PLIEGO PARA PLATAFORMA DE SEGURIDAD DE EDIOACC EN LÍNEA, DE LA COOPERATIVA DE SERVICIOS MULTIPLES EDIOACC, R.L.

Transcripción

1 PLIEGO PARA PLATAFORMA DE SEGURIDAD DE EDIOACC EN LÍNEA, DE LA COOPERATIVA DE SERVICIOS MULTIPLES EDIOACC, R.L. 1. TIPO DE PROYECTO: Instalación de la plataforma de seguridad para Edioacc en línea de la Cooperativa. 2. UBICACIÓN: Casa Matriz en Diablo Heights, Edificio 5051 X y 5051 (Frente a la Policía de Diablo) a manera Temporal, luego serán reubicadas al momento de contratar los servicios de un centro de datos. 3. PRESENTACIÓN DE PROPUESTAS: Se entregarán en sobre cerrado, indicando el nombre del proponente en la parte externa y constancia de entrega al Sr. Juan Carlos Domínguez (Oficial de Compras). A través de una nota dirigida a la COOPERATIVA DE SERVICIOS MÚLTIPLES EDIOACC, R.L., indicar para qué proyecto se licita, nombre y firma del representante legal, monto de la oferta económica, validez de la propuesta, plazo de entrega y período de garantía de los servicios a prestar. Además debe incluir la aceptación sin restricciones, ni objeciones de todo el contenido del pliego. 4. El último día para entregar sus propuestas: será el de 15 octubre de 2015, en horas laborables de 8:00 a.m. a 5:00 p.m., de lunes a viernes, y los días sábados en horario de 8:00 a.m. 12:00 m.d. Para consultas comunicarse con el Oficial de compras en la Sucursal de Panamá, con el Sr. Juan Carlos Domínguez los teléfonos / , o al correo juan.dominguez@edioaccrl.com. 5. RESPONSABILIDADES DEL PROPONENTE: Ha estudiado las condiciones técnicas y áreas donde se ejecutaran los servicios que prestara. Conoce y acepta todas las condiciones y compromisos comerciales y laborales y económicos que derivan de la legislación de la República de Panamá. Deberá entregar un cronograma de actividades a desarrollar. 6. REQUISITOS MINIMOS OBLIGATORIOS: el proponente deberá demostrar que posee la capacidad para cumplir con la prestación de los servicios solicitados a través de los siguientes documentos. Copia de cédula del representante legal de la empresa. Perfil de la empresa. Tres cartas de referencia comerciales que reflejen trabajos realizados como los que se exponen en este pliego. Copia del aviso de operación. Presentar organigrama y estructura del personal del soc Presentar hoja de vida de los técnicos que trabajarán en el proyecto

2 7. CONDICIONES Y TÉRMINOS GENERALES Se realizará dos pagos: 40% a la firma del contrato y 60% al finalizar, una vez se haya certificado el funcionamiento del mismo. No se debe incluir el 7% de ITBM, ya que la COOPERATIVA DE SERVICIOS MÚLTIPLES EDIOACC, R.L., está exenta del mismo. La Cooperativa Edioacc impondrá multas por atrasos de la entrega vencida o del servicio no prestado, y el contratista tendrá derecho a una prórroga. Las multas y prórrogas se documentarán como adendas al contrato y La Cooperativa Edioacc dejará constancia en éstas del plazo concedido en concepto de prórroga para la entrega o prestación del servicio. El monto de la multa se calculará de la siguiente forma: 20%, del valor del trabajo realizado o contrato, dividido entre 30 y multiplicado por cada día calendario de atraso (FORMULA MULTA): (10% / 30) x DIA). Lo dispuesto en la cláusula anterior es sin perjuicio del derecho de la Cooperativa de disolver o rescindir el contrato por causas imputables al contratista. Nuestros Estatutos exigen transparencia en nuestras compras y comportamiento ético entre las partes. No es aceptable y es causal de terminación de contrato cualquier ofrecimiento en especies o monetario a los empleados o Directivos relacionados con la compra para ser beneficiado de alguna manera en la obtención de este o futuros contratos. Disponibilidad inmediata. 8. ESPECIFICACIONES TÉCNICAS: Las indicaciones de carácter técnico descritas en estas especificaciones servirán de guía para el desarrollo del presupuesto y la prestación del servicio: Se requiere dispositivo de sistema de seguridad informática perimetral de tipo next-generation firewall que incluye firewall, ips, administración de ancho de banda del servicio de internet, soporte para conexiones vpn ipsec y ssl, protección contra amenazas de virus y malware, así como control de transmisión de datos y acceso a internet, que ayude a la protección de Edioacc en línea y la red corporativa de EDIOACC. Se debe incluir Servicio de Firewall de Aplicaciones Web y Protección DDoS en la nube. Se debe incluir servicios administrados de seguridad (SAS); que apoyen al monitoreo y gestión perimetrales de seguridad del servicio de Banca en Línea. Y soporte en sitio, en caso requiera el proceso. Se debe Incluir pruebas de penetración externa e interna, pruebas de vulnerabilidad externa e interna y pruebas de ingeniería social, evaluación de vulnerabilidad para el sitio web de misión crítica, esto con la finalidad de alinearse con el Acuerdo de la superintendencia de Bancos de Panamá. Instalación de certificado digital para para el sitio web de la Cooperativa EDIOACC y Edioacc en Línea. Creación de una zona desmilitarizada (DMZ) que aísle los servicios públicos de la red interna de la organización.

3 Configuración del Sistema de detección de intrusos que se encuentre analizando el tráfico de las redes públicas de la entidad, delante de la Zona Desmilitarizada (DMZ) sobre los servicios publicados hacia Internet. Migración y mejora de las reglas existentes en el Firewall de la Cooperativa, así como implementación de nuevas reglas dentro del dispositivo. Como parte de los servicios a ofrecer se requiere que la empresa proponente brinde servicios de monitoreo y seguridad administrada 24x7 para la solución ofertada por un término de 1 año y debe almacenar los logs generados hasta por un término de 5 años la empresa oferente debe contar con un soc (security operation center) para garantizar la adecuada gestión a los incidentes de seguridad, bien sea de forma local o regional. El proveedor debe realizar la administración y monitoreo de la seguridad 24/7. El proveedor debe entregar un informe detallado de las actividades realizadas mensualmente. La solución deberá ser capaz de generar, estadísticas y resumen que podrán ser solicitados en cualquier momento. Capacitación en el uso de los distintos dispositivos a ser implementados. El proveedor debe contar con al menos un ingeniero certificado en cada una de las soluciones ofrecidas para asegurar las mejores prácticas de seguridad en la configuración. El personal debe ser empleado de tiempo completo del proveedor oferente. En caso de empresa regional puede incluirse ingenieros fuera de Panamá. El proveedor debe contar con al menos tres ingenieros certificados cissp para asegurar las mejores prácticas de seguridad en la configuración. El personal debe ser empleado de tiempo completo del proveedor oferente. En caso de empresa regional puede incluirse ingenieros fuera de Panamá. Como parte de los servicios a ofrecer se requiere que la empresa proponente brinde servicios de monitoreo y seguridad administrada 24x7 para la solución ofertada por un término de 1 año, con un número ilimitado de casos que puedan ser creados y debe almacenar los logs generados hasta por un término de 5 años la empresa oferente debe contar con un soc (security operation center) para garantizar la adecuada gestión a los incidentes de seguridad, bien sea de forma local o regional. se debe presentar organigrama y estructura del personal del soc y 2 cartas de referencia de clientes donde se preste el servicio. El proveedor debe contar con al menos un ingeniero certificado en computer hacking forensic investigator - chfi, en caso de empresa regional puede incluirse ingenieros fuera de Panamá. El proveedor debe contar con al menos un ingeniero certificado en encase certified examinar, en caso de empresa regional puede incluirse ingenieros fuera de Panamá. Cumplir con las especificaciones técnicas que se detallan abajo.

4 CARACTERÍSTICAS TÉCNICAS DE LAS SOLUCIÓNES REQUERIDAS FIREWALL - ESPECIFICACIONES DE HARDWARE Solución de seguridad perimetral de red, compuesta por dos (2) firewalls de siguiente generación en alta disponibilidad que cumplan con las siguientes especificaciones de Hardware y Software: Requerimientos de los appliances de seguridad

5 Rendimiento mínimo de 2Gbps de Throughput en Firewall con identificación de aplicaciones habilitado Debe soportar mínimo conexiones concurrentes Debe soportar mínimo 50,000 conexiones por segundo Debe soportar IPv4 e IPv6 Debe soportar Link Aggregation (802.3ad) Debe Soportar implementación en modo transparente (Layer 2) o en modo ruteo (Layer 3) Debe soportar creación de 4000 vlans en el equipo Debe tener al menos (12) interfaces Ethernet 10/100/1000 RJ45 Debe tener al menos 8 interfaces Ethernet SFP para conexiones de fibra o cobre. El equipo debe tener un tamaño para formato de rack de 1U El equipo debe soportar Alta disponibilidad en modo activo/activo y activo/pasivo. Debe soportar sincronización de sesiones para el tráfico cifrado y no cifrado. Contar con mecanismos de detección de fallas y detección de pérdida de enlaces. El equipo debe contar con un procesador, memoria e interfaz dedicados para la administración y reportería. No se debe requerir una plataforma externa para la administración de los equipos. El equipo debe tener procesadores dedicados para inspección de contenido, seguridad y networking. El equipo debe tener discos de estado sólido de 120 GB para el almacenamiento. ESPECIFICACIONES DE SOFTWARE Requerimientos de funcionalidades básicas necesarias: Network AddressTranslation (NAT), granular para diferentes orígenes, destinos y servicios Capacidad de hacer Alta Disponibilidad de proveedor de servicio de Internet Debe soportar exportar la configuración del sistema, ya sea de forma manual o programada Debe soportar túneles VPN punto a punto Debe soportar túneles de acceso remoto Licencia incluida para crear VPN para el acceso remoto de usuarios tipo móviles mediante IPSecó SSL Pueda validar VPN por medio de certificados digitales o llaves secretas Posibilidad de cifrado por medio de DES, 3DES, AES-128 y AES-256. Y revisión de integridad con MD5 y SHA-1 Debe incluir soporte para topologías Sitio a Sitio todos contra todos (Full Mesh), Oficinas remotas hacia oficina central (Topología Estrella), Hub y Spoke (Sitio remoto a través del sitio central hacia otros sitios) Capacidad de realizar SSL VPN a dispositivos móviles iphones/ipad/android. La solución debe soportar redundancia de proveedor de Internet La solución debe de contar con la funcionalidad de inspección y control de archivos, palabras claves o tarjetas de crédito

6 Requerimientos de manejo avanzado de tráfico: Debe soportar Bootp/DHCP Relay Debe soportar sumarización de rutas (routeaggregation) y redistribución de rutas a otros protocolos (routeredistribution). Debe soportar ruteo dinámico con RIP versión 2, OSPFv2, y BGP versión 4. Estos 3 protocolos deben ser soportados también en IPv6 Debe poseer mecanismo de control de ancho de banda donde permita garantizar tráfico que aplique a grupos de conexiones o conexiones individuales. Debe soportar control de ancho de banda basado en prioridades de pesos, por aplicación, por usuarios, grupos de usuarios y direcciones IP. Debe poder realizar límites de ancho de banda para controlar tráfico no crítico. Debe permitir direccionar el tráfico en base a políticas (PolicybasedForwarding) Debe soportar redundancia de proveedores de internet, en modo balanceo de carga o primary/backup El motor de alta disponibilidad debe tener sincronización de estado, y éste sea soportado con el protocolo de alta disponibilidad propietario por el fabricante y por soluciones de terceros de alta disponibilidad. La solución de alta disponibilidad debe soportar conexiones asíncronas. Debe tener mecanismos de detección de engaños de IP, donde paquetes externos a la red usan direcciones internas para saltarse los controles de seguridad. Soporte para 40 zonas de seguridad Soporte para 10 enrutadores virtuales Los equipos deben poseer interfaces dedicadas para la configuración en alta disponibilidad. Soporte para implementación en modo virtual wire (transparente, tipo IPS). Soporte para hasta 10 circuitos virtual wire por equipo. Capacidad para integración con directorio activo sin requerir un agente en los servidores del dominio o agente en los computadores de los usuarios. Soporte para tráfico Multicast. Debe soportar hasta 2500 políticas de seguridad sin degradación del rendimiento del equipo. El equipo debe soportar Jumbo Frames. Debe tener la opción de enviar logs para los sistemas de monitoreo externo vía protocolo syslog. Los equipos deben tener la capacidad de operar de forma simultánea mediante el uso de sus interfaces físicas en los siguientes modos: Modo sniffer (monitoreo y análisis del tráfico de red), Capa 2 (L2) y Capa 3 (L3). Requerimientos para Sistema de Prevención de Intrusos: La solución debe proveer un sistema de prevención contra amenazas que incluya IPS, Antivirus, anti-spyware, anti-amenazas persistentes, integrado a la solución de seguridad.

7 El equipo debe garantizar un throughput de 1Gbps con la función de prevención de amenazas activa (IPS + Antivirus + Anti-spyware), con todas las firmas activas.el fabricante debe demostrar que los rendimientos publicados en la documentación han sido corroborados por entidades terceras (ejemplo NSS Labs). Los registros y bitácoras de amenazas deben estar co-relacionados con los logs de tráfico para facilitar el entendimiento del tráfico. No se requerirá una consola externa para esto. Debe proveer miles de protecciones preventivas y proactivas out-of-the-box. Debe proveer cobertura de protecciones para amenazas de clientes, servidores, sistemas operativos, infecciones de malware y gusanos. Debe soportar protección basada en ubicación geográfica. Debe inspeccionar el tráfico SSL No se debe permitir el realizar bypass en caso de alta carga, para garantizar la seguridad de la red. Debe tener protección contra ataques DoS Debe permitir creación de grupos de protecciones o perfiles, seleccionables por política. Debe traer perfiles de protecciones predefinidos out-of-the-box. La solución debe tener las siguientes características clave: resistencia a evasiones, control granular, confianza y precisión en sus protecciones. Debe contar con procesadores dedicados para la inspección de contenido e IPS. Debe tener tecnología de inspección del orden de llegada de los paquetes, de modo que ayude contra ataques relacionados al orden de los paquetes. Debe proteger contra ataques complejos y elusivos. Debe soportar inspección de firmas en múltiples partes de los paquetes como lo son URL, encabezados de HTTP; y análisis de protocolos de múltiples conexiones como tráfico de voz sobre IP. Contar con mecanismo de detección de amenazas de múltiples niveles o métodos: detección por firmas en vulnerabilidades, validación de protocolos, detección de anomalías, detección basada en comportamiento y correlación de múltiples elementos. Debe poder aplicar nuevas protecciones al mismo tiempo que protege la red de ataques. Con protección en tiempo real y actualizaciones de protecciones para: vulnerabilidades, malware, tunneling, control de aplicaciones y ataques genéricos. Debe soportar creación de firmas personalizadas. Debe soportar activación de protecciones basado en su nivel de severidad, confianza sin afectar el rendimiento del equipo. Debe poder realizar captura de tráfico para análisis forense. Debe proveer información detallada de cada protección, que incluya descripción de la amenaza, severidady confianza de la protección. Debe soportar realizar excepciones a las protecciones. Debe soportar los siguientes mecanismos de inspección de IPS: o Análisis de patrones de estado de conexiones o Análisis de decodificación de protocolos o Análisis de detección de anomalías de protocolo o Análisis heurístico

8 o IP Defragmentation o Reensamblado de paquetes TCP o Bloqueo de paquetes malformados Debe de contar con funcionalidad de DNS Sinkhole (hoyo negro) para la identificación de equipos internos infectados. Requerimientos para control de acceso remoto desde dispositivos móvil: Solución de acceso remoto a aplicaciones corporativas para dispositivos smartphones, tablets o PCs. Debe soportar conexión segura mediante tecnología SSL VPN, o IPSEc. Verificación de usuarios con autenticación de dos (2) factores. Proveer conectividad VPN basada en cliente y vía web. El equipo debe permitir la integración con sistemas externos para la protección de dispositivos móviles ante robo de dispositivo mediante bloqueo de dispositivo o borrado remoto de datos corporativos (remote-wipe) El equipo debe permitir mediante licenciamiento adicional, la creación de políticas de seguridad en base a la identificación de los dispositivos móviles. El equipo debe permitir mediante licenciamiento adicional, verificación de cumplimiento de requerimientos mínimo de portátiles. Requerimientos de gestión de logs: Herramienta capaz de ser utilizada para realizar análisis de auditoría en tiempo real de los eventos de seguridad. Búsqueda intuitiva, semejante al sistema de búsqueda de google. Debe permitir realizar búsquedas granulares para cualquier comunicación o de patrón de tráfico. Debe ser una herramienta sin límite de registros, debe estar limitada solo por el tamaño del espacio en disco. Reducir el tiempo de troubleshooting al poder mostrar resultados en tiempo real. Debe tener filtros predefinidos de búsqueda y permitir crear y salvar filtros personalizados. Esta herramienta debe estar disponible directamente en el equipo y no requerir de un sistema externo para su funcionamiento. Debe permitir la correlación de distintos tipos de logs (tráfico, amenazas, navegación) en una misma pantalla para facilitar la búsqueda de eventos. Requerimientos de control de aplicaciones: Capacidad para identificar, permitir, bloquear o limitar el uso de las aplicaciones por usuario o grupos limitando de esta forma la web 2.0, redes sociales, independientemente del puerto o protocolo o técnica evasiva para atravesar la red. La identificación y control de aplicaciones debe estar considerado como la base del producto y no ser un módulo adicional ni requerir licenciamiento extra.

9 La tecnología de identificación de aplicaciones debe haber sido desarrollada por el fabricante y no licenciada o adquirida a un tercero. Le debe permitir a los administradores crear definiciones de políticas muy granulares. Las políticas basadas en aplicación no deben requerir la creación de otras políticas basadas en puerto y protocolo. Contar con aplicación clasificadora de biblioteca la cual le permite escaneo y detección de más de 2000 aplicaciones diferentes y sus funcionalidades. Debe contar con categorías basadas en criterios como tipos de aplicaciones, nivel de riesgo de seguridad, uso de recursos e implicaciones de productividad. Debe contar con un identificador de usuario el cual le permite enviar alertas a los empleados en tiempo real acerca de sus limitaciones de acceso a aplicaciones. Debe prevenir infecciones de malware provenientes de aplicaciones y widgets de redes sociales. Debe permitir la creación de aplicaciones personalizadas para la identificación y control de aplicaciones creadas en la empresa. Debe ser capaz de reportar el ancho de banda utilizado por cada aplicación. No deben requerirse políticas separadas para control de aplicaciones y control de las otras funciones del equipo, sino que la misma política debe permitir la asignación de perfiles de URL, control de amenazas, control de archivos, etc. Los registros de aplicaciones deben ser parte de los registros de seguridad y no requerir múltiples bases de datos de registros. Requerimientos de filtrado de navegación: Solución debe tener un motor integrado de control de navegación web con categorización en la nube en tiempo real. Debe prevenir infecciones de malware y propagación luego de infección. Debe aplicar seguridad SafeSearch a los motores de búsqueda. Debe contar con un identificador de usuario el cual le permite enviar alertas a los empleados en tiempo real acerca de sus limitaciones de acceso a sitios web. Soportar mínimo de 50 categorías Debe permitir la creación de categorías personalizadas. Debe proteger a los usuarios contra explotaciones de vulnerabilidades de los exploradores web. Debe poder filtrar tráfico cifrado HTTPS sin realizar inspección SSL. Debe prevenir que los usuarios se salten las políticas de seguridad mediante la utilización de proxies externos. Debe filtrar páginas traducidas y en cache. Debe permitir control granular para aceptar, bloquear o limitar acceso basado en usuarios, grupos o máquinas para sitios específicos o categorías completas. Debe permitir configurar una política de NO inspección HTTPS/SSL para categorías específicas de URLs Se debe poder crear reglas que apliquen a un URL específico definido como una Expresión Regular de modo que filtre para un URL complejo.

10 Debe contar con una categoría de Malware que pueda ser actualizada en tiempo real en base a la información de nuevas amenazas encontradas. Permitir la creación de políticas por tiempo, horario o períodos determinados (día, mes, año, día de la semana y hora). Debe poder funcionar sobre las mismas políticas de aplicación, sin requerir políticas adicionales. Requerimientos de protección antivirus: Solución integrada para prevención de virus y amenazas. Prevenir infecciones de malwares a nivel de gateway. Eliminar virus en los archivos descargados Motor de inspección basado en firmas y análisis de comportamiento Debe poder evitar que se visiten sitios conocidos con infecciones. Brindar protección en los protocolos HTTP, HTTPS, FTP, POP3 y SMTP; independientemente del puerto que esté utilizando la aplicación. Debe permitir realizar capturas de paquetes automáticas cuando se detecta un virus. Debe permitir la inspección de archivos comprimidos que utilizan algoritmos deflate (zip, gzip, etc). Requerimientos de protección contra máquinas infectadas de malwares: Detección de máquinas infectadas con malwares que convierten el equipo en tipo zombie enviando tráfico malicioso hacia otras máquinas en la red y hacia internet. también conocidos como (bots informáticos) Bloqueo de comunicaciones bot desde maquinas infectadas Detección de ataques cibernéticos sofisticados como las Amenazas Avanzadas Persistentes (APTs) Prevenir daños de robo de información Administración centralizada por una sola consola. Base de datos de malware actualizable automáticamente Controles basados en reputación de IP, URL o dirección DNS. La identificación de amenazas malware debe estar integrado con los otros registros del equipo a fin de facilitar la correlación de los eventos sin requerir plataformas externas. La detección de nuevas amenazas debe poder alimentar la base de datos de filtrado de URL. Requerimientos de administración de la plataforma: Soportar Gestión de Políticas de forma centralizada para los productos de seguridad. La consola de administración no debe utilizar Java por sus conocidos problemas de seguridad y compatibilidad.

11 La consola de administración debe hacer verificación de errores en las políticas creadas antes de aplicarlas. La solución debe permitir revertir la política de seguridad a una versión anterior. Debe soportar drag and drop de objetos y deben poder ser reutilizados entre varias políticas. Debe soportar administración basada en roles, donde a los administradores se les otorgue perfiles personalizables de administración. Debe poder auditar los cambios realizados por los administradores Todos los productos de seguridad deben soportar ser configurados desde una única consola gráfica. Debe incluir una Autoridad Certificadora interna X.509, que genere certificados para los gateways y a los usuarios para fácil autenticación en los VPNs. Debe poder soportar una Autoridad emisora de Certificados Externa, provista por un tercero Debe soportar agrupación de reglas en secciones etiquetadas para una administración intuitiva y ordenada. Debe soportar definición de tiempo de expiración a las reglas de seguridad, de modo que estén activas en intervalos específicos de tiempo. La consola de administración debe soportar búsqueda de objetos y reglas. Debe tener contador de utilización en las reglas de seguridad, para saber que políticas han sido utilizadas desde el último re-inicio. La solución debe soportar creación de múltiples versiones de la política de seguridad de modo que puedan ser consultadas en caso de necesitar revertir algún cambio. Estas versiones deben poder ser creadas manual o automáticamente. La solución debe realizar una verificación de las políticas de seguridad creadas de modo que no existan conflicto de reglas. Debe soportar integración con terceros mediante algún lenguaje de código abierto. Debe soportar autenticación por una base de datos local, LDAP, RADIUS o SecureID Debe soportar administración basada en roles. Debe soportar IPv6 Debe contar con funcionalidad de asociar direcciones IP a los países orígen para fines de geo-localización del tráfico; permitiendo al administrador identificar, ejecutar reportes y crear políticas en base a los países de origen y destino del tráfico. Debe permitir la integración con bóvedas de certificados digitales (HSM). Requerimientos de identificación de identidades: Administración centralizada del acceso de usuarios a recursos de la empresa y aplicaciones de internet. Visibilidad y control granular basada en usuarios, grupos de usuarios, máquinas. Debe permitir agregar usuarios, grupo de usuarios y maquinas a las defensas de seguridad. Identificación de usuario integrado a Microsoft Active Directory sin la necesidad de instalar un agente en el controlador de dominio o en las máquinas de los usuarios. Identificación de usuarios y máquinas externas mediante portal captivo.

12 Identificación de usuarios mediante agentes para servidores de aplicaciones como Citrix y Terminal Services. Identificación de los usuarios que se conectan por medio de VPN de acceso remoto, para clientes SSL VPN yipsec VPN. Visualizador de Eventos de Seguridad: La solución debe incluir un módulo integrado de correlación de eventos que permita visibilidad de los productos de seguridad en tiempo real. Debe incluir reportes predefinidos y personalizables. Debe incluir un portal web para que otros administradores puedan visualizar y monitorear los eventos. Debe incluir vistas detalladas y análisis forense. Debe correlacionar múltiples eventos en búsqueda de actividad sospechosa. Debe tener un mapa mundi para visualización de eventos basados en regiones. Debe permitir crear reglas de correlación personalizadas. Debe incluir mecanismos personalizables, por política de alertas automatizadas para eventos de todas las severidades. Debe permitir la creación de alertas en base a utilización de políticas.

13 SERVICIO DE FIREWALL DE APLICACIONES WEB Y PROTECCIÓN DDOS EN LA NUBE Características Generales La implementación de la solución deberá requerir únicamente cambiar la configuración de DNS para los Dominios web que apuntan a los Aplicativos Web. Es decir no requiere la instalación de hardware o software adicional o hacer cambios en la programación de las aplicaciones. La solución deberá soportar cualquier aplicación web, sin importar la plataforma, tamaño del sitio, lenguaje o escenario de implementación. La solución deberá ofrecer los siguientes servicios en una única plataforma integrada Web Application Firewall WAF Protección contra Bots Detección de Backdoors en aplicativos Web Autentificación mediante doble factor sin necesidad de modificar el aplicativo. CDN con failover y redundancia Almacenamiento en Cache Optimización de Contenido Balanceo y failover de cargas global Servicio de Mitigación de ataques DDoS Herramientas de monitoreo en tiempo real de conexiones, ancho de banda y ataques. Una vez configurada, la solución tendrá la opción de deshabilitarse/habilitarse sin tener que hacer cambios en la Aplicación o DNS. Sin afectar el servicio a los usuarios. La solución deberá garantizar un SLA del 99.99% La solución deberá contar con la Certificación de Proveedor PCI Nivel 1 El proveedor deberá contar con una capacidad de red global de al menos 1 Tbps Como respuesta a un ataque, deberá ofrecer la opción de únicamente alertar o de bloquear al usuario o la dirección IP origen por un periodo de tiempo Deberá permitir la creación de reglas personalizadas basadas en al menos URL, tasa de peticiones, existencia de algún parámetro o header HTTP, si el cliente es humano o bot, y el contenido del header REFERER. Protección DDoS La solución deberá proporcionar los mecanismos necesarios para la mitigación de todos los tipos de ataques DDoS, ya sean basados en la Red (Capa 3, 4) o ataques de nivel aplicativo (Capa 7). Teniendo en cuenta la siguiente lista: - TCP SYN+ACK - TCP FIN - TCP RESET - TCP ACK - TCP ACK+PSH - TCP Fragment - UDP - ICMP

14 - IGMP - HTTP Flood - Brute Force - Connection Flood - Slowloris - Spoofing - DNS Flood - DNS Spoofing - DNS PoisoningMixed SYN+UDP or ICMP+UDP Flood - TCP SYN+ACK - Ping Of Death - Smurf - Reflected ICMP and UDP - Teardrop - Zero-day DDoS attacks - Ataques comunes a plataformas Web (Apache, IIS)

15