Objeto: Contratar los servicios de certificación digital abierta para el aseguramiento jurídico y técnico de las comunicaciones electrónicas emanadas por la Superintendencia de Subsidio Familiar. A. OBSERVACIONES PRESENTADAS POR CERTICAMARA S.A. (enviada por correo electrónico el día 12-05-2015): 1 1. Teniendo en cuenta que dentro de las condiciones técnicas mínimas NO SE ESPECIFICAN LAS Características TÉCNICAS MÍNIMAS REQUERIDAS PARA LOS CERTIFICADOS SSL solicitamos a la entidad definir dichas especificaciones con base a los siguientes numerales: a) Especificar el Nivel de cifrado de mínimo que deberán ofrecer los certificados SSL, es decir, si el cifrado debe ser de mínimo 128 Bits hasta 256 Bits (cifrado SGC) o un debe ser un cifrado de mínimo 40 Bits hasta 256 Bits (sin cifrado SGC). En el numeral 1.2.6 de la ficha técnica CERTIFICADO SSL CON EV se indica que ( ) debe tener como mínimo los siguientes servicios: cifrado potente o de mínimo 256 Bits, garantiza que entre el navegador del visitante y el portal web se establecerá el máximo nivel de cifrado certificado ( ). Lo anterior significa que la Superintendencia del Subsidio Familiar requiere un nivel de cifrado SGC, de 128 a 256 bits. Esto será aclarado en el pliego definitivo. b) Especificar si los certificados SSL deberán ser compatibles con algoritmos de cifrado ECC (curva elíptica), OSA y RSA con la posibilidad de generar un certificado SSL para la misma URL por cada algoritmo de cifrado (ECC, RSA y OSA) con el fin de garantizar la compatibilidad con todos los navegadores web. Efectivamente la Superintendencia del Subsidio Familiar requiere que los certificados SSL sean compatibles con los algoritmos mencionados. Para mayor claridad esto se precisará en el pliego definitivo. c) Especificar si los certificados SSL deberán integrar funciones de seguridad como el escaneo automático semanal en búsqueda de malware sobre el portal web asegurado a fin de detectar posibles códigos maliciosos infiltrados en el código fuente del sitio web. En el punto 1.2.6 de la ficha técnica CERTIFICADO SSL CON EV se indica que se requiere el servicio de escaneo de malware. Este punto será precisado en el pliego definitivo para mayor claridad pues efectivamente se exigirá el escaneo automático para la búsqueda de malware. d) Especificar si los certificados SSL deberán incluir Garantía del fabricante por $1.500.000 USD contra determinadas pérdidas que surgen a partir del incumplimiento por parte del emisor del certificado incluidas en el Certificado SSL lo cual protegería a la entidad y sus visitantes contra la suplantación del certificado SSL, siendo esta característica común en los certificados SSL. Efectivamente la Superintendencia del Subsidio Familiar requiere que los certificados SSL incluyan la garantía del fabricante. Se exigirá, como mínimo, una garantía por $1.500.000 USD contra determinadas pérdidas que surgen a partir del incumplimiento por parte del emisor del certificado, con el propósito de proteger a la entidad y a los visitantes contra la suplantación del certificado SSL. Este punto será precisado en el pliego definitivo. e) Especificar si los certificados SSL deberán incluir un Sello de seguridad dinámico que permita visualizar que el sitio está libre de malware, que se analiza periódicamente en búsqueda de vulnerabilidades, que el flujo de información entre navegador y servidor es 100% confidencial y que la identidad propietario del sitio ha sido verificada por un tercero de confianza.
Efectivamente la Superintendencia del Subsidio Familiar requiere que los certificados SSL incluyan un Sello de seguridad dinámico. Este punto será precisado en el pliego definitivo. 2 f) Especificar si los certificados SSL deberán incluir un Sello visible en los resultados de motores de búsqueda que permite mostrar el portal web asegurado con el certificado SSL con un sello de seguridad que permita a los visitantes detectar que el sitio encontrado es auténtico y está asegurado. Efectivamente la Superintendencia del Subsidio Familiar requiere que los certificados SSL incluyan un Sello visible. Este punto será precisado en el pliego definitivo. g) Especificar si el oferente deberá ofrecer Soporte técnico especializado con disponibilidad 7x24 totalmente en español y si las líneas de soporte deberán estar ubicadas Colombia tanto para el proceso de emisión del certificado SSL como para el Soporte técnico en la instalación (lo anterior dado que el fabricante del certificado comúnmente está ubicado en el exterior). En el punto 1.2.9 de la ficha técnica SERVICIO DE SOPORTE TÉCNICO se indica que se requiere el servicio de soporte técnico. ( ) esté disponible para consulta las 24 horas ( ). Lo anterior significa que la Superintendencia del Subsidio Familiar requiere el soporte técnico con disponibilidad 7x24. Esto será ampliado en el pliego definitivo, para mayor claridad y precisión. 2. Adicionalmente, y teniendo en cuenta que ninguna entidad en Colombia está en capacidad de EMITIR DIRECTAMENTE los certificado SSL, sino que lo hacen a través de un tercero obrando en calidad de DISTRIBUIDOR OFICIAL, solicitamos a la entidad requerir dentro del proceso que el proponente adjunte certificación de distribuidor autorizado en donde se especifiquen las características de los certificados SSL ofertados en cumplimiento de las condiciones técnicas mínimas. Efectivamente la Superintendencia del Subsidio Familiar requiere que los proponentes adjunten la certificación de distribuidor autorizado para emitir certificados SSL especificando las características de los mismos. Este punto será precisado en el pliego definitivo. 3. Es de suma importancia que para seguridad de la entidad contratante sea exigida la Resolución expedida por la Superintendencia de Industria y Comercio donde se verifique la autorización como entidad de Certificación Abierta y se pueda comprobar que la entidad de certificación digital cuenta con el Sello Internacional Web Trust como autoridad de certificación. En el punto 4.1.3.2 de la ficha técnica CONDICIÓN COMERCIAL DEL PROPONENTE se indica ( ) La entidad certificadora abierta debe estar autorizada por la Superintendencia de Industria y Comercio para expedir certificados digitales de Función Pública, para lo cual la Superintendencia del Subsidio Familiar realizará la verificación en forma directa con la Superintendencia de Industria y Comercio o en su defecto con el Organismo de Acreditación de Colombia ONAC. ( ). Lo anterior significa que la Superintendencia del Subsidio Familiar está exigiendo lo solicitado, sin embargo este punto será precisado en el pliego definitivo. 4. Solicitar que los oferentes el sello Web Trust es importante tener en cuenta que este es un sello de confianza, calidad y seguridad que se concede a la empresa que prestará sus servicios, el cual se obtiene previa auditoría e informe favorable de una Firma Auditora habilitada para la prestación de los servicios de Web Trust. Al respecto, se debe tener presente que el sello antes citado tiene como fundamento una serie de principios y criterios diseñados para promover confianza entre los
consumidores y las compañías cuyos negocios se desenvuelven a través del comercio electrónico, a través de internet. De la ficha técnica se desprende que la entidad pública requiere contar con seguridad. No obstante lo anterior, cabe resaltar que con las características previstas en la Invitación Pública existe la posibilidad de llegar adjudicar el proceso a un oferente que puede brindarle a la entidad pública un certificado de menor seguridad cumpliendo estrictamente con las características estipuladas en dicha Invitación. En ese sentido, se aclara que sería más beneficioso para la SUPERINTENDENCIA DEL SUBSIDIO FAMILIAR si los oferentes cumplieran con las normas estándares exigidas como proveedor de los certificados sabiendo que este último debe ser una entidad de certificación abierta que cuente con el sello Web Trust y de esta manera el oferente pueda garantizar seguridad y confiabilidad dentro de los parámetros estipulados por las normas internacionales de seguridad. 3 Efectivamente la Superintendencia del Subsidio Familiar requiere que la entidad emisora del Certificado digital SSL cuente con sello Web Trust. Este punto será precisado en el pliego definitivo. 5. Es de suma importancia tener en cuenta el principio de igualdad de oportunidades, conforme al cual la entidad debe garantizar que se presentan ofertas para contratar con el Estado por todos aquellos oferentes que están en condición de cumplir y satisfacer los requerimientos del contratante, siendo su resultado la escogencia de la oferta más favorable para el interés público. Ahora bien, la posibilidad que tienen los oferentes de presentarse al proceso en igualdad de oportunidades (lo que se traduce en el principio de igualdad de oportunidades), guarda estrecha relación con el principio de libertad de concurrencia, elementos estos fundamentales en los procesos de contratación. Por medio del principio de igualdad de oportunidades se procura la presentación plural de oferentes al proceso de contratación y con ello una multiplicidad de ofertas, con lo cual se garantiza la participación plural de los particulares sin diferencia de trato y adicionalmente facilita la escogencia de la oferta más favorable2, lo cual resulta ser un aspecto fundamental en el proceso de contratación. El sello WebTrust implica el cumplimiento de ciertos requisitos y buenas prácticas que deben efectuar las autoridades de certificación digital (CA) a efectos de individualizar fehacientemente la identificación de los individuos, entidades y portales en internet, frente a la titularidad de los mismos, y evitar errores en los procesos de emisión de los certificados. Los Principios y Criterios para las CA son consistentes con los estándares desarrollados por la Internet Engineering Task Force (IETF) y el CA/Browser Forum. Los Principios y Criterios que deben cumplir las CA para obtener el sello WebTrust, se utilizan como un marco estricto y la base para la evaluación y adecuación de los sistemas, políticas y procedimientos, así como también, proporcionar una base cierta para la evaluación interna y externa de los sistemas de PKI. En la actualidad, cualquier organización puede emitir un certificado si cuenta con los recursos técnicos necesarios. Sin embargo, existen empresas a nivel mundial que a través de acuerdos específicos con los desarrolladores de browsers tales como Microsoft, Mozilla, etc., incluyen sus certificados raíz en los navegadores. Recientemente, algunas CA han cometido errores en los procesos de autenticación de los solicitantes de certificados digitales y han puesto en evidencia la importancia de la emisión de los certificados bajo un estricto procedimiento de validación de identidad y estándares de seguridad al interior de las CA. La exigencia del sello WebTrust por parte de (SUPERINTENDENCIA DEL SUBSIDIO FAMILIAR) implica que la Entidad de Certificación Digital (Certicámara S.A) cuente con personal especializado y altamente capacitado; estando sujeto a auditorías exhaustivas que verifican que efectivamente sus procesos de validación cumplan con todos los estándares exigidos por WebTrust. Adicionalmente, el que la entidad de certificación digital cuente con el sello Webtrust, garantiza el cumplimiento de los siguientes principios: A. Principio de Privacidad On-Line: Este principio establece que la empresa cumpla con la normatividad vigente, ofreciendo la confianza necesaria y suficiente al cliente en cuanto a que sus datos están razonablemente protegidos, es decir; que protege los activos de información contra accesos o divulgaciones no autorizados. B. Principio de seguridad: Establece que todo acceso al sistema de comercio electrónico y a los datos que posee la empresa en sus sistemas, están restringidos solamente a personas autorizadas para
ello, según el perfil creado para cada funcionario de la compañía. Lo anterior, garantiza la confidencialidad y protección de la información de los usuarios, una vez se ingresa al sitio Web. C. Principio de Confidencialidad: Este principio complementa al de Privacidad y, tiene su importancia en cuanto al tratamiento de ficheros con datos personales y frente a la protección y confidencialidad de los mismos; por lo que obtiene controles efectivos para garantizar que la información privada del consumidor/cliente se proteja de usos no relacionados con el negocio. 4 D. Principio de Disponibilidad: Garantiza que los sistemas de la entidad de certificación digital estarán disponibles para la operación y uso. E. Principio de Integridad de las transacciones: A través de este principio, la entidad de certificación digital asegura a sus usuarios que cumple con las condiciones generales de contratación manifestadas, devoluciones, garantías y demás; para así, mantener controles efectivos que garantizan que estas órdenes originadas por los consumidores, a través del comercio electrónico, se completan y se facturan según lo acordado por la empresa y su cliente. Asimismo, como parte del cumplimiento de los estándares impuestos por el sello WebTrust, la entidad de certificación digital en su declaración de prácticas de certificación digital debe garantizar que: Documentó sus procesos acerca del manejo de la privacidad de la información de los titulares de los certificados y, sus prácticas de negocio sobre la gestión del ciclo de vida de los certificados y manejo de claves. Mantuvo controles efectivos para suministrar una seguridad razonable a nivel físico y lógico en su línea de producción de certificados digitales. La integridad de los certificados y claves que se gestionaron fue protegida a través de sus ciclos de vida. Mantuvo controles efectivos para suministrar una seguridad tanto a nivel físico como lógico frente a: La información del suscriptor y de las partes de confianza, estuvo restringida a individuos autorizados y, protegida de usos no especificados en la declaración de prácticas de certificación digital o DPC. Se mantuvo la continuidad de las operaciones de gestión del ciclo de vida de las claves y del certificado; y el desarrollo, mantenimiento y operaciones de los sistemas de la CA fueron autorizados y realizados adecuadamente para mantener la integridad de los mismos. Efectivamente la Superintendencia del Subsidio Familiar requiere que la entidad emisora del Certificado digital SSL cuente con sello Web Trust. Este punto será precisado en el pliego definitivo. 6. Se solicita a la Superintendencia de subsidio familiar debe requerir al proponente la autorización o resolución como entidad de certificación abierta de datos expedida por la Superintendencia de Industria y Comercio para prestar los servicios de estampado cronológico en la generación, transmisión, recepción de mensajes de datos, para el servicio de estampado cronológico. Efectivamente la Superintendencia del Subsidio Familiar requiere el proponente presente la Certificación y/o autorización por parte de la Superintendencia de Industria y Comercio para prestar el servicio de Estampado Cronológico como entidad de certificación abierta en Colombia. Este punto será precisado en el pliego definitivo. 7. Teniendo en cuenta que los certificados de firma digital serán usados para firmar digitalmente archivos con extensión.pdf o.pdf/a, con el fin de garantizar la interoperabilidad se solicita que el oferente anexe certificación emitida por adobe en la cual se evidencia que la entidad de certificación digital se
encuentra homologada con Adobe para garantizar el pleno reconocimiento y confianza sobre los archivos PDF firmados digitalmente. La Superintendencia del Subsidio Familiar requiere firmar varios documentos y archivos de diversos formatos. Los requerimientos expuestos en el borrador del pliego satisfacen las expectativas de la Superintendencia del Subsidio Familiar para el cumplimiento del objetivo y del alcance buscado y por tanto no son necesarias nuevas exigencias. En consecuencia, no es viable aceptar su solicitud. 5 B. OBSERVACIONES PRESENTADAS POR ALEJANDRA ALFEREZ MENDEZ (enviada por correo electrónico el 13-05-2015): Observación 1: Al ser una Empresa interesada en presentarse en el Proceso de SUBASTA INVERSA PRESENCIAL NUMERO DE PROCESO SI - 003 DE 2015, cuyo objeto es: Contratar los servicios de certificación digital abierta para el aseguramiento jurídico y técnico de las comunicaciones electrónicas emanadas por la Superintendencia de Subsidio Familiar y con el fin de elaborar nuestra propuesta, tenemos las siguientes observaciones y solicitud de aclaraciones al pliego de condiciones Definitivo: 1. De acuerdo a la Capacidad Financiera solicitada y correspondiente a ello el CAPITAL DE TRABAJO <<la Superintendencia de Subsidio Familiar considera importante contar con oferentes con respaldo financiero para poder ejecutar satisfactoriamente el objeto contractual, por lo cual ha definido como requisito habilitante un capital de trabajo mayor o igual al valor del presupuesto oficial estimado del presente proceso de selección>>; Se solicita amablemente a la entidad, considere la posibilidad de reducir el Capital de Trabajo al 70%, ya que nuestro capital de trabajo es de $75.769.185 (Setenta y cinco millones setecientos sesenta y nueve mil ciento ochenta y cinco pesos colombianos). Por lo tanto, redunda en la observancia plena de los principios de la contratación, referidos específicamente a selección objetiva y pluralidad de oferentes, toda vez que permite que más proponentes con la experiencia requerida, y capacidad suficiente, puedan participar del proceso. 2. Adicionalmente en el item 4.1.2.2. CAPACIDAD ORGANIZACIONAL la Superintendencia de Subsidio Familiar dice: El Proponente debe cumplir los siguientes indicadores con base en la información contenida en el RUP, con corte a 31 de diciembre de 2013. Solicitamos muy respetuosamente a la entidad aclarar y/o modificar la información brindada. Si la Superintendencia de Subsidio Familiar tomara para evaluación la información contenida en el RUP a corte de 31 de Diciembre de 2013 o del año 2014. Por lo anterior es para una mayor claridad y pluralidad de oferentes. Se acoge la solicitud, por la cual se verá reflejada la modificación de los indicadores financieros en los pliegos definitivos.