requeridas comunes.
de estas Debe contar con la facilidad de descubrir los dispositivos conectados a la red y
funcionalidades: clasificarlos automticamente.
Debe permitir la creacin y administracin de perfiles y posturas.
Debe permitir la administracin y credencializacin de usuarios invitados conectados a
/a red, administrando su ciclo de vida: fecha y horario de inicio y fin de su conexin
temporal.
Debe ofrecer informacin contextua/ en tiempo real de todos Jos usuarios y dispositivos
conectados a la red.
La solucin debe incluir como opcin el auto-aprovisionamiento de usuarios invitados,
los cuales deben ser aislados en una VLAN con acceso restringido.
La solucin debe almacenar los logs de todos Jos pedidos de autenticacin de los
usuarios como tambin Jos resultados de cumplimiento de nonnas de cada uno de ellos.
Debe poder almacenar al menos:
Informacin del usuario que se registra (lag in} y delque finaliza su sesin (lag-out).
Timeout de sesiones, incluyendo tiempos sin actividad y tiempos mximos de sesin.
Cumplimiento de las polrtcas de seguridad y auditora por usuario.
Estado de la comunicaciones entre los Agentes y los Network Access Device (NAD}s.
Cantidad de usuarios que ingresan al sistema con/sin xito.
Los Jogs deben poder ser exportados a una platafonna de correlacin de eventos
compatible con syslog. Se debe soportar uno o ms sys/og.
El sisteina debe permitir la navegacin, filtro y ordenamiento de los logs y su consulta
desde la misma plataforma.
El sistema debe permitir la categorizacin de los logs en funcin de la importancia.
Los administradores deben contar con perfiles de acceso con lectura/escritura o solo
lectura para cada una de las funciones de configuracin: configuracin, gestin, roles,
tareas administrativas, tareas de mantenimiento, entre otras.
El sistema debe permitir generar roles de administracin por-atributos como: nombre de
usuario o grupo en el dominio.
La configuracin del equipo debe poder ser guardada y/o exportada en forma
programada a un repositorio de configuraciones externo.
Se oodr instalar en los eauipos de la red una versin ore-confiQurada del aaente.
Subtotalde puntos del Sistema de control de acceso a la red cableada e inalmbrica 35
RUBRO SUBRUBRO Ptos Tot.
....
Qj <:
'O
..
"'
:.:::;
a) Capacidad de recursos humanos (puntos mximos -12}
i. Experiencia del personal (10)
El licitante deber presentar copia de las siguientes certificaciones del personal asignado
a la implementacin del proyecto:
10
.
.
.
.
RUBRO SUBRUBRO Ptos rot.
EntreQable E3.2.3.5 Balanceador de carga
Balanceador de
.
r almenos 4 enlaces. 20
Componente Descripcin
Balancea
cargas. Soporte de al menos 212,000 sesiones por segundo en capa 7 (L7).
Caractersticas Soporte 5 Gbps de Throughput.
tcnicas mlnimas: Sistema operativo a 64 bits.
Soporte de un mlnimo de 8 puertos, en cobre RJ-45.
Soporte 2 puertos de 10 G (opcional).
Soporte para cuando menos 250 IP's Virtuales (Virtual servers).
Soportar almenos los siguientes algoritmos de balanceo de entrada: Round
Robin, Topologa, Proporcin (ratio), Enlace preferente.
Soportar al menos los siguientes algoritmos de balanceo de salida: Round
Robn, IP Origen, IP Destino.
Soportar al menos los siguientes mecanismos de monitoreo de la
disponibilidad de enlaces de salida mediante la validacin de la capacidad de
estos para navegar hacia sitios pblicos de internet: ping, http, tcp, udp.
Determinacin del enlace de entrada a utilizar mediante mecanismo de
resolucin por DNS.
Soporte del Protocolo SNMP.
Consola de administracin remota con seguridad basada en usuario y clave,
con un canal seguro de comunicacin, que soporte GUI y CLI.
Configuracin Dinmica de Recursos.
Manejo de pistas de auditorra e informacin estadfstica.
Subtotal de puntos del Balanceador de carga 20
Puntos Subtotal de Caractersticas del bien o bienes objeto de la propuesta tcnica (CB) 976
Porcentaje Subtotal de Caracterlsticas del bien o bienes objeto de la propuesta tcnica (CB) 25
Rubro 11. Capacidad del licitante (CL)
'O V
Fecha: 09.10.2013 Pgina 122 de 129
Versin: V 1.0.0
Cantidad Perfil
4 Ingenieros con el nivel tcnico bsico en ruteo y
switcheo.
2 Ingenieros con el nivel intermedio especializados en
comunicaciones unificadas
1 Ingeniero con el nivel superior especializado en seguridad.
Los puntos a otorgar, sern de acuerdo a:
1-3 aos
3 aos 1da- 4 aos
4 aos en adelante
De las tres certificaciones requeridas en este punto, al menos dos, tienen que comprobar
que el personal asignado al proyecto est en su nmina para lo cual deber presentar
comprobante de alta en eiiMSS. Se permite que la nmina se encuentre tercerizada
1
3
5
iii.Dominio de herramientas (5)
Para la administracin de los incidentes durante el periodo de garanta el licitante debe contar
con una mesa de servicio alineada con los procesos de ITIL, para lo cual debe demostrar que su
5 herramienta de mesa de servicio est certificada por Pink Verify en al menos 4 procesos,
imprimiendo la pgina de Internet.
La mesa de servicio deber contar al menos con 3 personas certificadas en ITIL para lo cual
deber presentar copia de sus certificados en el sobre de ofertas. La mesa de servicio deber
contar con una cobertura de atencin 7x24x365 y al menos 10 posiciones, en el total de
turnos.
Debe comprobarse que cada participante en la mesa de servicio es empleado de la empresa,
anexando copia de la hoja de IMSS.
b) Capacidad de recursos econmicos y equipamiento {lO)
i. Recursos econmicos
El licitante comprobar mediante constancias que sean emitidas por institucin pblica. Si
comprueba lo indicado en la siguiente:
Si acredita obtener ingresos por lo menos del lO% del monto de su proposicin
econmica
Si acredita obtener ingresos del10 al14% del monto de su proposicin econmica
Si acredita obtener ingresos del15 hasta el 20% de su proposicin econmica
1
5
10
10
e) Participacin de Discapacitados {5}
Fecha: 09.10.2013 Pgina 123 de 129 Versin: V 1.0.0
RUBRO SUBRUBRO 1 Ptos 1 Tot.
>
.
Q
..
j
"
O
'
:;:
Qj
"O
"O
'"'
:
"
E
'
.
.
!
.
!
.
!
'"'
Q
c
j
.
Q
c
j
.
F.
w>< w"';;:;
a) Experiencia (10)
<El Licitante debe acreditar el tiempo prestando servicios similares al requerido,la acreditacin
se har mediante el currculo de la empresa en el que debe incluirse: nombres, domicilios y
telfonos de las empresas a las que se les haya prestado servicio,para su comprobacin>
La puntuacin se otorgar de acuerdo a Jo siguiente:
1-3aos
3aos 1 da a -S aos
Mayor de S aos
S
10
20
20
b) Especialidad (9)
Se considerar de la totalidad de la plantilla del licitante, cuya antigedad no sea inferior a 6
meses;misma que debe ser comprobada con el aviso de alta al rgimen obligatorio de!JMSS,
con al menos S% del total de empleados
S
S
d) Participacin de MIPYMES (5}
La puntuacin de este subrubro, solo se otorgar cuando el licitante acredite haber producido
Jos bienes que se utilizarn en la prestacin del servicio objeto del procedimiento de
contratacin, con innovacin tecnolgica que tenga registrada en el X Mexicano de la
Propiedad Industrial, en trminos de Jo dispuesto por el segundo prrafo del Artculo 14 de la
Ley de Adquisiciones.
S
S
Puntos Subtotal Capacitad del Licitante 30
Puntos Subtotal de Capacidad del licitante (CL) 30
Porcentaje Subtotal de Capacidad del Licitante (CL) 10
Rubro 111. Experiencia y Especialidad del Licitante (EE)
e
e
t
El licitante debe acreditar un mayor nmero de contratos, demostrando que ha prestado
servicios con caractersticas especficas y condiciones similares a las establecidas en la
convocatoria
La puntuacin se otorgar de acuerdo a lo siguiente:
9
3 contratos
2
4- 6 contratos
5
Ms de 6 contratos
9
El licitante deber presentar las siguientes cartas emitidas por el fabricante de los equipos
propuestos:
Carta del fabricante donde manifieste que el licitante cuenta con la mxima
certificacin de la marca.
Carta del fabricante donde manifieste que el licitante cuenta con la especializacin en
comunicaciones unificadas,ruteo y switcheo avanzado y seguridad avanzada.
La puntuacin se otorgar de acuerdo a lo siguiente:
Carta de certificacin y cartas de especializaciones en:
o comunicaciones Unificadas
3
18
o Ruteo y switcheo
o Seguridad avanzada
Carta de certificacin y cartas de especializaciones en:
6
o comunicaciones Unificadas
o Seguridad avanzada
Carta de certificacin y cartas de especializaciones en:
o Seguridad avanzada
18
El licitante debe disponer de una Centro de Administracin de Migraciones {CAM) dedicado al
proyecto. Se deber proveer el servicio de asistencia, coordinacin y control de las actividades
para minimizar el efecto de los cambios durante el periodo de migracin a la nueva plataforma
y su puesta en marcha con las siguientes caractersticas:
20
Se deber contar con la infraestructura y recursos necesarios para controlar los
procesos de migracin de los sitios donde se instalarn los servicios.
El CAM se deber ubicar en las instalaciones del licitante ganador.
El CAM ser el responsable de la elaboracin del plan de trabajo y de la coordinacin
total de las instalaciones y migraciones de los sitios en conjunto con el supervisor del 20
contrato de la convocante.
El CAM tambin tendr como responsabilidad la coordinacin de las reubicaciones y la
adicin en su caso de nodos nuevos a la Red durante la vigencia del contrato.
El servicio deber ser provisto a travs de un nmero 800 nico, correo electrnico,
Intranet e Internet.
Las funciones principales del CAM sern las siguientes:
Verificacin de las variables,de manera enunciativa y no limitativa, de una migracin
tales como: acceso fsico al sitio,nombre del responsable de la convocante,ubicacin
'=" '"* - " "* q sm ,.. ,.- fo>' &"- ""- " . - m"= - -' -q ,q e d "- " - &" -w A "'" 4
Fecha: 09.10.2013 Pgma 125 de 129 Versin: V 1.0.0 /7
de los equipos,domicilios,cumplimiento de normas y requerimientos de instalaciones,
Ventanas programas de tiempo fuera, etc.
Verificar el cumplimiento de la logstica para la construccin de medios, entrega de
equipos y llegada de personal al sitio.
Recolectar la informacin tcnica necesaria para la implantacin, tales como bitcoras,
inventarios, configuraciones etc.
Documentar la bitcora del proceso de migracin tales como actividades tcnicas,
protocolo de prueba,protocolo de aceptacin y niveles de operacin obtenidos.
Verificar la funcionalidad de cada nodo migrado en materia de rendimiento de los
servicios nuevos hasta obtener el visto bueno o aceptacin definitiva.
Informar la finalizacin de las actividades de migracin.
Documentar e informar a la convocante las causas de migraciones suspendidas o
fallidas.
Definicin del cundo y cmo se llevarn a cabo las actividades o tareas que implica el servicio,
as como el o los procedimientos a utilizar para llevar a la prctica las actividades.
20
Para la evaluacin del subrubro el licitante debe presentar un Plan de trabajo donde indique los
tiempos y procedimientos para el desarrollo del servicio.
20
El licitante debe considerar un administrador del proyecto dedicado durante el periodo de
implementacin y migracin y hasta el periodo de estabilizacin del servicio, dicho
administrador ser el punto nico de contacto entre la convocante y el licitante ganador; debe
contar con la certificacin ITIL practitioner v3.0 o PMI.
20
20
Deber incluir copia del certificado en el sobre de ofertas y demostrar que se encuentra en la
nmina del licitante.
Describir la metodologa y componentes de la funcin de mesa de servicio.
Cmo mnimo debe contener los siguientes componentes del proceso que realizar la MESA DE
SERVICIO del Licitante son:
Atender y canalizar eventos las 24 hrs. del da, los 7 das de la semana, los 365 das del ao
(24x7x365).
Generar estadsticas y reportes correspondientes a los tiempos de respuesta de incidentes
20
generados de manera peridica o a solicitud de la convocante,para ello la solucin debe incluir
los motores naturales para generacin de informacin estadstica que permite cumplir con este 20
punto de bases.
Manejar esquemas de notificacin de tipo informativo y operativo para el seguimiento de la
atencin de los eventos. La modalidad de notificacin ser va correo electrnico, micro blogs
y/o 1 la debe a 1 de 'a travs de.cor
Fecha: 09.10.2013 Pgina 126 de 129 Versin: V 1.0.0
electrnico a las personas involucradas de acuerdo a la configuracin de la funcin de ITIL de
Mesa de servicio.
El licitante debe considerar un administrador de contrato dedicado durante la vigencia del
20
contrato quien ser el encargado de llevar el control de los niveles de servicio solicitados en
contrato, dicho administrador debe contar con la certificacin ITIL practitioner v3.0 o PMI.
20
Deber incluir copia del certificado en el sobre de ofertas y demostrar que se encuentra en la
nmina del licitante
Puntos Experiencia y Especialidad del Licitante 147
Puntos Subtotal de Experiencia y Especialidad del Licitante (EE) 147
Porcentaje Subtotal de Experiencia y Especialidad delLicitante (EE) 5
Rubro V. Cumplimiento de Contratos (CC)
a) Contratos cumplidos satisfactoriamente
El licitante debe comprobar con cartas de satisfaccin
prestado servicio con tecnologa y servicios idnticos yfo
garantfas de cumplimiento en los contratos adquiridos
La puntuacin se otorgar de acuerdo a lo siguiente:
Si presenta 3 hasta 5 cartas d
Si presenta 6 hasta 8 cartas d
Si presenta ms de 8 cartas d
expedidas por los clientes a quienes les hay
documentos que acrediten la liberacin de las
e satisfaccin de la prestacin del servicio
e satisfaccin de la prestacin del servicio
e satisfaccin de la prestacin del servicio
1
5
10
10
Puntos Subtotal de Cumplimiento de Contratos (CC) 10
Porcentaje Subtotal de Cumplimiento de Contratos (CC) 10
TOTAL PUNTOS PROPUESTA TCNICA 1 50
8.1.1 Evaluacin de la Propuesta Econmica
El valor de la propuesta econmica, debe tener un valor numrico mximo de 40 puntos
Fecha: 09.10.2013 Pgina 127 de 129 Versin: V 1.0.0
. . . EVALUACIN ECONMiCA . . > . ...
mica de cada
esta econmica
Para determinar la puntuacin que correspondan a la propuesta econ
Participante, se aplicara la siguiente frmula:
PPE = ( MPemb x 50/ MPi.
PPE =Puntuacin o unidades porcentuales que corresponden a la propu
MPemb = Monto de la propuesta econmica ms baja
Mpi= Monto de la iesima propuesta econmica
8.1.2 Determinacin del Licitante Ganador
El licitante ganador ser determinado segn la puntuacin final, de acuerdo a lo siguiente:
TPT = ( CB + CL + EE + CC)
TCNICO (TPT) es igual a la suma de los puntos obtenidos en los rubros de Caracteristicas del Bien o
bienes (CB), Capacidad del Licitante (CL), Experiencia y Especialidad (EE), Cumplimiento a Contratos
(CC).
E= Econmico (E) es igual al puntaje obtenido en la propuesta econmica (ECONMICO).
PTj = (TPT + PPE)
PTj - Puntuacin o unidades porcentuales totales de la proposicin
TPT- Total de puntuacin o unidades porcentuales asignados a la propuesta tcnica
PPE - Puntuacin o unidades porcentuales asignados a la propuesta econmica
/
9. Firmas
9.1 Firmas de Autorizacin
',
'.