Anexo - Arrendamiento Red Datos

ANEXO TCNICO
ARRENDAMIENTO DE EQUIPO PARA LA RED DE DATOS,

Fecha: 09.10.2013 Pgina 1 de 129 Versin: V 1.0.0

i-
1


..
Tabla de contenido

1. Glosario y Referencias ........................................................................................................................................... s

1.1 Glosario.......................................................................................................................................................................s

2. Introduccin ............................................................................................................................................................. 7

2.1 Propsito de la solucin ...........................................................................................................................................7

2.2 Objetivos especificas................................................................................................................................................ 7

3. Alcance...................................................................................................................................................................... 8

3.1 Componentes de la Solucin...................................................................................................................................s

3.2 Especificacin de Componentes.............................................................................................................................s
3.2.1 Partida l. Servicios Administrados de Infraestructura Telefnica ...............................................................,.....10
3.2.2 Partida 2. Arrendamiento de equipo para red de datos....................................................................................30
3.2.3 Partida 3. Arrendamiento de equipo para Seguridad Perimetral ......................................................................37
3.2.4 Esquemas de servicio, atencin a fallas y mantenimientos de la partida de Servicios Administrados de
Infraestructura Telefnica .................................................................................................................................................60

3.3 Elementos dentro del Alcance...............................................................................................................................54
3.3.1 INSTALACION......................................................................................................................................................64
3.3.2 PUESTA EN OPERACION.....................................................................................................................................65
3.3.3 Capacitacin.......................................................................................................................................................66

4. Lineamientos .......................................................................................................................................................... 68

4.1 Restricciones............................................................................................................................................................68
4.1.1 Temporalidad .....................................................................................................................................................68
4.1.2 Forma de Pago ..................................................................................................:................................................68

5. Objetivos de calidad.............................................................................................................................................. 69

6. Lineamientos .......................................................................................................................................................... 69

6.1 Lineamientos Generales ........................................................................................................................................69

6.2 Lineamientos para la Planeacin..........................................................................................................................70
6.2.1 Inicio de Actividades ..........................................................................................................................................70
6.2.2 Induccin de Administracin de Proyectos........................................................................................................70
6.2.3 Administrador del Servicio .................................................................................................................................70

6.3 Lineamientos para la Ejecucin ............................................................................................................................10
6.3.1 Apego al Plan de Administracin del Servicio ....................................................................................................70

1

6.3.2 Apego al Cronograma del Servicio
....................................................................................................................:70
6.3.3 Entrega de
Productos.........................................................................................................................................lO

6.4 Lineamientos para el
Cierre............................................................................................................................. ......71
6.4.1
Cierre.............................................................................................................................................................
.....71

7. PENA CONVENCIONAL Y
DEDUCTIVA: ............................................................................................................71

8. Procedimiento de
Evaluacin..............................................................................................................................72

8.1 Puntos y Porcentajes
............................................................................................................................. .................72
8.1.1 Evaluacin de la Propuesta Econmica
......................................................................................................127'h!S
8.1.2 Determinacin del licitante Ganador
........................................................................................................128R9

9. Firmas ..............................................................................................................................................................
129

9.1 Firmas de
Autorizaci6n............................................................................................................................. ......129130

.c(-;Cco''
Trrniiio/Animo
':jc.-,>_

-,;_ccc o. - -
AAA, Aulhenlicalion, Aulhorizalion and Accounling. _Funcionalidades de Autenticacin,
Autorizacin y Auditora (reqistro de actividad).
Agente/Suplicante Se le denomina as! al software instalado, pre-instalado y de instalacin
bajo demanda que reside en los dispositivos de usuarios y solicita acceso
a la red. Este agente debe tener funcionalidades de 802.1X
ANS Acuerdo de nivel de servicio
bps Bits por segundo
CAM Centro de Administracin de Migraciones
X x
1FT o X X X
Dispositivo Un dispositivo es cualquier equipo electrnico que tenga la capacidad de
conectarse a la red IP, ya sea cableada (802.3) o inalmbrica (802.11).
En la red existen dos tipos de dispositivos: dispositivos de usuarios como
pueden ser PCs, laptops, telfonos inteligentes y tabletas, y dispositivos
NO usuarios, como pueden ser impresoras y telfonos IP.
Network Access Device (NAO) Equipo de red que recibe peticiones de acceso por parte de los
usuarios/dispositivos y las compara con la politica de acceso establecida
en el "Nodo de politicas", para autorizar, negar o limitar el acceso a los
dispositivos que se conectan a travs de sus puertos (fisicos o lgicos),
mediante el protocolo 802.1X.
Nodo de administracin Proporciona una nica interfaz grfica para la administracin del sistema,
a travs de la cual se administra el Control de Accesos para usuarios
cableados, inalmbricos y usuarios conectados via VPN.
Nodo de monitoreo Almacena una bitcora con todas las peticiones de acceso a la red y
proporciona un reporteo de la actividad de los usuarios y las
caracteristicas de seguridad de los dispositivos a los que se les ha
concedido el acceso.
Nodo de politicas Entidad fundamental del sistema de Control de Accesos, encargada de
autenticar y autorizar el acceso a los usuarios/dispositivos la red, as!
como definir su nivel de acceso permitido, con base en la validacin del
cumplimiento de politicas y posturas preestablecidas.
El nodo de polticas ser el encargado de aplicar las funcionalidades de
AAA, adicionando la validacin de perfil de usuario/dispositivo, validacin
de posturas y remediacin.
OP Oficina de Administracin de Proyectos de TI, de la X.
PAS Plan de Administracin del Servicio
pps Paquetes por segundo

P"''B"C M= f.PAi&M "' 'Pf>!olstt 03 1G,!P0&f "&''*""'''' ''*""''!+< ix0''i'!!= ""'"' H '. ill "!i'<'.)'W' &9 - 2m 8!!. h*r""'""''

1J'._GiosariYReferencia$"' ' --

1.1 Glosario

. -:. -: .., .

.' -'--

-
'tDesC:rillcin ,.,._ _.:, _,,,_.; -_- < ,-_,-_-;:.-- .--e _::--

RADIUS Acrnimo del ingls, Remole Authentication Dial-In User Service. Es un
protocolo de autenticacin y autorizacin para aplicaciones de acceso a la
red inalmbrica.
SaaS
.
Software como Servicio (del ingls: Software as a Service, SaaS)
TACACS Acrnimo del ingls, Terminal Access Controller Access Control System.
Es un sistema de control de acceso que hace uso de un controlador de
acceso desde terminales.
Tiempo de Respuesta En la Gestin de Incidentes es una medida del tiempo tomado para
contestar una llamada.
Tiempo de Atencin Es la medida del tiempo tomado para iniciar el Diagnstico
Usuario Un usuario es cualquier persona que requiere acceso a la red, ya sea
Administrador de Red, empleado o visitante.
Estadfsticamente, un usuario en promedio conecta 3 dispositivos a la red:
su PC/Iaptop, su tablet v su telfono intelic:ente personar vio corporativo.
VoiP Voz sobre IP
web crawler Es un bot de Internet que sistemticamente explora fa WWW, con el fin
principal de generar fndices de pginas web.

Fecha: 09.10.2013

Pgina 6 de 129 Versin: V 1.0.0

2. Introduccin
2.1 Propsito de la solucin
El presente documento describe las caractersticas del servicio para el proyecto "Arrendamiento de Equipo para
la Red de Datos, Seguridad Perimetral y Servicios Administrados de Infraestructura" Telefnica que la X x
requiere contratar, para dar continuidad a los servicios que se proporciona a Jos funcionarios deix.

2.2 Objetivos especficos

Con el fin de cubrir las necesidades y requerimientos actuales y futuros de comunicaciones, x solicita una
Plataforma de Comunicaciones, que permita el despliegue de servicios de Comunicaciones de Voz, Correo de
voz yc Operadora Automtica basada en tecnologfa IP, la integracin de sistemas de registro detallado de
llamadas, ef arrendamiento de equipos de acceso y distribucin de datos (conmutadores de datos) necesarios
para el correcto funcionamiento de los servicios de voz, asf como fa integracin de equipo en arrendamiento para
establecer la seguridad perimetral y el control de acceso a los recursos de Internet y de red local, para las sedes,
dentro del Distrito Federar y Zona Metropolitana. Para lo cual se requiere que el equipamiento solicitado
considere en su entrega todos los componentes de hardware, software y ficenciamiento, que cumplan con las
especificaciones tcnicas y funcionalidades descritas en ro especificado en este documento.

En razn de que x es una Institucin que ofrece servicios al pblico en general, es fundamental contar con una
plataforma de comunicaciones de misin critica que garantice la continuidad de los mismos.

j

s. Alcanc
3.1 Compon,l)tes de la Solucin

La solucin debe contemplar los componentes que se muestran grficamente en la siguiente figura:

Comoonentes

La solucin debe integrar los componentes y servicios que el x requiere para el proyecto "Arrendamiento de
Equipo para la Red de Datos, Seguridad Perimetral y Servicios Administrados de Infraestructura Telefnica",
incluyendo lo descrito para las siguientes partidas:

Partida 1. Servicios administrados de Infraestructura telefnica.
Partida 2. Arrendamiento de equipo para red de datos.
Partida 3. Arrendamiento de equipo para Seguridad Perimetral.

3.2 Especificacin de Componentes

A continuacin se presenta el detalle de los productos y servicios requeridos para el x, el licitante debe
proporcionar una plataforma base que cumpla al menos con los siguientes requisitos:
iiiii9& Pi+ ! = hHNi@?ifl

Partida 1. Servicios administrados de Infraestructura telefnica.

-1' Un sistema de comunicaciones convergente que permite el despliegue de servicios de telefonia basados
en tecnologfa IP, basados en H.323 o SIP (RFC3261), y con el soporte para servicios de telefonfa
convencional basados en tecnofogfa IP, y con la capacidad de integrar aplicaciones avanzadas de
comunicaciones tales como Correo de Voz, Presencia, ACD, IVR, Movilidad, Seguridad, Mensajerfa
Unificada, Operadora Automtica, Audio conferencia y Control del Gasto Telefnico. ,,

-1' Los servicios de fa plataforma base y los adicionales son los siguientes:

con fas terminares ,

12 teclas compatibles con las terminales 10 30

para el Call Center con

Partida 2. Arrendamiento de equipo para red de datos.

Partida 3. Seguridad Perimet al


Filtrado y aplicacin de polfticas de seuridad en la nube. 1 1
Sistema de Prevencin de Intrusin. (IPS). '
1 1
Dispositivo de Control y administracin de acceso a la red
de datos.
1 1

3.2.1 Partida 1. Servicios Administrados de Infraestructura Telefnica

La solucin debe integrar los servicios que el x requiere para cubrir las necesidades de infraestructura
telefnica y debe incluir los siguientes componentes:

1. Plataforma base de comunicaciones de voz convergente, para ambas sedes.
2. Sistema de correo de voz y mensajera unificada
3. Sistema de operadora automtica.
4. Sistema de Presencia
5. Sistema de Movilidad
6. Sistema de distribucin automtica de llamadas (ACD) asistida por IVR
7. Sistema de Tarificacin centralizado
8. Terminales telefnicas IP para diferentes perfiles.
9. Grabacin de llamadas de la mesa de servicio
1O. Esquemas de servicio, atencin a fallas y mantenimientos.
11. Capacitacin sobre el uso de las terminales telefnicas.
12. Capacitacin sobre consulta y uso del sistema de correo de voz y mensajeria unificada, nivel usuario.
13. Capacitacin a nivel tcnico para administrar el sistema automtico de atencin.

3.2.1.1 Componente 1: Plataforma Base de comunicaciones de voz convergente.

3.2.1.1.1 Prerrequisitos

Sobre los datos correspondientes a los equipos de LAN (switches), que forman parte de la red de Voz y Datos
y que no son parte de la oferta que presentar el licitante, se informar a los licitantes los detalles de modelos y
capacidades de los mismos, con el fin de que el licitante proponga su solucin de interconexin a los servicios
solicitados en el presente anexo.
Los datos aludidos se proporcionarn al finalizar la junta de aclaraciones.
El licitante ganador proporcionar todos los componentes adicionales que requiera su solucin con el fin de
ofrecer el servicio solicitado en el presente anexo.

3.2.1.1.2 Requisitos Generales

El licitante debe considerar en su propuesta la ltima versin liberada por el fabricante..
Los sistemas propuestos por el licitante deben ser de montaje en gabinete de 19 pulgadas. Y la solucin
propuesta no exceder de la capacidad de 1 gabinete de 42 U.


3.2.1.1.3 Requerimientos Generales del sistema

El sistema de comunicaciones unificadas propuesto por el licitante debe soportar troncales de tipo:

IP
SIP
E1 ISDN
E1 con soporte de Q.SIG

La sealizacin en las troncales digitales E1's antes _mencionadas debe estar accesible por configuracin de la
interfaz ffsica y sin necesidad de licenciamientos adicionales no considerados en su oferta, ni restriccin de
facilidades.

El sistema de comunicaciones unificadas debe estar habilitado para el servicio de videotelefonfa punto a punto,
habilitada con manejo del codee H.264 como mfnimo para un mnimo de 70 usuarios sin la necesidad de
software adicional.

El sistema de procesamiento de llamadas debe cumplir adicionalmente con:
Las facilidades solicitadas para el sistema telefnico deben estar presentes en cualquier telfono de la
red y pueden manejarse entre cualquier par de telfonos de la red.
Todos los telfonos IP (bsicos, semi-ejecutivos y ejecutivos) deben soportar el protocolo SIP sin costo
adicional para la convocante.
Los telfonos IP de las localidades remotas deben poder generar llamadas entre s y con nmeros
externos, generar conferencias entre sf y con nmeros externos, generar transferencias entre sf, es
decir, el servicio de telefonfa debe incluir los elementos necesarios de control para garantizar la
supervivencia de los telfonos IP en situaciones de falla en el enlace en todas las localidades remotas.
Los telfonos IP deben contar con fa misma interfaz de uso para ef usuario final en la situacin de
operacin normal y en la situacin de falla donde se dispare el proceso de modo de operacin de
supervivencia en todas las localidades remotas.
El sistema debe soportar 1Pv6 de manera nativa.
A partir del centro principal de procesamiento de llamadas se deben dar los servicios locales y a los sitios
denominados como de acceso.
En las localidades alternas ef licitante ganador debe proporcionar mecanismos de supervivencia que
permitan el uso del enlace de datos de respaldo con el fin de continuar fa conexin entre el sitio de
lztapafapa y las oficinas centrales en Insurgentes Sur. El esquema de supervivencia debe estar presente
para los telfonos IP de la red sin importar la ubicacin geogrfica de los telfonos IP.
Los procedimientos automticos de supervivencia en el gateway remoto, deben ejecutarse ante la
prdida de comunicacin del gateway remoto con el gestor de llamadas central al cual est firmado, los
telfonos fP deben de continuar con la operacin por lo cual se pide se incluya el software y hardware
necesario para dicha funcionalidad.
El gateway remoto debe soportar la funcionalidad de correo de voz e IVR con la simple adicin de
mdulos internos, software o licencias a icionales, sin necesidad de cambiar el equipo propuesto.
Se debe considerar todo el software y hardware necesario para mantener el servicio en las extensiones
IP cuando se presente la falla en uno de los sistemas de procesamiento de llamadas en el nodo remoto.
Ef sistema propuesto por el licitante permitir extender los servicios complementarios y mejorados como
. retencin, transferencia, reenvfo, conferencia, el soporte de varias lneas en el mismo aparato, la


seleccin automtica de ruta, la marcacin rpida, llamada al ltimo nmero y otras caracterlsticas a
telfonos IP y gateways de voz.
Todos Is telfonos IP propuestos por el licitante (telfono de hardware, videotelfono, telfono en
software) deben de soportar la implementacin de aplicaciones que permitan ser desarrolladas de
acuerdo a las necesidades de la x.
El sistema de procesamiento de llamadas debe manejar un esquema de alta disponibilidad en sistemas
de procesamiento de llamadas redundantes, asl mismo los sistemas propuestos por el licitante deben
manejar fuentes redundantes internas.
El sistema de comunicaciones unificadas propuesto por el licitante debe manejar conferencias de un
mlnimo de 8 participantes en cada una de ellas. Las conferencias telefnicas deben llevarse a cabo
mediante recursos de hardware y/o software y podrn estar definidas estas conferencias para Jos
equipos telefnicos que las soporten.
El sistema debe manejar el cifrado de llamadas entre extensiones y se debe mostrar que est siendo
cifrada la voz, mediante un indicador visual en el telfono IP.
La solucin propuesta debe garantizar el cifrado de la llamada punto a punto y en conferencia mediante
AES-128 y los protocolos SRTP (Secure Real Time Transport Protocol) y TLS (Transport Layer Security),
definidos en los RFC 3711 y RFC 2246 respectivamente, como mlnimo, Se deben provisionar Jos
recursos de hardware necesarios para un manejo mnimo del 10% de usuarios de la red participando de
manera concurrente en conferencias telefnicas, dichas conferencias deben ser cifradas. Los recursos
necesarios para conferencias deben colocarse de manera local en cada sitio y no de manera
centralizada.
Manejo de extensiones analgicas para fax, modem y telfonos analgicos.

El sistema de administracin de telefona IP propuesto debe incluir funciones propias del sistema tales como:

Seleccin automtica de ruta.
Generacin de msica en espera de forma local.
Tratamiento y anlisis digital de la llamada (insercin, borrado y extraccin de cadena de dlgitos, y
cdigos de acceso de llamada).
Llamada Automtica (por sus siglas en ingls Private Line Automatic Response).
El sistema propuesto debe contar con manejo de video-telefonfa punto a punto y mediante el algoritmo
de codificacin H.264
Manejo de endpoints de video que puedan ser registrados de manera nativa al sistema de telefonfa.
El sistema debe tener la funcionalidad de configurar un nmero nico de usuario a partir del cual se
pueden asociar los nmeros telefnicos de extensiones, telfonos externos y celulares para poder recibir
la llamada en cualquiera de esas opciones. Con esta funcin deben timbrar slo en el dispositivo
preferido y dependiendo de la configuracin asignada podr timbrar de manera simultnea todos Jos
nmeros de los dispositivos asociados en el momento de recepcin de una llamada. Se debe contar con
la transferencia de llamadas de celular a la extensin de un usuario y viceversa sin la necesidad de
realizar una rellamada. Esta facilidad ser habilitada a eleccin de la x por Jo que debe venir
provisionada en el sistema de comunicaciones unificadas desde el inicio del contrato.
x al solicitar el servicio de nmero nico ser el encargado de suministrar Jos enlaces necesarios para el
despliegue de dicho servicio.
Permitir generar llamadas a travs de un cdigo de autorizacin.
El sistema debe incluir presencia bsica y ser desplegada en los telfonos al momento que un usuario
digita la extensin a la cual quiere llamar para que de antemano conozca mediante un icono en la

:'' =.? J!i. . 1 "ft
H
- . .o -,
1

pantalla el estatus de dicho usuario a quien se busca: estatus disponible, estatus ocupado, estatus no
molestar. Del mismo modo cuando el usuario busca en el directorio de la x desde el telfono por
1


nombre o por extensin, debe visualizar el icono respectivo al estatus de dicho usuario: estatus
disponible, estatus ocupado, estatus no molestar.
Autenticacin de telfonos IP mediante certificados digitales. Esta caracterlstica permitir autenticar cada
telfono IP que se conecte a la red de tal forma que no puedan ser conectados y utilizados telfonos que
no son permitidos por el administrador del sistema.
Soporte de imgenes de firmware validadas o firmadas, sta funcin debe permitir proteger al telfono IP
para que ningn atacante instale firmware inseguro o no vlido en el telfono y que evite tener la imagen
en el telfono para llevar a cabo llamadas cifradas.
Cifrado de la sealizacin en los telfonos IP de hardware por medio de TLS.
Manejo de SRTP para cifrar el audio y garantizar la confidencialidad de las llamadas con AES-128 en los
telfonos IP de hardware.
El alcance en el manejo del cifrado en los telfono IP debe ser:
o De telfono IP de hardware a telfono IP de hardware.
o De telfono IP de hardware a gateway de voz.
o En conferencias telefnicas.

.Debe manejar como mlnimo las siguientes caracterlsticas para usuarios:
Conexin de llamada.
Desvlo de todas las llamadas (fuera de la red/en la red).
Desvlo de llamada-despus de timbrar, desvlo de llamada-sin respuesta.
Suspensin temporal/recuperacin de llamadas.
Funcin de no molestar (do not disturb)
Aparcamiento/recogida de llamadas.
Timbrado distintivo (interno vs. Externo).
Timbrado distintivo por telfono.
Indicador de mensaje en espera.
Silenciador---altavoz y auricular.
Indicador visual para que mediante un icono el usuario sepa que su llamada est siendo cifrada y que no
ser escuchada pese a que sean capturados los paquetes de voz.
Lista de marcacin recientes---llamadas al telfono, llamadas desde el telfono, auto marcacin, edicin
de la marcacin.
Marcacin rpida---varias marcaciones rpidas por telfono.
Controles de volumen de la estacin audio y tono.
Transferencia---con suspensin temporal de consulta.

El licitante debe contemplar de acuerdo a lo mencionado en los puntos anteriores la inclusin de todo lo
necesario para que el sistema propuesto se pueda montar en gabinetes de 19 pulgadas.

3.2.1.1.4 Componentes habilitadores para el sitio de Insurgentes Sur

El componente habilitador de Telefonla IP debe contar con las siguientes caracterlsticas:
Manejo de MGCP, H.323 o SIP.
Deben manejar MoH, de forma local.
Debe soportar los codees: G.711, G.722, G.729a, G.729ab.
1

lncuir los componentes necesarios para le manejo de la videotelefona..
Debe manejar fuente de poder redundantes internas en corriente alterna.
Interconexin al nodo remoto como nodo principal y adicionalmente con funcionalidades de conmutacin de voz y

F '&"P"Mtr""'l\' 09= % d?"Ei"'M""" =<J."!. :;;;;; bf''io'HM' & 0 1""'-"'4'. '.. 1 3 iif""'YM-0': 3"-f"P !? "'P"W .a"'. o"*'3 S 8 f ?i3'-'0:S::::;:s;'-.=+ & '!iJ"'"''0ft "":o'J

video y calidad de servicio, para cuando menos 1,200 usuarios.

3.2.1.1.5 Componentes habilitadores para las localidades alternas

Se debe manejar un mlnimo de 150 sesiones en modo de supervivencia para garantizar el servicio de telefonla
cuando el sistema centralizado gestor de telefona IP no es alcanzado a travs de la nube WAN por alguna falla
en el enlace o bien por mantenimiento del sistema.

El componente habilitador de Telefona IP debe contar con las siguientes caracterlsticas:
Manejo de MGCP, H.323 o SIP.
Debe soportar los codees: G.711, G.722;, G.729a, G.729ab.
Deben manejar MoH, de forma local.
Incluir los componentes necesarios para el manejo de la videotelefonla. Debe manejar fuente de poder
en corriente alterna y manejar fuentes de poder interna.
Interconexin al nodq principal como nodo remoto con funcionalidades de supervivencia y calidad de
servicio, para cuando menos 150 usuarios.

Los componentes habilitadores para Insurgentes Sur y las localidades alternas, deben manejar las siguientes
cantidades de interfaces en su configuracin futura:

Troncales Insurgentes Sur lztapalapa

-
--6 j

- -
o --

3.2.1.1.6 Mdulo para la solucin de comunicaciones unificadas

La suite de administracin para la solucin de comunicaciones unificadas, debe permitir los movimientos,
adiciones y cambios cotidianos de la operacin normal en una solucin que forme parte del servicio de monitoreo
y que permita al licitante ganador y al personal designado, llevar a cabo las tareas
de aprovisionamiento de los servicios al usuario.

La suite de administracin debe tener visibilidad de los siguientes dispositivos:
Telfonos IP
PBX-IP
Videotelfonos
Gateways de voz
Sistemas de supervivencia
Bfer de tarificacin
Mensajerla unificada
Clientes de software (chal, voz y video) tanto para PCs como para smartphones y tabletas.

Adicionalmente, la suite de administracin debe cumplir los siguientes requerimientos mlnimos para los
dispositivos mencionados:
Solucin basada en WEB, habilitada para el uso de SNMPv3.
Manejo de una interfaz de acceso mediante https.
Monitoreo en tiempo real de todos dispositivos de comunicaciones unificadas (telfonos IP,
videotelfonos, Gateways de voz, PBX-IP, mensajerla unificada, presencia, etc).
Manejo de estadlsticas de jitter y prdida de paquetes.
Manejo de reportes histricos de indicadores (KPI).
Integracin con el directorio corporativo (Directorio Activo, AD).
Asignacin de un portal al usuario para su autogestin de marcaciones rpidas y passwords.
Envo de alarmas va correo electrnico.
Soporte de pruebas y diagnsticos de retardo, jitter y prdida de paquetes de voz.
Calendarizacin y pruebas previas de componentes de la red de voz.
Reportes de inventario de la infraestrctura y telfonos con informacin de nmeros de serie, versiones
de firmware y localizaciones de los dispositivos en la red.
Vistas (dashboards) con informacin de:
o Total de videotelfonos en uso.
o Cambio en nmero de videotelfonos en el ltimo mes.
o Duracin total de las videollamadas.
o Total de telfonos en uso.
o Cambio en nmero de telfonos en el ltimo mes.
o Duracin total de las llamadas.
o Top N de los usuarios que ms llevan a cabo llamadas.
o Top N de los nmeros marcados con ms frecuencia
o Top N del trfico de llamadas a los sitios de la red basados en el volumen de estas o la duracin
de las mismas.
o Anlisis del trfico de llamadas: distribucin de llamadas en categorlas (internas, externas,
conferencias, larga distancia, internacionales, etc)
o Consumo de ancho de banda por localidad (en porcentaje, tipo de trfico originado audio/video).
o Utilizacin de las troncales en la hora con mayor trfico (Capacidad disponible, capacidad
mxima requerida, capacidad requerida promedio).
o Calidad del audio en las llamadas MOS (porcentaje de llamadas con buena, aceptable y pobre
calidad de audio de acuerdo al umbral establecido).
o Dispositivos por tipo y modelo que experimentan problemas de calidad de servicio.
o Localidades con top N de intentos de llamadas que no fueron exitosas.
Aprovisionamiento centralizado a travs de la suite de administracin de servicios tales como:
o Alta de usuarios.
o Cambiar de nombre de en los usuarios dados de alta.
o Cambiar el nmero de extensin a un usuario.
o Cambiar el correo electrnico a un usuario (para el servicio de mensajerla Unificada).
o Adicionar o remover telfonos IP de la lista de inventarios del sistema.
o Aprovisionar los servicios de mensajerla unificada y extensin virtual a los usuarios.
o Aprovisionar los servicios de clientes de software para smartphones y tabletas (presencia, chat,
voz y video). .
o Permitir procesos de batch mediante los cuales se puedan aprovisionar los servicios definidos
anteriormente de forma masiva.

3.2.1.2 Sistema de correo de voz y mensajera unificada

3.2.1.2.1 Sistema de Mensajera unificada

El sistema debe contar con todos los aditamentos necesarios para su montaje en un gabinete de 19 pulgadas.

3.2.1.2.1.1 Requerimientos Mnimos del Sistema de Mensajera Unificada

El sistema debe manejar los mens en idioma espaol e ingls.
El sistema debe ser compatible con el sistema de control de telefona IP..
El sistema debe estar disponible para los perfiles de telfonos IP bsicos, semi-ejecutivos, ejecutivos e
inalmbricos.
Manejo de 24 sesiones simultneas, con posibilidad de tener un mnimo de 800 y hasta 1200 buzones.
El sistema debe habilitar el servicio de mensajerfa de voz por usuario, el cual podr ser accedido mediante el
telfono directamente con una tecla de acceso dedicado con el uso de una clave de usuario y contrasea
como medida de seguridad. As mismo, el usuario debe tener la facilidad de acceder a sus mensajes desde
cualquier telfono dentro o fuera de la red marcando a un nmero directo, el cual debe contestar con una
grabacin que pedir su usuario y contrasea y le indicar al usuario la cantidad de mensajes que tiene,
permitindole as mismo escucharlos, guardarlos o borrarlos.
El usuario debe tener diferentes mensajes de contestacin que puede activar o desactivar dependiendo de
situaciones tales como: horario normal, horario no hbil, ausencia temporal, ausencia prolongada, etc. La
comunicacin e.ntre el correo de voz y el sistema de control de telefona debe estar cifrada al igual que los
mensajes almacenados.
Los usuarios del servicio de mensajera unificada contarn adems de los servicios de correo de voz con la
facilidad de recibir, escuchar, contestar, guardar, crear y borrar sus mensajes de voz en su cliente de correo
electrnico (Cliente Microsoft Outlook 2003 posterior).
Los correos de voz deben llegar a fa misma bandeja de entrada en donde se reciben el correo electrnico
Ef sistema debe ofrecer una interfaz para cualquier tipo de telfono 1 P solicitado en este anexo para observar
a manera de lista los mensajes de voz que el usuario tiene en su buzn y as poder escucharlos en el orden
que el usuario elija.
El sistema debe contar la integracin con directorio del correo electronico del . Con esta
funcionalidad, los usuarios deben marcar el nmero telefnico de sus contactos con un click, sin necesidad
de utilizar el teclado del telfono. Cuando el usuario seleccione un contacto podr utilizar la funcionalidad de
automarcado, la cual permitir que se pueda iniciar la llamada desde un botn que ocasiona que el telfono
marque los nmeros correspondientes af contacto.
Debe soportar sincronizar la informacin de los usuarios mediante LDAP, utilizando Microsoft Exchange
Server.
El sistema debe permitir el cifrado en el flujo de audio entre los telfonos 1 P y el servidor de mensajera
integrada mediante SRTP.
Debe soportar aplicaciones tales como fax, mensajera por interne!, networking y aplicaciones de text to
speech.
Jj

1
W"-' cc:-X?' f ;g; ''"" 21 fu'""-'- t= 'O''": '""'"-H"""-'"" "!"
.
' _, us
)
X

3.2.1.2.1.2 Requerimientos lvfnimos de los senicios del correo de voz

Los servicios del correo de voz deben conlar al menos con lo siguiente:
Desde cualquier tipo de telfono IP propuesto la interfaz del usuario debe ser intuitiva para
reproducir, repetir, responder, adelantar, eliminar, guardar, marcar como nuevo, escuchar fecha y da
en la que se dej el mensaje y saltar al siguiente mensaje.
Debe ofrecer funciones de reversa, pausa o reenvo rpido del mensaje.
Debe ofrecer control del volumen y control de la velocidad durante la reproduccin del mensaje.
Debe ofrecer la funcin de pausa o resumen durante la grabacin del mensaje.
Debe ofrecer la funcin de direccionar el mensaje a mltiples recipientes.
Debe ofrecer la funcin de bsqueda de los mensajes por nombre, nmero de identificacin del
llamante, nmero telfnico, extensin.
Debe ofrecer la funcin de marcar los mensajes con estatus de regular, urgente y privado.
Debe ofrecer un icono especial para representar aquellos mensajes con estatus de urgente.
Debe ofrecer la funcin de entrega del mensaje en un tiempo futuro.
Debe ofrecer la funcin de confirmacin de recepcin del mensaje.
Debe ofrecer la funcin de clasificacin de mensajes por llamante, fecha, tipo y prioridad.
Debe ofrecer la funcin de direccionar el mensaje por extensin o por nombre.
Debe reenviar faxes a cualquier mquina de fax.
Debe integrarse con la herramienta de colaboracin para acceder a reuniones agendadas en el
sistema.
El sistema debe permitir que el usuario pueda reescribir una nueva clave.
Debe ofrecer la facilidad de editar los nmeros de contacto alterno desde la interfaz del usuario en el
telfono.
Debe reproducir, pausar, reenviar rpidamente desde cualquier reproductor de medios genrico.
Debe ofrecer la funcionalidad de responder al correo de voz con el correo electrnico.
Debe permitir aplicar reglas al buzn para los correos de voz y correo electrnico.

3.2.1.2.1.3 Sistema de correo de voz

El sistema de correo de voz debe ofrecer una interfaz natural de reconocimiento de comandos de
voz, lo cual permita buscar y administrar Jos mensajes de voz y realizar llamadas a otros usuarios del
sistema.
La funcionalidad de reconocimiento de voz del sistema debe permitir marcar a contactos personales
o miembros del directorio.
La funcionalidad de reconocimiento de voz del sistema debe permitir mediante comandos de voz
reproducir, repetir, responder, reenviar, eliminar, guardar, marcar como nuevo, escuchar da y hora
del mensaje, saltar al siguiente mensaje, pausar, resumir, incrementar la velocidad, decrementar la
velocidad de reproduccin del mensaje.
editar y administrar los saludos personales.
decir la clave d acceso al buzn de voz.
El sistema debe integrarse con el sistema de presencia para aprovechar tanto el cliente de
mensajerfa instantnea con soporte de presencia instalado en PC o Mac, as como el cliente de
presencia instalado en telfonos ejecutivos celulares proporcionados por la x y poder desde
"""""'1." "''= "'--"" "' ,y ---"'

Fecha: 09.10.2013 Pgina 17 de 129

cualquiera de ellos escuchar y contestar los mensajes del buzn de voz asociados al perfil del
usuario.
La recepcin de los mensajes de voz debe estar sincronizada con la lmpara indicadora de
recepcin de mensajes de todos los tipos de telfonos /P requeridos en este anexo.
Debe integrarse con el sistema de colaboracin a travs de herramientas de calendario para que /os
usuarios puedan unirse a una sesin que debe estar en progreso, escuchar la lista de /os
participantes, enviar un mensaje al organizador o a los participantes y establecer una sesin
inmediata.
La interfaz de administracin debe ser web vla HTTPS y mediante lnea de comandos.
El sistema debe debe soportar SNMP.
El sistema debe de manejar un tiempo de expiracin personalizable de los mensajes grabados
El sistema de correo de voz debe de ser de la misma marca que el sistema de procesamiento de
llamadas.

3.2.1.3 Sistema de operadora automtica.

Con el fin de facilitar el tratamiento de las llamadas entrantes dentro y fuera de /os horarios de trabajo regulares,
debe proveer un sistema de operadora automtica que cumpla con las siguientes caracterlsticas como mnimo:

El sistema de ofrecer funcin de operadora automtica con definicin ilimitada de niveles
configurables.
El sistema debe alcanzar a la operadora para ayuda, debe incluir transferencias automticas para los
que llaman sin responder a los mensajes en un tiempo determinado.
El sistema debe integrarse con el sistema de operadora automtica como un nmero de marcado
rpido en el telfono.
Debe ofrecer la posibilidad de grabar mlnimo 7 saludos personales.
Debe ofrecer la posibilidad de activar un saludo alterno y definir la fecha y hora de expiracin del
mismo, notificar a los usuarios, reproducir el saludo completo a los //amantes.
Debe grabar conjuntos separados de saludos en diferentes idiomas.
Debe ofrecer listas de distribucin privadas.

El sistema de operadora automtica debe de ser de la misma marca que el sistema de procesamiento de
llamadas.

3.2.1.4 Sistema de Presencia

El servicio de presencia solicitado debe permitir la recoleccin de informacin del usuario, tal como actividad,
disponibilidad y mtodos de comunicacin, para ser reflejados como "estado" en las aplicaciones de
comunicaciones unificadas (voz, mensajerla instantnea, video y colaboracin).

El sistema debe estar disponible para los perfiles de telfonos IP: Ejecutivos

El servicio debe estar basado en los estndares SIP y SIP for instan! messaging and Presence Leveraging
Extensions (simple}.


La solucin de presencia debe soportar esquemas de redundancia y alta disponibilidad.
La solucin de presencia debe ser de la misma marca que el procesamiento de llamadas.

3.2.1.4.1 Funcionalidades para el Sistema de Presencia

Este servicio debe permitir ver el estado de actividad de un usuario en especifico. Los estados bsicos que
deben ser reflejados en el "estado" del usuario deben ser:

a) Estado desconectado. Se presenta cuando el usuario no est conectado o la aplicacin no haya sido
abierta.
b) Estado inactivo. El usuario personaliza esta funcin y su finalidad es que si el usuario por un determinado
tiempo no ha usado su computadora o el telfono entonces cambiar el usuario a este estado de
inactividad.
e) Estado lejos. Si el usuario dej su computadora por un largo tiempo, por ejemplo, cuando va a una junta,
sale a comer y no ha usado el telfono y dej encendida su computadora automticamente el cliente del
usuario lo pondr en este estado.
d) Estado en el telfono. Si el usuario est en una llamada utilizando la extensin asociada a su telfono o a
su cliente PC
e) Estado ocupado. Si el usuario est en alguna actividad calendarizada en su outlook, aparecer
automticamente reflejado este estado durante el periodo de tiempo agendado para dicha actividad.
f) Estado disponible. Cuando el usuario est en capacidad de tomar la llamada porque est firmado en el
servicio de presencia y est cercano a su PC.

Para cada usuario, la solucin debe permitir la configuracin de un dispositivo preferido para contacto en caso
que el usuario tenga ms de un cliente de comunicaciones unificadas.

Por medio de SIP y simple, el "estado" de presencia debe poder ser publicado y notificado a los diversos clientes
de comunicaciones unificadas compatibles.

Debe integrarse con soluciones de calendarizacin de eventos, de tal manera que la disponibilidad del usuario
pueda ser reflejada automticamente en su "estado" aun cuando no est firmado al sistema.

Debe permitir el intercambio de informacin de presencia entre diferentes organizaciones que estn utilizando la
misma solucin de presencia y comunicaciones unificadas.

A travs del cliente PC de presencia el usuario podr enviar mensajes instantneos a otro usuario con cliente PC
de presencia o a un usuario que est firmado en el servicio desde su telfono.

Mediante el cliente PC de presencia el usuario podr consultar sus mensajes de voz, buscar a un usuario del
directorio activo, ser capaz de realizar llamadas, video-llamadas.

El sistema debe soportar la integracin con el cliente Lync de Microsoft, dicha integracin debe ser de forma
natural y debe tener todas las funciones pertenecientes al sistema de telefonla.

3.2.1.4.2 Sistema de colaboracin WEB

'fS+' -."">1" -y<'"""M"of:t"-"iifct'"""ft''"'E i! j R?.P -+HHY-Ji ''"'6Jill"WEffiP"F\f'm"E'HEW"fffi?1!5C flC9''-" "'"'"?"""" -="'"'"'"""=' m&:iWU_Lj:""_".M:O "i+ ,-!0!;-;9'"" _fiC'i&hJ

El sistema de colaboracin Web debe estar habilitado para un mnimo de 70 usuarios sin la necesidad de
software o hardware adicionaL

La solucin de Colaboracin Web integrar las siguientes funcionalidades como mfnimo:

Debe permitir programar conferencias va Outlook con notificacin automtica y enlace web automtico.
Debe permitir agendar desde el calendario de Outlook y permitir anexar los correos electrnicos de los
usuarios internos y/o externos que requieran participar en la sesin de colaboracin.
Debe enviar la informacin necesaria para establecer conferencias y enlace web automtico, el cual
contendr como mfnimo:
o Nmero Identificador de Conferencia.
o Nmero de telfono Interno {DIO Interno)
o Nmero de telfono Externo {DIO Externo)
o Link para acceso vfa web {no debe indicar IP)
o Hora de inicio y trmino
o Duracin

La solucin debe permitir acceder fa agenda de reuniones a travs de los navegador web. Internet Explorer,
Firefox, Safari como mfnimo

Una vez que la sesin este agendada mediante un click se podr entrar a la misma. Microsoft Outfook debe
notificar la reunin programada previamente, con lo cual los usuarios podrn tener a la mano fa informacin de la
sesin para su participacin.

Debe contar con la funcionalidad de Conexin Automtica a la sesin, habilitado para marcar al nmero
telefnico para conectar al usuario, por lo cual la llamada podr ser dentro o fuera del sistema de
Comunicaciones IP {Extensin, celular, particular).

El servicio de colaboracin debe manejar como mfnimo las siguientes formas de reservacin de sesiones:
Cafendarizadas, donde cada usuario mediante una interfaz Web puede reservar la sesin de
colaboracin nica.
Recurrente, una sesin de colaboracin que se repite en intervalos de tiempo regulares.
Sin reservacin, una sesin que puede ser llevada a cabo sin reservacin previa por medio de un
identificador de junta que pueda serintroducido en una interfaz Web un telfono IP.
El sistema debe ser capaz de generar llamadas telefnicas de salida hacia los participantes programados
en una conferencia, o bien al usuario que asf lo requiera, cuando se incorpore a una conferencia.
Acceso de usuarios con telfonos IP a una sesin a la cual no fueron invitados.
Mecanismos de seguridad {passwords, limitacin por la cantidad de intentos fallidos y solicitud de
passwords para ingreso a sesiones de colaboracin a las cuales se fue invitado).
Integracin de la herramienta de colaboracin con el directorio corporativo de las Entidades Participantes
{LDAP Radius).

Las funciones con que debe contar la interfaz del sistema de colaboracin Web debe permitir como mnimo las
siguientes funciones:

Anotaciones en la informacin mostrada en la sesin por medio de herramientas de emulacin de lpiz y
marcadores {resaltado), rectngulos, elipses y texto. Se debe contar con funciones como deshacer una
.
}

accin, cambiar color, cambiar tamano, mover y borrar las anotaciones llevadas a cabo.
Chat, mediante el cual se lleve a cabo una sesin entre usuarios, entre usuarios y el presentador o a
todos los invitados a la sesin de colaboracin.
Notas, mediante la cual se pueda escribir la agenda de la sesin y texto que debe ser visible a todos los
invitados de la sesin.
Las caracterlsticas tcnicas mlnimas que debe cumplir el servicio de colaboracin Web son:

Debe crear sesiones de colaboracin que puedan ser accedidas mediante una interfaz Web o mediante
cualquier servicio de telefonla IP propuesto.
El sistema de colaboracin debe manejar de inicio 20 usuarios participando en una misma sesin web.
Debe soportar notificaciones va correo electrnico a los usuarios invitados a una sesin de colaboracin,
as! como poder desde su Outlook agendar una sesin de trabajo de colaboracin Web sin necesidad de.
tener que acceder al sistema para hacer este apartado.

El sistema de colaboracin Web debe ser de la misma marca que el procesamiento de llamadas.

3.2.1.5 Sistema de Movilidad

El sistema de movilidad debe se habilitado en el momento en que la convocante lo decida sin un costo adicional
para la convocante se debe contemplar los siguientes servicios:

Comunicacin a travs de telfonos IP inalmbricos conectados mediante la red inalmbrica del x en los
edificios designados con cobertura, en donde la red dei!FT soporta el protocolo IEEE 802.11a/b/g/n
Soporte de dispositivos mviles como tabletas o smartphones.
El sistema debe contar con un cliente para dispositivos mviles con la capacidad de mantener el estado
de presencia fuera de la red institucional. Debe proveer el cliente de presencia fuera de la red
institucional mediante una conexin de VPN IPSEC desde la computadora porttil del usuario.
Las VPN de IPSEC son parte del sistema de movilidad y deben de estar incluidas en un equipo de
propsito especifico para al menos 70 usuarios.

3.2.1.6 Sistema de distribucin automtica de llamadas (ACD) asistida por IVR

El sistema debe manejar los mens en idioma espanoL
El sistema debe ser compatible con el sistema de control de telefona !P.
El sistema debe poder integrarse al sistema de control de telefona mediante protocolos standard, Jos
protocolos a considerar son TCP/IP,SIP y/o QSIG.
El sistema debe proporcionar la capacidad en canales de comunicacin suficientes para atender un
mlnimo de 1O llamadas simultneas.
El sistema debe proporcionar un entorno de configuracin amigable, basada en un ambiente grfico,
compatible con navegadores web y basado en TCP/IP, debe poder ejecutarse en sistemas
operativos de Microsoft Windows en sus versiones Windows XP Professional, , Windows 7 y
supenores.
'

Grabadora IP para el servicio de Call Center con almacenamiento externo, para grabacin
permanente. El almacenamiento ser proporcionado por el x en su red de almacenam-iento.

ll"Y" "="'""'-"''.:gfi.".'jAffil ' = &a-H<+++>!& "S iCi? "''P'ti'TffW"= SZ::::0::Z_>-Z:0 " &P iFS. M'.....,='u:u:e:!':::"'f'&-"-f iii lliff"'-"tt"'n'"<C=",o;;;o; sE -H&RJ
J
1

El sistema debe permitir la creacin de al menos 5 mens interactivos distintos, con la capacidad de
asociarse entre ellos, (configuracin de rbol de decisiones).
El sistema debe permitir la navegacin por los mens interactivos mediante tonos telefnicos,
ofreciendo la capacidad de avanzar o retroceder de acuerdo a la orden dada por el usuario.
El sistema propuesto podr ser basado en un servicio combinado entre la plataforma de voz y
sistema de operadora automtica.
Debe poder manejar al menos 4 grupos de atencin de tipo ACD. Incluyendo al supervisor de cada
grupo.
Debe manejar al menos 4 colas de espera.
El sistema debe ofrecer anuncios promocionales, que sern designados por el x, para las llamadas
que queden en cola hasta su atencin en los grupos ACD.
El sistema debe integrar todas las prestaciones tanto en hardware como software para proporcionar
los servicios iniciales solicitados, el hardware podr ser propietario o basado en plataformas de
cmputo estndar.

El sistema de distribucin automtica de llamadas debe ser de la misma marca que el procesamiento de
llamadas.

3.2.1.7 Sistema de Tarificacin centralizado

Suministro de un sistema de tarificacin que opere de modo local: Equipado para recibir, almacenar y procesar el
registro detallado de llamadas generado por el sistema de comunicaciones unificadas. El cual debe almacenar
cuando menos por 5 dias los registros generados por las llamadas, en caso de falla de los enlaces.
Los licitantes deben contemplar todo el hardware necesario para la correcta instalacin de la solucin de
tarificacin.

Este sistema debe contar con las siguientes funcionalidades:

3.2.1.7.1 Usabilidad

El sistema debe contar con una interfaz de usuario que le permita obtener informacin de manera jerrquica, es
decir, por Compaia, Divisin, Area, Centro de Costos, Departamento, Usuario, Extensin y Cdigo de
Autorizacin, a travs de un explorador permitiendo que sea rpido y fcil de utilizar.

Adems debe permitir mover los elementos de forma individual o grupal, de una jerarqula a otra con solo
seleccionarlo y arrastrarlo con el mouse. Tambin debe permitir ingresar a las propiedades de cada elemento con
solo hacer doble clic sobre ellos.

Esta interfaz debe mostrar al menos las siguientes vistas:

Vista de Lista: que debe mostrar los elementos que pertenecen al elemento de jerarquia seleccionado.
Vista de Grfica: que debe presentar el presupuesto total y ejercido durante el ao por el elemento de
jerarqula seleccionado.
Vista de Resumen: debe mostrar la situacin actual del presupuesto mensual del elemento de
jerarqufa seleccionado.


3.2.1.7.2 Administracin Web

La funcionalidad requerida por la x de administracin vfa web, debe permitir que los usuarios autorizados
entren a la herramienta para consultar y administrarla desde cualquier ubicacin.

Esta capacidad debe permitir que otros usuarios aparte del administrador central del tarificador, puedan llevar a
cabo tareas de cambios y modificaciones en la informacin del sistema.
Los usuarios deben poder hacer esta labor solamente desde cualquier equipo deix conectado a la red LAN. La
herramienta debe manejar seguridad de acceso, solicitando a cada usuario un nombre de usuario y
contrasena.

La herramienta debe permitir asignar privilegios a cada usuario controlando el acceso y definir las tareas de
consulta, modificaciones o generacin de reportes, de acuerdo a privilegios otorgados por un administrador.

La funcionalidad debe permitir la visualizacin del sitio central y sitios remotos deix, as como todos los
elementos independientes configurados en el tarificador (usuarios, cdigos de autorizacin, extensiones, niveles
jerrquicos, entre otros) desde cualquier ubicacin a travs de Internet.

Adems la funcionalidad debe permitir realizar fas siguientes tareas de administracin:

Agregar, borrar, editar, consultar o cambiar las propiedades de los usuarios, cdigos, extensiones,
jerarquas, etc. Incluso realizar cambios simultneamente en varios elementos donde las propiedades
sean similares.
Auditar un visor de eventos donde el administrador pueda observar a detalle la lista de las acciones
ejecutadas cada vez que un usuario realice una actividad desde la interfaz web, por ejemplo: usuarios
que entren o salgan del sistema, identificacin de quin realiz alguna modificacin bsica o quin
modific un elemento.
Filtrar elementos por Clave o Descripcin para localizar un elemento determinado de manera rpida y
sencilla.
Debe mostrar indicadores de aprovechamiento, los cuales le mostrarn los porcentajes de gasto en
llamadas.
Debe contar con un mdulo con capacidad de presupuestar, notificar y restringir el uso de llamadas
telefnicas en caso de que los usuarios excedan en su presupuesto.

3.2.1.7.3 Compatibilidad del sistema

El sistema debe funcionar en sistema operativo Windows, tambin funcionar en servidores con tecnologla de 64
bits.

3.2.1.7.4 Manejo de niveles Jerrquicos
1

El sistema debe permitir administrar de forma jerrquica la informacin de las Compalas, reas, Departamentos
entre otros de la x, tambin debe permitir llevar a cabo las siguientes funciones:


Manejar por lo menos 10 niveles jerrquicos.
Permitir la modificacin de la jerarqufa desde la interfaz grfica en todos los niveles.

Estas actividades podrn ser manejadas por el administrador del sistema sin intervencin del licitante ganador.

3.2.1.7.5 Importacin de usuarios desde directorio activo (active directory)

El sistema debe permitir la importacin de los usuarios que estn dados de alta en la herramienta de Directorio
Activo (Active Directory de Windows), de forma directa a la base de usuarios del sistema de tarificacin de la x.

Estas actividades deben poder ser manejadas por el administrador del sistema sin intervencin del licitante
ganador.

3.2.1.7.6 Solucin completa

La propuesta del licitante debe incluir todos los accesorios, componentes, hardware y software necesarios para
que el sistema de tarificacin opere de acuerdo a Jo indicado en esta especificacin. De acuerdo a la solucin
propuesta, debe de manera enunciativa pero no limitativa incluir lo siguiente:

Todas las licencias necesarias de software que acrediten la operacin del sistema.
Manuales de configuracin y operacin de todos los equipos del sistema propuesto.

3.2.1.8 Terminales telefnicas IP para diferentes perfiles

Con el fin de ofrecer terminales telefnicas acorde a las necesidades de los diferentes tipos de usuarios que
existen en el X, las terminales propuestas como complemento del sistema de telefona central, deben cubrir
los siguientes perfiles:

3.2.1.8.1 Telfono IP Ejecutivo

Las caracterlsticas tcnicas mnimas que deben cumplir los aparatos telefnicos IP son:

Deben ser de la misma marca que el sistema telefnico IP, con el fin de garantizar su correcta operacin
e integracin.
Debe contar con una pantalla color touch screen con una resolucin de al menos 620x450 pixeles que
permita distinguir caracteres, sfmbolos, graficas, datos estadsticos en forma clara y sin distorsin para el
usuario que provengan de aplicaciones XML.
El telfono debe soportar configuracin de IP de manera debe esttica o de manera dinmica a travs
del protocolo DHCP.
Debe incluir la posibilidad de conferencias con al menos 6 lineas telefnicas independientes.

"'--?. fi '..,.'"' ""'d!!'!'""""""'"'" - "' .;,wF"'*"!'!'""""''"" "fl 3 -'*"""" -w+ y - ,'
aM'tm._3

Debe contar con un botn dedicado para activar el altavoz y con manejo de comunicacin a manos
libres.
Debe contar con consulta al directorio telefnico e integrable con LDAP3.
Debe contar con un indicador de recepcin de buzn de voz.
Debe contar con al menos 2 puertos de red 10/100/1000 BaseT a travs de una interfaz RJ-45 para una
sencilla conexin LAN, tanto del telfono como de un PC en la misma ubicacin. Con ello el
administrador del sistema puede designar LAN virtuales independientes (VLAN) (802.1q) para la PC y los
telfonos IP.
Manejo de 802.1q, DSCP, 802.1p, 802.1x
Manejo de cifrado tanto en Jos protocolos de sealizacin con TLS y en el flujo de audio de las llamadas
con SRTP.
Manejo de autenticacin mediante certificados digitales X.509v3 de acuerdo a la recomendacin de la
JTU-T en Jos telfonos JP para evitar accesos no autorizados por el administrador del sistema de
telefonla.
Debe manejar cifrado AES-128
Deben de contar con un puerto para diadema preferentemente.
Debe manejar los protocolos de audio G.711, G.729a, G.722.
Debe soportar que mediante un servidor TFTP el dispositivo obtenga su configuracin.
Los telfonos IP deben permitir recibir la alimentacin elctrica a travs del puerto de red LAN mediante
el protocolo 802.3af (PoE).
Debe contar con capacidad de conexin vla Bluetooth.
Debe contar con 2 puertos USB
Soporte de una video cmara en el mismo aparato telefnico la cual puede estar o no interconstruida
para video-llamadas. Para habilitar el servicio de video llamadas, solo es necesaria la adicin de la
cmara.
La terminal ejecutiva debe ser de la misma marca que la plataforma de procesamiento de llamadas.

3.2.1.8.2 Telfonos Tipo Semi-ejecutivo

Las caractersticas tcnicas mnimas que deben cumplir Jos aparatos telefnicos JP son:

Debe contar con una pantalla a color de cristal lquido con una resolucin de al menos 300x200 pixeles
que permita distinguir caracteres, smbolos, graficas, datos estadlsticos en forma clara y sin distorsin.
El telfono debe soportar configuracin de IP de manera debe esttica o de manera dinmica a travs
del protocolo DHCP.
Debe incluir la posibilidad de conferencias con al menos 6 lineas telefnicas independientes.
Debe contar con consulta al directorio telefnico e integrable con LDAP3.
Debe contar con un botn dedicado para activar el altavoz y con manejo de comunicacin a manos
libres.
Debe contar con al menos 2 puertos de red 10/100/1000 BaseT a travs de una interfaz RJ-45 para una
sencilla conexin LAN, tanto del telfono como de un PC en la misma ubicacin. Con ello el
administrador del sistema puede designar Jan virtuales independientes (VLAN) (802.1q) para la PC y los
telfonos IP.
Manejo de 802.1q, DSCP, 802.1p, 802.1x

)

Manejo de autenticacin mediante certificados digitales X.509v3 de acuerdo a la recomendacin de la
ITU-T en los telfonos IP para evitar accesos no autorizados por el administrador del sistema de
telefonla.
Debe de contar con un puerto para diadema.
Debe ofrecer al menos 16 tonos de timbre seleccionables por el usuario.
Debe manejar los protocolos de audio G.711, G.729a, G.722..
Debe soportar que mediante un servidor TFTP el dispositivo obtenga su configuracin.
o Los telfonos IP deben permitir recibir la alimentacin elctrica a travs del puerto de red LAN mediante
el protocolo 802.3af (PoE).
o El telfono debe integrarse a una herramienta del mismo fabricante de los sistemas propuestos para
personalizar la imagen de fondo y el tono de timbre. Dicha herramienta debe estar incluida.
La terminal semi-ejecutiva debe ser de la misma marca que la plataforma de procesamiento de llamadas.

3.2.1.8.3 Paneles de 12 teclas compatibles con las terminales IP

Las caracterlsticas tcnicas mlnimas que deben cumplir los Paneles de 12 teclas son:

Debe integrarse con los perfiles de terminales propuestas de los modelos ejecutivo y semi-ejecutivo.
Debe tener al menos 12 teclas de programacin libre.
Las teclas deben tener indicadores (led's).
El panel debe ser de la misma marca que la plataforma de procesamiento de llamadas.

3.2.1.8.4 Telfonos IP Bsico
Las caractersticas tcnicas mnimas que deben cumplir los aparatos telefnicos IP son:
Cada telfono 1 P debe contar con una pantalla basada en pxeles.
Cada telfono IP debe tener integrado en el mismo aparato telefnico dos puertos switcheados 10/100/1000
Base T interconstruido en la electrnica del telfono para su conexin a los switches propuestos y una PC. El
administrador del sistema pueda designar LAN virtuales independientes (VLAN) (802.10) para el PC y los
telfonos IP.

Cada telfono IP debe ser configurado de manera automtica a travs del protocolo DHCP.

Los telfonos IP deben recibir la alimentacin elctrica a travs de la LAN.
Cada uno de los telfonos IP debe contar con al menos las siguientes funcionalidades:
Colocar en espera una llamada
Soporte de transferencia de llamada.
Remarcado
Conferencia
Desvi de llamada
Captura de llamada
Configuracin automtica de VLAN mediante 802.1q.
Debe de contar con un mlnimo de 2 lineas para configuracin extensin.

Manejo de PoE.
Manejo de altavoz.
Control de Volumen.
Soporte de los siguientes codees G.722, G.729ab,.
El telfono bsico debe ser de la misma marca que la plataforma de procesamiento de llamadas.

3.2.1.8.5 Telfono IP para salas de juntas

El licitante debe incluir en su propuesta telfonos IP para salas de juntas, los cuales deben cumplir con las
siguientes caractersticas:

Contar con una pantalla con una resolucin mnima de 250 x 120 pixeles.
Debe incluir: control automtico de ganancia, generacin de ruido de confort, supresin de silencio 1
Voice Activity Detection, supresin de eco y reduccin dinmica de ruido.
Soporte de altavoces full duplex.
Contar con un Puerto Ethernet 10/100 base T.
Manejo de codees G.711, G.729 y G.722
La estacin debe soportar configuracin de IP de manera esttica o de manera dinmica a travs del
protocolo DHCP.
Debe contar con micrfonos externo adicionales que permita tener un alcance de al menos 11 metros.
Con la capacidad de designar LAN virtuales independientes (VLAN) (802.10) para los telfonos IP.
Manejo de autenticacin a travs de 802.1x.
La estacin de conferencia debe soportar recibir la alimentacin elctrica a travs del puerto de red LAN
mediante el protocolo estndar 802.3af (PoE)
El telfono para sala de juntas debe ser de la misma marca que la plataforma de procesamiento de
llamadas.

3.2.1.8.6 Telfono IP Inalmbrico

El licitante debe incluir en su propuesta telfonos IP inalmbricos, los cuales deben cumplir con las siguientes
caractersticas:

Debe soportar el estndar IEEE 802.11 a/b/g
Contar con una pantalla de al menos 176 x 220 pixeles.
La estacin debe soportar configuracin de IP de manera esttica o de manera dinmica a travs del .J
protocolo DHCP.
Debe contar batera de larga duracin.
Manejo de autenticacin a travs de 802.1x.
El telfono inalmbrico debe ser de la misma marca que la plataforma de procesamiento de llamadas.
La red inalmbrica no ser responsabilidad del licitante ganador.

.
.

3.2.1.8.7 Adaptador para extensiones Analgicas

El licitante debe incluir en su propuesta los adaptadores para extensiones analgicas, los cuales deben cumplir
con las siguientes caracterlsticas:

Contar con un mlnimo 2 puertos para extensiones analgicas
Debe soportar configuracin de IP de manera esttica o de manera dinmica a travs del protocolo
DHCP
Actualizaciones de manera remota
Manejo de SIP
Cifrado mediante SRTPffLS
Manejo de T38 Fax
Manejo de 802.1Q
Debe soportar los protocolos de audio G.711 y G.729a, G.729ab

El adaptador para extensiones analgicas debe ser de la misma marca que la plataforma de
procesamiento de llamadas.

Para la partida 1 el licitante debe presentar las siguientes cartas emitidas por el fabricante de los equipos
propuestos:

Carta del fabricante donde manifieste que cuenta con la mxima certificacin de la marca.

Carta del fabricante donde manifieste que cuenta con la especializacin en comunicaciones unificadas, ruteo y
switcheo avanzado y seguridad avanzada.

Asimismo debe de contar con al menos 4 Ingenieros con el nivel tcnico bsico en ruteo y switcheo y 2
Ingenieros con el nivel intermedio especializados en comunicaciones unificadas. En el sobre de ofertas se
incluirn copia de los certificados vigentes del fabricante.

El licitante debe tener al personal asignado al proyecto en su nmina para lo cual debe presentar comprobante
de alta en eiiMSS.

3.2.1.8.8 Servicio de mantenimiento y Garantia
s'eivic-)s AdniiliStiados-'d,inrraestrutufa re,efn c- -:
',,,,.
' ' .. ' ., ' '
,,
:
,
-
,
,
,
-
..
-
.
-
'''
.: ; . ' :,
' ', earcicterstiCil'--
.... .. '
..

"' :.,\:

'
' .. ,... ' : '. :
- '-.;-:::[iesrlpc' n ...e:.:.,,,., ,.... ..,... : : ..''
Propsito Proporcionar la capacidad de comunicacin telefnica de acuerdo a lo especificado, los componentes
complementaris solicitados, asf como las funcionalidades requeridas.
Tipo de servicio Infraestructura Telefnica
rea geogrfica y/o lgica de cobertura Centro de Cmputo del x
Vigencia a partir de la firma del contrato y hasta el31de Diciembre de 2017
Horario del servicio
7x24

Prioridad Critica
Periodicidad de revisin del ANS Mensual

J

'"." ''
Indicador de Desempeo Disponibilidad. la capacidad y funcionalidad del equipo telefnico debiendo tener una disponibilidad
de 24 horas al da, 7 das a la semana, por la duracin del contrato.Se espera que la disponibilidad .
cumpla con los siguientes parmetros.

Disponibilidad Total

Disponibilidad Total = Horas Totales del pertodo-Horasdeventanade mantenimiento
Hotas totales del periodo

Horas totales del periodo anual= 8760

las horas de ventana de mantenimiento se contabilizan a partir de la hora programada de inicio del
paro,hasta el momento en que el licitante ganador libera a produccin y recibe la aprobacin por
parte del administrador de la infraestructura.
Se considera que se podrn tener un mximo de dos periodos de hasta 48 horas consecutivas como
ventanas de mantenimiento en un ao,lo que da como resultado:

Disponibilidad anual Total> 98.904%
Disponibilidad anualTotal> 8,664 horas

Disponibilidad por incidentes

Horas Totales del periodo- Horas de paro por falla


las horas de paro por falla se contabilizan a partir de la hora en que se genera la notificacin,vfa
electrnica,al licitante ganador a causa de un evento notificado como Incidente,que est causando el
paro total o parcial (deterioro mayor al20% en tiempo de respuesta o asignacin de recursos de
computo,almacenamiento o ancho de banda,reflejado en los parmetros de monitoreo) de los
ambientes de produccin,hasta elmomento en que el licitante ganador libera a produccin y recibe la
aprobacin por parte del administrador de la infraestructura.
Se considera que podr tener la infraestructura eventos que paren la produccin hasta por un mximo
de 24 horas acumuladas en un ao, lo que da como resultado:

Disponibilidad por incidentes> 99.726%
Disponibilidad por incidentes> 8,736 horas

Rendimiento.

Nivel de SeiVicio mnimo esperado

El tiempo de solucin a incidentes, para componentes de hardware y software, ser en la
localidad en la que se ubican los equipos en los tiempos indicados en el apartado 3.2.4.1.2
Prioridades de incidentes, a partir de la confirmacin del incidente y su tipificacin. la
atencin ser obligadamente en sitio y solamente podr cambiarse a atencin remota con
previa autorizacin del responsable del centro de datos o del Director de Sistemas
informticos de/x.

Deduccin En caso de incumplimiento en el parmetro de Disponibilidad Total el licitante ganador ser
acreedor a una pena de 1% de la facturacin del periodo por cada hora de incumplimiento
de la disponibilidad total en caso de paros programados.
En caso de incumplimiento de los parmetros de disponibilidad el licitante ganador ser
acreedor de penas de 1% de la facturacin del periodo por cada hora de incumplimiento
de la disponibilidad por incidentes en elperiodo en caso de paros no programados.
En caso de que la deduccin no pueda reflejarse en la facturacin en su totalidad, el
licitante ganador har el depsito correspondiente para cubrir el excedente.

3.2.2 Partida 2. Arrendamiento de equipo para red de datos.

3.2.2.1 EQUIPO DE ACCESO Y DISTRIBUCION DE DATOS (CONMUTADOR DE DATOS.)

La solucin debe integrar los servicios que x requiere para la partida "Arrendamiento de equipo para red de
datos", debe incluir los siguientes componentes:

1. Switches de datos para nivel de acceso.
2. Densidad de 48 puertos.
3. Equipos con conectividad ffsica tipo Stack.
4. Conectividad de puertos Fsicos 10/100/1000.
5. Switches deCore con soporte 10Gb y soporte de Fibra ptica.

v' Conmutadores de datos para el sitio de Insurgentes Sur y las localidades alternas, contemplando, 7
conmutadores de datos para fines de acceso y un switch dedicado a funciones de CORE, por lo que
debe ser de misin critica y de alta velocidad, de acuerdo al anexo tcnico integrado en este documento.

v' La cantidad de conmutadores de datos debe corresponder a la siguiente tabla:


1 2 48

1 2 48

1 2

48

1 2 48

1 2 48

1 2 48

1 2 48

6

10

48

)

Los equipos podrn ser distribuidos en cualquiera de las localidades del X, en el Distrito X y rea
Metropolitana.

3.2.2.2 Equipo de acceso y distribucin de datos (conmutador de datos.) Caractersticas tcnicas

Los equipos de datos necesarios para las sedes de Insurgentes Sur y las localidades alternas, deben cumplir
con las siguientes caracterlsticas tcnicas:

3.2.2.2.1 Equipos de acceso:

Equipo Descri cin Tcnica
Debe contar 48 puertos 10/100/1000 BaseTX de tipo MDI/MDIX con auto
negociacin.
El equipo debe ser apilable (hasta 8 equipos) y debe poder ser montado en un
! rack de 19 pulgadas.
Debe contar con un mdulo de 4 puertos de uplink
1
, Incluir 1 SFP del tipo 1OOOBaseSX por equipo.

/ Densidad de puertos
1
1 Debe contar con un puerto dedicado para el apilamiento de al menos 60GB
La densidad de puertos soportada por pila debe ser 432 puertos 10/100/1000
BaseTX.
Debe manejar 48 puertos energizados a 15.4 Watts para dispositivos que
1 soporten PoE.

1
Los puertos pticos Gigabit Ethernet deben soportar son al menos:

Puertos SFP

1000BaseSX
1000BaseLX (alcance de al menos 10Km)
1OOOBaseTX
Desempeo Descripcin Tcnica
Capacidad de Switcheo 1160 Gbps
Tasa de Transmisin de /

paquetes
[101.2 Mpps

!
o m

Seguridad
1

1 Autenticacin y cifrado

1

IVLANS
Descripcin Tcnica
Uso de 802.1x utilizando Extensible Authentication Protocol (EAP) o MAC
Address, de tal manera que ambos mtodos de autenticacin pueden ser
habilitados de manera simultnea en un mismo puerto.
1 Manejo de SNMPv3, SSH, inspeccin dinmica de ARP, proteccin contra
ata ues de IP S oofin .
Debe soportar 4000 VLAN !Os
1 Prvate VLAN
Voice VLAN mantiene separado el trfico de voz para facilitar la administracin.
1
Soporte de bloqueo de
1 Debe soportar seguridad en puerto basada en direcciones MAC
1

direcciones MAC i
i
Control de Broadcast Supresin de Tormentas de Broadcast porpuerto.. !
Listas de Control de
Debe soportar filtrado de paquetes en capa 2 mediante ACLs por puerto o por

Acceso
VLAN.
1

Control de Trfico Descripcin Tcnica
Permitir la clasificacin de trfico travs de hasta 8 colas de prioridad por puerto !
1
de tal manera qu
.
e el manejo de las colas de prioridad incluye algoritmos de

control encolamiento del
.

tip
.

Weighte d Round Rob
.
(WRR o SRR) y de

Prioridad Estricta (SP) permitiendo priorizar el trfico y la integracin de voz,
1, video y datos mediante 802.1P CoS ("Ciass of Service")
J Permitir la clasificacin de trfico de paquetes de capa 2, 3 y 4 basados en al
Debe incluir las siguientes menos :
funcionalidades para
Clasificacin de trfico y MAC Address
Calidad de Servicio (QoS) Direccin IP origen y destino
Puerto TCP 1 UDP
1
/ 1 Calidad de servicio basado en 802.1Q .

! Manejo de 802.1p Clase de Servicio (COS) y DSCP usado para marcar y
reclasificar de paquetes.

Debe soportar un mlnimo de 8 puertos agrupados mediante 802.3ad.

1
1
'
)
V

"''"'-''""i.:'- ?ii F 99 >"F"="1eY:=-"'-:E&0W " """""''' ,--:l.;;p_%&6- if"'"'IDY_.c, ,_,d, ??" ' iillB<U-' ""=5h:JVi '0 2"'""''2"'1'i!i.Qfo"ly;. i++WV"'*'" .&N ,Gd. '"'"' Uffiii i,
'

Equipo Descripcin Tcnica
DHCP

1 El equipo debe incluir las
'siguientes funcionalidades
y caracterlsticas:

1 Gestin y Monitoreo
SNTP NTP
Soporte de Jumbo Frames.
Soporta una sola direccin IP para administrar el stack
Soporte de gestin de consumo elctrico de los puertos PoE mediante una suite
de software gestora.
1

1 CLI a travs de un puerto DB9
1

/Soporte de mltiples archivos de configuracin.
1

Telnet
SSL (Web seguro)
SNMPV3
RMONI
Syslog
TFTP
1

i

Estndares Soportados
I1EEE802.1Q VLAN Tagging \IEEE 802.1s 1 Multiple Spanning Trees
\IEEE 802.1w Rapid Spanning Tree \IEEE 802.1p / CoS Traffic Management
1
!IEEE 802.3x 1 Flow Control !IEEE 802.1x 1 Authentication
1

1
! Link Aggregation Control
1
1 IEEE 802.3ad
i Protocol (LACP)
1
1 1

3.2.2.2.2 Equipo de Core:

General

y"
Debe ser un conmutador de datos de Gigabit Ethernet con 6 ranuras de expansin que soporte una
densidad mlnima de: 200 puertos en fibra ptica Gigabit Ethernet, 60 puertos 1OGE y 200 puertos
10/100/100 con manejo de PoE (802.3af soporte de 802.3at).

y"
La capacidad de conmutacin debe de ser de al menos 500 Gbps con manejo de al menos 48 Gbps por
slot.
'
'
y"
Debe incluir dos tarjetas de 24 puertos Ethernet 10/100/1000 Base-T.

y"
Debe incluir una tarjeta con puertos de 1 Gbps para colocar los SFPs adecuados para la interconexin
de los equipos de acceso.
y"
Incluir un mlnimo de 8 SFP del tipo 1000BaseSX.

y"
Debe ofrecer fuentes de alimentacin redundantes.

Seguridad

"' "''!tl --- -:;;..::_= !'! t2ili-'-'<tr.c ""'-"""! =EillZ -m 'ns,_.."" :m:"",. -""""""''-:'': m'3ml I h=" "':':"-i'll =t:l;l, "' !!:i "J,-"Sfft?ili"f'l ' -"!:'!
1

Manejo de 8 colas por puerto

Debe proveer autenticacin de mltiples usuarios a travs de IEEE 802.1X.
Soporte de conexin a backplane a 48 Gbps como mnimo por tarjeta.
Manejo de un mnimo de 64,000 rutas en 1Pv4 y 32,000 rutas en 1Pv6.
Manejo de Netflow, IPflow o similar.

Desempeo

Capacidad Soportada: Hasta 225Mpps para 1Pv4 y 11O Mpps para 1Pv6 y 500 Gbps de ancho de banda.
Tamano de la tabla de direcciones MAC: Al menos 55.000 direcciones.

Administracin

Administracin segura: Autenticada y cifrada SNMPv3, adems de SSHv2 y/o SSL.

Duplicacin de puertos: Debe proveer duplicacin de trfico de entrada desde el puerto(s) del switch a un
puerto local o dispositivo de control remoto para el anlisis del trfico, o para propsitos de cumplimiento.

Convergencia

IP multicast routing: Soporte de enrutamiento avanzado.

Soporte de IP multicast snooping (IGMP basada en datos): Evita automticamente la saturacin por
trfico IP multicast (MLD).

Conectividad

Soporte de IEEE 802.3af y 802.3at Power over Ethernet.

Soporte de 1Pv6: Debe soportar administracin dual de host en 1Pv4 1 1Pv6 con el ruteo 1Pv6 vla una
licencia opcional de ruteo 1Pv6.

Conmutacin Capa 2

IEEE 802.1q Soporte de VLAN y etiquetado: Debe admitir hasta 4,000 VLANs activas.
Servicios Capa 3
Capa 3 Ruteo IP: Debe proveer direccionamiento IP bajo enrutamiento bsico. Enrutamiento RIPv1 y
RIPv2 para un mximo de 64,000 entradas de rutas 1Pv4. Ruteo avanzado que incluye PIM, VRRP, BGP
yOSPF3.

Arrendamiento de equipo para redMoatos :' ' ._ :'(. e c. : , < '_ _ ,e ' : _.'. :, ' >: ...' < ,':, z::'' ,_, 2 _,., ci_cj_
. '' .. caracterfstlca-''- :_<. ,.,, ._._:, :-- <. .. ' .. ' :oescrlp;J6n:.,;... : '> ,- ': '
Critica Prioridad
Indicador de Desempeo Disponibilidad. la capacidad y funcionalidad de los equipo para la red de datos, debiendo tener una
disponibilidad de 24 horas al da,7 dfas a la semana, por la duracin del contrato. Se espera que la
disponibilidad cumpla con los siguientes parmetros.


Dtsponibilidad Total
Horas Totales del periodo-lloras de ventana de mantenimiento

llotns totales del periodo


paro,hasta elmomento en que el licitante ganador libera a produccin y recibe la aprobacin por
ventanas de mantenimiento en un ao,lo que da como resultado:

Disponibilidad anualTotal> 98.904%
Disponibilidad anual Total> 8,664 horas


Disponibilidad por incidentes =o

Horas totales delperiodo anual= 8760

las hoias de paro por falla se contabilizan a partir de la hora en que se genera la notificacin,va
electrnica,allicitante ganador a causa de un evento notificado como Incidente, que est causando el
paro total o parcial(deterioro mayor al20% en tiempo de respuesta o asignacin de recursos de
computo, almacenamiento o ancho de banda,reflejado en los parmetros de monitoreo) de Jos
ambientes de produccin,hasta elmomento en que el licitante ganador libera a produccin y reclbe la
aprobacin por parte deladministrador de la infraestructura.
de 24 horas acumuladas en un ao,lo que da como resultado:


Rendimiento.

)
'


&ferida mtntO de eqUipa Para red d-dato!(-'
;. ; .;-;,_;. !:?i ;,e,,,.;, .'' :<.. ....... . . ._;'.. > ;. ;,_ : ': ........ ' ;-, _.

Propsito Proporcionar los equipos de comunicacin n de datos que complemente fa red LAN extendida en las
localidades de: Insurgentes Sur 1143 y las localidades alternas, as como las funcionalidades
requeridas para estos equipos.
Tipo de servicio Eq_uipos para red de datos
rea geogrfica y/o lgica de cobertura Centro de Cmputo deix, instalaciones de lztapalapa y en caso de que el X Jo determine en una
localidad adicional, dentro del rea metropolitana de la Ciudad de Mxico.
Horario del servido
7X24


IEEE 802.10 VLAN
IEEE 802.1X User Authentication
Ethernet: IEEE 802.3
10 Gigabit Ethernet: IEEE 802.3ae
IEEE 802.1D Spanning Tree Protocol
IEEE 802.1s Multiple VLAN lnstances of Spanning Tree
RMON 1 and 11 standards
IEEE 802.3ad LACP
IEEE 802.1p CoS Prioritization
IEEE 802.1w Rapid Reconfiguration of Spanning Tree

Los equipos de acceso y distribucin de datos propuestos deben ser compatibles al 100% con la plataforma
actual de comunicaciones marca Cisco con la que cuenta el X.

Para la partida 2 el licitante debe presentar las siguientes cartas emitidas por el fabricante de los equipos
propuestos:

Carta del fabricante donde manifieste que cuenta con la mxima certificacin de la marca.
Carta del fabricante donde manifieste que cuenta con la especializacin en ruteo y switcheo avanzado y
seguridad avanzada.

El licitante debe presentar copia de las siguientes certificaciones del personal asignado a la implementacin del
proyecto:

4 Ingenieros con el nivel tcnico bsico en ruteo y switcheo.

de alta en eiiMSS

3.2.2.2.3 Servicio de mantenimiento y Garanta

: ...- .
-' .-,, Cafct'e'ffsta
... ..
....-.: 1" >.. ,;_ _., . -,-.::._ .
oe'si:rlpCJn

- . -- -- .
; . .... -. :

Nivel de Servicio mfnimo esperado

Prioridades de incidentes, a partir de la confirmacin del incidente y su tipificacin. La
atencin ser obligadamente en sitio y solamente podr cambiarse a atencin remota con
informticos de!X.

Deduccin En caso de incumplimiento en el parmetro de Disponibilidad Total el licitante ganador ser
acreedor a una pena de 1% de la facturacin delperiodo por cada hora de incumplimiento
acreedor de penas de 1% de la facturacin del periodo por cada hora de Incumplimiento
de la disponlbll/dad por Incidentes en el periodo en caso de paros no programados.

3.2.3 Partida 3. Arrendamiento de equipo para Seguridad Perimetral

3.2.3.1 Sistema de Prevencin de Intrusos

Sistema de Prevencin de Intrusos UPS)

La solucin de seguridad debe incluir hardware de propsito especifico (Appliance), este debe contar con
sistema operativo propietario, el mismo que deben ser desarrollados integramente por el mismo
fabricante del hardware de propsito especifico-chasis.

La solucin de seguridad debe estar constituida por un equipo de propsito especifico para la
funcionalidad de 1PS. Est debe ser modular y tener la capacidad de integrar en el mismo dispositivo las
funcionalidades de IPS, IPS Adaptativo, Correlacin y Agregacin de Eventos asf como Anlisis de
impacto de usuarios, con integracin con el directorio activo del cliente.

El fabricante de IPS ofertado debe demostrar su efectividad en cuanto a proteccin de nuevas amenazas
y vulnerabilidades entregando al menos un estudio emitido por una entidad certificadora global como
NSS Labs no anterior a Marzo del 2012 teniendo al menos 98.9% de efectividad para cualquiera de los
modelos ofertados, en el bloqueo de ataques y trfico malicioso y pasar el 100% de las pruebas de
evasin de IPS.

El sistema de seguridad ofertado debe poseer licenciamiento ilimitado de usuarios y host en su
modalidad de IPS.

1

El throughput solicitado para la solucin es de 1 Gbps por cada appliance. Estas mediciones de
throughput deben sern las mlnimas aceptables para anlisis de trfico real.

La solucin a proveer (IPS) debe contar con 8 puertos, esto es 4 segmentos por lo menos Se debe incluir
mdulos de bypass interno, de tal manera que pueda fallar de manera abierta y sin interrumpir el trfico
sin necesidad de algn equipamiento adicional.

Se debe incluir una consola centralizada que administre los IPSs y la integracin de usuarios, El
hardware debe ser rackeable. Esta consola debe ser capaz de integrarse con tecnologlas de seguridad
de terceros (Firewall, IPS Wireless, Switches, Routers, Patch Management System, AV Consolas, etc)
para generar acciones y/o configuaciones necesarias para remediacin de incidentes de seguridad.

COMPONENTES JPS

El licitante ganador del servicio ser responsable de la total instalacin y puesta en operacin de los
equipos involucrados. Asimismo, debe incluir todos los accesorios que estime conveniente para este
propsito.
Los IPS deben soportar 1,000,000 conexiones por segundo por cada Gigabit de inspeccin como
mlnimo.
Debe ofrecer una latencia mxima de 1 milisegundo.
Interfaces de monitoreo 10/100/1000 en cobre necesarias. El licitante ganador debe proveer todos los
transceivers y cables necesarios para su implementacin.

El monitoreo debe de ser transparente para los usuarios.

EIIPS solicitado debe operar en la capa 2 del modelo de OSI, por lo que las interfaces de inspeccin no
requieren de una direccin IP ni MAC.
El equipo podr configurarse en modo transparente; es decir, de deteccin en lnea, pero sin bloquear
trfico. El sistema slo alerta que eventos seran bloqueados.
El sistema debe permitir la configuracin de modo transparente para todo el trfico o slo para los
paquetes especificados por direccin IP, protocolo y VLAN ID.
Debe permitir la creacin de reglas y filtros de acceso.
El equipamiento debe de ser capaz de indicar a un dispositivo de tipo FW, en respuesta a un ataque, la
adicin de reglas para mitigar el ataque apropiadamente de manera escalonada en las dos capas de
seguridad, IPS y FW.
Soportar funcionamiento pasivo como un IDS (sistema de deteccin de intrusos), con alertas de ataque,
trfico malicioso o no deseado, sin interferir con el trfico.
Soportar combinacin de las modalidades IDS (pasivo) y IPS (en lnea) dentro de un mismo equipo.
Capacidad de detectar trfico anmalo o vulnerabilidades en las siguientes aplicaciones lnstant
Messenger y P2P:

o AOL lnstant Messenger
o MSN Messenger
o Yahoo! Messenger
o ICQ
o Gnutella
o Kazaa

)

o eDonkey
o BitTorrent
o SouiSeek

Los equipos deben incluir una herramienta de anlisis de trfico del mismo fabricante, Esta herramienta
debe generar reportes de utilizacin y poder sugerir cambios para el acomodo (tuning) de la polltica del
IPS en base al comportamiento del trfico en la red.
Debe tener una administracin de seguridad centralizada que incluya las pollticas, actualizacin,
respuestas y opciones de auditarla.
Debe contar con al menos un puerto de administracin ethernet 10/100 o en su mejor caso 10/100/1000,
adicional a las interfaces de anlisis solicitadas. As tambin, es recomendable que cuente con una
interface serial de administracin.
La solucin de seguridad debe contemplar que el flujo de informacin este asegurado ante una falla en el
IPS, pudiendo conmutar el trfico, obviando el anlisis del IPS, sin necesidad de un dispositivo exterior
que pudiera representar otro punto de falla en la red.
Debe poder integrarse a la consola centralizada de eventos de tipo SIEM.
Debe integrase a una autentificacin vla RADIUS. La autenticacin RADIUS ser a nivel de consola de
administracin, validando el acceso de los usuarios a la misma.
El equipo debe soportar el manejo de pollticas por dispositivo, puerto, VLAN tag, IP o rango de IP's.
Debe contar con un mecanismo de prevencin de spyware;
Debe soportar los siguientes tipos de respuestas: bloquear, ignorar, guardar en un lag, enviar correo
electrnico, SNMP, respuestas definidas por el usuario, cambios de configuracin a equipos de
seguridad o de red de terceros, sugerencia de cambios a la poltica en base al anlisis de impacto de un
evento.
Debe soportar funcionalidades de alta disponibilidad y configuraciones del tipo activo/activo y
activo/failover. Esto debe ser soportado sin degradar el performance del IPS y manteniendo el mlnimo
throughput requerido para inspeccin, en este caso 1 Gbps por cada equipo.
Debe manejar actualizaciones automticas de seguridad del archivo de firmas de cuando menos dos
veces por mes.
Debe hacer Anlisis de trfico de voz sobre IP. Debe soportar para dicho anlisis de voz, como mlnimo
los siguientes protocolos, SIP, H.323, H245, H.225.
El producto debe soportar trabajar en capa 2 como Bridge.
Debe soportar manitoreo de VLANs, incluyendo trames 802.1q.
El dispositivo IPS debe soportar monitoreo de redes MPLS.
El dispositivo IPS de soportar el monitoreo de lpv6.
El dispositivo IPS debe soportar monitoreo stateful inspection y mid state pickup.
Las Interfaces utilizadas para censar trfico deben trabajar en modo stealth, sin stack de TCP/IP en la
interfaz.
La deteccin de ataques debe ser independiente al sistema operativo.

Debe contar como mlnimo con las siguientes tcnicas de anlisis de trfico:
1. Identifica el protocolo a travs del puerto utilizado.
2. permite la identificacin de protocolos que utilizan puertos aleatorios.
3. Permite la identificacin de protocolos en forma independiente del puerto utilizado.
4. Protocol Tunneling Recognition - permite la identificacin de protocolos aun cuando estos estn
encapsulados.
5. Heuristics - uso de anlisis heurlstico.

1

6. Protocol Analysis- anlisis de protocolo con decodificacin mlnimo de 400 protocolos de las 7 capas
OSI.
7. Application-Jayer Pre-processing- Los equipos deben poder realizar una revisin de los datos dentro del
protocolo de aplicacin en busca de patrones de ataques de red.
8. Reconnaissance- deteccin de escaneo de puertos (por! probes).
9. Protocol Modeling eiiPS ser capaz de modelar y analizar cualquier protocolo, existente y/o propietario
1O. Firmas basadas en vulnerabilidades permitiendo la deteccin de ataques desconocidos o variaciones de
ataques conocidos.
11. RFC Compliance Checking- verificacin de compatibilidad con las RFCs.
12. Protocol Anomaly Detection - identifica anomalias de protocolo.
13. TCP Reassembly - reemsamblado de paquetes fragmentadas
14. Deteccin de anomallas de trfico y anlisis de impacto por evento para evitar ataques de dla cero, como
una funcionalidad dentro del mismo IPS y sin necesidad del uso de aplicaciones adicionales como
sistema de deteccin de anomallas o escanners.
15. Firmas definidas por el usuario mediante el uso de expresiones regulares.
16. Correlacin y agregacin de eventos en el agente de monitoreo, (IPS) sin necesidad de aplicaciones
adicionales y siendo esta funcionalidad propietaria del mismo fabricante.

Debe contar con las siguientes caractersticas de configuracin de pollticas:
1.Capacidad de creacin de reglas basadas en:
a) Segmento monitoreado (puerto del appliance).
b) Direccin IP origen y destino.
e) Puertos origen y destino.

2. Debe soportar la bsqueda de firmas por nombre a travs de la interfaz grfica.
3. Captura de trfico para el anlisis de evidencia en formato soportado por TCPDUMP y .ENC (estndar para
el software de anlisis de protocolos). El archivo puede ser usado para hacer playback del ataque. Se
aceptaran propuestas que consideren la captura de trfico para el anlisis de evidencia en formato
compatible con libpcap (compatible a su vez con TCPDUMP), y opcionalmente en formato ENC
4. Filtro de protocolos TCP, UDP, ICMP (por filtro se entiende paquetes que no sern analizados).
5. Filtro de ataques especficos o todos los ataques.a partir de direcciones/redes IP especfficos.

El equipamiento a proveer debe realizar las siguientes acciones de control de accesos.
1. Monitorear: acta como un IP "whitelist". Los paquetes son procesados pero las respuestas de descartar
paquetes no son aplicadas.
2. Descartar: descarta el paquete en el momento que este pasa por el mecanismo de control de acceso.
Descartar con Reset: funciona de la misma forma que la accin anterior, pero envia un paquete de reset al
computador origen. La conexin se cierra de esta forma ms rpidamente debido a que no hay reenvo de
paquetes. Esta funcionalidad tambin debe estar disponible en modo de IPS.

El equipamiento a proveer debe contar con las siguientes caractersticas de Bloqueo de Ataque, Trfico
malicioso o Trfico no deseado.
1. IP whitelist -lista de direcciones IP "confiables" que el sistema no bloquear.
2. Reset de la sesin TCP cuando se utiliza en modo pasivo.
3. Descarte de paquetes
4. Conexin con Reset: descarta todos los paquetes de la conexin en la cual el evento ocurri y
enva paquetes de reset TCP al origen y al destino de la conexin.
5. Conexin: descarta todos Jos paquetes de la conexin en la cual el evento ocurri.
6. Paquete: Efecta un drop del paquete identificado con el ataque.


)

La solucin debe incluir un sistema de correlacin de eventos y deteccin de anomalias que provea las
siguientes caracterlsticas.
1. El sistema permitir un anlisis dinmico y en tiempo real en para crear un mapa de la red monitoreada,
incluyendo al menos lo siguiente:
o Redes existentes
o Host activos
o Nuevos host o servers en la red
o Nuevas MAC address en la red
o Mquinas virtuales nuevas o existentes
o Sistema operativo de cada uno de los host identificados
o Servicios activos de cada uno de los host identificados
o Aplicaciones activas de cada uno de los host identificados
o Vulnerabilidades de cada uno de los host identificados

2. Debe contar al menos con las siguientes banderas de impacto para cada uno de los eventos del IPS,
independientemente de la criticidad de la vulnerabilidad en el exterior
a} Vulnerable
b} No Vulnerable
e} Posible Vulnerabilidad Existente

3. Debe ser capaz de crear perfiles de cumplimiento con alguna normativa de seguridad, para emitir una
alarma cuando algunos de los servicios no permitidos por una normativa de seguridad sea utilizado en el
segmento de red acotado por la normativa de seguridad.

4. Debe ser capaz de realizar un escaneo de vulnerabilidades a los host de la red para validar la existencia
de las vulnerabilidades o como una respuesta a un incidente, por ejemplo al detectar un nuevo host en la
red, debe escanearlo inmediatamente.

5. Debe permitir una integracin automtica para realizar un cambio de configuracin o enviar informacin a
mdulos de terceros como:
a}Scanners de vulnerabilidades
b}SEM/SIEM systems
c}Firewall
d}Routers
e}Switches
f) Sistemas de patch management
g}Wireless Access Point
h}NAC servers.

1. Debe permitir reportes detallados sobre lo siguiente:
a} Nuevos host en la red
b} Vulnerabilidades existentes en la red
e} Servicios existentes en la red
d} Anomal!as de trfico
e) Perfiles de trfico
f) Sistemas operativos existentes en la red
g} Vulnerabilidades por cada host
h} Uso de trfico por aplicacin

Filtrado Contenido Soporte para al menos 1000 usuarios

Protocolos soportados para la solucin (p. ej. HTTP v1.0/1.1 o HTTPS), asf
como puertos o_protocolos adicionales (p. ej. P2P, Skype).
Bloqueo Proactivo de amenazas en tiempo real actualizacin de la inteligencia
en la nube de al menos cada 5 minutos.
Contener motores (engines) de deteccin heursticos basados en la
identificacin de comportamientos inusuales y brotes de amenazas de dfa
Cero.
Debe de contar conproteccin de usuarios mviles con itinerancia, dirigiendo
todo el trfico de interne!a la nube de seguridad ms cercana para analizar el
trfico en tiempo real y permitir el acceso.

1

i) Uso de trfico por usuario
j) Uso de trfico por host
k) Uso de trfico por servicio
1) Eventos de seguridad por impacto en la red
m) Eventos de seguridad por criticidad de la vulnerabilidad

1. Debe ser capaz de a travs de una versin virtual, monitorear y asegurar una granja de servidores
virtuales, sin necesidad de instalar un agente a cada servidor virtual utilizado.
2. Debe ser capaz de integrarse con herramientas de terceros, para crear un mapa grfico de la red Debe ser
capaz de integrarse con herramientas de terceros, para crear un mapa grfico de la red que incluya Geo
localizacin.
3. Debe ser capaz de crear un mapa de flujo de trfico entre host de la red, para guardar registro de la
cantidad de trfico entre los dispositivos de la red
4. Debe identificar vulnerabilidades de los host de la red en tiempo real y sin necesidad de correr un anlisis
de vulnerabilidades

La solucin debe incluir un sistema de integracin con directorio activo que provea las siguientes
caractersticas.
1. Debe permitir la integracin con el directorio activo de la red para tener un mapeo de usuario e 1 P
utilizada actualmente.
2. Debe permitir tener la informacin de contacto de los usuarios que estn siendo atacados
3. Los eventos de seguridad mostrados deben mostrar el usuario que est generando o recibiendo el
ataque y generar una alerta o tomar acciones en base al perfil del usuario en cuestin
4. Debe de poder generar un mapa de eventos de seguridad generados/recibidos por usuario
5. Debe de poder generar un mapa de trfico generado/recibido por usuario
6. Debe ser capaz de mantener un mapa de los usuarios, IP actual, tipo de aplicacin usada, y un historial
de las direcciones IP que ese usuario ha usado en el tiempo.

3.2.3.2 Filtrado de contenido

Filtrado de Contenido en nube pblica

A continuacin se listas las caracterfsticas mnimas que debe considerar el licitante para la solucin de Filtrado
de contenido en nube Publica. Filtrado SaaS.


Motores (Engines) de filtrado de contenido utilizados (p. ej. reputacin-URL,
reputacin-IP, cateQorizacin).
Capacidad de configurar y aplicar polticas por categoras de contenido.
Mencionar si se tienen polticas o suQerencias de plantillas de polticas.
Capacidad de configurar filtros adicionales o especficos -por usuario, por
Qrupo- (slo por el administrador del dominio).
Integracin de solucin de filtrado de contenido con Directorio Activo para
autenticacin de usuario. Evitar doble autenticacin. Soporte a Security
Assertion Markup Language (SAML) para Single-Sign On. .
Capacidad de mantener una polltica de filtrado bsica o default en caso de no
tener comunicacin con el Directorio Activo.
Capacidad de detectar y filtrar pginas en diferentes idiomas o con diferentes
conjuntos de caracteres.
Capacidad de bloqueo por ubicacin de origen (geoiP). Bloque regional por
paises.
Capacidad de bloqueo por contexto (horario, usuario, ubicacin, etc).
Capacidad de bloqueo por versin de naveQador utifizado.
Capacidad de bloquear el acceso a sitios clasificados como Phishing, o
redes de botnet.
Bloqueo de descarga por tipo de archivo o extensin.
Capacidad de deteccin y filtrado por URL o direccin IP.
Soportar clasificacin dinmica para sitios web no categorizados, o tiempo
compromiso para categorlzar sitio.
Capacidad de re-categorizar o cambiar fa clasificacin a pginas o URL por
parte del administrador para una organizacin.
Capacidad de bloquear la descarga de archivos desde ciertos sitios
sospechosos.
Capacidad de bloquear en lnea sitios con XSS y robo de cookies.
Capacidad de bloquear en linea sitios anonimizadores (proxy annimo) en
general y para aplicaciones Web 2.0.
Control de
aplicaciones (Web
2.0)
Capacidad de detectar amenazas o ataques en Web 2.0 (inspeccin profunda
de payload)
Capacidad de realizar pollticas granulares para el uso aplicaciones Web 2.0
para filtrar funcionalidades especificas (p. ej. posting o subir videos)
Mensajerfa Instantnea. Deteccin y bloqueo de uso de aplicaciones de
mensajera instantnea basadas en Web
Deteccin y bloqueo de "uploading" de archivos en aplicaciones de correo
basadas en Web.
DLP-Data Leakage
Prevention/Data Loss
Prevention
Capacidades para la aplicacin de polfticas de DLP granulares y por usuario.
Proteccin contra
malware, spyware y
bots
Proteccin contra ataques conocidos y recientes mediante firmas
actualizadas.
Deteccin de malware sin firmas o por comportamiento, o por contexto en
tiempo real.
Capacidad de detectar ataques de da cero y el mecanismo asociado.

1

}


Prevencin (deteccin y bloqueo) de descarga y ejecucin de cdigo malicioso
(malware, spyware, bots). Mencionar si se verifica flujos de entrada y salida
(inbound/outbound).
Cifrado Tener la capacidad de fungir como un proxy para sesiones SSL iniciadas por el
usuario.
Soporte a equipos
mviles/oficinas
remotas
Dispositivos mviles soportados para integrarlos a la solucin de filtrado
(sistemas operativos). Por ejemplo: Windows Mobile, BlackBerry, MacOS, lOS
(iPhone and iPad), y Android.
Mecanismos para mejorar o mantener la latencia cuando el usuarios est fuera
de su zona geogrfica habitual.
Esquemas soportados para integrar oficinas remotas a la solucin de filtrado
en nube (Ejemplo. GRE, Proxy Chaining, PAC).
Reportes Contar con un tablero inicial de indicadores y grficos para tener una visin
completa del estado del servicio.
Tablero configurable por cliente, y soporte de esquema white-labeling.
Capacidad de realizar "drill-down" a partir de reporte o grfico inicial del tablero
de control.
Capacidad de generar consultas mediante aplicacin de filtros contra atributos
de eventos.
Reportes disponibles para administrador de dominio de las funcionalidades
Web Security.
Reportes exportables a diferentes formatos a un archivo csv, pdf, html.
Capacidad para generar plantillas de reportes comunes para su rpida
generacin y consulta.
Capacidad de almacenar y consultar reportes generados.
Capacidad de asignar reportes y contenido de acuerdo a perfil del usuario.
Capacidad de calendarizar reportes y enviarlos a un grupo de destinatarios por
correo electrnico, o notificar su disponibilidad para la consulta Web.
Seguridad La solucin debe permitir la creacin de diferentes dominios por cliente y
garantizar que cualquier configuracin de funcionalidad es independiente.
Capacidad de manejar 1 configurar diferentes niveles de roles o privilegios, por
ejemplo: operador, administrador y/o auditor.
Gestin de eventos y
bitcoras
Capacidad de recoleccin y manejo (reduccin, normalizacin, procesamiento)
de eventos.
Eventos almacenados relacionados con la administracin de plataforma
(bitcoras de administracin, de usuarios).
Eventos almacenadas relacionados con el proceso de filtrado de navegacin
Tiempo de retencin (configurable) para el manejo de eventos tanto de
administracin como de uso de servicio.
Procedimientos para consultar o compartir eventos por solicitud (en lnea) y
fuera de linea.
Capacidad/Escalabilid
ad
Infraestructura requerida para un nodo Web Security

)

!(="!?S -"Y?-' """! 9 3 Pi! 3B'"'M "!iGikf'k< - 'o" "3._ ,_,., ..,._,., o!f!i1 "3M

;;;;y; &= ., -
Fecha: 09.10.2013 Pa
'
gma 44 de 129

Vers1n: V 1.0.0

Especificaciones
cnicas
El sistema debe proporcionar interfaces a velocidades de 1 Gbps, soporte de al
menos 5 pares de interfaces GE (5 puertos internos y 5 puertos externos) que
permita la conexin en linea de hasta 5 segmentos de Gigabit Ethernet.
El sistema debe soportar interfaces a velocidades de 1O Gbps, apoyando al
menos 1 par de interfaces 1OGE (1 puerto interno y 1 puerto externo) que
permita la conexin en lnea de 1 seQmento de 1OGE.
La solucin debe de soportar al menos 9.5 millones de paquetes por seQundo.
La solucin debe de soportar al menos 610,000 conexiones http por segundo.
El sistema debe de tener embebido el bypass ffsico en cada interface para
garantizar alta disponibilidad y debe activarse en los siguientes casos: Perdida
de energfa elctrica, falla lgica en la interface de control, prdida de
conectividad con la tarjeta madre del dispositivo, colapso del sistema operativo.
El sistema debe permitir el aumento de su rendimiento de 2GB/S a 10GB/S a
travs de cambios en las licencias sin la necesidad de hardware nuevo.
El sistema debe implementar hardware bypass en todas las interfaces de
servicio (proteccin).
El sistema al posicionarse en linea debe de ser completamente transparente,
sin introducir ningn cambio de encapsulamiento.
El sistema debe ser capaz de soportar un modo de prueba "inactivo" cuando se
configura en linea, que permita el ajuste de la configuracin de proteccin sin
bloquear el trfico y proporcione reportes de todo el trfico que bloqueara si se
define como "activo".
El sistema debe soportar la implementacin en modo "monitor" en el que no
introduce ningn punto adicional de falla a la red.
El sistema debe ser capaz de capturar trfico directamente desde un puerto
espejo (SPAN) en un enrutador, switch o tap.

Soporte para integrar clientes con 1Pv6.
Redundancia Esquema de redundancia en caso de fallo de nodo principal de Filtrado. -
reenvfo a Nodo alterno (activo-activo, activo-pasivo); Nodo en Nube de
Proveedor
Ubicacin y Nmero nodos de proveedor para redundancia (para esquema de
nube pblica)
Contar con Arquitectura o Esquema para proteger o respaldar informacin de
configuracin de servicio (nube pblica)

3.2.3.3 Sistema de proteccin contra ataque de denegacin de servicios (ODos)

El sistema debe de ser un dispositivo de uso especfico dedicado a proporcionar disponibilidad, por lo que no se
aceptarn dispositivos que mantengan el estado de la conexin como cortafuegos, sistemas de prevencin y
deteccin y las variantes o combinaciones como UTM, NGFW, NGIPS ya que al conservar el estado de la
conexin son por sf mismos susceptibles a DDoS.

)


El sistema debe de soportar una configuracin en donde no reenvfe el trfico
entre los puertos de proteccin al operar en modo espejo, SPAN, o tap de red,
para evitar la inyeccin de trfico duplicado. La configuracin para "nunca
reenviar el trfico" no debe de poder ser modificada en el flujo de trabajo de la
interfaz de usuario normal.

El sistema debe ser compatible con alimentacin de energfa AC.

El sistema debe soportar redundancia completa para fuentes de alimentacin
AC.

e El sistema debe admitir intercambio caliente de una fuente de alimentacin d
AC degradada durante el funcionamiento normal del sistema.

Administracin
El sistema debe proporcionar documentacin en linea en la GUI para
ayudar a los usuarios a comprender las funciones de cada pantalla.
La GUI del sistema debe permitir mltiples los niveles de acceso como
administrador y operador.
El sistema GUI debe incluir un registro de cambios que reporte todos
los eventos que podran afectar la administracin incluyendo los inicios
de sesin de usuario, los cambios de configuracin, comandos CLI y
actualizaciones del sistema.
El sistema debe proporcionar la capacidad para crear y exportar
paquetes de diagnstico que contienen informacin del estado y
configuracin a utilizarse para resolver problemas.
El sistema debe proporcionar la capacidad para administrar sus
archivos a travs de la GUI, incluida la carga, descarga y eliminacin.
El sistema debe proporcionar una interfaz CLI que proporcione
funciones de supervisin del sistema.
El sistema debe proporcionar una opcin de SYSLOG, SNMP o
notificaciones SMTP para las alertas del sistema, los cambios de modo
de despliegue (activo/inactivo) y cambios de nivel de proteccin.
El sistema debe admitir el control de su estado general a travs de
SNMP v2 o v3.
El sistema debe proporcionar la capacidad de visualizar, buscar y
eliminar alertas caducadas y activas a travs de la GUI.
El sistema debe permitir la creacin, eliminacin y administracin de
cuentas de usuario a travs de la GUI (Interfaz Grfica del Usuario)
Seguridad Todas las comunicaciones externas al sistema deben ser manejadas a
travs de un cortafuegos incorporado de filtrado de paquetes que
permita slo servicios obligatorios y opcionales que deban habilitarse
explicitamente por subred.
El acceso a la CLI (Interfaz de linea de comandos) debe proporcionarse
mediante SSH.
El acceso de GUI al sistema debe ser a travs de HTTPS. No deben
permitirse protocolos de GUI no seguros.

1

Fecha: 09.10.2013 Pgma 46 de 129 Versin: V 1.0.0

El sistema debe permitir la configuracin de mltiples cuentas de
usuario local.
El sistema debe proporcionar controles de acceso a nivel de usuario
basados en Tokens que pueden asignarse a usuarios o grupos de
usuarios para aplicar la separacin de privilegios.
A los usuarios sin privilegios administrativos se le permitir administrar
la configuracin de sus propias cuentas y contraseas pero no puede
ver o cambiar cuentas de otros usuarios.
El sistema debe proporcionar listas de control de acceso IP para todos
los servicios remotos que estn accesibles.
El sistema debe proporcionar completa AAA a los usuarios a travs de
una base de datos de: usuario local, RADIUS y/o TACACS o la
configuracin combinada de mtodos.
El sistema debe admitir configuracin a "travs de navegadores web
estndar actualizados.
El sistema debe proporcionar una interfaz CLI accesible a travs de la
conexin de red o de la consola.
El sistema debe proporcionar un panel de estado de dispositivo que
incluya informacin sobre las alertas activas, todas las protecciones
aplicadas al trfico, total del trfico permitido y bloqueado a travs de
las interfaces, estado de la CPU y memoria de sistema.

El sistema debe mostrar una lista de protecciones activas en conjunto
con estadfsticas resumidas de la cantidad de trfico permitido y
bloqueado para cada grupo de proteccin configurado.
El sistema debe proporcionar estadfsticas detalladas y grficos para
cada proteccin, mostrando su impacto en el trfico durante los ltimos
5 minutos, 1 hora, 24 horas, 7 dfas o un intervalo personalizado
especificado.

El sistema debe mostrar estadsticas de proteccin en tiempo real sobre
trfico permitido y bloqueado en bytes y paquetes, con estadsticas en
bps y pps
Las estadsticas detalladas y grficos para cada grupo de proteccin
para servidores genricos deben incluir informacin sobre el trfico
total, trfico total permitido y bloqueado, nmero de hosts bloqueados,
estadsticas sobre cada tipo de prevencin, trfico por URL, trfico por
dominio, informacin de ubicacin IP, distribucin de protocolos,
distribucin de servicios y estadfsticas principales de hosts bloqueados.

Interfaz de usuario

J


Las estadfsticas detalladas y grficos para cada grupo de proteccin
para servidores Web deben incluir informacin sobre el trfico total,
trfico total permitido y bloqueado, nmero de hosts bloqueados,
estadfsticas sobre cada tipo de prevencin, trfico por URL, trfico por
dominio, informacin de ubicacin IP, distribucin de protocolos,
distribucin de servicios y estadsticas principales hosts bloqueados.
para los servidores DNS deben incluir informacin sobre el trfico total,
estadsticas sobre cada tipo de prevencin, informacin de ubicacin
IP, distribucin de protocolos, distribucin de servicios y estadsticas
principales de hosts bloqueados.
para servidores VofP deben incluir informacin sobre el trfico total, ,
estadfsticas sobre cada tipo de prevencin, informacin de localizacin
de fP, distribucin de protocolos, distribucin de servicios y estadfsticas
El sistema debe admitir la generacin de informes pdf que contiene las
estadfsticas detalladas y grficos para cada grupo de proteccin.
El sistema debe admitir la generacin de reportes de correo electrnico
con fas estadfsticas detalladas y grficos para cada grupo de
proteccin.
El sistema debe suministrar toda la interfaz CLI a travs del puerto de
consola serie RS-232.
Mitigacin en la nube El sistema debe de proporcionar fa posibilidad de solicitar a travs de
un protocolo de sealizacin en la nube al Proveedor de Servicios
(ISP). para que empiece una mitigacin ascendente ("mitigacin en la
nube") cuando el enlace sea saturado por un ataque volumtrico de
DDoS.
La funcionalidad del sistema de "sealizacin en la nube" debe de
soportar la solicitud de mitigacin ascendente en la nube desde el
Proveedor de Servicios (ISP) que proporciona la conectividad a Internet
o desde el Proveedor de Servicios Administrados de Seguridad en la
nube (no directamente conectado al sitio).
El sistema debe de poder disparar la solicitud para una mitigacin de
nube ascendente, ya sea manual o automticamente a travs de la
configuracin de umbrales de trfico.
El sistema debe automticamente reportar el estado y estadsticas
durante una mitigacin en la nube, iniciada por el Proveedor de
Servicios (ISP) sin la necesidad de una solicitud explfcita.
El sistema debe ser capaz de informar la cantidad de trfico bloqueado
en bps y pps durante una mitigacin en la nube en curso.


El sistema debe ser capaz de informar la cantidad de. tiempo que una
mitigacin de nube lleva ejecutndose.
El sistema debe ser capaz de informar el estado actual de una
mitigacin de nube solicitada, informando si se ha activado
correctamente en la nube o no.
El sistema debe enviar notificaciones acerca cualquier cambio de la
mitigacin en la mitigacin.
El sistema debe de ser capaz de reportar el estado de la conexin de
sealizacin en la nube con el sistema del Proveedor de Servicios
Administrados de Seguridad, mostrando el estado de conexin, errores .
de conexin y cuando haya sido deshabilitado.
El sistema debe de poder proporcionar la capacidad para manualmente
disparar una prueba de conexin de sealizacin en la nube con el
sistema del Proveedor de Servicios Administrados de Seguridad.
Prevencin de ataques El sistema debe ser capaz de bloquear paquetes que no son vlidos
(incluidos los controles de encabezados IP malformados, fragmentos
incompletos, checksum IP errneos, fragmentos duplicados, fragmentos
muy largos, paquetes pequeos, paquetes TCP pequeos, paquetes
UDP pequeos, paquetes ICMP pequeos, checksums TCP/UDP
errneos, banderas TCP invlidas, nmeros ACK invlidos) y
proporcionar estadfsticas para los paquetes descartados.
Es imperativo que estos valores estn pblicos en documentos oficiales
del fabricante, por transparencia con el proceso no se aceptarn cartas
del fabricante o canal para justificar cumplimiento.
El sistema debe permitir la configuracin de listas de filtros que
contengan expresiones FCAPS para permitir o bloquear trfico.
El sistema debe ser capaz de detectar fuentes que envfen cantidades
excesivas de trfico bajo umbrales configurables, para despus colocar
esas fuentes en listas de hosts bloqueados temporalmente (bloqueo
basado en la tasa de trfico).
El istema debe de ser capaz de descartar paquetes segn puertos
TCP especficos y payloads que coincidan o no con expresiones
regulares configurables.
El sistema debe de ser capaz de descartar paquetes segn puertos
UDP especficos y payloads que coincidan o no con expresiones
regulares configurables.
El sistema debe de soportar prevencin de inundacin suplantada de
SYN's TCP que autentifiquen conexiones TCP desde los host origen.
La prevencin de inundacin suplantada de SYN's TCP debe de ser
capaz de especificar los puertos TCP origen y destino a ser ignorados.

)

Fecha: 09.10.2013 Pgina 49 de 129 Versin: V 1 .0.0

j

La prevencin de inundacin suplantada SYN's TCP debe proporcionar
una forma de no impactar sesiones de usuarios legitimes HTTP a
travs de redireccin HTTP subsecuente.

La prevencin de inundacin suplantada de SYN's TCP debe de
proporcionar opciones de mecanismos fuera de secuencia ACK para la
autentificacin de la conexin de las aplicaciones basadas en TCP que
son sensitivas a envio de TCP RST a los clientes.

El sistema debe de soportar la supresin de sesiones TCP inactivas si
el cliente no envla una cantidad de datos configurable por el usuario
dentro de un periodo de tiempo configurable por el usuario.

El sistema debe de soportar la capacidad de poner en listas negras a
los host despus de un nmero de conexiones TCP consecutivas
inactivas configurables por el usuario.

El sistema debe de soportar el bloqueo de solicitudes DNS
malformadas en el puerto 53 que no cumplan con el estndar RFC.

El sistema debe de ser capaz de autentificar solicitudes DNS desde el
host origen y suprimir aquellas que no puedan ser autentificadas dentro
de un tiempo especifico.

El sistema debe ser capaz de limitar el nmero de consultas DNS por
segundo a una velocidad configurable por el usuario.

El sistema debe ser capaz de bloquear el trfico desde cualquier host
que genere ms solicitudes DNS fallidas consecutivas del lmite
configurado y poner al host origen en una lista negra.

El sistema debe proporcionar la posibilidad de configurar expresiones
REGEX para suprimir el trfico DNS especifico con los encabezados
que coincidan con las expresiones.

El sistema debe ser capaz de detectar y eliminar paquetes con formatos
incorrectos de HTTP que no se ajusten a los RFC's para los
encabezados de solicitud y poner al host origen en una lista negra.

El sistema debe de ser capaz de bloquear hosts que exceden un
umbral configurable para el nmero total de operaciones por segundo,
por servidor destino.

El sistema debe ser capaz de suprimir paquetes HTTP especlficos
segn los encabezados HTTP coincidentes con hasta 5 expresiones
REGEX configurables.

El sistema debe de proporcionar la capacidad de normalizar el trfico
que coincida con una expresin FCAPS especifica, y suprimir el trfico
que exceda la tasa configurada. Las expresiones FCAPS deben
soportar la seleccin de los campos de encabezado 1 P y campos de los
y TCP).
encabezados en capa 4 (UDP

El sistema debe proporcionar la capacidad para detectar y bloquear las
inundaciones de SYN's TCP por encima de la tasa configurada.

"""'' -0.l'!hl f ' .,.., .,_."'"0"2 f' ' to'M'
.
'- "' z '
..
'"
..

El sistema debe proporcionar la capacidad para detectar y bloquear las
inundaciones ICMP por encima de la tasa configurada.
El sistema debe proporcionar la capacidad de bloquear el trfico
procedente de fuentes que interrumpen reiteradamente solicitudes
HTTP.
El sistema debe proporcionar la capacidad de bloquear el trfico
originado por bot's segn las firmas proporcionadas por el sistema.
El sistema debe de ser capaz de activar de manera peridica las
nuevas tcnicas de defensa actualizando las firmas que sern
mantenidas por el equipo de investigacin del fabricante 24x7,
monitoreando al menos el 70% del trfico del Internet a nivel mundial en
busca de botnets y nuevos vectores de ataque. Es imperativo que estos
valores (porcentaje) estn pblicos en documentos oficiales del
fabricante, por transparencia con el proceso no se aceptarn cartas del
fabricante o canal para justificar cumplimiento.
El sistema debe proporcionar la posibilidad de actualizar de manera
peridica y automticamente sus firmas de proteccin de ataques , en
intervalos configurables.
El sistema debe proporcionar la posibilidad de actualizar
automticamente sus firmas de proteccin de ataques cuando sea
solicitado manualmente.
El sistema debe proporcionar la capacidad para realizar la actualizacin
de firma de proteccin de ataques ataque a travs de servidores proxy.
El sistema debe de poder bloquear trfico Multicast.
El sistema debe de proteger contra amenazas en TLS.
El sistema debe de prevenir el bloqueo global de CON o proxies.
El sistema debe de identificar web crawlers y monitorear su uso.
El sistema debe permitir la configuracin de protecciones predefinidas
asociadas con servicios especfficos, como Web, DNS, VoiP o un
servidor genrico.
El sistema debe de soportar la capacidad de cambiar el Nivel de
Proteccin que se aplica al trfico, cambiando efectivamente la
configuracin en uso por el sistema para todas las prevenciones,
simplemente con presionar botones acorde al tipo de proteccin: Baja,
Media y Alta.
El sistema debe de permitir que los parmetros de proteccin sean
cambiados mientras la proteccin est corriendo.
El sistema debe de poder bloquear por pafs de origen.

J


'"''''
l
iJ
/

Inteligencia en
Seguridad
Todo dispositivo de seguridad debe de venir acompaftado con
investigacin y anlisis detrs para poder mitigar las amenazas y
vectores de ataque actuales. Por lo que el fabricante de la solucin
debe de contar con algn sistema de inteligencia donde se est
monitoreando las amenazas de Internet a nivel mundial y debe de
cumplir con al menos las siguientes caracterlsticas:
Al menos analizar 3 Terabits por segundo en Internet para tener una
amplia muestra y visin a nivel mundial
Al menos 70 JSP's deben de compartir informacin de ataques con el
fabricante
Al menos 30 GB de trfico malicioso debe de ser analizado diariamente
proveniente de darknets o honeypots
Estos datos deben de estar pblicos en el sitio web del fabricante, por
transparencia no se aceptarn cartas firmadas de ningn tipo donde
clamen cumplir este punto si no se encuentra pblicamente disponible
en el sitio web del fabricante.

3.2.3.4 Sistema de control de acceso a la red cableada e inalmbrica

Se requiere un sistema de Control de Accesos que autorice, niegue o limite los accesos de dispositivos a la red,
validando las credenciales de usuario, tipo de usuario, tipo de dispositivo, salud del dispositivo y otras pollticas de
seguridad definidas por el Administrador de la Red, teniendo como puntos de validacin equipos de conmutacin
IP (switches) que soporten el protocolo 802.1X.

Terminologa

Entidad fundamental del sistema de Control de Accesos, encargada de
autenticar y autorizar el acceso a los usuarios/dispositivos la red, asl como
definir su nivel de acceso permitido, con base en la validacin del
Nodo de polticas cumplimiento de polticas y posturas preestablecidas.
El nodo de pollticas ser el encargado de aplicar las funcionalidades de
AAA, adicionando la validacin de perfil de usuario/dispositivo, validacin
de posturas y remediacin.
Almacena una bitcora con todas las peticiones de acceso a la red y

Nodo de
monitoreo

Nodo de
administracin
proporciona un reporteo de la actividad de los usuarios y las caracterlsticas
de seuridad de los dispositivos a los que se les ha concedido el acceso.
Proporciona una nica interfaz grfica para la administracin del sistema, a
travs de la cual se administra el Control de Accesos para usuarios
cableados, inalmbricos \'USuarios conectados vla VPN.
Se le denomina as al software instalado, pre-instalado y de instalacin bajo
Agente/Suplicante demanda que reside en los dispositivos de usuarios y solicita acceso a la
red. Este aente debe tener funcionalidades de 802.1X
Equipo de red que recibe peticiones de acceso por parte de los

Network Access
Device (NAD)
usuarios/dispositivos y las compara con la polftica de acceso establecida en
el "Nodo de pollticas", para autorizar, negar o limitar el acceso a Jos
dispositivos que se conectan a travs de sus puertos (fsicos o lgicos),

mediante el protocolo 802.1X.

,J, "'-"'"'''_-:;';,". ''''''"'""'""'''""''"S'f.c,;;\, ,;,,";;- .; ,;._:;,,,;,, ,.;0''-=ii; ; ,,;;=;,. ,,w, ,;;."''"'<'@'IW'=@]"'"""''"=@] "';"'"'' -"'' '"""'"!o. ., ., ,.@i_,_,._,@ '"','.._,_

Dispositivo
Un dispositivo es cualquier equipo electrnico que tenga la capacidad de
conectarse a la red IP, ya sea cableada (802.3) o inalmbrica (802.11).
En la red existen dos tipos de dispositivos: dispositivos de usuarios como
pueden ser PCs, laptops, telfonos inteligentes y tabletas, y dispositivos
NO usuarios, como pueden ser impresoras y telfonos IP.

Usuario
Un usuario es cualquier persona que requiere acceso a la red, ya s
Administrador de Red, empleado o visitante.
Estadsticamente, un usuario en promedio conecta 3 dispositivos a l
su PC/Iaptop, su tablet v su telfono inteliente personal v/o corpora
a

a red:
tivo.

1

e

Caracterfsticas tcnicas requeridas en la solucin de Control de Accesos:

Generales
La solucin debe controlar el acceso de los dispositivos a la LAN y fa WLAN,
con un licenciamiento inicial que soporte el control de acceso para 1000
dispositivos concurrentes en ambas redes. Los dispositivos deben ser
autenticados y clasificados con base en su perfil, manteniendo el perfil de
cada uno de ellos en la base de datos del sistema.
Considerando un mximo de 3 dispositivos por usuario y un mximo de 1200
empleados, la solucin debe permitir la escalabilidad de licenciamiento para
hasta 3600 dispositivos concurrentes, sin la necesidad de realizar cambios
en el hardware.
La solucin debe incluir el hardware y software necesarios para realizar
funcionalidades de autenticacin y autorizacin para usuarios/dispositivos
que se conectan a red por medio cableado e inalmbrico, asf como tambin
para dispositivos que se conectan a la red vfa VPNs, con la implementacin
de una polftica de seguridad consistente para todo el x basada en ef
protocolo 802.1X
La solucin debe considerar la validacin de posturas y el anlisis del
contexto de los dispositivos (tipo de dispositivo, Jugar de conexin, horario de
conexin y medio de conexin) como parte de las polticas configurables
para la autorizacin del acceso a la red.
La solucin debe contar con nodos de Polticas, Administracin y Monitoreo,
de acuerdo a fas caracterfsticas de estos elementos descritas anteriormente
v debe haber redundancia en todos estos elementos.
La solucin debe residir en servidores dedicados (appliances), instalados
dentro de las instalaciones deix, en una ubicacin con seguridad fsica
que el x destine para estos equipos.
Se deben incluir todos los accesorios necesarios para fa instalacin de los
equipos en rack de 19".
La propuesta debe considerar los Servicios de Consultora para traducir la
Polftica Corporativa de Seguridad hacia reglas aplicables ar Sistema de
Control de Acceso.
Los dispct>sitivos que soliciten acceso a la red podrn ser autorizados,
Control de
limitados o rechazados basados en los siguientes criterios:

Acceso

Atributos del usuario: Usuario y contrasea de dominio, certificado

digital, grupo de usuario.

Contexto del dispositivo: Horario de conexin, lugar de conexin,

---> """ >- W->HP-' " 0' " = ---- - - - --..... -- -- "rm @@

medio de conexin (cableado, inalmbrico, VPN) y tipo de
dispositivo.

Cumplimiento del dispositivo: Versin del sistema operativo, parches,

actualizaciones, aplicaciones instaladas, antivirus, anti spyware, etc.
Para identificar el tipo de dispositivo que se est conectando a la red, la
solucin debe realizar pruebas a los dispositivos basadas en DHCP, NetFiow
vSNMP.
En funcin de los atributos de usuario y atributos de dispositivo, la solucin
debe aplicar las siguientes reglas generales de control de acceso:

Si el usuario/dispositivo pertenece al dominio y cumple las polfticas

establecidas, debe poder ingresar a la red con el perfil adecuado a
su funcin dentro de la organizacin y ser colocado en una VLAN
productiva.

Si el usuario/dispositivo pertenece al dominio pero su mquina no

cumple las polfticas establecidas, debe poder ingresar a la red con el
perfil restrictivo y colocado en una VLAN de Remediacin o
cuarentena. Ante una remediacin exitosa, podr ser colocado en
una VLAN productiva.

S el usuario/dispositivo no pertenece al dominio y por ende no tiene

credenciales en el directorio corporativo, debe ser re-direccionado a
un portal WEB a travs del cual podr autenticarse con credenciales
temporales, para ser colocado en una VLAN de invitado con acceso
limitado. Ante la falla de esta autenticacin, se le negar totalmente
el acceso al usuario.

Si el usuario/dispositivo no logra autenticarse a travs de ningn
mtodo, se le negar el acceso a la red.
La solucin debe permitir la aplicacin de listas de acceso descargables
(dACLs) para limitar temporalmente el flujo de trfico de dispositivos que no
cumplen con las posturas requeridas, con la finalidad de permitirles acceder
exclusivamente a recursos de remediacin.
El sistema debe realizar peridicamente la verificacin del cumplimiento de
posturas de los dispositivos que solicitan acceso a la red, asl como de los
dispositivos ya conectados (autenticados y autorizados) y el Administrador
del Sistema podr configurar el intervalo de tiempo en que el nodo de
polticas realiza dicha verificacin. Si en cualquier momento el cumplimiento
de posturas no es el correcto, automticamente y sin intervencin de ningn
administrador, el usuario debe ser advertido y el acceso de su dispositivo
debe ser limitado a una VLAN de remediacin.
Debe poseer las siguientes funcionalidades cmo parte de la validacin de
posturas:

Verificacin de versiones y parches de sistema operativo.

Verificacin de antivirus y anti-spyware instalado y actualizado a la

ltima versin.

Verificacin de determinados registros en el dispositivo, para
identificacin pertenencia de la estacin de trabaio al organismo.
Se debe utilizar un cliente de software en los dispositivos finales,
exclusivamente para la validacin de posturas, con las siguientes
caracterlsticas:
f:""'""'i'- "'"'"""'""""""'::::?""
i!S! .pp
g .;qpg A "
2
evfi!W.!tt!'""'-='-""'?.:'"'ii1l f H
GH P'-'-"''S''"1"21R"S >-'f! JVM 8i H [fp
"'""=<f."!?"'"''" iil! 8 Wli""""""'""

Fecha: 09.10.2013
N
Pa
'
gma 54 de 129 Vers1
"
o
'
n: V 1.0.0

Podr ser instalado permanentemente en equipos que cuenten con

los siguientes sistemas operativos: Windows 8, Windows Vista,
Windows 7, Windows XP y MacOS X

Podr ser instalado temporalmente a travs de un applet personal:
Active X Java en equipos Windows.

Podr realizar verificaciones recurrentes del cumplimiento de
_ll_osturas en el qui_o.
La solucin debe ofrecer herramientas para remediar el incumplimiento de
Jlosturas en la estacin de trabajo.
La solucin debe incluir un modelo de control de acceso basado en roles de
usuario.
La solucin debe tener la capacidad de integracin con plataformas MDM
(manejo de dispositivos mviles), para controlar las aplicaciones que tienen
instaladas los telfonos mviles corporativos, como parte de la polrtica de
control de accesos.
La solucin debe incluir un modelo de control de acceso basado en grupos
de usuarios. Los usuarios deben poder ser relacionados a uno o ms grupos
y, con base a su pertenencia a determinado grupo, se les podr
conceder/ne:ar el acceso a determinados recursos de red.
La validacin de pollticas en la estacin de trabajo debe poder realizarse
antes y despus que el usuario se haya identificado.
A cada polltica de verificacin del puesto de trabajo se le debe poder
configurar una leyenda que describa el cumplimiento y otra de remediacin.
El usuario debe poder responder a la misma seleccionado una opcin
indicada.
El mtodo principal para la autenticacin de los usuarios debe ser con la
autenticacin en el dominio Windows utilizando tcnicas de SSO (Single-
Sign-On), es decir, que las mismas credenciales que utiliza el usuario para
acceder al dominio de Windows sean utilizadas para acceder a la red.
Las credenciales de los usuarios deben ser almacenadas y validadas en un
directorio corporativo Microsoft Windows Active Directory 2012.
Adicionalmente, el sistema debe permitir la autenticacin transparente para
el usuario a travs de certificados digitales X.509 instalados en su
dispositivo.
La solucin permitir analizar los certificados que presentan los clientes para
permitir o denegar el acceso a los recursos internos y basados en los
campos del certificado presentado por el cliente se asocia el cliente a un
grupo o role con determinados privilegios de acceso sobre los recursos.
El sistema debe permitir acceso limitado a equipos externos a la red
corporativa que no estn registrados en el dominio (proveedores, invitados,
etc.) mediante un portal web cautivo a travs del cual se realice la
autenticacin web de estos usuarios.
El sistema debe permitir la autenticacin por direccin MAC exclusivamente
para dispositivos que no soportan 802.1x (dispositivos no usuarios, como
impresoras).
El sistema debe soportar el protocolo RADIUS para autenticacin,
autorizacin y Auditorla (AAA).

j

El sistema debe soportar los siguientes protocolos y estndares del
framework 802.1X:

Autenticacin PAP

Autenticacin MS-CHAP

Autenticacin Extensible Authentication Protocol (EAP)-MD5

Autenticacin Protected EAP (PEAP)

Autenticacin EAP-Fiexible Authentication via Secure Tunneling (

EAP-FAST)

Autenticacin EAP-Transport Layer Securitv (EAP- TLS)
El sistema debe permitir asignar uno o ms grupos al usuario dependiendo
de cualquier atributo, especificado por el administrador, obtenido de su
fuente de autenticacin (por ejemplo LDAP, Radius).
lnteoracin a un esquema PKI
Almacenamiento de certificados propios (self-siqned)
Utilizacin de certificados generados por una CA

Administracin,
monitoreo y
reporteo
La administracin debe ser centralizada para todo el sistema.
Debe proporcionar el monitoreo, reportes y solucin de problemas mediante
una consola de operaciones.
Debe incluir plantillas predefinidas para la configuracin de pollticas de
dispositivos comunes.
Debe contar con la facilidad de descubrir los dispositivos conectados a la red
y clasificarlos automticamente.
Debe permitir la creacin y administracin de perfiles y posturas.
Debe permitir la administracin y credencializacin de usuarios invitados
conectados a la red, administrando su ciclo de vida: fecha y horario de inicio
y fin de su conexin temporal.
Debe ofrecer informacin contextua! en tiempo real de todos los usuarios y
dispositivos conectados a la red.
La solucin debe incluir como opcin el auto-aprovisionamiento de usuarios
invitados, los cuales deben ser aislados en una VLAN con acceso restringido.
La solucin debe almacenar los logs de todos los pedidos de autenticacin
de los usuarios como tambin los resultados de cumplimiento de normas de
cada uno de ellos.
Debe poder almacenar al menos:

Informacin del usuario que se registra (lag in) y del que finaliza su

sesin (lag-out).

Timeout de sesiones, incluyendo tiempos sin actividad y tiempos
mximos de sesin.

Cumplimiento de las pollticas de seguridad y auditora por usuario.

Estado de la comunicaciones entre los Agentes y los Network

Access Device (NAD)s.

Cantidad de usuarios que inQresan al sistema con/sin xito.
Los logs deben poder ser ex"portados a una plataforma de correlacin de
eventos compatible con sysloQ. Se debe soportar uno o ms sysloq.
El sistema debe permitir la navegacin, filtro y ordenamiento de los logs y su
consulta desde la misma plataforma.
El sistema debe permitir la categorizacin de los logs en funcin de la
=d " ?;?;:q!!'!'l'f'':'&' ::'!!:::'P.lo" "- "- -- """""""' -
M *'llifl"'WM"'-'t''"*'W'iJ63J"'"""'"!: ':'t:m F +y< &'E!iffi'!"-"' ml''"'f'r """."''?:':' 2'illiillilli!A" f'Jm"fi"h'"''M"'ff-=
Fecha: 09.10.2013 Pa
'
gma 56 de 129 Vers1on: V 1.0.0

importancia.
Los administradores deben contar con perfiles de acceso con
lectura/escritura o solo lectura para cada una de las funciones de
configuracin: configuracin, gestin, roles, tareas administrativas, tareas de
mantenimiento, entre otras.
El sistema debe permitir generar roles de administracin por atributos como:
nombre de usuario o qrupo en el dominio.
La configuracin del equipo debe poder ser guardada y/o exportada en forma
programada a un repositorio de configuraciones externo.
Se podr instalar en los equipos de la red una versin pre-configurada del
agente.

3.2.3.5 Balanceador de carga

Se definen como Servicios de Balanceo de Cargas de enlaces al uso de la facilidad de los enlaces a la red de
Internet que el x recibe.

Con la finalidad de simplificar los requerimientos bajo demanda del presente documento, se define la Unidad de
Balanceo de Cargas (UBaiC) como el equipamiento con hardware redundante en esquema activo/pasivo que
permite: proporcionar alta disponibilidad para la seleccin del enlace que utilizaran los usuarios internos deix
para navegacin a interne! y seleccin, mediante resolucin de DNS, del enlace por el cual los usuarios externos
podrn acceder a los aplicativos publicados por el x.
Dicho equipamiento debe contar con procesador de varios ncleos y ser compatible con la infraestructura de la
red LAN/WAN

EIX requiere 2 Unidades de Balanceo de Cargas de enlaces como parte de la solucin y las solicitar bajo
demanda; el licitante ganador se obliga a proporcionar dichas Unidades de Balanceo de Cargas en forma
independiente, es decir, el par redundante debe estar conformado por sistemas individuales con un mecanismo
de alta disponibilidad.

CARACTERSTICAS TCNICAS MNIMAS DEL BALANCEADOR DE CARGAS

Balancear al menos 4 enlaces.
Soporte de al menos 212,000 sesiones por segundo en capa 7 (L7).
Soporte 5 Gbps de Throughput.
Sistema operativo a 64 bits.
Soporte de un mlnimo de 8 puertos, en cobre RJ-45.
Soporte 2 puertos de 10 G (opcional).
Soporte para cuando menos 250 IP's Virtuales (Virtual servers).
Soportar al menos los siguientes algoritmos de balanceo de entrada: Round Robn, Topologa,
Proporcin (ratio), Enlace preferente.
Soportar al menos los Siguientes algoritmos de balanceo de salida: Round Robn, IP Origen, IP Destino. )
Soportar al menos los siguientes mecanismos de monitoreo de la disponibilidad de enlaces de salida
mediante la validacin ?e la capacidad de estos para navegar hacia sitios pblicos de interne!: ping, http,
tcp, udp.
Determinacin del enlace de entrada a utilizar mediante mecanismo de resolucin por DNS.


Soporte del Protocolo SNMP.
Consola de administracin remota con seguridad basada en usuario y clave, con un canal seguro de
comunicacin, que soporte GUI y CLI.
Configuracin Dinmica de Recursos.
Manejo de pistas de auditorla e informacin estadistica.

Para la partida 3 el licitante debe presentar carta emitida por los fabricantes de los equipos propuestos
donde lo certifique como distribuidor autorizado y como especialista en seguridad avanzada.

El licitante debe presentar copia del siguiente certificado del personal asignado a la implementacin del proyecto:

1 Ingeniero con el nivel mximo especializado en seguridad.

de alta en eiiMSS

3.2.3.5.1 Servicio de mantenimiento y Garanta

Ah'_en'a'.:Ji,' t'd'' eQUiP'',p :'aeg d-dP ifrri t ' -\- -?.\.: '};' -:-:-:,:E_ -,' ::_, :._ -;;.: -- -7i. --;?,,j'I'.h:'"i' ,,, .,, " '''-' :. .'{' . _,_;\

..
- :aiite'rrstic'a:'''.-.__ -; _, _._,,,. :_,.__.,. ,.c. . :.:. .;o ';
;J;--.c:: ,,.
Propsito Proporcionar los equipos que soporten las funcionalidades del Sistema de Prevencin de Intrusos,
Filtrado de Contenido,Sistema de proteccin contra ataque de denegacin de servicios, Sistema de
control de acceso a la red cableada e Inalmbrica y Sistema de Servicios de Balanceo de Cargas para
las localidades del X., asf como las funcionalidades requeridas para estos equipos.
Tipo de servicio Equipos para red de datos
Area geogrfica y/o lgica de cobertura Centro de Cmputo de!X e instalaciones adicionales.
Horario delservicio
7x24

Prioridad Critica

\
.

caraterrstlca
Indicador de Desempeo Disponibilidad. la capacidad y funcionalidad de los equipo para la red de datos, debiendo tener una
disponibllldad de 24 horas al dfa, 7 das a la semana, por la duracin del contrato.Se espera que la
disponibilidad cumpla con los siguientes parmetros.


U oras Totales del periodo-Horas de ventana de mantenimiento

Hotos totales del periodo


paro,hasta elmomento en que ellicitante ganador libera a produccin y recibe la aprobacin por
ventanas de mantenimiento en un ao,lo que da como r sultado:

Disponibilidad anualTotal> 98.904%
Disponibilidad anualTotal> 8,664 horas

Disponibilidad por Incidentes

Disponibilidad por iucldentes = H
otas tota
l
es
d
e
l
pen
o
d
o

Horas totales delperiodo anual= 8760

las horas de paro por falla se contabilizan a partir de la hora en que se genera la notificacin,va
electrnica,allicitante ganador a causa de un evento notificado como incidente,que est causando el
paro totalo parcial {deterioro mayor al20% en tiempo de respuesta o asignacin de recursos de
computo, almacenamiento o ancho de banda,reflejado en los parmetros de monitoreo) de los
ambientes de produccin,hasta elmomento en que el licitante ganador libera a produccin y recibe la
aprobacin por parte del administrador de la infraestructura.
de 24 horas acumuladas en un ao,lo que da como resultado:


Rendimiento.


--A i- da -e- t-de-eqcJp-p u Segtirid-3'd P;'ffi'fi-a-
'---:-'rat:te'ri t'ia -
Nivel de Servicio mfnimo esperado

Deduccin
Prioridades de incidentes,a partir de la confirmacin del incidente y su tipificacin. la
atencin ser obligada mente en sitio y solamente podr cambiarse a atencin remota con
informticos dellfT.
En caso de incumplimiento en elparmetro de Disponibilidad Total el licitante ganador ser
acreedor a una pena de 1% de la facturacin del periodo por cada hora de incumplimiento
acreedor de penas de 1% de la facturacin del periodo por cada hora de incumplimiento
de la disponibilidad por incidentes en el periodo en caso de paros no programados.

3.2.4 Esquemas de servicio, atencin a fallas y mantenimientos de la partida de Servicios
Administrados de Infraestructura Telefnica

Area geogrfica
y/o Lgica de
cobertura Insurgentes

Localidades

en:

Cdigo
Alternas

.
del la Zona

De acuerdo con la cobertura geogrfica por definir por el x, se podr asignar un sitio
adicional de instalacin para cobertura por parte de los Servicios de este proyecto, este sitio
estar situado dentro del rea metropolitana La atencin a esta localidad adicional se har
con un ingeniero del Grupo de soporte tcnico en sitio, el cual podr adicionarse una vez
autorizado orla Direccin de Sistemas Informticos.
)
Vigencia A partir de la adjudicacin y por la vigencia del contrato.

Fecha: 09.10.2013 Pgina 60 de 129

Ser.iicios de atencin a cambios, altas y bajasy mantenimiento'; . . ; '.: , ,'
Horario del Lunes a Viernes con horarios continuos de 8:00 a 18:00 Hrs.
servicio
Prioridad Prioridad Alta
Periodicidad de Ninguno
revisin del ANS

3.2.4.1 Servicios de atencin en sitio de la partida de Servicios Administrados de Infraestructura
Telefnica

El alcance del soporte tcnico debe incluir un Grupo de soporte tcnico en sitio, integrado como mlnimo un
ingeniero en sitio, especialista en voz, con la finalidad de que provean servicios correctivos a los equipos que se
instalaran en las oficinas del X, el horario de atencin del ingeniero ser de Lunes a Viernes de 08:00 hrs. a 18
hrs. Se debe considerar que las prestaciones contractuales de los ingenieros de servicio, que integren el
grupo de soporte tcnico en sitio, deben ser cubiertas y notificadas con un mnimo de 24 horas de anticipacin, a
excepcin de las que sean originadas por causa de fuerza mayor, las cuales deben ser cubiertas., considerando
el horario de trabajo antes mencionado, con el fin de cumplir el tiempo de atencin solicitado en los sitios de
cobertura determinados y acordados con el Administrador del Contrato.

Este ingeniero especialista debe tener la capacidad de proporcionar el servicio correctivo a los sistemas
propuestos, as como lo servicios de Altas, bajas y Cambios de programacin necesarios durante la vigencia del
contrato.

Estos servicio no incluirn el suministro de materiales adicionales y/o miscelneos, a los propuestos inicialmente,
por lo que se cotizaran como ampliaciones y deben ser estimadas e integradas en una propuesta, la cual debe
ser autorizada por el Administrador del Contrato, antes de iniciar la ejecucin de las actividades que involucren
los materiales adicionales y/o miscelneos.

Los ingenieros que integren el Grupo de Soporte en sitio, se encontrarn en las instalaciones deix, de tiempo
completo y sern responsables de atender los servicios solicitados por la Mesa de Servicio x del X.

3.2.4.1.1 Atencin a Fallas y nivel de soporte

La atencin a fallas debe prestarlo El Licitante, mediante personal propio en sitio o mediante un nmero
telefnico de atencin nico, esto de acuerdo a los siguientes niveles de servicio.

Nivel1:

Nivel2:

Atencin telefnica a travs de un nmero nico de contacto, donde se podr contactar, abrir y registrar
incidentes, recopilar la informacin de la falla presentada, diagnstico y soporte inicial, asl como el
proceso de escalamiento a nivel 2 y nivel 3, actividades de seguimiento y cierre de incidentes.

Investigacin y diagnstico de los incidentes escalados por la mesa de ayuda (Nivel 1). En este nivel se
realizara el diagnstico y aplicacin de soluciones ya sea en sitio, a travs del ingeniero asignado, de


u
'
"O

Nivel3:
forma remota para la solucin de incidentes y escalacin a nivel 3.

Este nivel debe contemplar soporte en sitio por parte de los ingenieros de campo, para la solucin de los
incidentes, debe contemplar reconfiguracin y/o sustitucin de hardware del equipo y aplicaciones que se
propongan como solucin.

3.2.4.1.2 Prioridades de incidentes

Para la atencin y resolucin de incidentes, se deben utilizar diferentes prioridades, a continuacin se detallan las
requeridas como mfnimo:

Nivel de Servicio mnimo esperado es el siguiente:
El tiempo de respuesta al reporte ser de menos de 15 minutos, al reporte levantado por correo
electrnico.
El tiempo de atencin a incidentes, para componentes de hardware y software, ser en la localidad en la
que se ubican los equipos a travs del Grupo de Soporte en un tiempo menor a 30 minutos, a partir de la
confirmacin del incidente y su tipificacin. La atencin ser obligadamente en sitio y solamente podr
cambiarse a atencin remota con previa autorizacin del responsable del Proyecto o del Director de
Sistemas informticos deix.
La prioridad se asignar de acuerdo a la siguiente tabla:
Toda la red
telefnica
3

e
Un Edificio

O
o localidad
ro
completa

<( Un rea de
<lJ
trabajo
Qj
completa

z
>

Un Usuario
'3

Informativo o
planeacin
Baja. Puede
planearse su
atencin
Importante. Causa una
disminucin en la
disponibilidad del
recurso
Criticidad
Urgente. El recurso no
est disponible y causa
una afectacin a las
actividades

La prioridad aplica para eventos clasificados como incidentes y de los cuales es responsabilidad del licitante
ganador su atencin. En caso de que se determine que los recursos que permitirn corregir el evento no forman
parte de los recursos a ser suministrados por el licitante ganador, el tiempo queda suspendido en tanto se
e '.e'" """"'- ... '-=-"""""'''""''"'""" m+&"@"'-=='-= '"--
k
Fecha: 09.10.2013 Pgina 62 de 129 Versin: V 1.0.0 \

determina y autorizan los recursos necesarios para corregir el incidente.

Cdigo de
Prioridad
Tiempo mximo de
diagnstico (Horas)
Tiempo mximo de
solucin (Horas).
1
1
4
2
2
8
3
2
12
4
2
24

El licitante ganador del servicio administrado debe considerar la mejora continua de los servicios solicitados a
travs de la actualizacin tecnolgica y/o mediante la habilitacin y el soporte de nuevas funcionalidades,
optimizaciones al servicio, durante la duracin total del contrato de servicio. Esto lo lograr garantizando que la
infraestructura y los componentes del servicio, se mantengan actualizados durante la vigencia del contrato, tanto
en la ltima versin de software que libere el fabricante de los mismos (actualizaciones menores y mayores tanto
para aplicaciones como para sistemas operativos), como mediante el reemplazo de dichos componentes por
elementos equivalentes o superiores, cuando el fabricante anuncie su retiro del mercado, por discontinuidad y fin
de soporte del hardware, software, licencias, funcionalidades, servicios, entre otros y licitante ganador del
servicio administrado no tenga forma alterna de seguirlos soportando.

Los servicios administrados consideran como parte de su alcance la administracin, operacin, mantenimiento y
soporte de la infraestructura existente en el X. El licitante ganador del servicio administrado debe otorgar los
servicios operativos (tales como: soporte tcnico, optimizacin, mantenimiento preventivo y reactivo, puesta a
punto, ajustes finos, mejoras, actualizaciones de hardware, software, firmware), de soporte proactivo y reactivo,
para cumplir con los niveles de servicio asociados.

Para todas las partidas .- Para la administracin de los incidentes durante el periodo de garantfa el licitante
ganador debe contar con una mesa de servicio alineada con los procesos de ITIL, para lo cual debe demostrar
que su herramienta de mesa de servicio est certificada por Pink Verify en al menos 4 procesos, imprimiendo la
pgina de Internet.

La mesa de servicio debe contar al menos con 5 personas certificadas en ITIL para lo cual debe presentar copia
de sus certificados en el sobre de ofertas. La mesa de servicio debe contar con una cobertura de atencin
7x24x365 y al menos 1O posiciones.

La empresa licitante debe contar con alguna certificacin de calidad similar a JS0-9000 para lo cual debe
presentar copia del certificado.

.- Para garantizar Jos niveles de soporte solicitados, el licitante debe contratar con cada uno de los fabricantes las
plizas de soporte tcnico y reemplazo de p9rtes durante la vigencia del contrato con los mismos niveles de
servicio solicitados por la convocante. Previo; a la firma de contrato el licitante debe presentar la evidencia
documental de haber contratado con Jos fabricantes.


"'"'.:;; &9 "*f&2 tt =="''""' & a ' p ="ft'--m;y

-- m :g "'&r'A'""' 4P4i&

R-ffl..,

ifu!'f"'"6 o m :=
Fecha: 09.10.2013 Pgina 64 de 129

Versin: V 1.0.0

'
3.2.4.2 Actividades de soporte tcnico para equipos de las partidas de Arrendamiento de Equipo para la
Red de Datos y Seguridad Perimetral.

Para las partidas de arrendamiento de equipo, se requiere de los servicios de soporte en sitio para realizar tareas
de cambios a la configuracin, tareas de administracin especializada y de diagnstico. Por lo cual es necesario
que el licitante ganador asigne los recursos especializados de soporte cuando le sea solicitado, para la
realizacin de las actividades antes mencionadas.
Por lo anterior, se estima el uso de un mximo de 120 horas al ano de servicios especializados de soporte para
la partida de Arrendamiento de Equipo para la Red de Datos, y se estima el uso de un mximo de 180 horas al
ano de servicios especializados de soporte para la partida de Arrendamiento de Equipo para la Seguridad
Perimetral.
La realizacin de actividades de soporte no forma parte de la garanta y atencin de soporte tcnico en sitio que
corresponden a incidentes, fallas y problemas reportados y que surjan dentro de la operacin normal de los
equipos, los cuales seguirn el curso normal de gestin de incidentes y problemas y la atencin en sitio
correspondiente, que deben estar incluida como parte de la cobertura de soporte en sitio que debe extenderse
por la vida del contrato y hasta su conclusin.

3.3 Elementos dentro del Alcance

3.3.1 INSTALACION.

El Licitante Ganador tendr un periodo de 43 dfas naturales una vez que haya sido dado el fallo de la Licitacin
para poner en operacin los servicios descritos en este anexo para fas partidas 1 y 2, a satisfaccin del X.

En caso de que a partir de fa notificacin del fallo, el licitante ganador no pueda cumplir con el compromiso de
proveer el servicio a partir del 12 de Febrero de 2014, asf sea que no hayan transcurrido los 42 das naturales,
deber negociar con el proveedor actual del servicio para que a travs de ste pueda seguir ofreciendo el
servicio al X mientras realiza la instalacin, configuracin y puesta a punto del servicio objeto del contrato.

En caso de que no se logre un acuerdo entre las partes (proveedores involucrados), ser responsabilidad del
proveedor adjudicado asumir los costos que se generen mientras instala y configura la infraestructura para
ofrecer el servicio.

3.3.1.1 Partida 1. Servicios administrados de Infraestructura telefnica.

El sistema telefnico convergente debe ser instalado en el mismo sitio donde actualmente se localiza el sistema
telefnico en operacin. El licitante ganador debe incluir en su propuesta un plan de instalacin que considere los
siguientes puntos:

Todos los elementos que integran la solucin y que se mencionan en el punto 3.2 del presente
documento, deben ser instalados en gabinetes de piso o racks de 19 pulgadas y 42 U de altura. No se
aceptan soluciones donde ef montaje de los componentes sea sin gabinete de piso o rack, o que sean de
montaje en pared, con excepcin a los componentes de cableado.
Se deben incluir todos los elementos necesarios para la instalacin, montaje y canalizacin necesarios
para la solucin de adecuaciones de cableado telefnico propuesta.

\
-

Se deben incluir todos los elementos necesarios para el montaje, fijacin y conexin de los componentes
integran la solucin yque se mencionan en el punto 3.2 del presente documento.
El x entregara un alimentador elctrico bifsico (220 volts) desde el tablero general para la
energizacin de todos los componentes de la solucin propuesta. En caso de requerir energla
monofsica (127 volts) la solucin debe incluir todo lo necesario para lograrlo.
Con el fin de dimensionar la capacidad del alimentador descrito en el punto anterior, es necesario que se
entregue junto con la propuesta un cuadro de cargas detallado que incluya todos los componentes que
sern alimentados.
Como parte de la propuesta, se debe entregar un plano detallado de la propuesta de instalacin que
incluya: la ubicacin y distribucin de los componentes que integran la solucin propuesta en el sitio de
instalacin.
Como resultado de la instalacin y configuracin del equipo que prestar el servicio de Infraestructura
telefnica, el licitante ganador debe de generar un entregable de nombre "Memoria Tcnica de
despliegue, instalacin y configuracin de los equipos la Infraestructura Telefnica".

3.3.1.2 Partida 2. Arrendamiento de equipo para red de datos.

Los equipos solicitados en arrendamiento para la red de datos, debern instalarse en sustitucin de los equipos
de la red de datos que actualmente prestan servicio de switch principal (Core Switch) y switches de distribucin,
configurando los equipos para establecer las mismas funcionalidades que cumplen los equipos actuales.

Se consideran dos etapas adicionales de despliegue, instalacin y configuracin de switch principal y switches de
distribucin:
En la etapa 2, se considera agregar una localidad adicional a la ya existente en lztapalapa. En este sitio se
requiere que los equipos sean instalados y configurados de acuerdo al requerimiento y plan de trabajo
establecidos entre el licitante ganador y el responsable del proyecto en el x.
Una etapa 3, incluye el cambio de cableado en las instalaciones de lztapalapa. Este cableado no es materia de
este contrato. Por lo que las actividades solo incluirn la reubicacin de los equipos de switch principal y switches
de distribucin de acuerdo al requerimiento y plan de trabajo establecido entre el licitante ganador y el
responsable del proyecto en el x.

Cada una de las tres etapas consideradas para el despliegue, instalacin y configuracin de los equipos la red de
datos debe de generar un entregable de nombre "Memoria Tcnica de despliegue, instalacin y configuracin de
los equipos la red de datos" correspondiente a cada una de las etapas.

3.3.1.3 Partida 3. Arrendamiento de equipo para Seguridad Perimetral.

Los equipos solicitados en arrendamiento para seguridad perimetral, debern instalarse por el licitante ganador
dentro del Centro de Datos y en las localidades adicionales, segn corresponda.
El licitante ganador deber incluir dentro del PAS dos entregables: Plan de Trabajo y una "Propuesta de
Despliegue, Instalacin y Configuracin de la Seguridad Perimetral y Sistema de Control de Acceso a los
recursos de la red de datos del x", ambos documentos debern ser validados y autorizados por el responsable del
proyecto en el x.

-Como resultado de la instalacin y configuracin del equipo que prestar los servicios de Seguridad Perimetral y
Control de Acceso a los recursos de la red de datos del x, el licitante ganador debe de generar un entregable

Fecha: 09.10.2013 Pgina 65 de 129 Versin:V 1.0.0
)

de nombre "Memoria Tcnica de despliegue, instalacin y configuracin de los servicios de Seguridad Perimetral
y Control de Acceso a los recursos de la red de datos del x".

3.3.2 PUESTA EN OPERACION.

La propuesta debe incluir un plan de trabajo para la puesta en operacin de la plataforma.
La puesta en operacin debe llevarse a cabo como mximo al dla siguiente al final del contrato actual de
servicios contratados, en caso de requerir tiempo adicional para instalar, configurar y desplegar la
solucin propuesta; el licitante ganador se obliga a establecer los convenios necesarios con el proveedor
actual para continuar prestando el servicio hasta el momento de la transicin. Lo que significa que los
servicios prestados en la plataforma actual, por el periodo de tiempo de la transicin a los servicios del
licitante ganador, podrn ser devengados en el nuevo contrato.
.- El licitante debe disponer de una Centro de Administracin de Migraciones (CAM) dedicado al
proyecto. Se debe proveer el servicio de asistencia, coordinacin y control de las actividades para
minimizar el efecto de los cambios durante el periodo de migracin a la nueva plataforma y su puesta en
marcha con las siguientes caractersticas:
Se debe contar con la infraestructura y recursos necesarios para controlar los procesos de migracin de
los sitios donde se instalarn los servicios.
El CAM se debe ubicar en las instalaciones del licitante ganador.
El CAM ser el responsable de la elaboracin del plan de trabajo y de la coordinacin total de las
instalaciones y migraciones de los sitios en conjunto con el supervisor del contrato de la convocante.
El CAM tambin tendr como responsabilidad la coordinacin de las reubicaciones y la adicin en su
caso de nodos nuevos a la Red durante la vigencia del contrato.
El servicio debe ser provisto a travs de un nmero 800 nico, correo electrnico, Intranet e Internet.
Las funciones principales del CAM sern las siguientes:
Verificacin de las variables, de manera enunciativa y no limitativa, de una migracin tales como: acceso
f!sico al sitio, nombre del responsable de la convocante, ubicacin de los equipos, domicilios,
cumplimiento de normas y requerimientos de instalaciones, Ventanas programas de tiempo fuera, etc.
Verificar el cumplimiento de la logstica para la construccin de medios, entrega de equipos y llegada de
personal al sitio.
Recolectar la informacin tcnica necesaria para la implantacin, tales como bitcoras, inventarios,
configuraciones etc.
Documentar la bitcora del proceso de migracin tales como actividades tcnicas, protocolo de prueba,
protocolo de aceptacin y niveles de operacin obtenidos.
Verificar la funcionalidad de cada nodo migrado en materia de rendimiento de los servicios nuevos hasta
obtener el visto bueno o aceptacin definitiva.
Informar la finalizacin de las actividades de migracin.
Documentar e informar a la convocante las causas de migraciones suspendidas o fallidas
El licitante debe considerar en su oferta un administrador de proyecto dedicado durante el periodo de
implementacin y migracin y hasta el periodo de estabilizacin del servicio, dicho administrador ser el punto
nico de contacto entre el X y el licitante ganador; debe contar con la certificacin ITIL practitioner v3.0 o PMI.
Debe incluir copia del certificado en el sobre de ofertas y demostrar que se encuentra en la nmina del
licitante.
\

3.3.3 Capacitacin.

3.3.3.1 Capacitacin sobre el uso de las terminales telefnicas.

El Licitante debe incluir como parte del alcance los medios y el tiempo necesario para capacitar a los usuarios en
el uso de las diferentes terminales que tendrn bajo su responsabilidad y que sern su herramienta de trabajo.
La capacitacin debe incluir los siguientes puntos:
Caracterlsticas fsicas de la terminal telefnica.
Diferencia entre los tipos de terminales.
Uso de las facilidades retencin, desvi, transferencia, 2da. Llamada, alternar entre llamadas, mute,
conferencia y consulta de buzn de voz.
Se deben considerar grupos homogneos de usuario.
Grupos de mximo 15 personas para mejor aprovechamiento de la capacitacin.
Sesiones de dos horas de duracin.
Tres sesiones durante el dfa.
Un total de 43 sesiones y 15 das hbiles para la realizacin de las mismas.
Considerar horario de oficina para las capacitaciones.
Se debe contemplar usar terminales distintas a las de los usuarios pero con el mismo sistema que se
implementar para el x, no se aceptar el uso de maquetas o escenarios emulados, con la finalidad de
que las prestaciones que se aborden sean las que pertenezcan realmente al sistema de comunicacin
de voz.

3.3.3.2 Capacitacin sobre el uso del sistema de correo de voz y mensajeria unificada nivel usuario.

El Licitante debe incluir como parte del alcance los medios y el tiempo necesario para capacitar a los usuarios en
el uso de los servicios prestados por el sistema de correo de voz y mensajerfa unificada.
La capacitacin debe incluir los siguientes puntos:
Grupos de mximo 15 personas para mejor aprovechamiento de la capacitacin.
Sesiones de una hora de duracin.
Cuatro sesiones durante el dia.
Un total de 20 sesiones y 5 dlas hbiles para la realizacin de las mismas.
Considerar horario de oficina para las capacitaciones.
Los temas que se tratarn en las sesiones de capacitacin deben ser autorizadas por el Subdirector de
Sistemas Administrativos, quedando establecido el tiempo y horario de dichas sesiones.

a) Solo buzn de voz.
1

Acceso mediante terminal telefnica al buzn de voz.
Navegacin mediante el teclado numrico del telfono
Personalizacin del buzn de voz. f
Identificar un mensaje voz nuevo.
Almacenamiento o borrado de los mensajes de voz en el buzn del usuario.

Nombre de la Etapa
Planeacin

Se cuenta con el Plan de Administracin del Servicio.

Se cuenta con el Plan de Calidad.

Se cuenta con el Cronograma del Servicio.

Se ha efectuado la junta de Inicio del proyecto.
Ejecucin

Todos Jos entreqables descritos se han revisado v aprobado por parte de.
Cierre

Se ha firmado el "Acta de Cierre" del servicio .

Se han entregado los productos y servicios.

Se han liberado Jos recursos del provecto.

.a M!F!l2?ilill

Se consideran toda la informacin que corresponde a solo buzn de voz y se integra la
identificacin del mensaje emitido por el sistema de correo electrnico.
Reproduccin del mensaje de voz adjunto en la pe del usuario.

3.3.3.3 Capacitacin sobre la administracin el sistema automtico de atencin nivel tcnico.

El Licitante debe incluir como parte del esquema de capacitacin, la transferencia de conocimiento que permita
a 3 personas (incluyendo el Grupo de Soporte en sitio).
La transferencia de conocimiento debe contemplar Jos siguientes temas:
Conocimiento general del entorno de programacin del rbol de decisiones.
Grabacin y cambio de los mensajes para Jos diferentes mens.
Diseo de scripts de decisiones de nivel simple a medio.
Configuracin y puesta en servicios de un men de funciones.
Configuracin de grupos ACD.
Conocimiento para realizar altas, bajas y cambios en Jos usuarios que conformen los grupos ACD.
Modificacin de Jos anuncios de informacin para las colas de llamada.

4. '..ine<i!ilfer1t<>s
Esta seccin establece Jos lineamientos que debe seguir El Licitante Ganador durante la realizacin de las
actividades y la vigencia del contrato. Para facilitar su referencia, Jos lineamientos se han clasificado en
lineamientos generales que aplican durante toda la vigencia del contrato y lineamientos especfficos para las
etapas de planeacin, ejecucin y cierre.
.. .. . ...... ..
..Criterios de Trmino
...
... . . . ..
.. .

4.1 Restricciones

Se consideran las siguientes restricciones:

4.1.1 Temporalidad
Este proyecto tiene una duracin a partir de la adjudicacin y hasta el31 de Diciembre de 2017.

4.1.2 Forma de Pago
\

La forma y lugar de pago ser conforme a lo establecido en el articulo 51 de la Ley de Adquisiciones,
Arrendamientos y Servicios del Sector Pblico, los pagos que se generen con motivo de la prestacin de los
servicios de este proyecto se realizarn dentro de los 20 dfas naturales contados a partir de la entrega y
aceptacin formal de la factura, la cual debe cumplir con los requisitos fiscales vigentes. El pago ser realizado a
travs de la Tesorerfa de fa Federacin, mediante transferencia electrnica a la cuenta bancaria del proveedor.
Para que un pago se libere, el licitante ganador debe contar con la aprobacin del administrador del contrato, as
como del acta de entrega recepcin que avale los componentes en arrendamiento que sern facturados en el
mes que le corresponda.
El licitante en su propuesta debe considerar que el precio de los equipos ofertados ser fijo durante la vigencia
del contrato.

&, Objetivos M'i:lilidaa..
En la siguiente tabla se describen los objetivos de calidad de la solucin.

Todos Todos
,Objetivo.de
Calidad e
Cumplimiento a
Requerimientos

Aceptacin formal de entregables mediante el
Acta de aprobacin definida.

Esta seccin establece los lineamientos que debe seguir el Licitante durante la realizacin de las actividades y la
vigencia del contrato. Para facilitar su referencia los lineamientos se han clasificado en lineamientos generales
que aplican durante toda la vigencia del contrato y lineamientos especificas para las etapas de pfaneacin,
ejecucin y cierre.

Nornbre dela Etapa .... . ,.;... >: .
Criterios de Trmino' . '
L ; ;',',;,,. ..

Planeacin

Se cuenta con el Plan de Administracin del Servicio.

Se cuenta con el Plan de Calidad.

Se cuenta con ef Cronograma del Servicio.

Se ha efectuado la junta de Inicio del provecto.
Ejecucin

Todos los entreqables descritos se han revisado y aprobado por parte de x.
Cierre

Se ha firmado el "Acta de Cierre" del servicio por parte de la x.

Se han entregado los productos y servicios.

Se han liberado los recursos del proyecto.

6.1 Lineamientos Generales
\
6.2 Lineamientos para la Planeacin

6.2.1 Inicio de Actividades
El Licitante Ganador debe iniciar las actividades del servicio a partir del primer dfa hbil despus de la
fecha de notificacin del fallo para la adjudicacin del contrato.
=e::!@!f+ *"f"' _>;' Wh '""iiltw.m;{AG - E"'!"'
1
& 'ffl ... -""'"").P"? N-"'- """"?"2'iff'4HEP " 'c'-'5\d!llil

6.2.2 Induccin de Administracin de Proyectos
El licitante Ganador debe considerar un da para la sesin de induccin al proceso de administracin de
proyecto de la X.

6.2.3 Administrador del Servicio
A partir del periodo de estabilizacin del servicio y durante toda la vigencia del contrato El licitante
Ganador debe dedicar a un Administrador de Servicio como nico punto de contacto para las cuestiones
de control y evaluacin del servicio.
Dicho administrador debe contar con la certificacin ITIL practitioner v3.0 o PMI. Debe incluir copia del
certificado en el sobre de ofertas y demostrar que se encuentra en la nmina del licitante.
Asimismo, se debe proporcionar el nmero de telfono de su despacho, nmero de telfono mvil y su
direccin de correo electrnico.
El licitante Ganador se compromete a notificar por escrito en el domicilio dellnstitutocualquier cambio en
el punto de contacto.

6.3 Lineamientos para la Ejecucin

6.3.1 Apego al Plan de Administracin del Servicio
El licitante debe iniciar las actividades del servicio a partir de la vigencia del contrato. El plan de
administracin del servicio deber ser realizado por el licitante Ganador y entregado al Administrador del
contrato en los primeros 6 dlas posteriores a la fecha de notificacin del fallo.

6.3.2 Apego al Cronograma del Servicio
El licitante Ganador debe realizar las actividades del servicio con apego al Cronograma del Servicio.
Cualquier tipo de omisin, retraso o cambio en las actividades del servicio que afecten los hitos de
entrega de productos puede tener un fuerte impacto en cuanto a los tiempos asignados originalmente,
por lo que debe considerarse una estrategia de resolucin de esta afectacin. Esta estrategia de
resolucin debe someterse a la evaluacin del x para su aceptacin y autorizacin de acuerdo al
mecanismo establecido para este fin en el PAS.

6.3.3 Entrega de Productos
Todos los productos del proyecto deben cumplir con los lineamientos del Sistema de Administracin de la
Configuracin descritos en el PAS antes de la firma de Actas de entrega - recepcin para la aceptacin
de entregables. Los productos aprobados por parte deix deben ser entregados en formato digital antes de
firmarse el acta de Cierre correspondiente.

El licitante ganador deber garantizar al X que los equipos entregados en cada etapa son nuevos. En el
caso de que el modelo ofertado haya sido sustituido en los catlogos del fabricante, el licitante
adjudicado deber entregar un modelo similar o superior al modelo ofertado en su propuesta. Para lo
cual, deber entregar un comparativo de las especificaciones tcnicas de ambos equipos, el cual deber
ser autorizado por el administrador del contrato, antes de la entrega de los equipos.

6.4 Lineamientos para el Cierre

-:: - -""""'-'"---e-- _, """" ?""w' -"""


6.4.1 Cierre
El servicio es considerado como terminado a satisfaccin cuando todos los componentes, entregables y
servicios descritos en el numeral "3 Alcance" sean revisados y aprobados formalmente mediante la
firma del Acta de Cierre correspondiente, asf como la conformidad del licitante ganador de que hasta en
tanto ello no se cumpla, estos no se tendrn por recibidos o aceptados.

Antes de firmar ef Acta de Cierre la x debe garantizar:
Que se han aplicado y verificado todas las. sanciones y deducciones pendientes.
Que el Licitante ganador reciba por parte de la x la acreditacin de que no ha quedado
pendiente ningn entregable, salvo ro que resulte por concepto de garantfas.

7;"PENA C:NVENCIONAL'Y DEDUC:TfVA:

Para el caso de atraso en el cumplimiento de las obligaciones del "Licitante ganador" derivadas del contrato o
porque stas no se presenten de la manera convenida, se establece como pena convencional/a siguiente:

F'''_- e .::
...,,._.,,-_--- :_:c.- >_--bescriilcln'--
, ,---:: ':'>:':_-:_-.-

Montc>delaiJenalizcin-_-,_--_-
-- -
Retraso en el inicio de la prestacin del servicio Por cada dia de atraso se penalizar 2% en el inicio
de la prestacin del servicio, sobre el monto mlnimo
del contrato y aplicable a partir de la primera factura.

En caso de incumplimiento parcial o deficiente respecto de los servicios prestados har las deducciones al pago
de los mismos sobre la siguiente factura que se presente para su pago de acuerdo a lo siguiente:

Descripcin Monto de la penalizacin
Disponibilidad Total 1% del pago mensual por cada punto porcentual por
debajo del 99.5 % en lo que se refiera a la facturacin
mensual asociada a cada componente del servicio.
Por ejemplo si el nivel de disponibilidad en un mes en
particular fuera del 95.5% para el componente del
Sistema de Tarificacin, el licitante ganador tendrfa
una penalizacin del 3% de fa facturacin mensual
asociada a este componente. Aplica para todos los
componentes especificados en este anexo.

s. Procedimiento de E'val uacilf
8.1 Puntos y Porcentajes

Basado en el capitulo SEGUNDO, articulo SEGUNDO seccin SEGUNDA lineamiento OCTAVO del
acuerdo por el que se emiten diversos lineamientos en materia de Adquisiciones, Servicios administrados
y Servicios del Sector Pblico y servicios de obras pblicas y servicios relacionados con las mismas.

..

Evaluacin Tcnica.-
La puntuacin a obtener en la propuesta tcnica para ser considerado solvente y, por tanto, no ser
desechada, ser de cuando menos 37.5 de los 50 puntos mximos que se pueden obtener en su
evaluacin.
Los siguientes rubros representan la integracin de la parte tcnica y sus puntos respectivos.
a) Caractersticas del bien o bienes objeto de la propuesta tcnica.
b) Capacidad del licitante
e) Experiencia y especialidad del licitante
d) Cumplimiento de contratos

La suma de a + b + e + d = 50 puntos

-_ e- PROPlJI:STTCNICA

Los siguientes rubros representan la integracin de la parte tcnica y sus porcentajes respectivos.

Rubro ......... ...... ...
..
. ... . .
. ... . .
. ...

.. .

.. Porcentaje

. .. . . .

/. Caracterlsticas del bien o bienes obieto de la propuesta tcnica (CB) 25%
11. Capacidad del Licitante (CL) 10%
/11. Experiencia y Especialidad del Licitante (EE) 05%
IV. Cumplimiento a Contratos (CC) 10%
Total 50%

Rubro l. Caracterislicas del bien o bienes objeto de la propuesta tcnica (CB)

Partida 1. Servicios Administrados de Infraestructura Telefnica

RUBRO SUBRUBRO Ptos Tot.
Entregable E3.2.1.1 Plataforma Base de comunicaciones de voz convergente (56)
Componente Descripcin
Los sistemas propuestos por ellicitante deben ser de montaje en gabinete de 19
pulgadas. Y la solucin propuesta no exceder de la capacidad de 1 Qabinele de 42 U.
El sistema de comunicaciones unificadas propuesto debe soportar troncales de tipo:
IP
SIP
E1 ISDN
E1 con soporte de Q.SIG
El sistema de comunicaciones unificadas debe estar habilitado para el servici de
videotelefona punto a punto, habilitada con manejo del codee H.264 como mfnimo para
un mnimo de 70 usuarios sin la necesidad de software adicional.

Montaje 10
Troncales
soportadas
2
Servicio de
videotelefonfa
2
Operacin
automtica de la
supervivencia
Los procedimientos automticos de supervivencia en el gateway remoto, deben
ejecutarse ante la prdida de comunicacin del gateway remoto con el gestor de
llamadas central al cualest firmado, los telfonos IP deben de continuar con la
operacin por lo cual se pide se incluya elsoftware y hardware necesario para dicha
funcionalidad.
10
Servicios
complementarios y
mejorados en
Telfonos IP y
aatewavs de voz
Permitir extender los servicios complementarios y mejorados como retencin,
transferencia, reenvfo, conferencia, elsoporte de varias lineas en el mismo aparato, la
seleccin automtica de ruta, la marcacin rpida, llamada al ltimo nmero y otras
caractersticas a telfonos IP y gateways de voz.
2
Alta disponibilidad
de sistema de
procesamiento de
llamadas
El sistema de procesamiento de llam das debe manejar un esquema de alta
disponibilidad en sistemas de procesamiento de llamadas redundantes, asf mismo los
sistemas propuestos por el licitante deben manejar fuentes redundantes internas.
5.
Cifrado de llamadas El sistema debe manejar el cifrado de llamadas entre extensiones y se debe mostrar
que est siendo cifrada la voz, mediante un indicador visualen el telfono !P.
La solucin propuesta debe garantizar el cifrado de la llamada punto a punto y en
conferencia mediante AES-128 y los protocolos SRTP (Secure Real Time Transport
Prolocol) y TLS (Transport Layer Securily), definidos en los RFC 3711 y RFC 2246
respectivamente, como mfnimo,
oDe telfono IP de hardware a telfono IP de hardware.
oDe telfono IP de hardware a gateway de voz.
oEn conferencias telefnicas.
10
Caractersticas del
cifrado
2
Alcance en el
manejo del cifrado
en los telfonos IP.
2


Entregable E3.2.1.1 Platafonna Base de comunicaciones de voz convergente (56)
Comoonente Descriocin
Funciones propias
del sistema de
telefonfa
Seleccin automtica de ruta.
Generacin de msica en espera de forma local.
Tratamiento y anlisis digital de la llamada
Prvate Line Automatic Response.
Manejo de video-telefonfa punto a punto, mediante el algoritmo de codificacin H.264
Endpoints de video que puedan ser registrados de manera nativa alsistema de
telefonia.
Funcionalidad de configurar un nmero nico de usuario a partir del cual se pueden
asociar los nmeros telefnicos.de extensiones, telfonos externos y celulares.
Permitir generar llamadas a travs de un cdigo de autorizacin.
El sistema debe incluir presencia bsica y ser desplegada en los telfonos al momento
que un usuario digita la extensin a la cual quiere llamar desplegando el estatus del
usuario a quien se busca: estatus disponible, estatus ocupado, estatus no molestar. Del
mismo modo cuando el usuario busca en el directorio de la x.
2
suite de
administracin
Debe cumplir los siguientes requerimientos mfnimos para los dispositivos mencionados:

Solucin basada en WEB, habilitada para el uso de SNMPv3.

Manejo de una interfaz de acceso mediante https.

Monitoreo en tiempo real de todos dispositivos de comunicaciones unificadas

(telfonos IP, videotelfonos, Gateways de voz, PBX-IP, mensajera unificada,
presencia, etc}.

Manejo de estadfsticas de jitter y prdida de paquetes.

Manejo de reportes histricos de indicadores (KPI}.

Integracin con el directorio corporativo delCentro (AD).

Asignacin de un portal al usuario para su autogestin de marcaciones

rpidas y passwords.

Envfo de alarmas va correo electrnico.

Soporte de pruebas y diagnsticos de retardo, jitter y prdida de paquetes de

voz.

Calendarizacin y pruebas previas de omponentes de la red de voz.

Reportes de inventario de la infraestructura y telfonos con informacin de

nmeros de serie, versiones de firmware y localizaciones de los dispositivos
en la red.
5

f


Entregable E3.2.1.1 Plataforma Base de comunicaciones de voz convergente (56)
Vistas de la suite de Contenido de las vistas de la cuite de administracin:: 2
administracin

Total de videotelfonos en uso.

Cambio en nmero de videotelfonos en el ltimo mes.

Duracin total de las videollamadas.

Total de telfonos en uso.

Cambio en nmero de telfonos en el ltimo mes.

Duracin total de las llamadas.

Top N de los usuarios que ms llevan a cabo llamadas.

Top N de los nmeros marcados con ms frecuencia

Top N del trfico de llamadas a los sitios de la red basados en el volumen de

estas o la duracin de las mismas.

Anlisis del trfico de llamadas: distribucin de llamadas en categoras
(internas, externas, conferencias, larga distancia, internacionales, etc)

Consumo de ancho de banda por localidad (en porcentaje, tipo de trfico
originado audio/video).

Utilizacin de las troncales en la hora con mayor trfico (Capacidad
disponible,capacidad mxima requerida, capacidad requerida promedio).

Calidad del audio en las llamadas MOS (porcentaje de llamadas con buena,
aceptable y pobre calidad de audio de acuerdo al umbral establecido).

Dispositivos por tipo y modelo que experimentan problemas de calidad de
servicio.

Localidades con top N de intentos de llamadas que no fueron exitosas
Servicios Alta de usuarios. 2
aprovisionados a Cambiar de nombre de en los usuarios dados de alta.
travs de la suite de Cambiar el nmero de extensin a un usuario.
administracin Cambiar el correo electrnico a un usuario (para el servicio de mensajerfa unificada).
Adicionar o remover telfonos IP de la lista de inventarios del sistema.
Aprovisionar los servicios de mensajerfa unificada y extensin virtual a los usuarios.
Aprovisionar los servicios de clientes de software para smartphones y tabletas
(presencia, chat, voz y video).
Permitir procesos de batch mediante los cuales se puedan aprovisionar los servicios
definidos anteriormente de forma masiva.
Subtotal de puntos de Plataforma Base de comunicaciones de voz converaente 56

Entreaabte E3.2.1.2 Sistema de correo de voz v mensajerla unificada (36)
Componente
Requerimientos
Mfnimos del sistema
de mensajera
unificada
Descripcin

El sistema debe manejar los mens en idioma espaole ingls.
El sistema debe ser compatible con el sistema de control de telefonfa IP.
El sistema debe estar disponible para los perfiles de telfonos IP bsicos, semi
ejecutivos, ejecutivos e inalmbricos.
Manejo de 24 sesiones simultneas, con posibilidad de tener un mfnimo de 800 y hasta
1200 buzones.
El sistema debe habiltar elservicio de mensajera de voz por usuario, podr ser
accedido mediante el telfono directamente con una tecla de acceso dedicado con el
uso de una clave de usuario y contrasea. El usuario debe tener la facilidad de acceder
a sus mensajes desde cualquier telfono dentro o fuera de la red marcando a un
nmero directo, elcual debe contestar con una grabacin que pedir su usuario y
contrasea.
El usuario debe tener diferentes mensajes de contestacin que puede activar o
desactivar. La comunicacin entre el correo de voz y el sistema de control de telefonfa
debe estar cifrada aligual que los mensajes almacenados.
Los usuarios del servicio de mensajerfa unificada contarn adems de los servicios de
correo de voz con la facilidad de recibir, escuchar, contestar, guardar, crear y borrar sus
mensajes de voz en su cliente de correo electrnico (Cliente Microsoft Outlook 2003 6
posterior).
Los correos de voz deben llegar a la misma bandeja de entrada en donde se reciben el
correo electrnico
El sistema debe ofrecer una interfaz para cualquier tipo de telfono IP solicitado en este
anexo para observar a manera de lista los mensajes de voz que el usuario tiene en su
buzn y as poder escucharlos en el orden que el usuario elija.
El sistema debe contar la integracin con el directorio de Microsoft Outlook propiedad de
la x. Con esta funcionalidad, los usuarios deben marcar el nmero telefnico de sus
contactos con un click, sin necesidad de ut/izar el teclado del telfono. Cuando el
usuario seleccione un contacto podr utilizar la funcionalidad de automarcado, la cual
permitir que se pueda iniciar la llamada desde un botn que ocasiona que el telfono
marque los nmeros correspondientes al contacto.
Debe soportar sincronizar la informacin de los usuarios mediante LDAP, utilizando
Microsoft Exchange Server.
El sistema debe permitir el cifrado en el flujo de audio entre los telfonos IP y elservidor
de mensajera-integrada mediante SRTP.
Debe soportar aplicaciones tales como fax, mensajera por internet, networking y
aplicaciones de text to speech.
10

Entregable E3.2.1.2 Sistema de correo de voz y mensajerfa unificada (36)

Requerimientos
Mfnimos de los
servicios delcorreo
de voz
Los servicios deben contar al menos con lo siguiente:
Desde cualquier tipo de telfono IP propuesto la interfaz del usuario debe ser intuitiva
para reproducir, repetir, responder, adelantar, eliminar, guardar, marcar como nuevo,
escuchar fecha y dfa en la que se dej el mensaje y saltar al siguiente mensaje.
Debe ofrecer funciones de reversa, pausa o reenvfo rpido del mensaje.
Debe ofrecer control delvolumen y control de la velocidad durante la reproduccin del
mensaje.
Debe ofrecer la funcin de pausa o resumen durante la grabacin del mensaje.
Debe ofrecer la funcin de direccionar el mensaje a mltiples recipientes.
Debe ofrecer la funcin de bsqueda de los mensajes por nombre, nmero de
identificacin delllamante, nmero telefnico, extensin.
Debe ofrecer la funcin de marcar los mensajes con estatus de regular, urgente y
privado.
Debe ofrecer un icono especialpara representar aquellos mensajes con estatus de
urgente.
Debe ofrecer la funcin de entrega del mensaje en un tiempo futuro.
Debe ofrecer la funcin de confirmacin de recepcin del mensaje.
Debe ofrecer la funcin de clasificacin de mensajes por !!amante, fecha, tipo y
prioridad.
Debe ofrecer la funcin de direccionar el mensaje por extensin o por nombre.
Debe reenviar faxes a cualquier mquina de fax.
Debe integrarse con la herramienta de colaboracin para acceder a reuniones
agendadas en el sistema.
Debe ofrecer la funcin de establecer preferencias por dispositivo, tales como
velocidad, volumen y requerimiento de clave para acceder al buzn de voz.
El sistema debe permitir que el usuario pueda reescribir una nueva clave.
Debe ofrecer la facilidad de editar los nmeros de contacto alterno desde la interfaz del
usuario en el telfono.
Debe reproducir, pausar, reenviar rpidamente desde cualquier reproductor de medios
genrico.
Debe ofrecer la funcionalidad de responder al correo de voz con elcorreo electrnico.
Debe permitir aplicar. reglas al buzn para los correos de voz y correo electrnico.
5

}

&U Ah&90 ? 833ft+' " ES M #' E &EJ!Hi!\ , N fE '8'

Entregable E3.2.1.2 Sistema de correo de voz y mensajerfa unificada (36)
Interfaz naturalde reconocimiento de comandos de voz.
Permitir marcar a contactos personales o miembros del directorio.
Permitir mediante comandos de voz reproducir, repetir, responder, reenviar, eliminar,
guardar, marcar como nuevo, escuchar dfa y hora del mensaje, saltar al siguiente
mensaje, pausar, resumir, incrementar la velocidad, decrementar la velocidad de
reproduccin del mensaje.
Permitir mediante comandos de voz editar y administrar los saludos personales.
Permitir mediante comandos de voz decir la clave de acceso al buzn de voz.
Integrarse con elsistema de presencia
la recepcin de los mensajes de voz debe estar sincronizada con la lmpara
indicadora de recepcin de mensajes de todos los tipos de telfonos IP requeridos en
este anexo.
Debe integrarse con el sistema de colaboracin a travs de herramientas de calendario
para que los usuarios puedan unirse a una sesin que debe estar en progreso, escuchar
la lista de los participantes, enviar un mensaje al organizador o a los participantes y
establecer una sesin inmediata.
la interfaz de administracin debe ser web vfa HTIPS y mediante lfnea de comandos.
El sistema debe debe soportar SNMP.
El sistema debe de manejar un tiempo de expiracin personalizable de los mensajes
grabados
El sistema de correo de voz debe de ser de la misma marca que el sistema de

5

Sistema de correo
de voz

Sistema de
operadora
automtica.
El sistema de ofrecer funcin de operadora automtica con definicin ilimitada de
niveles configurables.
El sistema debe alcanzar a la operadora para ayuda, debe incluir transferencias
automticas para los que llaman sin responder a los mensajes en un tiempo
determinado.
El sistema debe integrarse con el sistema de operadora automtica como un nmero
de marcado rpido en el telfono.
Debe ofrecer la posibilidad de grabar mfnimo 7 saludos personales.
Debe ofrecer la posibilidad de activar un saludo alterno y definir la fecha y hora de
expiracin del mismo, notificar a los usuarios, reproducir elsaludo completo a los
!!amantes.
Debe grabar conjuntos separados de saludos en diferentes idiomas.
Debe ofrecer listas de distribucin privadas.
El sistema de operadora automtica debe de ser de la misma marca que el sistema de
2
j
(

'.

Entregable E3.2.1.2 Sistema de correo de voz v mensaierfa unificada (36)
Funcionalidades del Debe permitir ver el estado de actividad de un usuario en especffico. Los estados 5
Sistema de bsicos que deben ser reflejados en el "estado" del usuario deben ser:
Presencia a)Estado desconectado. Se presenta cuando el usuario no est conectado o la
aplicacin no haya sido abierta.
b)Estado inactivo. El usuario personaliza esta funcin y su finalidad es que si el usuario
por un determinado tiempo no ha usado su computadora o eltelfono entonces
cambiar el usuario a este estado de inactividad.
c)Estado lejos. Si el usuario dej su computadora por un largo tiempo, por ejemplo,
cuando va a una junta, sale a comer y no ha usado el telfono y dej encendida su
computadora automticamente el cliente del usuario lo pondr en este estado.
d)Estado en el telfono. Si el usuario est en una llamada utilizando la extensin
asociada a su telfono o a su cliente PC
e)Estado ocupado. Si el usuario est en alguna actividad calendarizada en su outlook,
aparecer automticamente reflejado este estado durante elperfodo de tiempo
agendado para dicha actividad.
f)Estado disponible. Cuando el usuario est en capacidad de tomar la llamada porque
est firmado en el servicio de presencia v est cercano a su PC.
Funcionalidades del Para cada usuario, la solucin debe permitir la configuracin de un dispositivo preferido 2
Sistema de para contacto en caso que el usuario tenga ms de un cliente de comunicaciones
Presencia unificadas.
Por medio de SIP y simple, el "estado" de presencia debe poder ser publicado y
notificado a los diversos clientes de comunicaciones unificadas compatibles.
Debe integrarse con soluciones de calendarizacin de eventos, de tal manera que la
disponibilidad del usuario pueda ser reflejada automticamente en su gestado" aun
cuando no est firmado al sistema.
Debe permitir elintercambio de informacin de presencia entre diferentes
organizaciones que estn utilizando la misma solucin de presencia y comunicaciones
unificadas.
A travs delcliente PC de presencia elusuario podr enviar mensajes instantneos a
otro usuario con cliente PC de presencia o a un usuario que est firmado en el servicio
desde su telfono.
Mediante el cliente PC de presencia el usuario podr consultar sus mensajes de voz,
buscar a un usuario del directorio activo, ser capaz de realizar llamadas, video-
llamadas.
El sistema debe soportar la integracin con el cliente lync de Microsoft, dicha
integracin debe ser de forma natural y debe tener todas las funciones pertenecientes al
sistema de telefona.

Entregable E3.2.1.2 Sistema de correo de voz y_mensajerfa unificada (36)
Sistema de debe ser habilitado en el momento en que la convocante Jo decida sin un costo adicional 2
Movilidad para la convocante se debe contemplar los siguientes servicios:
-Comunicacin a travs de telfonos IP inalmbricos conectados mediante la red
inalmbrica deIlFT en los edificios designados con cobertura, en donde la red deix
soporta el protocolo IEEE 802.11alb/g/n
-Soporte de dispositivos mviles como tabletas o smartphones.
-El sistema debe contar con un cliente para dispositivos mviles con la capacidad de
mantener el estado de presencia fuera de la red institucional. Debe proveer elcliente de
presencia fuera de la red institucional mediante una conexin de VPN IPSEC desde la
computadora porttil del usuario.
Las VPN de IPSEC son parte del sistema de movilidad y deben de estar incluidas en un
equipo de propsito especfico para almenos 70 usuarios
Sistema de El sistema debe manejar los mens en idioma espaol. 5
distribucin El sistema debe ser compatible con el sistema de control de telefonfa !P.
automtica de El sistema debe poder integrarse al sistema de control de telefonfa mediante protocolos
llamadas (ACD) standard, Jos protocolos a considerar son TCP/IP,SIP y/o QSIG.
asistida por IVR El sistema debe proporcionar la capacidad en canales de comunicacin suficientes
para atender un mfnimo de 10 llamadas simultneas.
El sistema debe proporcionar un entorno de configuracin amigable, basada en un
ambiente grfico, compatible con navegadores web y basado en TCP/IP, debe poder
ejecutarse en sistemas operativos de Microsoft Windows en sus versiones Windows XP
Professional, , Windows 7 y superiores.
Grabadora IP para el servicio de Call Center con almacenamiento externo, para
grabacin pennanente.El almacenamiento ser proporcionado por el x en su red de
almacenamiento.
El sistema debe permitir la creacin de al menos 5 mens interactivos distintos, con la
capacidad de asociarse entre ellos, (configuracin de rbol de decisiones).
El sistema debe permitir la navegacin por los mens interactivos mediante tonos
telefnicos, ofreciendo la capacidad de avanzar o retroceder de acuerdo a la orden dada
por elusuario.
El sistema propuesto podr ser basado en un servicio combinado entre la platafonna de
voz y sistema de operadora automtica.
Debe poder manejar al menos 4 grupos de atencin de tipo ACD. Incluyendo al
supervisor de cada grupo.
Debe manejar al menos 4 colas de espera.
El sistema debe ofrecer anuncios promocionales, que sern designados por el x,
para las llamadas que queden en cola hasta su atencin en los grupos ACD.
El sistema debe integrar todas las prestaciones tanto en hardware como software para
proporcionar los servicios iniciales solicitados, elhardware podr ser propietario o
basado en plataformas de cmputo estndar.
El sistema de distribucin automtica de llamadas debe ser de la misma marca que el

Entregable E3.2.1.2 Sistema de correo de voz y mensajerra unificada {36)

Sistema de
Tarificacin
centralizado
Debe contar con las siguientes funcionalidades:
Usabilidad. (De acuerdo a lo descrito en el apartado 3.2.1.7.1) Administracin Web.
(De acuerdo a lo descrito en el apartado 3.2.1.7.2) Compatibilidad del sistema. {De
acuerdo a lo descrito en el apartado 3.2.1.7.3) Manejo de niveles Jerrquicos. (De
acuerdo a lo descrito en el apartado 3.2.1.7.4) Importacin de usuarios desde
directorio activo (active directory) . {De acuerdo a lo descrito en el apartado
3.2.1.7.5)

Debe incluir todos los accesorios, componentes, hardware y software necesarios para
que el sistema de tarificacin opere de acuerdo a lo indicado en esta especificacin. De
acuerdo a la solucin propuesta, debe de manera enunciativa pero no limitativa incluir lo
siguiente:
Todas las licencias necesarias de software que acrediten la operacin del sistema.
Manuales de configuracin y operacin de todos los equipos del sistema propuesto.
2

Subtotal de Sistema de correo de voz y mensajerfa unificada 36

R 1.1. Marca
Deben ser de la misma marca que el sistema telefnico IP, con el fin de
garantizar su.correcta operacin e integracin.
la terminal ejecutiva debe ser de la m!sma marca que la plataforma de

R 1.2. Pantalla
Debe contar con una pantalla color touch screen con una resolucin de al 2
menos 620x450 pixeles que permita distinguir caracteres, smbolos,
graflcas, datos estadfstlcos en forma clara y sin distorsin para el usuario
que provengan de aplicaciones XML.

R 1.3. Configuracin de IP
El telfono debe soportar configuracin de IP de manera debe esttica o de
10

manera dinmica a travs del protocolo DHCP.

R 1.4. Conferencia 2
Debe incluir la posibilidad de conferencias con al menos 6 lneas telefnicas

MEA?&iif
(

Botones
Debe contar con un botn dedicado para activar el altavoz y con manejo
comunicacin a manos libres, contar con consulta al directorio telefnico e
integrable con LDAP3 y contar con un Indicador de recepcin de buzn de
voz.

Tecla dedicada para activar el altavoz y con
o/ o/ o/

manejo de comunicacin a manos libres.
Tecla para consulta al directorio telefnico e
integrable con LDAP3.
o/

Debe contar con un indicador de recepcin
de buzn de voz. o/ o/

10 5 1 o

R 1.6. Debe contar con al menos puertos de red BaseT a travs de S

Puertos
una interfaz RJ-45 para una sencilla conexin lAN, tanto del telfono como
de un PC en la misma ubicacin. Con ello el administrador del sistema
puede designar LAN virtuales independientes (VLAN) (802.1q) para la PC y
los telfonos IP. Tambin debe contar con 2 puertos USB y un puerto para
diadema preferentemente.

Debe contar con al menos 2 puertos de red
10/100/1000 BaseT a travs de una interfaz RJ-45
o/ o/ o/

Contar con 2 puertos USB o/

Contar con un puerto para diadema
preferentemente.
o/ o/

5 2 1 o

1

1

R 1.7. Protocolos

802.1q

DSCP

802.1p

802.1x

802.3af (PoE).
10 5 3 2 1 o
10

R 1.8.

Protocolos de Audio

Debe manejar los protocolos de audio G.711,G.729a,G.722.

G.711

G.729a

G.722
5 2 1 o
5

R 1.9.

Cifrado
Manejo de cifrado tanto en los protocolos de sealizacin con TlS y en el
flujo de audio de las llamadas con SRTP.
Debe manejar cifrado AES 128
S

Manejo de cifrado tanto en los protocolos de
sealizacin con TLS y en el flujo de audio de las
llamadas con SRTP.
../ ./


5 1 o

R 1.10.

Alimentacin
los telfonos IP deben permitir recibir la alimentacin elctrica a travs del
puerto de red LAN mediante el protocolo 802.3af (PoE).
40

R 1.11.

Manejo autenticacin mediante X.509v3 de
acuerdo a la recomendacin de la ITU-T en los telfonos IP para evitar
accesos no autorizados por el administrador del sistema de telefona.
10

R 1.12.

Debe soportar que mediante un servidor TFTP el dispositivo obtenga su
configuracin.

R 1.13. Video Cmara Soporte de una vfdeo cmara en el mismo aparato telefnico la cual puede
estar o no interconstruida para video llamadas. Para habilitar el servicio de
video llamadas, solo es necesaria la adicin de la cmara.
10

R 1.14. Bluetooth Debe contar con capacidad de conexin vfa Bluetooth. 5

R 1.15.
UTP Como a una r UTP el aparato telefnico debe soportar
una antena para comunicacin va inalmbrica
s

Subtotal de puntos delTelfono IP Ejecutivo

134

R 1.16. Marca
garantizar su correcta operacin e integracin.
la terminal ejecutiva debe ser de la misma marca que la plataforma de
La terminal semi-ejecutiva debe ser de la misma marca que la plataforma de

R 1.17. Pantalla Debe contar con una pantalla a color de cristallfquido con una de 2
al menos 300x200 pixeles que permita distinguir caracteres, smbolos,
graficas,datos estadsticos en forma clara y sin distorsin.

El telfono debe soportar configuracin de IP de manera debe esttica o de
10

manera dinmica a travs del protocolo DHCP.

R 1.19.
Conferencia
Debe incluir la posibilidad de conferencias con al menos 6 lfneas telefnicas
2

)

R 1.20.

Botones
Debe contar con un botn dedicado para activar el altavoz y con manejo de 10
comunicacin a manos libres, contar con consulta al directorio telefnico e
integrable con LDAP3 y contar con un indicador de recepcin de buzn de
voz.

Tecla dedicada para activar el altavoz y con .'
manejo de comunicacin a manos libres.
Tecla para consulta al directorio telefnico e
Integrable con lDAP3. .'

Debe contar con un indicador de recepcin
de buzn de voz. v' v'

10 S 1 o

R 1.21.

Puertos
Debe contar con al menos 2 puertos 10/100/1000 BaseT a travs de 5
una interfaz RJ-45 para una sencilla conexin LAN,tanto del telfono como
de un PC en la misma ubicacin. Con ello el administrador del sistema puede
designar lAN virtuales independientes (VlAN) (802.1q) para la PC y los
telfonos IP. Tambin debe contar con un puerto para diadema
preferentemente.

Debe contar con al menos 2 puertos de red ./ ./
10/100/1000 BaseT a travs de una interfaz RJ-4S
Contar con un puerto para diadema .'
preferentemente.

S 2 o

R 1.22. 10

802.1q

DSCP

802.1p

802.1x

802.3af (PoE).

Fecha: 09.10.2013 Pgina 85 de 129

10 S

3 2 1 o

Versin: V 1.0.0

R 1.23.

Protocolos de Audio

Debe manejar los protocolos de audio G.711,G.729a, G.722.

G.711

.'

G.729a

.'

.'

G.722

.'

.'

.'

5 2 1 o

R 1.24.

Cifrado
5

R 1.25. Los telfonos IP deben permitir recibir la alimentacin elctrica a travs del 40
Alimentacin
puerto de red lAN mediante el protocolo 802.3af (PoE).

R 1.26. Autentificacin Manejo de autenticacin mediante i X.509v3 acuerdo 10
a la recomendacin de la ITU-T en los telfonos IP para evitar accesos no
autorizados por el administrador del sistema de telefona.

R 1.27. Servidor TFTP Debe soportar que mediante un servidor TFTP el dispositivo obtenga su S
configuracin.

R 1.28. Tonos Debe ofrecer al menos 16 tonos de timbre seleccionables por el usuario. 2

R 1.29.
Personalizacin El telfono debe integrarse a una herramienta mismo fabricante de los 5
sistemas propuestos para personalizar la imagen de fondo y el tono de
timbre.Dicha herramienta debe estar incluida.

Subtotal de puntos del Telfonos Tipo Semi-ejecutivo 121

R 1.1 Marca
la terminal semi-ejecutiva debe ser de la misma marca que la plataforma de

Subtotal de puntos de los Paneles de 12 teclas compatibles con las 10
terminales IP

Subtotal de puntos de los Paneles de 12 teclas compatibles con las 20
IP

R 1.30. Marca Deben ser de la misma marca que el sistema telefnico IP, con el fin de 10

R 1.31. Pantalla Cada telfono JP debe contar con una pantalla basada en pfxeles. 2
R 1.32. Configuracin de IP de manera automtica a travs del 10

llU

R 1.33.

Funcionalidades
funcionalidades:
Colocar en espera una llamada
Soporte de transferencia de llamada.
Remarcado
Conferencia
Desvi de llamada
Captura de llamada
Manejo de altavoz.
Control de Volumen.

Colocar en espera una <{' <{' <{' <{' <{' <{' <{'
llamada

Soporte de transferencia de
llamada.
Remarcado

Conferencia

Desvi de llamada
Captura de llamada
Manejo de altavoz
Control de volumen

10 8

4 4 4 2 1 o

R 1.34.
Puertos

R 1.35.
de
Cada telfono IP debe tener integrado en el mismo aparato telefnico dos S
puertos switcheados 10/100/1000 Base T interconstruido en la electrnica
del telfono para su conexin a los switches propuestos y una PC. El
administrador del sistema pueda designar LAN virtuales independientes
(VLAN) (802.1Q) para el PC y los telfonos IP.

Configuracin automtica de VLAN mediante 802.1q. 10

R 1.36. 5
Soporte de los siguientes codees G.722, G.729a

R 1.37.
Alimentacin

Fecha: 09.10.2013
los permitir recibir la alimentacin
puerto de red LAN mediante el protocolo 802.3af (PoE).
del 40
o/ o/ o/ o/
o/

R 1.38.
5

R 1.39.

R 1.40.

Buzn de voz

Marca

Debe contar con un indicador de recepcin buzn de voz. 2

Subtotal de puntos de los Telfonos IP Bsicos 99

Deben ser de la misma marca que el sistema telefnico IP, con el fin de 10
garantizar su correcta operacin e Integracin.
El telfono para sala de juntas debe ser de la misma marca que la
plataforma de procesamiento de llamadas.

R 1.41. Pantalla
Contar con una pantalla con una resolucin mnima de 250 x 120 pixeles. 2

R 1.42. Configuracin de IP la estacin debe soportar configuracin de IP de manera esttica o de 10
manera dinmica a travs delprotocolo DHCP.

R 1.43.
Debe incluir: control automtico de ganancia, generacin de ruido de 5
Funcionalidades
confort,supresin de silencio 1Volee Activity Detection, supresin de eco y
reduccin dinmica de ruido.Soporte de altavoces fui! duplex.

Control automtico de ganancia

o/ o/ o/ o/ o/ o/

Generacin de ruido de confort o/ o/ o/ o/ o/
Supresin de silencio 1 Volee
Activity Detection
Supresin de eco

Reduccin dinmica de ruido
o/ o/ o/

o/ o/
Soporte de altavoces full
duplex.
5 4 2 2 1 1 o

R 1.44.
5

R 1.45.
LAN virtuales independientes 10

R 1.46.

G.711

G.729

G.722

10 4 1 o

R 1.47.

Autentificacin
Manejo 802.1x, MDS-EAP. 10

R 1.48. Micrfonos contar con micrfonos externo
alcance de al menos 11 metros.

que permita tener un 10

Subtotal de puntos del Telfono IP Para la Sala de Juntas 72

Deben ser de la misma marca que el sistema telefnico IP, con el
garantizar su correcta operacin e Integracin.
El telfono Inalmbrico debe ser de la misma marca que la plataforma de

R 1.50. Pantalla
Contar con una pantalla de al menos 176 x 220 pixeles.
2

manera esttica o 10

R 1.52.

R 1.53.

Codees
5

5
Soporte de los siguientes codees G.711, G.729 y G.722.

G.711

G.729
)
G.722

5 2 1 o

.'

.'

.'

.'

.'

.'

10 4 1

R 1.55. Autentificacin Manejo de autenticacin a 10

Subtotal de puntos del Telfono IP Inalmbricos 52

R 1.57. Puertos Contar con un mfnimo 2 puertos para extensiones analgicas.
S

R 1.58. Configuracin de IP de IP de manera esttica o de manera 10
DHCP.
R 1.59. Actualizacin Actualizaciones de manera remota. S

R 1.60. Codees S
Soporte de los siguientes codees G.711y G.729a, G.729ab

G.711

G.729a

G.729ab v'

R 1.61. Protocolos 10
Manejo de SIP
Manejo de T38 Fax
Manejo de 802.1Q

Manejo de SIP
Manejo de T38 Fax
Manejo de 802.1Q


1

negociacin.
El equipo debe ser apilable (hasta 8 equipos) y debe poder ser montado en
un rack de 19 pulgadas.
Debe contar con un mdulo de 4 puertos de uplink
Incluir 1SFP del tipo 1000BaseSX por equipo.
Debe contar con un puerto dedicado para el apilamiento de al menos 60GB
la densidad de puertos soportada por pila debe ser 432 puertos
10/100/1000 BaseTX.
Debe manejar 48 puertos energizados a 15.4 Watts para dispositivos que
soporten PoE.

Mnimo 48 puertos 10/100/1000 BaseTX de
tipo MDI/MDJX/ con autonegociacion.
El equipo debe ser apilable (hasta 8
equipos) y debe poder ser montado en un
rack de 19 pulgadas.
Debe contar con un mdulo de 4 puertos
de upllnk
Incluir 1SFP deltipo 1000BaseSX por
equipo.
Debe contar con un puerto dedicado para el
apilamiento de al menos 60GB
la densidad de puertos soportada por pila
debe ser 432 puertos 10/100/1000 BaseTX.
Debe manejar 48 puertos energizados a
15.4 Watts para dispositivos que soporten
PoE.
./

./

./

./

./

./

./

10
./

./

./

./

./

./

4
./

./

./

./

./

./

2
./

./

./

./

1

o

Partida 2. Arrendamiento de equipo para red de datos

Debe contar 48 puertos 10/100/1000 BaseTX de tipo MDI/MDIX con auto


R 1.64. Puertos SFP los puertos pticos Gigabit Ethernet deben soportar son al menos: 10
1000BaseSX
1000BaselX (alcance de al menos 10Km)
1000BaseTX

1000BaseSX

1000BaselX (alcance de al menos 10Km)

lOOOBaseTX

10 4 1 o

R 1.65. Capacidad de

R 1.66.

R 1.67. de
i i
R 1.68. Direcciones MAC

R 1.69. Autenticacin y
cifrado
G S

101.2 Mpps S

64 Gbps S

6,000 2

Uso de 802.1x utilizando Extensible Authentlcation Protocol(EAP) o MAC s
Address, de tal manera que ambos mtodos de autenticacin pueden ser
habilitados de manera simultnea en un mismo puerto.
Manejo de SNMPv3, SSH, inspeccin dinmica de ARP, proteccin contra
ataques de IP Spoofing.
Uso de 802.1x utilizando Extensible .' .' .' .'
Authentication Protocol (EAP) o MAC .'
Address
Manejo de SNMPv3
.' .' .' .'
SSH
.' .' .'
lnspeccion dinmica de ARP
.' .'

Protecclon contra ataques de IP
.'

Spoofing
S 3 2 1 1 o

!

J

Debe soportar 4000 VLAN IDs
Prvate VLAN
Voice VlAN mantiene separado el trfico de voz para facilitar la
administracin.
Debe soportar 4000 VLAN IDs ._' Y Y
Private VLAN

Volee VLAN mantiene separado el trfico de
voz para facilitar la administracin.

S 2 1

R 1.71.
Debe en puerto en direcciones MAC 2

R 1.72. Supresin de Tormentas de Broadcast por puerto. 2

R 1.73.

Debe soportar filtrado de paquetes en capa 2 mediante ACLs por puerto o 2
porVLAN.

R 1.74. incluir siguientes
funcionalidades para
Clasificacin de trfico
y Calidad de Servicio
(QoS)
Permitir la clasificacin de trfico travs de hasta 8 colas de prioridad por 2
puerto de tal manera que el manejo de las colas de prioridad incluye
algoritmos de control encolamiento deltipo Weighted Round Robn (WRR o
SRR) y de Prioridad Estricta (SP) permitiendo priorizar el trfico y la
integracin de voz,video y datos mediante 802.1P CoS ("Ciass of Service")
Permitir la clasificacin de trafico de paquetes de capa 2,3 y 4 basados en
al menos:

MAC Address
Direccin IP origen y destino
Puerto TCP / UDP

Calidad de servicio basado en 802.1Q
Manejo de 802.1p Clase de Servicio (COS) y DSCP usado para marcar y
reclasificar de paquetes.

R 1.75. Mecanismos de
proteccin contra
Loops
2
Multiple Spanning Tree '{' '{' '{'

Rapid Spanning Tree '{' '{'

Permite o
manera manual los puertos de acceso que estn
recibiendo paquetes BPDU (Bridge Protocol Data

Fecha: 09.10.2013 Pgina 95 de 129

DHCP

.'

.'

.'

.'

.'

5NTP NTP

.'

.'

.'

.'

Soporte de Jumbo Frames.

.'

.'

.'

Soporta una sola direccin IP para
administrar el stack

.'

.'

Soporte de gestin de consumo elctrico
de los puertos PoE mediante una sulte de
software gestora.

.'

20 8 4 2 1

R 1.77. Debe soportar un mnimo de 8 puertos agrupados 2

R 1.78. El equipo 5
las siguientes
funcionalidades y
caractersticas:

R 1.79. Gestin y Manitoreo 5
CU a travs de un puerto DB9
.' .' .'

Soporte de mltiples archivos de
.' .' .'
configuracin.
Telnet
.' .' .'
SSL (Web seguro)
.' .' .'
SNMPV3
.' .'
RMONI
.' .'
Syslog
.'

TFTP
.'

20 8 2

1

IEEE 802.1Q (VLAN Tagging)

.'

.'

.'

.'

.'

.'

.'

IEEE 802.1w (Rapid Spannlng
Tree)

.'

.'

.'

.'

.'

.'

IEEE 802.3x (Fiow Control)

.'

.'

.'

.'

.'

IEEE 802.3ad (link
Aggregation Control Protocol
(lACP))

.'

.'

.'

.'

IEEE 802.1s (Multiple
Spanning Trees)

.'

.'

.'

IEEE 802.1p (CoS Traffic
Management}

.'

.'

IEEE 802.1x (Authentication)

.'

5 2 2 2 1 1 1

Subtotal de puntos del Equipo de Acceso

.'

.'

.'

.'

.'

.'

.'

10

.'

4

.'

2

.'

1

o

R 1.80. Estndares
Soportados

71

R 1.81. Ranuras
Debe, ser un conmutador de datos de Gigabit Ethernet con 6 ranuras de
expansin que soporte una densidad mnima de: 200 puertos en fibra ptica
Gigabit Ethernet,60 puertos 10GE y 200 puertos 10/100/100 con manejo de
PoE (802.3af soporte de 802.3at).

6 ranuras de expansin

200 puertos en fibra ptica Gigabit Ethernet

60 puertos 10GE

200 puertos 10/100/100 con manejo de PoE
(802.3af 6 soporte de 802.3at).

R 1.82. Capacidad de
conmutacin
La capacidad de conmutacin debe de ser de al menos 500 Gbps con
5

de al menos 48 slot.
1

./

R 1.83. Tarjetas S

Incluir dos tarjetas
10/100/1000 Base-T
Incluir una tarjeta c
para colocar los SFPs
interconexin de los
de
.
24 puertos Ethernet
./

on puertos de 1Gbps
adecuados para la
equipos de acceso

./ ./

Incluir un mnimo de
1000BaseSX.
8 SFP del tipo

./ ./ ./

S 2 1

R 1.84. Fuentes Debe S

R 1.8S. En cuanto a la seguridad los aspectos mnimos son: S
Seguridad

Manejo de 8 colas por puerto ./ ./

Debe proveer autenticacin de mltiples ./ ./ ./ ./ ./
usuarios a travs de IEEE 802.1X.
Soporte de conexin a backplane a 48
./ ./ ./

Gbps como mfnimo por tarjeta.

Manejo de un mfnimo de 64,000 rutas ./ ./ ./ ./
en 1Pv4 y 32,000 rutas en 1Pv6.

Manej9 de Netf/ow,IPflow o similar. ./
S 2 2 1 1

R 1.86.

Desempeo
2
Capacidad Soportada:Hasta 22SMpps para 1Pv4 y 110 Mpps para 1Pv6 y SOO
Gbps de ancho de banda y un tamao de la tabla de direcciones MAC: Al
menos 55.000 direcciones.

Hasta 22SMpps para 1Pv4 y 110 Mpps para 1Pv6
.'

Tamao de la tabla de direcciones MAC: Al
.'

menos 55.000 direcciones
2 1

:0*' Wff A - 'i.fP."'4k00btf"b''"'' "'- JYWi"'"'M'"'"- "'"'' .:! & """"''rn'> """-'"'""""M""'$"' /Zm_,, A&&d==:J

R 1.87.
Administracin segura: Autenticada y cifrada SNMPv3, adems de SSHv2
y/o SSL y duplicacin de puertos: Debe proveer duplicacin de trfico de
entrada desde el puerto(s) del switch a un puerto local o dispositivo de
control remoto para el anlisis del trfico, o para propsitos de
cumplimiento.

R 1.88.

Convergencia

IP multicast routing: Soporte de enrutamiento avanzado.

Soporte de IP muiticast snooping (IGMP basada en datos): Evita
automticamente la saturacin por trfico IP multicast (MlD}.
10

R 1.89.

Conectividad

Soporte de IEEE 802.3af y 802.3at Power over Ethernet.

Soporte de 1Pv6: Debe soportar administracin dual de host en 1Pv4 11Pv6
con el ruteo 1Pv6 va una licencia opcional de ruteo 1Pv6.
S

Soporte de IEEE 802.3af y 802.3at Power over
Ethernet.
y" y"

Soporte de 1Pv6 y"

2 1 o

R 1.90.

Conmutacin Capa 2
IEEE 802.1q Soporte de VLAN y etiquetado: Debe admitir hasta 4,000 VLANs
activas.
S

Autenticada y cifrada SNMPv3, adems de
SSHv2 y/o SSL
y"

proveer duplicacin de trfico de entrada
desde el puerto(s) del switch a un puerto
local o dispositivo de control remoto para el
anlisis del trfico
V' ,'

2 1 o

IP multicast routing: V'

Soporte de JP multicast snooping (IGMP basada
en datos)
y" y"

2 1 o

J


R 1.91. Servicios Capa 3
Capa 3 Ruteo IP: Debe proveer direccionamiento IP bajo enrutamiento
bsico. Enrutamiento RIPvly RIPv2 para un mximo de 64,000 entradas de
rutas 1Pv4. Ruteo avanzado que incluye PIM, VRRP, BGP y OSPF3.

Proveer direccionamiento IP bajo
enrutamiento bsico
Enrutamlento RIPv1y RIPv2 para un mximo
de 64,000 entradas de rutas 1Pv4

Ruteo avanzado que incluye PIM, VRRP, BGP
y OSPF3.
.'

.'

.'

.'

.'

.'

S 2 1 o

R 1.92. Estndares S
Soportados
IEEE 802.1Q (VlAN)
.'

IEEE 802.1x (Authentlcation)
.'

IEEE 802.3 (Ethernet)
.' .'

IEEE 802.3ae (10 Gigabit Ethernet)
.' .'

IEEE 802.1D (Spanning Tree Protocol)
.' .' .'
IEEE 802.1s (Multiple Spanning Trees)
.' .' .'
RMON 1 and 11 standards
.' .' .'
IEEE 02.3ad (LACP) .' .' .'
IEEE 802.1p (CoS Prioritization) .' .' .'
IEEE 802.1w (Rapid Reconfiguratlon of .' .' .'
Spanning Tree)
S 2 1 o

Subtotal de puntos del Equipo de Core 62

1

.

Partida 3. Arrendamiento de equipo para Seguridad Perimetral

Entregab!e E3.2.3.1 Sistema de Prevencin de Intrusos
Funcionalidades El licitante ganador del servicio ser responsable de la totalinstalacin y puesta en 10
mfnimas operacin de los equipos involucrados. Asimismo, debe incluir todos los accesorios que
estime conveniente para este propsito.
Los IPS deben soportar 1,000,000 conexiones por segundo por cada Gigabit de
inspeccin como mfnimo.
Debe ofrecer una latencia mxima de 1 milisegundo.
Interfaces de monitoreo 10/100/1000 en cobre necesarias. El licitante ganador de
servicio debe proveer todos los transceivers y cables necesarios para su
implementacin.
. El monitoreo debe de ser transparente para los usuarios.
EIIPS solicitado debe operar en la capa 2 del modelo de OSI, por lo que las interfaces
de inspeccin no requieren de una direccin IP ni MAC.
Elequipo podr configurarse en modo transparente; es decir, de deteccin en linea,
pero sin bloquear trfico. Elsistema slo alerta que eventos serfan bloqueados.
El sistema debe permitir la configuracin de modo transparente para todo el trfico o
slo para los paquetes especificados por direccin IP, protocolo y VLAN ID.
Debe permitir la creacin de reglas y filtros de acceso.
Elequipamiento debe de ser capaz de indicar a un dispositivo de tipo FW, en
respuesta a un ataque, la adicin de reglas para mitigar el ataque apropiadamente de
manera escalonada en las dos capas de seguridad, IPS y FW.
Soportar funcionamiento pasivo como un IDS (sistema de deteccin de intrusos), con
alertas de ataque, trfico malicioso o no deseado, sin interferir con el trfico.
Soportar combinacin de las modalidades IDS (pasivo) y IPS (en linea)
dentro de un mismo eauioo.
Deteccin de trfico Capacidad de detectar trfico anmalo o vulnerabilidades en las siguientes aplicaciones 5
anmalo o lnstant Messenger y P2P:
vulnerabilidades

Yahoo! Messenger

Gnutella

Kazaa

eDonkey

BitTorrent

SouiSeek


Entregable E3.2.3.1 Sistema de Prevencin de Intrusos
Caractersticas de Deben incluir una herramienta de anlisis de trfico del mismo fabricante, Esta 10
Jos equipos herramienta debe generar reportes de utilizacin y poder sugerir cambios para el
involucrados acomodo (tuning) de la polrtica deiiPS en base al comportamiento del trfico en la red.
Debe tener una administracin de seguridad centralizada que incluya las polfticas,
actualizacin, respuestas y opciones de auditorfa.
Debe contar con almenos un puerto de administracin ethemet 10/100 o en su mejor
caso 10/100/1000, adicionala las interfaces de anlisis solicitadas. As tambin, es
recomendable que cuente con una interface serial de administracin.
La solucin de seguridad debe contemplar que el flujo de infonnacin este asegurado
ante una falla en eiiPS, pudiendo conmutar el trfico, obviando el anlisis deiiPS, sin
necesidad de un dispositiVo exterior que pudiera representar otro punto de falla en la
red.
Debe poder integrarse a la consola centralizada de eventos de tipo SJEM.
Debe integrase a una autentificacin va RAOIUS. La autenticacin RADIUS ser a nivel
de consola de administracin, validando el acceso de los usuarios a la misma.
El equipo debe soportar elmanejo de polfticas por dispositivo, puerto, VLAN tag, IP o
rango de IP's.
Debe contar con un mecanismo de prevencin de spyware;
Debe soportar los siguientes tipos de respuestas: bloquear, ignorar, guardar en un lag,
enviar correo electrnico, SNMP, respuestas definidas por el usuario, cambios de
configuracin a equipos de seguridad o de red de terceros, sugerencia de cambios a la
poltica en base al anlisis de impacto de un evento.
Debe soportar funcionalidades de alta disponibilidad y configuraciones del tipo
activo/activo y activo/failover. Esto debe ser soportado sin degradar elperformance del
IPS y manteniendo elmnimo throughput requerido para inspeccin, en este caso 1
Gbps por cada equipo.
Debe manejar actualizaciones automticas de seguridad del archivo de firmas de
cuando menos dos veces por mes.
Debe hacer Anlisis de trfico de voz sobre IP. Debe soportar para dicho anlisis de
voz, como mnimo los siguientes protocolos, SIP, H.323, H245, H.225.
El producto debe soportar trabajar en capa 2 como Bridge.
Debe soportar monitoreo de VLANs, incluyendo trames 802.1q.
El dispositivo IPS debe soportar monitoreo de redes MPLS.
El dispositivo IPS de soportar el monitoreo de lpv6.
El dispositivo IPS debe soportar monitoreo stateful inspection y mid state pickup.
Las Interfaces utilizadas para censar trfico deben trabajar en modo stealth, sin stack de
TCP/IP en la interfaz.
La deteccin de ataques debe ser independiente al sistema operativo.

, """"' "'"""--'""'"'""'""-""-""""'""""-"""""'---


Contar, como
mnimo, con las
siguientes tcnicas
de anlisis de trfico
1.1dentifica elprotocolo a travs del puerto utilizado.
2.permite la identificacin de protocolos que utilizan puertos aleatorios.
3.Permite la identificacin de protocolos en fonna independiente del puerto utilizado.
4.Protocol Tunneling Recognition- permite la identificacin de protocolos aun cuando
estos estn encapsulados.
5.Heuristics- uso de anlisis heurfstico.
6.Protocol Analysis- anlisis de protocolo con decodificacin mnimo de 400 protocolos
de las 7 capas OSI.
7.Application layer Pre-processing- Los equipos deben poder realizar una revisin de
los datos dentro del protocolo de aplicacin en busca de patrones de ataques de red.
8.Reconnaissance- deteccin de escaneo de puertos (port probes).
9.ProtocolModeling eiiPS ser capaz de modelar y analizar cualquier protocolo,
existente y/o propietario
10.Firmas basadas en vulnerabilidades permitiendo la deteccin de ataques
desconocidos o variaciones de ataques conocidos.
11.RFC Compliance Checking- verificacin de compatibilidad con las RFCs.
12.Protocol Anomaly Deteclion- identifica anomalias de protocolo.
13.TCP Reassembly- reemsamblado de paquetes fragmentadas
14.Deteccin de anomalas de trfico y a lisis de impacto por evento para evitar
ataques de da cero, como una funcionalidad detro delmismo IPS y sin necesidad del
uso de aplicaciones adicionales como sistema de deteccin de anomalas o escanners.
15.Firmas definidas por el usuario mediante el uso de expresiones regulares.
16. Correlacin y agregacin de eventos en el agente de monitoreo, (IPS) sin
necesidad de aplicaciones adicionales y siendo esta funcionalidad propietaria
delmismo fabricante.
5

Caractersticas
mnimas de
configuracin de
polfticas
.Capacidad de creacin de reglas basadas en:

Segmento monitoreado (puerto del appliance).

Direccin IP origen y destino.

c)Puertos origen y destino.

Debe soportar la bsqueda de firmas por nombre a travs de la interfaz grfica.
Captura de trfico para el anlisis de evidencia en formato soportado por TCPDUMP y
ENC (estndar para el software de anlisis de protocolos). Elarchivo puede ser usado
para hacer playback delataque. Se aceptaran propuestas que consideren la captura de
trfico para el anlisis de evidencia en fonnato compatible con libpcap (compatible a su
vez con TCPDUMP), y opcionalmente en formato ENC
Filtro de protocolos TCP, UDP, ICMP (por filtro se entiende paquetes que no sern
analizados).
Filtro de ataques especfficos o todos los ataques a partir de direcciones/redes IP
especfficos.
5

t

Componente Descriocin
Acciones de control
de accesos
Realizar como mfnimo las siguientes acciones:
Monitorear: acta como un IP "whitelist. Los paquetes son procesados pero las
respuestas de descartar paquetes no son aplicadas.
Descartar: descarta el paquete en el momento que este pasa por el mecanismo
de control de acceso. Descartar con Reset funciona de la misma forma que la
accin anterior, pero enva un paquete de reset al computador origen. La
conexin se cierra de esta forma ms rpidamente debido a que no hay
reenvfo de paquetes. Esta funcionalidad tambin debe estar disponible en
modo de IPS.
2

Caracterfsticas
mfnimas de Bloqueo
de Ataque, Trfico
malicioso o Trfico
no deseado.
Debe contar, como mfnimo, con las siguientes caractersticas:
IP whitelist -lista de direcciones IP "confiablesque el sistema no bloquear.
Reset de la sesin TCP cuando se utiliza en modo pasivo.
Descarte de paquetes
Conexin con Reset: descarta todos Jos paquetes de la conexin en la cual el evento
ocurri y envra paquetes de reset TCP al origen y al destino de la conexin.
Conexin: descarta todos los paquetes de la conexin en la cualelevento ocurri.
Paquete:Efecta un drop del paquete identificado con el ataque.
5

)
1

'

Entreoable E3.2.3.1 Sistema de Prevencin de Intrusos
Sistema de El sistema permitir un anlisis dinmico y en tiempo real en para crear un mapa de la 10
correlacin de red monitoreada, incluyendo al menos lo siguiente:
eventos y deteccin

de anomalas,

caractersticas

bsicas

Redes existentes
Host activos
Nuevos host o servers en la red
Nuevas MAC address en la red
Mquinas virtuales nuevas o existentes
Sistema operativo de cada uno de los host identificados
Servicios activos de cada uno de los host identificados
Aplicaciones activas de cada uno de los host identificados
Vulnerabilidades de cada uno de los host identificados
Debe contar al menos con las siguientes banderas de impacto para cada uno de los
eventos deiiPS, independientemente de la criticidad de la vulnerabilidad en el exterior

Vulnerable

No Vulnerable

Posible Vulnerabilidad Existente

Debe ser capaz de crear perfiles de cumplimiento con alguna normativa de seguridad,
para emitir una alarma cuando algunos de los servicios no permitidos por una normativa
de seguridad sea utilizado en el segmento de red acotado por la normativa de
seguridad.
Debe ser capaz de realizar un escaneo de vulnerabilidades a Jos host de la red para
validar la existencia de las vulnerabilidades o como una respuesta a un incidente, por
ejemplo al detectar un nuevo host en la red, debe escanearlo inmediatamente.
Debe permitir una integracin automtica para realizar un cambio de configuracin o
enviar informacin a mdulos de terceros como:

Scanners de vulnerabilidades

SEM/SIEM systems

Firewall

Routers

Switches

Sistemas de patch management

Wireless Access Point

h)NAC servers.


El sistema de
o
Nuevos host en la red 2
correlacin de o Vulnerabilidades existentes en la red
eventos y deteccin o Servicios existentes en la red
de anomalfas debe o AnomaHas de trfico
permitir, como o Perfiles de trfico
mnimo, obtener o Sistemas operativos existentes en la red
reportes detallados o Vulnerabilidades por cada host
sobre los siguientes
o
Uso de trfico por aplicacin
temas: o Uso de trfico por usuario
o Uso de trfico por host
o Uso de trfico por servicio
o Eventos de seguridad por impacto en la red
o Eventos de seguridad por criticidad de la vulnerabilidad

El sistema de Debe ser capaz de a travs de una versin virtual, monitorear y as;gurar una granja de 2
correlacin de
servidores virtuales, sin necesidad de instalar un agente a cada servidor virtual utilizado.
eventos y deteccin
Debe ser capaz de integrarse con herramientas de terceros, para crear un mapa grfico
de anomalas, debe
de la red Debe ser capaz de integrarse con herramientas de terceros, para crear un
incluir las siguientes
mapa grfico de la red que incluya Geo localizacin.
caracterfsticas
Debe ser capaz de crear un mapa de flujo de trfico entre host de la red, para guardar
registro de la cantidad de trfico entre los dispositivos de la red
Debe identificar vulnerabilidades de los host de la red en tiempo real y sin necesidad de
correr un anlisis de vulnerabilidades
El sistema de 1.Debe permitir la integracin con eldirectorio activo de la red para tener un mapeo de 5
correlacin de usuario e IP utilizada actualmente.
eventos y deteccin 2.Debe permitir tener la informacin de contacto de los usuarios que estn siendo
de anomalfas, debe atacados
integrarse con el 3.Los eventos de seguridad mostrados deben mostrar el usuario que est generando o
directorio activo, recibiendo elataque y generar una alerta o tomar acciones en base al perfil del usuario
proveyendo las en cuestin
siguientes 4.Debe de poder generar un mapa de eventos de seguridad generados/recibidos por
caracterfsticas. usuario
5.Debe de poder generar un mapa de trfico generado/recibido po1usuario
6.Debe ser capaz de mantener un mapa de los usuarios, IP actual, tipo de aplicacin
usada, v un historial de las direcciones IP aue ese usuario ha usado en el Uemoo.
Subtotal de puntos del Sistema de Prevencin de Intrusos 56

1

Entregable E3.2.3.2 Filtrado de contenido
Filtrado Contenido
caractersticas
requeridas:
Soporte para al menos 1000 usuarios
Protocolos soportados para la solucin (p. ej. HTTP v1.011.1 o HTTPS), aslcomo
puertos o protocolos adicionales (p. ej. P2P, Skype).
Bloqueo Proactivo de amenazas en tiempo real actualizacin de la inteligencia en la
nube de al menos cada 5 minutos.
Contener motores (engines) de deteccin heurfsticos basados en la identificacin de
comportamientos inusuales y brotes de amenazas de dia Cero.
Debe de contar con proteccin de usuarios mviles con itinerancia, dirigiendo todo el
trfico de internet a la nube de seguridad ms cercana para analizar el trfico en tiempo
real y permitir el acceso.
Motores (Engines) de filtrado de contenido utilizados (p. ej. reputacin URL, reputacin
IP, categorizacin).
Capacidad de configurar y aplicar politicas por categorfas de contenido. Mencionar si se
tienen polticas o sugerencias de plantillas de polfticas.
Capacidad de configurar filtros adicionales o especficos por usuario, por grupo(slo
por el administrador del dominio).
Integracin de solucin de filtrado de contenido con Directorio Activo para autenticacin
de usuario. Evitar doble autenticacin. Soporte a Security Assertion Markup Language
(SAML) para Single-Sign On.
Capacidad de mantener una polftica de filtrado bsica o default en caso de no tener
comunicacin con el Directorio Activo.
Capacidad de detectar y filtrar pginas en diferentes idiomas o con diferentes conjuntos
de caracteres.
Capacidad de bloqueo por ubicacin de origen (geoiP). Bloque regional por paises.
Capacidad de bloqueo por contexto (horario, usuario, ubicacin, etc).
Capacidad de bloqueo por versin de navegador utilizado.
Capacidad de bloquear el acceso a sitios clasificados como Phishing, o redes de
botnet.
10
Filtrado Contenido
caractersticas
requeridas:
Bloqueo de descarga por tipo de archivo o extensin.
Capacidad de deteccin y filtrado por URL o direccin IP.
Soportar clasificacin dinmica para sitios web no categorizados, o tiempQ compromiso
para categorizar sitio.
Capacidad de re categorizar o cambiar la clasificacin a pginas o URL por parte del
administrador para una organizacin.
Capacidad de bloquear la descarga de archivos desde ciertos sitios sospechosos.
Capacidad de bloquear en Hnea sitios con XSS y robo de cookies.
Capacidad de bloquear en lnea sitios anonimizadores (proxy annimo) en general y
para aplicaciones Web 2.0.
5

En'tregable E3.2.3.2 Filtrado de contenido
Comoonente Descriocin
Control de
aplicaciones (Web
2.0}, caracterlsticas
requeridas:
Capacidad de detectar amenazas o ataques en Web 2.0 (inspeccin profunda de
payload)
Capacidad de realizar polfticas granulares para el uso aplicaciones Web 2.0 para filtrar
funcionalidades especficas (p. ej. posting o subir videos)
Mensajerfa Instantnea. Deteccin y bloqueo de uso de aplicaciones de mensajerfa
instantnea basadas en Web
Deteccin y bloqueo de "uploading" de archivos en aplicaciones de correo basadas en
Web.
5
DLP-Data Leakage
Prevention/ Data
Loss Prevention,
caractersticas
requeridas:
Capacidades para la ap licacin de polfticas de DLP granulares y por usuario.

ues conocidos y recientes mediante firmas actualizadas.
sin firmas o por comportamiento, o por contexto en tiempo real.
ataques de da cero y el mecanismo asociado.
y bloqueo) de descarga y ejecucin de cdigo malicioso
s). Mencionar si se verifica flujos de entrada y salida
5
Proteccin contra
malware, spyware y
bots, caracterfsticas
requeridas:
Proteccin contra ataq
Deteccin de malware
Capacidad de detectar
Prevencin (deteccin
(malware, spyware, bot
(inbound/outbound).
2
Cifrado,
caractersticas
requeridas:
Tener la capacidad de fungir como un proxy para sesiones SSL iniciadas por el usuario.

Dispositivos mviles soportados para integrarlos a la solucin de filtrado (sistemas
operativos). Por ejemplo:Windows Mobile, BlackBerry, MacOS, lOS (iPhone and iPad),
y Android.
Mecanismos para mejorar o mantener la latencia cuando el usuarios est fuera de su
zona geogrfica habitual.
Esquemas soportados para integrar oficinas remotas a la solucin de filtrado en nube
(Ejemplo. GRE, Proxy Chaining, PAC).
2
Soporte a equipos
mviles/oficinas
remotas,
caracterfsticas
requeridas:
5


EntreQable E3.2.3.2 Filtrado de contenido
Reportes, debe
permitir, como
mnimo, obtener
reportes sobre los
Contar con un tablero inicial de indicadores y grficos para tener una visin completa del
estado del servicio.
Tablero configurable por diente, y soporte de esquema white-labeling.
Capacidad de realizar "drill-down" a partir de reporte o grfico inicial del tablero de
control.
Capacidad de generar consultas mediante aplicacin de filtros contra atributos de
eventos.
Reportes disponibles para administrador de dominio de las funcionalidades Web
Security.
Reportes exportables a diferentes formatos a un archivo csv, pdf, html.
Capacidad para generar plantlllas de reportes comunes para su rpida generacin y
consulta.
Capacidad de almacenar y consultar reportes generados.
Capacidad de asignar reportes y contenido de acuerdo a perfil del usuario.
Capacidad de ca!endarizar reportes y enviarlos a un grupo de destinatarios por correo
electrnico, o notificar su disponibilidad para la consulta Web.
2

siguientes temas:

Seguridad,
caracterlsticas
requeridas:
la solucin debe permitir la creacin de diferentes dominios por cliente y garantizar que
cualquier configuracin de funcionalidad es independiente.
Capacidad de manejar 1 configurar diferentes niveles de roles o privilegios, por ejemplo:
operador, administrador y/o auditor.
2
Gestin de eventos
y bitcoras, con las
siguientes
caracterfsticas:
Capacidad de recoleccin y manejo (reduccin, nonnalizacin, procesamiento) de
eventos:

Eventos almacenados relacionados con la administracin de plataforma

(bitcoras de administracin, de usuarios).

Eventos almacenadas relacionados con elproceso de filtrado de navegacin
Tiempo de retencin (configurable) para el manejo de eventos tanto de administracin
como de uso de seJVicio.
Procedimientos para consultar o compartir eventos por solicitud (en linea) y fuera de
lnea.
2
Capacidad/
Escalabilidad,
con las
siguientes
caractersticas:
Infraestructura requerida para un nodo Web Security
Soporte para integrar clientes con 1Pv6.
5
Redundancia en los
siguientes
componentes:
Esquema de redundancia en caso de fallo de nodo principal de Filtrado. - reenvfo a
Nodo alterno (activo-activo, activo-pasivo); Nodo en Nube de Proveedor

Ubicacin y Nmero de nodos del proveedor para redundancia (para esquema de nube
pblica)
Contar con Arquitectura o Esquema para proteger o respaldar informacin de
confiauracin de seJVicio (nube Pblica)
10

Sub}otal de puntos del Filtrado de contenido

55


Entregable E 3.2.3.3 Sistema de proteccin contra ataque de denegacin de serviCios (ODas)
El sistema debe proporcionar interfaces a velocidades de 1 Gbps, soporte de almenos 5
pares de interfaces GE (5 puertos internos y 5 puertos externos) que permita la
conexin en lnea de hasta 5 segmentos de Gig bit Ethernet.
El sistema debe soportar interfaces a velocidades de 10 Gbps, apoyando almenos 1 par
de interfaces 10GE (1 puerto interno y 1 puerto externo) que permita la conexin en
lfnea de 1 segmento de 10GE.
La solucin debe de soportar almenos 9.5 millones de paquetes por segundo.
La solucin debe de soportar al menos 610,000 conexiones http por segundo.
El sistema debe de tener embebido el bypass ffsico en cada interface para garantizar
alta disponibilidad y debe activarse en los siguientes casos: Perdida de energa
elctrica, falla lgica en la interface de control, prdida de conectividad con la tarjeta
madre del dispositivo, colapso del sistema operativo.
El sistema debe permitir el aumento de su rendimiento de 2GB/S a 10GB/S a travs de
cambios en las licencias sin la necesidad de hardware nuevo.
El sistema debe implementar hardware bypass en todas las interfaces de servicio
(proteccin).
El sistema alposicionarse en lfnea debe de ser completamente transparente, sin
introducir ningn cambio de encapsulamiento.
El sistema debe ser capaz de soportar un modo de prueba "inactivo" cuando se
configura en lnea, que permita el ajuste de la configuracin de proteccin sin bloquear
el trfico y proporcione reportes de todo el trfico que bloqueara si se define como
"activo".
El sistema debe soportar la implementacin en modo "monitor'' en el que no introduce
ningn punto adicional de falla a la red.
El sistema debe ser capaz de capturar trfico directamente desde un puerto espejo
(SPAN) en un enrutador, switch o tap.
El sistema debe de soportar una configuracin en donde no reenve el trfico entre los
puertos de proteccin al operar en modo espejo, SPAN, o tap de red, para evitar la
inyeccin de trfico duplicado. La configuracin para "nunca reenviar el trfiCo" no debe
de poder ser modificada en el flujo de trabajo de la interfaz de usuario normal.
El sistema debe ser compatible con alimentacin de energfa AC.
El sistema debe soportar redundancia completa para fuentes de alimentacin AC.
El sistema debe admitir intercambio caliente de una fuente de alimentacin de AC
de uadada durante el funcionamiento normal del sistema.

Especificaciones
tcnicas.
Cumpliendo, como
mfnimo, las
siguientes
caractersticas:
10


Entregable E 3.2.3.3 Sistema de proteccin contra ataque de denegacin de servicios (ODas)
Administracin. El sistema debe proporcionar documentacin en lnea en la GUI para ayudar a los 2
Cumpliendo, como usuarios a comprender las funciones.de cada pantalla.
mfnimo,las La GUI del sistema debe permitir mltiples los niveles de acceso como administrador y
siguientes operador.
caracterrsticas: El sistema GUJ debe incluir un registro de cambios que reporte todos los eventos que
podrian afectar la administracin incluyendo Jos inicios de sesin de usuario, los
cambios de configuracin, comandos CU y actualizaciones del sistema.
El sistema debe proporcionar la capacidad para crear y exportar paquetes de
diagnstico que contienen informacin del estado y configuracin a utilizarse para
resolver problemas.
El sistema debe proporcionar la capacidad para administrar sus archivos a travs de la
GUI, incJuida la carga, descarga y eliminacin.
El sistema debe proporcionar una interfaz CLJ que proporcione funciones de supervisin
del sistema.
El sistema debe proporcionar una opcin de SYSLOG, SNMP o notificaciones SMTP
para las alertas del sistema, los cambios de modo de despliegue (activo/inactivo) y
cambios de nivel de proteccin.
El sistema debe admitir el control de su estado general a travs de SNMP v2 o v3.
El sistema debe proporcionar la capacidad de visualizar, buscar y eliminar alertas
caducadas y activas a travs de la GUI.
El sistema debe permitir la creacin, eliminacin y administracin de cuentas de usuario
a travs de la GUI(Interfaz Grfica del Usuario)
Seguridad. Todas las comunicaciones externas al sistema deben ser manejadas a travs de un
Cumpliendo, como cortafuegos incorporado de filtrado de paquetes que permita slo servicios obligatorios y
mnimo, las opcionales que deban habilitarse explfcitamente por subred.
siguientes El acceso a la CLI (Interfaz de lnea de comandos) debe proporcionarse mediante SSH.
caracterrsticas: El acceso de GUI al sistema debe ser a travs de HTTPS. No deben permitirse
protocolos de GUIno seguros.
El sistema debe permitir la configuracin de mltiples cuentas de usuario local.
El sistema debe proporcionar controles de acceso a nivel de usuario basados en Tokens
que pueden asignarse a usuarios o grupos de usuarios para aplicar la separacin de
privilegios.
A los usuarios sin privilegios administrativos se le permitir administrar la configuracin
de sus propias cuentas y contraseas pero no puede ver o cambiar cuentas de otros
usuarios.
El sistema debe proporcionar listas de control de acceso IP para todos los servicios
remotos que estn accesibles.
El sistema debe proporcionar completa AAA a los usuarios a travs de una base de
datos de: usuario local, RADIUS y/o TACACS o la configuracin combinada de mtodos.

Fecha: 09.10.2013
!JW & sen
Pgina 111 de 129 Versin: V 1.0.0

Seguridad.

El sistema debe admitir configuracin a travs de navegadores web estndar 5
Cumpliendo, como

actualizados.

mnimo, las

El sistema debe proporcionar una interfaz CLI accesible a travs de la conexin de red o

siguientes
de la consola.

caractersticas:

El sistema debe proporcionar un panel de estado de dispositivo que incluya informacin

sobre las alertas activas, todas las protecciones aplicadas al trfico, total del trfico

permitido y bloqueado a travs de las interfaces, estado de la CPU y memoria de

sistema.

El sistema debe mostrar una lista de protecciones activas en conjunto con estadsticas
resumidas de la cantidad de trfico permitido y bloqueado para cada grupo de
proteccin configurado.

El sistema debe proporcionar estadfsticas detalladas y grfjcos para cada proteccin,
mostrando su impacto en eltrfico durante los ltimos 5 minutos, 1 hora, 24 horas, 7

das o un intervalo personalizado especificado.

El sistema debe mostrar estadsticas de proteccin en tiempo real sobre trfico

permitido y bloqueado en bytes y paquetes, con estadfsticas en bps y pps
Las estadfsticas detalladas y grficos para cada grupo de proteccin para servidores
genricos deben incluir informacin sobre el trfico total, trfico total permitido y

bloqueado, nmero de hosts bloqueados, estadsticas sobre cada tipo de prevencin,

trfico por URL, trfico por dominio, informacin de ubicacin IP, distribucin de
protocolos, distribucin de servicios y estadfsticas principales de hosts bloqueados.
Web deben incluir informacin sobre el trfico total, trfico total permitido y bloqueado,

nmero de hosts bloqueados, estadfsticas sobre cada tipo de prevencin, trfico por

URL, trfico por dominio, informacin de ubicacin IP, distribucin de protocolos,

distribucin de servicios y estadsticas principales hosts bloqueados.

Las estadsticas detalladas y grficos para cada grupo de proteccin para los servidores

DNS deben incluir informacin sobre el trfico total, trfico total permitido y bloqueado,

nmero de hosts bloqueados, estadsticas sobre cada tipo de prevencin, informacin

de ubicacin IP, distribucin de protocolos, distribucin de servicios y estadsticas


VoiP deben incluir informacin sobre el trfico total, , trfico total permitido y bloqueado,
nmero de hosts bloqueados, estadfsticas sobre cada tipo de prevencin, informacin

de localizacin de IP, distribucin de protocolos, distribucin de servicios y estadsticas

El sistema debe admitir la generacin de infonnes pdf que contiene las estadfsticas

detalladas y grficos para cada grupo de proteccin.

El sistema debe admitir la generacin de reportes de correo electrnico con las

estadfsticas detalladas y grficos para cada grupo de proteccin.

El sistema debe suministrar toda la interfaz CLI a travs delpuerto de consola serie RS-

232.

Entregable E 3.2.3.3 Sistema de proteccin contra ataque de denegacin de servicios (ODos)

}
t

Fecha: 09.10.2013

Entregable E 3.2.3.3 Sistema de proteccin contra ataque de denegacin de servicios (ODa }.
Componente
Mitigacin en la
nube. Cumpliendo,
como mnimo, las
siguientes
caractersticas:
Descripcin

El sistema debe de proporcionar la posibilidad de solicitar a travs de un protocolo de
sealizacin en la nube al Proveedor de Servicios (ISP), para que empiece una
mitigacin ascendente ("mitigacin en la nube") cuando el enlace sea saturado por un
ataque volumtrico de ODaS.
La funcionalidad del sistema de "sefalizacin en la nube" debe de soportar la solicitud
de mitigacin ascendente en la nube desde el Proveedor de Servicios (ISP) que
proporciona la conectividad a Internet o desde el Proveedor de Servicios Administrados
de Seguridad en la nube (no directamente conectado al sitio).
El sistema debe de poder disparar la solicitud para una mitigacin de nube ascendente,
ya sea manual o automticamente a travs de la configuracin de umbrales de trfico.
El sistema debe automticamente reportar el estado y estadisticas durante una
mitigacin en la nube, iniciada por el Proveedor de Servicios OSP) sin la necesidad de
una solicitud explcita.
El sistema debe ser capaz de informar la cantidad de trfico bloqueado en bps y pps
durante una mitigacin en la nube en curso.
El sistema debe ser capaz de informar la cantidad de tiempo que una mitigacin de
nube lleva ejecutndose.
El sistema debe ser capaz de informar el estado actual de una mitigacin de nube
solicitada, informando si se ha activado correctamente en la nube o no.
El sistema debe enviar notificaciones acerca cualquier cambio de la mitigacin en la
mitigacin.
El sistema debe de ser capaz de reportar el estado de la conexin de sealizacin en la
nube con el sistema del Proveedor de Servicios Administrados de Seguridad, mostrando
el estado de conexin, errores de conexin y cuando haya sido deshabilitado.
El sistema debe de poder proporcionar la capacidad para manualmente disparar una
prueba de conexin de sealizacin en la nube con el sistema del Proveedor de
Servicios Administrados de SeQuridad.
5

Fecha: 09.10.2013 Pgina 113 de 129
,_,"!3..'03< -? i!) + - "'"' h """"'''"'*' '::""'2.:0!
Versin: V 1.0.0

Entreoable E 3.2.3.3 Sistema de proteccin contra ataque de deneoacin de servicios (DDos)
Comoonente Descripcin
Prevencin de
ataques.
Cumpliendo, como
mlnimo, las
siguientes
caractersticas:
El sistema debe ser capaz de bloquear paquetes que no son vlidos (incluidos los
controles de encabezados IP malformados, fragmentos incompletos, checksum IP
errneos, fragmentos duplicados, fragmentos muy largos, paquetes pequeos, paquetes
TCP pequeos, paquetes UDP pequef\os, paquetes ICMP pequeos, checksums
TCP/UDP errneos, banderas TCP invlidas, nmeros ACK invlidos) y proporcionar
estadfsticas para los paquetes descartados.
Es imperativo que estos valores estn pblicos en documentos oficiales del fabricante,
por transparencia con elproceso no se aceptarn cartas del fabricante o canalpara
justificar cumplimiento.
El sistema debe permitir la configuracin de listas de filtros que contengan expresiones
FCAPS para permitir o bloquear trfico.
El sistema debe ser capaz de detectar fuentes que envfen cantidades excesivas de
trfico bajo umbrales configurables, para despus colocar esas fuentes en listas de
hosts bloqueados temporalmente (bloqueo basado en la tasa de trfico).
El sistema debe de ser capaz de descartar paquetes segn puertos TCP especfficos y
payloads que coincidan o no con expresiones regulares configurables.
El sistema debe de ser capaz de descartar paquetes segn puertos UDP especificas y
payloads que coincidan o no con expresiones regulares configurables.
El sistema debe de soportar prevencin de inundacin suplantada de SYN's TCP que
autentifiquen conexiones TCP desde los host origen.
La prevencin de inundacin suplantada de SYN's TCP debe de ser capaz de
especificar los puertos TCP origen y destino a ser ignorados.
La prevencin de inundacin suplantada SYN's TCP debe proporcionar una forma de no
impactar sesiones de usuarios legftimos HTTP a travs de redireccin HTTP
subsecuente.
La prevencin de inundacin suplantada de SYN's TCP debe de proporcionar opciones
de mecanismos fuera de secuencia ACK para la autentificacin de la conexin de las
aplicaciones basadas en TCP que son sensitivas a envfo de TCP RST a los clientes.
El sistema debe de soportar la supresin de sesiones TCP inactivas si elcliente no
envfa una cantidad de datos configurable por el usuario dentro de un periodo de tiempo
configurable por el usuario.
El sistema debe de soportar la capacidad de poner en listas negras a los host despus
de un nmero de conexiones TCP consecutivas inactivas configurables por elusuario,
El sistema debe de soportar elbloqueo de solicitudes DNS malformadas en el puerto 53
que no cumplan con el estndar RFC.
El sistema debe de ser capaz de autentificar solicitudes DNS desde el host origen y
suprimir aquellas que no puedan ser autentificadas dentro de un tiempo especfico.
El sistema debe ser capaz de limitar el nmero de consultas DNS por segundo a una
velocidad configurable por el.usuario.
El sistema debe ser capaz de bloquear el trfico desde cualquier host que genere ms
solicitudes DNS fallidas consecutivas dellfmite configurado y poner al host origen en
una lista negra.
5

f

Entregabte E 3.2.3.3 Sistema de proteccin contra ataaue de deneaacin de servicios (ODas)
Componente Descriocin
Prevencin de
ataques.
Cumpliendo, como
mfnimo, las
siguientes
caractersticas:
La prevencin de inundacin suplantada de SYN's TCP debe -de proporcionar opciones
de mecanismos fuera de secuencia ACK para la autentificacin de la conexin de las
aplicaciones basadas en TCP que son sensitivas a envo de TCP RST a los clientes.
El sistema debe de soportar la supresin de sesiones TCP inactivas si el cliente no
enva una cantidad de datos configurable por el usuario dentro de un periodo de tiempo
configurable por elusuario.
El sistema debe de soportar la capacidad de poner en listas negras a los host despus
de un nmero de conexiones TCP consecutivas inactivas configurables por el usuario.
El sistema debe de soportar el bloqueo de solicitudes DNS malformadas en el puerto 53
que no cumplan con el estndar RFC.
El sistema debe de ser capaz de autentificar solicitudes DNS desde el host origen y
suprimir aquellas que no puedan ser autentificadas dentro de un tiempo especifico.
El sistema debe ser capaz de limitar elnmero de consultas DNS por segundo a una
velocidad configurable por el usuario.
El sistema debe ser capaz de bloquear el trfico desde cualquier host que genere ms
solicitudes DNS fallidas consecutivas del lmite configurado y poner al host origen en
una lista negra.
El sistema debe proporcionar la posibilidad de configurar expresiones REGEX para
suprimir el trfico DNS especifico con los encabezados que coincidan con las
expresiones.
El sistema debe ser capaz de detectar y eliminar paquetes con formatos incorrectos de
HTIP que no se ajusten a los RFC's para los encabezados de solicitud y poner al host
origen en una lista negra.
El sistema debe de ser capaz de bloquear hosts que exceden un umbral configurable
para el nmero total de operaciones por segundo, por servidor destino.
El sistema debe ser capaz de suprimir paquetes HTTP especificas segn los
encabezados HTTP coincidentes con hasta 5 expresiones REGEX configurables.
El sistema debe de proporcionar la capacidad de normalizar el trfico que coincida con
una expresin FCAPS especifica, y suprimir el trfico que exceda la tasa configurada.
Las expresiones FCAPS deben soportar la seleccin de los campos de encabezado IP y
campos de los encabezados en capa 4 (UDP y TCP).
El sistema debe proporcionar la capacidad para detectar y bloquear las inundaciones de
SYN's TCP por encima de la tasa configurada.
El sistema debe proporcionar la capacidad para detectar y bloquear las inundaciones
ICMP por encima de la tasa configurada.
El sistema debe proporcionar la capacidad de bloquear el trfico procedente de fuentes
que interrumpen reiteradamente solicitudes HTIP.
El sistema debe proporcionar la capacidad de bloquear el trfico originado por bot's
segn las firmas proporcionadas por el sistema.
5

Entregable E 3.2.3.3 Sistema de_proteccin contra at-9_ue de denegacin de servicios_{DDos) _

Prevencin de El sistema debe de ser capaz de activar de manera peridica las nuevas tcnicas de 5

ataques.
Cumpliendo, como
mnimo, las
siguientes
caractersticas:
defensa actualizando las firmas que sern mantenidas por el equipo de investig8cin del
fabricante 24x7, monitoreando al menos el70% del trfico del Internet a nivel mundial
en busca de botnets y nuevos vectores de ataque. Es imperativo que estos valores
(porcentaje} estn pblicos en documentos oficiales del fabricante, por transparencia
con elproceso no se aceptarn cartas delfabricante o canalpara justificar
cumplimiento.
El sistema debe proporcionar la posibilidad de actualizar de manera peridica y
automticamente sus firmas de proteccin de ataques , en intervalos configurables.
El sistema debe proporcionar la posibilidad de actualizar automticamente sus firmas de
proteccin de ataques cuando sea solicitado manualmente.
El sistema debe proporcionar la capacidad para realizar la actualizacin de firma de
proteccin de ataques ataque a travs de servidores proxy.
El sistema debe de poder bloquear trfico Multicast.
El sistema debe de proteger contra amenazas en TLS.
El sistema debe de prevenir el bloqueo global de CON o proxies.
El sistema debe de identificar web crawlers y monitorear su uso.
El sistema debe permitir la configuracin de protecciones predefinidas asociadas con
servicios especificos, como Web, DNS, VoiP o un servidor genrico.
El sistema debe de soportar la capacidad de cambiar el Nivel de Proteccin que se
aplica al trfico, cambiando efectivamente la configuracin en uso por elsistema para
todas las prevenciones, simplemente con presionar botones acorde al tipo de
proteccin:Baja,Media y Alta.
El sistema debe de permitir que los parmetros de proteccin sean cambiados mientras
la proteccin est corriendo.
El sistema debe de poder bloauear Por oals de orioen.
Inteligencia en
Seguridad.
Cumpliendo, como
mfnimo, las
siguientes
caracterfsticas:
Todo dispositivo de seguridad debe de venir acompaado con investigacin y anlisis
detrs para poder mitigar las amenazas y vectores de ataque actuales. Por lo que el
fabricante de la solucin debe de contar con algn sistema de inteligencia donde se est
monitoreando las amenazas de Internet a nivelmundial y debe de cumplir con al menos
las siguientes caracterfsticas:

Al menos analizar 3 Terabits por segundo en Internet para tener una amplia

.
muestra y visin a nivel mundial

Al menos 70 ISP's deben de compartir informacin de ataques con el
fabricante
Al menos 30 GB de trfico malicioso debe de ser analizado diariamente
proveniente de darknets o honeypots
Estos datos deben de estar pblicos en el sitio web del fabricante, por transparencia no
se aceptarn cartas firmadas de ningn tipo donde clamen cumplir este punto si no se
encuentra pblicamente disoonib/e en el sitio web del fabricante.
10

Subtotal de puntos del Sistema de proteccin contra ataque de denegacin de servicios
(ODas)

37

1

Entregable E3.2.3.4 Sistema de control de acceso a la red cableada e inalmbrica


Control de Accesos.
Caracterfsticas
tcnicas generales
requeridas:
La solucin debe controlar el acceso de los dispositivos a la lAN y la WLAN, con un
licenciamiento inicial que soporte el control de acceso para 1000 dispositivos
concurrentes en ambas redes. Los dispositivos deben ser autenticados y clasificados
con base en su perfil, manteniendo el perfil de cada uno de ellos en la base de datos del
sistema.
Considerando un mximo de 3 dispositivos por usuario y un mximo de 1200
empleados, la solucin debe permitir la escalabilidad de licenciamiento para hasta 3600
dispositivos concurrentes, sin la necesidad de realizar cambios en el hardware.
La solucin debe incluir el hardware y software necesarios para realizar funcionalidades
de autenticacin y autorizacin para usuarios/dispositivos que se conectan a red por
medio cableado e inalmbrico, as como tambin para dispositivos que se conectan a la
red va VPNs, con la implementacin de una poltica de seguridad consistente para todo
el x basada en el protocolo 802.1X
La solucin debe considerar la validacin de posturas y el anlisis del contexto de los
dispositivos (tipo de dispositivo, lugar de conexin, horario de conexin y medio de
conexin) como parte de las polticas configurables para la autorizacin del acceso a la
red.
La solucin debe contar con nodos de Polticas, Administracin y Monitoreo, de acuerdo
a las caractersticas de estos elementos descritas anteriormente y debe haber
redundancia en todos estos elementos.
La solucin debe residir en servidores dedicados (appliances), instalados dentro de las
instalaciones de IFETEL, en una ubicacin con seguridad ffsica que IFETEL destine
para estos equipos.
Se deben incluir todos los accesorios necesarios para la instalacin de los equipos en
rack de 19".
La propuesta debe considerar los Servicios de Consultora para traducir la Polftica
Corporativa de Seguridad hacia reglas aplicables al Sistema de Control de Acceso.
10


Control de Acceso. Los dispositivos que solicten acceso a la red podrn ser autorizados, limitados o 10
Caractersticas rechazados basados en los siguientes criterios:
tcnicas mfnimas Atributos del usuario: Usuario y contrasea de dominio, certificado digital, grupo de
requeridas: usuario.
Contexto del dispositivo: Horario de conexin, Jugar de conexin, medio de conexin
(cableado, inalmbrico, VPN) y tipo de dispositivo.
Cumplimiento del dispositivo: Versin del sistema operativo, parches, actualizaciones,
aplicaciones instaladas, antivirus, anti spyware, etc.
Para identificar el tipo de dispositivo que se est conectando a la red, la solucin debe
realizar pruebas a Jos dispositivos basadas en DHCP, NetFiowy SNMP.
En funcin de los atributos de usuario y atributos de dispositivo, la solucin debe aplicar
las siguientes reglas generales de control de acceso:
Si el usuario/dispositivo pertenece al dominio y cumple las polticas establecidas, debe
poder ingresar a la red con el perfil adecuado a su funcin dentro de la organizacin y
ser colocado en una VLAN productiva.
Si el usuario/dispositivo pertenece al dominio pero su mquina no cumple las polfticas
establecidas, debe poder ingresar a la red con el perfil restrictivo y colocado en una
VLAN de Remediacin o cuarentena. Ante una remediacin exitosa, podr ser colocado
en una VLAN productiva.
Sf elusuario/dispositivo no pertenece al dominio y por ende no tiene credenciales en el
directorio corporativo, debe ser re-direccionado a un portal WEB a travs delcual podr
autenticarse con credenciales temporales, para ser colocado en una VLAN de invitado
con acceso limitado. Ante la falla de esta autenticacin, se le negar totalmente el
acceso alusuario.
Si el usuario/dispositivo no logra autenticarse a travs de ningn mtodo, se le negar
el acceso a la red.
La solucin debe permitir la aplicacin de listas de acceso descargables (dACls) para
limitar temporalmente el flujo de trfico de dispositivos que no cumplen con las posturas
requeridas, con la finalidad de permitirles acceder exclusivamente a recursos de
remediacin.
El sistema debe realizar peridicamente la verificacin del cumplimiento de posturas de
los dispositivos que solicitan acceso a la red, asf como de los dispositivos ya conectados
(autenticados y autorizados) y elAdministrador del Sistema podr configurar el intervalo
de tiempo en que el nodo de poHticas realiza dicha verificacin. Sien cualquier
momento el cumplimiento de posturas no es el correcto, automticamente y sin
intervencin de ningn administrador, el usuario debe ser advertido y elacceso de su
1
diPositivo debe ser limitado a una VlAN de remediacin.

t

Entregable E3.2.3.4 Sistema de control de acceso a-la red cableada e inalmbrica
Control de Acceso.
Funcionalidades
mfnimas requeridas:
Debe poseer -las siguientes funcionalidades cmo parte de la validacin de posturas:
Verificacin de versiones y parches de sistema operativo.
Verificacin de antivirus y anti-spYNare instalado y actualizado a la ltima versin.
Verificacin de determinados registros en el dispositivo, para identificacin pertenencia
de la estacin de trabajo al organismo.
Se debe utilizar un cliente de software en los dispositivos finales, exclusivamente para la
validacin de posturas, con las siguientes caracterfsticas:
Podr ser instalado permanentemente en equipos que cuenten con los siguientes
sistemas operativos: Windows 8, Windows Vista, Windows 7, Windows XP y MacOS X
Podr ser instalado temporalmente a travs de un applet personal: Active X 6 Java en
equipos Windows.
Podr realizar verificaciones recurrentes del cumplimiento de posturas en el equipo.
La solucin debe ofrecer herramientas para remediar elincumplimiento de posturas en
la estacin de trabajo.
La solucin debe incluir un modelo de control de acceso basado en roles de usuario. La
solucin debe tener la capacidad de integracin con plataformas MDM (manejo de
dispositivos mviles), para controlar las aplicaciones que tienen instaladas los telfonos
mviles corporativos, como parte de la polftica de control de accesos.
La solucin debe incluir un modelo de control de acceso basado en grupos de usuarios.
Los usuarios deben poder ser relacionados a uno o ms grupos y, con base a su
pertenencia a determinado grupo, se les podr conceder/negar el acceso a
determinados recursos de red.
La validacin de polticas en la estacin de trabajo debe poder realizarse antes y
despus que el usuario se haya identificado.
A cada poHtica de verificacin del puesto de trabajo se le debe poder configurar una
leyenda que describa el cumplimiento y otra de remediacin. El usuario d be poder
responder a la misma seleccionado una opcin indicada.
Elmtodo principal para la autenticacin de los usuarios debe ser con la autenticacin
en el dominio Windows utilizando tcnicas de SSO (Single-Sign-On), es decir, que las
mismas credenciales que utiliza el usuario para acceder al dominio de Windows sean
utilizadas para acceder a la red.
Las credenciales de los usuarios deben ser almacenadas y validadas en un directorio
corporativo Microsoft Windows Active Directory 2012.
Adicionalmente, el sistema debe permitir la autenticacin transparente para el usuario a
travs de certificados digitales X.509 instalados en su dispositivo.
La solucin permitir analizar los certificados que presentan los clientes para permitir o
denegar el acceso a los recursos internos y basados en los campos del certificado
presentado por el cliente se asocia el cliente a un grupo o role con determinados
privile : ios de acceso sobre los recursos.
10


F"E"W'?i'""'-tt _; '!?"" 'N""-_ t;!f:'0d.-Hf@ AM""'"'"' "03"" i h'P"M'"'""' ""'" _;::,if&P-"""' =- -'5._"'--'"'!'W""'""" '--' """'"""'":::"'-? fu"""d""'-._. kfi< --,'*" .ml11

RUBRO SUBRUBRO Ptos rot.
Comoonente DescriPcin
Control de Acceso.
Funcionalidades
mfnimas requeridas:
El sistema debe permitir acceso limitado a equipos externos a la red corporativa que no
estn registrados en el dominio (proveedores, invitados, etc.) mediante un portal web
cautivo a travs delcual se realice la autenticacin web de estos usuarioS.
El sistema debe permitir la autenticacin por direccin MAC exclusivamente para
dispositivos que no soportan 802.1x (dispositivos no usuarios, como impresoras).
El sistema debe soportar el protocolo RADIUS para autenticacin, autorizacin y
Auditorfa (AAA).
El sistema debe soportar los siguientes protocolos y estndares del framework 802.1X:
Autenticacin PAP
Autenticacin MS-CHAP
.
Autenticacin Extensible Authentication Protocol (EAP)-MD5

Autenticacin Protected EAP (PEAP)
Autenticacin EAP-Fiexible Authentication via Secure Tunneling ( EAP -FASD
Autenticacin EAP-Transport Layer Security (EAP- TLS)
El sistema debe permitir asignar uno o ms grupos al usuario dependiendo de cualquier
atributo, especificado por el administrador, obtenido de su fuente de autenticacin (por
ejemplo LDAP, Radius).
Integracin a un esquema PKI
Almacenamiento de certificados propios (self-signed)
Utilizacin de certificados Qenerados oor una CA
5

!

Administracin, la administracin debe ser centralizada para todo el sistema. 5
monitoreo y Debe proporcionar el monitoreo, reportes y solucin de problemas mediante una
reporteo. consola de operaciones.
Caracterfsticas Debe incluir plantillas predefinidas para la configuracin de polfticas de dispositivos
mfnimas requeridas comunes.
de estas Debe contar con la facilidad de descubrir los dispositivos conectados a la red y
funcionalidades: clasificarlos automticamente.
Debe permitir la creacin y administracin de perfiles y posturas.
Debe permitir la administracin y credencializacin de usuarios invitados conectados a
/a red, administrando su ciclo de vida: fecha y horario de inicio y fin de su conexin
temporal.
Debe ofrecer informacin contextua/ en tiempo real de todos Jos usuarios y dispositivos
conectados a la red.
La solucin debe incluir como opcin el auto-aprovisionamiento de usuarios invitados,
los cuales deben ser aislados en una VLAN con acceso restringido.
La solucin debe almacenar los logs de todos Jos pedidos de autenticacin de los
usuarios como tambin Jos resultados de cumplimiento de nonnas de cada uno de ellos.
Debe poder almacenar al menos:
Informacin del usuario que se registra (lag in} y delque finaliza su sesin (lag-out).
Timeout de sesiones, incluyendo tiempos sin actividad y tiempos mximos de sesin.
Cumplimiento de las polrtcas de seguridad y auditora por usuario.
Estado de la comunicaciones entre los Agentes y los Network Access Device (NAD}s.
Cantidad de usuarios que ingresan al sistema con/sin xito.
Los Jogs deben poder ser exportados a una platafonna de correlacin de eventos
compatible con syslog. Se debe soportar uno o ms sys/og.
El sisteina debe permitir la navegacin, filtro y ordenamiento de los logs y su consulta
desde la misma plataforma.
El sistema debe permitir la categorizacin de los logs en funcin de la importancia.
Los administradores deben contar con perfiles de acceso con lectura/escritura o solo
lectura para cada una de las funciones de configuracin: configuracin, gestin, roles,
tareas administrativas, tareas de mantenimiento, entre otras.
El sistema debe permitir generar roles de administracin por-atributos como: nombre de
usuario o grupo en el dominio.
La configuracin del equipo debe poder ser guardada y/o exportada en forma
programada a un repositorio de configuraciones externo.
Se oodr instalar en los eauipos de la red una versin ore-confiQurada del aaente.
Subtotalde puntos del Sistema de control de acceso a la red cableada e inalmbrica 35

....

Qj <:
'O
..
"'
:.:::;

a) Capacidad de recursos humanos (puntos mximos -12}

i. Experiencia del personal (10)
El licitante deber presentar copia de las siguientes certificaciones del personal asignado
a la implementacin del proyecto:

10

.
.
.
.

RUBRO SUBRUBRO Ptos rot.
EntreQable E3.2.3.5 Balanceador de carga
Balanceador de
.

r almenos 4 enlaces. 20
Balancea
cargas. Soporte de al menos 212,000 sesiones por segundo en capa 7 (L7).
Caractersticas Soporte 5 Gbps de Throughput.
tcnicas mlnimas: Sistema operativo a 64 bits.
Soporte de un mlnimo de 8 puertos, en cobre RJ-45.
Soporte 2 puertos de 10 G (opcional).
Soporte para cuando menos 250 IP's Virtuales (Virtual servers).
Soportar almenos los siguientes algoritmos de balanceo de entrada: Round
Robin, Topologa, Proporcin (ratio), Enlace preferente.
Soportar al menos los siguientes algoritmos de balanceo de salida: Round
Robn, IP Origen, IP Destino.
Soportar al menos los siguientes mecanismos de monitoreo de la
disponibilidad de enlaces de salida mediante la validacin de la capacidad de
estos para navegar hacia sitios pblicos de internet: ping, http, tcp, udp.
Determinacin del enlace de entrada a utilizar mediante mecanismo de
resolucin por DNS.
Soporte del Protocolo SNMP.
Consola de administracin remota con seguridad basada en usuario y clave,
con un canal seguro de comunicacin, que soporte GUI y CLI.
Configuracin Dinmica de Recursos.
Manejo de pistas de auditorra e informacin estadfstica.

Subtotal de puntos del Balanceador de carga 20

Puntos Subtotal de Caractersticas del bien o bienes objeto de la propuesta tcnica (CB) 976
Porcentaje Subtotal de Caracterlsticas del bien o bienes objeto de la propuesta tcnica (CB) 25

Rubro 11. Capacidad del licitante (CL)

'O V

Fecha: 09.10.2013 Pgina 122 de 129

Versin: V 1.0.0

Cantidad Perfil
4 Ingenieros con el nivel tcnico bsico en ruteo y
switcheo.
2 Ingenieros con el nivel intermedio especializados en
comunicaciones unificadas
1 Ingeniero con el nivel superior especializado en seguridad.

Los puntos a otorgar, sern de acuerdo a:

1-3 aos

3 aos 1da- 4 aos

4 aos en adelante

De las tres certificaciones requeridas en este punto, al menos dos, tienen que comprobar
que el personal asignado al proyecto est en su nmina para lo cual deber presentar
comprobante de alta en eiiMSS. Se permite que la nmina se encuentre tercerizada

1

3

5

iii.Dominio de herramientas (5)
Para la administracin de los incidentes durante el periodo de garanta el licitante debe contar
con una mesa de servicio alineada con los procesos de ITIL, para lo cual debe demostrar que su

5 herramienta de mesa de servicio est certificada por Pink Verify en al menos 4 procesos,
imprimiendo la pgina de Internet.

La mesa de servicio deber contar al menos con 3 personas certificadas en ITIL para lo cual
deber presentar copia de sus certificados en el sobre de ofertas. La mesa de servicio deber
contar con una cobertura de atencin 7x24x365 y al menos 10 posiciones, en el total de
turnos.
Debe comprobarse que cada participante en la mesa de servicio es empleado de la empresa,
anexando copia de la hoja de IMSS.
b) Capacidad de recursos econmicos y equipamiento {lO)

i. Recursos econmicos
El licitante comprobar mediante constancias que sean emitidas por institucin pblica. Si
comprueba lo indicado en la siguiente:

Si acredita obtener ingresos por lo menos del lO% del monto de su proposicin

econmica

Si acredita obtener ingresos del10 al14% del monto de su proposicin econmica

Si acredita obtener ingresos del15 hasta el 20% de su proposicin econmica

1
5
10

10
e) Participacin de Discapacitados {5}


RUBRO SUBRUBRO 1 Ptos 1 Tot.
>
.
Q
..
j

"
O
'

:;:
Qj
"O
"O

'"'
:
"
E
'
.
.
!
.
!
.
!
'"'

Q
c
j
.
Q
c
j
.
F.

w>< w"';;:;
a) Experiencia (10)
<El Licitante debe acreditar el tiempo prestando servicios similares al requerido,la acreditacin
se har mediante el currculo de la empresa en el que debe incluirse: nombres, domicilios y
telfonos de las empresas a las que se les haya prestado servicio,para su comprobacin>
La puntuacin se otorgar de acuerdo a Jo siguiente:

1-3aos

3aos 1 da a -S aos

Mayor de S aos

S
10
20

20
b) Especialidad (9)

Se considerar de la totalidad de la plantilla del licitante, cuya antigedad no sea inferior a 6
meses;misma que debe ser comprobada con el aviso de alta al rgimen obligatorio de!JMSS,
con al menos S% del total de empleados

S

S
d) Participacin de MIPYMES (5}
La puntuacin de este subrubro, solo se otorgar cuando el licitante acredite haber producido
Jos bienes que se utilizarn en la prestacin del servicio objeto del procedimiento de
contratacin, con innovacin tecnolgica que tenga registrada en el X Mexicano de la
Propiedad Industrial, en trminos de Jo dispuesto por el segundo prrafo del Artculo 14 de la
Ley de Adquisiciones.

S

S
Puntos Subtotal Capacitad del Licitante 30

Puntos Subtotal de Capacidad del licitante (CL) 30
Porcentaje Subtotal de Capacidad del Licitante (CL) 10

Rubro 111. Experiencia y Especialidad del Licitante (EE)

e

e

t

El licitante debe acreditar un mayor nmero de contratos, demostrando que ha prestado
servicios con caractersticas especficas y condiciones similares a las establecidas en la
convocatoria
La puntuacin se otorgar de acuerdo a lo siguiente:
9

3 contratos
2

4- 6 contratos
5

Ms de 6 contratos
9

El licitante deber presentar las siguientes cartas emitidas por el fabricante de los equipos
propuestos:
Carta del fabricante donde manifieste que el licitante cuenta con la mxima
certificacin de la marca.
Carta del fabricante donde manifieste que el licitante cuenta con la especializacin en
comunicaciones unificadas,ruteo y switcheo avanzado y seguridad avanzada.


Carta de certificacin y cartas de especializaciones en:
o comunicaciones Unificadas
3
18

o Ruteo y switcheo
o Seguridad avanzada


6
o comunicaciones Unificadas


18

El licitante debe disponer de una Centro de Administracin de Migraciones {CAM) dedicado al
proyecto. Se deber proveer el servicio de asistencia, coordinacin y control de las actividades
para minimizar el efecto de los cambios durante el periodo de migracin a la nueva plataforma
y su puesta en marcha con las siguientes caractersticas:
20

Se deber contar con la infraestructura y recursos necesarios para controlar los
procesos de migracin de los sitios donde se instalarn los servicios.
El CAM se deber ubicar en las instalaciones del licitante ganador.
El CAM ser el responsable de la elaboracin del plan de trabajo y de la coordinacin
total de las instalaciones y migraciones de los sitios en conjunto con el supervisor del 20
contrato de la convocante.
El CAM tambin tendr como responsabilidad la coordinacin de las reubicaciones y la
adicin en su caso de nodos nuevos a la Red durante la vigencia del contrato.
El servicio deber ser provisto a travs de un nmero 800 nico, correo electrnico,
Intranet e Internet.
Las funciones principales del CAM sern las siguientes:
Verificacin de las variables,de manera enunciativa y no limitativa, de una migracin
tales como: acceso fsico al sitio,nombre del responsable de la convocante,ubicacin
'=" '"* - " "* q sm ,.. ,.- fo>' &"- ""- " . - m"= - -' -q ,q e d "- " - &" -w A "'" 4
Fecha: 09.10.2013 Pgma 125 de 129 Versin: V 1.0.0 /7

de los equipos,domicilios,cumplimiento de normas y requerimientos de instalaciones,
Ventanas programas de tiempo fuera, etc.
Verificar el cumplimiento de la logstica para la construccin de medios, entrega de
equipos y llegada de personal al sitio.
Recolectar la informacin tcnica necesaria para la implantacin, tales como bitcoras,
inventarios, configuraciones etc.
Documentar la bitcora del proceso de migracin tales como actividades tcnicas,
protocolo de prueba,protocolo de aceptacin y niveles de operacin obtenidos.

Verificar la funcionalidad de cada nodo migrado en materia de rendimiento de los
servicios nuevos hasta obtener el visto bueno o aceptacin definitiva.

Informar la finalizacin de las actividades de migracin.

Documentar e informar a la convocante las causas de migraciones suspendidas o
fallidas.

Definicin del cundo y cmo se llevarn a cabo las actividades o tareas que implica el servicio,
as como el o los procedimientos a utilizar para llevar a la prctica las actividades.

20

Para la evaluacin del subrubro el licitante debe presentar un Plan de trabajo donde indique los
tiempos y procedimientos para el desarrollo del servicio.
20

El licitante debe considerar un administrador del proyecto dedicado durante el periodo de
implementacin y migracin y hasta el periodo de estabilizacin del servicio, dicho
administrador ser el punto nico de contacto entre la convocante y el licitante ganador; debe
contar con la certificacin ITIL practitioner v3.0 o PMI.
20
20

Deber incluir copia del certificado en el sobre de ofertas y demostrar que se encuentra en la
nmina del licitante.

Describir la metodologa y componentes de la funcin de mesa de servicio.

Cmo mnimo debe contener los siguientes componentes del proceso que realizar la MESA DE
SERVICIO del Licitante son:

Atender y canalizar eventos las 24 hrs. del da, los 7 das de la semana, los 365 das del ao
(24x7x365).

Generar estadsticas y reportes correspondientes a los tiempos de respuesta de incidentes
20

generados de manera peridica o a solicitud de la convocante,para ello la solucin debe incluir
los motores naturales para generacin de informacin estadstica que permite cumplir con este 20
punto de bases.
Manejar esquemas de notificacin de tipo informativo y operativo para el seguimiento de la
atencin de los eventos. La modalidad de notificacin ser va correo electrnico, micro blogs
y/o 1 la debe a 1 de 'a travs de.cor

electrnico a las personas involucradas de acuerdo a la configuracin de la funcin de ITIL de
Mesa de servicio.

El licitante debe considerar un administrador de contrato dedicado durante la vigencia del
20

contrato quien ser el encargado de llevar el control de los niveles de servicio solicitados en
contrato, dicho administrador debe contar con la certificacin ITIL practitioner v3.0 o PMI.
20

Deber incluir copia del certificado en el sobre de ofertas y demostrar que se encuentra en la
nmina del licitante

Puntos Experiencia y Especialidad del Licitante 147

Puntos Subtotal de Experiencia y Especialidad del Licitante (EE) 147
Porcentaje Subtotal de Experiencia y Especialidad delLicitante (EE) 5

Rubro V. Cumplimiento de Contratos (CC)

a) Contratos cumplidos satisfactoriamente

El licitante debe comprobar con cartas de satisfaccin
prestado servicio con tecnologa y servicios idnticos yfo
garantfas de cumplimiento en los contratos adquiridos

Si presenta 3 hasta 5 cartas d

Si presenta 6 hasta 8 cartas d

Si presenta ms de 8 cartas d

expedidas por los clientes a quienes les hay
documentos que acrediten la liberacin de las

e satisfaccin de la prestacin del servicio

1

5

10

10
Puntos Subtotal de Cumplimiento de Contratos (CC) 10
Porcentaje Subtotal de Cumplimiento de Contratos (CC) 10

TOTAL PUNTOS PROPUESTA TCNICA 1 50

8.1.1 Evaluacin de la Propuesta Econmica

El valor de la propuesta econmica, debe tener un valor numrico mximo de 40 puntos


. . . EVALUACIN ECONMiCA . . > . ...
mica de cada

esta econmica
Para determinar la puntuacin que correspondan a la propuesta econ
Participante, se aplicara la siguiente frmula:

PPE = ( MPemb x 50/ MPi.

PPE =Puntuacin o unidades porcentuales que corresponden a la propu
MPemb = Monto de la propuesta econmica ms baja
Mpi= Monto de la iesima propuesta econmica

8.1.2 Determinacin del Licitante Ganador
El licitante ganador ser determinado segn la puntuacin final, de acuerdo a lo siguiente:

TPT = ( CB + CL + EE + CC)

TCNICO (TPT) es igual a la suma de los puntos obtenidos en los rubros de Caracteristicas del Bien o
bienes (CB), Capacidad del Licitante (CL), Experiencia y Especialidad (EE), Cumplimiento a Contratos
(CC).

E= Econmico (E) es igual al puntaje obtenido en la propuesta econmica (ECONMICO).

PTj = (TPT + PPE)

PTj - Puntuacin o unidades porcentuales totales de la proposicin
TPT- Total de puntuacin o unidades porcentuales asignados a la propuesta tcnica
PPE - Puntuacin o unidades porcentuales asignados a la propuesta econmica

/

9. Firmas

9.1 Firmas de Autorizacin

',
'.

Anexo - Arrendamiento Red Datos

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Anexo - Arrendamiento Red Datos

Diunggah oleh

Hak Cipta:

Format Tersedia

ANEXO TCNICO

ARRENDAMIENTO DE EQUIPO PARA LA RED DE DATOS,

Anda mungkin juga menyukai