SERVICIOS DE CORRELACION DE EVENTOS. PARTIDA ÚNICA.- Anexo para bases de licitación. Ing. Israel Garrido Castillo Ing. Jorge Arturo Tokunaga Pérez

Transcripción

1 Proyecto: SERVICIOS DE CORRELACION DE EVENTOS Documento: PARTIDA ÚNICA.- Anexo para bases de licitación Fecha: Septiembre 2014 Elaborado por: Ing. Israel Garrido Castillo Ing. Jorge Arturo Tokunaga Pérez Revisión: Ing. Israel Garrido Castillo Subgerente de Innovación Tecnológica Lic. José Aurelio Muñoz Beltran Gerente de Administración Integral de Infraestructura y Servicio Autorización: Ing. Alfredo Victor Burgos Menéndez Director Adjunto de Desarrollo Tecnológico

2 Contenido CONTENIDO OBJETIVO VIGENCIA DESCRIPCIÓN DEL SERVICIO LUGAR DE ENTREGA DEL SERVICIO CARACTERÍSTICAS TÉCNICAS SERVICIO DE INSTALACIÓN Y PUESTA A PUNTO DE LA INFRAESTRUCTURA FASE I PLANEACIÓN FASE II DISEÑO DE INTERCONEXIÓN FASE III IMPLEMENTACIÓN FASE IV PRUEBAS Y VERIFICACIÓN FASE V TRANSFERENCIA DE CONOCIMIENTOS Y OPERACIÓN ENTREGABLES MEMORIA TÉCNICA CAPACITACIÓN SERVICIO EFECTIVAMENTE OTORGADO ATENCIÓN DE INCIDENTES SOLICITUD DE SERVICIO EN SITIO ENTREGABLES REPORTE DE INCIDENTE ENTREGABLE MENSUAL DE INCIDENTES O FALLAS ANEXOS INFRAESTRUCTURA... ERROR! MARCADOR NO DEFINIDO ANEXO I - DOCUMENTACIÓN TÉCNICA... ERROR! MARCADOR NO DEFINIDO ANEXO II - TABLA DE PRECIOS OFERTADOS POR EL LICITANTE ANEXO III - FORMATO DE REPORTE DE INCIDENTE... 20

3 PARTIDA ÚNICA SERVICIOS DE CORRELACION DE EVENTOS 1. OBJETIVO LA CONVOCANTE requiere de los servicios de correlación de eventos por medio de una solución unificada de seguridad ofreciendo descubrimiento de activos, detección de vulnerabilidades, monitoreo de comportamiento, detección de amenazas y contextualización de la seguridad. Todo correlacionado para ofrecer capacidades ya integradas de seguridad, proporcionando una visibilidad de la infraestructura tecnológica a nivel de seguridad. Deberá ejecutar la recolección y ordenamiento de la información que se genere y realice la correlación por firmas así como correlación cruzada de eventos y/o incidencias de seguridad para hacer valoraciones sobre el estado de la red o buscar patrones que sirvan para detectar si es atacada. 2. VIGENCIA EL LICITANTE deberá considerar una vigencia a partir de la firma de contrato y hasta el 31 diciembre del DESCRIPCIÓN DEL SERVICIO LA CONVOCANTE requiere de los servicios de correlación de eventos descrita a continuación: TABLA 1. DESCRIPCIÓN DEL SERVICIO DESCRIPCIÓN SERVICIO MONTO MENSUAL Servicios de correlación de eventos para monitoreo de dispositivos e implementación en centro de datos LUGAR DE PRESTACIÓN DEL SERVICIO Los sitios que EL LICITANTE deberá contemplar para la prestación de los servicios los cuales pueden incluir: instalación, configuración, mantenimiento preventivo y correctivo,la puesta a punto así como el traslado (en caso de requerirse) para proporcionar este servicio son:

4 La CONVOCANTE podrá disponer del servicio en las siguientes direcciones: 1.- Insurgentes Sur 1089, Colonia Nochebuena, Delegación Benito Juárez, Ciudad de México, Distrito Federal 2.- Av. San Fernando #37, Col. Toriello Guerra, Delegación Tlalpan, C.P , Ciudad de México, Distrito Federal 3.2. CARACTERÍSTICAS TÉCNICAS El Servicio ofertado deberá cubrir las siguientes características y funcionalidades mínimas necesarias descritas en el presente documento; así como también en caso de requerirse el servicio de instalación, configuración, puesta a punto de su operación y mantenimiento preventivo y correctivo. La instalación, configuración y puesta a punto de los servicios ofertados correrá a cargo de EL LICITANTE para garantizar que la solución se implementa bajo las mejores prácticas y asegurar su correcta operación. EL LICITANTE deberá contar con un Centro de Atención durante la vigencia del contrato, debiendo proporcionar el soporte técnico para mantenimiento preventivo y correctivo, a través del cual LA CONVOCANTE pueda levantar reportes para solicitar soporte en sitio en caso de falla así como recibir asesoría técnica telefónica (ilimitada e inmediata). Las funcionalidades descritas y requeridas por LA CONVOCANTE para la totalidad de este anexo se consideran mínimas y deben ser cubiertas al 100% por cada una de las soluciones propuestas por cada participante, y debidamente respaldadas por documentación técnica del fabricante referenciada con catálogos, manuales y publicaciones en el sitio web del fabricante. EL LICITANTE deberá incluir todos los cables, accesorios y/o aditamentos necesarios para la correcta operación y funcionalidad de los servicios solicitados. EL LICITANTE deberá incluir todos los conectores necesarios para la correcta conectividad entre equipos y será proporcionado por LA CONVOCANTE. EL LICITANTE deberá de considerar en su propuesta todas las actualizaciones (updates, upgrades y demás elementos en software sobre el mismo release o en release diferente) que realice el fabricante respecto al servicioobjeto de esta licitación y en su caso deberá llevarlos a cabo al momento de su estabilidad durante la vigencia del contrato, así también se hace énfasis que en caso de que la solución por cuestiones propias de operación requiera software o hardware adicional EL LICITANTE deberá realizar la actualización de los módulos que sean necesarios para la estabilización del equipo sin costo alguno para LA CONVOCANTE hasta lograr la estabilización del servicio, considerando en su propuesta los costos asociados. Los servicios ofertados deberán cumplir a cabalidad con los requisitos y funci El Servicio debe ser capaz de gestionar y procesar la información recolectada, basándose en fórmulas a fin de proporcionar al usuario la información necesaria a través de reportes listos para ser auditados.

5 Generación de reportes de procesamiento, repositorio y visualización a través de diferentes formatos: PDF Adobe, Excel, HTML. Gestión basada en interfaz web. Exportación de documentos de auditoría de seguridad, análisis de riesgos y controles de seguridad de aplicación. Métricas e indicadores presentados y formalizados para el cumplimiento de las normas ISO 2700X, PCI, Sarbanex-Oxley Los reportes de métricas e indicadores bajo demanda y en tiempo real sean generados a través de un mapeo de correlación entre las reglas de los controles y la información de la norma aplicada. El servicio deberá ser capaz de integrarse con active directory y soportar alta disponibilidad El servicio debe contemplar como mínimo el uso de los siguientes componentes: Sensores Este elemento es el encargado de recolectar información de la red y enviarla al servidor SIEM para su almacenamiento y proceso. Son desplegados en diferentes nodos de la red, para monitorizar su actividad y deben contener: 1. Detectores de bajo nivel y monitores que, pasivamente (sin afectar al rendimiento de la red) recolecten datos buscando patrones. 2. Escáneres que pueden buscar vulnerabilidades en la red activamente. 3. Agentes que reciben datos (logs) de máquinas, dispositivos y aplicaciones, incluso propietarias así como plugins específicos para cada tipo de log que se traten a efectos de recepción, normalización y envío tanto en formato original como normalizado. Sean capaces de recolectar información (logs) sin ser intrusivos, aunque a veces sea necesario instalar agentes en las máquinas monitorizadas. Cada sensor desplegado permita monitorizar al menos 4 puntos de red. Se incluya software para la detección de intrusos, monitorización de red y anomalías. Se encargan también de la recolección de logs y envío de eventos normalizados al servidor.

6 SIEM (Security information and event management, por sus siglas en inglés) Permite la monitorización y la correlación de eventos en tiempo real, que pueda recibir eventos tanto de las herramientas incluidas en sus sensores como de dispositivos comerciales o aplicaciones propietarias, por medio del uso de plugins configurables, tanto específicos como genéricos. Sus funciones principales serán: 1. Tareas generales como: normalizar, priorizar, recolectar y, evaluar el riesgo. 2. Ejecutar el motor de correlación: basado en reglas, el cual permita correlacionar información de múltiples fuentes distintas y generar alertas confirmadas. 3. El mantenimiento preventivo y correctivo y las tareas externas, tales como backups, backups programados, inventario online o lanzamiento de escaneos. 4. Envío de logs en formato normalizado a la Base de Datos de Tiempo Real. Dicho SIEM será el encargado de recibir los eventos detectados por los sensores, evaluar el riesgo de los mismos y ejecutar el motor de correlación. También permitirá la definición de políticas para la notificación o actuación como reenvío de logs en bruto al logger, se debe incluir una consola de administración Logger Se encargará del almacenamiento masivo de logs utilizando escritura directa a disco, de firmar digitalmente dichos logs y de verificar su integridad y custodia. Se utilizará para: 1. Almacenar los logs en su formato original, firmados, comprimidos y cifrados de forma centralizada. 2. Servir los resultados de las búsquedas lanzadas sobre la estructura jerárquica del almacenamiento (file system). Incluye el software correspondiente de acceso a los datos y sistema de consultas. Considerar que el log original se almacena como un campo más de la base de datos del módulo SIEM, el ciclo de rotación de la misma es corto, mientras que con el módulo LOGGER incorporado se podrán mantener on-line los logs originales generados durante un periodo muy largo de tiempo. (12 meses) La firma criptográfica de la información orientada a verificar la integridad de ésta se produce mediante OpenSSL haciendo uso por defecto del algoritmo RSA, se salva un hash SHA1 la longitud de la firma es de 1024 bits, esto será completamente configurable, permitiendo el uso de otros algoritmos con otras dimensiones en bits. El modo de firmado establecido en la implantación es por bloque, se almacenan ficheros completos y se firman por defecto.

7 El servicio de correlación de eventos deberá incluir el licenciamiento necesario para cumplir con las funcionalidades y requerimientos mínimos solicitados. Si la solución incluye algún tipo de licenciamiento, éste deberá ser efectivo durante un periodo mínimo de 12 meses a partir de la puesta a punto. El servicio ofertado por EL LICITANTE deberá considerar un appliance de propósito específico. El producto ofertado por EL LICITANTE deberá de cumplir con todas las características descritas en el punto 3.2. de este documento, si la propuesta técnica no cumple con alguna de estas características la propuesta será desechada. Así también, deberá cumplir los siguientes requerimientos de un SIEM: 1. El sistema deberá permitir recolección de registros de eventos de todos los dispositivos de red sin necesidad de escribir código (desarrollo) para agentes de integración, aquellos dispositivos que no sean soportados de fábrica se debe suministrar una herramienta que permita incluirlos. 2. El sistema deberá estar orientado a recolección de registros de eventos para operaciones de seguridad y de cumplimiento de regulaciones (GPG 13, ISO 27001/27002, SOX, FISMA, PCI DSS, HIPAA, etc.). 3. Se debe recolectar y almacenar el 100% de los datos de cada plataforma. 4. La solución debe demostrar capacidad de custodia de los registros de eventos, es decir, que se guarden de manera segura, confiable e inalterable y puedan ser datos adecuados para evidencia digital. 5. Deberá contar con administración basada en una interfaz Web. 6. Los registros de eventos se deberán almacenar en formato nativo (RAW). 7. Deberá estar en capacidad de recolectar eventos de las siguientes fuentes: a. Syslog, Syslog NG b. SNMP c. Formatted log files d. Comma/tab/space delimited, other e. ODBC conexión hacia bases de datos remotas f. Push/pull XML files via HTTP g. Windows event logging API

8 h. CheckPoint OPSEC interface i. Cisco Router, Pix, Ips, NetFlow. 8. El sistema debe comprimir los datos almacenados con una tasa 10:1 real de almacenamiento en disco. 9. La solución deberán contar con discos duros internos en configuración de RAID 5 o RAID 6 y deberá permitir el uso de disco externo como medio de almacenamiento adicional para cumplir con los requerimientos de retención de información. 10. El sistema deberá permitir la clasificación de los dispositivos monitoreados. 11. El sistema deberá estar diseñado para soportar altas cargas de: eventos mínimo 2,500 EPS, dispositivos y prever picos. 12. El sistema debe estar en la capacidad de permitir el acceso inmediato y en tiempo real a la información. 13. El sistema no deberá usar agentes externos o instalación de software en los dispositivos a monitorear. 14. El sistema debe permitir, para efecto de almacenamiento de información histórica, la conexión con sistema de almacenamiento externo. 15. El sistema deberá ser escalable y soportar crecimiento de dispositivos así como flujo de registros de eventos. 16. El sistema deberá instalarse en esquema de alta disponibilidad. 17. El sistema deberá soportar arquitecturas distribuidas en componentes (recolectores, manejadores de datos y analizadores), soportando el re-uso en el momento de un cambio de arquitectura. 18. El sistema deberá ser orientado a la facilidad de instalación, configuración y mantenimiento preventivo y correctivo. 19. El sistema deberá estar en la posibilidad de generar alertas en tiempo real basados en reglas de correlación definidas. 20. El sistema debe estar en capacidad de tener una visión holística de la gran cantidad de dispositivos y formatos de recolección de log s; esto para minimizar la complejidad y mejorar la eficiencia del análisis de este tipo de información; todo lo anterior para asegurar que el sistema esté en la capacidad de correlacionar eventos que por sí solos no revistarían riesgo alguno, pero que visto en varios dispositivos si podría significar riesgos y/o ataques. Las correlaciones que debe implementar el sistema deben buscar patrones de eventos en múltiples dispositivos, en líneas de tiempo puntuales para reducir falsos positivos en herramientas de propósito específico. 21. El sistema debe incluir reglas de correlación preconfiguradas y parametrizables para ataques/riegos/fallas comunes tales como:

9 a. Ataques de fuerza bruta. b. Actividades sospechosas de logins por sistemas WEB c. Actividad multicasting sospechosa d. Requerimientos http muy largos e. Gran cantidad de requerimientos http no estándares f. Cantidad inusual de conexiones a una Base de Datos g. Múltiples logins fallidos desde una misma estación de trabajo h. Intentos fallidos de login de forma intensa. i. Patrones de gusanos informáticos (Ej: W32.Blaster, SQL, Scanning, etc.) j. Vulnerabilidades conocidas (SSH) k. Cuentas de Windows creadas y eliminadas en menos de X horas (Ej; 24 horas) l. No reinicio de servidores Windows. m. Malware Trojan. n. Ataques DoS o. Otros 22. Las reglas pre-configuradas deberán ser actualizadas por el fabricante y deberán basarse en los ataques, riegos y fallas más comunes. 23. La definición de reglas de negocio deberán basarse en reglas correlacionadas. 24. El sistema debe incluir reglas de correlación sobre las mejores prácticas que existen en el mercado. 25. Deberá manejar definiciones de vulnerabilidades de los dispositivos integrados a la solución. 26. Las alertas generadas por el sistema deberán poderse enviar en los siguientes formatos: a. Generación de un archivo de Texto b. Envío de una trama SNMP c. Envío de un Correo electrónico por SMTP d. Reenvío de mensajes de syslog a un dispositivo externo e. Ejecución de un comando f. Asignación de una Tarea

10 27. La solución deberá incluir un sistema de respuesta a incidentes basado orientado a CSIRT (Computer Security Incident Response Teams) permitiendo tener una solución escalable a Nivel de Centros de Operación de Seguridad (SOC) y/o Centro de Operaciones de Red (NOC) 28. El manejador de incidentes deberá permitir la gestión o la integración con una herramienta para la gestión de casos por medio de flujos de trabajo, con mínimo el siguiente ciclo de vida del incidente: a. Notificación b. Organización, categorización y priorización del incidente. c. Análisis d. Recolección de datos forenses. e. Seguimiento y/o rastreo f. Remediación. 29. El sistema debe proveer una base predefinida de reportes estándar que permitan su aprovechamiento desde el inicio de la puesta en producción 30. El sistema deberá permitir programar la ejecución y entrega de los reportes construidos. 31. El sistema deberá proveer reportes de auditoria pre-construidos basados en leyes de cumplimiento como ISO 27001/27002, SOX, FISMA, PCI DSS, HIPAA, etc. 32. Los reportes se deberán poder enviar por correo electrónico. 33. El sistema deberá poder exportar los datos en formato estándar para uso con otras herramientas (CSV, PDF) 34. El sistema deberá permitir agrupar los dispositivos monitoreados para la facilidad de uso. 35. El sistema deberá permitir el uso de roles y perfiles para el acceso a los recursos de la herramienta de los usuarios. 36. El sistema deberá ser capaz de determinar el comportamiento de los sistemas monitoreados para generar referencias base y aprender con el tiempo de dichos comportamientos. 37. Debe soportar de forma nativa la recolección de registros de eventos desde aplicaciones/dispositivos de seguridad, sistemas operativos, bases de datos y elementos de red. 38. Deberá contar con un módulo de análisis forense en donde se pueda ver los datos históricos y/o en tiempo real. 39. La base de datos debe estar incluida en el precio de la solución y se espera que sea auto gestionado para no incurrir en costos y tiempos de DBA s para su mantenimiento preventivo y correctivo.

11 40. Integración con soluciones de DLP (Data Lost Preventions - Prevención de pérdida de datos) propias y de otros fabricantes. 41. Debe tener integración con Active Directory, para permitir el acceso a usuarios del AD existente. 42. Que la aplicación tenga soporte para SAN y NAS. 4. SERVICIO DE INSTALACIÓN Y PUESTA A PUNTO DEL SERVICIO LA CONVOCANTE requiere de la instalación y puesta a punto de la solución ofertada, así mismo deberá proporcionar EL LICITANTE un plan de trabajo que defina las fases de planeación, diseño, implementación y operación de dicha infraestructura. La instalación de la solución se definirá por las siguientes fases: Fase I: Planeación. Fase II: Diseño. Fase III: Implementación. Fase IV: Pruebas y verificación. Fase V: Transferencia de conocimientos y operación FASE I PLANEACIÓN EL LICITANTE deberá realizar la planeación del proyecto para la puesta a punto del servicio ofertado, tomando como mínimo las siguientes actividades: Deberá proporcionar el plan de comunicación que se establecerá durante la implementación del servicio. Deberá proporcionar una matriz RASCI (Responsable, Accountable, Supporting, Consulted, Informed) para la implementación, identificación de responsables, ejecutores e informadores del proyecto. Deberá proporcionar una matriz de escalamiento la cual deberá incluir el nombre del responsable, puesto, teléfono y dirección de correo electrónico, misma que deberá ser válida tanto en la instalación como en la operación de las soluciones.

12 Deberá proporcionar una matriz de riesgos, misma que deberá contener las estrategias de mitigación. Elaborar un plan de trabajo en donde se incluirán todas las etapas necesarias para la implementación del servicio. Y todas aquellas tareas necesarias en esta fase del proyecto que EL LICITANTE considere necesarias FASE II DISEÑO DE INTERCONEXIÓN El LICITANTE deberá realizar el diseño de la interconexión del servicio ofertado, el cual será definida en conjunto con el personal que LA CONVOCANTE designe. El diseño deberá ser realizado de acuerdo a las mejores prácticas del fabricante y cumpliendo con las necesidades de LA CONVOCANTE, tomando como mínimo las siguientes actividades: Diseño de alto nivel que muestre la topología de red a utilizar. Diseño de bajo nivel que muestre la interconexión del servicioofertada. Recomendaciones del fabricantepara el diseño de la interconexión de los equipos. Diagrama general de interconexión de la solución. Definición de protocolos a usarse en la fase de implementación. Arquitectura física y lógica. Levantamiento de información. Definición de requerimientos físicos para la instalación del servicio EL LICITANTE deberá proporcionar un recurso certificado en el servicio ofertado que participe en esta fase Y todas aquellas tareas necesarias en esta fase del proyecto que EL LICITANTE considere necesarias para su buen término FASE III IMPLEMENTACIÓN EL LICITANTE deberá realizar la implementación del servicio ofertado de acuerdo al plan de trabajo prestablecido, tomando como mínimo las siguientes actividades: Plan de implementación de la infraestructura. Instalación de equipos. (si aplica)

13 Interconexión de la solución. Configuración tipo de la solución. Configuración de protocolos. Configuración de reglas. Configuración de parámetros básicos para monitoreo y administración vía web Recomendaciones para las mejores prácticas que el fabricante de la infraestructura emita. EL LICITANTE deberá proporcionar un recurso certificado en el servicio ofertado que participe en esta fase Y todas aquellas tareas o configuraciones necesarias en esta fase del proyecto que EL LICITANTE considere necesarias para su buen término FASE IV PRUEBAS Y VERIFICACIÓN Para las pruebas de verificación del correcto funcionamiento de la red, EL LICITANTE deberá considerar como mínimo lo siguiente: Deberá generar el protocolo de pruebas para demostrar el funcionamiento de las configuraciones realizadas, el objetivo de este protocolo es para que EL LICITANTE entregue la solución operando correctamente. Inspeccionar físicamente que todos los componentes se encuentren operando correctamente. EL LICITANTE deberá proporcionar un recurso certificado en el servicio ofertado que participe en esta fase Y todas aquellas tareas o pruebas de verificación necesarias en esta fase del proyecto que EL LICITANTE considere necesarias para su buen término FASE V TRANSFERENCIA DE CONOCIMIENTOS Este servicio deberá ser proporcionado por EL LICITANTE y deberá considerar como mínimo los siguientes aspectos: La transferencia de conocimientos deberá realizarse sobre el diseño, implementación y configuración de la solución ofertada.

14 La transferencia de conocimientos deberá impartirse en un periodo no mayor a 8 (ocho) días hábiles después de que se hayan concluido las pruebas de verificación de funcionalidad. En caso de incumplimiento en las fechas de la conclusión de la fase se harán conforme al apartado de penalizaciones. La transferencia de conocimientos deberá ser impartida dentro de las instalaciones de LA CONVOCANTE o en un punto de mutuo acuerdo entre las partes. EL LICITANTE deberá proporcionar el material necesario (manuales, presentaciones, folletos, fichas técnicas, entre otros), para llevar a cabo la transferencia de conocimientos. EL LICITANTE deberá entregar la memoria técnica de la instalación, configuración y operación. EL LICITANTE ganador deberá proporcionar el material necesario (manuales, presentaciones, folletos, fichas técnicas, entre otros), para llevar a cabo la capacitación; dicha capacitación deberá de ser en la administración del servicio ofertado. EL LICITANTE ganador deberá integrar en el plan de trabajo todas aquellas actividades necesarias para la correcta operación y funcionalidad de la solución ofertada, y cualquier actividad que no haya sido descrita en el plan de actividades y que sea necesaria para la correcta operación e integración de la solución, sin que ello genere cargos extras para LA CONVOCANTE. FASE 1 FASE II FASE III FASE IV FASE V PLANEACIÓN Inicia a partir de la emisión del fallo. Duración de 3 semanas máximo. DISEÑO DE INTERCONEXIÓN Duración de 1 semana máximo. IMPLEMENTACIÓN Duración de 2 semanas máximo. PRUEBAS Y VERIFICACIÓN Duración de 1 semanas máximo. TRANSFERENCIA DE CONOCIMIENTOS Y OPERACIÓN Duración de 1 semana máximo.

15 5. ENTREGABLES La siguiente tabla describe la base de entregables que EL LICITANTE deberá entregar en las fechas especificadas; EL LICITANTE podrá agregar a esta lista, los entregables que considere necesarios de acuerdo al plan de trabajo establecido en conjunto con LA CONVOCANTE. TABLA 2. PLAN DE ENTREGABLES FASE ID ENTREGABLE Fase I Fase II E-05 Fase III E-06 Fase IV E-07 E-01 Plan de Trabajo FECHA DE ENTREGA PRIMERA SEMANA DESPUÉS DEL FALLO MEDIO Electrónico e impreso E-02 Matriz RASCI SEGUNDA Electrónico e impreso E-03 Matriz de riesgos SEMANA DESPUÉS Electrónico e impreso E-04 SOW (SCOPE OF DEL FALLO WORK) Electrónico e impreso Reporte de levantamiento de información Plan de implementación y ejecución de la implementación Protocolo de pruebas de funcionalidad de la solución SEGUNDA SEMANA DESPUÉS DEL FALLO SEGUNDA SEMANA DESPUÉS DEL FALLO TERCERA DESPUÉS DEL FALLO Electrónico e impreso Electrónico e impreso Electrónico e impreso (2 juegos) Fase V E-08 Taller de transferencia de conocimientos QUINTA SEMANA DESPUÉS DEL FALLO Electrónico e impreso E-09 Memoria Técnica Electrónico e impreso LA CONVOCANTE realizará los pagos calendarizados conforme a mes vencido EL LICITANTE deberá considerar 4 (cuatro) semanas como tiempo máximo para la entrega de la soluciónsolicitada después del fallo 5.1. MEMORIA TÉCNICA

16 EL LICITANTE adjudicado deberá entregar en la fecha establecida, en medio impreso y en electrónico, la memoria técnica de lo realizado (en formato de documento Microsoft Word y en Acrobat Reader), está deberá contener al menos los siguientes tópicos: Plan de trabajo programado y real. Instalación de la solución. Diagrama de red físico. Diagrama de red lógico. Configuración de la solución. Resultado de los protocolos de prueba. Directorio de escalamiento para el reporte de fallas y problemas técnicos. En caso de incumplimiento EL LICITANTE se hará acreedor a sanción económica conforme se indica la sección de Servicios Efectivamente Otorgados CAPACITACIÓN EL LICITANTE deberá incluir la capacitación a nivel de certificación de la solución para al menos 2 (dos) personas que LA CONVOCANTE designe. La capacitación básica deberá programarse y ejecutarse durante las primeras 6 (seis) semanas a partir de la emisión de fallo. La capacitación se llevará a cabo en un lugar acordado por las partes, pudiéndose llevar a cabo tanto en las instalaciones de LA CONVOCANTE como en las de EL LICITANTE. CARACTERÍSTICAS MÍNIMAS DEL CENTRO DE SOPORTE DEL PROVEEDOR EL LICITANTE debe contar con un Centro de Atención que brinde el servicio en un horario 8x5 de lunes a viernes durante la vigencia del contrato, debiendo proporcionar el soporte técnico que corresponda al horario y vigencia de la contratación del servicio, a través del cual LA CONVOCANTE pueda levantar reportes para solicitar soporte en sitio en caso de falla y Asesoría Técnica Telefónica (ilimitada e inmediata). En caso de que EL LICITANTE no pueda resolver el problema y se requiera el apoyo directo del fabricante, LA CONVOCANTE deberá tener acceso por medio de EL LICITANTE a los servicios de soporte y atención del fabricante, así como acceso a su centro de atención.

17 SOLICITUDES DE SERVICIO Entiéndase como solicitud de servicio, de forma enunciativa más no limitativa, toda aquella que LA CONVOCANTE solicite a la mesa de ayuda de EL LICITANTE y que no sea motivo de incidente activo. Dentro de estas solicitudes de servicio están las siguientes: Solicitud de desempeño del equipo. Solicitud de revisión de LOGS del equipo. Solicitud de reportes de incidentes y/o problemas con la solución. Y cualquier solicitud relacionada con el servicio. Estas solicitudes deben ser atendidas conforme al nivel de atención indicado en la sección niveles de servicio. NIVELES DE ATENCIÓN Y SERVICIO Los niveles atención y de servicio requeridos por LA CONVOCANTE que deberán cumplir e incluir los proveedores en su propuesta técnica, se especifican a continuación, debiendo considerar lo siguiente: TABLA 3. NIVELES DE ATENCIÓN Y SERVICIO DESCRIPCIÓN DESCRIPCIÓN NIVEL APLICABLE CORRELACIÓN DE EVENTOS Asistencia en sitio de personal de EL LICITANTE en caso de incidente fuera del horario del personal en sitio o para el caso de personal de 2 nivel. Atención telefónica para la atención de incidentes o problemas Niveles de atención a solicitudes de servicio. Como máximo 8 (ocho) horas, después del levantamiento del reporte. Inmediata sin catalogar el tipo de solicitud 8x5 cinco días a la semana, ocho horas diarias (de lunes a viernes de 09:00 a 18:00 hrs.) Los reportes de incidentes que llegarán a presentarse durante la vigencia del contrato se validarán en su cierre mediante la aprobación del mismo por el responsable que LA CONVOCANTE designe.

18 El nivel de atención del servicio y disponibilidad de forma mensual deberá ser del 99.45%, en caso de no cumplir con este nivel de atención para la solución de incidentes, fallas, problemas o cualquier situación que afecte la operación de la infraestructura, EL LICITANTE será acreedor a la aplicación del servicio efectivamente otorgado. 6. SERVICIO EFECTIVAMENTE OTORGADO EL LICITANTE se compromete a cumplir con todos los puntos indicados, en caso contrario, se hará acreedor a la aplicación de la deductiva correspondiente al servicio afectado por incumplimiento, conforme se indica en cada uno de los siguientes apartados, independientemente de la aplicación de las penas convencionales a que sea acreedor en los términos del contrato que se derive del presente procedimiento ATENCIÓN DE INCIDENTES Para aquellos casos en los cuales EL LICITANTE incumpla con los tiempos de atención y solución de incidentes o problemas con la solución ofertada, que sea atribuible al licitante e incumpla con el nivel de atención solicitado, el servicio efectivamente otorgado por cada minuto de afectación será calculado con la siguiente fórmula: SEO = 100% del precio total del servicio el número de horas de atraso (30 días)(24 horas) El descuento económico por el servicio efectivamente otorgado al licitante se reflejará en la facturación mensual en la que haya ocurrido el evento SOLICITUD DE SERVICIO EN SITIO En caso de incumplimiento por documentación faltante, o que esta no cubra los requisitos mínimos estipulados, EL LICITANTE tendrá un tiempo máximo de 12 horas, posterior a la notificación por parte de LA CONVOCANTE para solventar el requerimiento, posterior a esto, por cada día de retraso en la presentación de los documentos, reportes, evidencia, etc., solicitados; el servicio efectivamente otorgado por cada día de atraso será calculado con la siguiente fórmula: SEO = 100% del precio total de la infraestructura el número de horas de atraso (30 días)(24 horas) El monto de descuento del servicio efectivamente otorgado por incumplimiento en el servicio de solicitudes se tomará de la facturación mensual. 7. ENTREGABLES

19 7.1. REPORTE DE INCIDENTE EL LICITANTE adjudicado se compromete a entregar en un lapso no mayor a 12 (doce) horas, posterior a la falla o incidente, los reportes que LA CONVOCANTE solicite, en referencia a eventos (fallas o incidentes), que provoquen la interrupción del servicio ofertado. Este reporte deberá ser realizado en formato Microsoft Word y Acrobat Reader, como se muestra en el ANEXO III, cubriendo todos los tópicos que en este documento se indican, incluyendo evidencia visual (en caso de incidente de causa mayor) o bien, print screen, de la pantalla donde se pueda observar la evidencia que el o los equipos reportan (en caso de falla). El reporte deberá ser a entera satisfacción de LA CONVOCANTE, en caso contrario, LA CONVOCANTE entregará evidencia contundente sobre la falta en la que el reporte incurre y a partir de este momento EL LICITANTE tendrá 12 (doce) horas máximo para la entrega del reporte solicitado, y si EL LICITANTE volviera a incurrir, se hará acreedor a sanción conforme se indica en la sección Servicio Efectivamente Otorgado ENTREGABLE MENSUAL DE INCIDENTES O FALLAS EL LICITANTE ganador se compromete a entregar el resumen de incidentes que sobre la infraestructura ofertada se pudieran presentar, en formato Microsoft Excel, indicando en estos, por columna, los siguientes datos y tiempos: Número de ticket Hora de Inicio de Ticket. Hora de Fin de Incidente. Hora de Fin de Reporte. Tiempo total real y porcentaje de afectación Causa raíz de la Afectación. Resumen del seguimiento (bitácora). Personal de LA CONVOCANTE quien valida el cierre. Solución y acción correctiva. Este reporte será validado por el área que LA CONVOCANTE designe para que se emitan los cambios que sean necesarios, sin que estos, modifiquen la esencia real del contenido del ticket o reporte.

20 Al finalizar el mes se entregará, por parte del LICITANTE adjudicado el reporte concentrado de los reportes mensuales, ya totalmente validados, el cual, deberá ser entregado durante los primeros 5 (cinco) días naturales, al inicio de cada mes. En caso de incumplimiento EL LICITANTE se hará acreedor a sanción económica conforme se indica en la sección de Servicios Efectivamente Otorgados ANEXO II - TABLA DE PRECIOS OFERTADOS POR EL LICITANTE TABLA 4. PRECIO DE SOLUCIÓN OFERTADA Tipo de Solución Cantidad Precio total del servicio Correlación de eventos 1 PRECIO TOTAL 7.4. ANEXO III - FORMATO DE REPORTE DE INCIDENTE EL LICITANTE ganador deberá de realizar los reportes de incidentes derivados a fallas en la solución objeto del contrato de mantenimiento preventivo y correctivo preventivo y correctivo, en dichos reportes se deberá de incluir al menos los siguientes rubros que a continuación se enlistan. I. Objetivo II. III. IV. Antecedentes Acciones Realizadas Causa raíz del incidente [Se debe anexar evidencia visual] V. Solución y Acción Correctiva VI. Afectación o o o TIEMPO TOTAL DE AFECTACIÓN REAL DEL INCIDENTE: INICIO DE INCIDENCIA: FIN DE INCIDENCIA: VII. Glosario de Términos