PÚBLICA NACIONAL MIXTA No. -006C0001-N-2015 LICITACIÓN. Página 2 de 205

Transcripción

1

2 Página 2 de 205

3 Página 3 de 205

4 Página 4 de 205

5 Página 5 de 205

6 Página 6 de 205

7 Página 7 de 205

8 Página 8 de 205

9 Página 9 de 205

10 Página 10 de 205

54 Fecha de elaboración Agosto, Identificación del bien o servicio Servicio Administrado de Red Institucional y Suministro e Instalación de Cableado Estructurado en Delegaciones Regionales para la Comisión Nacional de Seguros y Fianzas. Indice 1. Objetivo 2. Requerimientos Generales 3. Vigencia 4. Especificaciones Técnicas 4.1 Renovación del Equipo LAN Switch Core Redundante Switches de Acceso 4.2 Renovación del Equipo WLAN Controladora Inalámbrica Access Point 4.3 Renovación del Equipo de Seguridad Perimetral Sistema de Prevención de Intrusos, IPS Firewall Perimetral 4.4 Renovación del Equipo de Seguridad Control de Acceso a la Red, NAC Filtrado de Contenido Solución SIEM (Gestión de Eventos de Seguridad de la Información) 4.5 UPS 4.6 Suministro e Instalación de Cableado Estructurado en Delegaciones Regionales Consideraciones Generales para el Sistema de Cableado Estructurado Normatividad Aplicable Cumplimiento de Características Técnicas Memoria Técnica Aceptación Final Página 54 de 205

55 4.6.6 Garantías Sistema de Tierra Física Equipos de Energía Ininterrumpible (UPS) Requisitos 4.7 Recursos Humanos Personal en sitio Personal de soporte de segundo nivel (consultor especialiado) Espacios Físicos y Herramientas de Trabajo del Personal del Licitante Ganador. 4.8 Otros Servicios Incremento de Nodos Servicios Adicionales 5. Implementación 5.1 Implementación de la solución y Migración de Servicios 5.2 Instalación y Pruebas 5.3 Al Inicio del Servicio y Posterior a la Firma del Contrato 5.4 Planeación del Arranque 5.5 Servicios de Diseño, Instalación y Puesta en Marcha 5.6 Diseño e Implementación de los Servicios. 5.7 Tiempos de Implementación, Migración y Entrega de Servicios: 5.8 Revisión y adecuaciones al Centro de Datos Principal, Oficinas Centrales y Delegaciones Regionales 5.9 Licenciamiento 5.10 Media y Manuales 5.11 Memorias Técnicas 6. Servicio Administrado 6.1 Requerimientos Durante la Vigencia del Contrato 6.2 Mesa de Servicios Seguimiento de Servicios Esquema de Reportes y Escalamiento de Fallas Reportes de Servicio 6.3 Centro de Operaciones de la Red, NOC Servicio de Monitoreo Esquema de Reportes y Escalamiento de Fallas 7. Transición de Proveedores 7.1 Al Inicio del Contrato Página 55 de 205

56 7.2 Al Término del Contrato 8. Garantías y Mantenimientos (Soporte y Actualización) 9. Capacitación 9.1 Transferencia de Conocimientos 9.2 Cursos 10. Niveles de Servicio 11. Cumplimiento de las Cláusulas de Seguridad 12. Documentación para Participar Anexo A. Directorio de Oficinas de la Comisión Nacional de Seguros y Fianzas Anexo B. Cláusulas SGSI Anexo C. Servicios Actuales Anexo D. Niveles de Servicio y Deductivas Página 56 de 205

57 1. OBJETIVO La Comisión Nacional de Seguros y Fianzas requiere contar con el Equipamiento de Hardware y Software necesario para conformar una Red Informática Segura tanto en sus Oficinas Centrales como en sus Delegaciones Regionales así como con el Cableado Estructurado en las Delegaciones Regionales de Mérida y Chihuahua, que permitan a su personal contar con la Infraestructura de Tecnología de la Información y Comunicaciones, TIC, necesaria para realizar eficientemente sus funciones sustantivas y de soporte. 2. REQUERIMIENTOS GENERALES La CNSF requiere una solución de última generación la cual permita la segmentación de la red y la entrega de servicios a sus usuarios de forma segura. Los equipos que conformen la red LAN de la CNSF deberán permitir la segmentación de la misma así como la aplicación de reglas de calidad de servicio y funcionalidades implícitas de seguridad apoyando el servicio de puerto seguro. Se deberán entregar servicios de control de acceso a usuarios de forma tal que en cooperación con servidores estándares RADIUS y/o soluciones de Microsoft (Directorio Activo, etc.) que permita el control de acceso de los usuarios de la convocante de forma tal que se les pueda aplicar políticas de seguridad de acceso a la red, priorización del tráfico y limitación del mismo con base en los privilegios de los usuarios registrados. El control del acceso de los usuarios se deberá poder realizar sin importar si los usuarios solicitan el acceso a la red a través de la red alámbrica o inalámbrica. Para los IDF s se deberán establecer pilas de switches de acceso, las cuales deberán utilizar una dirección IP única para su administración. Así mismo, deberá establecerse por cada una de estas pilas comunicación redundante de Fibra Optica de 10 Gbps bidireccionales hacia cada uno de los switches core de la solución ofertada, que deberán ser de la misma marca, para asegurar su completa compatibilidad. Así mismo, realizar la configuración necesaria para que uno de los switches sea el maestro y alguno de los esclavos standby para tomar el lugar del maestro en caso de falla de éste y configurar la funcionalidad que permita agruparlos lógicamente. El proveedor deberá proporcionar los materiales necesarios y realizar los trabajos de validación de la fibra actual o instalación (incluido el tendido de fibra óptica necesario) para cubrir con el requerimiento anterior sin afectar la operación actual. Página 57 de 205

58 La plataforma completa ofertada deberá poder ser administrada y monitoreada de forma tal que se tenga un control total de la solución y de los servicios que se entregan a través de ésta, incluyendo la red LAN, la red inalámbrica, los equipos de seguridad perimetral, seguridad y el control de acceso de los usuarios, sus privilegios y servicios. De forma enunciativa y no limitativa a continuación se listan los requerimientos generales que se deberán proporcionar en el presente servicio: 1. Renovación del Equipo de Red LAN. 1.1 Switch Core Redundante (al menos dos equipos) 1.2 Switches de Acceso 2. Renovación del Equipo de Red WLAN 2.1 Controladora Inalámbrica 2.2 Access Point 3. Renovación del Equipo de Seguridad Perimetral. 3.1 Sistema de prevención de intrusos, IPS. 3.2 Firewall 4. Renovación del Equipo de Seguridad 4.1 Control de Acceso a la Red, NAC. 4.2 Filtrado de Contenido 4.3 Solución SIEM 5. UPS s y Gabinetes 6. Mesa de Servicios y Monitoreo Automatizado 7. Centro de Operaciones de Red, NOC. 8. Suministro e Instalación de Cableado Estructurado en Delegaciones Regionales. 9. Recursos Humanos 10. Servicios Adicionales. El licitante ganador deberá proporcionar la totalidad de la infraestructura de hardware y software necesario para la prestación del Servicio Integral objeto de la presente licitación. Así mismo, el personal especificado para la Implementación de toda la solución y la Administración, Operación, Mantenimiento y Monitoreo de Componentes ofertados. Todo el equipamiento LAN, WLAN, Seguridad (NAC, Filtrado de Contenido), Seguridad Perimetral, NOC, etc. deberá ser nuevo, de la más reciente tecnología (generación) y alto desempeño con el propósito de garantizar la continuidad en el servicio y el cumplimiento de los niveles de servicio establecidos e integrarse totalmente a la plataforma de administración y monitoreo. Deberán considerarse las garantías necesarias para el hardware y software suministrado de acuerdo a los niveles de servicio establecidos, así como el reemplazo de partes y equipos. También los seguros contra daños, robo o extravío y responsabilidad civil. Página 58 de 205

59 Para este servicio, el proveedor deberá proporcionar todos los elementos necesarios así como realizar los trabajos de interconexión entre los equipos ofertados, los equipos de red local del Centro de Datos, los del ISP y los equipos de telefonía IP. Para la Infraestructura ofertada deberá establecerse un calendario de mantenimiento preventivo de acuerdo a las recomendaciones del fabricante. Los mantenimientos correctivos se aplicarán en función de las políticas que para tal efecto establezca la Comisión. Para la prestación del servicio solicitado, el licitante ganador deberá considerar la realización, entre otras tareas, de: La instalación, configuración y puesta en operación del equipo de red ofertado. La generación y configuración de segmentos de IPS, incluida la DMZ. La configuración de firewall de acuerdo a las polìticas de la CNSF. La configuración de VLAN s para la segmentación del tráfico de datos. La aplicación de autenticación usando 802.1X en conjunto con el directorio activo. La aplicación de un método de autenticación alterno al 802.1X para aquellos equipos que no lo soporten. Se deberán de soportar como mínimo dos métodos de autenticación activos por puerto. Podrán ser autenticación tipo 802.1x y dirección de MAC. La aplicación de políticas en el puerto de acuerdo al perfil del usuario en forma dinámica permitiendo la movilidad de los usuarios. Este proceso deberá de ser de acuerdo a las credenciales de autenticación proporcionadas por el usuario. La configuración de respuesta automática ante intrusiones aplicando las políticas de seguridad para bloquear el tráfico malicioso. Llevar un control de cambios para todos los componentes de la solución ofertada. La configuración y aplicación de políticas de seguridad, previa definición en conjunto con el personal de redes de la Comisión. La integración de todo el equipo suministrado en la plataforma de administración y monitoreo. Adecuaciones al sitio principal (energía eléctrica, tierra física y electrofísica, aire acondicionado). Establecer un procedimiento para llevar un control de cambios para todos los componentes de la solución ofertada. Otorgar la capacitación establecida al personal de la Comisión. El servicio deberá clasificarse en 2 perfiles de puerto seguro administrado : Página 59 de 205

60 Perfil Descripción PSA1g PSA10g Puerto Seguro Administrado (acceso) RJ45 Ethernet 10/100/ Mbps o SFP Fibra óptica 1 Gbps. Puerto Seguro Administrado (acceso) Fibra óptica 10 Gbps. Certificación de la Compatibilidad e Interoperabilidad Se deberá certificar la compatibilidad e interoperabilidad de toda la Infraestructura ofertada a la CNSF, entre otros, componentes de LAN, Firewall, IPS, switches inalámbricos y puntos de acceso. Si es necesario, deberán realizarse las pruebas de compatibilidad e integración con la red LAN existente así como con la infraestructura de telecomunicaciones y telefonía IP. Además, deberá asegurar técnicamente la funcionalidad, confiabilidad, operación y disponibilidad de todos los elementos físicos del Sistema que lo componen, para que los usuarios puedan acceder a los servicios, de acuerdo con los niveles de servicio establecidos. En caso de requerirse modificaciones físicas a la Infraestructura actual de TIC, será necesaria la aprobación del personal de la Comisión, cuidando siempre que no se modifiquen las condiciones funcionales y estéticas de la misma. Lo anterior, con estricto apego a los niveles de servicio establecidos. Para asegurar la compatibilidad, todos los equipos que compongan la solución de LAN, WLAN y NAC deberán de ser de la misma marca. Plataforma de Administración Se deberán incluir la(s) plataforma(s) de gestión para todos los equipos sujetos a esta licitación así como todas las licencias asociadas; estos sistemas deben de haber sido desarrollados por el mismo fabricante de los equipos que gestionarán. Si todas las funcionalidades pueden ser realizadas por una sola herramienta se permite entregar un solo appliance o servidor. De ser requerido un servidor o servidores para estas herramientas será responsabilidad del licitante el entregarlo(s) con las características necesarias así como el sistema operativo y base de datos que puedan requerir para operar óptimamente. Conectividad Física LA CNSF requiere que se asegure técnicamente la funcionalidad, confiabilidad, operación y disponibilidad de la LAN y de los elementos físicos que la componen, para que los usuarios puedan acceder a los servicios, de acuerdo con los niveles de servicio establecidos. Página 60 de 205

61 Administración de las Garantías o Contratos de Mantenimiento El licitante ganador será responsable de administrar las garantías o contratos de mantenimiento vigentes de los equipos (Infraestructura) que se utilicen para la prestación del servicio objeto de la presente licitación. La CNSF podrá en cualquier momento realizar la verificación de las garantías o contratos de mantenimiento por sí misma o a través de un tercero. También se requiere el Soporte para la Administración de las Garantías o de los Contratos de Mantenimiento del equipamiento propiedad de la Comisión o de terceros necesario para brindar el Servicio Administrado de Red Privada Virtual (RPV) Multiservicios e Internet; así como el Servicio Administrado de Telefonía IP. Mesa de Servicios y Monitoreo Automatizado. El soporte técnico durante la vigencia del contrato se solicitará a través de la Mesa de Servicios del proveedor, la cual tendrá como objetivo principal recibir y atender la totalidad de solicitudes de servicio efectuadas por los usuarios de las diferentes unidades administrativas de la CNSF, fungirá como el único punto de contacto para la atención de reportes sobre el funcionamiento de todos los componentes de la solución ofertada, buscando siempre la satisfacción de los usuarios y asegurando que los problemas reportados sean resueltos dentro de los niveles de servicio requeridos y realizando las acciones para eliminar las causas raíz y/o para prevenir fallas potenciales. La disponibilidad de recepción y atención de llamadas que realice la Comisión para el registro, análisis y solución de los reportes de incidentes será bajo un esquema de operación de 7X24. El total de la plataforma ofertada (infraestructura, sistemas operativos, bases de datos y aplicaciones) deberá ser monitoreada de forma automática, a través de una solución de monitoreo que proporcione el licitante ganador, de forma tal que se tenga un control total de la solución y de los servicios que se entregan a través de ésta para brindar los niveles de servicio establecidos. 3. VIGENCIA El proyecto contempla la entrega e implementación de los elementos citados en el presente documento así como la administración de los mismos cuya vigencia iniciará una vez que el total del equipamiento (hardware y software) sea entregado al personal asignado por la Comisión y tendrá una duración de 35 meses. También deberá integrase el personal que realizará las actividades de administración, operación, mantenimiento y monitoreo. Tiempo de Implementación Página 61 de 205

62 A partir de la fecha de entrega del pedido, resultado del proceso licitatorio correspondiente, el proveedor ganador tendrá un máximo de 5 días naturales para entregar a la CNSF, y ser aprobado por el personal de ésta, el documento de diseño de la solución propuesta así como el Plan de Trabajo necesario para su Implementación. Así mismo, a partir de la fecha de notificación del fallo, el proveedor contará con un máximo de 42 días naturales para la entrega del equipamiento (hardware y software) indicado en este anexo. así como la Implementación y Puesta en Operación del diseño de la solución ofertada. Las actividades de entrega e implementación deberán realizarse en paralelo a fin de concluir la Implementación de la solución en el plazo establecido.. Durante este periodo se deberá dar continuidad a los servicios actuales, de tal manera que no se afecten las actividades de los usuarios, por lo que los cambios que se efectúen, deberán llevarse a cabo en días y horarios no hábiles. Durante la fase de Implementación y Puesta en Operación del diseño de la solución ofertada, el proveedor se deberá considerar la Implementación del NAC así como la Integración del total del equipo ofertado al NOC, de acuerdo a las especificaciones del presente Anexo Técnico. Aceptación formal y Pago del Servicio El total del costo del servicio (equipamiento, implementación, administración, etc.) se pagará de forma mensual vencida durante la vigencia del contrato a partir de que el proveedor haya realizado las siguientes actividades: Entregar el hardware, software y licenciamiento, Realizar la implementación, que deberá incluir la memoria técnica correspondiente y la transferencia de conocimientos. Integración del personal en sitio. Se deberá efectuar una revisión por parte del licitante ganador en presencia del personal de la Dirección General detecnologías de la Información, para validar que la instalación haya sido realizada conforme al diseño aprobado. En caso de ser necesario, deberá incluir un reporte con las correcciones obligatorias a efectuar y los tiempos de realización como resultado de la visita de inspección. Este reporte deberá ser firmado por ambas partes. Una vez que se obtenga el visto bueno del personal que haya sido designado por parte de la Comisión, se considerará como aceptación formal. 4. ESPECIFICACIONES TÉCNICAS Página 62 de 205

63 Todo el equipamiento deberá ser nuevo, de la más reciente tecnología (generación) y alto desempeño con el propósito de garantizar la continuidad en el servicio y el cumplimiento de los niveles de servicio establecidos e integrarse totalmente a la plataforma actual de LAN y WAN, en su caso, así como Telefonía IP. También, será responsabilidad del licitante ganador garantizar la migración total de los servicios actuales de la CNSF. El licitante ganador debe suministrar todo lo necesario para la correcta implementación de la infraestructura ofertada de acuerdo a las recomendaciones del fabricante, así como considerar los protocolos de aceptación y puesta en operación del sistema a satisfacción de la CNSF. Los componentes del servicio, deben cumplir como mínimo con los requerimientos especificados más adelante en este documento. La configuración de los equipos, LAN, WAN y Telefonía IP pertenecientes a otros servicios, que se requiera para la implementación de la solución descrita en este documento, tanto en el centro de datos principal como en oficnas centrales y Delegaciones Regionales, estará a cargo del personal propio o de tercero contratado por la Comisión. En el caso en que los equipos descritos en este numeral sean provistos por un tercero, el prestador del servicio deberá establecer con éste, acuerdos formales de niveles de operación de dichos equipos. Los acuerdos de operación serán validados por la CNSF. Se deberá incluir en la propuesta el kit de partes o refacciones que sean necesarios para cumplir los niveles de servicios solicitados. Implementación y Puesta en Operación del Diseño de la Solución Ofertada La Instalación, Configuración, Migración y Puesta en Operación de la Solución ofertada deberá ser realizada por personal técnico del fabricante o por personal calificado y certificado por el(los) fabricante(s) en la Infraestructura ofertada. Durante la realización de las actividades citadas previamente, el proveedor deberá garantizar la operación de la infraestructura actual con que cuenta la CNSF. Como parte de los Entregables del Servicio, de manera enunciativa más no limitativa, se deberá incluir lo siguiente: Documento de diseño de la solución propuesta. Página 63 de 205

64 Plan de Trabajo de Implementación de la solución propuesta. Memoria técnica de la Implementación de la solución propuesta. Revalidación de Certificación de Cableado Estructurado. Puertos Seguros Administrados El proveedor deberá ofertar el servicio requerido para los puertos seguros administrados con los que actualmente cuenta la Comisión. Así mismo un incremento del 20% que deberá estar considerado en su propuesta. Así mismo la incorporación de los puertos seguros administrados necesarios para la implementación de la solución licitada. Deberá considerar tanto ambos perfiles: PSA1g cobre y fibra óptica y PSA10g fibra óptica. El siguiente diagrama de red puede servir de apoyo para que el licitante ganador proporcione a la CNSF, su diseño de la solución propuesta: Página 64 de 205

66 4.1 RENOVACIÓN DEL EQUIPO LAN LA CNSF requiere de un servicio de Instalación, Configuración, Administración, Puesta a Punto, Operación y Mantenimiento de la Infraestructura propuesta que haya sido suministrada por el licitante ganador. La Comisión requiere de la renovación de su Equipamiento de Red LAN, mismo que se especifica posteriormente. El NOC deberá integrar todo el equipamiento LAN ofertado. Centro de Datos La CNSF requiere de un Conmutador Modular Central (switch Core) redundante (al menos dos equipos independientes) para el soporte de puertos seguros administrados en su Centro de Datos. Deberá Página 66 de 205

67 considerar ambos perfiles establecidos, tanto de 10 Gigabit Ethernet de fibra óptica como de 1 Gigabit Ethernet de fibra óptica y/o de cobre. Los puertos de 1 Gigabit Ethernet cobre deberán ser no sobresuscritos con conectores RJ45. Adicionalmente, requiere switches de acceso para el soporte de puertos seguros administrados para usuarios de red de los pisos 1 y 2 de la Torre Norte, considerando el perfil de 1 Gbps, así como para la conectividad hacia los Access Point ofertados y equipos de telefonía IP. Todos los puertos ofertados deberán de proporcionar PoE (802.1af). En el Centro de Datos los switches de acceso deberán ser utilizados para la implementación de una Estructura de Distribución Intermedia, IDF, de acuerdo a lo solicitado en el punto 2. Requerimientos Generales, relativo a implementación de IDF s. El licitante ganador deberá considerar la interconexión con los equipos correspondientes a: Los enlaces WAN que brindan los servicios de MPLS e Internet Los enlaces de fibra óptica para el servico de telefonía IP El enlace L2L de acceso al Centro de Datos Alterno Switch Core Redundante La solución de Core redundante deberá de estar compuesta por una par de swicthes modulares; cada uno de los cuales, deberá de tener al menos 14 puertos de 10 Gbps distribuidos en al menos dos tarjetas y 48 puertos de cobre 10/100/1000 distribuidos en al menos dos tarjetas. Los puertos de 10 Gbps serán utilizados para la interconexión de los equipos de acceso, equipo de cómputo central y switches ToR. La interconexión entre los equipos de core se realizara por medio de dos enlaces de 10 Gbps los cuales deberán de residir en la controladara o ser independientes a los solicitados anteriormente. Las características mínimas requeridas para el conmutador central (switch core) redundante se muestran a continuación: CONMUTADOR MODULAR CENTRAL REDUNDANTE (Switch Core) El hardware y el firmware deberán ser del mismo fabricante; éste último deberá contar con la última versión liberada configurada. No se aceptan versiones beta. Página 67 de 205

68 Todo el fiirmware deberá residir y ejecutarse con recursos propios del equipo. Funcionalidad de puertos espejo (Port Mirroring). 1 a 1, 1 a N, N a 1 y N a N. Deberá ser soportar mecanismos de agregado de enlaces. Inserción y remoción de tarjeta controladora en línea (hot swap). La configuración de memoria deberá ser la apropiada tanto en RAM como en flash, para obtener las mejores características de desempeño del equipo y poder instalar la última versión de firmware. Manejo de ruteo IPv4 e IPv6 sin cambio de hardware ni software El Switch Core debera ser de la misma marca que los switches de acceso ofertados. Contar con la funcionalidad que les permita unirse lógicamente como un sólo equipo. Slots 6, incluyendo el módulo de administración, con 48 Gbps en cada uno. El módulo de administración debe contar un procesador quad core con una velocidad de 2.0 GHz. Módulos Puertos Tarjetas controladoras Fuentes de poder Montaje Ethernet RJ45 cobre de 10/100/1000 Mbps Ethernet fibra óptica de 1 Gbps Ethernet fibra óptica de 10 Gbps Los necesarios para implementar de forma óptima la solución ofertada y tomando en cuenta que considerar el siguiente número de puertos que utiliza hoy día la la Comisión: 60 puertos RJ45 cobre 10/100/1000 Mbps. 1 puertos SFP 1 Gbps fibra óptica. 24 puertos SFP 10 Gbps fibra óptica. Incluir el módulo de administración para cada uno de los equipos y configurarlo para establecer redundancia entre los dos equipos e incluir licencia para L3 completa y L4 Redundancia N+1; es decir un mínimo de 3 fuentes o las que requiera adicionales a estas 3. Inserción y remoción en caliente (hot swap). Montable en rack estándar de 19 pulgadas de ancho. Página 68 de 205

69 Desempeño Backplane Throughput Análisis de Tráfico Direccionamiento MAC Conmutación en Capa 2 Recuperación y Alta Disponibilidad QoS Seguridad Servicios en Capa 3 Administración 900 Gbps no bloqueable (Non Blocking) 2500 Mpps Mediante protocolos sflow o netflow. Tabla de direcciones MAC de al menos 50,000 direcciones. IEEE 802.1Q VLAN s IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1v IEEE 802.1w IEEE 802.3x IEEE 802.3x Flow Control IEEE 802.1d IEEE 802.1s IEEE 802.3ad RFC 2474 DiffServ CoS ToS Soporte ACL s IEEE 802.1X RADIUS TACACS SSH V2 SCP V2 Prevensión de IP Spoofing Manejo de usuarios con diferentes niveles de acceso a Switch Core. Redirección de tráfico a través de Policy Based Routing, PBR. Ruteo estático RIP OSPF BGP Tabla de ruteo de al menos 10,000 IPv4. CLI Web (https) SSH TFTP SNMP V2 y V3 RMON Página 69 de 205

70 IPv6 Dual stack IPv4/IPv6 Ambos switch core deberán ser integrados a la solución del NOC ofertada. Página 70 de 205

71 4.1.2 Switches de Acceso Todos los switches de acceso deberán incorporase al NOC ofertado. requeridas se muestran a continuación: Sus características mínimas SWITCH DE ACCESO PARA IDF s El hardware y el firmware deberán ser del mismo fabricante; éste último deberá contar con la última versión liberada configurada. No se aceptan versiones beta. Todo el fiirmware deberá residir y ejecutarse con recursos propios del equipo. La configuración de memoria deberá ser la apropiada tanto en RAM como en flash, para obtener las mejores características de desempeño del equipo y poder instalar la última versión de firmware. Manejo de ruteo IPv4 para equipos de Delegaciones Regionales e IPv6 sin cambio de hardware ni software (opcional).. Funcionalidad de puertos espejo (Port Mirroring). 1 a 1 Deberá ser soportar mecanismos de agregado de enlaces. Contar con mecanismo de control de broadcast, multicast y unicast con supresión de broadcast por puerto Contar con un mecanismo que le permita automáticamente intentar reactivar el link que esta deshabilitado a causa de un error en la red La marca de los switches de acceso deberá ser la misma que la de los switches core Fuentes de poder Montaje Al menos 2 fuentes redundantes con la capacidad mínima de alimentar el equipo completo ante la falla de una de las fuentes. Inserción y remoción en caliente (hot swap). Montable en rack estándar de 19 pulgadas de ancho. Desempeño Página 71 de 205

72 Capacidad de conmutación Taza de transferencia de Paquetes Puertos Apilamiento Análisis de Tráfico Direccionamiento MAC Conmutación en Capa 2 Servicios en Capa 3 Recuperación y Alta Disponibilidad QoS Seguridad 170 Gbps no bloqueable (Non Blocking) 130 Mpps RJ-45 dedicados y disponibles, no deberá contarse para el cumplimiento de este punto puertos de tipo combo. PoE Al menos 2 ranuras para tranceivers de tipo SFP 10G por switch para fibra óptica. Incluir los transceivers 10G a distribuirse en los switches de acceso según especificaciones de la convocante. Para al menos 3 equipos Al menos dos puertos dedicados para apilamiento. Los equipos miembros de una pila deberán de ser administrados mediante una sola dirección IP. 2 fibras ópticas de 10 Gbps para redundancia de conexión hacia el Switch Core compatibles en una pila cerrada. Configuración maestro - esclavo (standby) para bridar mayor disponibilidad. Mediante protocolos sflow o netflow. Tabla de direcciones MAC de al menos 8,000 direcciones. IEEE 802.1Q VLAN s IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1v IEEE 802.1w IEEE 802.3x IEEE 802.3x Flow Control Redirección de tráfico a través de Policy Based Routing, PBR. Ruteo estático RIP OSPF BGP Tabla de ruteo de al menos 10,000 IPv4. IEEE 802.1s IEEE 802.3ad RFC 2474 DiffServ CoS ToS Soporte ACL s IEEE 802.1X Página 72 de 205

73 Administración RADIUS TACACS SSH V2 SCP V2 Manejo de usuarios con diferentes niveles de acceso a Switch Autenticación por MAC CLI Web (https) SSH TFTP SNMP V2 y V3 RMON Oficinas Centrales La Comisión requiere también, para el rubro de acceso, que el proveedor considere el reemplazo de los switches de acceso necesarios, con las características citadas en la tabla anterior, para el manejo de puertos seguros administrados, con perfil de 1 Gbps, correspondientes a los usuarios de la Torre Norte Piso 3, Torre Sur Pisos 1 y 2, Villalpando y Universidad. En los casos que aplique, deberá considerar también la conectividad hacia los Access Point ofertados y equipos de telefonía IP. Al igual que el Centro de Datos, los switches de acceso correspondientes a los IDF s ubicados en la Torre Norte Piso 3 y la Torre Sur Piso 2 deberán ser configurados de acuerdo a lo solicitado en el punto 2. Requerimientos Generales, relativo a implementación de IDF s. Delegaciones Regionales Continuando con el rubro de acceso, el proveedor deberá considerar el aprovisionamiento de los switches necesarios, con las características citadas en la tabla anterior, para el manejo de puertos seguros administrados con perfil PSA1g, correspondientes a los usuarios de las Delegaciones Regionales. En este caso, el licitante ganador deberá considerar proporcionar el licenciamiento necesario para realizar el ruteo así como la configuración necesaria. 4.2 RENOVACIÓN DEL EQUIPO WLAN La implementación de las redes inalámbricas deberá considerar roaming que permita a los usuarios desplazarse dentro de los inmuebles sin necesidad de reconectarse o reparar la conexión así como una administración centralizada de la solución. Página 73 de 205

74 Esta solución deberá considerar que la autenticación será realizada mediante el estándar 802.1x en conjunto con el sistema de directorio activo actual de la CNSF. El licitante, deberá incluir en su propuesta Técnica la realización de un Wireless Site Survey (estudio de cobertura) para garantizar que el equipo propuesto cumplirá con la cobertura y el nivel de servicio requerido por la CNSF, así como evitar la sobrepoblación de AP. La Comisión requiere de la renovación de su Equipamiento WLAN. El número de Access Point y su ubicación actual se muestra en la siguiente tabla, mismo que podrá variar de acuerdo al estudio de cobertura que realice el licitante: Equipo Marca Modelo Cantidad Hubicacion WLAN Switch Wireless Controler HP MSM765z 1 SITE Acces Point HP E-MSM460 5 TNP1 3 TNP2 4 TSP1 3 TSP2 3 TNP Controladora Inalámbrica Como parte de la solución ofertada el proveedor deberá considerar la Controladora Inalámbrica para permitir realizar las actividades de administración correspondientes, que cumpla con las siguientes características mínimas: CONTROLADORA INALÁMBRICA El hardware y el firmware deberán ser del mismo fabricante; éste último deberá contar con la última versión liberada configurada. No se aceptan versiones beta. Todo el fiirmware deberá residir y ejecutarse con recursos propios del equipo. La configuración de memoria deberá ser la apropiada en RAM, para obtener las mejores características de desempeño del equipo y poder instalar la última versión de firmware. Página 74 de 205

75 La marca de la controladora inalámbrica deberá ser la misma que la de los switches core y de acceso así como de los access point Fuentes de poder Montaje Al menos 2 fuentes redundantes con la capacidad mínima de alimentar el equipo completo ante la falla de una de las fuentes. Inserción y remoción en caliente (hot swap). Montable en rack estándar de 19 pulgadas de ancho. Desempeño Capacidades APs de 1 Gbps Al menos 40 APs como base. Estándares QoS Administración Conectividad Seguridad Estándares soportados para la funcionalidad de controladora inalámbrica a/b/g/n Administración plug and play de APs y de la red inalámbrica. Portal Captivo RTLS Rate limiting: Aplicando al ingreso por cliente inalámbrico. QoS en capa 2 y en capa 3 Capacidad de definir una red WLAN para empleados y otra para visitantes. Configuración y administración remota a través de un acceso web, por puerto de consola, SSH, SNMP Manejo de DHCP. Proveer acceso seguro a través de la web (SSL), interface de línea de comandos, SNMP v2c y v3, MIB-II con traps, RADIUS MIB de Autenticación de Cliente. sflow o netflow. Roaming automático. Manejo de SSL SSH Autenticación de usuarios via MAC Autenticación de usuarios via web Maneja de WPA y WPA2 Listas de control de acceso por sitio y por usuario Manejo de lista blanca Manejo de lista negra Limitación de ancho de banda. RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP Página 75 de 205

76 RFC 1122 Requirements for Internet Hosts RFC 1519 CIDR RFC 2131 DHCP RFC 3176 (sflow) IEEE 802.1D (MAC bridges) IEEE 802.1p (priority) IEEE 802.1Q (VLANs) WPA IEEE i (WPA2, RSN) RFC 1851 The ESP Triple DES Transform RFC 2104 HMAC: Keyed Hashing for message Authentication TLS Protocol Version 1.0 RFC 2401 Security Architecture for the Internet Protocol RFC 2403 HMAC-MD5-96 within ESP and AH RFC 2404 HMAC-SHA-1-96 within ESP and AH RFC 2406 IPsec RFC 2407 Interpretation for ISAKMP RFC 2408 ISAKMP RFC 2409 IKE RFC 2451 ESP CBC-Mode Cipher Algorithm RFC 3602 The AES-CBC Cipher Algorithm and its use with IPsec TKIP SSL y TLS AES: CCMP IPsec: 3DES, AES IEEE 802.1X RFC 2865 RADIUS Authentication RFC 2866 RADIUS Accounting RFC 3579 RADIUS Support for EAP RFC 3580 IEEE 802.1X RADIUS Guidelines RFC 3748 Extensible Authentication Protocol Web-based Authentication SNMP v1, v2c, v3 RFC 1155 Management Information for TCP/IP-Based Internets RFC 1156 MIB RFC 1157 SNMP DNS (client) RFC 1213 SNMP MIB II RFC 2030 SNTP RFC 2616 HTTP RFC 2863 Interfaces Group MIB RFC 3164 Syslog RFC 3418 MIB for SNMP Página 76 de 205

77 4.2.2 Access Point Las características mínimas requeridas para los puntos de acceso inalámbricos se muestran a continuación: MIMO PoE Modos Operación Radios Memoria Wifi Certified Antenas Direccionamiento Herrajes Seguridad de PUNTOS DE ACCESO INALÁMBRICOS Debe soportar el IEEE n y ac con arreglo MIMO 4x4 con tres Secuencias Espaciales (spacial streams) Que se pueda alimentar bajo el estándar IEEE802.3af con al menos un puerto 10/100/1000 Base-T Que el AP pueda trabajar de forma autónoma de ser requerido además de que pueda trabajar bajo el control del controlador inalámbrico solicitado en bases a/b/g/n a/n + b/g/n duales, Acceso a clientes Mesh local Captura de paquetes Contar con la RAM necesaria para operar óptimamente. Al menos 4 internas Soportar IPv4 e IPv6 Se deben incluir los herrajes que sean necesarios para el montaje de los APs en las premisas del cliente IEEE802.11i, WPA, WPA2 AES TKIP Selección automática de canales Debe poder interactuar con los puntos de accesos vecinos. En caso de que un AP vecino falle, de manera automática incrementar la potencia de sus radios para mantener la cobertura de la red inalámbrica. Autenticación por 802.1x utilizando EAP-SIM, EAP-TLS, EAP-TTLS, y PEAP Debe ser capaz de realizar las funciones de detección de acceso no autorizado de clientes y otros puntos de acceso inalámbricos ubicados dentro de las áreas de cobertura de la red a fin de poder implementar la funcionalidad de IDS/IPS para proteger contra amenazas e interferencia en RF. Debe contar con mecanismos proactivos de análisis de espectro, para combatir problemas de rendimiento asociados a interferencia en las bandas de 2.4 y 5 GHz, analizando tanto fuentes de interferencia WiFi, como de otros dispositivos que Página 77 de 205

78 QoS Administración funcionan en las bandas mencionadas, tales como: microondas, bluethoot, etc 802.1p, clasificación en capas 2/3/4, Manejo de SVP Diffserv WMM SNMP Herramienta Web implícita con acceso seguro (SSL) SSH SSIDs Posibilidad de operación en diferente Vlan de controladora El NOC deberá integrar todo el equipamiento WLAN ofertado. Página 78 de 205

79 4.3 RENOVACIÓN DEL EQUIPO DE SEGURIDAD PERIMETRAL Se requieren 2 IPS s de tipo appliance y dos Firewall para el perímetro externo de la CNSF, así como una consola para la administración para cada tipo de equipo, configurados ambos en alta disponibilidad. El licitante deberá proporcionar también los elementos de hardware y software necesarios para su Administración. La solución deberá estar centralizada y aplicarse a todos los usuarios tanto de oficinas centrales como de Delegaciones Regionales. El NOC deberá integrar la solución de seguridad perimetral ofertada Sistema de Prevención de Intrusos, por sus siglas en inglés, IPS. Las características mínimas requeridas para los Sistemas de Prevención de Intrusos, IPS s, son las siguientes: SISTEMA DE PREVENCIÓN DE INTRUSOS, IPS Diseño Funcionamiento Montaje Se requiere una solución de IPS en línea basada en hardware con procesadores de red y ASICs diseñados para hacer inspección a profundidad, es imperativo que la solución de IPS no se base en software y con procesadores génericos sin importar el número de núcleos (Intel, AMD, etc) el IPS debe de inspeccionar los paquetes de capa 2 a capa 7 del modelo OSI de manera paralela másiva en donde puedan activarse todos los filtros y servicios seguridad de la solución de IPS sin afectar el desempeño de la red El IPS deberá de funcionar e implementarse transparentemente en capa dos sin afectar la conexión física de la red. En caso de que la consola de administración de la solución de IPS falle las bitácoras de administración deberán de poder obtenerse desde el sensor IPS. Montable en rack estándar de 19 pulgadas. Desempeño Latencia < 80 µs IPS throughput 1.5 Gbps Página 79 de 205

80 Network throughput 1.5 Gbps Conexiones por segundo 110,000 Sesiones concurrentes 6,000,000 Puertos 10 RJ-45 autosensing 10/100/1000 Ethernet, fibra óptica o cobre. Total de segmentos 5 Alta Disponibilidad Integración con otras soluciones de Seguridad Inspección de Tráfico Debe de tener capacidad de ponerse en modo de bypass interno en caso de fallas y permitir que el operador escoja si desea dejar pasar el tráfico o bloquearlo en su totalidad. Debe permitir al operado ponerla en modo bypass y regresarla a su estado de operación sin necesidad de reinicio. Debe de poder actualizar el sistema operativo sin interrupción del flujo de tráfico. Debe de tener mecanismos que detecten fallas de la plataforma de IPS y las reporten en su log del sistema. Debe contar con fuentes de poder redundante y que puedan remplazarse en caliente. Debe poder ser configurado en HA en modos activo-activo y activo-pasivo. Las actualizaciones de versión de sistema operativo que se apliquen no deben requerir del reinicio de la plataforma de IPS. En modo de HA la plataforma de IPS debe ser capaz de mandar y compartir tablas de bloqueo en ambos equipos IPS. Debe de estar basado en un marco extensible de seguridad que permita ampliar la protección de seguridad con servicios de seguridad, integración con soluciones de terceros, diversos paquetes de filtros para la protección y otros personalizados de acuerdo a las necesidades de la Comisión. Debe de tener un diseño modular que permita integrarse con soluciones de análisis de vulnerabilidades y análisis forense. Debe de inspeccionar simultáneamente payloads tanto en IPv4 como en IPv6. Debe soportar las variantes de entunelamiento 6in4, 4in6 y 6in6 sin excepción. Debe soportar inspección IPv6 con VLAN s y MPLS. Debe soportar completamente inspección de tráfico IPv4 móvil. Página 80 de 205

81 Debe soportar inspección de tráfico de jumbo frames. Protocolos/Aplicaciones Soportadas Políticas de Seguridad contra Ataques y Amenazas IP DNS VLAN IMAP TCP RPC NPLS SMB ICMP HTTP FTP TELNET SMTP UDP Para mayor seguridad y facilidad de administración se requiere que la plataforma de IPS, por omisión al salir de la caja, tenga habilitados filtros/firmas en modo bloqueo sin necesidad de periodos de aprendizaje ni afinación por parte del operador. Debe de poder extender la protección con base en servicios de reputación IP y de DNS para eliminar conexiones de origen maliciosas de Internet personalizadas por el usuario y proteger contra SPAM, bots, malware, atacantes conocidos y exploits. Debe de contar con filtros contra ataques mezclados (Blended). Debe de contar con técnicas de detección de ataques basadas en Vulnerabilidades. Debe de contar con filtros/firmas de protección contra ataques de día cero. Debe de contar con filtros para protección de la plataforma Oracle. Debe de contar con filtros de exploit y código malicioso. Debe de tener protección contra ataques en capas aplicativas con filtros contra php (include, inyección, evasión, etc.), contra cross site scriptiing y contra inyección de SQL. Debe de tener filtros de políticas de seguridad. Debe de contar con filtros contra ataques de reconocimiento. Página 81 de 205

82 Detección Anomalías de Debe de contar con técnicas de detección basadas en anomalías Protocol Anomaly Detection. Debe de contar con detección de ataques basados en firmas. Debe poder capturar tráfico y generar un archivo de PCAP sobre los filtros de protección para análisis forense. Debe de poder soportar trafico IP de-fragmentado y tener la capacidad de reensamblar los paquetes antes de enviarlos a su destino. Debe de contar con técnicas de normalización de tráfico y limpiado de la red de paquetes que consumen recursos en la red (IP/TCP/UDP/ICMP/ARP) Debe de tener la capacidad de proteger servidores web contra ataques de inyección de SQL, XSS, PHP file include e inyección de código, fallas de inyección, ejecución de archivos maliciosos, XSRF, referencias a objetos inseguros directos, fuga de información, autentificación y manejo de sesiones, almacenamiento criptográfico inseguro, comunicaciones inseguras, falla en la restricción de accesos URL. Debe poder detectar y proteger contra anomalías estadísticas, de protocolos y de aplicaciones. Filtros contra ataques Deberá denegar, permitir o controlar el ancho de banda (rate limit) de servicios de mensajería instantánea (IM), P2P, servicios de aplicaciones de música, video en línea (Streaming Media), Sitios Web no Productivos (Juegos). El fabricante de IPS deberá de tener soluciones para detectar anomalías o fragmentaciones ilegales en los protocolos y paquetes de VoIP. Categorías de filtros Worm Spyware Phising Virus Troyanos P2P VoIP Suspicious Reconnaissance Wlak-in Worm Bacdoor Página 82 de 205

83 DoS DDoS Bandwidth Hijacking Blended Threat Zero Day Initiative Acciones IPS Análisis de Alertas Bloquear Permitir Alertar Log Cuarentena Debe proveer información sobre el evento recibido con una descripción del ataque. Capacidad respuesta eventos Administración Consola Administración de sobre de Debe poder mandar notificaciones de eventos por y por SNMP. Se deberá entregar una consola de administración independiente del appliance IPS, la cual administre los equipos IPS s ofertados; dicha plataforma deberá ser del mismo fabricante de los equipos IPSs y específica para su administración total. Esta consola deberá contar con las siguientes características: Sistema de respuesta automática ante la ocurrencia de eventos de seguridad, tal como protección de cuarentena. Definición de políticas de seguridad Distribución automática de actualizaciones de seguridad (vacunas digitales) Configuración de los dispositivos de seguridad y monitoreo. Contener los logs de eventos para análisis forense Reportes de seguridad y análisis de tendencias Tablero de control Administración de ancho de banda Administración vía web Página 83 de 205

84 Licencia para soportar los IPS s ofertados CLI Interfaces Administración de Puerto Ethernet Puerto serial Panel frontal LCD Administración Deberá tener una pantalla LCD de status. Debe alertar en el momento de que haya una falla de enlace. Debe de alertar en el momento de que haya una falla de enlace. Al ser un dispositivo de inspección de paquetes a profundidad debe poder monitorear cuantos paquetes se están mandando a inspección profunda y poder obtener una representación gráfica. Deberá de poder monitorear sus signos vitales de manera gráfica en donde muestre el uso de CPU, de memoria, temperatura, desempeño e indicar cuando los puertos de inspección requieran revisión. Deberá de tener la capacidad de medir el tráfico que pasa por las diferentes interfaces, los tipos de trama, protocolos, el tamaño de la trama y poder generar una representación gráfica de estos. Debe de poder ser administrada a través de una consola y permitir configuraciones de interfaces, alertas, cambiar el estado de los filtros/firmas, poner el equipo en bypass, y ver el estado de la plataforma de IPS. La interfaz gráfica debe de mostrar en tiempo real los diferentes eventos, bloqueados y permitidos. El sistema de administración debe proporcionar información sobre los paquetes que pasan por la plataforma de IPS. Debe de mostrar tipo y cantidad de paquetes TCP, UDP, e ICMP y su promedio de tamaño. Debe de tener la capacidad de medir el tráfico que pasa por las diferentes interfaces del sistema y poder generar gráficas de tráfico de las interfaces.. Desde la línea de comando se debe de poder ver el estado de las interfaces, proporcionar información sobre el estado de la plataforma de IPS, incluyendo procesamiento y tráfico. Por línea de comando se debe de poder hacer todas las configuraciones de la plataforma de IPS. Debe tener los elementos necesarios de debug en caso de que sea necesario hacer un diagnóstico más profundo de la plataforma de IPS. La plataforma de IPS debe de permitir entrar a la línea de comando por conexión Página 84 de 205

85 Laboratorio investigación vulnerabilidades de de segura y cifrada por SSH. Las firmas digitales deben de ser actualizadas en la plataforma de IPS directamente sin necesidad de otro sistema de administración. La plataforma de IPS debe tener capacidad para salvar su configuración y restaurarla. Para brindar mayor seguridad y facilidad de administración se desea que la plataforma de Management venga ya con seguridad endurecida desde la fábrica. Debe proporcionar almacenamiento interno de los eventos. Debe de soportar SNMP v1, v2 y v3. Debe contener MIBS que puedan ser utilizadas por cualquier sistema de administración de red. Debe de soportar syslog para eventos de filtrado. La empresa debe de contar con personal dedicado a investigaciones y respuestas de incidentes. Se deben liberar actualizaciones de las vacunas digitales/firmas por lo menos una vez por semana. Solución de inteligencia y monitoreo de las últimas tendencias y vectores de ataque a nivel mundial Deberá contar con el respaldo de herramientas de inteligencia que monitoreen en tiempo real los últimos vectores y tendencias de ataque a nivel mundial y que se integren con la consola de administración y correlación de los eventos, proporcionando inteligencia en tiempo real contra las amenazas, Inteligencia de los filtros de IPS y optimización proactiva de la protección de la seguridad de red. Monitoreo actual del estado y panorama global de las amenazas. Deberá de inspeccionar cambios recientes en el panorama global de amenazas para las nuevas tendencias de ataques. Deberá de identificar y proporcionar información detallada por amenaza y visualizar los ataques más comunes por categoría. Deberá revisar y proporcionar las estadísticas de uso y revisión de los filtros de la solución de IPS. Deberá de comparar el perfil de los filtros de la solución de IPS contra el panorama actual de amenazas. Deberá de identificar los filtros de IPS que cubren las brechas de seguridad. Deberá de revisar la información de inteligencia de los filtros de la solución de IPS. Página 85 de 205

86 4.3.2 Firewall Perimetral Las características mínimas requeridas para los Firewall son las siguientes: FIREWALL PERIMETRAL Firewall Filtrado de Paquetes. ACL básica y extendida. Protocolos de capa de aplicación TCP/UDP: FTP, SMTP, HTTP, RTSP, H323, MSN, SIP. Defensa contra ataques (DoS/DDoS, ARP spoofing, paquetes ICMP grandes, escaneo de direcciones y puertos) Función de lista negra tanto estática como dinámica Función de binding de dirección MAC e IP. Desempeño Firewall throughput 3DES/AES VPN throughput Túneles IPSec Políticas de seguridad Conexiones por segundo Conexiones concurrentes VLAN s Puertos 8 Gbps 2 Gbps 5,000 20,000 60,000 2,000,000 4,000 8 autosensing 10/100/1000 Ethernet, fibra óptica o cobre. 1 RJ-45 serial para consola Modos de Operación Servicio AAA Enrutamiento Transparente Hibrido RADIUS Página 86 de 205

87 TACACS Fuentes de Alimentación Filtrado de Paquetes de Aplicación Específica, (ASPF) Logs y Estadísticas de Seguridad NAT Protocolos LAN Red Privada Virtual (VPN) Servicios IP Ruteo Al menos una fuente AC interna. Debe poder determinar si permite o impide el paso de un paquete mediante la verificación de la información del protocolo de la capa de aplicación (p.e. FTP, HTTP, SMTP, RTSP y otros protocolos de capa de aplicación basados en TCP/UDP). Bloqueo y detección Java/ActiveX Debe permitir el controlar el acceso a archivos compartidos de Microsoft usando CIFS, y que el administrador decida qué carpetas se pueden acceder y cuáles no. Log de los flujos del comportamiento de los usuarios. Log de conversión de NAT. Log de los ataques en tiempo real. Log de listas negras. Log del binding de direcciones. Log de alarmas de tráfico. Funcionalidad de análisis y estadísticas de tráfico. Funcionalidad de estadísticas de eventos de seguridad. Alarma en tiempo real vía correo electrónico. Mapeo de múltiples direcciones internas hacia una dirección de red pública. Mapeo de múltiples direcciones internas a múltiples direcciones públicas. Mapeo uno-a-uno de direcciones internas y direcciones de red pública. Acceso a un servidor interno por un host de red externa. Mapeo directo de una dirección interna a la dirección IP de la interface a la red pública q VLAN Deberá soportar: IPSec L2TP GRE IKE ARP Ruteo estático RIP OSPF BGP Policy routing IPv6 routing Página 87 de 205

88 Alta Disponibilidad Administración Consola de Administración Debe poder ser configurado en HA en modos activo-activo y activo-pasivo. Debe soportar redundancia a enlaces, sin la necesidad de una licencia adicional o software/hardware de terceros. Deberá ser una plataforma multinúcleo, y con la finalidad de incrementar el performance, los appliances (out of the box) deben soportar la multireplicación del kernel del firewall y permitir que corran en otros núcleos. Interface gráfica Web segura mediante HTTPS. Interface de línea de comando (CLI) segura mediante SSH. Niveles de privilegios de administrador y operador. SNMP v2c y v3 Monitoreo remoto. Soporte para FTP Configuración local a través del puerto de consola. Función de Log. NTP La comunicación entre la consola de administración y los firewall debe ser cifrada y autenticada. Se deberá entregar una consola de administración independiente del firewall, cual administre los equipos ofertados; dicha plataforma deberá ser del mismo fabricante de estos equipos y específica para su administración total. Esta consola deberá contar con las siguientes características: Definición de políticas de seguridad Distribución automática de actualizaciones de seguridad Configuración de los firewall y monitoreo. Contener los logs de eventos Reportes de seguridad y análisis de tendencias Tablero de control Administración vía web Licencia para soportar los firewall ofertados CLI Clientes de VPN Página 88 de 205

89 En adición al firewall ofertado, el licitante ganador deberá proporcionar a la Comisión el Licenciamiento necesario para la instalación de al menos 150 clientes de VPN para sistema operativo Windows 7, 8.1 y versiones superiores. El licitante ganador deberá realizar la actualización del software de clientes de VPN, durante la vigencia del contrato, de acuerdo a las necesidades de la Comisión. 4.4 RENOVACIÓN DEL EQUIPO DE SEGURIDAD La Comisión requiere de la renovación del equipamiento destinado para el Control de Acceso a la Red, NAC y, para el Filtrado de Contenido Control de Acceso a la Red, NAC Plataforma de siguiente generación, capaz de manejar políticas de identidad y control de acceso para mejorar la seguridad de la Infraestructura, reforzar el cumplimiento con políticas y agilizar la operación de los servicios. Esta arquitectura permite tener información contextual en tiempo real de las redes, los usuarios y dispositivos para que de una manera proactiva se tomen decisiones sobre el uso de la red cableada e inalámbrica y de usuarios remotos. Que proevea una administración centralizada para establecer políticas que combinen múltiples servicios, incluyendo autenticación, autorización y contabilidad (accounting) (AAA), perfilamiento, evaluación de posturas, incorporación de dispositivos, administración de visitantes, en una sola plataforma, lo cual reduzca la complejidad de la administración y provea consistencia a través de toda la red. Los administradores de la solución podrán de manera centralizada crear y administrar las políticas de control de acceso para usuarios y dispositivos de manera consistente y ganar visibilidad de punto a punto de todo dispositivo que es conectado a la red. Esta solución debe permitir la conectividad desde cualquier dispositivo de una manera segura, aminorando el riesgo de afectar a otros usuarios y manteniendo la privacidad de los recursos internos, entre sus características la solución debe incluir como mínimo: Una plataforma capaz de realizar el perfilamiento, revisión de postura, acceso a invitados, servicio de RADIUS en un solo equipo. Sera capaz de integrarse con servidores de certificados, firewall, directorio activo, LAN, WLAN y VPN. Control de acceso utilizando mecanismos como listas de acceso, asignación de VLAN s. Soporte de protocolos de autenticación PAP, MS-CHAP, PEAP, MS-CHAP, EAP-FAST, EAP-MD5, EAP-TLS. Proveer servicio de protección al dispositivo final, mediante acciones correctivas como cuarentena, retiro de cuarentena, desconexión (apagado del puerto). Página 89 de 205

90 Permitir autenticar y autorizar usuarios y dispositivos finales vía la red cableada, inalámbrica y desde redes privadas virtuales con políticas consistentes en de toda la Institución. Previene acceso no autorizado a la red para proteger los bienes de la red Institucional. Brindar una completa administración de los visitantes de la red. Brindar un portal configurable de autoservicio y la habilidad al anfitrión de configurar páginas web para facilitar a los dispositivos y visitantes un acceso automático y seguro, así como servicio de aprovisionamiento mejorando la total experiencia del usuario final dentro de los flujos de trabajo definidos por la institución. Ofrecer una total visibilidad de la red haciendo un descubrimiento de manera automática, clasificando y controlando los dispositivos conectados a la red para habilitar servicios apropiados por dispositivo. Manejar vulnerabilidades en máquinas de usuario mediante evaluaciones periódicas y remediación, para ayudar de manera proactiva a mitigar las amenazas como virus, gusanos y spyware. Reforzar las políticas de bloqueo, aislamiento y reparación de no cumplimiento de máquinas en área de cuarentena sin la necesidad de la atención del administrador. Ofrezcer una consola de monitoreo, reporteo y solución de problemas para asistir a los operadores de la mesa de ayuda y administradores en la distribución de las operaciones de la red. Permitir una granularidad fina, mientras identifica dispositivos en la red con un escaneo activo. Permitir configurar la solución en la parte de perfilamiento con dispositivos específicos, basado en políticas, apuntando a atributos específicos de dispositivos escaneados, dando como resultado mayor precisión y completa visibilidad de lo que está conectado a la red. Permitir una administración de acceso de dispositivos finales a la red, habilitando a los administradores para ejecutar una acción hacia un determinado dispositivo; por ejemplo, moverlo a una nueva VLAN, regresarlo a una VLAN original o aislar el dispositivo de la red entera, todo a través de una interface de administración. Control de Acceso a la Red, NAC Protocolos de AAA Protocolo RADIUS estandar Protocolos de autenticación Modelo de Configuración basado en Políticas PAP, MS-CHAP, Extensible Authentication Protocol (EAP)-MD5, Protected EAP (PEAP), EAP-Flexible Authentication via Secure Tunneling (FAST), and EAP- Transport Layer Security (TLS). Basado en reglas y manejo de atributos para crear políticas de control de acceso flexibles y relevantes. Brinda la habilidad para crear políticas con alta granularidad apoyándose en atributos basados en diccionarios predefinidos que Página 90 de 205

91 incluyen información del usuario e identidad del dispositivo final, validación de la postura, protocolos de autenticación, perfiles de identidad u otras fuentes de atributos externos. Los atributos también se pueden crear de forma dinámica y ser guardados para su uso posterior. Control de Acceso Perfilamiento Uso de Dispositivos Administración total de Invitados Posturamiento Servicio de Protección de Brinda un amplio rango de mecanismos de control, incluyendo listas de control de acceso descargables (dacls), asignación de VLANs, direccionamiento de URL s, y seguridad en grupos de acceso (SGA) mediante etiquetado. Plantillas predefinidas de dispositivos para una amplia gama de dispositivos finales como ip phones, impresoras, camaras ip, smartphones, tabletas entre otros. Los administradores también pueden crear sus propias platillas para dispositivos, que pueden ser usadas para que automáticamente detecten, clasifiquen y asocien identidades definidas para los dispositivos cuando son conectados a la red. Los administradores también pueden autorizar acceso de dispositivos finales con políticas específicas basados en su tipo. Colección de atributos de dispositivos finales de manera pasiva a través de telemetría en la red. A través de switches colectar atributos de dispositivos finales y entonces usar el estándar Radius, para pasar la información y poder clasificarlos y aplicar políticas. Permitir a los usuarios finales interactuar con un portal de autoservicio para proveer un vehículo de registro para todos los tipos de dispositivos, así como también de manera automática solicitar ser provisionados y contar con un certificado de enrolamiento para PCs y plataformas móviles de cómputo. Permitir total administración de los invitados, permitiéndoles acceder a la red por un tiempo limitado, ya sea a través del patrocinio del administrador o por la auto-firma a través de un portal de invitado. Los administradores deben porder configurar el portal y las políticas basándose en necesidades específicas de la Institución. Verificar la evaluación de la postura de dispositivos finales para computadoras y dispositivos móviles que se conectan a la red, a través de un agente persistente basado en el cliente o un agente temporal basado en web, para validar que el dispositivo final cumple con las políticas definidas. Ofrecer la posibilidad de crear políticas de gran alcance que incluyan pero no se limiten a verificar los últimos parches del sistema operativo, antivirus y antispyware con definición de variables de archivos (versión, fecha, etc), registros de (clave, valor, etc), y aplicaciones. La solución debe considerar los servicios de auto-remediación de los clientes de PC, así como también reevaluaciones periódicas para asegurarse de que el dispositivo final no está violando las políticas establecidas. Permitir a los administradores tomar rápidamente acciones correctivas Página 91 de 205

92 Dispositivo Final Administración Centralizada Administración Resolución de Problemas Opciones de Instalación y (cuarentena, quitar de cuarentena o apagado) de los dispositivos finales que ponen en riesgo o comprometen la seguridad de la red. Permitir a los administradores configurar y administrar centralmente perfiles, posturas e invitados y servicios de autenticación y autorización desde una única consola basada en Web. Incluir una consola web para monitoreo, reporte y resolución de problemas. Permitir elaborar reportes de información histórica y en tiempo real para todos los servicios. Disponible como dispositivo físico o virtual Filtrado de Contenido Se requiere de una solución que permita realizar el Filtrado de Contenido y que cuente con las siguientes características: Prevención de fuga de información saliente y controles de cumplimiento de normativas. Protección contra malware. Motor de clasificación avanzada. Análisis de seguridad en tiempo real. Clasificación de contenido en tiempo real. Control y visibilidad del tráfico SSL. Controles de aplicaciones avanzados. Generación de informes y administración de seguridad de contenidos unificada. Clasificación de contenido en tiempo real. Reservar ancho de banda para aplicaciones críticas APPLIANCE DE SEGURIDAD WEB Generales Distribución e Instalación Alta Disponibilidad Hardware necesario para operar de forma óptima. Debe ser un proxy para HTTP, HTTPS, FTP, FTP sobre HTTP, SOCKS y NNTP. Debe poseer tecnología de web caching para proveer mejoras adicionales en el desempeño de la red mediante el uso de contenido que sea reusable y de almacenamiento local. Debe soportar diversos modos de implementación: proxy explicito y proxy transparente. Debe poseer la capacidad de ser implementada en modo cluster, con soporte para políticas y configuración unificada para todos los componentes del arreglo lógico que hacen parte del cluster. Debe soportar configuraciones Activo-Activo y Activo-Pasivo para poseer alta Página 92 de 205

93 disponibilidad para el servicio de acceso web con el uso de failover que puede involucrar a 2 o más nodos. Integración Inspección de Tráfico Encriptado Clasificación de categoría y Análisis en Tiempo Real. Inspección de datos Debe soportar integración con servicios de Active Directory. Debe usar tecnología que permita desencriptación on-box de tráfico HTTPS para inspección profunda de dicho tráfico y aplicación de políticas en el mismo appliance. Debe permitir la administración de certificados digitales con el uso de una consola web desde donde también se debe permitir el uso de políticas globales y generación de reportes con el fin de disminuir las tareas administrativas. Debe prevenir ataques encriptados mediante la capacidad de realizar desencriptación de SSL en el Gateway. El malware en un canal encriptado deberá ser identificado mediante diferentes técnicas de fingerprinting. La solución deberá soportar integración con soluciones DLP (Data Leak Prevention) para realizar escaneo de HTTPS (SSL) sobre contenido saliente con el fin de prevenir pérdidas o fugas de información. Clasificación Dinámica en Tiempo Real Debe proveer clasificación por categorías de filtro de contenido (viajes, deportes, contenido adulto, etc) mediante la extracción de elementos (lenguaje natural, palabras clave, colores, fuentes, títulos, fondos) y clasificar este contenido en tiempo real usando algoritmos y base de datos de categorías propietaria del fabricante de la solución. Debe proveer análisis de seguridad en tiempo real con el fin de identificar y evitar amenazas como spyware, phishing, malware, entre otros. Debe contar con la capacidad de extraer componentes activos (scripts, exploits, código binario, imágenes, entre otros) que se encuentren dentro del contenido web que pueda activar cualquier actividad malintencionada. Debe proveer alta exactitud en la clasificación de sitios web. Clasificación de Seguridad en tiempo Real. Debe tener la capacidad de categorizar dinámicamente sitios web emergentes o sitios web desconocidos con contenido malicioso sin necesidad de consultar en la nube por dicha categoría. Debe detectar archivos embebidos y/o descargas por tipo de archivo o tamaño de archivo. Debe tener capacidad de descomprimir, remover o hacer buffer de archivos de acuerdo con las políticas configuradas. Debe bloquear aplicaciones para Windows maliciosas mediante el uso de Reconocimiento de Aplicaciones, Detección Avanzada de Aplicaciones y Análisis de Seguridad en Tiempo Real. La tecnología de Reconocimiento de Aplicaciones deberá usar firmas, hashes de aplicaciones y fingerprints para comparar contra una base de datos local antes de descargar archivos ejecutables; este análisis lo debe utilizar entiempo real y también en sitios con contenido estático. Deberá tener la capacidad de entender los sitios web, contenido web, aplicaciones y malware, más allá de la reputación misma del sitio considerando el uso y el contexto del mismo en Internet de manera que se logre un análisis del riesgo del sitio en tiempo real. Aun si un sitio confiable que goce de buena reputación es comprometido la solución deberá poder prevenir la amenaza. Debe poseer la capacidad de inspeccionar el contenido de documentos de forma nativa. Página 93 de 205

94 Filtrado Web La solución deberá tener la capacidad de entender la categoría del sitio, deberá tener la capacidad de identificar al usuario e identificar los datos en tiempo real con suficiente exactitud de manera que impida la publicación (post) de cualquier información que sea privada. Mediante la correcta clasificación del sitio, reputación y contenido actual del blog, la solución deberá poder prevenir que los usuarios y sistemas se comprometan o que se accese al blog de manera inapropiada. Deberá tener la capacidad de integrar Seguridad Web, Seguridad de Correo Electrónico y Seguridad para la prevención de fuga de información. Deberá tener la capacidad de proveer protección contra pérdida de datos, contenido no deseado y amenazas maliciosas, a través de combinar heurística, análisis binario, servicio de reputación,, análisis léxico, detección de patrones, análisis estadístico, procesamiento de lenguaje natural, data fingerprinting. Deberá tener la capacidad de administrar quien está autorizado a accesar sitios web específicos, contenido o aplicaciones sensibles en tiempo real. Aprovechar el potencial de las nuevas herramientas web sociales, de comunicación y colaboración como Facebook, LinkedIn, Twitter y otros servicios basados en la nube, sin amenazas de malware, nuevos ataques basados en la web que eluden el software antivirus y sin contenido inapropiado ni fuga de información confidencial. Debe contar con una clasificación de URL s dentro de categorías diferentes en una base de datos propietaria del fabricante de la solución. Debe tener una base de datos de protocolos. Debe realizar actualizaciones diarias, con descargas incrementales con opción de actualizaciones dinámicas y desatendidas. Debe tener categorías separadas para sitios web que afectan el tiempo de productividad de los empleados y sitios que afectan el ancho de banda del acceso a internet. Debe tener una categoría separada para Seguridad: allí deben estar contenidos sitios web que presentan amenazas como Spyware, MMC (Mobile Malicious Code) y Phishing. Adicionalmente debe tener capacidad para controlar bot s. Deberá garantizar que nuevas páginas cuyo contenido represente riesgos a la seguridad sean agregadas automáticamente a la lista de URL s durante el transcurso del día y de manera automatizada aparte de la clasificación que ya realiza en forma dinámica con motores analíticos locales. Si un sitio se encuentra infectado con códigos móviles maliciosos o el nombre y la URL utilizada en ataques de phishing, ataques fraudulentos u otros ataques maliciosos, notificar a la organización con detalles del ataque de modo que se puedan tomar medidas. Deberá permitir la reclasificación manual de cualquier página Web según las necesidades de la Comisión. Deberá permitir el bloqueo de páginas que pertenezcan a categorías permitidas, pero cuya URL posea ciertas palabras-clave. Deberá permitir el acceso a páginas de ciertas categorías, pero bloquear el intento de ciertos tipos de archivo (tales como video, audio, archivos comprimidos, ejecutables, documentos, etc.) desde dichas páginas. Deberá permitir la definición de políticas por IP, rangos de IP s, usuarios y grupos del servicio de directorio para HTTP(S)/FTP sobre HTTP, Dominios del Microsoft Active Directory. Deberá permitir la definición de una política general que aplique a aquellos usuarios que no tengan una política específica asignada. Deberá permitir diferentes tipos de bloqueo por horarios del día y días de la semana para cualquiera de las políticas definidas. Página 94 de 205

95 Deberá permitir la definición de montos de cuotas de tiempo distintos para usuarios de grupos distintos, para usuarios específicos y para los usuarios generales. Protocolos, Control de BW y Tipo de Archivo Administración de Protocolos Debe manejar protocolos IM, P2P y streaming media, entre otros. Debe actualizar su lista de protocolos de manera dinámica. La solución debe tener la capacidad de aplicar políticas basadas en protocolos. Administración de Ancho de Banda Debe tener la capacidad de asignar umbrales de ancho de banda para URL s, categorías de URL, protocolos y categorías de protocolos. Debe permitir aplicar políticas de ancho de banda para usuarios y grupos. Los empleados deben ser notificados cuando sobrepasen los límites de ancho de banda. Administración por Tipo de Archivo Administración de Archivos Adjuntos de Mensajería Instantánea Filtrado Usuarios Móviles Administración Reportes Debe soportar filtrado por tipo de archivo (keyword). Debe permitir administrar el acceso por categoría del sitio web y por grupo de tipo de archivo (por ejemplo bloquear archivos de audio en sitios de deportes pero permitirlo en sitios de finanzas). Debe permitir actualizaciones automáticas para la base de datos que contiene los tipos de archivos. Debe tener la capacidad de bloquear archivos enviados/recibidos por IM. Debe permitir aplicar políticas para transferencia de archivos por IM con base en usuarios, direcciones IP, segmentos de red o grupos de directorio. La administración de las políticas para envío/recepción de archivos debe ser parte integral de la solución y debe configurarse desde la consola central del producto. Debe proveer y soportar la aplicación de políticas de uso de internet para usuarios móviles y remotos. La administración de las políticas de uso de internet para usuarios móviles y remotos debe realizarse desde la consola central de la solución. Debe tener una consola Web para administración y generación de reportes. Debe soportar diferentes tipos de usuarios. Las actividades ejecutadas por los administradores deben ser auditables. Debe contar con reportes tipo drill down que se puedan generar y consultar desde la consola web. Estos reportes deben proveer datos históricos y deben tener plantillas predefinidas que puedan ser utilizadas. Debe proveer reportes MRTG para análisis detallado del tráfico de red. Debe proveer información del desempeño del cache y de los recursos en uso. Debe tener la capacidad de delegar la generación de reportes históricos y en línea. Deberá contar con una base de datos para el almacenamiento de registros de actividades y un mecanismo de mantenimiento para ésta, inclusive permitir la programación de tareas automáticas. Deberá poseer interfaz de generación de reportes basados en templates predefinidos, los cuales deberán permitir el filtrado por usuarios, grupos de usuarios, categorías, clases de riesgos, acción tomada por el sistema, fechas y rangos de fechas. La interfaz de generación de reportes deberá permitir la generación de resúmenes, Página 95 de 205

96 Seguridad Web reportes detallados, gráficas y tablas sencillas. La interfaz de generación de reportes deberá permitir exportar los reportes generados. La interfaz de generación de reportes deberá permitir la programación de múltiples tareas de elaboración de reportes predeterminados, en horarios y días de la semana predefinidos y, enviarlos por correo electrónico. La interfaz de acceso directo a los registros de log deberá permitir la personalización de los reportes. Se podrán generar reportes de Riesgos de Seguridad presentes, como usuarios/ip s que han sido atacados con Spyware, Phising, Adware, Keyloggers, etc. Así como el consumo de BW correspondiente. Se podrá configurar que se manden alertas en tiempo real, a correo electrónico o en pantalla, sobre estos riesgos, a detalle, con información sobre Usuario/IP, Categoría accedida, Sitio/URL, IP del Sitio, la disposición (si fue bloqueada o permitida de acuerdo a las políticas), hora y fecha. La interfaz de acceso directo a los registros de log deberá permitir que cada criterio de datos se pueda expandir según otro criterio, generando informes de múltiples niveles. Deberá poseer interfaz de monitoreo en tiempo real basada en Web. Los templates pueden ser modificados para agregar o eliminar variables y manejar los tipos de gráficos. Para nuevos sitios web que presenten amenazas de seguridad y que sean identificados, se debe enviar actualizaciones en tiempo real hacia la solución de forma tal que se provea protección inmediata. Estas actualizaciones deben ser independientes a las que se realizan sobre la base de datos maestra donde se contienen todas las categorías. Las actualizaciones de seguridad que se realizan en tiempo real, deben tener capacidad de ser entregadas durante las 24 horas del día. Debe proveer protección contra amenazas mixtas web y mitigando este tipo de amenazas que usan combinación de enlaces web y Solución SIEM (Gestión de Eventos de Seguridad de la Información) Las características mínimas requeridas para el Correlacionador de Eventos son las siguientes: SOLUCIÓN SIEM Generales Hardware y Sotfware necesario para su funcionamiento óptimo. Funcionar en servidores Windows 2008 R2, 2012 R2 a 64 bits y que capture decenas de miles de eventos por segundo. Obtener avisos en tiempo real de eventos provenientes de varias fuentes. Asegurando recibir notificación inmediata de las actividades sospechosas de seguridad informática. Los avisos pueden enviarse por correo electrónico o directamente a la consola. Tener un almacenamiento eficiente de archivos de registro de actividades. Contar con un agente opcional que permita enviar los eventos de syslog o event viewer de manera encriptada desde servidores Windows y Linux en las siguientes versiones: Página 96 de 205

97 Actividades básicas Contar o Windows Server 2003 o Windows 2008 Server o Windows 2012 Server o Windows 7 o Windows 8 o RHEL 6 Extensa compatibilidad con dispositivos y aplicaciones Esquema dinámico de archivos de registro de actividades. Funciones de búsqueda. Consultas e informes de tipo SQL. Gestión de eventos de seguridad. Base de datos de eventos Tablero de seguridad y vistas de eventos Búsqueda completa de correlaciones. Visualización del flujo de eventos históricos del tipo reproducción de película Gestión de eventos y archivos de registro de actividades en una misma solución. Informes de cumplimiento. Evalución, detección y registro de actividades o eventos para la seguridad de la infraestructura tecnológica. Búsquedas Desempeño Integración Visibilidad Realizar búsquedas no estructuradas en texto no procesado y generar informes totalmente estructurados con datos normalizados de la Infraestructura tecnológica; identificando los eventos y archivos de registro de actividades para la seguridad de la Institución Se logra al escribir los datos de los archivos de registro de actividades en su formato original en archivos de texto planos con alto nivel de comprensión. Es capaz de proveer funciones de búsqueda, consulta e informes de alta velocidad directamente desde el archivo plano. Al realizar la búsqueda no estructuradas en texto no procesado y generar informes, no debe ser necesario usar una Base de datos SQL. Incorporar la gestión de eventos y archivos de registro de actividades en uno mismo. Capturar todos los datos necesarios de los archivos de registro de actividades y almacenarlos en su formato original, sin procesar, para asegurar su integridad análisis forenses. Cumplir con políticas normativas como PCI, NERC, NIST. Mostrar todos los eventos en la infraestructura de TI, ampliando y explorando cualquier actividad sospechosa para conocer detalles. Página 97 de 205

98 Análisis forense Manejo de logs Manejo de eventos Capturar todos los eventos de seguridad informática, permitiendo así realizar fácilmente un análisis forense detallado. Cuando recopile datos de archivos de registro de actividades, debe cifrarlos y aplicar un algoritmo de suma de comprobación para asegurar la integridad de los datos antes de almacenarlos como un archivo plano. Debe cumplir con una completa generación de informes y consultas complejas que se requiere para los informes de cumplimiento y los análisis forenses. Incluyendo avisos condicionales en tiempo real, de modo que entere de inmediato de las actividades sospechosas. Debe utilizar el mismo código base y la misma interfaz de usuario, permitiendo añadir fácilmente la gestión de eventos de seguridad a sus capacidades de gestión de archivos de registro de actividades. Activando la base de Datos de eventos que almacena los avisos, eventos de interés y datos de vulnerabilidad, permitiéndolas interactuar. Los eventos de seguridad mostrados a través del tablero de seguridad en tiempo real deben permitir un análisis forense detallado. Debe incluir un sistema de boletas de eventos básico, que asegure la prioridad y atención de los eventos de seguridad críticos. Archivo de registro Avisos en tiempo Real Informes de cumplimiento Almacenamiento eficiente Formatos de archivo de registro de actividades compatibles Funciones de búsqueda Gestión de eventos de seguridad Debe funcionar en servidores Windows y capturar decenas de miles de eventos por segundo (EPS). Asegura recibir una notificación inmediata de las actividades sospechosas. Los avisos pueden enviarse por correo electrónico, ejecución de script o directamente a la consola. Deben usarse políticas normativas como: PCI, NIST, NERC. Capturar archivos de registro de actividades, comprimirlos, cifrarlos y almacenarlos en un archivo plano. De modo que se puedan utilizar medios de almacenamiento estándar como SAN y NAS, evitando así una arquitectura de datos de 2 niveles. Syslog UDP/TCP, SNMP v1-3, Bases de Datos, Windows WMI, Cisco SDEE, SQL, FTP, SFTP, File Copy y CheckPoint OPSECI. Búsqueda de texto en formato libre, como el Google, permitiendo tener acceso rápido a evidencia forense y a la búsqueda de eventos en los datos no procesados de los archivos de registro de actividades. Permitir correlacionar avisos, eventos y datos de vulnerabilidades para Página 98 de 205

99 determinra los eventos que presentan riesgos de Seguridad. Bases de datos de eventos Tableros de sseguridad Análisis forense Reglas Flujo de eventos Ofrecer el apoyo para crear y usar la base de datos de eventos, almacenando los eventos de interés actual para una presentación rápida, análisis e investigación minuciosa. Que sea compatible con las bases de Datos MySQL y Microsoft SQL. Ofrecer una vista centralizada del tablero de seguridad, con los avisos, eventos y puntos de vulnerabilidad de su estructura, pudiendo controlar mejor los riesgos de seguridad realizando una investigación dinámica y minuciosa de las áreas que requieren mayor seguridad. Ofrecer a los analistas de seguridad las herramientas necesarias para dar seguimiento al estado de seguridad de la organización e investigar con rapidez los incidentes sospechosos para detectar la causa probable, impacto y efectos. Crear reglas de correlacion con una interfaz gráfica, tipo arrastrar y pegar permitiendo crearlas y personalizarlas con rapidez para identificar las complejas combinaciones de eventos que deben notificarse. Generar automáticamente un diagrama gráfico de relación de eventos y ofrecer una herramienta forense adicional para identificar con precisión las partes de la infraestructura de TI afectadas por un incidente en particular mediante la reproducción de eventos para identificar cómo entró el ataque y se dispersó por la red. Reportes Informe para un equipo determinado con el estado de todos los eventos durante un periodo determinado Tableros personalizados Diagrama de eventos, con enlaces codificados por color entre los nodos para mostrar los eventos de mayor prioridad que fluyeron con cada uno. 4.5 UPS Debido a que la infraestructura de hardware es propiedad del licitante ganador, este deberá de considerar dentro de su propuesta un sistema de respaldo de energía capaz de soportar y garantizar el correcto funcionamiento y operación de la solución. Por lo que deberá de proveer: Un equipo en arreglo redundante distribuido N+1 (al menos 2 equipos) de al menos 10 KVA s para el Centro de Datos. Página 99 de 205

100 UPS con la capacidad necesaria para que los equipos de comunicaciones ofertados operen de forma optima en cada una de las oficinas en donde se instale equipo (Oficinas centrales Villalpando y Universidad - y Delegaciones Regionales). El proveedor deberá considerar todo lo necesario para su instalación y puesta a punto, incluidos, pero no limitados a, energía eléctrica, tierra física, etc. 4.6 SUMINISTRO E INSTALACIÓN DE CABLEADO ESTRUCTURADO EN DELEGACIONES REGIONALES El licitante deberá incluir en su oferta técnica y económica todos los materiales, accesorios, mano de obra, etc. para la instalación, operación y puesta a punto de aproximadamente 53 nodos de cableado estructurado categoría 6, distribuidos de la siguiente manera: Delegación Regional No Nodos Nota Mérida 20 Chihuahua 33 A futuro Consideraciones Generales para el Sistema de Cableado Estructurado. Se requiere un sistema integral de cableado estructurado para datos que combine cableado horizontal de cobre UTP categoría 6 que debe cumplir con la versión más reciente de los estándares internacionales de la ISO/IEC y la EIA/TIA-568, que normalizan dichos sistemas. El sistema de cableado propuesto debe ser de un solo fabricante en todos sus componentes para cableado horizontal (cordones, paneles de parcheo, jacks, cables de cobre UTP). El cableado UTP corresponderá a categoría 6 para aplicaciones de hasta 200 MHz de ancho de banda. Se requiere la identificación del cableado horizontal en las placas de salida, en los extremos del cable UTP horizontal tanto del lado IDF como del lado del área de trabajo y en los puertos de los paneles de parcheo. Cada etiquetación se debe hacer con identificadores apropiados para cada caso, que sean altamente legibles y que se mantengan permanentemente sin riesgo de caerse o desvanecerse por el paso del tiempo. Página 100 de 205

101 Los sistemas de administración, para el cableado UTP, deberán estar localizados dentro de los IDF s descritos en el presente documento. Los IDF s estarán diseñados considerando un crecimiento del 20% como mínimo y deberán ser contemplados en la propuesta del sistema integral del cableado estructurado. Al final de los trabajos de instalación se deberá entregar la Memoria Técnica (original y una copia), que refleje los aspectos técnicos del cableado implementado. Dicha memoria deberá ser revisada y autorizada en conjunto del licitante ganador y personal responsable de la CNSF. a) Cableado horizontal La distancia máxima de tiradas individuales de cable UTP a partir de los IDF s hasta las placas de salida no deberá exceder de 90 m de longitud total. El sistema de cableado horizontal comprenderá los elementos de conexión necesarios para establecer enlaces permanentes entre las placas de salida y los puertos en panel de parcheo instalado en rack dentro del IDF. En esos enlaces, un extremo de cada cable UTP se rematará en el jack modular montado en la placa de salida del área de trabajo y el otro extremo del cable UTP se rematará en el jack modular montado en un panel de parcheo instalado dentro del IDF. El cableado horizontal deberá rematarse en las Placas de Salida en cada Área de Trabajo y en Paneles de parcheo de 24 puertos. b) Cable UTP Las tiradas de cable UTP deben ser individuales. El cable deberá ser UTP de 4-pares, tipo CM, categoría 6 y deberá tener impreso en el mismo recubrimiento del cable la siguiente información: categoría del cable, cuenta descendente en metros (equivalente en pies) cumplimiento de normas. ANSI/TIA/EIA-568-B.2-1,ISO nd Edition Class E and IEC En caso contrario, deberá comprobar esta información por medio de ficha de datos técnicos o catálogo, anexos a su propuesta técnica., siempre y cuando el número de parte presentado en el catálogo corresponda al que esté impreso en el cable. c) Jack modular La terminación mecánica de los cables horizontales en el área de trabajo y en los paneles de parcheo dentro de los IDF s, será en conectores tipo jack RJ45 categoría 6, los cuales deberán permitir configuraciones T568-A y T568B. Página 101 de 205

102 La conexión mecánica entre los 8 conductores del UTP horizontal y las 8 posiciones IDC del jack deberá cumplir con normativa de ANSI/TIA-968-A. y su desempeño de acuerdo a: Cat6/Clase E rendimiento de canal: TIA/EIA-568-C.2 Cat 6, ISO ª edición clase E, Aprobación UL 1863; deberá comprobar esta información por medio de ficha de datos técnicos o catálogo anexos a su propuesta técnica. d) Placas de Salida. Las placas de salida de pared para Área de Trabajo deberán ser para 1, 2 o 4 jacks RJ45 y deberán incluir módulos ciegos para cubrir los espacios no ocupados. No deberán ser visibles los tornillos de montaje y deberán contar con porta etiqueta integrado. e) Cordones de parcheo UTP Los cordones de parcheo en el área de trabajo e IDF, deben estar fabricados con cable UTP conformado de 4 pares de conductores categoría 6. Los cordones tendrán terminados ambos extremos con plugs RJ45. Ensamblados y probados en fábrica, deben incluir bota libera tensión permanente en cada uno de sus extremos con la finalidad de no permitir deformación, evitando con esto que el desempeño del sistema se degrade, respetando el radio de curvatura mínimo de una pulgada entre el plug y el cable del cordón. No se aceptarán propuestas en las cuales las botas sean ensambladas en campo o que éstas no sean incluidas como único componente. La longitud de estos cordones deberá ser de 7 pies para el área de trabajo (25 por delegación), con la finalidad de conectar las salidas RJ45 de las placas de salida con los puertos de los equipos. Para los IDF s debe ser de 5 pies (25 por delegación), con la finalidad de conectar los puertos RJ45 de los paneles de parcheo con los puertos RJ45 de los equipos activos. cumplir con normativa de ANSI/TIA-968-A. y su desempeño de acuerdo a: Cat6/Clase E rendimiento de canal: TIA/EIA-568-C.2 Cat 6, ISO ª edición clase E, Aprobación UL 1863; deberá comprobar esta información por medio de ficha de datos técnicos o catálogo anexos a su propuesta técnica. f) Paneles de Parcheo UTP. La conexión mecánica del cableado horizontal de datos en los IDF s será en paneles de parcheo (1 por delegación) de categoría 6 de 24 puertos 1 UR, del tipo angulado, equipados con jacks modulares RJ45. Deben permitir configuraciones 568A y 568B y serán montados en racks de 19. Deben tener por la parte frontal ventanas para identificación de nodos y de servicios. deberá cumplir con normativa de ANSI/TIA-968-A. y su desempeño de acuerdo a: Cat6/Clase E rendimiento de canal: TIA/EIA-568-C.2 Cat 6, ISO ª edición clase E, Aprobación UL1863. Página 102 de 205

103 g) Racks La instalación de paneles de parcheo, organizadores, etc., será en rack EIA estándar de 19 pulgadas de frente. Los racks deben fijarse al piso con anclas antisísmicas; también deben ser puestos a tierra con un cable de unión a tierra aislado # 6 AWG conectado en su otro extremo a sistema existente, el material del rack deberá ser de aluminio, 45 Unidades de Rack (1 por delegación). h) Organizadores de cableado horizontales y verticales. Para la buena administración en los IDF s de los cordones de parcheo, se colocarán organizadores de cableado horizontales, con canal frontal y trasero, de 2UR (3 por delegación); y verticales (2 por delegación) con canal frontal y trasero con doble cubierta, retenedor de cable, y soporte de montaje lateral. 45 UR, para montaje en rack de 19". Los organizadores deben tener tapa frontal abatible y desmontable, de plástico ABS, de la misma marca de fábrica del sistema de cableado. i) Prácticas de Instalación De los IDF s a las áreas de trabajo localizadas en muro sólido o de tabla roca, los cables serán llevados por escalerilla o tubería rígida de acero de pared delgada. Sólo se permitirá el uso de tramos menores a 1 m de tubo flexible para juntas mecánicas. La canalización será a través del falso plafón y ahogada en muro (permanente o de tabla roca), evitando la proximidad a fuentes de interferencia electromagnética (EMI) previstas en la norma ANSI/EIA/TIA-569-A cuidando que la separación mínima con líneas portadoras de energía eléctrica, en recorridos en paralelo no sea menor a 12.5 cm y/o que sean perpendiculares en su recorrido. El llenado de la canalización no deberá exceder de 40% en tubería de acero y de 60% en escalerilla. Las canalizaciones hechas con tubo de acero no deberán tener más de una bayoneta y la pendiente máxima no deberá exceder de 45. Las cajas para las placas de salida instaladas en muro deberán ser de 4 x 4 con tapa de reducción y que se permita alojar la holgura de cable UTP mínima de 15 cm sin que se produzcan aplastamientos o deformación de los cables al fijar la placa de salida a la caja. La soportaría de escalerilla deberá estar espaciada a no más de 1.8 m y deberá incluir los correspondientes columpios de unicanal y Varillas/roscadas anclada a la loza con anclas del tamaño adecuado a la carga que deba soportar cada tramo de escalerilla. Los tubos de acero de pared delgada, deberán sujetarse a la escalerilla con abrazaderas U, y con abrazaderas de pera a la loza. Los tramos de escalerilla deberán instalarse con los accesorios que sean necesarios tales como acopladores, curvas, reducciones, o derivaciones en T. Página 103 de 205

104 En cuanto a los tubos de acero, estos deberán prepararse para que se elimine bordes filosos y en todos los casos se deberá incluir contra y monitor al acoplarse a cajas para cambio de dirección o para placas de salida. Canalización Visible a base de canaleta PVC, con empleo de caja Universal. 60x40mm (Hasta 18 ser max) 1 via 17x37mm (Hasta 6 ser max) 1 via 20x23mm (Hasta 3 ser max) 1 via Para el caso de áreas de trabajo en mamparas de muebles modulares en áreas abiertas, no se requiere de la instalación de canaleta ni ductería. Solo se requiere acoplar la tubería canalizada a esos muebles con tubo flexible. No se requiere la instalación de canalizaciones dentro de los muebles modulares ya que dichos muebles dispondrán de espacios y canales adecuados y tapas o superficie adecuada para la fijación de las placas salida. El tipo y color de las placas deberá mantenerse uniforme en todas las salidas solicitadas de cableado estructurado. Las placas de Salida no deberán tener tornillos de montaje visibles. Deberán contar con porta etiqueta integrado. Se considerarán las prácticas del buen cableado, como son: nivel de torcido de acuerdo a la categoría, minimizar la parte desnuda en las terminales, no dejar suspendidos los cables, no apretar demasiado los paquetes de cables, no doblar el cable más de lo especificado por la norma y usar patch cords correspondientes a la categoría. Se incluirán todos los accesorios de acoplamiento, incluyendo los que se requieran entre tubería y escalerilla. Todos los servicios de voz se deben rematar a 8 hilos. La estructura del cableado debe permitir un crecimiento continuo sin alterar los niveles de servicio ofrecidos, es decir que las salidas del sistema de cableado se deben poder incrementar sin interrumpir el servicio. Las salidas de voz y datos deberán colocarse como mínimo a 35 cm. sobre el nivel del piso, a fin de evitar la acumulación de polvo y humedad en el JACK. La mayoría de los servicios deberán ser montados sobre las paredes, sin embargo, cuando esto no sea posible y se requiera un punto de servicio aislado de la pared, se deberá buscar una alternativa para evitar la colocación de canaleta o tubería en áreas de paso de personal. Todo el sistema de tubería deberá quedar perfectamente acoplado, utilizando los componentes de acoplamiento requeridos, tales como coples, curvas, conectores, cajas de paso, etc. Se deberá proyectar la instalación de cajas de registro o de paso a lo largo de trayectorias largas, cada 20 metros y en cada cambio de dirección, con el objeto de facilitar la instalación y su mantenimiento Normatividad Aplicable Las normas aplicables deberán corresponder a la versión más reciente, incluyendo todas las adiciones o enmiendas a éstas que sean aplicables al tipo de cableado y estructura del edificio. Página 104 de 205

105 Las consideraciones técnicas del sistema de cableado estructurado de Telecomunicaciones se basan en su totalidad en las siguientes normas internacionales o su equivalente en las normas nacionales; NORMAS INTERNACIONALES; ANSI/TIA/EIA-569, ANSI/TIA/EIA-568-B, ANSI/TIA/EIA-607, ANSI/TIA/EIA-606, ANSI/EIA/TIA 598, ISO/IEC 11801,NORMAS NACIONALES; NMX-I-248-NYCE-2005 "Cableado estructurado genérico - Cableado de telecomunicaciones para edificios comerciales - Especificaciones y métodos de prueba" NMX-I- 279-NYCE-2001 Telecomunicaciones Cableado Cableado estructurado Canalización y espacios para cableados de telecomunicaciones en edificios comerciales, NOM 001 SEDE :2005. En estos documentos se establecen las especificaciones de carácter técnico que deben cumplir las instalaciones de telecomunicaciones Cumplimiento de Características Técnicas. Para la evaluación de las características técnicas, el proveedor deberá de anexar la documentación técnica emitida por el fabricante como catálogos o folletos mismas que comprueben las especificaciones técnicas declaradas en su propuesta. Los datos que no se encuentren en dicha documentación y que no se tenga manera de comprobar su veracidad, no serán considerados. En caso de que las especificaciones sean en otro idioma que el español, se acepta documentos en el idioma de origen siempre y cuando se acompañen de una traducción simple al idioma español Memoria Técnica La memoria técnica deberá presentarse en forma impresa y electrónica. Además de incluir los documentos en su formato fuente original, se requiere se incluya una copia de la totalidad de la memoria de modo obligatorio en formato pdf. Esta deberá contener, pero no limitarse a lo siguiente: a) Descripción del Proyecto / datos generales / resumen ejecutivo. b) Descripción de Sistema Integral de Cableado Estructurado. c) Fichas técnicas de los elementos de conectividad instalados. d) Planos de la red que incluya ubicación IDF s; nodos; trayectorias de escalerillas, canaletas, etc.). e) Diagramas de conexión de los IDF s. f) Tabla de ubicación de nodos que incluya: ubicación de cada salida; identificación de salida en planos, panel de parcheo, etiqueta en placa modular, número de puerto del equipo, g) Descripción de la nomenclatura de la identificación/etiquetación de los nodos. h) Reporte impreso del 100% de las pruebas de canal realizadas de cada nodo de datos cumpliendo con las normas EIA/TIA 568, ISO/IEC especificando el nodo al que corresponda Aceptación final Página 105 de 205

106 a) Pruebas Cableado Horizontal. Se deberá realizar pruebas al 100% de los nodos de datos de la red mediante un escáner para redes, el medidor deberá caracterizarse para el método prueba de enlace permanente con base a la EIA/TIA e ISO/IEC de acuerdo a la categoría del cableado instalado. Las pruebas se harán con un medidor certificado y calibrado para pruebas de cableado de mínimo 350 MHz que muestre además del margen de la medición en decibeles (db) para cada combinación de pares. MAPEO, LONGITUD, IMPEDANCIA DEL CANAL, ATENUACION, NEXT, ELFEXT, ACR, PSNEXT, PSELFEXT, PSACR, SRL, DELAY, DELAY SKEW, LR. Los reportes impresos de cada prueba deberán contener las gráfica correspondiente a cada parámetro requerido. Sin excepción, el reporte de prueba realizada a cada nodo, deberá mostrar un margen de paso libre en el peor caso no menor a 2 db en enlace permanente. b) Visita de inspección para validación de actividades realizadas Se deberá efectuar una visita de inspección por parte del licitante ganador en presencia del usuario, para validar que la instalación está libre de vicios. Y en caso de haber sido necesario, deberá incluir un reporte con las correcciones obligatorias a efectuar como resultado de la visita de inspección. Ese reporte deberá ser firmado por ambas partes Garantías El licitante ganador en forma directa, debe garantizar las aplicaciones por toda la vida útil del cableado y garantizar los componentes pasivos del cableado por un mínimo de 25 años contra defectos de manufactura, incluyendo sin ningún costo la mano de obra requerida para cualquier reparación. Para garantizar la correcta instalación y funcionamiento del cableado, se deberán realizar pruebas al 100% de la red con un escáner para redes en base a la propuesta para cableado categoría 6 de EIA/TIA 568B e ISO/IEC Sistema de Tierra Física. Se deberá realizar un sistema de tierra física para la red de telecomunicaciones por Delegación; las especificaciones técnicas para su instalación son las siguientes: a) Cable tipo THW calibre No. 1/0 desnudo, b) Tres varillas Cooper-Weld de 19 mm de diámetro x 3.05 m de longitud, formando una delta cuya distancia entre punto y punto sea de 3 m. La unión con el cable 1/0 deberá ser Cadweld (soldadura exotérmica). Página 106 de 205

107 c) Placas de cobre para tierra física de 10 cm x 30 cm. para instalarse en cada IDF. d) Cable tipo TWH calibre No. 6 forrado, para cableado de distribución hacia los rack s. Conectores para cable calibre No. 6 para tierra física. Intensificador de resistencia a tierra mediante mezcla para sistema de tierra física:a base de polvo de carbon. Con esta mezcla se rellena la perforación colocando la varilla de cobre en el centro, El material de refuerzo de tierra debe ser permanente, no debe requerir mantenimiento (no debe necesitar recargarse con sales ni substancias químicas que puedan ser corrosivas) y debe conservar su resistencia a tierra con el paso del tiempo. Debe instalarse firmemente sin descomposición. e) La resistencia máxima del sistema debe ser 5 ohm. f) Distancia de sistema tierras a IDF, 40m Equipos de Energía Ininterrumpible (UPS) El licitante ganador deberá suministrar e instalar 1 equipo de energía ininterrumpible (UPS) para cada IDF en las Delegaciones Regionales. Las características mínimas de estos deberán ser las necesarias para operar de forma óptima los equipos y cumplir los niveles de servicio establecidos. Instalación equipos delegaciones Suministro e instalación de: interruptor de entrada a UPS, conductores, canalización y soportería, toma corriente, distancia 15m. Mantenimiento de equipos de energía ininterrumpible (UPS). Posterior al suministro de equipos y durante la vigencia del servicio, el licitante ganador deberá extender una póliza de mantenimiento para la totalidad de equipos UPS, bajo el siguiente alcance: Tipo de Mantto Frecuencia Tiempo de respuesta Refacciones Preventivo Cuatrimestral Programado Consumibles y refacciones menores implícitas en la rutina de mantenimiento Correctivo Por requerimiento DF, 4 hrs. DR, 8 hrs. Consumibles y refacciones requeridas. Rutina de servicio: a) Verificación de las condiciones del sistema con carga: Voltaje de rectificador. Voltaje de entrada del inversor. Voltaje de salida del inversor. Página 107 de 205

108 Corriente del rectificador. Consumo de corriente a plena carga. Revisión del sistema de ventilación interna. Revisión del estado de señalización de alarmas. b) Revisar las condiciones generales del sistema en bypass. c) Corrección de los voltajes de ajuste en las tarjetas de control en su caso. d) Verificar la sincronía del sistema con la acometida principal. e) Limpieza exterior del equipo. f) Desconexión de equipo para trabajo sin carga o desvío a Bypass (verificar disponibilidad de apagado de carga). g) Aspirado del interior del equipo. h) Limpieza de los circuitos y contactos del sistema. Limpieza y lubricación del interruptor de alimentación de la fuente de poder de control. i) Revisión del cableado de potencia, señalización y control. j) Revisión estática de los componentes de potencia. k) Con el sistema operando y sin carga simular una falla en la alimentación principal y comprobar que el sistema señalice correctamente verificando que no existe interrupción hacia la carga. l) Limpieza de baterías neutralizando posible contaminación en las terminales y remplazo en caso necesario. m) Medición de voltajes de batería. n) Limpieza integral del banco de baterías o) Reemplazo de refacciones sin costo para la CNSF Requisitos a) El licitante debe presentar en su oferta técnica, las especificaciones originales que demuestren que los materiales ofertados, cumplen con los requerimientos de desempeño y seguridad indicados en la presente licitación. b) Garantía de Componentes; El licitante deberá presentar por escrito, una carta en papel preferentemente membretado, y firmada por el representante o apoderado legal, en la que manifieste bajo protesta de decir verdad que los componentes del sistema de cableado estan protegido por una garantía de al menos veinte (20) años contra defectos de manufactura, donde el sustituirá, sin costo alguno para la CNSF, el o los componentes defectuosos por otros de igual o mejor desempeño, incluyendo la mano de obra derivada de la sustitución c) Garantía de Mano de obra;el licitante deberá presentar por escrito, una carta en papel preferentemente membretado y bajo protesta de decir verdad, firmada por el representante legal, que garantiza la calidad de la mano de obra por 12 meses a partir de la fecha de entrega, obligándose a corregir todos los defectos de instalación que se presenten, sin costo adicional para la CNSF. d) El licitante, deberá presentar por escrito una carta en papel preferentemente membretado, y firmada por el representante o apoderado legal, en la que manifieste bajo protesta de decir Página 108 de 205

109 verdad que asegurará por el tiempo de vida útil del sistema, un ancho de banda de 250 Mhz, para soportar las aplicaciones presentes y futuras de la CNSF. e) Capacitación, se debe incluir carta compromiso del licitante, donde se indique que capacitará sin costo a 3 personas encargadas de administrar la red de cableado.la capacitación deberá tener una duración mínima de 24 hrs. f) Revisión memoria técnica. El Licitante deberá incluir carta compromiso en la cual se obligue a revisar y en su caso enmendar los contenidos de la memoria técnica de la instalación, para que ésta refleje de forma precisa las características del proyecto y aprobarla como completa y exacta. g) El licitante deberá presentar una carta en papel preferentemente membreteado, y firmada por el representante o apoderado legal, en la que manifieste bajo protesta de decir verdad que en caso de resultar adjudicado, se compromete a que en los lugares en donde aplique obra civil, cruce entre muros, tablaroca, etc. realizará los trabajos correspondientes, lo cual correrá por cuenta del licitante adjudicado, sin cargo para la CNSF, dejando los acabados en el estado en que se encuentren originalmente de acuerdo con la entrega de las instalaciones por parte de los administradores de los inmuebles objeto de la presente licitación. h) El licitante que resulte adjudicado, se ajustará a las políticas de seguridad de la CNSF, con base a su acceso, estancia y salida de los edificios. i) Programa de obra, en su propuesta técnica, el licitante deberá incluir el programa de trabajo correspondiente, si bien no será el definitivo, ya que deberá estar de acuerdo la Dirección General de Tecnologías de Información, el licitante en caso de resultar adjudicado deberá incluir en ese programa, tiempos de entrega e instalación del cableado y tiempo de ejecución de a los más 42 días naturales. j) Currículo empresarial en la que manifieste cuando menos tres referencias de clientes en donde haya realizado instalaciones de cableado estructurado, similares al requerido por esta Convocante. k) Supervisión y Administración del Proyecto. Los proveedores deberán incluir en su propuesta los nombres de 2 personas que actuarán como enlace permanente durante todo el tiempo que dure la ejecución proyecto, asignando a una de ellas como responsable de proyecto y a la otra como supervisor en sitio, mismos que no podrán ser sustituidos por el proveedor sin previa autorización por escrito de la convocante. El administrador de proyecto debe cumplir con las siguientes funciones: i) revisar junto con la convocante el diseño del proyecto; ii) asegurarse que la instalación sea acorde en forma y tiempo a lo especificado en diseño y que se siga las normas de diseño establecidas; iii) informar inmediatamente a personal designado por la convocante, sobre cualquier cambio, problema o algún otro asunto que pudiera afectar el desarrollo de la instalación. El supervisor de obra deberá: i) coordinar al personal en sitio para la correcta realización de los trabajos requeridos; ii) elaborar bitácora diaria de trabajos y/o incidencias; iii) elaborar reporte semanal donde se indique el avance del proyecto con respecto al programa de trabajo. 4.7 RECURSOS HUMANOS Página 109 de 205

110 Los licitantes deberán incluir en su propuesta carta compromiso que en caso de resultar ganador, entregará a la fecha de Inicio de implementación de la Infraestructura de Red ofertada la documentación que acredite que su personal en sitio cuenta con al menos 3 años de experiencia así como las certificaciones vigentes, quienes realizarán el Monitoreo, Administración y Operación y Mantenimiento de los Servicios Solicitados. Las personas referenciadas a través de los documentos anteriores, deberán permanecer durante la vigencia del contrato. El licitante ganador deberá hacer los esfuerzos necesarios para que así suceda; en caso de que no sea posible, deberá enviar a la Convocante el aviso del cambio de la persona en cuestión, con 15 días naturales de anticipación como mínimo; el nuevo recurso deberá tener la certificación igual o superior al de la persona que saldrá de la Organización del licitante ganador. La falta de alguno de los recursos tanto en el tipo como en las cantidades indicadas, dará lugar a la aplicación de la deducción correspondiente. El personal indicado anteriormente será el responsable de garantizar que los servicios que preste el licitante ganador a la Convocante se mantengan estables. En caso de incidentes de gravedad, ellos serán quiénes coordinen las actividades para resolver el incidente de que se trate y quiénes confirmen la solución definitiva, también deberán de informar sobre las causas origen de la falla y en su caso las acciones correctivas para evitar que vuelva a presentarse el incidente. Además de la documentación que se consignará en cada uno de los tickets, en el caso de incidentes considerados como de gravedad, se requerirá un correo electrónico con la información del incidente, sus causas origen y las acciones correctivas para evitar que se vuelva a presentar el incidente. El licitante ganador deberá de responder a las necesidades de operación y de los proyectos que la Convocante requiera implementar, basados en la descripción de los servicios de las presentes bases. No se aceptarán retrasos en la atención y solución de incidentes, atención e implementación de requerimientos, y el arranque y desarrollo de proyectos derivados de la ausencia de personal del licitante ganador; en caso de que se presenten retrasos por esta causa, el licitante ganador se hará acreedor a las deducciones que en cada caso apliquen. El personal requerido deberá entrar en funciones una vez que se entregue el equipo ofertado. El licitante deberá incluir en su propuesta la relación de personal necesario para realizar las actividades de Administración y Monitoreo correspondientes al Centro de Operación de Red, NOC. La Convocante requiere para el aprovisionamiento del Servicio, objeto de la presente licitación, el siguiente personal. Página 110 de 205

111 4.7.1 Personal en sitio La Convocante requiere dos ingenieros en sitio de tiempo completo para realizar las actividades de Monitoreo, Administración, Mantenimiento y Operación de todos los componentes del Servicio ofertado, propios y de terceros. Así mismo servir de interface con el fabricante para dar solución a los problemas que se presenten para la infraestructura adquirida y para la necesaria para el aprovisionamiento del servicio, de acuerdo a los tiempos establecidos. Ambos ingenieros serán los responsables de la correcta Implementación, Operación y Mantenimiento de la solución ofertada, tanto en las oficinas centrales como en las Delegaciones Regionales, asegurando la correcta interoperabilidad de los diferentes dispositivos ofertados. El personal deberá contar con certificaciones mínimas como especialista en instalación, configuración y administración de redes de datos, las cuales deberá presentar el licitante en copia (y original para cotejo) dentro de su propuesta. Estos recursos deberán contar con los perfiles que se describven a continuación: a) Un administrador de LAN y WLAN Concepto Requerimiento Formación Licenciatura o Ingeniería en Informática o carrera afín (Titulado) Experiencia 3 años en administración de equipos LAN y WLAN, de la marca ofertada Habilidades Trabajo en equipo, Alta capacidad de negociación y resolución de conflictos, Alta capacidad de análisis, Orientación a resultados, Manejo de proveedores, Establecimiento de metas, objetivos y asegurar su Página 111 de 205

112 cumplimiento sostenido. Funciones Instalación, configuración, administración y afinación de los equipos LAN, Instalación, configuración, administración y afinación de los equipos WLAN, Atender tickets de servicio, Realizar monitoreo de desempeño y disponibilidad, Elaborar y actualizar los procedimientos de administración y memorias técnicas de implementación, Elaborar reportes de actividades, Elaborar formatos MAAGTIC-SI y SGSI (capacidad, disponibilidad, etc), Apoyar interfaces para telefonía IP y telecomunicaciones, Realizar calendarios de mantenimientos preventivos y atender servicios correctivos de equipos de redes. Otras relacionadas con el puesto b) Un administrador de Seguridad perimetral Concepto Requerimiento Formación Licenciatura o Ingeniería en Informática o carrera afín (Titulado) Experiencia Habilidades 3 años en administración de equipos de seguridad (firewall, IPS, filtrado de contenido y solución SIEM de la marca ofertada Trabajo en equipo, Alta capacidad de negociación y resolución de conflictos, Alta capacidad de análisis, Página 112 de 205

113 Orientación a resultados, Manejo de proveedores, Establecimiento de metas, objetivos y asegurar su cumplimiento sostenido. Funciones Instalación, configuración, administración y afinación de los equipos de seguridad perimetral (firewall e IPS), Instalación, configuración, administración y afinación de los equipos de seguridad (filtrado de contenido), Instalación, configuración, administración y afinación de los equipos de análisis de código y correlacionador de eventos, Atender tickets de servicio, Realizar monitoreo de desempeño y disponibilidad, Elaborar y actualizar los procedimientos de administración y memorias técnicas de implementación, Elaborar reportes de actividades, Elaborar formatos MAAGTIC-SI y SGSI (capacidad, disponibilidad, etc), Apoyar interfaces para telefonía IP y telecomunicaciones, Realizar calendarios de mantenimientos preventivos y atender servicios correctivos de equipos de redes. Otras relacionadas con el puesto Personal de soporte de segundo nivel (consultor especializado). Personal que apoye al personal en sitio para resolver los problemas que se presenten y que éste último no pueda resolver en un lapso de tiempo de 8 hrs Espacios Físicos y Herramientas de Trabajo del Personal del Licitante Ganador. El personal del licitante ganador que preste los servicios derivados de las presentes bases deberá ubicarse en las instalaciones de la propia CNSF. El Administrador del Proyecto y el personal que considere conveniente, deberán asistir a reuniones Página 113 de 205

114 presenciales en las instalaciones de la Convocante cada vez que se requiera por parte del personal de la Dirección General de Informática; dichas reuniones podrán solicitarse para revisión de Niveles de Servicio, revisión y explicación de incidentes graves, revisión de proyectos, tanto para planificar su inicio como para seguimiento de los que se encuentren en proceso. El equipamiento de cómputo que requiera el personal en sitio que realice los servicios solicitados en el presente anexo deberá ser provisto por el proveedor y cumplir con los lineamientos que establece el SGSI de la Comisión. 4.8 OTROS SERVICIOS Incremento de Nodos Corresponde a la solicitud de puertos seguros administrados adicionales, que la CNSF solicite en demanda, siendo el máximo permitido el 20% de los nodos actuales con los que cuenta y no representará ningún costo adicional para la misma. El tiempo de respuesta para la instalación de un nodo adicional será de 48 hrs., una vez realizada la solicitud por parte de la CNSF. Las memorias técnicas deberán actualizarse, reflejando las adiciones realizadas Servicios Adicionales Los servicios especiales corresponden a tareas relacionadas con la prestación del servicio y deberán ser evaluadas de conformidad con los niveles de servicio que se establezcan de común acuerdo entre el prestador de servicios y la CNSF para cumplir en tiempo y forma con el requerimiento. Los servicios especiales no deberán generar costos adicionales a la CNSF. Se deberán considerar como servicios especiales, entre otros, los siguientes: a) Movimientos o reubicaciones de equipos de comunicaciones. Los movimientos o reubicaciones de los elementos activos (equipos de comunicación) de la red de datos, en todos los casos, serán sin cargo adicional para la CNSF, en la inteligencia de que obedecen a rediseños y mejoras en la administración de la red. Dichos movimientos serán bajo la responsabilidad del licitante ganador. b) Adaptación de configuraciones para la recepción de enlaces externos. Página 114 de 205

115 Los cambios en la configuración de los switches y/o ruteadores, en todos los casos, serán sin cargo adicional para la CNSF, en la inteligencia que obedecen a rediseños y mejoras en la administración de la red. Dichas configuraciones serán bajo la responsabilidad del licitante ganador con la aprobación de la CNSF. c) Otras actividades relacionadas con el proyecto. 5. IMPLEMENTACIÓN Deberá de llevarse a cabo una reunión de arranque del proyecto en donde se defina el personal responsable, tanto del proveedor como de la Comisión. En ésta se validará el plan de trabajo de implementación, el cual deberá contener las actividades necesarias para cubrir las fases de implementación establecidas así como los responsables y sus tiempos de ejecución; los cuales, deberán ajustarse a los requerimientos establecidos en la sección 3 Vigencia. Posteriormente se deberán realizar reuniones semanales de seguimiento. La periodicidad de éstas será establecida durante la reunión de arranque. La Implementación: Instalación, Configuración, Migración y Puesta en Operación de la Solución ofertada deberá ser realizada por personal técnico del fabricante o por personal calificado y certificado por el(los) fabricante(s) en la Infraestructura ofertada, de acuerdo a las fechas establecidas en el plan de trabajo. La infraestructura a instalar por parte del licitante ganador deberá estar debidamente etiquetada en un lugar visible para su identificación. Durante la realización de las actividades citadas previamente, el proveedor deberá garantizar la operación de la infraestructura actual con que cuenta la CNSF. El licitante ganador deberá realizar la instalación, configuración y puesta a punto de los elementos de comunicación necesarios para el sistema de monitoreo y mesa de servicios así como su configuración. El licitante adjudicado será totalmente responsable de: Considerar y suministrar todos los materiales requeridos para ejecutar los trabajos de instalación, en apego a las normas y procedimientos de los fabricantes y de la CNSF. Contar con el equipo y herramienta especializada requerida, vehículos de transporte de personal, equipo, y materiales, personal de mano de obra calificada para maniobras, técnicos e ingenieros calificados para la instalación, configuración, programación y puesta en operación de todos los bienes especificados. Emplear los instrumentos de medición de su propiedad para la ejecución de las pruebas locales y de sistema. El personal de la Comisión y los administradores de otros servicios como el de Cómputo, DRP y Telefonía serán sresponsable de: Proveer los elementos de interconexión que se requieran, así como realizar la configuración necesaria en estos. Página 115 de 205

116 El plan de trabajo de implementación, deberá contener las actividades necesarias para la Mesa de Servicio y el Monitoreo Automatizado; incluyendo, entre otras, la programación de tipos de tickets y tiempos de atención, configuración de equipos para monitoreo y definición de umbrales, consultas y reportes. Como parte de los Entregables del Servicio, de forma enunciativa más no limitativa, se deberá incluir lo siguiente: Documento de diseño de la solución propuesta. Plan de Trabajo de Implementación de la solución propuesta. Memoria técnica de la Implementación de la solución propuesta. 5.1 Implementación de la solución y Migración de Servicios Como parte integral de la solución, el Licitante Ganador deberá considerar los siguientes aspectos a cumplir durante las etapas de implementación y migración de servicios: a) Los elementos de hardware, software y licenciamiento en el equipamiento que utiliza actualmente la CNSF para los Servicios actuales, para asegurar la convivencia con el nuevo Sistema durante el periodo de migración, a fin de garantizar que no se pierda la comunicación entre servicios migrados y no migrados. El proceso de migración deberá asegurar que durante la sustitución de equipos, el tiempo de afectación del servicio será mínimo. b) Los equipos a instalarse, deberán estar previamente probados y configurados para minimizar los tiempos de sustitución. c) En caso necesario, reconfiguración de los Sistemas actuales de la CNSF. d) Cableado y demás accesorios necesarios durante el proceso de migración (intercomunicación entre Sistemas). f) El personal en sitio que se designe para realizar las tareas de implementación y migración de servicios, conforme a los calendarios establecidos en el Programa de Trabajo, deberá portar gafetes de identificación visibles con vestuario homologado. g) Como parte del Proceso de Migración, el Licitante Ganador deberá considerar las actividades para el resguardo de los equipos que oferte, para lo cual deberá implementar los procedimientos que faciliten el control de los mismos, a fin de mantener actualizado este control con las altas, bajas y cambios que se presenten durante la vigencia del Contrato y será de absoluta responsabilidad del mismo. i) La CNSF dará espacios para el almacenamiento de los equipos. j) Después de la implementación, se deberá contar con el personal en sitio indicado en el Anexo Técnico, dentro del horario de 09:00 a 19:00 horas, de lunes a viernes, para atender los requerimientos de administración, operación y mantenimiento que se presenten y en general cualquier incidente relacionado con los nuevos servicios. Así mismo, establecer un role de guardias que permita contar con un administrador hasta las 20:00 hrs. entre semana. 5.2 Instalación y Pruebas Página 116 de 205

117 Para cada uno de los servicios entregados, el Licitante Ganador incluirá las actividades de instalación y pruebas, tales como conectividad y funcionalidad de los equipos, logrando la correcta operación y funcionamiento de los componentes. Para cada uno de los servicios se realizará lo siguiente: a) Instalar y configurar hardware y/o componentes del sistema (deberá contener la última versión del Sistema Operativo). b) Instalación y configuración de las herramientas de administración del sistema. c) Realizar pruebas de diagnóstico y verificación, para asegurar la correcta operación de cada componente de la solución con base a los requerimientos establecidos por la CNSF. d) Ejecución de las pruebas unitarias e integrales de la infraestructura Los procedimientos y resultados de todo lo anterior se incluirán en la memoria técnica que se deberá entregar al finalizar la etapa de la implementación y/o migración. 5.3 Al Inicio del Servicio y Posterior a la Firma del Contrato a) El Licitante Ganador, tendrá la responsabilidad de ejecutar las tareas técnicas, administrativas y de operación necesarias para programar el arranque del servicio en coordinación con la CNSF, debiendo afinarse los detalles de integración técnica de los programas de trabajo propuestos, sin que esto genere modificación de los plazos de entrega. b) El Licitante Ganador es responsable de: Proporcionar todos los elementos requeridos para la instalación de los servicios solicitados para el proyecto, así como su administración, operación, mantenimiento y monitoreo. Realizar el suministro de la infraestructura. Mantener la infraestructura bajo las condiciones necesarias que aseguren permanentemente los niveles de servicio solicitados. Garantizar la integridad y protección de la información e infraestructura tecnológica, de los elementos y servicios, aplicando estándares internacionales y las mejores prácticas en la materia. c) Conforme al avance de migración de los servicios a la infraestructura del Licitante Ganador, el NOC deberá tener conexión a ésta. d) Se considerará que los servicios son entregados al 100%, cuando el Licitante Ganador cumpla con todos los puntos definidos en el presente Anexo Técnico para cada una de las soluciones que se solicitan y su correspondiente documento de verificación de puesta en operación de los servicios solicitados por la CNSF y firmado de conformidad. 5.4 Planeación del Arranque a) Dentro de los 2 días hábiles posteriores a la notificación del fallo de la Licitación, la CNSF entregará al Licitante Ganador, la información a nivel de equipamiento activo de la red de área local de sus inmuebles, así como la información de la infraestructura actual; a partir de este momento el Licitante Ganador contará con un máximo de 3 días hábiles para entregar a la CNSF un documento con la Página 117 de 205

118 propuesta de diseño de la solución avalada por el/los fabricante(s) de la solución propuesta. El aval deberá ser mediante un documento emitido por el fabricante, donde indique que el diseño de la solución cumple con sus estándares, certificaciones y mejores prácticas. La CNSF en conjunto con el Licitante Ganador y el fabricante realizarán la revisión y ajustes al diseño de la solución, misma que deberá concluir en los tres días mencionados. b) Se requiere de la implementación de la solución, propuesta por el Licitante Ganador y aprobados por la CNSF; durante este periodo se deberá garantizar la continuidad de los servicios, de tal manera que no se afecte la operación, por lo tanto deberán llevarse a cabo en días y horarios no hábiles acordados con la CNSF. d) El Licitante Ganador deberá proponer un Administrador de Proyecto, quien fungirá como líder de proyecto para la Comisión y será éste el responsable de coordinar todas las actividades que realice el Licitante Ganador en la fase de implementación del proyecto para proporcionar el servicio y tendrá las siguientes obligaciones: Presentar los avances en la implementación del proyecto en las reuniones que se realicen para tal efecto. Es responsable de los entregables definidos por el Licitante Ganador en el programa de actividades. Deberá Informar inmediatamente al área técnica de la CNSF sobre cualquier cambio o actividad que pudiera afectar el desarrollo y Programa de Actividades del proyecto con 24 horas de antelación a la fecha en que se lleve a cabo. e) El Administrador de proyecto deberá fungir como único punto de contacto entre la CNSF y el Licitante Ganador durante la fase de implementación del proyecto. En caso de que el Licitante Ganador necesite cambiar al Administrador de proyecto deberá ponerlo a consideración de la CNSF demostrando que cuenta con la certificación PMP y en su caso la CNSF autorizará dicho cambio. f) La CNSF tendrán la facultad de solicitar el cambio del Administrador del proyecto cuando así se considere, así mismo, solicitar el reemplazo o movimiento de personal de administración, operación y mantenimiento responsables del Servicio ofertado. g) El Licitante Ganador, deberá entregar en un periodo máximo de 5 días hábiles posteriores al fallo de la Licitación, un Plan de Trabajo de Implementación (considerando la Migración), en medio electrónico, en el cual se defina a detalle todas las actividades a realizar y su secuencia en tiempo desde la adjudicación del contrato de servicio, hasta su puesta en operación en la fecha solicitada; considerando al menos lo siguiente: Recepción de infraestructura para proporcionar el servicio. Fechas de instalación de infraestructura y aplicaciones. Configuración de infraestructura. Puesta a punto. Protocolos de pruebas. Transferencia del conocimiento. Demás actividades relacionadas a la fase de implementación, para poder proporcionar el servicio solicitado. Página 118 de 205

119 h) Cabe mencionar que el Plan de Trabajo de Implementación podrá sufrir modificaciones de acuerdo a la propia naturaleza del proyecto, sin embargo la única fecha inamovible será la del fin del periodo de implementación y por tanto inicio de operaciones del proyecto; el retraso implica la aplicación de las penas convencionales y deductivas correspondientes. Adicional al Plan de Trabajo de Implementación que el Licitante Ganador deberá entregar conforme a lo establecido anteriormente, deberá integrar en su Propuesta Técnica, un Plan de Trabajo Ejecutivo, en el que describa las actividades macro que realizaría para la implementación, puesta en operación, migración y entrega de servicios objeto de la presente Licitación, señalando para cada concepto, las fechas de inicio y término de actividades, en el entendido de que la fecha de entrega de servicios no deberá ser superior a las establecidas en las presente Anexo Técnico. 5.5 Servicios de Diseño, Instalación y Puesta en Marcha. a) El Licitante Ganador deberá incluir los servicios de diseño, instalación, implementación, configuración, pruebas y puesta en marcha de los servicios solicitados por la CNSF, para garantizar la correcta operación y funcionamiento de los componentes de la infraestructura propuesta. Así como su integración a la Infraestructura actual. b) Específicamente para el diseño de bajo nivel, arquitectura, funcionalidades, plataformas, recomendaciones, observaciones y auditorías a la implementación final, el Licitante Ganador deberá integrar al Fabricante de las tecnologías a implementar, tanto para la entrega de información, como en las reuniones que se llevaran a cabo con el personal que la CNSF designe. c) La información generada por parte del Licitante Ganador y el Fabricante para la entrega de servicios, deberá estar ordenada y almacenada en una Base de Datos, con base a las mejores prácticas (separados e identificados por inmuebles) que será compartida a la CNSF. Adicionalmente; al término del contrato, se deberá entregar en medio electrónica toda la información contenida en la base de datos mencionada. d) A continuación se definen de manera enunciativa más no limitativa las consideraciones específicas que el Licitante Ganador deberá de incluir como parte del diseño de bajo nivel, implantación, operación y mantenimiento de los servicios entregados a la CNSF. 5.6 Diseño e Implementación de los Servicios. a) El Licitante Ganador deberá entregar un documento de Diseño de la solución, avalado por el fabricante, a través de ingenieros con certificación de expertos en las tecnologías involucradas en la solución y que incluya los aspectos necesarios para la correcta instalación y puesta en operación de los elementos de hardware, software y licenciamiento para proporcionar los Servicios de Infraestructura objeto de la presente Licitación, con todas las funcionalidades asociadas y descritas en el presente Anexo Técnico. El documento de Diseño de la solución deberá estar elaborado en idioma español. b) El Licitante Ganador deberán integrar a solicitud y con base a requerimientos de la Comisión, ingenieros del fabricante de los equipos por Infraestructura; éstos ingenieros del fabricante involucrados en el diseño de bajo nivel e implementación de los servicios de la CNSF, deberán contar por lo menos con 3 años de experiencia en campo sobre las tecnologías, soporte y operación. Página 119 de 205

120 c) El Licitante Ganador deberá acreditar la capacidad y competencia de los ingenieros con certificación vigente del Fabricante presentando a la CNSF la documentación oficial, en donde certifique sus competencias técnicas, experiencia comprobable en el diseño, configuración e implementación de proyectos similares a los solicitados en la propuesta técnica. d) El Licitante Ganador deberá entregar un diseño detallado físico y lógico de los servicios, incluyendo como mínimo los siguientes puntos de manera enunciativa más no limitativa y que deberá ser desarrollado y avalado por personal del fabricante de la infraestructura y/o servicios solicitados por la CNSF: Descripción del hardware y software con características físicas y lógicas, funcionalidades habilitadas (con descripción de arquitectura, infraestructura física y lógica y características principales), tipo de licenciamiento (alcances y vigencia perfectamente especificada y clara) y configuraciones relacionadas. Convención de nombres y nomenclatura (Direccionamiento IP, asignación de VLAN, políticas de QoS, políticas de administración, configuración, definición de usuarios, contraseñas, tipo de cableado/velocidades, tipos de conectores, distancias de cableados, flujo por tipo de servicio y aplicativo). Diagrama topológico de la solución física con direccionamiento IP. Diagrama de mapeo de puertos físicos por modelo de equipo. Enlaces o referencias a información específica relacionada con el Servicio y que sirva como apoyo para la transferencia de conocimiento. Resumen de la solución total que incluya la descripción de la Infraestructura, integración a la red y funcionalidades incluidas. Seguridad en la infraestructura. Puertos utilizados por los servicios de datos (infraestructura de procesamiento y terminales de hardware y software) Seguridad en infraestructura Autenticación de dispositivos Encripción Restricciones de funcionalidades. e) Se llevará a cabo reuniones de trabajo entre la CNSF, el Licitante Ganador y el Fabricante para la revisión y visto bueno de los entregables, en las fechas que la CNSF determinen y señalen. f) Al final de la implementación se deberá entregar por parte del Licitante Ganador este documento que avale los diseños, las Memorias Técnicas, Diseño detallado de la solución creada por el Fabricante y entregado todo esto en idioma Español. g) Para las tareas de Configuración Lógica, el Licitante Ganador deberá incluir los siguientes puntos que se enlistan de manera enunciativa más no limitativa: Descripción lógica de la solución, Diagrama topológico de la solución, Consideraciones y excepciones del plan lógico. Página 120 de 205

121 Plan de Implementación detallado Procedimientos de configuración básica Tareas de implementación Plan y puesta en marcha del Aseguramiento de Calidad. Herramientas requeridas Diagramas esquemáticos de Racks y Gabinetes Distribución de Tarjetas Formatos de nomenclatura Requerimientos de Hardware y Software Configuración de equipos Esquema de direccionamiento Lógico Pruebas de configuración Pruebas y Aceptación del Servicio. Recomendaciones físicas y lógicas para el Servicio de Corto y Largo Plazo. Fotografías de distribución Bitácora de Implementación h) El Licitante Ganador deberá entregar junto con el Diseño de la solución, un Plan de Migración para la implementación de la configuración física y lógica de la solución, avalado por el fabricante de los equipos de las tecnologías usadas para proporcionar los Servicios de Infraestructura objeto de la presente Licitación. i) El Licitante Ganador deberá entregar la infraestructura correspondiente a la solución propuesta, configurada y operando de manera satisfactoria y a conveniencia de la CNSF. j) El Licitante Ganador deberá entregar en conjunto con el Plan de Migración, un Plan de Pruebas de aceptación de los servicios y funcionalidades asociadas, con base los requerimientos del presente Anexo Técnico, de manera enunciativa más no limitativa, el cual deberá ser aprobado para su liberación por la CNSF. El Plan de Pruebas deberá incluir los protocolos de prueba necesarios para validar la correcta operación de los servicios que serán entregados a cada una de la CNSF. k) El Plan de Migración de la solución deberá incluir dentro del entregable como mínimo de manera enunciativa más no limitativa los siguientes puntos: Resumen ejecutivo del plan de Migración Servicios a ser Migrados Análisis de Impacto (para toma de decisiones y calendarización) Premisas de Migración. Estrategia de migración Plan detallado de Migración Calendario Dependencias entre servicios Página 121 de 205

122 Recursos Materiales y Humanos Horarios para los eventos de migración Procedimientos de Migración Procedimiento de punto de retorno (Rollback). Esta migración deberá incluir, de manera enunciativa más no limitativa, los siguientes servicios: Equipo LAN y WLAN Equipo de seguridad Equipo de seguridad perimetral l) Se llevarán a cabo sesiones de trabajo entre la CNSF, el Licitante Ganador y el Fabricante para revisión y visto bueno de estos entregables, así como para la entrega-recepción de la documentación correspondiente. 5.7 Tiempos de Implementación, Migración y Entrega de Servicios: El Licitante deberá considerar dentro de su propuesta, que los tiempos de implementación, migración y entrega de servicios para la CNSF, se sujetarán a las siguientes condiciones: a) El Licitante Ganador deberá iniciar actividades a partir de la fecha de notificación del fallo de la Licitación. b) Como lo establece el Punto Planeación del Arranque, del presente Anexo Técnico, dentro de los primeros 2 días hábiles posteriores a la notificación del fallo, la CNSF entregarán al Licitante Ganador, la información a nivel de equipo activo de la red de área local de sus inmuebles, así como la información relacionada con su Infraestructura de seguridad y cómputo. c) A partir de la fecha de recepción de la información indicada en el inciso anterior, el Licitante Ganador contará con un máximo de 3 días hábiles para entregar a la CNSF, el documento con la propuesta de diseño de la solución así como su integración a la LAN, Servicios de Cómputo Central, DRP, Telefonía IP, MPLS e Internet en los términos y condiciones establecidas para este requerimiento en el mismo Punto Planeación del Arranque. En caso de que el Licitante Ganador, en el Plan de Trabajo Ejecutivo señalado Punto Planeación del Arranque, ofrezca una fecha límite de entrega posterior para el documento señalado, esta será la considerada para la aplicación de Niveles de Servicio y en su caso deductivas. d) Dentro de los 5 días hábiles posteriores al fallo de la Licitación el Licitante Ganador deberá entregar a la Comisión, un Plan de Trabajo de Implementación, incluida la Migración solicitada así como el Plan de Pruebas con Protocolos de Pruebas, en los términos y condiciones establecidos en el Planeación del Arranque y Diseño e Implementación de los Servicios, respectivamente. En caso de que el Licitante Ganador, en el Plan de Trabajo Ejecutivo señalado en el Punto Planeación del Arranque, ofrezca una fecha límite de entrega inferior para los documentos señalados, esta será la considerada para la aplicación de Niveles de Servicio y en su caso deductivas. e) Las fechas de término de actividades, implementación, migración y entrega de servicios (incluida la entrega de equipos) propuestas por el Licitante Ganador en su Plan de Trabajo y Plan de Trabajo de Migración, en ningún caso podrán ser de más de 42 días naturales, a partir de la notificación del fallo. Página 122 de 205

123 f) El Licitante Ganador, realizará los trabajos de implementación y migración en los términos, condiciones y fechas límite de entrega establecidos en su Plan de Trabajo y Plan de Migración y en el Punto Diseño e Implementación de los Servicios del presente Anexo Técnico. g) Las fechas de migración de servicios y por consecuencia las fechas de entrega de servicios, solo podrán ser modificadas por causas justificadas y avaladas por la Comisión, quien conjuntamente con el Licitante Ganador documentará los cambios de fecha para integrarlos en el Acta de Entrega- Recepción de los servicios. h) Una vez concluido el proceso de migración de un determinado servicio, la Comisión realizará la recepción de servicios para verificar el cumplimiento de lo señalado en el Punto Diseño e Implementación de los Servicios. i) Para la validación de la correcta operación de los servicios, se aplicarán los Protocolos de Prueba indicados en el Punto Diseño e Implementación de los Servicios, aplicables a cada caso. j) Salvo los casos que expresamente autorice la CNSF con la debida justificación y documentada, la fecha límite de entrega de servicios será la establecida en el Plan de Trabajo y Plan de Migración del Licitante Ganador. k) La CNSF designará a los responsables de participar en la Entrega-Recepción de Servicios, quienes conjuntamente con los responsables designados por el Licitante Ganador, procederán a la aplicación de los protocolos de prueba para validar la correcta operación de los servicios. l) Concluida la aplicación de los Protocolos de Prueba, se procederá con la elaboración del Acta de Entrega-Recepción correspondiente, a la que se anexará dichos protocolos. En el Acta de Entrega- Recepción se deberá indicar en forma clara y precisa, si los servicios cumplieron satisfactoriamente con las pruebas aplicadas y con los requisitos establecidos en el presente Anexo Técnico, de lo contrario, se procederá con la elaboración del Acta de Rechazo de los Servicios, indicándose en esta los incumplimientos que justifican el rechazo y que conforme a lo establecido en el presente Anexo Técnico pueden ser: Por no resultar satisfactorias la totalidad de las pruebas señaladas en el Protocolo de Pruebas. Por no cumplir con la totalidad de las características y requerimientos establecidos en las presente Anexo Técnico, para el o los servicios que se están recepcionando. 5.8 Revisión y adecuaciones al Centro de Datos Principal, Oficinas Centrales y Delegaciones Regionales El licitante ganador deberá realizar las adecuaciones necesarias al centro de datos principal para que la solución ofertada opere de manera eficiente y proporcione los niveles de servicio acordados, en cuanto a los siguientes conceptos: Condiciones eléctricas Condiciones de tierra física y electrofísica Condiciones de aire acondicionado, humedad y temperatura Gabinetes El licitante ganador deberá realizar la instalación del (los) gabinete(s) ofertado(s) en el centro de datos principal, oficinas centrales y delegaciones regionales de la Comisión y conexión los UPS s considerados dentro del servicio. Página 123 de 205

124 5.9 Licenciamiento El licitante ganador deberá proporcionar todo el licenciamiento necesario para la implementación de la solución integral, objeto de la presenta licitación, a nombre de la Comisión Nacional de Seguros y Fianzas: a) Todas las licencias, por escrito y en detalle, necesarias para la completa puesta en operación de los elementos de software de la solución ofertada. b) Todas las licencias, por escrito y en detalle, necesarias para cumplir con la Administración y Monitoreo de los componentes de la Solución ofertada Media y Manuales El proveedor deberá entregar al personal de la Comisión durante la fase de Implementación de la Solución ofertada los siguientes elementos, lo cual, no generará costos adicionales para la misma: a) Media de todo el software considerado en la solución en DVD-ROM. b) Manuales técnicos y de usuario impresos y en DVD-ROM. c) Manuales de procedimientos en DVD-ROM Memorias Técnicas Al final de los trabajos de implementación, el licitante ganador deberá entregar las Memorias Técnicas en papel y medio electrónico, reflejando los aspectos técnicos de la infraestructura implementada, misma que deberá incluir al menos la siguiente información: a) Índice, b) Descripción del Sistema Integral, c) Descripción de los subsistemas instalados: LAN, WLAN, Seguridad, etc., d) Descripción de los equipos instalados, e) Planos que incluyan ubicación del sistema de tierras, acondicionamiento eléctrico, aire acondicionado, UPS, racks y gabinetes, f) Diagramas de conexión e interconexión, g) Pruebas realizadas a la Infraestructura, h) Una fotografía de cada uno de los siguientes sistemas: tierra física, aire acondicionado, rack de comunicaciones LAN y WLAN, seguridad, seguridad perimetral, acondicionamiento eléctrico y solución UPS. Página 124 de 205

125 6. SERVICIO ADMINISTRADO El Licitante ganador deberá de proporcionar los elementos necesarios para realizar eficientemente las actividades de administración, operación y mantenimiento de la Infraestructura ofertada. Deberá incluir la Infraestructura adicional para el Monitoreo de sus componentes, la Mesa Servicios y el personal necesario para cumplir con la atención, registro, resolución de incidentes, problemas y solicitudes de servicios, que permitan la continuidad operativa, en los niveles de servicio indicados. a) El Licitante ganador deberá en todo momento, apegarse a los procesos del MAAGTICSI vigente o en su caso el que lo sustituye. b) El Licitante ganador, es el encargado de establecer los procesos, procedimientos y la asignación de personal capacitado para lograr la homologación, estandarización, control y optimización de la Infraestructura ofertada así como su integración a los servicios actuales, así como llevarlos a cabo para alcanzar los niveles de servicio requeridos. c) El servicio de Administración podrá proporcionarse de manera local desde las propias instalaciones del Licitante ganador y deberá considerar los elementos de red necesarios, aplicaciones de Administración y Monitoreo y Licencias que se soliciten en el presente Anexo Técnico. Esto es, en adición al personal en sitio solicitado. d) El servicio de Administración y Monitoreo deberá contar con un enlace RPV MPLS hacia la red de la CNSF, el cual deberá proveer el Licitante ganador, y tendrá como objetivo brindar una red aislada para efectos del monitoreo y administración de los componentes de la Infraestructura ofertada que la Comisión determine (servidores, equipos de red, componentes de seguridad, etc.) e) El uso de ancho de banda del enlace RPV MPLS no deberá exceder del 70% del uso del Ancho de Banda, cuando esto ocurra por más de 10 días hábiles consecutivos, para éste servicio durante la vigencia del contrato, es responsabilidad del Licitante ganador realizar la ampliación del Ancho de Banda sin costo adicional para la Comisión, en un plazo no mayor a 20 días hábiles, en cumplimiento a los niveles de servicio establecidos. f) El Licitante ganador deberá entregar un Servicio de Administración y Monitoreo proactivo de la Infraestructura ofertada, con base a las necesidades y requerimientos de la Comisión. En caso necesario, en conjunto revisarán, las adecuaciones necesarias a la Infraestructura para asegurar el cumplimiento de los niveles de servicio solicitado. g) El Licitante ganador deberá proveer, instalar y configurar la Infraestructura con componentes estándar, que permita conocer la presentación de eventos en tiempo real y contar con el monitoreo del estado, comportamiento, desempeño, salud y la operatividad que guardan cada uno de los componentes ofertados, así como realizar el alertamiento en caso de alcanzar los umbrales establecidos o falla, que incluyan de manera enunciativa más no limitativa al menos lo siguiente: Infraestructura LAN y WLAN Infraestructura de seguridad Infraestructura de seguridad perimetral Página 125 de 205

126 h) La Administración de la Infraestructura ofertada deberá contar con todos los recursos necesarios para la prestación del servicio, los cuales asegurarán su funcionamiento durante la vigencia del contrato, en un horario de atención 7x24x365. i) El sistema de monitoreo deberá proporcionar los reportes de capacidades de los recursos de TIC de la infraestructura, conociendo los niveles de saturación y uso, logrando generar un pronóstico y una planeación oportuna de cada recurso de TIC. j) La solución deberá mostrar en tiempo real todo el tráfico en la red e identificará de manera rápida problemas de tiempos de respuesta y mostrará todas las aplicaciones para identificar si existe tráfico no deseado y poder restaurar los servicios afectados. k) La administración de los elementos de seguridad se limitará a la totalidad de la infraestructura que oferte el Licitante ganador para proporcionar los servicios de seguridad de la red de voz y datos de la CNSF. l) El Licitante ganador deberá entregar a la CNSF cada uno de los procedimientos utilizados para la habilitación de los servicios hacia el usuario final en formato electrónico y debidamente documentado bajo los estándares MAAGTICSI vigente o en su caso el que lo sustituye y es su responsabilidad hacerlo del conocimiento de cada uno de los administradores para la homologación de la operación. m) Los recursos técnicos encargados de administrar, operar y dar mantenimiento a la infraestructura, proporcionarán la asistencia a todos los elementos tecnológicos que la conforman, incluyendo hardware para cubrir los niveles de servicio requeridos. Los recursos técnicos notificarán a la mesa de servicios cualquier incidente relacionado a la infraestructura. n) Para el caso de los inmuebles de la CNSF, en donde se ubiquen equipos de telecomunicaciones, el Licitante ganador deberá considerar realizar las actividades en relación estrecha con el personal del Servicio Administrado de Red Privada Virtual e Internet. o) Para el caso de los inmuebles de la CNSF, en donde se ubiquen equipos de telefonía IP, el Licitante ganador deberá considerar realizar las actividades en relación estrecha con el personal del Servicio Administrado de Telefonía IP. p) Para el caso de los inmuebles de la CNSF, en donde se ubiquen equipos de red, el Licitante ganador deberá considerar realizar las actividades en relación estrecha con el personal del Servicio Administrado correspondiente. q) El Licitante ganador deberá integrar una solución que permita tener el control sobre la gestión de la Infraestructura, siendo ésta escalable, flexible y robusta. r) Esta deberá permitir la gestión punto a punto, basada en una arquitectura centralizada que cumpla con los estándares y mejores prácticas, en materia de gestión de servicios, tales como: Gestión de Incidentes Gestión de Problemas Gestión de Cambios Gestión de Configuración y Activos del Servicio Página 126 de 205

127 Gestión de Disponibilidad Gestión de Capacidad Gestión de Niveles de Servicio Así mismo deberá ser capaz de generar múltiples reportes, tomando en cuenta diversos perfiles, por usuario, operador, administrador, Mesa de Servicios, ejecutivos, vía Web y en tiempo real. Los KPI s a considerar de forma enunciativa más no limitativa que serán cubiertos en su totalidad por la integración de la solución, son los siguientes: Disponibilidad Desempeño específico y general Tiempo total de caída Tiempo de saturación, Utilización de ancho de banda Métricas de los elementos de la infraestructura Métricas de desempeño que impactan en la experiencia del usuario final Métricas de desempeño de los servicios Correlación de eventos de infraestructura monitoreada 6.1 REQUERIMIENTOS DURANTE LA VIGENCIA DEL CONTRATO Durante la vigencia del Contrato, el Licitante ganador deberá cumplir con los requerimientos que se indican a continuación: a) La atención de incidentes por reprogramaciones, altas, bajas, cambios y fallas en los Servicios y en general cualquier tipo de solicitud relacionada con los mismos, solamente se realizará con un Reporte levantado ante la Mesa Institucional de Servicios, salvo los casos que expresamente se autoricen a través del Personal de Supervisión de la CNSF y que deberán ser regularizados con el Reporte correspondiente. b) El personal administrador para la atención de Reportes que en su caso designe el Licitante ganador para mantenerse en sitio en un determinado inmueble, deberá sujetarse a las políticas de registro de asistencia establecidos por la CNSF, mantener orden y disciplina dentro de las instalaciones y portar una credencial visible y vigente que lo acredite como trabajador de la empresa. Así mismo, dicho personal deberá portar vestimenta uniforme todo el tiempo que permanezca dentro de las instalaciones, para su mejor identificación. c) El personal administrador de campo del Licitante ganador que incurra en incumplimiento de los requisitos establecidos en el punto anterior, será retirado de las instalaciones y se aplicarán las deductivas correspondientes. d) La CNSF podrá solicitar al Licitante ganador durante la vigencia del Contrato, cualquier tipo de información que pueda ser obtenida de la Solución de Administración y Monitoreo solicitada en el presente Anexo Técnico, obligándose a proporcionarla en un plazo máximo de 5 días hábiles posterior a la solicitud vía correo electrónico y/o generando un reporte en la mesa de servicio correspondiente, salvo los casos en que por la naturaleza de la información Página 127 de 205

128 se requiera de un tiempo mayor, en cuyo caso el tiempo de entrega será fijado de común acuerdo entre ambas partes. 6.2 MESA DE SERVICIOS El Licitante ganador deberá contar con una Mesa de Servicios, con capacidad para recibir y atender todas las solicitudes de servicio generadas por los usuarios de las diferentes unidades administrativas de la Comisión y deberá iniciar operaciones de acuerdo al plan de implementación establecido. La Mesa de Servicios es el centro de atención del Licitante ganador y estará ubicada en sus instalaciones y deberá operar con un horario de servicio 7x24x365, brindando la atención de acuerdo a los niveles de servicio establecidos y de manera dedicada a la CNSF. La misma deberá contar con una interface hacia la solución de monitoreo y administración. El Licitante ganador deberá entregar en su propuesta técnica: Detalle de los procedimientos para los diferentes niveles de escalamiento de servicio a reporte de incidentes Descripción de la generación y entrega de reportes (incidentes atendidos) Descripción de sus servicios del centro de asistencia a través de web y/o correo electrónico Definir claramente su procedimiento de escalamiento para la atención de reportes en 3 niveles, en donde refleje a los responsables y sus cargos, así como datos para su localización, como Nombre, Puesto, Especialidad, Correo Electrónico, Teléfono de oficina y Teléfono Celular La Comisión podrá realizar auditorías de los reportes de la solución de la Mesa de Servicios en el momento que así lo requiera y revisar los niveles de servicio, para lo cual se deberá proporcionar al personal que la Comisión designe cuentas personalizadas de acceso de sólo lectura. La Mesa de Servicios será responsable en todo momento de la satisfacción de los usuarios en materia de los servicios proporcionados por el Proyecto, asegurando que los incidentes y problemas reportados sean resueltos dentro de los niveles de servicio establecidos, realizando o emprendiendo acciones para eliminar las causas raíz y/o para prevenir fallas potenciales. El Licitante ganador deberá considerar que la herramienta de gestión de la Mesa de Servicios propuesta deberá sincronizarse con la herramienta de gestión de la Comisión. Dicha integración deberá estar concluida a la fecha de inicio del Servicio Administrado de Red Institucional y Suministro e Instalación de Cableado Estructurado en Delegaciones Regionales para la Comisión Nacional de Seguros y Fianzas a fin de iniciar operaciones; en caso de no cumplirse se aplicarán las deductivas establecidas en el Anexo D Niveles de Servicio y Deductivas El personal designado por la Comisión, podrá levantar incidentes y notificar a la Mesa de Servicios vía telefónica y/o correo electrónico para la pronta solución de estos. Página 128 de 205

129 La solución que oferte el Licitante Ganador deberá incluir las herramientas que permitan almacenar las configuraciones de la Infraestructura ofertada y los registros de los detalles de todos los cambios en la misma para identificar de manera rápida quién los realizó y en caso necesario poder regresar a la configuración original que estaba trabajando. El Licitante ganador, alineará los procesos relacionados con la Mesa de Servicios a los correspondientes de ITIL V3, o en su caso la versión que la sustituya. Así mismo, la solución de software deberá estar certificada en el manejo de los siguientes procesos de ITIL V3, correspondientes a las fases del ciclo de vida del servicio: Estrategia para los servicios de TI o Gestión del portafolio de servicios Tiene como objetivo primordial definir una estrategia de servicio que sirva para generar el máximo valor, controlando riesgos y costos. Asimismo, se ocupa, de facilitar a los gestores de productos la tarea de evaluar los requisitos de calidad y los costos que éstos conllevan. Diseño de los servicios de TI o Gestión del catálogo de servicios Es responsable de crear y mantener un catálogo de servicios de la organización TI que incluya la información detallada de todos los servicios que se prestan y los recursos asignados para ello o Gestión de niveles de servicio Permite negociar acuerdos de nivel de servicio (por sus siglas en inglés, SLA) con los clientes y diseñar servicios de acuerdo con los objetivos propuestos. También es responsable de asegurar que todos los acuerdos de nivel operacional, (por sus siglas en inglés, OLA) y contratos de apoyo (por sus siglas en inglés, UC) sean apropiados, y de monitorear e informar acerca de los niveles de servicio. Transición de los servicios de TI o Gestión de cambios Responsable de supervisar y aprobar la introducción o modificación de los servicios prestados, garantizando que todo el proceso ha sido convenientemente planificado, evaluado, probado, implementado y documentado. o Gestión de la configuración y activos del servicio Responsable del registro y gestión de los elementos de configuración (CIs) y activos del servicio, incluyendo las relaciones entre los mismos. o Gestión de entregas y despliegues Responsable de desarrollar, probar e implementar las nuevas versiones de los servicios según las directrices marcadas en la fase de Diseño del Servicio. o Gestión del conocimiento Gestiona toda la información relevante a la prestación de los servicios asegurando que esté disponible para los agentes implicados en su concepción, diseño, desarrollo, implementación y operación, mejorando la eficiencia al reducir la necesidad de redescubrir conocimientos. Página 129 de 205

130 Operación del servicio o Gestión de eventos Responsable de monitorear todos los eventos que ocurran en la infraestructura TI con el objetivo de asegurar su correcto funcionamiento y ayudar a prever incidencias futuras. o Gestión de incidentes Responsable de registrar todos los incidentes que afecten a la calidad del servicio y restaurarlo a los niveles acordados a la brevedad posible. o Gestión de problemas Responsable de analizar y ofrecer soluciones a aquellos incidentes que por su frecuencia o impacto degradan la calidad del servicio, para prevenirlos y minimizar su impacto. La Mesa de Ayuda de la CNSF será la responsable de contactar a la Mesa de Servicios del Licitante ganador para reportar los incidentes que se presenten. El Licitante ganador deberá contar con el servicio de soporte en sitio que permita cumplir con los niveles de servicio establecidos y de acuerdo al requerimiento de personal y funciones para el mismo, establecidos en el presente Anexo Técnico. El personal designado por el Licitante ganador para prestar el servicio, invariablemente deberá portar en forma visible identificación con fotografía reciente, expedida por el mismo, durante el tiempo que permanezca en las instalaciones de la CNSF. El acceso a las instalaciones de la CNSF será tramitado en cada localidad por el personal autorizado, debiendo el Licitante ganador proporcionar los datos del personal asignado a la atención de los servicios. El Licitante ganador se obliga a responder por los daños parciales o totales que su personal cause a los bienes propiedad de la CNSF o de los servidores públicos, para lo cual el Licitante ganador contará con un plazo de 15 días naturales contados a partir de la fecha de notificación del hecho que por escrito le haga la CNSF, para manifestar lo que a su derecho convenga y aporte las pruebas que estime pertinentes, en caso de resultar responsable, contará con igual plazo para la reparación de los bienes o el pago total de los mismos a valor de reposición, a satisfacción de la CNSF, de no cubrir los daños, su costo se deducirá administrativamente de los saldos pendientes de pago que tuviese la CNSF con el Licitante ganador Seguimiento de Servicios El Licitante Ganador deberá contar con un sistema de reportes disponible a través de una página web, en la que se pueda dar seguimiento y cerrar reportes; dicho sistema deberá proporcionar al menos las siguientes funcionalidades: Registro y consulta de: Nombre de quien reporta y Nombre de quien atiende. Registro y consulta de: Hora y Fecha de apertura y cierre de reporte. Registro y consulta de: Sitio y datos del Contacto en sitio. Registro y consulta de: Equipo reportado, indicando marca, modelo y número de serie. Página 130 de 205

131 Registro y consulta de: Descripción o diagnóstico de falla o problemática. Consulta del estado en que se encuentra el reporte. Consulta de: Datos de equipo o componentes de respaldo proporcionados para dar continuidad operativa. Consulta de: Datos del personal de servicio que atiende el reporte. El Licitante ganador deberá proporcionar al menos dos cuentas de acceso al sitio de reportes vía Web para personal de la CNSF. El Licitante ganador deberá proporcionar la dirección URL, usuario y contraseña, a fin de que la CNSF, pueda verificar la funcionalidad del sistema de seguimiento de reportes. El Licitante ganador deberá cumplir con los niveles de servicio solicitados, para lo cual deberá contar obligatoriamente con soporte del(los) fabricante(s) de los elementos y componentes involucrados para el servicio. La CNSF podrá solicitar el escalamiento con el fabricante en caso de incidentes recurrentes y/o de alta criticidad y/o que impacte los niveles de servicio y es obligación del Licitante ganador atender esta solicitud en un tiempo no mayor a 1 hora. Para la supervisión de servicios, el Licitante ganador deberá implementar durante la vigencia del contrato y sin costo adicional, una solución de administración y monitoreo, que tenga la capacidad de generar y compartir registros históricos, consultas, generación de reportes y seguimiento a los eventos presentados y la solución correspondiente, la cual deberá contar con acceso a la información para la Mesa de Servicios, la Mesa de Ayuda de la CNSF y el personal que designe. Para gestionar en todo momento los reportes desde su apertura, atención, solución y cierre, el Licitante ganador deberá generar cuentas de lectura para el acceso y contemplar todo el licenciamiento necesario para su correcta funcionalidad. El Licitante ganador deberá incluir dentro del portal de monitoreo, los reportes más representativos de atención de la mesa de servicios, los cuales serán acordados con la CNSF. La Mesa de Servicios deberá generar una base de conocimientos, la cual consolidará toda la información referente a las órdenes de servicio, preguntas más frecuentes, trazabilidad de incidentes, resolución de problemas e información documental generada durante el ciclo de vida del servicio, manteniendo actualizada toda la información y con la facilidad de acceso vía Web por parte del personal autorizado de la CNSF. La base de conocimiento que se genere será propiedad de la CNSF y deberá ser entregada en caso de término de contrato por cualquier circunstancia. Para la administración de incidentes, la Mesa de Servicios deberá asignar niveles de severidad, los cuales estarán determinados de común acuerdo entre el Licitante ganador y la CNSF cumpliendo con lo especificado en la tabla siguiente: Nivel Severidad Nivel 1 de Descripción La operación se ve afectada completamente y hay servicios críticos que no se pueden proporcionar. Página 131 de 205

132 Nivel 2 Nivel 3 Nivel 4 La operación se ve afectada de manera parcial y algún servicio crítico se ve afectado pero no se detiene. La operación se ve afectada en menor medida y hay servicios que degradaron su nivel de servicio, pero aún se mantienen los niveles comprometidos. La operación puede verse afectada en un futuro, por lo que es importante atender el incidente, pero la urgencia no es alta y ningún servicio se ve afectado en este momento La solución deberá estar basada en los procesos estándares de ITIL V3 solicitados así como en los MAAGTICSI requeridos vigentes o en su caso los que lo sustituyan y deberá al menos realizar las siguientes funciones: Proporcionar atención y soporte para mantener la operación de la infraestructura ofertada, conforme a los niveles de servicio establecidos. Recibir, registrar, analizar, resolver y canalizar los reportes de incidentes, dar seguimiento, solución y cierre a los incidentes informando a la Mesa de Ayuda, para que a su vez se informe al usuario final oportunamente. Interactuar y mantener comunicación permanentemente con la Mesa de Ayuda. Tener la capacidad suficiente para almacenar y recuperar todos los reportes que se presenten durante la vigencia del contrato, clasificados por tipo de evento, por mes y por año. Generar reportes de estadísticas e indicadores. Los datos mínimos requeridos en un reporte para el control de eventos, reportes e incidentes deberán ser: Identificador del reporte o número de incidente o evento. Identificador del usuario que reporta, (estos son los datos que identifican al usuario que levantó el reporte), al menos nombre, teléfono, correo electrónico y ubicación. La definición final de estos datos se acordarán con el Licitante Ganador. Hora en que se presenta el evento reportado. Hora en que se reporta el problema por parte del usuario autorizado. Tiempo de solución del incidente y restablecimiento del servicio. Descripción del problema. El Licitante ganador, en conjunto con la CNSF, definirá, actualizará y difundirá el catálogo de servicios que proporcionará la Mesa Especializada de Servicios. La información deberá poder fluir en forma bidireccional de una hacia otra mesa, es decir, considerar al menos las siguientes operaciones: importar, exportar y actualizar, lo que deberá permitir realizar de manera enunciativa más no limitativa las siguientes actividades: Generar un reporte en la Mesa de Servicios desde la Mesa de Ayuda. Página 132 de 205

133 Retroalimentar desde la Mesa de Servicios a la Mesa de Ayuda de la Comisión informando sobre la atención de un reporte. Retroalimentar desde la Mesa de Servicios a la Mesa de Ayuda de la Comisión la documentación de resolución del reporte. Alertas de notificación por intercambio de información de la Mesa de Ayuda de la Comisión a la Mesa de Servicios y viceversa. Los campos de información que deberán ser enviados o recibidos de la Mesa de Ayuda de la Comisión hacia la Mesa de Servicios y viceversa para solicitudes e incidentes, se proporcionaran al Licitante ganador Esquema de Reportes y Escalamiento de Fallas. El Licitante ganador deberá presentar documento en el cual señale el esquema de reportes y escalamiento de fallas. Deberá especificar su centro de atención técnico para el seguimiento de reportes de incidentes, en sus 3 niveles con un procedimiento de escalamiento que se sujete a los siguientes tiempos: Recepción del reporte en el centro de atención correspondiente, máximo 5 minutos. Primer nivel de escalamiento, tiempos de acuerdo al tipo de evento. Segundo nivel de escalamiento, tiempos de acuerdo al tipo de evento. El Licitante ganador deberá proporcionar, previo a la puesta en operación de los servicios, una matriz de escalamiento para cada uno de los servicios y soluciones entregadas a la Comisión, así como también para la atención a los servicios e infraestructura tomados en administración de la CNSF, ésta matriz de escalamiento será revisada y autorizada por la Comisión considerando los tiempos de respuesta solicitados, y deberá contener al menos la información de los contactos (nombre, puesto, teléfono oficina, teléfono móvil) para su localización en todo momento, así como los tiempos establecidos para pasar al siguiente nivel. Por su parte la CNSF, al inicio del contrato, proporcionará al Licitante Ganador una matriz de escalamiento de contactos y responsables de la administración del servicio asignados por la misma Reportes de Servicio El Licitante ganador deberá presentar durante los primeros 5 días hábiles del siguiente mes, los reportes mensuales de comportamiento, desempeño y disponibilidad de la Infraestructura con la cual se proporcionen los servicios solicitados, así como de las actividades realizadas por el personal, de acuerdo con los niveles de servicio definidos. El formato correspondiente será establecido de común acuerdo con la CNSF y serán entregados de forma electrónica. La relación de reportes a entregar para cada uno de los servicios requeridos, de forma enunciativa más no limitativa, se presenta en la siguiente tabla. Para el caso de los mantenimientos preventivos y correctivos deberá ser acompañado de copias de los reportes de servicios originados debidamente requisitados con la firma de conformidad de los supervisores responsables, tanto del Licitante ganador como el de la CNSF. Página 133 de 205

134 Es responsabilidad del Licitante ganador mantener en una base de datos históricos los reportes clasificados por sitio, Mes y Año; así como proporcionar acceso a éstos al personal que la CNSF designe para su consulta y validación. En caso de que no se entreguen en tiempo y forma, se aplicarán las deductivas correspondientes, establecidas en el Anexo D Niveles de Servicio y Deductivas. Los reportes deberán ser entregados a la CNSF de la siguiente manera: Servicio Administrado de Red Institucional Reporte Frecuencia No Descripción 1 Disponibilidad, desempeño, capacidad y Mensual, durante los primeros 5 días proyecciones del hardware hábiles del mes siguiente. Anual, durante los primeros 10 días hábilies del mes 13, 25 y 36 2 Disponibilidad de software (sistemas Mensual, durante los primeros 5 días operativos, bases de datosy aplicaciones) hábiles del mes siguiente. Anual, durante los primeros 10 días hábilies del mes 13, 25 y 36 3 Tickets recibidos en la Mesa de Servicio Mensual, durante los primeros 5 días hábiles del mes siguiente. 4 Actualización de la memoria técnica, por cambios en la Infraestructrura. Mensual, cuando aplique, durante los primeros 5 días hábiles del mes siguiente. 6 Actividades del personal de administración Mensual, durante los primeros 5 días hábiles del mes siguiente. 7 Disponibilidad del hardware y software de Mensual, durante los primeros 5 días la herramienta de monitoreo hábiles del mes siguiente. 8 Latencia Enlace MPLS Mensual, durante los primeros 5 días hábiles del mes siguiente. Para el caso de capacity planning, los indicadores que deberán de mostrarse, al menos, son: Para dispositivos: utilización de CPU, utilización de memoria, utilización de buffers, así como el proyección a 3 meses, 6 meses o 1 año a solicitud de la CNSF. Para las interfaces: porcentaje de utilización y saturación de la interfaz, así como su correspondiente proyección a 3 meses, 6 meses o 1 año a solicitud de la CNSF. También, se deberán entregar reportes que muestren los eventos que se han generado al cruzar los umbrales de desempeño por omisión de la herramienta. Se deberá tener la facilidad de ir al reporte de desempeño para realizar el análisis correspondiente. La CNSF deberá contar con acceso a los reportes y herramientas a través de usuarios de consulta para el análisis de los mismos. Página 134 de 205

135 6.3 CENTRO DE OPERACIONES DE LA RED (NOC) El licitante ganador deberá contar con un Centro de Operaciones de Red, NOC, para el Monitoreo de la Infraestructura total que se utilice para proporcionar el servicio integral objeto de esta licitación. El mismo servirá de apoyo para realizar las labores de administración, operación y mantenimiento de dicha infraestructura. Su operación deberá estar alineada con ITIL V3 y con la metodología MAAGTICSI vigente o en su caso el que lo sustituye en la CNSF, además de garantizar la capacidad de personalización de la información de los reportes, notificaciones y la emisión de informes de desempeño y disponibilidad que sean generados. El servicio Monitoreo de la infraestructura deberá proporcionarse de forma local en las instalaciones de la CNSF y desde el Centro de Operaciones del Licitante (NOC), considerando el equipamiento de hardware, software, elementos de red, licenciamiento y personal necesario para administrar, operar y dar mantenimiento a los elementos para servicio del NOC, incluyendo la definición e implementación de los procedimientos correspondientes sin que esto genere un costo adicional para la CNSF. El servicio deberá incluir una plataforma de gestión y monitoreo para permitir los servicios de NOC bajo la perspectiva de BSM (Business Service Management) cubriendo desde los elementos de la Infraestructura ofertada, cuyo objetivo principal es el de establecer y vigilar los mecanismos que permitan su Monitoreo. El NOC deberá estar operando desde las instalaciones del Licitante ganador y podrá ser visitado por la CNSF durante la vigencia de la prestación del servicio con objeto de verificar las condiciones de infraestructura y operación. La solución de monitoreo será la aplicación con la que el Licitante ganador compruebe los niveles de servicio solicitados en esta licitación, por lo que deberá proporcionar una disponibilidad mínima del 99.95%; esto es, a lo más 21.6 minutos de indisponibilidad por mes. En caso contrario, se procederá a aplicar las deductivas correspondientes, establecidas en el Anexo D. El software propuesto de monitoreo como mínimo deberá tener la capacidad para el número total de dispositivos considerados para proporcionar el servicio administrado, no se permitirá tener versiones demo ni recortadas del producto en cuestión. Debe considerarse al menos para: Infraestructura LAN y WLAN, Infraestructura de seguridad (perimetral e interna), Infraestructura en la Mesa de Servicios. Infraestructura del propio NOC El Servicio de Monitoreo y Administración deberá cubrir al menos el siguiente alcance; a) Considerar los aspectos de redundancia y seguridad para mantener la operación de todos los servicios, de acuerdo a los niveles de servicio requeridos; los cuales, aseguren el funcionamiento de la infraestructura las 24 horas del día, los 7 días de la semana, los 365 días del año (7x24x365) durante el tiempo que dure el contrato. b) Personal en sitio requerido para cumplir los alcances del servicio establecido y proporcionar la continuidad de la operación que requiere la CNSF. Página 135 de 205

136 c) La ubicación de la infraestructura requerida para la administración, monitoreo y reportes deberá estar instalada en las instalaciones del Licitante ganador y ubicarse dentro de la República Mexicana. d) El Licitante ganador deberá garantizar que los usuarios autorizados para administración y monitoreo que se conecten localmente o vía remota, será de acuerdo a sus perfiles de autorización, los cuales podrán acceder a los equipos que tienen derecho. e) El Licitante ganador deberá considerar todos los componentes habilitadores que integran el servicio de gestión (entre otros consolas, licenciamiento de aplicaciones, licenciamiento de usuarios, conectividad) y que forman parte de su solución de monitoreo de infraestructura. f) El Licitante Ganador deberá considerar los tipos de acceso para administración y monitoreo de la infraestructura para su personal y personal de la Comisión que así lo requiera. Estos permisos se enlistan de manera enunciativa más no limitativa y se deberán implementar de acuerdo a los siguientes requerimientos. Tipo de acceso Monitoreo y gestión Consola asíncrona Usuario remoto IPSEC Acceso Local Uso SNMP v3, HTTPS, Syslog y logs de eventos. Para acceso a equipos de comunicaciones de las soluciones. Para administración y gestión de toda la infraestructura en el Centro de Datos NOC a través de Internet, VPN o conexiones de Terceros. Administración de la infraestructura en el Centro de Datos de forma local vía conexión cableada (No inalámbrica). Usuario remoto SSL Para administración y gestión de toda la infraestructura en el Centro de Datos a través de Internet, VPN o conexiones con terceros g) Las soluciones del NOC deberán correlacionar toda la información necesaria en la herramienta para tal fin, para observar el comportamiento de la Infraestructura en una sola pantalla. h) El NOC deberá apegarse al proceso de administración de cambios, para altas, bajas, cambios y actualización de infraestructura, para mantener en óptimas condiciones la operación de la misma. i) El NOC deberá considerar al menos, las siguientes tareas y/o servicios de gestión y monitoreo: El personal que la CNSF designe deberá contar con acceso de sólo lectura en los equipos utilizados para la prestación del servicio con el fin de poder supervisar y evaluar la configuración de los mismos. Así mismo, deberán entregarse en sobre sellado las cuentas de administración para su uso en caso necesario. El Licitante Ganador deberá proporcionar las herramientas y recursos necesarios para permitir al menos 5 sesiones concurrentes vía https de usuarios responsables del servicio Página 136 de 205

137 que la CNSF designe, con el fin de que éstos puedan monitorear en línea el consumo de ancho de banda, disponibilidad de equipos, sistemas operativos, aplicaciones y servicios, observando sus funciones principales, desempeños, bitácoras, alarmas, eventos y reportes para conservar su mejor funcionamiento y desempeño durante el tiempo que dure el contrato. El NOC deberá operar en paralelo con la integración de cada uno de los servicios ofertados. El Licitante ganador deberá generar las notificaciones de las incidencias en los servicios de la CNSF con base a sus requerimientos y de forma inmediata a una dirección de correo electrónico institucional previamente definido (lista de distribución), mensaje de texto SMS (Short Message Service por sus siglas en inglés) y vía telefónica; el NOC deberá realizar sus procedimientos de solución, absorbiendo los costos que se generen para restablecer el servicio. El cierre de cada incidencia o requerimiento, deberá realizarse de manera coordinada entre el personal responsable del servicio que la CNSF designe y el personal que el Licitante Ganador designe para tal efecto. La incidencia sólo podrá ser cerrada cuando sea corroborada su solución, la operación afectada se mantenga en un nivel satisfactorio y sea aceptada por el personal de la CNSF. El Licitante Ganador deberá entregar dentro de los primeros 5 días hábiles de cada mes, durante la vigencia del contrato, los reportes de las incidencias ocurridas en el servicio en CD (disco compacto), medio electrónico ó repositorio clasificadas como: Reporte detallado de incidencias por cada servicio y su tiempo de solución, donde se refleje el número de horas y/o minutos sin servicios imputables al Licitante Ganador y los imputables a la Comisión (energía eléctrica, equipo apagado, etc.) o a causas de fuerza mayor en el sitio afectado (tormentas eléctricas, huracanes, inundaciones, temblores, etc.) Reporte del número de incidencias clasificadas por tipo y severidad. Reportes de desempeño de equipos, especificando: - Utilización de CPU - Utilización de memoria - Utilización de ancho de banda - Latencia y % de errores en los enlaces j) El Licitante Ganador deberá entregar un resumen en forma impresa y/o electrónica, donde incluya el control de los cambios. k) En caso de incidentes o daños en el hardware de los equipos del NOC, el Licitante Ganador será el responsable de contar con procedimientos para mantener los niveles de disponibilidad y servicio solicitados. l) El sistema de monitoreo entregado deberá contar con la capacidad de graficar por día, semana, mes, semestre y año, la CNSF a través del personal responsable de los servicios que designe, deberá poder seleccionar el periodo de tiempo a su elección para generar reportes. Página 137 de 205

138 m) La información deberá estar disponible en línea una semana, posteriormente se podrán acumular datos por hora hasta un mes; por día hasta un mes y finalmente por mes, hasta la finalización del contrato. n) Dentro de las funciones del NOC, estará la de prevenir problemas potenciales a través del monitoreo proactivo; aislar y solucionar los problemas presentados en los elementos de la infraestructura y la prestación de los servicios. o) Cuando la herramienta de monitoreo detecte problemas en la red y/o los equipos que proporcionan los servicios de la CNSF, ésta deberá enviar vía correo electrónico, mensaje de texto SMS y vía telefónica, la notificación de forma automática a los responsables del servicio a través de las listas de distribución previamente definidas con base a los requerimientos de la Comisión y la matriz de escalamiento que se le proporcionará al Licitante Ganador al inicio del contrato. Esta notificación también deberá realizarse a la Mesa de Servicio para su registro, seguimiento y solución. p) El Licitante Ganador deberá contar con una herramienta en el NOC que permita obtener el estado de operación de los componentes que conforman los servicios de la Comisión con base a su solicitud y requerimiento, a través de un navegador web y/o interface de consulta. q) El sistema de monitoreo deberá entregar los siguientes tipos de reportes vía web y en forma gráfica, para la medición del desempeño de la red de área local: % utilización de CPU y memoria Consumo de ancho de banda (entrada, salida y promedio) Consumo de ancho de banda (bits entrada, salida y descartados) Paquetes perdidos por errores y descartes Notificar en forma automática los problemas en la red y/o los equipos. r) El Licitante Ganador deberá contar con la capacidad de ajustar el tiempo de poleo disminuyéndolo o incrementándolo en caso de así convenir a la operación a solicitud expresa de la CNSF, las lecturas deberán poder actualizarse en línea y deberán contar con la facilidad de generarse mediante filtros: reportes que representen informes del comportamiento de la red horas, días, semanas y meses Servicio de Monitoreo La solución de monitoreo deberá ser modular, con soporte para todos los dispositivos ofertados, con descubrimiento automático de la topología de red e infraestructura instalada, incluyendo redes virtuales, que podrá realizar bajo el estándar SNMP en capas 2 y 3 de red del modelo de referencia OSI, proporcionando un inventario de la misma y soportando todas las configuraciones realizadas. Deberá contar con descubrimiento, así como la capacidad para la recolección de la información de disponibilidad y desempeño en tiempo real e histórico que permitan generar los indicadores correspondientes y en su caso, las alertas de degradación o falla de funcionalidad de los componentes del servicio. El servicio de Monitoreo, ofertado por el licitante ganador, deberá realizar la ejecución de los procesos alineándose a las mejores prácticas de ITIL V3, mencionadas en el numeral anterior 6.2 Mesa de Servicios ; con lo cual, se busca mejorar la gestión y provisión de servicios de TIC, incrementando la Página 138 de 205

139 calidad de los mismos, evitando los problemas asociados y en caso de que estos ocurran ofrecer un marco de actuación para que sean solucionados con el menor impacto y a la mayor brevedad posible. El licitante ganador, deberá configurar al menos una comunidad SNMP versión 3, que tendrá como objetivo, monitorear la Infraestructura desde el NOC, en donde se recibirá la notificación automática de incidentes mediante traps SNMP, según parámetros establecidos por la Comisión, que permitan tener visibilidad sobre variables importantes de disponibilidad y desempeño. Será responsabilidad del licitante ganador, realizar las configuraciones necesarias a los equipos, sistemas operativos, bases de datos, etc. que formen parte del servicio administrado proporcionado, para que las mismas puedan ser monitoreadas para cumplir con los requerimientos solicitados en el presente documento, con estricto apego a los niveles de servicio establecidos. Estas deberán realizarse conforme se haga la implementación de la Infraestructura y concluirse antes del inicio de operaciones. Deberá considerar aquella que se encuentra en: Centro de datos principal, Oficinas centrales, Delegaciones regionales Mesa de Servicios y el propio NOC. El proveedor deberá realizar la instalación y puesta a punto de los elementos de red, incluido el enlace RPV MPLS que le permita la Comunicación entre el NOC ofertado y el Centro de Datos Principal, así como entre el NOC y la Mesa de Servicios para realizar las actividades de monitoreo solicitadas. También deberá considerar su integración al equipo pasivo, manteniendo siempre su adecuada funcionalidad y sus condiciones estéticas, siendo necesaria la aprobación de la CNSF en caso de que sean afectadas. El Licitante Ganador deberá integrar el servicio de Monitoreo y la Mesa de Servicios, de tal forma, que ante la generación de una alarma, derivada de interrupciones, fallas, errores o degradaciones en alguno de los componentes de la Infraestructura monitoreada, se generé un ticket, al cual deberá darse seguimiento, informando al personal técnico que administra el servicio por parte del Licitante Ganador y al de la Comisión a través de un correo electrónico, llamada telefónica y/o mensaje de texto la falla del servicio que requiera atención. La solución deberá considerar la instalación de la(s) consola(s) de monitoreo en tiempo real, en el Centro de datos Principal, para visualizar el estado de salud del total de la infraestructura monitoreada así como la topología de la red y vistas personalizadas (dispositivo IP o componentes específicos). También deberá contar con un tablero de control de servicios (dashboard), en donde se reflejen las métricas de calidad, los KPI s (Key performance indicators), mostrando información en tiempo real e histórica. El licitante ganador deberá implementar la solución SIEM, que permita almacenar las cadenas específicas de logs y ajustarse a los requerimientos de seguridad definidos por el personal la Comisión. A partir del inicio de la vigencia del contrato, se iniciará el Monitoreo de la Infraestructura ofertada; lo cual, permitirá la generación de reportes de disponibilidad y desempeño así como el envío de alarmas y notificaciones en automático, mismos que serán utilizados para validar los niveles de servicio proporcionados, de acuerdo a los requerimientos de la Comisión y bajo los niveles de servicio definidos en el apartado de Niveles de Servicio. La solución de monitoreo deberá permitir la medición de los niveles de servicio establecidos en el presente documento, mismos que se encuentran descritos en el Anexo D Niveles de Servicio y Página 139 de 205

140 Deductivas del Servicio Administrado de Red Institucional y Suministro e Instalación de Cableado Estructurado en Delegaciones Regionales para la Comisión Nacional de Seguros y Fianzas Cuando la solución de monitoreo no se encuentre disponible y esto ocasione la pérdida de la información utilizada para la medición de disponibilidad de cualquiera de los elementos de la Infraestructura monitoreada, el tiempo que esté relacionado con la pérdida de información y que impida el cálculo será considerado como servicio no disponible para el elemento ó elementos afectados por la falta de información, en adición a la propia deductiva del servicio de monitoreo. El nivel de operación del software de monitoreo deberá poder administrar grupos y usuarios basados en niveles de seguridad. El personal el sitio, administradores y operadores, apoyándose de la Solución de Monitoreo deberán realizar, de forma enunciativa más no limitativa, las siguientes labores: Verificar que los niveles de servicio sean los que se tienen contratados, Asegurar la continuidad del servicio de la Infraestructura contratada, Detectar y corregir errores, así como configuraciones inadecuadas, Eficientar el uso de la Infraestructura y de los servicios prestados. Adicionalmente, debe realizar el análisis en tiempo real e histórico que permita proactivamente maximizar el tiempo de disponibilidad y la planeación de capacidades, de modo que la disponibilidad de los servicios y los niveles de servicio y desempeño sean los requeridos. El Licitante Ganador deberá realizar una revisión semestral de los umbrales y alarmas establecidas y, en su caso, la adecuación los mismos de acuerdo a las necesidades de la Comisión. Este se realizará en conjunto con el personal de la Comisión. En caso de no realizarse, se hará acreedor a la penalización correspondiente. De forma enunciativa más no limitativa, la Solución de Monitoreo, deberá proveer: a) Disponibilidad y Desempeño en Tiempo Real e Histórico La Comisión requiere que el servicio solicitado provea la plataforma necesaria para monitorear en tiempo real e histórico la disponibilidad y desempeño (CPU, memoria y disco) de cada uno de los elementos del servicio administrado, que permita detectar incidentes y problemas así como otorgar las métricas para verificar los niveles de servicio contratados, debiendo permitir vistas generales o particulares de los componentes del servicio y contemplando, pero no limitándose, a los elementos que se mencionan a continuación: Servicio Administrado de Equipo LAN y WLAN Servicio Administrado de Equipo de Seguridad Infraestructura en la Mesa de Servicios y de Administración y Monitoreo en el NOC La solución de monitoreo deberá detectar eventos en tiempo real de disponibilidad y desempeño, de tal forma que permita la identificación de fallas de manera proactiva antes de que los servicios de TIC se vean impactados. Página 140 de 205

141 La Solución de Monitoreo deberá de poder proporcionar la información necesaria para el análisis de capacidades que ayuden al administrador a poder planear el futuro crecimiento de la Infraestructura. Así mismo, esta solución deberá obtener las siguientes métricas, de cada uno de los elementos de la solución administrada. Tiempo de respuesta aplicativa.- tiempo de tránsito de los paquetes de la información y aplicaciones inherentes a los servicios de TIC. Pérdida de capacidad de transferencia de información.- registro de paquetes descartados por falta de capacidad o disponibilidad servicios de TIC. Para el caso de los equipos de red, deberá medir y mostrar el tránsito de información así como los datos de latencia y % de errores a través de infraestructura LAN, WLAN e incluir el enlace Lan to Lan y realizar gráficas de utilización de ancho de banda, el estatus de los puertos y sus configuraciones, etc. b) Configuración de Umbrales y Alarmas de Eventos en Línea La solución de monitoreo deberá permitir la configuración de umbrales, así como, alarmas (visuales y audibles) que muestren el comportamiento de los diversos componentes de la solución objeto del presente servicio. Se deberá notificar a la CNSF inmediatamente, en el momento que se detecte una falla en los servicios contratados, debiendo además entregar un reporte detallado y análisis forense con la descripción de la solución aplicada, en un periodo no mayor a 5 días naturales a partir de la notificación, ya sea por algún usuario o por notificación automática de la solución de monitoreo. La solución de monitoreo deberá tener la capacidad de leer las bitácoras (logs) de las aplicaciones y dispositivos que formen parte del servicio administrado, permitiendo en caso de encontrar una cadena específica definida por la CNSF, alertar mediante: SNMP Traps, Mensajes de syslog y Correo electrónico. c) Consultas y reportes. La explotación de la información deberá ser en tiempo real, asimismo, deberá tenerse disponible y en línea esta información para realizar consultas históricas. La solución de monitoreo deberá de ser parametrizable y permitir entre otras cosas, la consulta y generación de reportes, en formatos estándares como pdf o xlsx; los cuales, pueden ser enviados de manera automática hacia un correo electrónico: Consultas en tiempo real para cada uno de los elementos de la solución monitoreada por el NOC: desempeño y disponibilidad. Reportes en línea, de información ejecutiva y detallada, así como histórica para cada uno de los elementos de la solución monitoreada por el NOC: desempeño y disponibilidad. Página 141 de 205

142 Reportes del comportamiento de la infraestructura de red, entre otros, uso de ancho de banda y latencia. Al final del primer mes de operación del servicio, deberán elaborarse los reportes requeridos para el servicio de desempeño y disponibilidad, que permitan, en adición, a determinar el cumplimiento de los niveles de servicio, establecer una línea base del estado de los componentes del servicio. El licitante ganador definirá, inicialmente, los reportes, periodos y frecuencia de entrega al personal de la Comisión, de acuerdo a los niveles de servicio requeridos y su revisión continua, para asegurar la calidad del servicio. Posteriormente, el personal de la Comisión, definirá en conjunto con el proveedor, las consultas y los reportes adicionales que consideren necesarios para realizar eficientemente la administración del servicio, Se deberán proporcionar los resultados de las consultas y reportes en los periodos y frecuencia que establezca la CNSF de los niveles de servicio y su revisión continua, para asegurar la calidad del servicio. d) Base de Datos La solución de monitoreo deberá contener su propia base de datos con soporte en el mercado, así como ser compatible para la extracción de información en formatos de hojas de cálculo o pdf cuando así lo requiera la CNSF. La medición de la disponibilidad de los servicios, se realizará en forma diaria recolectando la información generada a través de la solución de monitoreo, acumulando esta información hasta el cierre del mes, en donde se realizarán los cálculos finales del comportamiento de la disponibilidad de los servicios durante ese periodo. La información recolectada en forma diaria, no deberá ser compactada ni se realizarán promedios de los promedios al final del mes, la base de cálculo será la información que se obtenga en forma diaria. La base de datos deberá almacenar métricas históricas de desempeño, permitiendo hacer análisis de la información colectada durante un mínimo de 90 días naturales sin compactar la información. La base de datos de la solución de monitoreo, deberá almacenar la totalidad de información generada del desempeño y disponibilidad, de cada uno de los elementos de la solución administrada por el NOC durante 12 meses bajo demanda en línea y durante la vigencia del contrato mediante requerimiento de información al licitante ganador. Toda la información colectada para aplicaciones, equipos y redes deberá ser almacenada en esta base de datos única para efectos de consolidación de información de los componentes administrados o proporcionados por el NOC. Deberá contar con sus propios mecanismos de respaldo y recuperación de información. La solución de monitoreo deberá asegurar que la información de la base de datos única no puede ser modificada. Página 142 de 205

143 La solución de almacenamiento de información deberá permitir acceder a la información mediante consultas a través del protocolo https con interfaz web a usuarios de la CNSF, con sesiones simultáneas y solo se deberá permitir consultar la información. El acceso deberá ser a través de autenticación proporcionada con clave de usuario y contraseña al personal designado por la CNSF, deberá permitir la configuración de roles identificados por usuarios, permitiendo el despliegue individual y privado de la información. e) Consola de Consulta Se deberá proporcionar una herramienta de consulta vía web (protocolo https) y una consola de consulta, donde el personal de la CNSF pueda: Verificar disponibilidad y el funcionamiento de los servicios claves de la CNSF. Obtener una visibilidad en tiempo real de problemas de disponibilidad y problemas de desempeño de equipos que formen parte del servicio administrado, que pueden afectar a la CNSF. La consulta de vistas en tiempo real del funcionamiento de los componentes que formen parte del servicio administrado. La consulta de vistas configurables, que permitan explorar información para la resolución de las fallas. LA CNSF requiere se proporcione el licenciamiento para consolas de reportes y vistas de servicio (no se refiere a equipo, sino a la posibilidad de acceso vía web), las cuales deberán permitir el acceso a la aplicación y a la información a través del protocolo https, al personal de la CNSF autorizado. Los servicios de operación, soporte, administración y mantenimiento de la infraestructura integral de servicios propuestos, deberán estar soportados mediante procesos alineados con la metodología MAAGTICSI vigente o en su caso el que lo sustituye en la CNSF. A continuación se enlistan las funcionalidades mínimas de la solución para el Monitoreo y Administración de la infraestructura: a) El sistema deberá notificar oportunamente las fallas de los elementos de la infraestructura al personal designado por la Comisión y su solicitud, por correo electrónico, mensaje de texto SMS y vía telefónica. Así mismo, levantar en automático el ticket en la Mesa de Servicio. b) El sistema deberá contar con la funcionalidad de análisis del desempeño de las aplicaciones que corran en la red y para las cuales se solicite el monitoreo. La solución deberá indicar de manera visual el estado de salud de los elementos de la infraestructura; es decir, fallas y/o alarmas, funcionamiento adecuado en distintos colores. c) El sistema deberá realizar la planeación de capacidades (Capacity Planning) para generar y entregar a la Comisión, un análisis detallado del comportamiento de los elementos de la Infraestructura proporcionada y las sugerencias de mejora. El sistema deberá contar con monitoreo proactivo y en tiempo real de todos los elementos de la Infraestructura. Página 143 de 205

144 d) El sistema deberá contemplar futuros crecimientos dentro del periodo comprendido de la presente Licitación, sin costo adicional para la Comisión. e) Ante eventos de falla que afecten considerablemente a los elementos de la infraestructura y los servicios, se generarán los reportes asociados a estos eventos indicando las causas, afectación, solución y manera de prevenirlo. f) El sistema deberá proporcionar visibilidad en toda la red (punto a punto), logrando identificar todos los elementos de infraestructura, conexiones y segmentos de red. Mostrando la distribución lógica y física de la topología de red, objeto de la presente licitación. g) El sistema deberá permitir la configuración de umbrales para la generación de alarmas y envío de las mismas vía , mensaje de texto a dispositivos smartphones u otro mecanismo automatizado. h) La solución deberá identificar el desempeño de los servicios y el impacto en el comportamiento de la Infraestructura y la red de área local. i) Se deberá crear una CMDB virtual como la metodología MAAGTICSI vigente o en su caso el que lo sustituye en la Comisión recomienda, con base a los datos recolectados de los diferentes sistemas de administración. j) Se deberá generar información sobre el desempeño, comportamiento y tendencias de la Infraestructura así como de la red de área local, así como crear, planificar, ejecutar y personalizar informes vía web sobre estos elementos. k) El sistema deberá monitorear el desempeño de la Infraestructura, identificando tendencias importantes y emitiendo alertas cuando el comportamiento se desvíe de los parámetros establecidos. l) El sistema deberá contar con RCA (Root Cause Analysis) en caso de falla en tiempo real y determinará el Impacto en la Infraestructura. m) El sistema de Gestión deberá realizar el monitoreo y obtención de performance de la infraestructura sin agentes (Agent Less) para el caso de disponibilidad y cuando se requiera mayor información, la Comisión podrá autorizar la instalación de agentes. También descubrir elementos nuevos de infraestructura de forma automática. n) El sistema deberá realizar la gestión de una manera proactiva que permita resolver problemas de desempeño antes de que afecten a los servicios solicitados. o) El sistema deberá proveer un acceso desde un navegador vía Web de forma centralizada que cuente con control de acceso seguro para el número de usuarios que la Comisión solicite. p) El sistema deberá recolectar métricas en tiempo real como mínimo: Utilización de ancho de banda, pérdida de paquetes y latencia. q) El sistema deberá permitir personalizar reportes a solicitud de la Comisión y poder integrar cualquier métrica, KPI o elemento monitoreado, sin ninguna limitante a cualquier nivel y sin costo adicional. r) Adicionalmente la solución deberá permitir generar reportes personalizados, vía web, en formato pdf para gráficas especificando periodicidad del reporte así como enviarlo por Página 144 de 205

145 a partir de la pantalla que se tenga en línea, para conservar un determinado evento en tiempo real. s) El sistema deberá consolidar varios sistemas de administración heterogéneos en una sola pantalla de gestión general de la Infraestructura, el cual permitirá la integración de cualquier sistema de gestión en el mercado. t) El Licitante debe considerar que la información almacenada deberá estar disponible para consulta en línea sin sumarizar la información colectada por un periodo mínimo de 90 días, y posteriormente podrán ser sumarizada y almacenada para consulta posterior como mínimo por 1 año. u) La solución deberá identificar el desempeño de las aplicaciones y el impacto en el comportamiento de la red. v) El sistema deberá tener la capacidad para IPV6. w) El sistema deberá soportar 10Gb Ethernet. x) El sistema deberá permitir personalizar los reportes de aplicaciones en toda la red. y) El sistema deberá permitir mostrar reportes de tráfico de las aplicaciones en intervalos seleccionables por el usuario en intervalos de: minutos, horas, días, semanas, y meses, así como cada sesión entre dispositivos y aplicaciones en la red, objeto del presente contrato. z) La solución deberá poseer la capacidad de hacer drill-down yendo desde una gráfica, permitiendo identificar los pasos de una transacción para mostrar el tiempo de respuesta de la red vs el tiempo de respuesta de la aplicación. aa) El sistema deberá respetar la importancia de cada aplicación definida en las políticas de la red y en ese sentido jerárquico deberá generar alarmas por utilización. bb) El sistema deberá descubrir de manera automática la actividad de aplicaciones nuevas o aplicaciones eliminadas. cc) La solución deberá mostrar en tiempo real todo el tráfico en la red e identificará de manera rápida problemas de tiempos de respuesta y mostrará todas las aplicaciones afectadas. dd) Deberá incorporar los Switches, UPS, servidores y en general cualquier dispositivo que forme parte del Proyecto y que sea indicado por la Comisión. El Sistema de Monitoreo deberá contar con la capacidad de clasificar la infraestructura por inmuebles, por servidores, por servicios y configurar, monitorear, administrar, detectar alarmas de todos los elementos de red suministrados y con capacidad de crecimiento de hasta el 20% en el total de elementos de la infraestructura. ee) La solución de Monitoreo de la Infraestructura, deberá contar con la capacidad de realizar mediciones de las métricas de todos los equipos utilizados para proporcionar el Servicio objeto de la presente Licitación, así como de generar alarmas cuando el desempeño de cada uno de dichos equipos, se vea degradados más allá de los umbrales establecidos. Página 145 de 205

146 ff) Deberá permitir la creación de grupos o subgrupos de los equipos monitoreados, organizándolos por orden de importancia, mostrando su estatus de operación a través de diferentes colores. gg) El servidor central del Sistema de Monitoreo, deberá estar ubicado en las instalaciones del Licitante Ganador e incorporar licencias sin interrupción en el servicio y sin costo adicional para la Comisión. hh) Deberá ser capaz de monitorear los equipos, utilizando al menos los siguientes protocolos: ICMP para la disponibilidad de la infraestructura, permitiendo configurar el tamaño de los paquetes enviados. SNMP v3 WMI JMX ii) Para obtener las mediciones de las métricas de los equipos monitoreados, la solución deberá utilizar un explorador de MIBS (MIB Browser) para realizar peticiones bajo demanda de una prueba mediante un OID (Object Identifier) en específico. jj) La solución de monitoreo no deberá afectar el desempeño de la infraestructura LAN, por lo que no se admite una solución basada en agentes. kk) El tiempo de poleo estándar para cada uno de los dispositivos monitoreados deberá ser de 5 minutos, pero la herramienta deberá contar con la capacidad de ajustar el tiempo de poleo, disminuyendo o incrementando este valor conforme a las necesidades de la Comisión. ll) Deberá contar con la capacidad de crear imágenes y mapas por zona o región, dentro de la Comisión, para mostrar la localización lógica de los equipos e ir bajando hasta un elemento en particular. Así mismo debe tener la capacidad de poder seleccionar un elemento en particular y mostrar su configuración y atributos, así como las métricas que están siendo monitoreadas. mm) La solución deberá contar con la capacidad de poder ser accedida 100% vía web. nn) La solución deberá contar con la capacidad de proporcionar acceso a los usuarios que la Comisión designe, con permisos de sólo lectura. oo) La solución propuesta deberá soportar capacidad para la generación de reportes, tomando en cuenta múltiples perfiles de reportes, por usuario, operador, administrador, mesa de ayuda y ejecutivos. pp) Deberá permitir la creación de contenedores de servicio, para cada uno de los elementos monitoreados. La solución deberá soportar una arquitectura distribuida a través de un Sistema Central y sistemas colectores distribuidos, que garantice que no se presentarán cuellos de botella. Cada sistema colector distribuido, deberá contar con una base de datos propia que permita el monitoreo continuo, en caso de que se pierda conexión con el sistema de monitoreo central. Página 146 de 205

147 qq) Deberá contar con la capacidad de realizar autodescubrimiento de los equipos que conforman la infraestructura, a través de las direcciones IP asociadas a cada uno de estos, además de permitir la integración de nuevos equipos de manera manual. rr) Deberá contar con la capacidad de generar un inventario por nombres y/o direcciones IP de los equipos descubiertos o integrados de manera manual. ss) Deberá contar con la capacidad de detección, análisis y reportes de desempeño de los dispositivos y mostrar la siguiente información de manera enunciativa más no limitativa: Para cada uno de los Switches que conforman la solución de Infraestructura LAN, deberá descubrir de forma automática la siguiente información como mínimo: Modelo Puertos. De estos deberá mostrar al menos: - Número de paquete de entrada y salida - Tráfico de entrada y salida - Utilización de entrada y salida - Estado administrativo - Utilización de los CPU s - Uso de memoria física - VLAN s tt) La solución deberá permitir la configuración de pantallas dinámicas, en las cuales se muestre el status de cada uno de los elementos monitoreados. uu) La solución deberá contar con la capacidad de permitir la visualización topológica de todos los dispositivos monitoreados. vv) La solución deberá permitir filtros de búsqueda que le permitan mostrar los dispositivos por: Nombre del dispositivo Dirección IP y/o MAC ww) La solución deberá permitir la generación de reportes en tiempo real y contar por sí misma, con la capacidad de almacenamiento necesaria para obtener reportes históricos de hasta 45 días naturales atrás como mínimo en línea, con una resolución o discrecionalidad de hasta un minuto, por un determinado periodo de tiempo. xx) El Licitante deberá considerar en su proposición, los elementos necesarios para garantizar el respaldo y almacenamiento de la información que se genere durante toda la vigencia del Contrato, además de procesar la información respaldada, en el mismo formato que maneja la herramienta propuesta para el monitoreo y los reportes que sean solicitados por la Comisión. yy) Se deberán poder exportar los reportes al menos en los siguientes formatos: HTML PDF CSV Página 147 de 205

148 zz) Los reportes obtenidos deberán ser calendarizados y enviados vía correo electrónico al personal que la Comisión designe. aaa) La solución deberá permitir la correlación de las métricas que genere con los niveles de servicio establecidos en el Contrato, de tal manera que se muestre los tiempos y/o porcentajes de cumplimiento e incumplimiento para cada una de las métricas referidas, a fin de determinar los incumplimientos a los niveles de servicio (SLA). bbb) La solución deberá contar con una pantalla que muestre los dispositivos que se vieron afectados como resultado de la violación de un determinado umbral, así como enviar correo electrónico a personal que la Comisión designe. ccc) La solución deberá cumplir adicionalmente con las siguientes características: Deberá tener la capacidad de proveer una visión de dominios VLAN, LAN Segmentos. Deberá poder relacionar la dirección MAC e IP con el puerto del switch. Deberá contar con detección de fallas en la Infraestructura, debiendo usar las políticas definidas por el administrador, traps de SNMP v3 o poleo de los dispositivos para detectarlas. Todos los reportes se deberán programar y generarse de manera sencilla así como permitir la agrupación de dispositivos y la concentración de distintas métricas. La interfaz de generación de reportes deberá permitir exportar de forma simple, y mínimo soportará la exportación a los siguientes formatos: pdf y csv. 7. TRANSICIÓN DE PROVEEDORES 7.1 AL INICIO DEL CONTRATO. El licitante adjudicado del servicio estará obligado durante el periodo de transición, a realizar bajo las siguientes condiciones, dicha transferencia: Deberá garantizar el cumplimiento de los niveles de servicio. Dicho periodo de transición podrá durar hasta 1 mes para la migración, mismo que estará incluido en la vigencia del contrato o de los convenios que en su caso se celebren. Durante dicho periodo, el prestador del servicio deberá coordinarse con personal de la CNSF y el proveedor anterior para agilizar la migración y garantizar la continuidad de los servicios licitados. 7.2 AL TÉRMINO DEL CONTRATO Al término del contrato, el licitante ganador deberá asegurar, comprobar y documentar que la información manejada durante éste ya no residirá en la Infraestructura ofertada y que será borrada en su totalidad y entregar carta en que conste que no existe riesgo de accesos posteriores por ninguna persona. Asimismo las configuraciones deben ser borradas. Página 148 de 205

149 Los discos locales de los servidores deberán formatearse y todo lo que aplique y que asegure que todas las configuraciones hechas en el mismo durante la vigencia del contrato, no puedan ser vistas o recuperadas con posterioridad por los futuros usuarios de ese servidor. El licitante ganador se obliga a: a) Entregar un reporte del estado que guarda el servicio que ofreció a la Convocante al menos 30 días antes de la finalización del contrato o en la fecha que resulte de la negociación que realice la Convocante con el nuevo licitante ganador de acuerdo a las condiciones existentes al final de contrato. b) Participar en las reuniones que le solicite la convocante con el nuevo proveedor al final del contrato. c) En caso de rescisión del contrato el licitante ganador se obliga a cumplir además de lo especificado en el párrafo anterior de este anexo a mantener la totalidad de los recursos humanos hasta que la Convocante contrate a un nuevo proveedor para proporcionar el mismo servicio y se efectué la transición correspondiente. Dicho periodo de transición podrá durar hasta 6 meses para la migración, el cual estará incluido en la vigencia del contrato o de los convenios que en su caso se celebren. 8. GARANTÍAS Y MANTENIMIENTOS (SOPORTE Y ACTUALIZACIÓN) Para todos los componentes de la solución ofertada se deberán otorgar las siguientes garantías y Soporte Técnico. a) Garantía de Hardware. Garantía durante la vigencia del contrato, en sitio para todos los componentes de la solución ofertada, con cobertura 24X7, con tiempo de respuesta de 4 horas mismo día y con sustitución de los mismos por parte del fabricante del equipo. Carta del fabricante del hardware donde garantice la existencia de refacciones por lo menos durante los siguientes cuatro años a partir de la fecha de entrega de los bienes. b) Garantía de Software. 90 días para todos los componentes de la solución ofertada. Soporte telefónico 8X5, con tiempo de respuesta máximo de 15 minutos. Servicios de actualización de versiones y medios magnéticos (instalación y documentación) durante la vigencia del contrato. c) Soporte Técnico para Hardware y Software. El fabricante o los fabricantes que se contemplen en la solución deberán contar con una oficina de representación debidamente conformada en México para proveer el soporte técnico de campo solicitado. Servicio de asistencia telefónica, con tiempo máximo de respuesta de 15 minutos. Página 149 de 205

150 Servicio de asistencia en Internet. Servicio de asistencia técnica vía remota o Internet en caso de ser necesario. Plan de escalamiento de fallas. Soporte en sitio en caso de que el problema no se resuelva en 24 hrs. d) Garantía y Soporte para el UPS. Garantía durante la vigencia del contrato, en sitio para todos los componentes de la solución ofertada, con cobertura 24X7, con tiempo de respuesta de 4 horas mismo día y con sustitución de los mismos por parte del fabricante del equipo. Carta del fabricante del hardware donde garantice la existencia de refacciones por lo menos durante los siguientes cuatro años a partir de la fecha de entrega de los bienes. Al menos un servicio de mantenimiento preventivo anual después del primer año de servicio. La garantía otorgada por el licitante comprenderá partes, refacciones originales, equipos, accesorios, materiales, unidades auxiliares y mano de obra de los servicios que se proporcionan sin costo adicional para la Convocante. Mantenimientos Preventivos y Correctivos. Se deberán implementar los procedimientos, así como prever y considerar el equipo, refacciones, materiales, insumos y personal especializado necesario para llevar a cabo las labores de mantenimiento, tanto preventivos como correctivos, de la infraestructura total que se utilice para proporcionar el servicio integral objeto de esta licitación, sin que esto genere un costo adicional para la CNSF. En el servicio de Mantenimiento se deberá incluir la actualización de software y firmware de los componentes de la solución que así lo requieran. Las fechas para su realización se acordarán previamente entre el personal del proveedor y la CNSF. 9. CAPACITACIÓN 9.1 Transferencia de conocimientos El proveedor deberá de realizar la transferencia tecnológica de la Implementación realizada al personal designado por la CNSF, a más tardar 10 días después de realizada ésta. 9.2 Cursos El licitante ganador debe considerar la capacitación relacionada a la tecnología del equipamiento ofertado así como a la de las herramientas de monitoreo propuesto de al menos 2 personas de la Dirección General de Tecmnología de la Información, por lo que deberá ofertar los siguientes cursos: a) Administración de switches de core. Página 150 de 205

151 b) Administración de switches de acceso. c) Administración de la controladora inalámbrica y access point d) Administración avanzada del sistema de prevención de intrusos. e) Administración del firewall f) Administración avanzada de la solución de filtrado de contenido. g) Administración de la solución SIEM h) Herramientas de monitoreo Esta capacitación no deberá generar costos adicionales para la Convocante y su impartición no podrá rebasar de 9 meses posteriores a la Implementación de la Solución, previo acuerdo de fechas entre las partes. Todos los cursos indicados en esta sección, deberán ser impartidos fuera de las instalaciones de la Convocante y se requiere se impartan en Centro de entrenamiento Certificado por el fabricante dentro de la Ciudad de México. Se requiere que el personal que imparta los cursos, sea personal certificado en la administración de los equipos sobre los cuales tratará el curso; para lo cual el licitante ganador deberá mostrar al personal de Comisión los documentos que lo demuestren. La presentación de estos documentos se deberá realizar al menos 5 días hábiles antes del inicio de cada curso. Se deberá entregar el material correspondiente en cada unos de los cursos y al final de éstos constancia de participación o documento similar al personal participante. La acreditación del Centro de entrenamiento, así como la relación de cursos ofertados, deberá proporcionarse en la oferta que presente cada uno de los licitantes. 10. NIVELES DE SERVICIO Todos los servicios proporcionados serán evaluados a partir de los siguientes niveles de Servicio a) Los Niveles de Servicio deberán mantenerse durante toda la vigencia del contrato, para todos los equipos considerando los 365 días del año y las 24 horas de cada día. b) Soporte de hardware con un tiempo de solución de incidentes máximo de 4 horas después de formalización del incidente en la mesa de ayuda. c) Soporte al software incluido en esta licitación con un tiempo de respuesta máxima de 4 horas. d) Sustitución de equipo a las 24 horas, cuando el problema no pueda resolverse satisfactoriamente. e) Operación y nivel de disponibilidad de los equipos de comunicaciones con una disponibilidad mínima de 99.4% mensual y de anual. Página 151 de 205

152 Los mantenimientos programados y acordados entre el licitante y la Comisión, no se tomarán en cuenta para el tiempo de solución de incidentes, ni serán consideradas en el cálculo de disponibilidad. La Comisión podrá autorizar prórrogas en la atención de los niveles de servicio una vez evaluada la causa. 11. CUMPLIMIENTO DE CLÁUSULAS DE SEGURIDAD SGSI Durante la vigencia del contrato, el proveedor ganador se compromete al cumplimiento de las cláusulas de seguridad derivadas del Sistema de Gestión de Seguridad Informática, mismas que se incluyen en el Anexo B Cláusulas SGSI 12. DOCUMENTACIÓN PARA PARTICIPAR a) Carta de Funcionalidad Los licitantes deberán entregar catálogos técnicos o manuales originales de especificaciones técnicas de los productos ofertados, sin tachaduras ni enmendaduras. Opcionalmente, podrán presentarse documentos bajados de Internet, indicando la dirección electrónica pública de origen para comprobación de la documentación. Documentación que certifique la compatibilidad y funcionalidad de los elementos de hardware con el software a integrar en la solución ofertada: Switches, Servidores, Bases de Datos, Dispositivos de conectividad, etc. Tanto en el Centro de Datos Principal como en Oficinas Centrales y Delegaciones Regionales. Esta podrá ser carta de los fabricantes de hardware avalando dicha compatibilidad y funcionalidad. b) Carta de obligado solidario Cartas en la que el fabricante de hardware se obliga a respaldar solidariamente en el tiempo de entrega y plazo de garantía los componentes objeto de esta licitación. Cartas en la que el fabricante o mayorista de software se obliga a respaldar solidariamente en el tiempo de entrega y plazo de garantía los componentes objeto de esta licitación. c) Certificaciones solicitadas Administrador de Proyecto 2 cartas de recomendación de clientes en los que se haya desempeñado como Gerente de Proyectos (o rol similar). Las cartas deberá mostrar las actividades desarrolladas, los resultados en su labor de Gerente de Proyectos, periodo en el que se desarrolló la actividad, nombre y puesto de la persona que firma el documento y que debió ser quien administraba el proyecto de parte del cliente, así como nombre de la empresa y teléfono de quien firma. La Convocante se reserva el derecho de confirmar la información proporcionada en la carta e incluso hacer contacto con la persona que firme el documento. Copia del certificado PMP, vigente al menos hasta el término de la implementación. Mesa de Servicios Página 152 de 205

153 La herramienta de Mesa de Servicios deberá contar con procesos de ITIL versión 3 certificados. d) Requerimiento para el personal, establecidos en la sección de Personal Firmas de elaboración, revisión y aprobación Lic. Ricardo Abel Bautista Rodríguez Subdirector de Producción Ing. Miguel Franco Martínez. Subdirector de Administración Informática. Lic. Gustavo Gallegos Pérez Líder de Proyecto de Mesa de Ayuda. Página 153 de 205

154 ANEXO A DIRECTORIO OFICINAS COMISIÓN NACIONAL DE SEGUROS Y FIANZAS 1. Oficinas Centrales a) Comisión Nacional de Seguros y Fianzas Av. Insurgentes Sur 1971, Torre I Sur, Piso 2 Colonia Guadalupe Inn Delegación Álvaro Obregón C.P México, D.F. Tel.: b) Atención de Agentes Dirección de Intermediarios, Registros y Enlace Regional Calle Fernando Villalpando No. 18 Colonia Guadalupe Inn Delegación Álvaro Obregón C.P México, D.F. Tel.: c) Oficialía de Partes Av. Universidad No Colonia Oxtopulco, Universidad entre Cerro Xico y Cerro Acasulco Delegación Coyoacán C.P México, D.F. Tel.: rialonso@cnsf.gob.mx 2. Delegaciones Regionales a) Delegación Regional Guadalajara Lic. Eduardo Francisco Rodríguez Hernández Delegado Regional de Guadalajara Av. Vallarta # 1540, Int. 301, Col. Americana, CP Tel: / 01 (33) / 01 (33) / 01 (33) Página 154 de 205

155 b) Delegación Regional Hermosillo Lic. Rigoberto Vale Cuen Delegado Regional Hermosillo Galeana No. 205 y Paseo Rio Sonora Edif. 109 grados 28 minutos Workspace Río, Piso 2 Locales 204 y 205, Col. Proyecto Rio Sonora C.P , Hermosillo, Sonora Tel: 01 (662) / 01 (662) / Fax: 01 (662) rvale@cnsf.gob.mx c) Delegación Regional Mérida Lic. Benito Alonso Castro Delegado Regional Mérida Calle 59 No. 543, P.B. X 66 y 68 Col. Centro, C.P Mérida, Yucatán Tel: / 01 (999) / 01 (999) Fax: 01 (999) balonso@cnsf.gob.mx d) Delegación Regional Monterrey Lic. Magdy Sharon Castañeda Márquez Delegado Regional de Monterrey Calle Hidalgo No Poniente, Planta Baja Colonia Obispado, C.P.64060, Monterrey, Nuevo León Tel: 01 (81) / 01 (81) / 01 (81) mcastaneda@cnsf.gob.mx e) Delegación Regional Veracruz Lic. Roberto Alvarado Copto Delegado Regional de Veracruz Página 155 de 205

156 Calle: Díaz Aragón No. 380, Colonia Ricardo Flores Magón C.P , Veracruz, Ver. Tel: / 01 (229) / 01 (229) Fax: 01 (229) ralvarado@cnsf.gob.mx Página 156 de 205

157 ANEXO B CLÁUSULAS SGSI a) El licitante ganador se debe comprometer a que mantendrá absoluta confidencialidad de la información a la cual tenga acceso, siendo responsable de que cada uno de los integrantes del personal asignado para el desarrollo y operación del proyecto, respetará el manejo correcto de la información. b) Toda la información a que tenga acceso al personal que el licitante ganador designe para la prestación de los servicios materia de las presentes bases, es considerada de carácter confidencial, por lo que el licitante ganador deberá garantizar que por ningún motivo se viole ninguno de los siguientes acuerdos: c) La información de la Convocante y a la cual tenga acceso el personal del licitante ganador no deberá ser copiada o respaldada en ninguno de los equipos del personal del licitante ganador sin autorización previa del personal de la Dirección General de Tecnologías de la Información. d) El acceso a la información de la Convocante sólo podrá ser por personal autorizado de la misma. e) De no cumplir con alguna de estas premisas, se considerará como una falta al acuerdo de confidencialidad que aceptó el licitante ganador. f) El proveedor deberá apegarse a los procedimientos, controles, políticas y en general a todos los requerimientos establecidos por el Sistema de Gestión de la Seguridad de la Información de la CNSF. 1) Todo proveedor que inicie una relación contractual con la COMISION deberá cumplir con los requerimientos y obligaciones generales del Sistema de Gestión de Seguridad de la Información, denominado SGSI, conforme al estándar ISO 27001, así como apegarse a los procedimientos y controles de seguridad a aplicar según la norma ISO que lo integran. EL PRESTADOR deberá aceptar y apegarse estrictamente a los Términos y Condiciones de Contratación establecidos en el Procedimiento A dentro del SGSI implementado dentro de la COMISION. Las medidas de seguridad de los servicios ofertados por EL PRESTADOR deberán adecuarse a las políticas y normativa en cumplimiento con el SGSI implementado en la COMISION en cada momento, considerando que es un proceso repetitivo basado en el modelo PDCA (planificar, actuar, verificar y hacer), que evolucionarán y mejorarán como parte de un proceso de mejora continua y durante la prestación del servicio, debiendo cumplirse por tanto con los requisitos mínimos establecidos en materia de seguridad y con la capacidad para adaptarse a las posibles modificaciones y nuevas exigencias de seguridad que se planteen durante la vigencia del contrato. Durante la prestación del servicio, la COMISION podrá realizar evaluaciones de la seguridad de los recursos de EL PRESTADOR, esto es, equipos de cómputo, sistemas, documentación, o cualquier otro recurso que intervenga en la ejecución del servicio razón de este contrato; así como auditar los registros que sean relevantes al objeto del servicio del presente contrato, debiendo EL PRESTADOR ofrecer la colaboración necesaria para tal fin. En caso de que la COMISION detecte patrones sospechosos en materia de seguridad que pudieran suponer mal uso, detección de anomalías, intrusiones u otros, EL PRESTADOR deberá Página 157 de 205

158 tomar las medidas oportunas para su prevención y corrección determinando los controles de seguridad a aplicar según Norma ISO ) De acuerdo a la Política de Uso Aceptable de Información y Activos Relacionados perteneciente al Sistema de Gestión de Seguridad de la Información implementado en la CNSF, si con motivo de la relación establecida objeto del presente contrato EL PRESTADOR del servicio requiere el acceso a los activos de la COMISION, tanto en las instalaciones de ésta como vía remota, se obligará a firmar el documento de Condiciones de Uso de Recursos Informáticos donde se establecen y describen las reglas y condiciones de uso de la información y activos asociados con las instalaciones de procesamiento de información. De cualquier forma, todo prestador de servicio se obliga a observar y cumplir con los lineamientos descritos dentro de la política mencionada y procedimientos relacionados como parte del Sistema de Gestión de Seguridad de la Información. 3) Toda la información y documentación que resulte de la ejecución del presente contrato, así como la que la COMISIÓN le proporcione a EL PRESTADOR, incluyendo información de carácter técnica y/o comercial, será considerada por el mismo como información confidencial, por lo que no deberá usarse dicha información para cualquier otro propósito distinto que no sea para el cumplimiento de las obligaciones pactadas. EL PRESTADOR tiene expresamente prohibido hacer público cualquier detalle o información relativa a la estructura, ubicación, configuración y uso de las infraestructuras y servicios que utiliza o presta en o para la COMISION. En caso de infringir lo anterior, se ejercerán en su contra las acciones penales, administrativas y civiles a que el hecho dé lugar, sin que ello exima del pago de daños y perjuicios ocasionados por "EL PRESTADOR" a la COMISIÓN". 4) EL PRESTADOR deberá vigilar en todo momento la confidencialidad e integridad de la información gestionada y relacionada con el servicio proporcionado, sea a través de los sistemas, documentos, archivos, etc., asegurando la información misma y sus métodos de proceso, garantizando su precisión e integridad, así como su validez de acuerdo a los objetivos y expectativas del objeto del contrato. Toda información manejada previo, durante y con posterioridad a la vigencia del contrato y clasificada oficialmente estará sujeta a la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIPG) y Reglamento de la Ley Federal y Acceso a la Información Pública Gubernamental, siendo: pública, reservada y confidencial. Para tales efectos, EL PRESTADOR se apoyará en lo señalado dentro de las políticas y procedimientos del SGSI: Lineamientos de Clasificación así como Etiquetado y Manejo de Información, respectivamente. 5) Al finalizar la prestación del servicio, sea por terminación definitiva de la relación contractual por finalización del proyecto, terminación anticipada o bien recisión de contrato (terminación por incumplimiento o insatisfacción), deberá existir formal apego a los procedimientos de finalización de la relación que incluyan referencias al Procedimiento A Devolución de Activos establecido dentro del SGSI implementado en la COMISION considerando devoluciones de activos, baja de cuentas, escaneo de información en medios portátiles, etc. Página 158 de 205

159 6) En caso de que se presente una reclamación contra la COMISIÓN alegando que alguno de los servicios que se amparan en el presente contrato infringe algún derecho de propiedad intelectual o derechos de autor en México, EL PRESTADOR defenderá contra dicha reclamación a sus expensas. Al defenderse de tal reclamación EL PRESTADOR podrá llegar a un acuerdo en los términos y condiciones que así lo desee. EL PRESTADOR pagará los daños y costos que finalmente sean imputados a la COMISIÓN y si el uso del producto queda prohibido en cualquier concesión o acuerdo final, EL PRESTADOR podrá, a su elección y por su cuenta, realizar alguna de las siguientes acciones: conseguir el derecho para continuar usando el producto, sustituir el producto por otro que no viole ningún derecho. Lo anterior, establece la responsabilidad legal completa de EL PRESTADOR en caso de violación de los derechos de propiedad industrial, o derechos de autor, por LOS PRODUCTOS suministrados al amparo del presente contrato. 7) En concordancia a Ley del Derecho de Autor y demás ordenanzas relativas a los derechos de autoría intelectual sobre los programas y sistemas que se desarrollen a petición y a favor de las funciones de la CNSF durante la vigencia del contrato, serán propiedad de la COMISION, quien podrá hacer uso de ellos sin que EL PRESTADOR del servicio pueda oponerse a ello o exigir algún beneficio adicional a lo que se establezca en el contrato. Conforme a la Política de Cumplimiento de Derechos de Propiedad Intelectual, la COMISIÓN se reserva todos los derechos correspondientes de acuerdo a la LFDA sobre el software, su documentación y cualquier material desarrollado por cualquier persona durante el ejercicio de sus funciones objetos del presente contrato. EL PRESTADOR renunciará expresamente a cualquier derecho que sobre los trabajos realizados como consecuencia de la ejecución del contrato pudiera corresponderle, y no podrá hacer ningún uso o divulgación de los informes, estudios y documentos elaborados, bien sea en forma total o parcial, directa o extractada, original o reproducida, sin autorización expresa de la COMISION. 8) Con fundamento en el Artículo 20 fracción VI de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, la COMISION tiene la responsabilidad de adoptar las medidas necesarias que garanticen la seguridad de los datos personales y evitar su alteración, pérdida, transmisión y acceso no autorizados. EL PRESTADOR deberá garantizar la confidencialidad e integridad de los datos manejados y de la documentación facilitada, y en este sentido, deberá sujetarse a los preceptos legales en materia de protección de datos personales e información reservada o confidencial en cumplimiento con la LFTAIPG, así como con la Política de Protección de Datos y Privacidad. 9) La "COMISION" establecerá los Acuerdos de Niveles de Servicio, en lo sucesivo SLA (Service Level Agreement), que serán objeto de seguimiento y supervisión en el nivel de cumplimiento de los mismos como umbral de calidad del servicio. Entendiendo como SLA, aquel acuerdo establecido entre la "COMISION" y "EL PRESTADOR", en el que se indicará el servicio concreto, se documentará el objetivo del Nivel de Servicio y se especificarán los compromisos que deberá cumplir "EL PRESTADOR". Su principal objetivo será Página 159 de 205

160 establecer parámetros medibles que permitan a la "COMISION" y a "EL PRESTADOR", controlar la calidad de los servicios prestados, tanto de manera puntual como en su evolución en el tiempo. "EL PRESTADOR", en conjunto con la "COMISION", proporcionará la información necesaria para el seguimiento de los SLA establecidos mediante los correspondientes informes de seguimiento, y garantizará el mantenimiento de históricos de actividad durante todo el período de vigencia del contrato objeto de esta contrato. La información será objetiva y obtenida preferentemente a través de los registros elaborados con las herramientas de gestión. Tanto las herramientas de gestión como la forma de extracción de la información, serán definidas por la "COMISION". El incumplimiento de los valores comprometidos en los SLA supondrá la aplicación de penalizaciones, según se detallen entre ambas partes y como parte del anexo correspondiente al iniciar la vigencia del contrato. A fin de mejorar la calidad del servicio prestado, algunos de los SLA que identifique la "COMISION", estarán orientados a la mejora continua, de forma que los valores comprometidos serán fijados de modo progresivo, más elevados conforme transcurra la vigencia del contrato con el objeto de lograr una mejora en la calidad del servicio. Adicionalmente, se podrán proponer mejoras sobre los niveles de compromisos establecidos o indicadores adicionales. Los SLA inicialmente definidos serán susceptibles de variarse o ampliarse durante el periodo de ejecución del servicio, siempre dentro del alcance y competencias establecidas dentro de esta relación contractual. 10) Por cada proyecto o servicio ofertado por "EL PRESTADOR", se definirán un responsable único con quien se canalizará todo requerimiento relacionado con el servicio, los mecanismos de levantamiento de este tipo de incidentes y los tiempos máximos de respuesta y solución de los mismos. De igual forma y antes de iniciar la vigencia del contrato, se definirá el personal de contacto adicional o niveles de escalamiento que intervendrán en caso de que el primer nivel de atención no resolviera a satisfacción de la "COMISIÓN" los incidentes reportados; los responsables de los niveles de escalamiento deberán ser definidos entre los superiores jerárquicos de "EL PRESTADOR" a fin de garantizar la solución del incidente o requerimiento relacionados como parte del cumplimiento del objetivo del contrato. 11) En caso de ser necesario y de así requerirlo, la "COMISION" puede modificar los contratos y acuerdos establecidos con externos cuando existan cambios derivados de: cambios en los servicios que ofrece; nuevas aplicaciones y sistemas que ha desarrollado o adquirido; modificaciones, cambios o actualizaciones a sus propias políticas y procedimientos; la implementación de nuevos controles o la modificación de los controles existentes que haya surgido de los análisis de riesgos, para solucionar incidentes de seguridad de la información o para mejorar la seguridad; cambios en la legislación; modificaciones al presupuesto; entre otros. Los nuevos controles o cambios a los controles existentes se identifican, acordarán y autorizan con el tercero para la modificación de los contratos, de acuerdo al Artículo 52 de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público o cualquier otra normativa aplicable. 12) Se identificará por parte de la "COMISION" la necesidad de considerar el desecho de medios de almacenamiento, sea al término de la relación contractual o a discreción de la CNSF, siendo entonces compromiso de "EL PRESTADOR" destruir o devolver a la Página 160 de 205

161 "COMISION" cualquier soporte que contuviera datos de carácter personal o información considerada como reservada o confidencial por la CNSF, informatizados o no, en cumplimiento y apego a las instrucciones descritas dentro de los procedimientos del SGSI relacionados, como son Administración de Medios Removibles y Desecho de Medios. 13) De acuerdo al tipo de relación que se establezca con "EL PRESTADOR", deberá considerar un plan de la continuidad de las operaciones, cuyo objetivo sea controlar y contrarrestar las posibles interrupciones a las actividades operativas y proteger los procesos críticos de los efectos de fallas en las comunicaciones, sistemas de información de desastres, contingencias, etc., garantizando la reanudación oportuna del servicio, sea a través de un plan de retorno o un plan de contingencia relacionado, para mantener o restaurar operaciones y asegurar la disponibilidad de la información al nivel requerido y en las escalas de tiempo requeridas después de una interrupción o falla, y las pruebas y actualizaciones periódicas de dicho Plan para garantizar la vigencia y efectividad. En este contexto, una interrupción se define como un evento, ya sea anticipado o no anticipado, que causa una desviación no planeada y negativa de la entrega de servicios esperada de acuerdo a los objetivos de la "COMISION", así como de los establecidos a nivel contractual. Página 161 de 205

162 ANEXO C SERVICIOS ACTUALES Se presenta a continuación el alcance de los proyectos con los que cuenta la Comisión para la prestación de los servicios actuales. Como referencia, se presenta en la siguiente tabla, la distribución aproximada de puertos seguros administrados y a continuación el Inventario del Equipo Actual, mismo que deberá ser reemplazado por el proveedor ganador. También se incluyen las características de los distribuidores de fibra óptica. Oficina Torre Piso PuertoSeguro Administrado PSA 1G PSA 10G Centrales 3 Plaza Inn Norte Sur 1 2 Villalpando Universidad 19 Regionales Guadalajara 27 Hermosillo 26 Merida 17 Monterrey 33 Veracruz 25 Chihuahua 33 A Futuro Página 162 de 205

163 LOCALIDAD UBICACIÓ N MODELO/#-PARTE Nume ro de equip os Puertos Cobre / Fibra Puertos Ocupad os Cobre Puertos Ocupad os Fibra INSURGENTE S SITE Procurve 8200zl/J9091A 1 144/ INSURGENTE S INSURGENTE S INSURGENTE S INSURGENTE S INSURGENTE S IDF_PISO- 1 IDF_PISO- 1 IDF_PISO- 2 IDF_PISO- 2 IDF_PISO- 3 HP-3800E/J9574A 3 144/ HP-3800E/J9574A 3 144/ HP-3800E/J9574A 3 144/ HP-3800E/J9574A 3 144/ HP-3800E/J9574A 2 96/ INSURGENTE S SITE MSM765zl/J9154A_ J9370A 1 VILLALPAND O UNIVERSIDA D IDF HP-3800E/J9574A 2 96/ IDF HP-3800E/J9574A 1 48/ Página 163 de 205

164 VERACRUZ IDF HP-3800E/J9574A 1 48/ MERIDA IDF HP-3800E/J9574A 1 48/ GUADALAJAR A IDF HP-3800E/J9574A 1 48/ MONTERREY IDF HP-3800E/J9574A 1 48/ HERMOSILLO IDF HP-3800E/J9574A 1 48/ INSURGENTE S INSURGENTE S IDF A-F1000-E IDF A-F1000-E INSURGENTE S IDF 1400N 1 5 segment os 3 0 INSURGENTE S IDF 1400N 1 5 segment os 3 0 INSURGENTE S IDF Página 164 de 205

165 Adicionalmente, se presenta a continuación el Diagrama de interconexión de red con el que cuenta actualmente la CNSF: Página 165 de 205

166 Página 166 de 205