PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO

Estudios Previos – Procesos Públicos De Selección Página 1 de 101

1. DESCRIPCIÓN DE LA NECESIDAD QUE LA ENTIDAD ESTATAL PRETENDE SATISFACER CON EL PROCESO DE CONTRATACIÓN (Art. 2.2.1.1.2.1.1 Numeral 1 Decreto 1082 de 2015). 1.2 JUSTIFICACIÓN DE 1.1. Justificación de la necesidad LA CONTRATACIÓN De acuerdo con lo establecido en la Ley 1967 de 2019, el objetivo del Ministerio es formular, adoptar, dirigir, coordinar, inspeccionar, vigilar, controlar y ejecutar la política pública, planes, programas y proyectos en materia del deporte, la recreación, el aprovechamiento del tiempo libre y la actividad física para promover el bienestar, la calidad de vida, así como contribuir a la salud pública, a la educación, a la cultura, a la cohesión e integración social, a la conciencia nacional y a las relaciones internacionales, a través de la participación de los actores públicos y privados.

Aunado a lo anterior el inciso segundo del artículo 8 de la Ley 1967 de 2019 expresamente señala: “Los servidores públicos que a la entrada en vigencia de la presente ley se encontraban vinculados al Ministerio quedarán automáticamente incorporados en la planta de personal del Ministerio del Deporte”. Y el artículo 10 de la misma Ley también dice: “Contratos y convenios vigentes. Los contratos y convenios vigentes suscritos por el continuarán ejecutándose por el Ministerio del Deporte, sin que para ello sea necesario suscripción de documento adicional alguno diferente a la comunicación a los respectivos contratistas. Para todos los efectos contractuales, el Ministerio del Deporte asume los derechos y obligaciones del Departamento Administrativo del Deporte, la Recreación, la Actividad Física y el Aprovechamiento del Tiempo Libre (Coldeportes).

En virtud de las funciones, dadas a Coldeportes como Departamento Administrativo, se consolidó la creación del Grupo Interno de Trabajo de TIC, encargado de generar mecanismos y estrategias de difusión (en el nivel interno y externo), entre otras funciones, para el fortalecimiento de las relaciones entre Coldeportes, el Sistema Nacional del Deporte, la ciudadanía y los medios de comunicación, como apoyo indiscutible para la masificación, desarrollo y posicionamiento del deporte, la recreación, el aprovechamiento del tiempo libre y la actividad física, en la población colombiana, en el marco del cumplimiento de la misión de Coldeportes. Y estas funciones siguen vigentes, por la Ley 1967 de 2019.

Dentro de las funciones del área TICS, se encuentra la de brindar un esquema de seguridad de la información acorde a la evolución de la ciberdelincuencia y a las necesidades particulares de los procesos de la Entidad. Por consiguiente y con el fin de fortalecer la infraestructura de seguridad informática de la entidad, se requiere desarrollar un proceso de actualización de la Plataforma tecnológica de seguridad, que incluya la renovación de licenciamiento ya en uso y la adquisición de equipamiento nuevo que nos permita fortalecer el esquema de seguridad.

El Ministerio del Deporte debe acogerse a lineamentos de más alto rigor. Incluso la mejor solución de seguridad sólo será tan eficaz como lo sea su actualización más reciente. y se requiere de esquemas mixtos para el mejor cubrimiento de las vulnerabilidades, que crecen con el aumento y especialización de los ataques ahora basados en Inteligencia artificial. Por ello el Ministerio encamina su esfuerzo en el sostenimiento y fortalecimiento de su plataforma de seguridad a fin de dar cumplimiento a los lineamientos de Mintic y a garantizar la implementación de herramientas de seguridad que permitan parametrizar las políticas que en materia de seguridad se necesiten implementar.

El Ministerio cuenta con una solución de Antivirus Mcafee para la protección End Point y una protección perimetral a través de un Appliance para filtrado de correo. La adecuada administración ha permitido mantener la seguridad, controlando posibles accesos no deseados que pudieron afectar la integridad de la información, continuando esta premisa se hace necesario que se aproveche la experiencia ganada manteniendo,

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO

Estudios Previos – Procesos Públicos De Selección Página 2 de 101

renovando y actualizando licencias de la suite de Mcafee que cubren los equipos para proteger toda la infraestructura tecnológica

Es una realidad que el cambio de estructura de la entidad, así como la evolución en materia de ataques de tipo informático traen consigo necesidades mayores a nivel de protección, pues tanto los clientes de la red como los proyectos a desarrollar requieren de una plataforma más segura, confiable y que cumpla con las directivas de protección de la información que el Gobierno viene impulsando.

Se requiere sostener la tecnología adquirida sin descuidar el avance e inteligencia que se requiere para proteger a la entidad de la evolución que en materia de ataques a la seguridad informática se pueda presentar.

1.2. Los productos y resultados esperados.

 Cumplir con los lineamientos del Gobierno materia de Seguridad de la Información.  Contar con una solución de antivirus actualizada, en cada uno de los equipos. Protección en tiempo real de todas las aplicaciones, archivos, USBs y tarjetas de memoria.  Manejar remotamente el estado de seguridad de todos los dispositivos de la red.  Proteger el hardware físico y virtual.  Proteger la utilización de dispositivos móviles y por tanto la incursión de los mismos en la red de Min Deporte es necesario disponer de mecanismos de protección que permitan un acceso seguro y confiable para estos y proteger toda la red.  Contar con una solución completa de protección a nivel perimetral, sin interrupciones contra las amenazas que evolucionan constantemente.  Permitir acceso a las aplicaciones para los usuarios legítimos.  Contar con protección a nivel correo electrónico en nube que permita filtrar y escanear el contenido de todos los correos entrantes y salientes. Permitiendo optimizar el uso del correo y contralando el Spam.  Contar con una solución de filtrado Web, que nos garantice la seguridad a nivel de navegación, así como el control de ingreso a listas Blancas y Negras.  Contar con generadores de reportes que nos permita monitorear los accesos a Web y nos ayuden a definir políticas encaminadas a mejorar el desempeño de red.  Actualizar el Firmware del hardware que hace parte de la solución de seguridad a renovar.  Recibir transferencia de conocimientos para los profesionales del área de TICS, en la administración y gestión de la seguridad.  Reducir el tiempo de atención a usuarios finales y tener opciones que faciliten el soporte.  Mejorar el rendimiento de la infraestructura tecnológica.  Mitigar los riesgos en materia de perdida de información, virus, malware y software malicioso.  Mantener actualizaciones de los productos adquiridos a las últimas versiones por el tiempo de soporte a partir de la fecha de entrega de los productos.  Ofrecer al personal de TIC´s acceso a expertos en información técnica y acompañamiento en la solución de problemas.  Contar con un acompañamiento de profesionales certificados que contemple instalación, soporte y transferencia de conocimientos por (llamada, vía Web y de ser necesario en sitio).

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO

Estudios Previos – Procesos Públicos De Selección Página 3 de 101

1.3. Conveniencia. (Art. 25 Num. 7 Ley 80 de 1993) Con esta contratación mitiga el riesgo de pérdida de información, presencia de virus, malware y software malicioso de los Servidores, Equipos de Cómputo, Portátiles y Dispositivos Móviles de la Entidad, lo cual se encuentra autorizado dentro del Plan Anual de Adquisiciones para la presente vigencia, con rubros C-4399-1604-7-0-4399062-02. Implementación de tecnologías de la información y comunicación para el Sistema Nacional del Deporte a nivel nacional y A-02-02-02-008-003-01-6 Servicios de gestión de red e infraestructura de TI. 1.4. Oportunidad (Art. 30 Num. 1° Ley 80 de 1993). Aumentar la Seguridad de la Información y disminuir la posibilidad de ocurrencia de virus, malware y software malicioso de los Servidores, Equipos de Cómputo, Portátiles y Dispositivos Móviles de , dada la necesidad que presenta la Entidad, lo cual se encuentra autorizado dentro del Plan Anual de Adquisiciones para la presente vigencia, con rubros C- 4399-1604-7-0-4399062-02. Implementación de tecnologías de la información y comunicación para el Sistema Nacional del Deporte a nivel nacional y A-02-02-02- 008-003-01-6 Servicios de gestión de red e infraestructura de TI. 1.5. Para el presente proceso de contratación no se requiere diseños, planos, y evaluaciones de prefactibilidad o factibilidad.

2. DESCRIPCIÓN DEL OBJETO A CONTRATAR, CON SUS ESPECIFICACIONES, LAS AUTORIZACIONES, PERMISOS Y LICEN•CIAS REQUERIDOS PARA SU EJECUCIÓN, Y CUANDO EL CONTRATO INCLUYE DISEÑO Y CONSTRUCCIÓN, LOS DOCUMENTOS TÉCNICOS PARA EL DESARROLLO DEL PROYECTO. (Art. 2.2.1.1.2.1.1 numeral 2 Decreto 1082 de 2015) 2.1 OBJETO A Actualización de la Plataforma Tecnológica de Seguridad con Licenciamiento para el CONTRATAR Ministerio del Deporte. 2.2 NIVEL DEL Código UNSPSC CLASIFICADOR DE 43222503 Equipos de seguridad de evaluación de vulnerabilidad. BIENES Y SERVICIOS 43233204 Software de equipos de seguridad de red y redes privadas. 43233205 Software de seguridad de transacciones y de protección contra virus. 81112501 Servicio de Licencias del Software del computador. 81112500 Servicios de alquiler o arrendamiento de licencias de software de computador. 43233200 Software de seguridad y protección. 2.2 ESPECIFICACIONES Las soluciones a renovar y adquirir se dividen en 3 grupos así: TÉCNICAS DEL BIEN, OBRA O SERVICIO Grupo I Actualización y Soporte de Soluciones Mcafee

SOLUCION PARA EL ENDPOINT Se requieren 800 licencias de la Solución Endpoint Protecton Advanced a La Suite Complete Endpoint Protection Bussines (CEB), Instalación, soporte por 36 meses.

McAfee Complete Endpoint for Business - CEB Licencia: por Usuario: El producto debe contener: VirusScan Enterprise with Anti-Spyware Enterprise, VirusScan Command Line, Host Intrusion Prevention with integrated Firewall for Desktops, Device Control, SiteAdvisor Enterprise Plus with Web Filtering, McAfee Security for Email Servers with Anti-Spam, Policy Auditor for Desktop. Managed by: ePolicy Orchestrator, McAfee’s foundational unified security management solution providing endpoint.

SOLUCION DE SEGURIDAD INTELIGENTE DEL ENTORNO PARA CONTROL DE AMENAZAS Se requieren 800 licencias de la Solución Endpoint Threat Defense and Respon Suite Complete (EDR), Instalación, soporte por 36 meses.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO

Estudios Previos – Procesos Públicos De Selección Página 4 de 101

McAfee Endpoint Threat Defense and Respion - EDR Licencia: por Nodo: El producto debe contener: Integración con VirusScan Enterprise or for Endpoint Security.Instalación, integración y puesta en marcha de la solución.

SOLUCION PARA PREVENIR PERDIDA DE DATOS Se requieren 50 licencias de la Solución (DLP), Instalación, soporte por 36 meses.

McAfee Data Lost Prevention - DLP Licencia: por Usuario o Nodo: El producto debe contener: Integración con VirusScan Enterprise or for Endpoint Security.Instalación, integración y puesta en marcha de la solución.

SOLUCION PARA PROTECCION WEB CON APPLIANCE – WG4500 Soporte Appliance – WG4500 Se requieren 100 Licencias de usuario para el McAfee Web Gateway WG4500 Appliance (Adquisición con soporte por 36 meses)

McAfee Web Protection Licencia: por Usuario: El producto debe contener: McAfee Web Security; Gateway Edition Software, McAfee Web Anti-Malware; Gateway Edition Software, McAfee SaaS Web Protection, McAfee Content Security Reporter, and McAfee Web Reporter Basic. McAfee Web Protection enables the following functionality: category-based and reputation-based Web filtering, anti-virus, proxy, cache, authentication, SSL scanning, content control filters, gateway anti- malware with proactive security filters. Hardware relacionado en este requerimiento: Equipo Gateway WG4500, Soporte y Garantía por 36 meses (Software Support & RMA Hardware Support). Debe incluir la solución McAfee Web Reporter Premium, Gateway Edition Software Con soporte y por 36 meses Licencia: por Usuario: El producto debe contener: McAfee Web Reporter Premium enables customers to monitor Web use, policy enforcement and threats stopped by the McAfee Web Gateway and McAfee SmartFilter solutions. McAfee Web Reporter Premium offers more features and functionality than McAfee Web Reporter Basic. La funcionalidad adicional debe incluir informes personalizados, consultas avanzadas y formatos de registro personalizados.

Los Servicios profesionales que se requieren para las soluciones son:

 Actualización de la Consola de Administración de la Plataforma Mcafee ePolicy Orchestrator, para que administre en su totalidad las soluciones de seguridad en los puntos finales (endpoints) de la organización.  Implementación de la solución de Antivirus y AntiSpyware Mcafee a nivel de estaciones de trabajo y Servidores, comprendiendo la última versión de la solución McAfee EndPoint Protection. Se debe contemplar la implementación de la solución de antivirus administrable desde una consola para todos los clientes finales.  Realizar la implementación de la solución McAfee Network Security Plataform con la finalidad de brindar al Ministerio una plataforma robusta de seguridad a nivel de red a fin de proteger la infraestructura de ataques informáticos tales como intrusiones, explotación de vulnerabilidades, denegación de servicios, entre otros.  Puesta en marcha de la solución DLP para el Grupo Interno de trabajo que se requiera de acuerdo a las políticas de seguridad con los dueños de los procedimientos definan.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO

Estudios Previos – Procesos Públicos De Selección Página 5 de 101

 Afinamiento y soporte de la solución.  Configuración y soporte del Gateway WG4500 Appliance, para filtrado Web a nivel de estaciones de trabajo con la última versión de la solución Site Advisor Enterprise plus. Administrables desde la EPO para que se consolide en el análisis del trafico Web de los usuarios del Ministerio con la finalidad de contar con la plataforma de análisis y filtrado de contenido en la navegación a Internet, que proporcione una protección inmediata contra el malware, spyware y demás amenazas ocultas y ataques dirigidos sin necesidad de firmas. Y enviar los elementos de filtrado al Servicio de McAfee Content Security Reporter.  Implementación completa de la solución de control de dispositivos periféricos de McAfee abarcando la última versión de la solución Device Control. Se debe considerar la implementación de igual manera para los 800 equipos administrable desde la Consola.  Implementar la solución completa de auditoria de políticas de McAfee con la última versión de McAfee Policy Auditor.  Se debe mantener y soportar el Web Reporter Premium, de ser posible integrado con la consola EPO, y generar las consultas y reportes que más beneficio aporten para mejorar el tráfico Http y que permitan la definición de políticas de fácil comprensión y altamente gestionables en tiempo real.  Se debe implementar el Servidor de TIE con las correspondientes integraciones.

Para más detalle de los elementos de este Grupo. Ver anexo Fichas Técnicas.

Grupo II. Adquisición de Correlacionador de Eventos y Seguridad para Correo en Nube

SOLUCION PARA CORRELACION DE EVENTOS SIEM Se requiere la adquisición de 1 SIEM Físico Licencia de la Solución para correlación de eventos, Instalación, soporte por 36 meses.

SIEM Equipo Físico Licencia por Equipo: La solución debe contar con: Un Equipo Físico capaz de recolectar hasta 3500 eventos por segundo. Incluida la integración, instalación, configuración y puesta en marcha de la solución. Hardware relacionado en este requerimiento: Equipo SIEM con Soporte y Garantía Maxima por 36 meses.

SOLUCION PARA PROTECCION DE CORREO EN NUBE Se requiere la Adquisición de 800 licencias para protección de 800 buzones.

Funcionalidad para control del envío y recepción del correo. Licencia: por Buzón: La implementación debe ofrecer seguridad en el envío y recepción de correo y en el almacenaje del mismo.

Los Servicios Profesionales y Garantías que se requieren para este grupo son:

 Se requiere la Instalación, configuración y puesta en producción del dispositivo ofertado, así como la estrega a satisfacción del mismo a la entidad, realizando todas las tareas y suministros necesarios para cumplir con ello, sin que esto genere gastos o cobros adicionales para la entidad.  El equipo Siem sera instalado en el datacenter del Ministerio ubicado en la Avenida 68 No 55-65.  El contratista debe realizar la configuración necesaria sobre los equipos ofertados para que operen sobre el protocolo IPV6.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO

Estudios Previos – Procesos Públicos De Selección Página 6 de 101

 Implementar y configurar el equipo correlacionador de eventos bajo las políticas y especificaciones del Grupo de Tics.  Implementar y configurar la seguridad de los buzones en nube de la entidad.  Puesta en Producción de las plataformas ofertadas.  Estabilización de las plataformas ofertadas.  El contratista debe realizar y documentar entre otras, las siguientes actividades previa coordinación con el supervisor del contrato en desarrollo:  Revisar y afinar, las plataformas ofertadas.  Revisar la consistencia de los Backups realizados a la solución implementada.  Mantener actualizados los niveles de Firmware de los componentes ofertados de acuerdo con las últimas versiones estables liberadas por el fabricante durante los tres años de garantía de los equipos de seguridad.  El oferente debe contemplar un mecanismo de transferencia de conocimiento la cual debe contemplar la administración, configuración y resolución de problemas sobre la plataforma ofertada, se deben dictar por producto 20 Horas.  Al final de proceso de implementación y estabilización de las plataformas el contratista debe entregar un informe completo donde relacione, topologías lógicas y físicas de las plataformas, configuraciones realizadas detallando las políticas configuradas, dispositivos monitoreados y reglas de correlación implementadas.  Los reportes pueden ser generados o enviados como PDF o permitir el envío de alertas críticas a correo de los administradores.  Debe poder asignarse de qué equipos (por dirección IP y máscara) puede el administrador conectarse utilizando las siguientes configuraciones; 1. Activar doble factor de autenticación, 2. Registrar y auditar todas las actividades realizadas por los usuarios y 3. Asignar permisos estrictos a los usuarios.

Para más detalle de los elementos de este Grupo. Ver anexo Fichas Técnicas.

Grupo III Equipos de seguridad perimetral

SOLUCION FIREWALL DE NUEVA GENERACION Se requiere la adquisición de (2) equipos de Seguridad perimetral e interna. Hardware relacionado en este requerimiento (2): Equipo Firewall con Soporte y Garantía Máximo Nivel por 36 meses.

SOLUCION PLATAFORMA DE REPORTES Plataforma de generación de Reportes de la seguridad perimetral. Licencia por equipo, se requiere un equipo tipo appliance que permita registrar cada transacción tanto de la plataforma de Firewall de nueva generación como de los Firewalls de Aplicaciones web ofertados, para poder identificar y reaccionar a cualquier informe emitido por un log o registro de los dispositivos de seguridad perimetral ofertados. El equipo deberá recolectar y emitir el reporte de eventos, actividades y tendencias ocurridas en las plataformas de seguridad perimetral ofertadas Firewall de nueva generación y Firewall de Aplicaciones web, por lo cual deberá integrarse de forma nativa con estas plataformas sin requerir desarrollo adicional alguno.

Para más detalle de los elementos de este Grupo. Ver anexo Fichas Técnicas.

Los Servicios Profesionales y Garantías que se requieren para este grupo son:

 Dentro de los servicios se debe tener en cuenta la Instalación, configuración y puesta en producción de los dispositivos ofertados, así como la estrega a satisfacción de los mismos a la entidad, realizando todas las tareas y suministros

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO

Estudios Previos – Procesos Públicos De Selección Página 7 de 101

necesarios para cumplir con ello, sin que esto genere gastos o cobros adicionales para la entidad.  Los equipos serán instalados en el datacenter del Ministerio ubicado en la Avenida 68 No 55-65.  El contratista debe realizar la configuración necesaria sobre los equipos ofertados para que operen sobre el protocolo IPV6.  El contratista debe realizar cada 3 meses una validación de las plataformas y realizar el correspondiente afinamiento de las políticas y configuraciones necesarias para el mejoramiento del servicio y operación estable, durante la vigencia del contrato.  El contratista debe garantizar que los 100 dispositivos monitoreados se encuentren en la CMDB del SIEM.  El contratista debe garantizar que los 25 agentes de File Integrity Monitorin FIM sean implementados de acuerdo a la lista de servidores que se defina.  El contratista debe configurar el monitoreo de transacciones sintéticas para los portales WEB que el Ministerio defina.  El Contratista debe configurar como mínimo 5 casos de uso los cuales deben incluir las plataformas monitoreados, incluyendo los parsing que se requieran para la correlación de eventos y la correspondiente personalización de los dashboards.  El contratista debe documentar y presentar los diagramas topológicos (Planos) de la solución implementada tanto de la topología de la red como de la implementación física de la misma.  Levantamiento de información para la creación de políticas de seguridad óptimas para lograr obtener un nivel de seguridad adecuado que proteja los servicios misionales y los usuarios del Ministerio.  El contratista debe presentar un diseño de en cual se establezca un firewall perimetral y firewall interno los cuales operen en un esquema de alta disponibilidad, donde todos los te gateway de la red sean configurados en el Firewall y se cuente con visibilidad y control de todo el tráfico de la red interna.  El contratista está en la obligación realizar todas las labores necesarias que se requieran para la puesta en producción de todas las características técnicas establecidas en el presente proceso.  El contratista debe implementar las funcionalidades de inspección profunda de trafico cifrado en la plataforma de firewall de nueva generación.  El contratista debe implementar la integración del directorio activo de la Entidad con el Firewall de Nueva Generación.  El contratista debe realizar la configuración de los tokens para el establecimiento de VPN con doble factor de autenticación .  El contratista debe configurar en los nuevos equipos de seguridad perimetral las VPNs Site-To-Site en producción y los accesos remotos VPN existentes.  Planeación de cada una de las actividades con el fin de disminuir los tiempos de afectación en el servicio, lo cual puede ejecutarse en horarios hábiles o no hábiles por lo cual el oferente debe contemplar esto dentro de sus costos.  Configuración y alistamiento del software, hardware y firmware a la última versión estable aprobada por el fabricante.  Implementación de la solución de acuerdo a las mejores prácticas de los fabricantes, teniendo en cuenta una arquitectura de red segura.  Pruebas de Servicio de las plataformas ofertadas.  Puesta en Producción de las plataformas ofertadas.  Estabilización de las plataformas ofertadas.  El contratista debe realizar y documentar entre otras, las siguientes actividades previa coordinación con el supervisor del contrato en desarrollo:  Revisar y afinar, las plataformas ofertadas.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO

Estudios Previos – Procesos Públicos De Selección Página 8 de 101

 Revisar la consistencia de los Backups realizados a la solución implementada. Hacer uso de las herramientas de detección, diagnóstico y resolución de novedades que ayuden a conservar la estabilidad y óptimo rendimiento de la plataforma, en forma escrita.  Mantener actualizados los niveles de Firmware de los componentes ofertados de acuerdo con las últimas versiones estables liberadas por el fabricante durante los tres años de garantía de los equipos de seguridad.  El oferente debe contemplar un mecanismo de transferencia de conocimiento la cual debe contemplar la administración, configuración y resolución de problemas sobre la plataforma ofertada, se deben dictar por producto 16 Horas.  Al final de proceso de implementación y estabilización de las plataformas el contratista debe entregar un informe completo donde relacione, topologías lógicas y físicas de las plataformas, configuraciones realizadas detallando las políticas configuradas, dispositivos monitoreados y reglas de correlación implementadas.

GENERALIDADES APLICADAS A LOS GRUPOS I, II Y III:

Soporte:  Estar disponibles para brindar soporte a las Soluciones implementadas.  Contar con un soporte 7x24 de acompañamiento profesional que contemple instalación, soporte y transferencia de conocimientos por (llamada, vía Web y de ser necesario en sitio).

Garantía:  La garantía de todos los equipos hardware, software y licenciamiento debe entregarse por un periodo de 3 años.  El contratista de incluir dentro de la garantía de todo el hardware, software y licenciamiento un esquema de atención 7 x 24 por 3 años en sitio.  El servicio de garantía debe incluir atención, corrección de incidentes y consultas a través de llamadas telefónicas, correo electrónico, sesiones remotas y atención en sitio en horario Hábil y No Hábil, las 24 Horas del día, durante 3 años.  En caso de cambio del hardware, software o licenciamiento por daño, el contratista debe garantizar la operatividad del servicio y realizar las configuraciones correspondiente posteriores a la entrega del equipo de reemplazo.  Todas las demás que se requieran para la puesta en marcha del hardware, software y licenciamiento.  El contratista debe entregar al Ministerio un documento en el cual se relacione el esquema de atención para garantías y soportes relacionando contactos, correos, números telefónicos y niveles de escalamiento.

Transferencia de Conocimientos:  Se requiere transferencia de conocimientos a los profesionales del área de TICs en la actualización, configuración y administración de cada una de las Soluciones implementadas.

2.3 OBLIGACIONES DEL En desarrollo del objeto contractual el contratista deberá ejecutar las siguientes CONTRATISTA actividades: 1. Cumplir a cabalidad con el objeto y obligaciones del contrato. 2. Llevar a cabo la implementación de las Soluciones relacionadas en las características técnicas.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO

Estudios Previos – Procesos Públicos De Selección Página 9 de 101

3. Suministrar los servicios que fueren necesarios para mantener en perfecto estado las Soluciones contratadas durante el tiempo de vigencia del Licenciamiento y la garantía del Hardware asociado. 4. Suministrar los certificados de Licencia de uso del respectivo Software para cada una de las soluciones, tres (3) años. 5. Entregar llaves y códigos de acceso a los sitio web oficiales, para descargar parches y actualizaciones de ser necesario. 6. Reinstalar e Implementar en el centro de datos de la Entidad los equipos de la solución (Servidores, Gateways, y Firewalls). 7. Implementar, y hacer transferencia de conocimiento sobre las soluciones adquiridas al personal del Ministerio que vaya a administrar la solución. 8. El personal designado para hacer las implementaciones, soportes, configuraciones, etc. deberá ser certificado y con experiencias en la instalación, configuración y administración en las soluciones a las que se presente. 9. Se debe implementar un Análisis de Vulnerabilidades, por año. 10. Estar disponibles para brindar soporte 5X8 en las soluciones renovadas y actualizadas vía email o telefónica a los Funcionarios de TICS con una respuesta no mayor a 2 horas. 11. Prestar el servicio de soporte técnico en sitio cuando no se haya dado solución al problema vía email o telefónica con un tiempo de respuesta no mayor a 8 horas contadas a partir de comunicada la anomalía. 12. Adelantar visitas mensuales de mantenimiento preventivo a la soluciones de la entidad, con el fin de hacer seguimiento a su funcionamiento, realizar los ajustes requeridos y emitir las respectivas recomendaciones técnicas. 13. Generar en las visitas mensuales, reportes que nos permitan tomar decisiones y redefinir políticas. 14. Llevar a cabo las garantías de calidad y correcto funcionamiento comprendiendo entre otros los siguientes aspectos: (mantenimientos preventivos y correctivos de ser necesario con suministro de repuestos sobre los equipos y el software que forman parte de las soluciones de seguridad, durante el año de garantía). 15. Garantizar la actualización de las versiones del producto y la Base de Datos de virus durante tres (3) años. 16. Realizar empalme con el proveedor que renueve la solución de seguridad una vez finalizado el periodo de soporte y garantía. 17. Desarrollar y acompañar la implementación de políticas que se requieran implementar sobre las soluciones de la Entidad para contrarrestar ataques o para permitir acciones de gestión de la Entidad. 2.4 OBLIGACIONES DE LA 1. Pagar el valor total del contrato en los términos, condiciones y oportunidad ENTIDAD descritos en el mismo. CONTRATANTE 2. Designar a quien ejercerá la supervisión y el control de ejecución del contrato, quien estará en permanente contacto con (el) la Contratista, para la coordinación de cualquier asunto que así se requiera. 3. Suscribir, a través del supervisor del control de ejecución del contrato, los documentos y actas que sean necesarias durante el desarrollo del contrato. 4. Informar de manera inmediata, acerca de cualquier circunstancia que amenace vulnerar los derechos del (a) Contratista, al igual que cualquier perturbación que afecte el desarrollo normal del contrato. 5. Guardar la confidencialidad y velar por la protección de los productos y servicios propuestos por el (la) Contratista cuando a ello hubiere lugar.

5.6. Suministrar los recursos y la información necesaria para que el contratista pueda prestar sus servicios de manera eficiente. 6.7. Realizar el ingreso de los insumos al almacén del MINDEPORTE.

7.8. Facultar el uso de las instalaciones administrativas y de Centro de Datos con

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 10 de Estudios Previos – Procesos Públicos De Selección 101

que cuenta el Ministerio, para la correcta ejecución del proyecto. 8.9. Permitir el acceso remoto para desarrollar labores de soporte. 9.10. Exigir al CONTRATISTA, la ejecución idónea y oportuna del objeto del contrato. 2.5 TIPOLOGÍA De acuerdo con la tipología contractual existente el contrato a celebrar es de CONTRACTUAL A Compraventa atendiendo a lo contemplado en el artículo 32 de la Ley 80 de 1993. CELEBRAR 2.6 PLAZO DE EJECUCIÓN El plazo de ejecución del Contrato será hasta 31 de diciembre de 2019. Con garantía DEL CONTRATO de cubrimiento de tres (3) años, contado a partir de la suscripción del acta de inicio, RESULTANTE previo cumplimiento de los requisitos de ejecución del mismo. 2.7 LUGAR DE EJECUCIÓN Bogotá D.C. Avenida 68 No. 55-65 o en la Sede Centro de Alto rendimiento. DEL CONTRATO Dependiendo de movimiento de Sede Administrativa. 2.8 SUPERVISION La supervisión del contrato estará a cargo del funcionario designado por el Ordenador /INTERVENTORIA del Gasto. Se sugiere que la supervisión sea desarrollada por la Profesional Especializado Martha Liliana Venegas Delgado Código 2028 grado 12, quien estará sujeto a lo dispuesto en el numeral 1° del artículo 4° y numeral 1° del artículo 26 de la Ley 80 de 1993 y en lo dispuesto en la normatividad interna que al respecto se emita, así como a lo establecido en el Manual Interno de Contratación.

En todo caso no podrá adoptar decisiones que impliquen la modificación de los términos y condiciones previstas en el contrato, las cuales únicamente podrán ser adoptadas por los representantes legales de las partes debidamente facultados, mediante la suscripción de las correspondientes modificaciones al contrato principal.

3 MODALIDAD DE SELECCIÓN DEL CONTRATISTA Y SU JUSTIFICACIÓN INCLUYENDO LOS FUNDAMENTOS JURÍDICOS. (Art. 2.2.1.2.1.2.2. del Decreto 1082 de 2015) 3.1 MODALIDAD DE Selección Abreviada para la adquisición de Bienes y Servicios de Características SELECCIÓN DEL Técnicas Uniformes por Subasta Inversa CONTRATISTA 3.2. FUNDAMENTOS Teniendo en cuenta la modalidad del proceso de selección del contratista, bien o servicio JURÍDICOS QUE a contratar y la cuantía del mismo, el fundamento jurídico para el proceso de selección SOPORTAN LA es el siguiente: MODALIDAD DE SELECCIÓN. Selección Abreviada (artículo 2° de la Ley 1150 de 2007, Subsección 2 Decreto 1082 de 2015, del artículo 2.2.1.2.1.2.1 al 2.2.1.2.1.2.26 de conformidad con la causal de selección abreviada a utilizar, y demás disposiciones especiales aplicables) debido a que el presupuesto oficial se ajusta a esta modalidad de contratación. Las cuantías de la contratación han sido definidas de acuerdo con el acto administrativo suscrito por el ordenador del gasto para la presente vigencia.

4. VALOR ESTIMADO DEL CONTRATO SU JUSTIFICACIÓN Y FORMA DE DESEMBOLSO. (Art. 2.2.1.1.2.1.1 Numeral 4 Decreto 1082 de 2015) 4.1 ANÁLISIS QUE La Entidad ha estimado el costo de la presente contratación, con base en el estudio de SOPORTA EL VALOR mercado, en la suma de SETECIENTOS NOVENTA MILLONES QUINIENTOS ESTIMADO DEL CUATRO MIL DOSCIENTOS TRES PESOS CON CINCUENTA Y OCHO CENTAVOS CONTRATO Y ($790.504.203,58) incluido IVA. Discriminados por Grupo así: DEFINICIÓN DEL PRESUPUESTO Grupo I Actualización y Soporte ($296.970.450) OFICIAL Grupo II Correlacionador de Eventos y Seguridad para correo en nube ($399.539.042,10)

Grupo III Equipos de Seguridad Perimetral ($93.994.711,48)

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 11 de Estudios Previos – Procesos Públicos De Selección 101

Para efecto del señalamiento del precio ofrecido, el cual debe de ser en pesos colombianos, el proponente debe tener en cuenta todos los costos, gastos, impuestos, pago de salarios, prestaciones sociales, y demás emolumentos que considere necesarios para la fijación de la propuesta.

ESTUDIO DE MERCADO:

La Coordinación del área TIC´s del Ministerio, en cumplimiento a lo señalado en la Ley 80 de 1993, modificada por la Ley 1150 de 2007 y demás normas reglamentarias, contactoó a las empresas MySecurity, Soft Security,STS y Gamma. Permitiéndonos llegar a siguiente Estudio de mercado:

El estudio se realizó por Grupos y se promediaron 2 cotizaciones en cada uno de ellos. Al final del ejercicio se sumaron los promedios de los 3 grupos y obtuvimos la suma de $790.504.203,58 Setecientos noventa Millones quinientos cuatro mil doscientos tres pesos con cincuenta y ocho centavos incluidos IVA suma que se encuentra dentro del presupuesto con que se cuenta para el desarrollo de este proceso. Se anexan cotizaciones. 4.2. FORMA DE El Ministerio del Deporte pagará AL CONTRATISTA o LOS CONTRATISTAS el valor PAGO/DESEMBOLSO del presente contrato de la siguiente manera:

La adjudicación se realizará por cada uno de los grupos no impidiendo esto que un solo proponente pueda participar en los 3 Grupos.

Grupo I Actualización y Soporte. El Ministerio cancelara el 100% del valor del Contrato a la entrega efectiva de las licencias de los productos renovados y presentación de la certificación de garantía y de soporte por tres (3) años, previo ingreso al almacén, Certificación de Supervisión para pago.

Junto con los anteriores documentos, se deberá presentar Factura de la entrega si el CONTRATISTA es del régimen común, copia de recibo o constancia de pago de los aportes al Sistema General de Seguridad Social Integral y pagos parafiscales, si hubiere lugar, y de la respectiva certificación expedida por el supervisor del contrato, en la que conste la verificación del cumplimiento del objeto contractual y las obligaciones de la misma. En todo caso, los pagos estarán sujetos a los desembolsos de la Dirección del Tesoro Nacional y a la correspondiente programación del PAC.

Grupo II

A. El Ministerio cancelara el 100% del valor del Licenciamiento del Antivirus de Correo en Nube. a la entrega efectiva del mismo y presentación de la certificación de garantía y de soporte por tres (3) años, previo ingreso al almacén, Certificación de Supervisión para pago.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 12 de Estudios Previos – Procesos Públicos De Selección 101

B. El valor del Correlacionador se cancelará 50% a la entrega efectiva del mismo y presentación de la certificación de garantía y de soporte por tres (3) años, previo ingreso al almacén, Certificación de Supervisión para pago. Y el 50 % restante una vez se realice la configuración, implementación y puesta en funcionamiento del mismo, previo ingreso al almacén y certificación para pago.

Junto con los anteriores documentos, se deberá presentar Factura de la entrega si el CONTRATISTA es del régimen común, copia de recibo o constancia de pago de los aportes al Sistema General de Seguridad Social Integral y pagos parafiscales, si hubiere lugar, y de la respectiva certificación expedida por el supervisor del contrato, en la que conste la verificación del cumplimiento del objeto contractual y las obligaciones de la misma. En todo caso, los pagos estarán sujetos a los desembolsos de la Dirección del Tesoro Nacional y a la correspondiente programación del PAC.

Grupo III Se cancelará el 50% del valor del Contrato a la entrega efectiva de los equipos y presentación de la certificación de garantía y de soporte por tres (3) años, previo ingreso al almacén, Certificación de Supervisión para pago. Y el 50 % restante una vez se realice la configuración, implementación y puesta en funcionamiento del mismo, y entrega funcional de la plataforma centralizada de reportes.

Junto con los anteriores documentos, se deberá presentar Factura de la entrega y si el CONTRATISTA es del régimen común, copia de recibo o constancia de pago de los aportes al Sistema General de Seguridad Social Integral y pagos parafiscales, si hubiere lugar, y de la respectiva certificación expedida por el supervisor del contrato, en la que conste la verificación del cumplimiento del objeto contractual y las obligaciones de la misma. En todo caso, los pagos estarán sujetos a los desembolsos de la Dirección del Tesoro Nacional y a la correspondiente programación del PAC.

Se deja constancia que todos los valores adicionales que se puedan presentar en la negociación del proponente con el fabricante deben ser asumidos por el proponente.

4.3. IMPUTACIÓN Para la presente contratación se cuenta con el certificado de disponibilidad presupuestal PRESUPUESTAL No. 225519 de fecha 8 de Agosto de 2019, por la suma de $800.000.000, suscrito por el Coordinador Grupo Interno de Trabajo Gestión Financiera y Presupuestal de Min Deporte. 4.4. PROYECTO DE Proyecto de Inversión C-4399-1604-7-0-4399062-02 Implementación de tecnologías de INVERSIÓN O información y comunicación para el sistema nacional del deporte en Colombia FUNCIONAMIENTO El objeto a contratar se encuentra en el plan de acción de Tecnologías de la Información y Comunicaciones 2019, así:

Objetivo de la Actividad Actividades Especificas Garantizar la Operación y administración Actualización, Adquisición y Renovación de los servicios informáticos del Sistema de Licencias Nacional del Deporte

5. CRITERIOS PARA SELECCIONAR LA OFERTA MÁS FAVORABLE (Art. 5 Ley 1150 de 2007 y art. 26 y Numeral 5° del artículo 2.2.1.1.2.1.1 del Decreto 1082 de 2015). 5.1 REQUISITOS HABILITANTES (Art. 2.2.1.1.1.5.3 Decreto 1082 de 2015)

De conformidad con lo establecido en la Ley 1150 de 2007, artículos 5º modificado por el artículo 88 de la Ley 1474 de 2011, el artículo 6° de la Ley 1150 de 2007, este último modificado por el artículo 221 del Decreto-Ley 0019 de 2012 y en concordancia con el artículo 2.2.1.1.1.5.3 del Decreto 1082 de 2015, El Ministerio del Deporte verificará en cada propuesta, el cumplimiento de los requisitos mínimos que acrediten su capacidad jurídica, financiera,

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 13 de Estudios Previos – Procesos Públicos De Selección 101 organizacional y experiencia aquí previstos, los cuales tienen por objeto establecer si las propuestas cumplen con las condiciones y requisitos exigidos, de tal forma que NO OTORGAN PUNTAJE y son verificados como requisitos habilitantes para la participación en el proceso de selección.

Se debe presentar la propuesta digitalizada en CD corresponderá a un registro digitalizado de toda la propuesta, para efectos de veeduría, consulta y copias de las propuestas pues de conformidad con la directiva presidencial No. 01 de 2016, (PLAN DE AUSTERIDAD) El Ministerio después de adjudicado el proceso solo podrá tener en su poder la propuesta del proponente ganador y las copias digitalizadas estarán bajo la custodia de la oficina de contratación, durante el término de ejecución del contrato y 2 años más conforme a las normas vigentes, declarándose como NO HABILITADO, la presentación digitalizada de la propuesta.

La verificación de los requisitos mínimos habilitantes se basará en la documentación, información y anexos correspondientes, por lo cual es requisito indispensable consignar y adjuntar toda la información detallada que permita su análisis. A continuación, se señalan los requisitos habilitantes para la evaluación de las propuestas:

1. Requisitos técnicos. a. Experiencia – Los contratos celebrados por el interesado para cada uno de los ítems que ofrecerá a las Entidades Estatales, identificados con el Clasificador de Bienes y Servicios en el tercer nivel y su valor expresado en SMMLV.

Los contratos celebrados por consorcios, uniones temporales y sociedades en las cuales el interesado tenga o haya tenido participación, para cada uno de los bienes, obras y servicios que ofrecerá a las Entidades Estatales, identificados con el Clasificador de Bienes y Servicios en el tercer nivel y su valor expresado en SMMLV.

Los proponentes deberán acreditar la ejecución de hasta tres (3) contratos celebrados con entidades públicas o privadas durante los últimos cinco (5) años, cuyo objeto sea similar al del presente proceso de Contratación y que contenga los ítems del grupo para el cual se presente y que el valor sea igual o superior al presupuesto establecido para el grupo al cual se presente.

La información de experiencia se tomará directamente del RUP y en la codificación solicitada de acuerdo a lo previsto en el Decreto 1082 de 2015. Además del RUP el proponente deberá presentar al menos uno (1) de los siguientes documentos:

1. Fotocopia de la liquidación del contrato 2. Certificación expedida por la entidad contratante.

Las constancias a través de las cuales se certifique los contratos, deben contener como mínimo la siguiente información:

1. Razón Social y/o nombre y apellidos del Contratista. 2. Objeto del Contrato y numero si aplica. 3. Valor total del Contrato. 4. Empresa o entidad contratante, dirección, teléfono y nombre de la persona que expide la certificación. 5. Fecha de celebración o ejecución del contrato: A partir del 1 de Septiembre de 2014.

El valor de cada certificación presentada se proyectará a valor presente, considerando su valor inicial en salarios mínimos legales mensuales vigentes, multiplicado por el valor del SMMLV del presente año. En el caso de certificaciones correspondientes a uniones temporales, cada uno de los integrantes debe acreditar el cumplimiento de por lo menos un (1) contratos con el lleno de requisitos establecidos en este numeral. Igualmente, cuando el contrato que se somete a calificación corresponda a un consorcio o unión temporal, el oferente deberá acreditar el cumplimiento de todos los requisitos señalados en el presente numeral.

La Entidad se reserva el derecho de verificar la información suministrada por los oferentes. Si se advierten discrepancias entre la información suministrada y lo establecido por la Entidad, la propuesta será rechazada

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 14 de Estudios Previos – Procesos Públicos De Selección 101

b. Cumplimiento de Las Especificaciones técnicas mínimas.

El proponente debe certificar el cumplimiento de las especificaciones técnicas contenidas en el numeral 2.2, para cada uno de los Grupos y más en detalle en el Anexo Fichas Técnicas, mediante el diligenciamiento del formato correspondiente a los elementos del Grupo al que se presente. c. Certificaciones Técnicas.

Grupo I

El proponente debe allegar certificación de Gold o Silver Partner de McAfee vigente a la fecha. Esta información será confirmada en el Sitio http://www.mcafee.com/apps/partners/channel/find/default.aspx. Se solicita esta certificación a fin de garantizar el nivel del Partner debido a la especificidad de las Soluciones objeto de este contrato.

El oferente debe ser distribuidor autorizado mínimo Categoría de Gold o Silver Partner de McAfee lo cual debe acreditarlo, mediante presentación de certificación vigente, expedida por la casa fabricante dirigido a la entidad.

Debe indicarse en la carta del fabricante que el oferente es distribuidor o comercializa las soluciones McAfee como mínimo desde hace 8 años de antigüedad. El proponente debe adjuntar hoja de vida de 3 Ingenieros, con certificaciones vigentes del Fabricante McAfee, en cada solución a soportar (EndPoint, Web Gateway Appliance y Mvision). Los ingenieros deben tener las siguientes certificaciones vigentes: Mcafee Certified Product Specialist EPO Certified Product Specialist Endpoint Security ENS Adjuntar certificación o carta del fabricante donde certifiquen que dichos ingenieros están certificados en lo solicitado. Dichos ingenieros deben en la actualidad estar trabajando directamente con el proponente, Adjuntar planilla de pago de parafiscales. De los ingenieros solicitados anteriormente, dos ingenieros deben contar con Experiencia general Mínima 4 años (Anexar tarjeta profesional) y Experiencia especifica de 3 años como implementador o integrador de la solución ofertada en por lo menos en 2 de las soluciones McAfee solicitadas por el Ministerio. Su experiencia y antigüedad se verificara adjuntando hasta tres (3) certificaciones de experiencia emitidas por entidades públicas o privadas donde realizo dicha labor.

* El ingeniero que realizara el análisis de Vulnerabilidad debe adjuntar certificación técnica vigente del fabricante McAfee: Certificación Vulnerability Manager 7.0 Essential (technical) y Mcafee Certified Product Especialist-EPO. Con experiencia certificada de más de 4 años en soluciones McAfee Vulnerability Manager. *. Un Ingeniero especialista en Proyectos Informáticos Certificado CISM como Certified Information Security Manager vigente. Adjuntar Hoja de Vida y Certificación el cual será:

Gerente. Un (1) profesional en ingeniería de sistemas, electrónica o afines. Con certificación vigente CISM como Certified Information Security Manager, con especialización o Maestria en seguridad de la información, auditor líder en la norma ISO 27001 ver 2013, Certified Ethical hacker CEH vigente y certificaciones vigentes de McAfee en Endpoint Solution , Security information and evento manager y Epo 5.10 essential.

Experiencia general: mínima 5 años (Anexar tarjeta profesional)

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 15 de Estudios Previos – Procesos Públicos De Selección 101

Experiencia específica: Debe haber liderado al menos cuatro (4), en sector público o privado, relacionado con tecnología; adjuntar certificaciones.

Documentos: Debe adjuntar certificaciones, diplomas. El oferente debe demostrar relación laboral con el Ingeniero propuesto. Adjuntar planilla de parafiscales y/o contrato de prestación de servicios. El oferente deberá realizar el análisis de vulnerabilidades (prueba de concepto) con una máquina de propósito definido (tipo Appliance).Se debe adjuntar el certificado de distribuidor mayorista en Colombia de Fabricante, Donde certifique la venta del dispositivo con el objeto de realizar demostraciones y pruebas de Vulnerabilidad e indique marca, modelo y serial, adicionalmente el oferente deberá adjuntar a la propuesta, mínimo una certificación de haber realizado un análisis de vulnerabilidad de este tipo en una entidad igual o superior a 800 usuarios. Grupo II

El oferente debe ser distribuidor autorizado en las más altas categorías (Gold o Silver) de la marca que ofrezca en su propuesta lo cual debe acreditarlo, mediante presentación de certificación vigente, expedida por la casa fabricante dirigido a la entidad.

*El oferente debe contar con 1 ingeniero certificado en la solución propuesta, y debe demostrar experiencia en haber participado en por lo menos un (1) proyecto de adquisición, instalación y puesta en funcionamiento de un sistema de administración de eventos e información de seguridad SIEM del fabricante propuesto.

*Un Ingeniero especialista en Proyectos Informáticos Certificado CISM como Certified Information Security Manager vigente. Adjuntar Hoja de Vida y Certificación el cual será:

Gerente. Un (1) profesional en ingeniería de sistemas, electrónica o afines. Con certificación vigente CISM como Certified Information Security Manager, con especialización en seguridad de la información, auditor líder en la norma ISO 27001 ver 2013, Certified Ethical hacker CEH vigente y certificaciones vigentes de McAfee en Endpoint Solution , Security information and event manager, Certified product Specialist SIEM y Epo 5.10 essential.

Experiencia general: mínima 8 años (Anexar tarjeta profesional)

Experiencia específica: Debe haber liderado al menos cuatro (4) proyectos, acreditando su participación en proyectos de seguridad informática y/o seguridad de la información.

Documentos: Debe adjuntar certificaciones, diplomas. El oferente debe demostrar relación laboral con el Ingeniero propuesto. Adjuntar planilla de parafiscales y/o contrato de prestación de servicios

El oferente debe Ofrecer mínimo 4 cupos de capacitación virtual sobre Pentesting de aproximadamente 20 h con Herramientas Open Source, el curso debe incluir como mínimo los siguientes temas: Técnicas de reconocimiento, Búsqueda avanzada, Rastreo, Enumeración, Detección, Selección, Ruptura de contraseñas, Ataques DNS, Explotación, Análisis de vulnerabilidades, Malware, Ejecución de Scripts automáticos, Ofuscación, Ataques de denegación de servicio, Ataques web, Ataques Wireless

Grupo III  Los proponentes deben presentar certificación emitida directamente por los fabricantes de las soluciones que oferten, donde se especifique los modelos ofertados, que estos equipos no se encuentran en fin de venta y tendrán soporte y repuestos por 5 años a partir de la fecha de fin de venta.

 Los proponentes deben presentar certificación emitida directamente por los fabricantes de las soluciones que oferten, donde se especifique que son distribuidores autorizados en el nivel más alto con el que cuente el fabricante para para Colombia. d. Oferta Económica

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 16 de Estudios Previos – Procesos Públicos De Selección 101

El proponente deberá diligenciar el Formato PROPUESTA INICIAL DE PRECIO y presentarlo en el Sobre No. 2 de la plataforma SECOP II, el cual sólo será abierto previo al inicio de la Subasta Inversa Electrónica, si y solo si, el oferente cumplió con los requisitos habilitantes.

El valor total de la propuesta inicial de precio corresponde a la sumatoria total de los valores correspondientes a los ITEMS que conforman el Grupo al cual se presente, el cual será la base para la puja (incluyendo todos los costos derivados de la operación) y será de la exclusiva responsabilidad del proponente los errores u omisiones en que incurra al indicar el valor total en la propuesta, debiendo asumir los mayores costos y/o pérdidas que se deriven de dichos errores u omisiones.

El valor del contrato a suscribir será por el valor total correspondiente a los ITEMS del grupo al cual sepresente, resultantes de la puja.

Se entenderá que en el valor señalado en la oferta están incluidos los impuestos, costos y gastos de toda índole en que los proponentes puedan incurrir para la presentación de su oferta, legalización, ejecución y liquidación del contrato resultante de este proceso de selección, que estarán a cargo del proponente o contratista según el caso.

Para todos los ítems se deberá tener en cuenta el precio promedio del mercado establecido en el ESTUDIO DE MERCADO, considerando que el precio ofertado no podrá exceder los valores unitarios de uno o más de los ítems establecidos, so pena de RECHAZO

El oferente no deberá anotar centavos. Los valores deberán aproximarse por exceso o por defecto al entero más cercano 33 así: (i) si es superior a 50 centavos, se aproxima al entero siguiente; (ii) si es inferior a 50 centavos se baja al entero anterior y (iii) si es 50 centavos, el oferente deberá aproximarlo al entero superior o al inferior que él decida.

En todo caso, si la cifra no está aproximada y aparece con 50 centavos, el Ministerio aproximará al entero inferior.

(Nota: Para evitar inconvenientes de decimales, se sugiere aplicar en Excel la fórmula de “REDONDEAR”).

En aplicación del principio de medición establecido en el régimen de Contabilidad Pública, expedido por el Contador General de la Nación, la cuantificación en términos monetarios debe hacerse utilizando como unidad de medida el peso colombiano, que es la moneda nacional. Por lo tanto, la propuesta económica deberá contener las cuantías o valores monetarios sin centavos.

NOTA: El proponente que resulte adjudicatario, deberá ajustar y allegar su oferta económica final de acuerdo con el decremento resultante de la subasta, máximo al día siguiente de la adjudicación, de conformidad con el decremento resultante en la subasta electrónica efectuada.

El Ministerio verificará aritméticamente la oferta económica inicial, para tales efectos se tendrá en consideración lo siguiente:

1. Los errores e imprecisiones de tipo aritmético que sean cometidos por el oferente en su oferta económica inicial serán corregidos por la entidad y éste será el valor que se tomará para efectos de la oferta económica inicial y adelantar el proceso de subasta. 2. La corrección la realizará la entidad una vez se abran los sobres que contienen la oferta económica inicial de los oferentes habilitados. 3. Por error aritmético, se entiende aquel en que incurre el oferente cuando realiza una indebida operación matemática, pero con la certeza de las cantidades, requerimientos y valores. 4. Las correcciones efectuadas a las OFERTAS de los oferentes, según el procedimiento anterior, serán de forzosa aceptación para éstos.

Los demás errores e imprecisiones cometidos por el oferente en el aspecto económico durante los lances que se realicen en la audiencia de subasta inversa no serán corregidos por la entidad, por lo tanto, vinculan legítimamente al oferente y lo obligan al cumplimiento de lo ofertado.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 17 de Estudios Previos – Procesos Públicos De Selección 101

Si se presenta alguna discrepancia entre las cantidades expresadas en letras y números, prevalecerán las cantidades expresadas en letras. Si se presenta alguna discrepancia entre el medio físico y el magnético (para los anexos que deban presentarse en los dos medios), prevalecerá lo expresado en el medio físico.

Nota. El valor de la oferta económica de menor valor corregido aritméticamente será informado por mensaje a los oferentes, para que sobre éste se haga la confirmación y primer lance en el evento de subasta.

MARGEN MÍNIMO DE MEJORA

Es importante tener en cuenta que el proponente deberá realizar sus lances estimando para ello el margen mínimo de mejora del dos (2%) aplicado a su ultimo lance valido.

2. Capacidad Jurídica.

CARTA DE PRESENTACIÓN DE LA PROPUESTA (VER ANEXO No. 1):

La carta de presentación de la propuestas deberá estar suscrita por el proponente, en caso de personas naturales, el representante legal para personas jurídicas, persona designada para representarlo en caso de consorcio o unión temporal o apoderado debidamente constituido; evento en el cual, se debe anexar el original del poder otorgado y diligenciado con las formalidades legales y en donde se especifique si se otorga para presentar la oferta, participar en todo el proceso y suscribir el contrato en caso de resultas seleccionado, documento que se deberá anexar a la propuesta.

El proponente en su propuesta debe indicar claramente el término de validez de la oferta en días calendario, la cual no podrá ser inferior a sesenta (60) días, contados a partir de la fecha límite para presentar las propuestas.

Constituyen derechos y deberes del contratista para efectos de la presente orden, los contenidos en el artículo 5° de la Ley 80 de 1993, y demás disposiciones que la reglamenten o deroguen.

QUIEN SUSCRIBA LA CARTA DE PRESENTACIÓN DE LA PROPUESTA DEBERÁ:

En caso de ser persona jurídica: Tener la calidad de representante legal o apoderado del proponente, con facultad expresa de actuar en nombre y representación del mismo. En este último caso, la facultad de representación debe comprender las de presentar la propuesta, celebrar el contrato (en caso de resultar adjudicatario), ejecutarlo y liquidarlo.

NOTA: Si la presentación de la propuesta implica la transgresión del deber establecido del artículo 23 de la ley 222 de 1995, el proponente individual o el integrante de la propuesta conjunta deberá, además, allegar autorización de la junta de socios o asamblea general de accionistas, según corresponda.

En caso de ser consorcio o unión temporal: Tener la calidad de representante del consorcio o unión temporal, con facultad expresa de actuar en nombre y representación del mismo. Tal facultad de representación debe comprender la de presentar la propuesta, celebrar el contrato (en caso de resultar adjudicatarios), ejecutarlo y liquidarlo.

Los proponentes que tengan la calidad de personas naturales deberán presentar fotocopia de su documento de identificación. Las propuestas presentadas por personas naturales de origen extranjero que se encuentren dentro del país, deberán estar acompañadas de la autorización correspondiente, expedida de conformidad con las normas de control migratorio vigentes.

ACREDITACIÓN DE LA EXISTENCIA Y LA REPRESENTACIÓN LEGAL:

Si es una persona natural, deberá acreditar tal condición mediante el registro mercantil emitido por la Cámara de Comercio dentro de los treinta (30) días calendario anteriores a la fecha de cierre del proceso, cuya actividad permita el desarrollo del objeto del contrato.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 18 de Estudios Previos – Procesos Públicos De Selección 101

Si se trata de personas jurídicas colombianas o sucursales en Colombia de personas jurídicas extranjeras, mediante certificado de existencia y representación legal expedido por la Cámara de Comercio dentro de los treinta (30) días calendario anteriores a la fecha del cierre del proceso de contratación y en el que conste que la sociedad está registrada o tiene sucursal domiciliada en Colombia y que el término de su duración es mayor a la duración del contrato y un (1) año más, cuyo objeto permita el desarrollo de objeto del contrato y que se encuentra constituida un (1) año antes de la fecha límite de entrega de la propuestas.

Las personas jurídicas nacionales y extranjeras con sucursal en Colombia deberán acreditar que su duración no será inferior a la del plazo de ejecución del contrato y un año más.

Si se presenta un consorcio o una unión temporal, cada una de las personas naturales o jurídicas que lo integran deberá presentar un registro mercantil o certificado de existencia y representación legal, según corresponda expedido por la Cámara de Comercio dentro de los treinta (30) días calendario anterior a la fecha del cierre del proceso de contratación.

Adicionalmente, para el caso de consorcios y uniones temporales deberá adjuntarse el documento de constitución de los mismos, en el cual se indicará:

1. El objeto social o la actividad mercantil, deberá permitir el desarrollo del objeto del proceso.

2. Si la participación es a título de consorcio o unión temporal y las reglas básicas que regulan las relaciones entre sus integrantes.

3. El porcentaje de participación de cada uno de los integrantes del consorcio o unión temporal.

4. Si se trata de una unión temporal deberá indicarse, además, los términos y expresión de participación de sus integrantes en la propuesta y en la ejecución del contrato.

5. La duración del consorcio de la unión temporal, contada a partir de la fecha del proceso de contratación, no deberá ser inferior al plazo de vigencia del contrato y un año más. Lo anterior sin perjuicio de que con posterioridad, los integrantes del consorcio o la unión temporal están llamados a responder.

6. Designación de la persona que tendrá la representación del consorcio o de la unión temporal, indicando expresamente sus facultades. Igualmente, deberá designar un suplente que lo reemplace en los casos de ausencia temporal o definitiva.

7. Cuando sea persona jurídica y su presentante legal se encuentre limitado en razón a la cuantía u otro factor para representar debidamente a la sociedad en esta contratación, deberá presentar el acta de la junta de socios, o su equivalente, en la cual se le autoriza para presentar la oferta y celebrar el correspondiente contrato en caso de que le sea adjudicado.

Los oferentes extranjeros sin sucursal o domicilio en Colombia, deberán presentar sus propuestas a través de apoderado facultado para tal fin, con arreglo a las disposiciones legales que rigen la materia.

La persona natural o jurídica de origen extranjero, que no sea residente en Colombia, podrá presentar propuesta, previo cumplimiento de los requisitos generales establecidos para tal fin, aplicables a los oferentes nacionales con las excepciones del caso y especialmente cumpliendo los siguientes requisitos:

a. Cuando se trate de personas naturales extranjeras sin domicilio en el país o de personas jurídicas privadas extranjeras que no tengan establecida sucursal en Colombia, deberán acreditar la constitución de un apoderado (Poder Especial), domiciliado y residente en Colombia, debidamente facultado para presentar la propuesta y celebrar el contrato, así como para representarla administrativa, judicial o extrajudicialmente.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 19 de Estudios Previos – Procesos Públicos De Selección 101

b. Deberá adjuntar el certificado de existencia y representación legal o el documento equivalente del país en que se haya constituido legalmente. Si el mismo se encuentra en idioma distinto al español o castellano oficial de la República de Colombia, deberá adjuntar el texto en el idioma original acompañado de la traducción oficial respectiva. En el evento en que el oferente extranjero ostente limitación en su capacidad de contratación o de oferta, deberá adjuntar el documento mediante el cual se remueva dicha limitación. En lo no previsto aquí expresamente, se aplicará el régimen dispuesto para los nacionales colombianos y que le sea aplicable a los extranjeros.

c. En cumplimiento de lo ordenado por el Parágrafo 2° del Artículo 6 de la Ley 1150 de 2007, modificado por el artículo 221 del Decreto – Ley 019 de 2012, el oferente extranjero, persona natural sin domicilio en Colombia o persona jurídica extranjera que no tenga establecida sucursal en el país, NO se encuentra obligado a inscribirse ni calificarse en el RUP.

d. El oferente extranjero deberá relacionar y certificar la experiencia exigida en este proceso. En el evento en que dicha experiencia se haya obtenido en país distinto a Colombia, para efectos de certificarla deberá adjuntar la certificación respectiva que deberá cumplir con los requisitos establecidos en este documento. Adicionalmente, si la certificación se encuentra en idioma distinto al de la República de Colombia, deberá adjuntarse además del documento en idioma extranjero, la traducción oficial del documento, tal y como lo establece el Artículo 260 del Código de Procedimiento Civil Colombiano.

En el evento de resultar favorecido con la adjudicación un proponente extranjero sin domicilio ni sucursal en Colombia, para efectos de poder ejecutar el contrato, deberá previamente constituir una sucursal en Colombia en los términos del Código de Comercio, de acuerdo con lo señalado en los Artículos 471 y 474 del citado Código.

En cumplimiento de lo dispuesto en el Artículo 874 del Código de Comercio, en concordancia con el artículo 28 de la Ley 9 de 1991, el artículo 3 del Decreto 1735 de 193 y la Resolución No. 8 de 2000, modificada por la Resolución 6 de 2006, emanada del Banco de la República, el valor en pesos colombianos del contrato o contratos celebrados en moneda distinta será el de la fecha de su suscripción o firma, de acuerdo con la tasa de cambio oficial que indique el Banco de la República.

CERTIFICACIÓN EXPEDIDA POR EL REVISOR FISCAL O POR EL REPRESENTANTE LEGAL SOBRE PAGO DE APORTES PARAFISCALES Y AL SSSI DE SUS EMPLEADOS.

1. De conformidad con lo establecido en el artículo 50 de la Ley 789 de 2002 , la Ley 1150 de 2007 y la Ley 1562 de 2012, se deberá acreditar que se encuentran al día en el pago de aportes de sus empleados a los sistemas de salud, riesgos profesionales, pensiones y aportes a las Cajas de Compensación Familiar, Instituto Colombiano de Bienestar Familiar y Servicio Nacional de Aprendizaje SENA, cuando a ello haya lugar, correspondiente a los seis (6) meses anteriores a la fecha del cierre del presente proceso.

2. Si es una persona natural sin personal vinculado laboralmente, la acreditación de este pago se hará mediante la respectiva planilla en la cual conste el pago.

3. Cuando la contratación se realice con personas jurídicas, se deberá acreditar el pago de los aportes de sus empleados, mediante certificación expedida por el revisor fiscal, cuando éste exista de acuerdo con los requerimientos de ley, en caso contrario, será acreditado por el representante legal.

4. Cuando sea un consorcio o una unión temporal, cada una de las personas naturales o jurídicas que lo integran deberá certificar que se encuentra en cumplimiento de la anterior obligación al momento del cierre del proceso de selección.

5. Para el caso en que exista un acuerdo de pago vigente, debe certificar que se encuentra al día con los pagos acordados en el mismo a la fecha del cierre del presente proceso de selección.

6. Este requisito debe acreditarse además para la realización de cada pago derivado del contrato que se celebre como resultado del presente proceso de selección, de acuerdo con el parágrafo 1º del artículo 23

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 20 de Estudios Previos – Procesos Públicos De Selección 101

de la Ley 1150 de 2007, si la persona jurídica está obligada a tener revisor fiscal - o por la persona natural, según el caso, en donde acredite que se encuentra al día con el pago de los aportes de sus empleados a los sistemas de salud, riesgos profesionales, pensiones y aportes a las Cajas de Compensación Familiar, Instituto Colombiano de Bienestar Familiar y Servicio Nacional de Aprendizaje, cuando a ello haya lugar. Si la persona jurídica no está obligada a tener Revisor Fiscal, conforme a la normatividad legal vigente, el representante legal deberá indicar las razones por las cuales no está obligada a tener revisor fiscal.

REVISOR FISCAL: El revisor fiscal debe figurar inscrito en el certificado de la Cámara de Comercio además de allegar los requisitos legales para la expedición de dicha certificación (fotocopia de cedula de ciudadanía - fotocopia tarjeta profesional - y certificado de antecedentes disciplinarios expedido por la junta de contadores vigente).

En caso de consorcio o unión temporal esta certificación debe ser, además, presentada por cada una de las empresas que lo conforman. En caso tal que NO se encuentre obligado a pagar aportes parafiscales por algún periodo, DEBERA INDICAR DICHA circunstancia, especificando la razón y los periodos exentos.

Así mismo, cuando el Revisor Fiscal no se encuentre inscrito en el certificado de la Cámara de Comercio, el proponente deberá presentar una copia de la cédula de ciudadanía, copia de la tarjeta profesional y certificación de antecedentes profesionales del mismo.

REGISTRO ÚNICO TRIBUTARIO (RUT):

El proponente debe indicar su identificación tributaria información sobre el régimen de impuestos al que pertenece, dicho documento debe estar actualizado, igualmente debe anexar el RUT de conformidad con el Decreto 653 de 1990 artículo 5. En caso de consorcios o uniones temporales, cada uno de los integrantes deberá aportar este documento y el de la conformación de dicha unión temporal o consorcio.

DOCUMENTO DE CONFORMACIÓN DEL CONSORCIO O UNIÓN TEMPORAL: Si la oferta es presentada por un consorcio o una unión temporal, se deberá aportar el documento de constitución suscrito por sus integrantes, el cual deberá expresar claramente su conformación, las reglas básicas que regulan las relaciones entre ellos y su responsabilidad, de tal manera que se demuestre el estricto cumplimiento a lo establecido en el artículo 7°. de la ley 80 de 1993, donde se debe:

a. Indicar en forma expresa si su participación es a título de CONSORCIO o UNIÓN TEMPORAL. b. Identificar a cada uno de sus integrantes: Nombre o razón social, tipo y número del documento de identidad y domicilio. c. Designar la persona, que para todos los efectos, representará el consorcio o la unión temporal. Deberán constar su identificación y las facultades de representación, entre ellas, la de presentar la propuesta correspondiente al presente proceso de selección y las de celebrar, modificar y liquidar el contrato en caso de resultar adjudicatario, así como la de suscribir la totalidad de los documentos contractuales que resulten necesarios. d. Señalar las reglas básicas que regulen las relaciones entre los miembros del consorcio o la unión temporal y sus respectivas responsabilidades, su participación en la propuesta y en la ejecución del contrato de cada uno de los integrantes de la forma asociativa. e. Señalar en forma clara y precisa, en el caso de la UNIÓN TEMPORAL, los términos y extensión de la participación en la propuesta y en su ejecución y las obligaciones y responsabilidades de cada uno en la ejecución del contrato, los cuales no podrán ser modificados sin el consentimiento previo del Ministerio. f. Señalar la duración del mismo que no deberá ser inferior a la duración del contrato y dos (2) años más, contados a partir de la fecha de cierre del proceso de selección. Por tanto, deberá indicar que éste no podrá ser disuelto ni liquidado y, en ningún caso, podrá haber cesión del contrato entre quienes integran el consorcio o unión temporal. g. Si los miembros del consorcio o la unión temporal o alguno de ellos, es persona jurídica, debe adjuntar a la propuesta el certificado de existencia y representación legal, atendiendo lo exigido para estos documentos en el presente pliego de condiciones. En atención a lo dispuesto en el artículo 11 del Decreto 3050 de 1997, los integrantes del Consorcio o Unión Temporal en el documento de constitución y para efectos del pago, en relación con la facturación deben manifestar:

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 21 de Estudios Previos – Procesos Públicos De Selección 101

1. Si la va a efectuar en representación del consorcio o la unión temporal uno de sus integrantes, caso en el cual debe informar el número del NIT o RUT de quien factura. 2. Si la facturación la van a presentar en forma separada cada uno de los integrantes del consorcio o la unión temporal, caso en el cual deben informar el número de NIT o RUT de cada uno de ellos y la participación de cada uno en el valor del contrato. 3. Si la va realizar el consorcio o unión temporal con su propio NIT o RUT, caso en el cual se debe indicar el número. Además, se debe señalar el porcentaje o valor del contrato que corresponda a cada uno de los integrantes, el nombre o razón social y el NIT o RUT, de cada uno de ellos. 4. La unión temporal o el consorcio conformado, deberá incluir en su propuesta, el NIT o RUT, de dicha sociedad.

COMPROMISO TRANSPARENCIA:

El proponente deberá aportar con su propuesta, el Compromiso de Transparencia, debidamente diligenciado.

En caso de consorcio o unión temporal esta declaración deberá ser, además, suscrita por cada uno de los integrantes que lo conforman.

VERIFICACIÓN ANTECEDENTES FISCALES:

Presentar el ÚLTIMO BOLETÍN OFICIAL EXPEDIDO POR LA CONTRALORÍA GENERAL DE LA REPÚBLICA, para verificar que no se encuentra reportado en el Boletín de Responsables Fiscales, la persona natural o el representante legal de la persona jurídica o de la unión temporal o el consorcio según corresponda.

VERIFICACIÓN ANTECEDENTES DISCIPLINARIOS:

Presentar el certificado de antecedentes disciplinarios expedido por la PROCURADURÍA GENERAL DE LA NACIÓN del proponente persona natural o jurídica y el representante legal de esta o del consorcio o unión temporal.

CERTIFICADO JUDICIAL VIGENTE:

Teniendo en cuenta lo dispuesto en el artículo 93 y 94 del Decreto – Ley 019 de 2012, donde se suprime el certificado de antecedentes judiciales, por lo que ninguna persona está obligada a presentar un documento que certifique sus antecedentes judiciales para trámites con entidades de derecho público o privado. Sin embargo las entidades públicas podrán consultarlos en la Página del Ministerio de Defensa Nacional – Policía Nacional www.policia.gov.co.

COPIA DE LA CÉDULA AMPLIADA AL 150%:

Presentar la copia de la cédula de ciudadanía amarilla de hologramas, de conformidad con la Ley 757 de 2002, modificada por la Ley 999 de 2005, reglamentada por el Decreto 4969 de 2009, que deberá ser ampliada al 150% en caso de tratarse de persona natural, cuando se trate de persona jurídica se deberá presentar copia de la cedula del representante legal. En caso de consorcio o unión temporal, este requisito deberá cumplirse respecto de cada uno de sus integrantes.

COPIA DE LA LIBRETA MILITAR AMPLIADA AL 150%:

Presentar la copia de la Libreta Militar ampliada al 150% en caso de tratarse de persona natural (hombres menores de 50 años), cuando se trate de persona jurídica se deberá presentar la libreta militar del representante legal. En caso de consorcio o unión temporal, este requisito deberá cumplirse respecto de cada uno de sus integrantes, de conformidad con el artículo 111 de Decreto 2150 de 1995.

AUSENCIA DE INHABILIDADES E INCOMPATIBILIDADES:

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 22 de Estudios Previos – Procesos Públicos De Selección 101

Declaración de la persona natural, jurídica o de cada uno de los integrantes del consorcio o unión temporal, cuando sea el caso, de que no se encuentran incursos en ninguna de las causales de inhabilidad e incompatibilidad señaladas en la Constitución Política, en los artículos 8 y 9 de la Ley 80 de 1993, adicionado por el artículo 18 de la Ley 1150 de 2011 y la Ley 1474 de 2011 y demás normas concordantes; la cual se entenderá cumplida con la presentación de la propuesta y la manifestación que se haga en la carta de presentación de la propuesta.

ORIGEN LÍCITO DE LOS RECURSOS:

Declaración de la persona natural o jurídica, que se entenderá bajo la gravedad de juramento, no estar inmersa en algún tipo de lista restrictiva de lavado de activos de ningún país, como las denominadas Listas OFAC, Lista Clinton o en listas nacionales o internacionales de organismos policiales, judiciales o de inteligencia por posibles vínculos con organizaciones delictivas, que los recursos que conforman su patrimonio y que se empleará para el desarrollo del contrato, provienen de actividades lícitas. Cuando el proponente sea un consorcio o unión temporal, esta manifestación la deberá hacer cada uno de sus integrantes, de conformidad con el artículo 27 de la Ley 1121 de 2006.

AUTORIZACIÓN SOLICITUD DE DOCUMENTOS:

Por razones de seguridad nacional, y fundamentados en las funciones asignadas al Ministerio, se reserva el derecho para verificar los antecedentes penales, policivos y disciplinarios de cada uno de los proponentes. Si son personas jurídicas, se realizará este procedimiento tanto al representante legal como a cada uno de los miembros de la junta de socios o junta directiva. Para tal efecto, el Proponente deberá llenar el formato “Autorización solicitud de documentos”.

GARANTÍA DE SERIEDAD DE LA OFERTA:

El proponente deberá adjuntar a la misma una garantía de seriedad de su oferta, de conformidad con el artículo 2.2.1.2.3.1.9 del Decreto 1082 de 2015, expedida por una compañía de seguros legalmente autorizada para funcionar en el país, con las siguientes condiciones:

CUANTÍA: el valor será el equivalente al diez por ciento (10%) del valor total de la oferta presentada oficial.

VIGENCIA: la vigencia debe ir desde el cierre hasta la aprobación de la garantía que ampara los riesgos propios de la etapa contractual; es decir noventa (90) días más después de la fecha del cierre del proceso.

AFIANZADO: debe figurar como afianzado el nombre completo del proponente, cuando se presente en consorcio, unión temporal o cualquier otra forma de asociación, se identificarán todos y cada uno de sus integrantes, con sus porcentajes de participación;

BENEFICIARIO: El Ministerio del Deporte con NIT. 899.999.306-8.

CERTIFICACIÓN DE MIPYMES.

El representante legal de la mediana empresa deberá aportar certificación suscrita por revisor fiscal, cuando éste exista de acuerdo con lo requerido por la Ley, o contador público, en la que acredite los parámetros contenidos en el artículo 2º de la ley 590 de 2000, en aplicación del parágrafo 2º del artículo 43 de la ley 1450 de 2011; por tanto, la certificación deberá indicar el número de trabajadores de la planta de personal y los activos totales expresados en salarios mínimos mensuales legales vigentes.

Si la oferta es presentada por un consorcio o unión temporal, cada uno de sus miembros deben presentar de manera independiente la anterior certificación.

NOTA: La omisión de la información requerida en este numeral no será subsanable por ser criterio de desempate, en todo caso, su no presentación no restringe la participación del proponente, ni es causal de rechazo de la oferta.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 23 de Estudios Previos – Procesos Públicos De Selección 101

APODERADO PERSONAS EXTRANJERAS.

Las personas naturales extranjeras sin residencia en Colombia, y las personas jurídicas extranjeras sin domicilio en Colombia, deberán constituir un apoderado domiciliado en nuestro país, debidamente facultado para presentar la Oferta, participar y comprometer a su representado en las diferentes instancias del proceso, suscribir los documentos y declaraciones que se requieran, así como el Contrato, suministrar la información que le sea solicitada, y demás actos necesarios de acuerdo con la ley y éste Pliego, así como para representarla judicial o extrajudicialmente.

Las personas extranjeras que participen en Consorcio o Unión Temporal podrán constituir un solo apoderado común y, en tal caso, bastará para todos los efectos la presentación del poder común otorgado por todos los integrantes, con los requisitos de autenticación, consularización y/o apostille y traducción exigidos en el Código de Comercio de Colombia, además de los señalados en éste pliego.

El poder a que se refiere este párrafo podrá otorgarse en el mismo documento de constitución del Consorcio o Unión Temporal.

CERTIFICADO DE INSCRIPCIÓN, CALIFICACIÓN Y CLASIFICACIÓN EN EL REGISTRO ÚNICO DE PROPONENTES (en adelante RUP), EXPEDIDO POR LA CÁMARA DE COMERCIO DE LA JURISDICCIÓN DONDE TENGA EL ASIENTO PRINCIPAL DE SUS NEGOCIOS (PERSONAS NATURALES) O EL DOMICILIO PRINCIPAL (PERSONAS JURÍDICAS)

Para poder contratar con el Estado, los proponentes deberán estar inscritos, clasificados y calificados en el Registro Único de Proponentes de la Cámara de Comercio de su jurisdicción, de acuerdo a las condiciones establecidas en el Título VI Registro Único De Proponentes –RUP del Decreto 1082 de 2015.

El Registro Único de proponentes presentado con la propuesta deberá estar actualizado con una expedición no superior a un (1) mes anterior a la fecha de cierre del proceso establecida en el Pliego de Condiciones. El proponente deberá aportar este certificado vigente y en firme para efectos de la verificación de requisitos habilitantes. Dicha exigencia aplica para cada uno de los integrantes de Consorcios, Uniones Temporales u otras formas de asociación.

El certificado constituye plena prueba respecto de la información verificada documentalmente y cuyo registro se encuentre EN FIRME, firmeza que se produce diez (10) días HABILES después de su publicación en el Registro Único Empresarial (RUE) sin que haya sido objeto de recurso o que habiéndolo haya sido resuelto. Si fueren sociedades extranjeras con sucursal en el país y dentro del RUP no se encuentra toda la información requerida por la entidad, se deberá adjuntar certificación del Representante legal de la sociedad extranjera o en su defecto del mandatario de la sucursal con los datos que faltan, la cual se entiende formulada bajo la gravedad del juramento.

El objeto social del proponente debe tener relación directa con el objeto de la contratación. Tratándose de personas naturales extranjeras sin domicilio en el país o de personas jurídicas extranjeras que no tengan establecida sucursal en Colombia no se les exigirá RUP. En consecuencia, se verificará directa y únicamente la información sobre la capacidad jurídica, y las condiciones de experiencia, capacidad financiera y de organización de los proponentes.

REGISTRO ÚNICO DE PROPONENTES (RUP) PARA EXTRANJEROS:

Para los efectos previstos en este acápite, se consideran personas jurídicas públicas o privadas de origen extranjero las sociedades no constituidas de acuerdo con la legislación nacional, sea que tengan o no domicilio en Colombia a través de sucursales. Las Propuestas de personas jurídicas de origen extranjero se someterán en todo caso a la legislación colombiana, sin perjuicio de lo cual para su participación cumplirán con las siguientes condiciones: a. Acreditar su existencia y representación legal a efectos de lo cual presentará un documento expedido por la autoridad competente en el país de su domicilio, con fecha de expedición igual o inferior a los seis (6) meses anteriores a la fecha del cierre definitivo del presente proceso de selección, en el que conste su existencia, objeto y vigencia, y el nombre del representante legal de la sociedad o de la persona o personas que tengan la capacidad

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 24 de Estudios Previos – Procesos Públicos De Selección 101 para comprometerla jurídicamente y sus facultades, y en el cual se señale expresamente que el representante no tiene limitaciones para presentar la Propuesta y suscribir el Contrato. Cuando el representante legal tenga limitaciones estatutarias, se presentará adicionalmente copia del acta en la que conste la decisión del órgano social correspondiente que autorice al representante legal para presentar la Propuesta, la suscripción del Contrato y para actuar en los demás actos requeridos para la contratación en el caso de resultar Adjudicatario. b. Acreditar un término mínimo remanente de duración de la sociedad igual al término de vigencia del Contrato y tres (3) años más. c. Acreditar que su objeto social se encuentra directamente relacionado con el objeto de la presente contratación de manera que le permita a la persona jurídica celebrar y ejecutar el contrato ofrecido, teniendo en cuenta para estos efectos el alcance y la naturaleza de las diferentes obligaciones que adquiere. En todos los casos, los documentos expedidos en el exterior que acrediten las condiciones anteriores cumplirán todos y cada uno de los requisitos legales exigidos para la validez y oponibilidad en Colombia, con el propósito que puedan obrar como prueba conforme con lo dispuesto en el artículo 251 del Código General del Proceso (Ley 1564 de 2012), el artículo 480 del Código de Comercio y en la Resolución 4300 del 24 de julio de 2012 proferida por el Ministerio de Relaciones Exteriores de Colombia y las demás normas vigentes. Se precisa que la oportunidad para allegar los mencionados documentos con estos formalismos, será antes de la suscripción del contrato, de manera que para efectos de presentar la propuesta se acepten documentos en copias simples. Si el proponente no presenta con la oferta los documentos solicitados en el presente numeral (en copia simple), Se requerirá al proponente a fin de que los aportes dentro del plazo que le señale para el efecto.

Para los proponentes extranjeros con domicilio en el país o sucursal en Colombia, deberán presentar con su oferta el REGISTRO ÚNICO DE PROPONENTES el cual deberá tener una fecha de expedición no mayor a treinta (30) días calendario anteriores a la fecha definitiva de cierre del proceso de selección, prevista en el "CRONOGRAMA DEL PROCESO" del pliego de condiciones que expida la entidad. Si a la fecha de presentación de la oferta, el RUP del proponente no se encuentra en firme, deberá acreditar que solicitó su renovación oportunamente o que su inscripción está en trámite, sin perjuicio que para el momento de la adjudicación el RUP deba encontrarse en firme.

NOTA 1: La (s) persona (s) natural(es) extranjera (s) sin domicilio en el país y las personas jurídicas extranjeras que no tengan establecida sucursal en Colombia, acreditarán el cumplimiento de este requisito con los mismos documentos que aporten para acreditar la experiencia del proponente y en el cual conste la ejecución de por lo menos un (1) contrato relacionado con el objeto del presente proceso.

NOTA 2: La clasificación del proponente no es un requisito habilitante sino un mecanismo para establecer un lenguaje común entre los partícipes del Sistema de Compras y Contratación Pública. En consecuencia, las Entidades Estatales no pueden excluir a un proponente que ha acreditado los requisitos habilitantes exigidos en un Proceso de Contratación por no estar inscrito en el RUP con el código de los bienes, obras o servicios del objeto de tal Proceso de Contratación. (Circular Externa No. 12 Colombia Compra Eficiente).

NOTA 3: Tratándose de personas jurídicas extranjeras sin domicilio en Colombia, la verificación de requisitos se hará directamente por la Entidad bajo las normas de que trate el Decreto 1082 de 2015 y las directrices expedidas por la agencia estatal Colombia Compra Eficiente.

APODERADO PARA OFERENTES EXTRANJEROS

Los oferentes extranjeros sin sucursal o domicilio en Colombia deberán presentar sus propuestas a través de apoderado facultado para tal fin, con arreglo a las disposiciones legales que rigen la materia.

La persona natural o jurídica de origen extranjero, que no sea residente en Colombia, podrá presentar propuesta, previo cumplimiento de los requisitos generales establecidos para tal fin, aplicables a los oferentes nacionales con las excepciones del caso y especialmente cumpliendo los siguientes requisitos:

a) Cuando se trate de personas naturales extranjeras sin domicilio en el país o de personas jurídicas privadas extranjeras que no tengan establecida sucursal en Colombia, deberán acreditar la constitución de un apoderado (Poder Especial), domiciliado y residente en Colombia, debidamente facultado para presentar

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 25 de Estudios Previos – Procesos Públicos De Selección 101

la propuesta y celebrar el contrato, así como para representarla administrativa, judicial o extrajudicialmente. b) Deberá adjuntar el certificado de existencia y representación legal o el documento equivalente del país en que se haya constituido legalmente. Si el mismo se encuentra en idioma distinto al español o castellano oficial de la República de Colombia, deberá adjuntar el texto en el idioma original acompañado de la traducción oficial respectiva. En el evento en que el oferente extranjero ostente limitación en su capacidad de contratación o de oferta, deberá adjuntar el documento mediante el cual se remueva dicha limitación. En lo no previsto aquí expresamente, se aplicará el régimen dispuesto para los nacionales colombianos y que le sea aplicable a los extranjeros. c) iii. En cumplimiento de lo ordenado por el Parágrafo 2° del Artículo 6 de la Ley 1150 de 2007, modificado por el artículo 221 del Decreto – Ley 019 de 2012, el oferente extranjero, persona natural sin domicilio en Colombia o persona jurídica extranjera que no tenga establecida sucursal en el país, NO se encuentra obligado a inscribirse ni calificarse en el RUP. d) iv. El oferente extranjero deberá relacionar y certificar la experiencia exigida en este proceso. En el evento en que dicha experiencia se haya obtenido en país distinto a Colombia, para efectos de certificarla deberá adjuntar la certificación respectiva que deberá cumplir con los requisitos establecidos en este documento. Adicionalmente, si la certificación se encuentra en idioma distinto al de la República de Colombia, deberá adjuntarse además del documento en idioma extranjero, la traducción oficial del documento, tal y como lo establece el Artículo 260 del Código de Procedimiento Civil Colombiano. e) En el evento de resultar favorecido con la adjudicación un proponente extranjero sin domicilio ni sucursal en Colombia, para efectos de poder ejecutar el contrato deberá previamente constituir una sucursal en Colombia en los términos del Código de Comercio, de acuerdo con lo señalado en los Artículos 471 y 474 del citado Código. f) En cumplimiento de lo dispuesto en el Artículo 874 del Código de Comercio, en concordancia con el Artículo 28 de la Ley 9 de 1991, el Artículo 3 del Decreto 1735 de 193 y la Resolución No. 8 de 2000, modificada por la Resolución 6 de 2006, emanada del Banco de la República, el valor en pesos colombianos del contrato o contratos celebrados en moneda distinta será el de la fecha de su suscripción o firma, de acuerdo con la tasa de cambio oficial que indique el Banco de la República.

DOCUMENTOS OTORGADOS EN EL EXTERIOR

Los documentos oficiales otorgados o expedidos en el exterior, deberán presentarse traducidos al idioma castellano, legalizados o apostillados en la forma prevista en las normas vigentes sobre la materia, en especial la relacionada en los artículos 74 y 251 del Código General del Proceso, el artículo 480 del Código de Comercio, la Resolución 7144 de 2014, proferida por el Ministerio de Relaciones Exteriores de Colombia y la Circular Externa No. 17 del 11 de febrero de 2015, expedida por Colombia Compra Eficiente.

Lo anterior sin perjuicio de lo establecido en el artículo 25 del Decreto Ley 019 de 2012, en relación con los documentos los documentos privados y lo señalado en el Manual para determinar y verificar los requisitos habilitantes en los procesos de contratación, expedido por la Agencia Nacional de Contratación Pública – Colombia Compra Eficiente.

Este requisito se hace extensivo a todos y cada uno de los documentos que formen parte del proceso y que sean presentados con ocasión del mismo.

CONSULARIZACIÓN DE DOCUMENTOS PRIVADOS OTORGADOS EN EL EXTERIOR

De conformidad con lo previsto en el artículo 480 del Código de Comercio, "Los documentos otorgados en el exterior se autenticarán por los funcionarios competentes para ello en el respectivo país y la firma de tales funcionarios lo será a su vez por el cónsul colombiano o, a falta de este por el de una nación amiga, sin perjuicio de lo establecido en convenios internacionales sobre el régimen de los poderes".

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 26 de Estudios Previos – Procesos Públicos De Selección 101

Tratándose de sociedades, expresa además el mencionado artículo que, al autenticar los documentos a que se refiere este artículo, los cónsules harán constar que existe la sociedad y ejerce su objeto conforme las leyes del respectivo país (artículo 74 Código General del Proceso).

Surtido el trámite señalado, estos documentos deben ser presentados ante el Ministerio de Relaciones Exteriores de Colombia (Oficina de Legalizaciones - Transversal 17 No. 98 - 55 Bogotá) para la correspondiente legalización de la firma del Cónsul y demás trámites pertinentes.

Lo anterior sin perjuicio de lo establecido en el artículo 25 del Decreto Ley 019 de 2012 y en el Manual para determinar y verificar los requisitos habilitantes en los procesos de contratación expedido por la Agencia Nacional de Contratación Pública – Colombia Compra Eficiente.

APOSTILLE DE DOCUMENTOS PÚBLICOS

Cuando se trate de documentos de naturaleza pública otorgados en el exterior, de conformidad con lo previsto en la Ley 455 de 1998, no se requerirá del trámite de consularización señalado en el numeral anterior, siempre que provenga de uno de los países signatarios de la Convención de La Haya del 5 de Octubre de 1961, sobre abolición del requisito de legalización para documentos públicos extranjeros. En este caso, sólo será exigible la apostille, cuyo trámite que consiste en el certificado mediante el cual se avala la autenticidad de la firma y la calidad con que ha actuado la persona firmante del documento el cual se surte ante la autoridad competente en el país de origen.

Si la apostille está dada en idioma distinto al idioma castellano, deberá presentarse acompañada de una traducción oficial a dicho idioma y la firma del traductor legalizada de conformidad con las normas vigentes.

3. Capacidad Financiera

Documentación financiera y económica:

El Ministerio exige los siguientes requisitos financieros para participar en el presente proceso de selección, los cuales serán verificados en la información certificada que sobre capacidad financiera obra en el Certificado de Inscripción, Calificación y Clasificación en el Registro Único de Proponentes, RUP, VIGENTE, el cual no debe tener más de 30 días de expedido y debe estar soportado con los Estados financieros con corte a 31 de diciembre de la vigencia inmediatamente anterior.

En caso de propuestas presentadas bajo la modalidad de Unión Temporal o Consorcio, los índices se verificarán ó determinarán, según corresponda, para cada uno de los integrantes por separado, luego se aplicará el porcentaje de participación en el Consorcio o Unión Temporal y finalmente se suman como subtotales, para obtener el índice de referencia.

INDICADOR FORMULA MARGEN SOLICITADO Razón corriente Activo corriente/pasivo corriente Mayor o igual a 1.0 Razón de Pasivo total/activo total Menor o igual a 70%. endeudamiento Utilidad Operacional sobre Gastos de Razón de Cobertura Mayor o igual a 1.00 Intereses Activo corriente menos pasivo Mayor o igual a 100% del valor del Grupo El capital de trabajo corriente Ofertado

Razón corriente:

Activo Corriente / Pasivo Corriente Para los Consorcios o Uniones Temporales, se tomará como razón de liquidez el promedio de la sumatoria de los activos corrientes dividido entre los pasivos corrientes de los miembros del Consorcio o Unión Temporal.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 27 de Estudios Previos – Procesos Públicos De Selección 101

RC = (AC1 / PC1)*%P1 + (AC2 / PC2)*%P2+...+ (ACn / PCn)*%Pn

Serán descalificados los Consorcios o Uniones Temporales que presenten un índice menor a 1.00

Razón de endeudamiento:

Pasivo Total /Activo total Para Consorcios o Uniones Temporales el cálculo del nivel de endeudamiento será el que resulte de la sumatoria de los Pasivos Totales dividido entre los Activos Totales de los miembros del Consorcio, Unión Temporal de manera proporcional a su participación.

PT1*%P1 + PT2*%P2 + PT3*%P3 + ... + PTn*%Pn RE = ------AT1*%P1 + AT2*%P2 + AT3*%P3 + ... + Atn*%Pn

Serán descalificados los Consorcios o Uniones Temporales que presenten un índice mayor a 70%

Razón de Cobertura:

Utilidad Operacional dividida por los Gastos de Intereses Para Consorcios o Uniones Temporales el cálculo de la Razón de Cobertura será el que resulte de la sumatoria de las Utilidades Operacionales dividido entre la sumatoria de los Gastos de Intereses de los miembros del Consorcio, Unión Temporal de manera proporcional a su participación.

Razón de Cobertura (RCo) = Utilidad Operacional / Gastos de Intereses > 1.00

Para las empresas que no posean Gastos de Intereses y que sea reflejado con valor (0) en los Estados Financieros que se encuentran debidamente actualizado su información financiera en el Registro Único de Proponentes RUP, al realizar su operación matemática da INDETERMINADO, su calificación será CUMPLE.

Capital de trabajo:

Capital de Trabajo (CP) = Activo Corriente (AC) – Pasivo Corriente (PC) ≥ 100% del valor del Grupo Ofertado

CT = AC - PC ≥ 100% del valor del Grupo Ofertado

Para Consorcios o Uniones Temporales, se tomará como Capital de Trabajo la sumatoria de los Capitales de Trabajo de los miembros del Consorcio, Unión Temporal, proporcional al porcentaje (%) de sus participaciones.

CTC = (AC1 – PC1)*%P1 + (AC2 – PC2)*%P2 +...+(ACn – PCn)*%Pn

El capital de trabajo debe ser Mayor o igual a 100% del valor del Grupo Ofertado, so pena de rechazo de la propuesta.

Nota: En caso de que el PROPONENTE no cumpla con UNO de los índices financieros solicitados o definitivamente no subsane los documentos requeridos por la entidad para tal fin, será calificado con el término NO CUMPLE y la propuesta será rechazada.

Registro único tributario (RUT):

El proponente debe indicar en su identificación tributaria información sobre el régimen de impuestos al que pertenece, igualmente debe anexar el RUT de conformidad con el Decreto 653 de 1990 artículo 5. En caso de consorcios o uniones temporales, cada uno de los integrantes deberá aportar este documento y el de la conformación de dicha unión temporal o consorcio.

Certificación bancaria:

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 28 de Estudios Previos – Procesos Públicos De Selección 101

El proponente adjudicatario deberá, anexar la certificación bancaria de conformidad con el articulo No. 17 de Decreto 2674 de 2012, certificación del Banco donde consta el nombre, antigüedad y tipo de cuenta bancaria donde el Ministerio hará los pagos, si es el adjudicatario.

Sistema integrado de información financiera (siif): (ver anexo) El proponente debe diligenciar la información contenida en el formato incluido Ver anexo SIIF y adjuntar el certificado de vigencia de la cuenta bancaria que exista a nombre del proponente. Cuando el proponente sea un consorcio o unión temporal, solo uno de los integrantes debe diligenciar el formato y anexar la certificación bancaria.

4. Capacidad de Organización.

De conformidad con lo establecido en el Decreto 1082 de 2015 articulo 2. 2. 1. 1. 1. 5. 3 numeral 4, los proponentes deben acreditar su capacidad organizacional a partir de los siguientes indicadores:

Rentabilidad sobre patrimonio: Utilidad Operacional / Patrimonio. La Entidad verificará la rentabilidad sobre el patrimonio sea igual o mayor a: 0.02

Rentabilidad sobre activos: Utilidad Operacional / Activo. La Entidad verificará la rentabilidad sobre activos sea igual o mayor o igual a: 0.01

INDICADOR INDICE REQUERIDO Rentabilidad sobre patrimonio Mayor o igual a 0.02 Rentabilidad sobre activos Mayor o igual a 0.01

El oferente que no cumpla con la capacidad Organizacional será evaluado como NO CUMPLE y por tanto, su propuesta será rechazada.

Para Consorcios o Uniones Temporales, los indicadores financieros de CAPACIDAD DE ORGANIZACIÓN, será el resultado del cálculo matemático que realice la entidad y que corresponde a la sumatoria de la Utilidades Operacionales dividido entre la sumatoria de los Patrimonios o los Activos Totales según corresponda en los integrantes y de manera proporcional a su participación.

Rentabilidad del Patrimonio (Utilidad Operacional1 / Patrimonio1)*% + … + (Utilidad Operacionaln / Patrimonion)*%

Rentabilidad sobre Activos (Utilidad Operacional1 / Activo Corriente1 )*% + … + (Utilidad Operacionaln / Activo Corriente)*%

Nota: En caso de que el PROPONENTE no cumpla con UNO de los índices financieros solicitados o definitivamente no subsane los documentos requeridos por el Ministerio para tal fin, será calificado con el término NO CUMPLE y la propuesta será rechazada.

Como balance, los requisitos habilitantes anteriores se determinarán de la siguientes manera:

REQUISITOS HABILITANTES Experiencia Habilita Capacidad Habilita Financiera Capacidad Habilita Organizacional

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 29 de Estudios Previos – Procesos Públicos De Selección 101

El proponente deberá diligenciar el Formato PROPUESTA INICIAL DE PRECIO y presentarlo en el Sobre No. 2 de la plataforma SECOP II, el cual sólo será abierto previo al inicio de la Subasta Inversa Electrónica, si y solo si, el oferente cumplió con los requisitos habilitantes. FACTORES DE PONDERACIÓN O ASIGNACIÓN DE PUNTAJE (Cuando aplique) para selección la oferta más favorable.

De conformidad con lo dispuesto en el numeral 3° del Articulo 5 de la Ley 1150 de 2007, el único factor de evaluación para el presente proceso de contratación es el menor precio ofertado.

FACTORES DE ESCOGENCIA Se adjudicará al proponente que, cumpliendo los requisitos mínimos habilitantes 1. jurídicos, técnicos y financieros exigidos y dentro el procedimiento de subasta oferte el menor precio.

Teniendo en cuenta que los bienes que se pretenden adquirir son bienes de características técnicas uniformes y de común utilización y conforme con lo expresado en el numeral 3 del artículo 5 de la Ley 1150 de 2007, el ofrecimiento más favorable corresponde a aquel que oferte el menor precio a la Entidad, por cuanto en este tipo de procesos de contratación el único factor de selección es el menor precio.

Así pues, los proponentes que se califiquen como HABILITADOS en los criterios habilitantes podrán participar en la Subasta Inversa Electrónica, para hacer mejorar el precio y buscar ofrecer el menor precio a la entidad.

El procedimiento para la realización de la subasta será conforme lo establece el artículo 2.2.1.2.1.2.2 del Decreto 1082 de 2015.

Esta contratación se realizará bajo la modalidad de subasta electrónica de conformidad con las habilitaciones legales desarrolladas en las Leyes 1150 de 2007, 962 de 2005 y 527 de 1999 así como por lo establecido en el artículo 2.2.1.2.1.2.5 del Decreto 1082 de 2015. En ese orden ideas y de conformidad con lo señalado en el artículo 2.2.1.2.1.5 del Decreto 1082 de 2015, LA ENTIDAD ha establecido que para adelantar la subasta electrónica utilizará como sistema la plataforma tecnológica de SECOP ll que garantiza mecanismos de seguridad jurídica y técnica para el intercambio de mensajes de datos, asegurando la autenticidad, integridad, disponibilidad y no repudio de los mismos. 6. ANÁLISIS DE RIESGOS Y FORMA DE MITIGARLOS (Art. 2.2.1.1.2.1.1 Numeral 6 Decreto 1082 de 2015) Ver Anexo No. 2

7. GARANTÍAS QUE LA ENTIDAD ESTATAL CONTEMPLA EXIGIR EN EL PROCESO DE CONTRATACIÓN (Art. 2.2.1.1.2.1.1 Numeral 7 Decreto 1082 de 2015) TITULO (De acuerdo con la naturaleza, cuantía y tipo de contratación se deberán exigir las garantías, según lo estipulado III, en el Decreto 1082 de 2015 Sección 3 Garantía, Subsección 1 Generalidades ) GARAN TIAS del El Oferente o Contratista según el caso, constituirá las garantías exigidas en el pliego de condiciones o en el D/1082 contrato, bajo los siguientes términos: del 2015 Tipo de Garantía Amparos Porcentaje Vigencia Justificación Criterio para exigir el amparo

A

Seriedad de 10% del Cuatro (4) meses Cubrir a la entidad A excepción

la Oferta ) valor total contados a partir de por los posibles de las del la fecha límite para perjuicios derivados situaciones

(ARTS presupuest presentar ofertas. del incumplimiento dispuestas

DE 2015

SEGURO,

GARANTÍA GARANTÍA

PÓLIZA DE

AUTÓNOMO

BANCARIA OBANCARIA

PATRIMONIO PATRIMONIO 2.2.1.2.3.2.1 o estimado de la propuesta en las notas

DECRETO 1082 1082 DECRETO 2.2.1.2.3.4.1 DEL 2.2.1.2.3.4.1 presentada, según lo previstas al

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 30 de Estudios Previos – Procesos Públicos De Selección 101

dispuesto en el final de este artículo 2.2.1.2.3.1.6 cuadro, se del Decreto 1082 de recomienda 2015. siempre solicitar este amparo. 10% del Por el término de Cubrir a la entidad A excepción valor total ejecución del por los posibles de las Cumplimient del contrato contrato y cuatro (4) perjuicios directos situaciones o meses más derivados del dispuestas contados a partir de incumplimiento en las notas la firma del contrato. imputable al previstas al contratista de las final de este obligaciones del cuadro, se Contrato, según lo recomienda dispone el artículo siempre 2.2.1.2.3.1.7 solicitar este numeral 3° del amparo. Decreto 1082 de 2015. 10% del Por el término de Cubrir a la entidad A excepción valor total ejecución del frente a los perjuicios de las Calidad del del contrato contrato y doce (12) imputables al situaciones Servicio meses más contratista, dispuestas contados a partir de derivados de la en las notas la firma del deficiente calidad previstas al contrato.. del servicio prestado final de este por el contratista de cuadro, se acuerdo con las recomienda especificaciones siempre técnicas del contrato, solicitar este según lo dispone el amparo. artículo 2.2.1.2.3.1.7 numeral 6° del Decreto 1082 de 2015. Calidad y Este amparo, cubre a Con formato: Normal, Derecha: 0 cm Correcto la Entidad Estatal de funcionami la mala calidad o ento de los deficiencias técnicas Por el término de bienes de los bienes Calidad y Con formato: Fuente: (Predeterminada) Arial Narrow, 11 ejecución del 10% del suministrados, de Correcto pto, Sin Negrita contrato y doce (12) valor del acuerdo con las funcionamie meses más contrato especificaciones nto de los contados a partir de técnicas, según lo bienes la firma del contrato dispone el artículo 2.2.1.2.3.1.16 del Decreto 1082 de 2015 Pago de Al menos Por el término de Cubrir a la entidad Se salarios, por el 5% ejecución del frente a los perjuicios recomienda prestacione del valor contrato y tres (3) imputables al solicitar este s sociales total del años más contados contratista, amparo en legales e contrato a partir de la firma derivados de los contratos indemnizaci del contrato. reclamaciones de de tracto

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 31 de Estudios Previos – Procesos Públicos De Selección 101

ones orden laboral, según sucesivo laborales lo dispone el artículo que se 2.2.1.2.3.1.7 suscriban numeral 4° del con Decreto 1082 de personas 2015. Jurídicas.

8.- INDICACIÓN DE SI EL PROCESO DE CONTRATACIÓN ESTÁ COBIJADO POR UN ACUERDO COMERCIAL (Art. 2.2.1.1.2.1.1 Numeral 8 Decreto 1082 del 2015) ACUERDO ENTIDAD PRESUPUESTO DEL EXCEPCIÓN PROCESO DE COMERCIAL ESTATAL PROCESO DE APLICABLE AL CONTRATACIÓ INCLUIDA CONTRATACIÓN PROCESO DE N SUPERIOR AL CONTRATACIÓN CUBIERTO POR VALOR DEL ACUERDO ACUERDO COMERCIAL COMERCIAL Alianza Chile SI SI SI (EXCP 14) SI Pacifico Perú SI NO SI (EXCP 14) NO México SI SI SI (EXCP 14) SI Canadá SI SI SI (EXCP 14) SI Chile SI SI SI (EXCP 14) SI Corea SI SI SI (EXCP 14) SI Costa Rica SI SI SI (EXCP 14) SI Estados AELC SI NO SI (EXCP 14) NO Estados Unidos SI SI SI (EXCP 14) SI México SI SI SI (EXCP 14) SI Unión Europea SI NO SI (EXCP 14) NO Triángul Salvador SI SI SI (EXCP 14) SI o Norte Guatem SI SI SI (EXCP 14) SI ala Hondura NO NO NO NO s

8.- INDICACIÓN DE SI EL PROCESO DE CONTRATACIÓN PUEDE ESTAR LIMITADO A MIPYMES (Art. 2.2.1.2.4.2.2 del Decreto 1082 del 2015)

De acuerdo con el artículo 2.2.1.2.4.2.2 del Decreto 1082 del 2015 y el umbral dispuesto por Colombia Compra Eficiente, si debe limitarse el proceso de contratación a MIPYMES, de conformidad con el presupuesto oficial.

FIRMA AUTORIZADA

ORIGINAL FIRMADO POR ______JAIME ARTURO GUERRA RODRIGUEZ Secretaria General Fecha de elaboración: noviembre 2019 Revisó: Rene Mauricio Pinto Pedraza Revisó: Asesor Secretaría General Revisó: Paola Cuellar – Asesora Jurídica – Secretaría General Elaboró: Martha Liliana Venegas Delgado TIC´s

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 32 de Estudios Previos – Procesos Públicos De Selección 101

ANEXOS AL ESTUDIO PREVIO

El artículo 2.2.1.1.1.6.1 del Decreto 1082 de 2015 establece el deber de las Entidades Estatales de analizar el sector, es decir, el mercado relativo al objeto del Proceso de Contratación, desde la perspectiva legal, comercial, financiera, organizacional, técnica y de análisis de Riesgo. El resultado del análisis debe plasmarse en los estudios y documentos previos del Proceso de Contratación. La importancia de realizar este análisis ha sido recalcada en las recomendaciones que la Organización de Cooperación y de Desarrollo Económicos (OCDE) le ha formulado al Gobierno Nacional, las cuales constituyen buenas prácticas en materia de promoción de la competencia en la contratación pública.

En cumplimiento de la disposición antes citada, la Dirección de Recursos y Herramientas del SND en calidad de estructuradora del proceso de selección objeto del presente estudio, se permite dejar constancia del Análisis del Sector, con el fin de definir el sector o mercado al cual pertenecen tales bienes, obras o servicios y establecer el contexto del Proceso de Contratación, identificar algunos de los Riesgos, determinar los requisitos habilitantes y la forma de evaluar las ofertas, cuya síntesis se ha indicado en el estudio previo y en los siguientes anexos:

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 33 de Estudios Previos – Procesos Públicos De Selección 101

Anexo Fichas Técnicas

El oferente debe contestar punto por punto el anexo técnico describiendo el Link o Página del fabricante en donde se encuentran descritas las especificaciones técnicas del ítem ofertado.

Grupo I Actualización y Soporte de Soluciones Mcafee SOLUCION PARA EL ENDPOINT CEB

REQUERIMIENTOS TECNICOS CONTENIDOS EN LA SOLUCION ENDPOINT

ITEM DESCRIPCION CUMPLE SI/NO

1 SISTEMAS OPERATIVOS SOPORTADOS La solución deberá soportar los siguientes sistemas operativos de Microsoft Windows de Clientes: - Windows 10 version 1903, 1809, 1803, 1709, 1703, 1607, 1511 - Windows 10 - Windows 10 IoT Enterprise - Windows 8.1 Update 1 - Windows 8 (Not including Windows 8 RT [Runtime] edition) - Windows To Go - all versions - Windows 7 - Windows Vista - Windows Embedded 8: Pro, Standard, and Industry - Windows Embedded Standard 7

La solución deberá soportar los siguientes sistemas operativos de Microsoft Windows de Servidores: - Windows Server 2019 version 1903 (including Essentials, Standard, and Datacenter) - Windows Server 2019 version 1809 (including Essentials, Standard, Datacenter, and Server Core Mode) - Windows Server 2016 version 1803 (including Essentials, Standard, Datacenter, and Server Core Mode) - Windows Server 2016 version 1709 (including Essentials, Standard, Datacenter, and Server Core Mode) - Windows Server 2016 version 1607 (including Essentials, Standard, Datacenter, and Server Core Mode) - Windows Storage Server 2016 - Windows Server 2012 R2 Update 1: Essentials, Standard, and Datacenter (including Server Core Mode) - Windows Server 2012 R2 - Windows Server 2012 - Windows Storage Server 2012 and 2012 R2 - Windows Server 2008 R2: Standard, Datacenter, Enterprise, and Web (including Server Core Mode) - Windows Server 2008 - Windows Storage Server 2008 - Windows Storage Server 2008 R2 - Windows Small Business Server 2011 - Windows Small Business Server 2008 - Windows Server 2003 and 2003 R2

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 34 de Estudios Previos – Procesos Públicos De Selección 101

La solución deberá soportar los siguientes sistemas operativos MacOS de clientes y servidores: - MacOS Mojave 10.14.x1 - MacOS High Sierra 10.13.x - MacOS Sierra 10.12.x - MacOS El Capitan 10.11.x - MacOS Yosemite 10.10.x - MacOS Mavericks 10.9.x 2 NAVEGADORES La solución deberá soportar los siguientes navegadores de internet: - Google Chrome - Microsoft Edge - Mozilla Firefox - Microsoft Internet Explorer 11 3 ADMINISTRACION CENTRALIZADA Y DISTRIBUCION La solución debe ser administrada de forma centralizada. La solución debe permitir la gestión y manejo de políticas de mecanismos de defensa integrados a Windows 10 (Firewall, Defender). La solución debe ofrecer distintos modelos de gestión: On-Premises o IaaS. La solución deberá ser administrada en la misma consola que el resto de los componentes de seguridad mencionados en este documento. Se debe poder desplegar el agente de la solución desde la consola de administración y este debe ser el componente administrativo de todas las funcionalidades solicitadas en

este documento. La solución debe contar con los mecanismos de protección para no poder ser desinstalada o desactivada por el usuario. La solución debe avisar sobre los posibles conflictos que existan de la solución a otras soluciones de anti-virus y firewall instalados previamente en la máquina. Se deben poder habilitar o deshabilitar los módulos de protección sin ser desinstalados del sistema.

4 PROTECCION DE AMENAZAS La solución debe de poder configurarse para realizar escaneos por demanda o programados, desde la consola de administración o desde la consola cliente. Se debe poder configurar acciones sobre infecciones identificadas: - Denegar acceso - Limpiar - Eliminar - Ninguna Debe tener la opción de detectar actividad del usuario, teniendo en cuenta funcionamiento del disco, mouse y teclado para activar escaneos y no afectar la productividad. La solución debe ofrecer opciones de envío de infecciones a cuarentena y ejecutar acciones sobre ítems enviados allí. Se deben reportar eventos de amenazas directamente sobre la consola cliente, de forma consolidada (AV, Web e IPS/FW), priorizada y bajo un lenguaje específicamente descriptivo donde de manera natural cada registro explique cuál fue el elemento que causante, cual fue la acción realizada por este, que componentes estuvieron involucrados, que regla de protección fue violada. No se admiten tablas, archivos tabulados en texto plano, listas o cualquier tipo registro que no sea fácilmente entendido por el usuario final.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 35 de Estudios Previos – Procesos Públicos De Selección 101

La solución debe poder habilitar la opción de escaneo de click-derecho sobre carpetas específicas. Es requerido que la solución en equipos Windows reciba actualizaciones de seguridad bajo un único componente (archivo) consolidado que incluya lo correspondiente a: Antivirus, Protección Web e IPS, con el fin de disminuir la carga administrativa y de red que supondría realizarlos de forma independiente Debe contar con mecanismos de protección de exploits Generic Buffer Overflow Overflow Protection (GBOP) o integración con Microsoft DEP (Data Execution Prevention). La solución debe contar con características de protección Kevlar para navegadores con Active X La solución debe contar con mecanismos de protección a ejecución de scripts maliciosos de IE, sean JavaScript o VBScript. La solución debe poder configurar mediante reglas o políticas de protección de: - Entradas y llaves de registro de Windows. - Prevención de creación de ejecutables portables(.INI,.PIF). - Creación de archivos autorun. - Prevención de uso de archivos TFTP (TrivialFileTransferProtocol). - Contralectura de archivos en cache deI E. - Creación y modificación remota de archivos o carpetas. - Acceso remoto de archivos o carpetas. - .EXE,.BATyotrosejecutablesbajolallavederegistroHKEY_CLASSES_ROOT. - Modificación de procesos core de Windows. - Modificación de configuración es de exploradores y navegadores web. - Proteger procesos con subreglas personalizadas - Asignar las reglas por nombre de usuario

5 FIREWALL/IPS El modulo debe permitir/bloquear tráfico de red para protocolos no soportados. Permitir o bloquear trafico solo hasta que el modulo y servicios de firewall este arriba. Habilitar/deshabilitar protección IP Spoof. Habilitar/deshabilitar alertas de intrusión de Firewall. Agregar dominios específicos para bloqueo DNS. La solución debe poder recopilar log en eventos lanzados directamente sobre el cliente y reportar incidentes en la consola de administración central. Debe proteger ataques tipo “Generic Buffer Overflow” en aplicaciones de 32bits. Debe soportar reglas de protección de acceso para registro, procesos y servicios. Debe tener la funcionalidad “Data Execution Prevention”. Cada una de las reglas debe ser aplicables para tráfico entrante como para tráfico saliente del cliente. Las reglas de trafico deben ser soportadas para protocolos IP: - IPv4 - IPv6 La solución debe aplicar reglas de tráfico para conexiones: - Alámbricas - Inalámbricas - Virtuales Las reglas de tráfico deben poder extenderse a ejecutables por medio de la especificación de ruta (se pueden utilizar wildcards). El modulo debe poder incluir reglas en base a los protocolos y puertos más conocidos del mundo. Se debe poder administrar redes y ejecutables de confianza desde la interfaz de usuario de los endpoints.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 36 de Estudios Previos – Procesos Públicos De Selección 101

La herramienta debe contar con un mecanismo de conocimiento global de amenazas que permita configurar bloqueo de conexiones de alto riesgo en base a reputación.

6 CONTROL WEB La solución debe poder bloquear de forma automática sitios con clasificación de riesgo alto que puedan afectar los equipos y/o la red. La solución debe tener la capacidad de bloquear y/o dejara al usuario decidir qué acción tomar en caso que el sitio que se esté visitando por alguna razón no cuente con una clasificación en ese momento. La solución debe contar con un elemento visual que permita identificar el riesgo del sitio visitado en los navegadores soportados. La solución incluso debe tener la capacidad de ayudar al instituto permitiéndole definir reglas de filtrado de URL por categorías. La solución debe tener la capacidad de evitar el acceso a sitios de phishing. La solución deberá poder evitar descargar malware, ayudando así a tener que la protección sea proactiva. La solución deberá de contar con alrededor de 100 categorías de sitios web. La solución debe poder especificar que navegadores sean los únicos autorizados para navegar a internet.

La solución debe tener la capacidad de definir rangos de IP privadas (intranet) que no sean analizadas por la herramienta para bloqueo de sitios web. La solución debe tener la capacidad de forzar búsquedas seguras con los buscadores al menos cuatro de los motores de búsqueda más usados (Google, MSN, Yahoo). La solución debe poder bloquear iFrames de HTML o advertir de sitios que contengan. La solución debe tener categorías sincronizadas con una base de datos de reputación global de amenazas. La clasificación deberá ser en tiempo real y contra una base de datos de reputación que al menos correlacione archivos, URLs La solución debe tener la capacidad de personalizar los mensajes que le aparezcan al usuario cuando una política sea violada. Se deben poder ver reportes de amenazas web detectadas y políticas violadas. La solución debe captar logs o registros para eventuales temas de compliance y troubleshooting.

7 CONTROL DE APLICACIONES La solución permitirá proteger estaciones de trabajo mediante el control de la ejecución de aplicaciones, software y código ejecutable, realizado a través de listas blancas dinámicas y por medio de la prevención de modificaciones hacia los archivos de la máquina. La solución debe emplear un modelo dinámico de confianza para bloquear las aplicaciones no autorizada. La generación de listas blancas dinámicas debe ser un proceso automático sin necesidad de intervención manual. La solución debe tener en cuenta ejecutables, activeX, Java, Pearl Scripts, archivos

.bat, archivos VBS, dll y archivos .SYS. Debe proteger contra las amenazas persistentes avanzadas y de tipo zero-day sin actualizaciones de firmas. Debe contar con mecanismos de protección de memoria para contrarrestar los ataques de buffer overflow sobre las aplicaciones en lista blanca. No debe permitir que las aplicaciones denegadas se ejecuten desde el disco o desde memoria. La solución debe soportar el control mediante: listas blancas, listas negras, inventario y modo híbrido (combinación entre las anteriores).

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 37 de Estudios Previos – Procesos Públicos De Selección 101

Debe soportar flujos de auto aprobación (usuario final) cuando se presente el bloqueo de una aplicación. La solución debe estar en capacidad de hacer un inventario de todas las aplicaciones incluyendo sus códigos asociados y dll de forma centralizada para su catalogación. La solución debe estar en capacidad de investigar un inventario de aplicaciones y clasificarlas basado en su reputación de manera que se puedan aislar las buenas de las malas. La solución no debe requerir una actualización de políticas para aprobar la ejecución de una aplicación. La solución debe soportar estaciones de trabajo, servidores y equipos de propósito específico. La solución debe estar diseñada para funcionar en modo desconectado (offline mode) La solución debe soportar un modo de observación luego de la creación de la lista blanca, donde las aplicaciones, software y código no permitido puedan ser monitoreados sin afectar su ejecución, con el fin de identificar posibles nuevos ítems que sean agregados a la política Debe estar en la capacidad de integrarse y recibir actualizaciones de reputación de un sistema de inteligencia contra amenazas mediante el uso de protocolo abierto de comunicación diseñado específicamente para esta finalidad, con la capacidad de actualizar todas las máquinas del ambiente en tiempo real, sin necesidad de actualizar políticas o comunicarse con la consola de administración. La solución deberá soportar los siguientes sistemas operativos: - Microsoft Windows: XP, Vista, 7, 8, 8.1 y 10 - Linux: CentOS, SUSE, OEL, Ubuntu. - Microsoft Windows Embedded: XPE, 7E, WEPOS, POS Ready 2009, WES 2009, 8 Industry, 8.1. La solución deberá soportar los siguientes Sistemas Operativos de Microsoft los cuales ya no cuentan con soporte del fabricante: Windows Server NT, 2000, 2003, 2003 R2, Windows XP. La autorización de aplicaciones permitidas se debe poder realizar a través de: Checksum, certificados, editor, nombre, adición manual a través de inventario. La solución deberá soportar la administración mediante línea de comandos en caso de ser necesario. Esta funcionalidad debe consumir menos de 10Mb de RAM

8 PROTECCION CONTRA AMENAZAS AVANZADAS La solución tener una funcionalidad específica diseñada para inspeccionar archivos y actividad sospechosa con el fin de detectar patrones maliciosos mediante el uso de técnicas de “Machine Learning”. Debe tener dos modos de análisis: en la nube y en el cliente, dependiendo de la conectividad de los equipos. Debe recolectar información de los atributos de los archivos y su comportamiento para realizar el análisis. La solución debe tener la capacidad de detectar y tomar acción sobre amenazas "file- less". La solución debe tener la capacidad de realizar acciones de remediación y rollback ante ataques. Esta funcionalidad debe ser opcional y deberá poder ser desactivada tanto en la consola cliente como mediante política centralizada a través de la consola central de administración. Debe estar en la capacidad de integrarse y recibir actualizaciones de reputación de un sistema de inteligencia contra amenazas mediante el uso de protocolo abierto de comunicación diseñado específicamente para esta finalidad, con la capacidad de

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 38 de Estudios Previos – Procesos Públicos De Selección 101

actualizar todas las máquinas del ambiente en tiempo real, sin necesidad de actualizar políticas o comunicarse con la consola de administración. Debe permitir seleccionar que aplicaciones con una reputación específica deben ser ejecutadas en modo “contenido”, es decir que esta funcionalidad no le permitirá realizar ciertas acciones que hayan sido consideradas como maliciosas dentro del sistema operativo. La solución deberá poder tomar acciones o de bloqueo o registro según su configuración. Debe estar en la capacidad de integrarse y recibir actualizaciones de reputación de un sistema de inteligencia contra amenazas mediante el uso de protocolo abierto de comunicación diseñado específicamente para esta finalidad, con la capacidad de actualizar todas las máquinas del ambiente en tiempo real, sin necesidad de actualizar políticas o comunicarse con la consola de administración. Este módulo debe permitir la ejecución de las aplicaciones potencialmente maliciosas permitiéndoles la ejecución dentro del ambiente (punto final), mientras que limita los cambios en el sistema operativo que esta puede realizar. Debe estar basado en reglas de comportamiento configurables tanto desde la consola cliente como la consola central.

Debe poder integrarse con herramientas tipo EDR (Endpoint Detection and Response). La funcionalidad debe poder liberar una aplicación contenida mediante: - Cambio en la reputación dentro del sistema de inteligencia contra amenazas - Exclusión en la política La solución deberá permitir generar una infraestructura colaborativa entre puntos de protección ya sea a nivel perimetral, contenido, virtual o en los equipos de usuario final puedan intercambiar información sobre nuevas amenazas detectadas en tiempo real mediante un protocolo abierto diseñado para este propósito. La solución deberá permitir reputar archivos localmente (de forma manual o a través de reglas de comportamiento) y mediante distintas fuentes de reputación dentro de la infraestructura de seguridad como: Sandbox y Proxys Web). La solución debe permitir asignar diferentes niveles de reputación a aplicaciones y certificados que se ejecutan en un ambiente con un punto de análisis a nivel local, la difusión de esta asignación debe realizarse en tiempo real mediante un protocolo diseñado para este propósito sin requerir que los agentes realicen un proceso de actualización firmas o configuraciones. En caso de generarse un evento, la comunicación de este debe ser en tiempo real mediante el protocolo de comunicación diseñado para este fin, no debe depender de los ciclos de actualización de eventos a la consola central ni del "llamado/despertar de agentes" La solución no deberá ser un sistema de antivirus, control de aplicativos y/o control de cambios, pero debe poder integrarse con estos dispositivos en caso de que se encuentren presentes La solución al determinar la reputación de un archivo ejecutable, deberá comunicarla al resto de los equipos de usuarios finales con el objetivo de crear una inteligencia de seguridad en la red.

9 CONTROL DE APLICACIONES La solución de Control de Dispositivos debe permitir auditar la conectividad de los dispositivos. La solución de Control de Dispositivos debe poder ser desplegada de manera

centralizada, a través de la consola de administración o a través de herramientas de distribución de terceros. La solución de Control de Dispositivos debe ser administrada de manera centralizada

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 39 de Estudios Previos – Procesos Públicos De Selección 101

La solución de Control de Dispositivos debe tener controles a auto protección, para evitar ser alterada. La solución de Control de Dispositivos debe tener la capacidad de inspeccionar tránsito (en tiempo real) para identificadores documentos confidenciales y tomar acciones. La solución de Control de Dispositivos debe permitir generar excepciones sobre usuarios. La solución de Control de Dispositivos debe permitir la creación de ventanas para permitir el paso, mediante la definición de reglas basadas en tiempos. La solución de Control de Dispositivos debe tener la capacidad de crear patrones de expresiones regulares, que puedan ser utilizados en las reglas de protección sobre medios de almacenamiento removibles. La solución de Control de Dispositivos debe tener la capacidad de generar alertas de sus acciones con mensajes de notificación personalizados. La solución de Control de Dispositivos debe permitir crear niveles de severidad personalizados, para acciones generadas. La solución de Control de Dispositivos debe permitir asignar reglas y políticas para usuarios y grupos de Directorio Activo. La solución de Control de Dispositivos debe tener la capacidad de monitorear la actividad de usuario de manera silenciosa. La solución de Control de Dispositivos debe soportar Windows XP y Windows 7 (32/64 bits) La solución de Control de Dispositivos debe proporcionar información consolidada sobre los eventos identificados, desde la misma consola que se utiliza para la gestión de las políticas. La solución de Control de Dispositivos debe soportar contenido específico relacionado con marcos regulatorios como SOX, PCI y HIPAA. The Device Control solución debe tener la capacidad de configurar características de acceso con base en roles(RBAC). The Device Control solution shall have the ability to redact sensitive information from reports. La solución de Control de Dispositivos debe tener la capacidad de escalar a más de 100.000 clientes al servidor de administración. La solución de Control de Dispositivos debe permitir la creación y manejo de listas blancas y negras de dispositivos de almacenamiento extraíble, con base en la marca o el ID del dispositivo. La solución de Control de Dispositivos debe tener la capacidad de bloquear los dispositivos de almacenamiento extraíbles, incluyendo CD / DVD y USB. La solución de Control de Dispositivos debe tener la capacidad de bloquear los dispositivos "Plug and Play". La solución de Control de Dispositivos debe tener la capacidad de poner como de solo lectura a los dispositivos de almacenamiento removible. La solución de Control de Dispositivos debe tener la capacidad de poner como de solo lectura a los dispositivos de almacenamiento removible (a menos que estén cifrados) La solución de Control de Dispositivos debe permitir la creación de categorías de dispositivos a necesidad/personalizados. La solución de Control de Dispositivos debe contar con una red de soporte de localización amplio.

10 PROTECCION DE CORREO La solución debe proveer protección de URLs en correos electrónicos. No deberá requerir de la opción de anonymous logon.

Se podrá realizar exclusiones de escaneo en subfolders de la casilla de correo. La solución debe permitir la definición de reglas de DLP.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 40 de Estudios Previos – Procesos Públicos De Selección 101

El producto debe ser administrado desde una consola central. Tendrá que poder escanear archivos comprimidos en 7-Zip Contará con la posibilidad de remover DATs viejos de los equipos administrados. La consola de administración centralizada deberá soportar el estándar FIPS. Debe contar con funcionalidades de filtrado de contenido y soportar para esta funcionalidad expresiones regulares. Deberá permitir la posibilidad de realizar filtrado de archivos basado en nombre, tipo y tamaño. Tendrá que contar con la posibilidad de realizar filtrado de correos basado en la reputación del sender. Contará con la opción de escanear archivos basados en extensiones MIME. La solución tendrá una administración de cuarentena ya sea base de datos local o un administrador de cuarentenas del fabricante. Deberá contar con funcionalidades que permitan la detección de ataques de denegación de servicio. Deberá contar con actualizaciones periódicas y programables.

11 CIFRADO DE DISCO Y ARCHIVOS Debe tener la capacidad de cifrar el disco completo, reemplazando el Master Boot Record (MBR). La solución debe proveer mecanismos seguros que garanticen la recuperación del acceso en caso de perdida de la contraseña. Estos mecanismos deben requerir la intervención y el intercambio de información con la consola de administración. Debe ser capaz de descifrar el disco en forma automática, desde la consola de administración y mediante mecanismos manuales La solución debe solicitar autenticación al usuario antes de iniciar la carga del sistema operativo (SO). Luego de iniciar el SO, la solución debe poder configurarse de manera que solicite o no, nuevamente, las credenciales de autenticación del usuario. El producto debe soportar las siguientes maquinas clientes: - Windows Server 2003 SP1 or later (32-bit only) - Windows Server 2008 (32- and 64-bit) - Windows XP Professional SP3 (32-bit only) - Windows Vista SP1 or later (32- and 64-bit) - Windows 7 and SP1 (32- and 64-bit), (Not XP Mode) - Windows 8 El fabricante debe poseer al menos las siguientes certificaciones: - Common Criteria EAL2 +, FIPS 140-1, FIPS 140-2 - AES CBC(e/d; 256) La solución debe soportar al menos los siguientes algoritmos de Encripcion: - RC5-1024 - AES-256 La solución debe soportar los siguientes algoritmos de cifrado: - RC5-12: CBC Mode, 1024 bit key, 12 rounds, 64 bit blocks. PassMark 20.7 (100%). The RC5-12 algorithm is compatible with the SafeBoot 3.x algorithm. - RC5-18: CBC Mode, 1024 bit key, 18 rounds, 64 bit blocks, PassMark 20.7 (100%). The 18 round RC5 variant is designed to prevent the theoretical “Known Plaintext” attack. - AES 256 (FIPS 140-2 Approved) – Recommended: CBC Mode, 256 bit key, 128 bit blocks, PassMark 19.3 (93%) This algorithm is approved for FIPS 140-2 use. - AES 256: CBC Mode, 256 bit key, 128 bit blocks, PassMark 19.3 (93%) Only recommended for use where support for SafeBoot 4.0 AES is required. - DES (FIPS 140-1 Approved): CBC Mode, 56 bit key. 128 bit blocks. Passmark 16.5

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 41 de Estudios Previos – Procesos Públicos De Selección 101

(79%) Only for use in exceptional circumstances. - Blowfish: CBC Mode, 448 bit key, 20 rounds, 64 bit blocks, PassMark 19.9 (96%) Withdrawn from general distribution - special order only. Las actualizaciones de la solución deberán realizarse remotamente y desde una consola de administración centralizada La arquitectura de la solución debe ser cliente-servidor La solución debe emplear el mínimo de utilización del CPU La solución debe interceptar el mecanismo de logon de Microsoft Windows utilizando el "Passthrough Shima Gina" en Windows 2003 & XP, y una credencial en Windows Vista La solución debe soportar la unificación del usuario y contraseña utilizadas por el usuario en el directorio Activo de Microsoft La solución se debe integrar con herramientas de análisis forense de externos para obtener una imagen protegida del disco encriptado, como: - Guidance Software (EnCase) La solución debe soportar el Trusted Platform Module (TPM) de Intel La solución debe integrarse con Microsoft Applocker La solución debe integrarse con la herramienta de administracion de VPRO del mismo fabricante El producto debe ser administrado desde la misma consola centralizada utilizada para las demás soluciones de protección del endpoint (Antivirus, Antispyware, HIPS, DLP y Control de Aplicaciones, entre otras) La solución debe contar con una herramienta externa que utilice las Llaves de Encripcion almacenadas en la consola de administración para ejecutar cualquier actividad de recuperación de discos o archivos. La solución debe soportar Single Sign-On (SSO) en integración con las políticas de grupo (GPO) del Directorio Activo de Microsoft. La solución debe soportar los siguiente tokens o herramientas de Autenticacion SSO: - ActivIdentity/DOD CAC (PKI) - CAC Schlumberger Access 32k v2 - Axalto Access 64k - Oberthur ID One v5.2 - Gemalto 64k v2 - Starcos 2.1 T=1 2.1 T=1 - PIV PKI 2048 Oberthur CS PIV - Safesign PKI Smart Card Evoniks - Aladdin eToken Pro 64K (Card OS 4.01, 4.2, 4.2b)(Q0058) - Aladdin eToken Pro 32K (Card OS 4.01, 4.2, 4.2b) (Q0088\68) - RSA SID800 - eGate certificate smart card La solución solo debe poder removerse del sistema por un usuario administrador y remotamente. La solución debe contar con la opción de generar un "código de respuesta" para la recuperación del administrador. El acceso de los usuarios administradores a la consola de administración debe poder hacerse basado en roles La consola de administración debe permitir la creación de políticas de autenticación que no sean de alcance global La solución debe proveer reportes del estado de la solución en las maquinas administradas. Todos estos reportes deben ser exportables vía correo o a documentos XML, PDF y XLS. La solución debe proveer un reporte de los sistemas cifrados, mostrando un estado de Cifrado o Descifrado. La solución debe ser capaz de enviar reportes y notificaciones por email en los siguientes formatos: - HTML

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 42 de Estudios Previos – Procesos Públicos De Selección 101

- CSV - PDF - XML La solución debe permitir generar reportes basados en eventos históricos La solución debe contener reportes y consultas (queries) que se puedan personalizar La solución debe estar posicionada como líder dentro del cuadrante de Gartner por 7 años consecutivos

12 ANTIVIRUS PARA SHAREPOINT Se podrá integrar con un servicio de inteligencia Global. Deberá soportar procesos de escaneo on-demand incrementales. Contará con funcionalidades que apoyen el proceso de protección de fugas de información. Brindará la posibilidad de contar con soporte para diccionarios específicos de industria como HIPPA, PCI, Sourcecode(Java C++) Contará con un esquema de exclusiones para los escaneos bajo demanda Se podrán restaurar los archivos que han sido puestos en cuarentena La solución será soportada sobre entornos de virtualización como Vmware workstation o VMWare ESX 5x.

Podrá ser administrada desde una consola WEB Tendrá que soportar versiones 2007, 2010 y 2013 de sharepoint Contará con la posibilidad de brindar diferentes tipos de roles de usuarios Deberá poder realizar escaneos en busca de virus, PUP, troyanos, spyware Contará con la posibilidad de obtener actualizaciones periódicas y de definir la periodicidad de las mismas. Brindará diferentes tipos de reportes de los hallazgos de malware y detecciones de DLP. Contará con diferentes tipos de políticas para diferentes tipos de escaneos: on access scan, on demand scan.

SOLUCION DE SEGURIDAD INTELIGENTE DEL ENTORNO PARA CONTROL DE AMENAZAS

REQUERIMIENTOS TECNICOS CONTENIDOS EN LA SOLUCION ENDPOINT EDR

ITEM DESCRIPCION CUMPLE SI/NO

1 REQUERIMIENTOS GENERALES La solución debe poderse implementar en un servidor físico o una máquina virtual (VM) de VMware. La solución debe poder implementarse mediante un sistema operativo propietario de fábrica o endurecido en un servidor físico o máquina virtual (VM) de VMware. La solución debe ser una herramienta de detección y respuesta de puntos finales que encuentra y responde a amenazas avanzadas. La solución debe realizar detección temprana de actividad sospechosa o indicación de

ataques previos. La solución debe ser capaz de reducir los recursos necesarios para detectar riesgos de procesos desconocidos que se ejecutan en puntos finales La solución debe ser capaz de recopilar información sobre procesos potencialmente maliciosos. La solución debe ser capaz de proporcionar información global sobre amenazas con información recopilada localmente y específica de la estación de trabajo que se puede

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 43 de Estudios Previos – Procesos Públicos De Selección 101

compartir, lo que permite que múltiples soluciones de seguridad funcionen como una sola. La herramienta debe mostrar las amenazas potenciales clasificadas por riesgo, para que pueda investigar, corregir y adaptarse con una acción de un solo clic La herramienta debe ser capaz de utilizar búsquedas y flujos de búsqueda en tiempo real basados en colectores, disparadores y reacciones. Los colectores y las reacciones deben poderse personalizar y utilizar con los valores predeterminados. La solución debe ser capaz de buscar y analizar datos sobre infracciones críticas o posibles ataques desde puntos finales. La solución debe permitir priorizar las amenazas potenciales de alto riesgo basadas en el comportamiento para enfocar su investigación en las amenazas más importantes. La solución debe permitir la búsqueda de indicadores de ataque que están activos, inactivos o eliminados. La solución debe permitir establecer instrucciones que permitan monitorear continuamente un evento crítico y su cambio de estado en el sistema. La solución debe permitir proporcionar acciones pre configuradas y personalizables con el fin de buscar y eliminar amenazas. La solución debe ser capaz de proveer grupos de permisos para administrar el acceso a sus recursos, así como permitir personalizar los accesos mediante la creación de grupos de permisos personalizados.

2 CONSOLA DE GESTION La solución debe contar con una consola central de administración y automatización. La solución debe ser capaz de comunicarse con otros prodcutos de la misma marca ofertada o de terceros (ej. SIEM) mediante procedimientos de integración. La solución debe permitir realizar copias de seguridad o compartir contenido personalizado con otros productos del mismo fabricante a través de la consola de gestión.

3 GESTION DE AMENAZAS Y EVENTOS La consola de gestión debe contar con un dashboard donde se puedan ver todas las amenazas potenciales en los endpoint administrados y responder a ellas. Debe contar con un dashboard para detectar y remediar amenazas potenciales en un solo lugar. De esta forma, las acciones tomadas deben estar a disposición de todos los endpoint gestionados en el entorno La solución debe ser capaz de rastrear el comportamiento de un proceso para luego clasificarlo y asignarle un nivel de gravedad (Alto riesgo, Sospechoso, Supervisado. la solución debe permitir filtrar la información de las amenazas detectadas para su revisión y análisis por: filtros de gravedad como Alto Riesgo, Sospechoso, Supervisado y Otros; por tipo de evento, como Procesos, Archivos, Claves de registro, Conexiones de red y Cambio de reputación de procesos. La solución debe permitir ver el proceso raíz y los procesos secundarios relacionados como una sola entrada, donde el nivel de gravedad del proceso raíz debe incluir el nivel más alto de gravedad de sus procesos secundarios La solución debe detectar amenzas de línea de comandos, basadas en archivos y PowerShell. La solución debe permitir la detección y remediación de scripts de PowerShell basados en archivos y ejecuciones de línea de comando de PowerShell sin archivos. La solución debe permitir detener la instancia de PowerShell que ejecuta la secuencia de comandos y eliminar la secuencia de comandos. La solución debe permitir aplicar acciones de remediación separadas a varios procesos secundarios. Por ejemplo, debe permitir aplicar Detener y Eliminar a un proceso secundario y aplicar Detener a un proceso secundario diferente.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 44 de Estudios Previos – Procesos Públicos De Selección 101

La solucipon debe permitir mostrar todos los procesos secundarios de confianza vinculados a la amenaza potencial. La solución debe permitir ver los los hosts afectados por una amenaza cuando esta es seleccionada, junto con la línea de tiempo de seguimiento, los detalles del evento y las ventanas de reputación. La solución debe permitir seleccionar uno o más hosts y aplicar una acción La solución debe permitir mostrar detalles sobre dónde comenzó la amenaza potencial en un host particular, qué otro proceso inició y cómo se movieron esos procesos a través de los hosts en su entorno a lo largo del tiempo para cada endpoint La solución debe permitir exportar la información de seguimiento a un archivo JSON o CSV. Debe incluir campos actor para identificar fácilmente las actividades del host (actorSha256, actorPid, actorImageName, actorFullPath, actorCmdLine). La solución debe ser capaz de ofrecer una vista secuencial de todos los eventos o procesos ejecutados en los endpoint. La solución debe ser capaz de mostrar información feneral de eventos como el tipo de evento, la marca de tiempo, el comportamiento observado y los procesos bloqueados. La solución debe permitir agrupar los detalles de los eventos en categorias como Reputación del proceso, Proceso, Archivo, Registro, Red, Usuario entre otros. La solución debe ser capaz de marcar el evento de seguimiento para investigar más adelante. La solución debe permitir el rastreo de eventos y amenazas para equipos con macOS. La solución debe permitir cambiar la reputación del proceso seleccionado a Malicioso Conocido. La solución debe permitir configurar fuentes de reputación con Respuesta Activa y mostrar las respectivas reputaciones de la potencial amenaza.

4 CUARENTENA La solución debe permitir colocar host en cuarentena para su análisis y remediación, bloqueando todas las comunicaciones de la red, pero manteniendo la conectividad a los productos de remediación de amenazas ofertado, con el fin de continuar los procesos de investigación sobre cualquier endpoint local o remoto.

La solución debe permitir enviar un mensaje de notificación personalizado al usuario de la acción de cuarentena inicial y final. La solución debe ser capaz de mantener la cuarentena entre el reinicio y el apagado.

5 INVESTIGACION Y REMEDIACION La solución debe permitir ver la lista de amenazas potenciales y ver fácilmente los datos sobre cuál es la amenaza, cuánto tiempo ha estado en el entorno y qué sistemas host se ven afectados. La solución debe ser capaz de remediar la amenaza potencial sin tener que abrir otra ventana o producto. la solución debe permitir filtrar la información de las amenazas potenciales por nombre de proceso, hash de archivo, dirección IP o clave de registro. Se debe poder ver información detallada sobre el archivo que generó la amenaza. La solución debe proveer información de rastreo que muestre detalles sobre dónde comenzó la amenaza potencial en un host particular, qué otro proceso inició y cómo se movieron esos procesos a través de los hosts en el entorno de red. La solución debe permitir ver las acciones de remediación que se tomaron en amenazas específicas, independientemente de quién las inició. La solución debe permitir eliminar entradas de remediación anteriores a una fecha específica, si así se desea.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 45 de Estudios Previos – Procesos Públicos De Selección 101

La solución debe permitir supervisar activamente los endpoint para los indicadores de compromiso.

6 INFORMES La solución debe permitir genarar un informe completo de análisis de amenazas en formato .pdf.

La solución debe permitir generar un resumen de de malware en formato .xml

SOLUCION PARA PREVENIR PERDIDA DE DATOS

REQUERIMIENTOS TECNICOS CONTENIDOS EN LA SOLUCION REVENCION PERDIDA DE DATOS DLP

ITEM DESCRIPCION CUMPLE SI/NO

1 REQUERIMIENTOS GENERALES La solución debe tener la capacidad de administrar, configurar, instalar, desinstalar, actualizar, asignar políticas para el software de Control de dispositivos y Prevención de Fuga de Información (DLP) La solución debe identificar contenidos basados en tipo de contenido/documento. La solución debe realizar etiquetas (taggeo) de la información para una posterior búsqueda y comparación, usando mecanismos que no incrementen la latencia en la inspección. Por ejemplo, usando GUIDs (identificadores) asociados a los metadatos de los archivos. La solución debe monitorear el contenido que viaje a través del endpoint, por dirección IP y protocolo. La solución debe monitorear el contenido que viaje a través el endpoint, debido al acceso de aplicaciones. La solución debe identificar dispositivos móviles de almacenamiento, por fabricante. La solución debe poder identificar contenido usando expresiones regulares, palabras clave, las funciones hash, y la coincidencia de patrones. La solución debe poder identificar el contenido basado en localización La solución debe poder identificar el contenido usando fingerprint La solución debe permitir la creación de políticas basadas en usuarios y grupos LDAP

La solución debe cumplir las políticas aplicadas de protección de fugra de información, sin importar que el endpoint se encuentre fuera de la red corporativa. La solución debe contar con una funcionalidad de Soporte de virtualización mejorada. Es decir que cada política por usuario debe ofrecer flexibilidad y un mejor control de los datos que fluyen a las terminales compartidas e infraestructuras de escritorio virtual (VDI).

Así, las políticas por usuario deben aplicar a múltiples sesiones. La solución debe brindar protección a nivel de portapapeles para ambos: "copia de" y "pegar", además de protección de captura de pantalla (por ejemplo, SnagIt) para proteger el diseño de productos y códigos fuente contra la pérdida de datos intencional y no intencional. La solución debe permitir la configuración de incidentes de acuerdo a sus propiedades para una revisión posterior. Las propiedades deben ser como mínimo: O Severidad O Estatus O Resolución O Revisor

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 46 de Estudios Previos – Procesos Públicos De Selección 101

La solución debe contar con mecanismos que prevengan la vista no autorizada de información confidencial, a través del módulo de manejo de incidentes, limitando la vista de incidentes sólo a revisores o administradores con un rol cuyos privilegios se lo permitan. La solución de contar con reglas de protección que estén basadas en: tipo de archivo, extensiones de archivo, propiedades de documento, tipos de encripción y asignación de usuarios o grupos, para volúmenes TrueCrypt. La solución debe permitir crear repositorios remotos para la distribución del software y actualizaciones en sitios remotos. La solución debe permitir usar repositorios vía UNC - FTP - HTTP La solución deberá replicar de forma manual o automática a través de tareas el software para las actualizaciones e instalaciones. La solución deberá permitir ver las políticas por cada producto y poder sacar una copia a la política de cada producto para generar una nueva sin afectar la política predeterminada. La solución debe tener la capacidad de obtener información completa sobre el software y hardware de cada máquina. La solución debe permitir crear configuraciones por grupo, dominio o maquina sin afectar la estructura del arbol de administración. La solución debe controlar la impresión usando impresoras locales, en red, print screen e impresión en pdf. La solución debe controlar la carga de información sensible hacia aplicaciones de la nube como Box.inc, SkyDrive, Syncplicity, Dropbox y Google Drive. La solución debe contar con una lista de reglas de acción para realizar como mínimo lo siguiente:

- Sólo lectura - Reportar a la consola central - Aplicar tag - Aplicar políticas de RM (Right Management) - Poner en cuarentena - Cifrar - Guardar la evidencia - Solicitar justificación - Notificar al usuario - Monitorear - Bloquear

ESPECIFICACIONES GENERALES La solución debe basarse en un agente que se instala en cada computadora y servidor que servirá como medio de comunicación entre las estaciones de trabajo y la consola de administración. La solución debe tener una base de datos de Microsoft SQL en la cual deberá guardar todos los informes sobre la detección de violaciones de políticas La solución deberá permitir agregar varios usuarios de tipo administrador global, administrador de grupo, revisor global, revisor del sitio. Los revisores solo tienen acceso lectura. La solución deberá integrarse con Active Directory y permitir hacer inicio de sesión a la consola de administración utilizando las credenciales de red con sus respectivos permisos

ARQUITECTURA

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 47 de Estudios Previos – Procesos Públicos De Selección 101

La consola debe permitir flexibilidad en esquemas de alta disponibilidad y usar una base de datos relacional que permita trabajar opciones de clustering. Deberá contar con un Workflow para falsos positivos La solución debe ser una plataforma escalable. La solución deberá tener mecanismos de control de incidentes basados en roles La solución debe presentar un flujo de trabajo que debe contar con una fase de clasificación o definición, una fase de identificación y registro, una fase de protección y una fase de monitoreo.

PERFORMANCE El agente de protección de fuga de información de endpoint no deberá comprometer recursos del sistema a más del 5%, permitiendo valores menores (3%-5%).

INTEGRACION La solución debe integrarse con soluciones de right management (IRM) como:

- Adobe LiveCycle Rights Management - Microsoft Windows Rights Management Services - Seclore FileSecure information rights management

Con el objetivo de aplicar políticas de RM a archivos detectados en escaneos de descubrimiento y poder incluir o excluir archivos protegidos por RM, de las reglas de protección de correo, almacenamiento removible, sistemas de archivos y web posting. Deberá integrarse con Active Directory y permitir hacer inicio de sesión a la consola de administración utilizando las credenciales de la red con sus respectivos permisos

GESTION La solución debe contar con una consola de gestión centralizada, desde la cual sea posible gestionar otras soluciones de endpoint como de cifrado tanto de discos duros como de dispositivos móviles y carpetas, con el fin de presentar una solución de protección de fuga de información a nivel de endpoint, consolidada. La interfaz de monitoreo de la solución debe proveer un panel para el manejo de incidentes, separado de un panel para eventos operacionales, donde se muestren eventos adminsitrativos. La solución debe contar con la posibilidad de hacer control de acceso basado en roles. Se requiere que la solución posea una consola de administración vía web y que sea la misma consola centralizada utilizada para las demás soluciones de protección del endpoint (Control de Aplicaciones, Control de Cambios, Cifrado de Discos y Control de Dispositivos, entre otros). Los revisores o administradores de la consola deberán poder auditar las siguientes acciones: • Entrada al servidor de administración • Cambio de perfiles o roles • Cambio de contraseñas • Desinstalación de los agentes por eliminación • Cambios de políticas • Agregar o borrar sitios, grupos, computadoras o cuentas • Renombrar sitios, grupos o máquinas Esta característica es importante cuando se desea descubrir cambios ocurridos en el servidor de administración La solución debe estar en capacidad de administrar desde la consola HTTPS otras soluciones de protección del Endpoint, gerencia de riesgo y seguridad web/email

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 48 de Estudios Previos – Procesos Públicos De Selección 101

La solución debe tener la capacidad de administrar, configurar, instalar, desinstalar, actualizar, asignar políticas para el software de Control de dispositivos y Prevención de Fuga de Información (DLP). El agente de Endpoint debe registrar todas las violaciónes e informes en la base de datos central de la consola, cuando se establece una conexión a la red corporativa La solución debe contar con una consola a nivel de endpoint para aumenta la conciencia de los empleados de la protección de datos, permitiendo auto-remediar cualquier violación a regulaciones de cumplimiento tales como PCI, y reducir las tareas manuales realizadas por los administradores DLP.

REPORTES La solución deberá contar con reportes predefinidos y la posibilidad de crear nuevos a partir de queries personalizados.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 49 de Estudios Previos – Procesos Públicos De Selección 101

SOLUCION PARA PROTECCION WEB CON APPLIANCE – WG4500

REQUERIMIENTOS TECNICOS CONTENIDOS EN LA SOLUCION PROTECCION WEB CON APPLIANCE

ITEM DESCRIPCION CUMPLE SI/NO

1 DETALLE Solución de filtrado de contenido Web, que incluye funcionalidades nativas integradas de: filtrado URL, control de aplicaciones Web, antimalware y prevención de fuga de información (DLP). Solución de filtrado de contenido Web, basado en apliances (fisicos y/o virtuales) de tipo gateway, por lo que no se aceptará software instalado en servidores. La solución deberá estar basado en un sistema operativo propietario, no se aceptarán soluciones basados en sistemas operativos genericos como Windows o Linux. La solución permite inspeccionar el trafico tanto de entrada como de salida de los protocolos HTTP, HTTPS y FTP. La solución deberá permitir la inspección del tráfico SSL, HTTPS de forma que pueda analizar sobre este protocolo para la identificación de malware. La solución deberá permitir descifrar el tráfico SSL para escanearlos y luego volver a cifrarlo antes de enviar al usuario. La solución deberá soportar terminación SSL para pedidos HTTPS.

2 ESPECIFICACIONES GENERALES La solución deberá contar con un motor Antimalware basado en firmas y comportamientos. La solución deberá contar con múltiples motores de protección. La solución deberá permitir el bloqueo de contenido que contenga virus, spyware, botnets y malware. La solución deberá permitir la detección heuristica proactiva. La solución deberá permitir la detección de malware entrando y saliendo de la red. Las firmas deberán ser actualizadas automáticamente o bajo demanda de los administradores. El escáner proactivo deberá inspeccionar en profundidad el HTML y el código script utilizado por URLs hostiles, explotación de buffer overflow y shellcode injection. La solución deberá permitir el filtrado de URL basado en categorías, para ello la solución deberá contar con más de 100 categorias pre-definidas. La solución deberá permitir el bloqueo de mensajería instantánea (IM) La solución deberá permitir el bloqueo de aplicaciones Peer-to-Peer

La solución deberá permitir el bloqueo de Streaming Media La solución deberá contener la base de datos de sitios web La solución deberá permitir el filtrado basado en reputación de los sitios web, para ello deberá contar con un sistema de reputación "en la nube" administrado y mantenido por el mismo fabricante que permita bloquear de forma dinamica contenido Web malicioso. La solución deberá permitir la utilización de listas negras y listas blancas La solución deberá contar con protección contra sitios web sin categorizar. La solución deebrá tener la capacidad de filtrado por: • Revisión por reputación de archivos • Tamaño del archivo • Extensión del archivo • Encabezados • Usuario o Grupo que realiza la descarga La solución deberá analizar en tiempo real una página y basándose en el contenido de la misma y catalogarla en tiempo real.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 50 de Estudios Previos – Procesos Públicos De Selección 101

Las actualizaciones de contenido para el filtrado de URL deberán actualizarse diariamente Las actualizaciones de los filtros por reputación de URL deben actualizarse en tiempo real continuamente, inmediatamente después que hayan sido descubiertas por el fabricante. La solución deberá permitir el Control de mas de 1,000 Aplicaciones Web, permitiendo el control granular de caracteriscas de aplicaciones tales como Facebook, Twitter, entre otras. La solución deberá tener la habilidad de remover de los sitios web contenido seleccionado por los administradores del sistema, eliminando o removiendo código del sitio, para que no sea presentado al usuario final. La solución deberá permitir el filtrado de tráfico no HTTP, como puede ser el de los programas P2P (eMule, etc.) o IM (mensajería instantánea). La solución deberá identificar el tipo de servicio o aplicación aprovechando la capacidad de realizar filtrados o análisis por cadenas o “body” dentro del código HTML de las páginas o sitios invocados. La solución deberá contar con un módulo de prevención de pérdida de datos (DLP) que analice la información que sale desde la red interna. Deberá buscar palabras claves dentro de los REQUEST de http. Estas palabras claves pueden se deberán alimentar en diccionarios que sean modificables por la ACP. La solución deberá buscar información especificada en las clasificaciones de las reglas apropiadas. Si el módulo encuentra un texto especificado, se disparará una acción por parte del sistema. La solución deberá poder mantener diccionarios que disparen acciones por parte del sistema.

ARQUITECTURA La solución deberá soportar Clustering Activo-Activo permitiendo así el balaceo de carga entre al menos dos (02) equipos. La solución deberá enviar alertas para eventos críticos relacionados con hardware o software del producto a los administradores del sistema. La solución deberá soportar al menos 1,200 usuarios, escalable. En caso requerir licencias estas deberán estar incluidas para toda la solución propuesta. Permite desplegar la solución de forma flexible ya sea en appliances físicos y/o virtuales de acuerdo a las necesidades y crecimiento de la institución, sin necesidad de requerir licencias adicionales para el despliegue de uno u otro modo, solamente las requeridas para cubrir la cantidad de usuarios solicitada. Deberá permitir desplegarse la solución "en la nube" para 100 usuarios usuarios que se encuentren fuera de la red corportativa pero que puedan mantener las mismas politicas

corporativas, para ello estas politicas se deberán configurar en la misma consola de administración de la herramienta. La solución debe soportar los siguientes modos de configuración: • Proxy Explícito • Proxy (Standalone Proxy) • Proxy con WCCP (Foward Proxy) • Proxy con ICAP • Transparent Bridge (Proxy Transparente) • Transparent Router (Proxy Transparente) La solución deberá soportar proxy SOCKS La solución deberá soportar otros proxys opcionales como FTP

3 PERFORMANCE

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 51 de Estudios Previos – Procesos Públicos De Selección 101

La solución deberá soportar 500 Mbps de trafico Internet escalable a 1 Gbps, en caso de que la solución propuesta sea en cluster, se deberán incluir los equipos necesarios para garantizar el trafico de Internet solicitado aún en la situación donde alguno de ellos se encuentre no operacional. La solución deberá soportar un mínimo de 50,000 requests/segundo de trafico Web, en caso de que la solución propuesta sea en cluster, se deberán incluir los equipos necesarios para garantizar los request/segundo de trafico Web aún en la situación donde alguno de ellos se encuentre no operacional. Poder recibir y enviar reputaciones de Hash en tiempo real mediante un protocolo destinado a ello

4 INTEGRACION La solución permite integrar de forma transparente a una solución de detección de malware avanzado a través de diversas técnicas de detección incluyendo sandbox, para lo cual el equipo de seguridad Web deberá enviar el archivo a analizar a la solución de detección de malware avanzado a través de la red. La solución debe permitir detener el ataque detectado a través de la solución de detección de malware avanzado de forma inmediata y sin intervención del administrador. Dene permitir integrar de manera nativa el analisis externo de fuga de información mediante appliance DLP a nivel de red, para lo cual el equipo deberá enviar mediante protocolo ICAP el elemento el cual debe ser analizado.

5 GESTION La solución debe administrarse desde una única consola grafica basada en Web en equipos Windows o Linux con navegadores Microsoft Internet Explorer (Windows) y Mozilla Firefox (Windows/Linux). La solución debe permitir la administración central de 2 o más appliances sin la necesidad de agregar equipos adicionales. La solución deberá soportar la conexión para administración bajo protocolos SSH o SCP. La solución deberá poder realizar respaldos y restauraciones de las configuraciones. Integracion con las soluciones complementarias de analisis de malware avanzado y reputacion de archivos en real time del mismo fabricante La solución deberá poder integrarse con un Active Directory de Microsoft sin necesidad de instalar algún componente en los controladores de dominio. Esta integración permitirá que la administración de la solución se efectué por medio de cuentas de usuarios y grupos de administración basadas en el Active Directory.

Administración Basada en Roles: Es requisito indispensable que se pueda segregar la administración de la seguridad diferenciando claramente los roles de Seguridad del de Sistemas y de otras unidades definidas en el Active Directory. La solución deberá permitir la segregación de funciones de forma granular, permitiendo así definir al alcance o posibilidades de gestión para cada administrador. La solución tendrá la capacidad de presentar al usuario, una página web con mensajes modificables por los administradores del sistema, en caso de algún problema o infracción. La solución deberá permitir el control de cuotas para los usuarios por ancho de banda. La solución deberá permitir el control de cuotas para los usuarios por tiempo consumido. La solución deberá permitir el control de cuotas de tamaños de los archivos La solución deberá tener la capacidad de utilizar expresiones regulares para la creación de las políticas.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 52 de Estudios Previos – Procesos Públicos De Selección 101

La solución deberá tener la capacidad de utilizar expresiones booleanas para la creación de políticas. La solución deberá tener la capacidad de utilizar las políticas en forma anidadas o encadenadas. La solución deberá tener la capacidad de utilizar las políticas en forma anidadas o encadenadas. Las políticas de Accesos deberán estar basadas en: • Dirección IP • Rango de Direcciones IP • Subredes y CIDR • Usuarios del Active Directory • Usuarios del Active Directory La solución deberá soportar la configuración de tiempos de conexión mediante la configuración de reglas específicas. Los usuarios moviles deben poder autenticarse a aplicaciones en la nube por SSO.

6 REPORTING La solución deberá permitir generar reportes en tiempo real. La solución deberá permitir generar reportes históricos. La solución deberá permitir generar reportes de actividad de los usuarios La solución deberá permitir generar reportes de los sitios bloqueados La solución deberá tener la capacidad de enviar reportes programados por correo electrónico La solución deberá permitir exportar los reportes generados en los siguientes formatos al menos: PDF, HTML, XML y CSV.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 53 de Estudios Previos – Procesos Públicos De Selección 101

Grupo II Adquisición de Correlacionador de Eventos y Seguridad para Correo en Nube SOLUCION PARA CORRELACION DE EVENTOS SIEM

REQUERIMIENTOS TECNICOS CONTENIDOS EN LA SOLUCION CORRELACIONADOR DE EVENTOS SIEM

ITEM DESCRIPCION CUMPLE SI/NO

1 IMPLEMENTACIÓN

1.1 Debe Incluir Diseños de Arquitectura y Gerencia de Proyectos.

1.2 Debe ser implementado hasta 15 fuentes de eventos soportadas. Debe Incluir capacitación funcional de la solución SIEM ofertada para 2 1.3 funcionarios de la entidad. Debe incluir todas las actividades para la creación de parser (desarrollo 1.4 personalizado para las bases de datos de Informix), pruebas, implementación y documentación. Debe incluir todas las actividades para la implementación de SIEM (reglas 1.5 correlación, recepción de logs, etc.) 2 GESTION Y MONITORIZACIÓN La solución debe poder prevenir los problemas detectando anomalías en su fase 2.1 inicial. La solución ofertada debe alertar sobre los problemas, en el mismo momento que 2.2 ocurran, para permitir una rápida resolución La solución ofertada debe poder verificar el correcto funcionamiento de todos los 2.3 servicios. La solución ofertada debe generar un informe diario con todas las alertas reportadas en las 24 horas anteriores que se entregará al cliente en formato 2.4 electrónico u otro medio a definir, reportando el estado de la monitorización de cada equipo contemplado dentro del alcance Se debe entregar un Informe Mensual con el análisis del comportamiento de los servicios y equipos gestionados, con las recomendaciones y buenas practicas, 2.5 remediaciones, estadísticas que se puedan implementar para mejorar los servicios gestionados Debe incluir la gestión y mantenimiento del o los equipos físicos o virtuales donde 2.6 se encuentre implementada la solución. 3 HORARIOS DE OPERACIÓN La solución debe contar con un Centro de Soporte que trabaje las 24 horas del 3.1 día, los 7 días de la semana, los 365 días del año. El oferente debe ofrecer un horario de operación las 8 horas del día, de lunes a 3.2 viernes. 4 REQUERIMIENTOS TECNICOS DE LA SOLUCIÓN La solución SIEM a ofertar debe constar de uno o más appliances (hardware) de propósito definido, centralizado y/o distribuido e incluir agentes, clientes y 4.1 componentes necesarios para cumplir los requerimientos técnicos y funcionales.

La solución SIEM deberá ofrecer la capacidad de recolección de hasta 3500 4.2 Eventos por Segundo (EPS) y permitir picos de eventos adicionales sin que exista pérdida de eventos. La solución deberá permitir visualizar estadísticos de

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 54 de Estudios Previos – Procesos Públicos De Selección 101

recolección de EPS, con el objetivo de mantener una correcta línea de funcionalidad.

El licenciamiento de la solución SIEM, deberá ser basado en cantidad de EPS y no 4.3 en la cantidad de dispositivos que se deban integrar. La solución de SIEM ofertada debe contar de forma integrada y sin necesidad de 4.4 licenciamiento aparte, un módulo para la creación de nuevos recolectores para tecnologías no soportadas por el fabricante de forma nativa. La solución SIEM deberá contar con un módulo que permita recolectar a manera de sniffer información de sentencias transaccionales a bases de datos con el objetivo de monitorear, analizar, correlacionar y alertar estos eventos. La solución no deberá requerir modificaciones en las configuraciones en las bases de datos a monitorear 4.5

La solución SIEM deberá permitir entre otros usos monitorear, detectar y tomar medidas correctivas al momento de detectar comportamientos asociados a 4.6 amenazas avanzadas. La solución debe permitir agregar indicadores de compromiso (IOC) de manera automática, los cuales permitan incrementar la capacidad de análisis que posee la herramienta. La solución SIEM debe permitir la creación de paneles y el monitoreo de actividad de usuarios privilegiados en el dominio tales como: Monitoreo del manejo de 4.7 cuentas (altas, bajas, reset password, etc); elevación de privilegios, monitoreo de cuentas de usuarios VIP, monitoreo de cuentas de usuarios privilegiados entre otros. El motor de correlación de la solución SIEM, deberá estar basado en métodos de lógica booleana, reglas personalizables, así como la detección de comportamiento 4.8 anómalo mediante correlación estadística a través de cálculos de promedio. Adicionalmente la solución debe incluir reglas de correlación a nivel de seguridad preconfiguradas (Ej: Ataques de fuerza bruta) La solución SIEM deberá contar con una fórmula parametrizable que evalúe el nivel de riesgo de todos los eventos que son recibidos por el motor de correlación considerando los siguientes factores: 4.9 · Importancia del evento · Criticidad del activo · Vulnerabilidades La solución SIEM deberá permitir la correlación de eventos entre distintos dispositivos (Cross Device Correlation) al almacenar todos los eventos recolectados en una única tabla dentro de su base de datos, independiente del tipo de dispositivo o aplicativo que la genere, permitiendo así la definición de contenido de correlación 4.10 entre distintos tipos de dispositivos (firewalls, IDPs, Sistemas Operativos) sin la necesidad de utilizar estructuras complejas o lenguajes de acceso a datos para la consulta y unión de datos.

Los sistemas operativos son Solaris, Windows y Linux La comunicación entre todos los componentes de la solución SIEM debe ser cifrada 4.11 sin impactar en la performance. Deberá utilizarse al menos el algoritmo AES de 256 bits. La solución SIEM deberá proveer mecanismos para asegurar la integridad de los 4.12 logs almacenados. La solución SIEM deberá ser capaz de ofrecer acceso a los logs almacenados 4.13 históricos sin la necesidad de hacer una restauración de estos (restore).

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 55 de Estudios Previos – Procesos Públicos De Selección 101

La solución SIEM deberá soportar la integración de eventos provenientes de Active 4.14 Directory, DHCP y concentradores VPN para monitorear la asignación de direcciones IP y asociar eventualmente los usuarios. La solución SIEM deberá permitir la integración de dispositivos y aplicaciones de 4.15 diferentes con el objetivo de evitar el desarrollo de los conectores. La solución SIEM debe proveer la capacidad de integrar fuentes de eventos que no sean soportadas actualmente “fuera de la caja” (tales como aplicaciones o 4.16 desarrollos hechos en casa) a través de la incorporación de un conjunto de herramientas que permitan definir la lógica para extraer, obtener, normalizar y categorizar los eventos mediante un editor de expresiones regulares. Los componentes que realizan la recolección de eventos deberán utilizar el protocolo TCP como medio de transporte hacia la solución de correlación, verificando constantemente el estado de la conexión por medio de un pulso o “Heartbeat”. Ante la eventual pérdida de la conexión entre el componente de 4.17 recolección y el motor de correlación, el primero deberá almacenar de forma inmediata los eventos bajo una cache o buffer de tamaño configurable hasta que se reanude dicha conexión, realizando la transmisión de los eventos hasta vaciar el cache.

Los componentes de la solución SIEM que realizan la recolección de eventos deberán ofrecer la capacidad de ajuste en la hora de los eventos, en el caso de que 4.18 el dispositivo que genere el evento no cuente con la hora correcta o no tenga configurado un servidor de NTP. La solución SIEM deberá ser capaz de recibir eventos multi-línea y manejarlo como 4.19 un solo registro. Se entiende por multi-línea aquellos eventos que se extienden a más de una línea, por ejemplo, registros de excepciones o errores. La solución SIEM propuesta deberá manejar niveles o tasas de compresión de 4.20 eventos. El componente de recolección debe proveer mecanismos que garanticen la entrega de eventos y que los eventos no se pierdan si el sistema no está disponible. Debe 4.21 poder almacenar eventos en un cache local durante una situación de falla en la red y entregar los eventos cuando el sistema vuelva a estar en línea. La solución SIEM debe contar con módulo o componente de reportes que contenga plantillas predefinidas, basado en estándares internacionales. Posibilidad de 4.22 manejar gráficos, tipo pie, barras, y otras características de personalización tañes como incluir los logos de la compañía. La solución SIEM debe permitir la gestión de incidentes de seguridad a través de 4.23 funcionalidades de manejo de casos internos y workflow de incidentes. La solución SIEM debe poseer una base de datos creada especialmente para la gestión de grandes volúmenes de datos, es decir, no serán aceptadas bases de 4.24 datos genéricas tales como Open Source (ex: MySQL/PostgreSQL) o Relacionales (Oracle y Microsoft SQL). La solución SIEM debe tener contenedores de paquetes de dashboards 4.25 predefinidos, con el fin de facilitar la configuración de la herramienta y brindar visibilidad en el menor tiempo posible. La solución SIEM deberá soportar de forma nativa la integración con soluciones de 4.26 almacenamiento en red como SAN, NAS, NFS o CIFS, para el almacenamiento de la información recolectada. La solución debe tener la funcionalidad de conectarse al sitio del fabricante para validar la existencia de nuevos contenidos. El contenido liberado debe tener la capacidad de agregar valor al monitoreo de la herramienta entregando distintos 4.27 elementos adicionales tales como: - Reglas de correlación - Alarmas - Vistas (Dashboards)

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 56 de Estudios Previos – Procesos Públicos De Selección 101

- Reportes - Variables - Listas de vigilancia. Como requisito “mínimo”, la solución debe contar con los siguientes componentes: - Componente de gestión, administración y operación de la solución. - Componente de recolección de eventos y/o log’s de seguridad. - Componente de recolección de flujos de red. Deberá soportar al menos Netflow v5, v7 y v9, J-flow, S-flow. 4.28 - Componente de almacenamiento de eventos y/o log’s. - Agentes y conectores para recolectar eventos de seguridad de terceros. - Componente de reportes. - Componente de edición de parsers custom. - Componente de auditoría (registro de las actividades de los administradores y operadores de la solución. El sistema operativo de los equipos deberá estar previamente reforzado por el 4.29 fabricante (hardening) para garantizar un adecuado desempeño de la solución. El o (los) appliance(s) deberá contar con mecanismos de redundancia, y tolerancia a fallas tales como fuentes de poder duales, configuración de arreglo de discos 4.30 RAID; para garantizar la disponibilidad en el caso de presentarse alguna contingencia, garantizando la recolección continua de los log’s y eventos de seguridad. La solución deberá contar con almacenamiento interno de al menos 32TB. El 4.31 almacenamiento interno deberá estar configurado con el tipo de RAID adecuado para garantizar su óptimo rendimiento. El componente de recolección debe permitir restringir el ancho de banda máximo 4.32 utilizado en la red, el cual podrá ser definido en Kilobits por segundo (Kbps), Megabits por segundo (Mbps) o Gigabits por segundo (Gbps) La solución SIEM debe realizar automáticamente la generación de un mapa de 4.33 calor, asociándole valores de riesgo cualitativo (Alto, Medio y Bajo) a los incidentes que se estén presentando en un período de tiempo determinado. La solución SIEM debe permitir la carga de indicadores de compromiso, ya sea por otra solución del mismo fabricante o por bases de datos abiertas como Stix o 4.34 TAXII, con el objetivo de posibilitar la configuración de alertas accionables a las ciber amenazas que se puedan presentar en el entorno de red. La solución SIEM debe estar en capacidad de hacer push de scripts, como parte 4.35 de las opciones de respuestas accionables. La solución debe estar en la capacidad de integrarse de manera nativa con la solución de protección contra APT o Sandboxing del mismo fabricante para 4.36 generar las políticas de protección ante eventos inusuales de comportamiento detectados. La solución SIEM deberá proporcionar un módulo integrado para la administración de eventos e incidentes de seguridad permitiendo asociar reglas a acciones tales como: 4.37 · Enviar una notificación al equipo de operadores. · Abrir y asignar un caso a un usuario para su investigación. · Ejecutar un script. La Solución SIEM deberá permitir una gestión completa de todos sus componentes, empleando una sola consola de administración, incluyendo todas las 4.38 configuraciones de los dispositivos, configuración de políticas, gestión de eventos, informes, análisis, afinación de la solución, y otras funciones relevantes. La consola de administración centralizada debe proveer la configuración de 4.39 controles de acceso basado en roles (RBAC) y permitir la configuración de privilegios de acuerdo a los perfiles asignados por el administrador de la solución.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 57 de Estudios Previos – Procesos Públicos De Selección 101

Permitiendo la segregación de funciones y acceso a eventos, obedeciendo al principio de mínimo privilegio. Los tableros gráficos (dashboards) de eventos deberán ser personalizables, 4.40 editables y duplicables por los usuarios de la Solución de Correlación de Eventos. La solución SIEM deberá contar con dashboards predefinidos para regulaciones tipo - PCI - HIPPA - ISO 27002 4.41 - FISMA - SOX Así como permitir la creación de grupos de Dashboards que ayuden a cumplimientos locales La solución debe contar con la capacidad de importar e instalar paquetes de contenidos que incluyan reglas de correlación, alarmas, vistas, variables y listas de 4.42 monitoreo orientadas a casos de uso específicos que ayuden a responder a las amenazas existente de manera más eficiente. La solución SIEM deberá proporcionar una interface de administración gráfica (GUI) propia, para el personal operativo, así como una interface de solo lectura diseñada 4.43 para el personal de monitoreo y personal no técnico. Esta interfaz debe ser Web y segura (HTTPS) La solución SIEM deberá soportar un mecanismo de autenticación nativo además 4.44 de soportar mecanismos alternativos como: Microsoft Active Directory, Autenticación de doble factor, LDAP, Radius. La solución SIEM deberá ser capaz de enviar alertas vía email, mensajes SMS por 4.45 protocolo SNMP así como notificaciones directas a usuarios de la misma consola de administración. La solución SIEM debe incluir contenido en modo de filtros, reglas predefinidas de correlación, monitores gráficos (dashboards) y reportes pre-configurados de 4.46 monitoreo de dispositivos de red perimetral, enfocado a las mejores prácticas de seguridad y ataques más comunes. 5 La solución SIEM deberá ofrecer la capacidad de generar reportes calendarizados, con la opción de entrega por correo electrónico, publicación dentro de la misma solución, o almacenarlo localmente. Reportes de firewalls Reportes de administración de identidades. 5.1 Reportes de IPS/IDS. Reportes de red Reportes de sistemas operativos Reportes de accesos Reportes de correlación de eventos La solución SIEM deberá ofrecer la capacidad de publicar reportes una vez que 5.2 hayan sido ejecutados para que los reportes puedan ser consultados posteriormente sin necesidad de ejecutarlos nuevamente La solución SIEM deberá integrar reportes tipo drill-down, es decir, a partir de los 5.3 resultados de un reporte, seleccionar algún resultado y automáticamente ser transferido a un nuevo reporte que proporcione un mayor nivel de detalle. El módulo de reportes, deberá permitir aceptar parámetros previos a la ejecución 5.4 de un reporte, para poder focalizar los resultados del mismo. Ej.: Ingresar el nombre de usuario, nombre del dispositivo, etc. El módulo de reportes deberá permitir la visualización de un panel gráfico (dashboard), que agrupe múltiples elementos y permita desplegar resultados de 5.5 reportes, así como links externos. El dashboard deberá ser configurable e independiente para cada cuenta de usuario que utilice la solución.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 58 de Estudios Previos – Procesos Públicos De Selección 101

La solución SIEM debe contar con una base preinstalada de reportes, y permitir creación de reportes distribuidos en las siguientes categorías: Reportes PCI Reportes SOX 5.6 Reportes de incidentes de seguridad Reportes de alertas de configuración del sistema Reportes por cada uno de las soluciones de seguridad integradas Reportes de múltiples dispositivos (cross-device) El módulo de reportes, deberá permitir generar un reporte, ya sea desde cero, o 5.7 bien, copiando y modificando reportes existentes. La solución SIEM deberá contar con funcionalidades integradas en la interfaz de administración gráfica para la definición, ejecución, programación y entrega automatizada de reportes ejecutivos y detallados en los siguientes formatos: 5.8 - PDF - CSV - HTML El oferente debe monitorear 7*24 de manera proactiva la solución ofertada con el fin de Alertar de los problemas en el mismo momento que ocurran para permitir 5.9 una resolución más rápida y verificar el correcto funcionamiento de todos los servicios mediante un SOC (adjuntar un documento explicando el proceso de monitoreo y las herramientas utilizadas que garanticen este servicio). El oferente debe ser distribuidor autorizado. Adjuntar certificación vigente Gold o Silver Partner de la solución ofertada y certificado Service Delivery Specialization de 5.10 al menos 2 de las siguientes plataformas (EPO, DLP y SIEM), lo anterior como respaldo a las soluciones que ya tiene implementada Mindeporte; emitida por el fabricante mínimo con 10 días de antigüedad a la fecha de entrega de la propuesta. 6 PERSONAL REQUERIDO PARA LA IMPLEMENTACION DEL PROYECTO El contratista debe proveer el personal técnico necesarios para la correcta implementación, pruebas y auditoria de acuerdo con perfiles definidos en numeral 6.1 de requisitos habilitantes y específicamente a la Experiencia del Grupo de Trabajo del proponente. 7 SEGURIDAD DE LA INFORMACION El Contratista deberá firmar el respectivo Acuerdo de Confidencialidad que 7.1 garantice la no divulgación y no revelación de la información que se obtenga del presente proceso. 8 GENERALES Todos los equipos y elementos ofertados deberán ser nuevos, originales u 8.1 homologados por el fabricante. No se admitirán equipos o componentes usados así sean reconstruidos en fábrica (refurbished) (re manufacturado). El oferente con su propuesta debe incluir un diagrama general en el cual se 8.3 visualice la configuración básica de la oferta presentada. El Contratista se obliga a incluir los componentes de seguridad necesarios, de 8.4 manera que permitan asegurar el buen funcionamiento de los elementos a adquirir. Suministrar la Documentación Técnica de la solución instalada, así como 8.5 suministrar la documentación de buenas prácticas y |recomendaciones de uso para la solución implementada. El Contratista se obliga a asesorar y orientar al CONTRATANTE en los temas de 8.6 mejor uso de la solución ofertada e implementada. El Contratista se obliga a reportar por escrito al CONTRATANTE cualquier 8.7 sugerencia que contribuya a la obtención de mejores resultados de la solución ofertada e implementada.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 59 de Estudios Previos – Procesos Públicos De Selección 101

SOLUCION PARA PROTECCION DE CORREO EN NUBE

REQUERIMIENTOS TECNICOS CONTENIDOS EN LA SOLUCION DE PROTECCION DE CORREO EN NUBE

ITEM DESCRIPCION CUMPLE SI/NO

1 GENERALIDADES  La entidad requiere una solución de seguridad para el correo electrónico que tiene en Microsoft Office 365con capacidad mínima de protección en 800 buzones.  La solucion debe funcionar en la nube del fabricante, sin requerir de instalación de componentes adicionales en las estaciones de trabajo, y solo requiriendo la configuración de conectores en Office 365.  Debe ser capaz de proteger correo electrónico entrante (desde Internet) y correo saliente (hacia Internet).  Capacidad incluida de conectarse en tiempo real a una base de datos centralizada en el fabricante de la solucion ofertada para descargar actualizaciones antispam.  Posibilidad de funcionar como SMTP mail gateway para los servicios de correo electrónico existentes.  Soporte y licenciamiento por 3 años 7x24x265.  El servicio de correo electrónico, debe ser una solución que soporte plenamente los siguientes protocolos:  POP3 / POP3S  IMAP /IMAPs  Web Mail / HTTPS  Activar doble factor de autenticación, Registrar y auditar todas las actividades realizadas por los usuarios y Asignar permisos estrictos a los usuarios.  Los reportes pueden ser generados o enviados como PDF o permitir el envío de alertas críticas a correo de los administradores.

2 PERFORMANCE  Soporte de protección de como mínimo 800 buzones de correo de la entidad.  Disponibilidad de 99.99%  Tasa de detección de spam mayor a 99%  Contar con un motor de detección de amenazas avanzadas y de día cero Cloud (Sandboxing) y de día cero que esté basado en tecnología de Deep Learning 3 PROTECCION  Protección contra ataques de negación de servicio por Mail Bombing  Verificaciones de DNS en reversa para proveer protección tipo Anti-Spoofing.  Posibilidad de establecer límites en la tasa de correos enviados (E-Mail rate

limit)  Posibilidad de establecer políticas por destinatario/receptor de correo electrónico por dominio, para correo entrante o correo saliente

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 60 de Estudios Previos – Procesos Públicos De Selección 101

 Capacidad de establecer perfiles (políticas) granulares de detección de SPAM y virus. Es decir, poder definir configuraciones específicas de mecanismos AntiSpam/Antivirus.  Capacidad de poder hacer cuarentena de correo, y acceder esa cuarentena mediante WebMail y POP3  Filtraje de archivos anexos (attachments) y contenido de mensaje de correo  Filtraje de archivos anexos (attachments) y contenido de mensaje de correo  Inspección profunda de cabeceras de correo.  Filtraje estadístico Bayesiano.  Capacidad de bloquear usando listas en tiempo real de URIs y/o URLs de SPAM  Filtraje por palabra prohibida (Banned Word)  Rastreo por análisis de imágenes para detectar SPAM  Soporte a listas negras (blacklist) de terceros DNSBL  Revisión tipo lista gris (Graylist)  Revisión de IPs falsificadas (Forged IP)  Listas negras y blancas (usuarios/IPs permitidos o negados) a nivel global por equipo y personalizado por usuario  Soporte a rastreo antivirus/antispyware de archivos comprimidos y anidados  Posibilidad de reemplazo/edición de mensajes de notificación en Antivirus/AntiSpyware  Bloqueo por tipo de archivo en antivirus/antispyware  Soporte de SURBL Spam URI Realtime Block.  Analisis Bayesiano  Analisis Heuristico basado en los puntajes de las distintas categorias.  Listas Blancas con palabras para definir correos que no son SPAM.  Se deben poder crear multiles profiles de Antivirus en email.  Se deben poder remplazar los archivos adjuntos infectados port títulos de correos indicando que se encontró un Virus.  El correo infectado se debe poder poner en Cuarentena.  Protección de click de URLs contenidas en los mensajes de correo.  Limpieza de contenidos HTML en mensajes y adjuntos.  El Licenciamiento entra en vigencia previa, migración del Correo Corporativo a Nube e implementación del mismo. 4 CIFRADO DE CORREO  La solución debe soportar mecanismos de Cifrado de correo electrónico basado en inserción mediante AES 256 como mínimo y traerlas incluidas y activas para todos los buzones requeridos, basado en identidad de usuario sin la necesidad de ser licenciado por usuarios, es decir la solución debe estar en la capacidad de encriptar correos salientes desde el momento que se instala y no debe ser necesario agregar licencias para esta característica.  No debe ser necesario instalar software o aplicativos en el cliente para poder hacer la encripción de correo.  Dentro de las opciones de envió seguro, debe permitir como mínimo: - Cifrar solo Adjuntos - Cifrar todo el mensaje

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 61 de Estudios Previos – Procesos Públicos De Selección 101

- Enviar a travez de TSL, debe ser compatible con TLS 1.2V, no se admiten versiones anteriores que puedan causar vulnerabilidad.  Permitir crear lista personalizada de cuentas de correos o dominios de los destinatarios a los que siempre se les debe enviar los mensajes de forma cifrada

5 ADMINISTRACION  La solución debe poderse administrar via web a través de un puerto seguro https.  Debe poder asignarse de qué equipos (por dirección IP y máscara) puede el administrador conectarse utilizando las siguientes configuraciones; 1. Activar doble factor de autenticación, 2. Registrar y auditar todas las actividades realizadas por los usuarios y 3. Asignar permisos estrictos a los usuarios.  Soporte a por menos aceptarse dos niveles de administración: Lectura/Escritura (Read/Write) y Sólo Lectura (Read-Only)  Soporte a registro (logging) de incidentes antivirus  Soporte a registro (logging) de actividad antispam

6 REPORTES  Genera reportes de actividad analizando los archivos de bitácoras (logs) y presentar la información en tablas (forma tabular) y en forma gráfica.  Puede generar reportes configurando reportes bajo demanda o un reporte calendarizado en intervalos específicos  Historial de mensajes, donde se incluya información de: - Estado (Aceptado, Exitoso, Quarentena, Borrado, Procesando) - Fecha - Sender - Recipiente - Subject  Historial procesamiento de mensajes, donde se incluya información de: - Origen - Destino - Ingreso - Salida - Escaneado - Legitimo - Spam - Virus - Amenaza Avanzada  Para la Protección contra Amenazas Avanzadas y de día Cero, mostrar de forma gráfica el número de amenazas desconocidas que han sido analizadas y diagnosticadas.  Debe llevar registros de auditoria donde se estipule los diferentes cambios y actividades realizada por los administradores

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 62 de Estudios Previos – Procesos Públicos De Selección 101

 Contar con un panel de monitoreo general donde se especifique de forma resumida información referente a: protección contra amenazas avanzada y de día cero, actividad general en los correos salientes

Los reportes pueden ser generados y enviados como PDF

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 63 de Estudios Previos – Procesos Públicos De Selección 101

Grupo III Equipos de seguridad perimetral SOLUCION FIREWALL DE NUEVA GENERACION

REQUERIMIENTOS TECNICOS CONTENIDOS EN LA SOLUCION FIREWALL NUEVA GENERACION

ITEM DESCRIPCION CUMPLE SI/NO

1 GENERALIDADES  Solución en alta disponibilidad, dos equipos de la misma referencia funcionando en modo clúster.  El dispositivo debe ser un equipo de arquitectura integrada de propósito específico para ofrecer un alto rendimiento y baja latencia.  El equipo debe poder operar para la inspección de trafico IPv4 e IPv6.  El dispositivo debe soportar prevención de intrusos basada en anomalías, desfragmentación de paquetes y descarga de checksum.  El equipo debe soportar VPN, CAPWAP, aceleración de túneles IP, traffic shapping y prioridad de colas.  El dispositivo deberá incluir aceleración de inspección de contenido basada en firmas, trafico cifrado y texto claro.  El fabricante de la solucion debe estar validado a nivel de rendimiento y seguridad por los siguientes laboratorios de pruebas de terceros, líderes en la industria de protección: NSS Labs, VB100, AV Comparatives e ICSA.  El fabricante de la solución debe estar clasificado como líder en el cuadrante mágico de Gartner para Enterprise Firewall para el año 2018.  El equipo debe estar respaldado por un laboratorio de investigación y desarrollo que ofrezca inteligencia en tiempo real entregando actualizaciones de seguridad completas, investigadores de amenazas de seguridad.  El equipo debe contar con soporte técnico y retorno de hardware por parte del fabricante por un periodo de 3 años en un esquema 7 x 24 incluyendo actualizaciones de firmware, acceso al portal de soporte y recursos técnicos asociados. Los incidentes técnicos podrán ser reportados vía web, chat y teléfono.  El dispositivo debe proporcionar información granular para aplicaciones basadas en nube, tales como: YouTube, Dropbox, Baidu, Microsoft Office 365, Amazon, entre otras.  El dispositivo debe tener una base de datos que contenga una lista de direcciones Botnet C&C que sean actualizadas dinámicamente y almacenadas en el NGFW.  Se deberá tener la capacidad de detectar, contener y bloquear ataques avanzados automáticamente mediante la integración con un servicio en la nube o un dispositivo físico dedicado a tal propósito del tipo BDS.

 El dispositivo debe permitir la definición de archivos por tipo o patrón de nombre a inspeccionar por el equipo dedicado para amenazas o malware avanzado.  Si el equipo dedicado para amenazas avanzadas descubre un archivo malicioso, debe tener la capacidad de crear una firma para enviarla al NGFW, con el fin de

complementar la base de datos de firmas de antivirus.  El dispositivo debe realizar balanceo de carga de enlaces estático mediante el uso de los siguientes algoritmos de balanceo de carga:  Ancho de banda

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 64 de Estudios Previos – Procesos Públicos De Selección 101

 Sesiones  Spillover  IP fuente – destino  IP fuente  El equipo deberá poder ser configurado en capa 2 o en capa 3 en la red.

2 RENDIMIENTO El equipo deberá cumplir con las siguientes características mínimas de desempeño ya activas y funcionales:  Rendimiento de Firewall: 36 Gbps  Rendimiento de IPS: 10 Gpps  Rendimiento Inspección SSL: 8 Gbps  Rendimiento VPN IPSec: 20 Gbps

 Rendimiento de NGFW: 9.5 Gbps  Rendimiento de protección de amenazas: 7 Gbps  Soporte de 8.000.000 sesiones concurrentes  Soporte a 10.000 usuarios VPN SSL  Almacenamiento: 480 GB

3 CONECTIVIDAD El equipo deberá contar con las siguientes interfaces de conexión, totalmente aprovisionadas:

 8 interfaces de 1Gbps SFP  8 interfaces de 1Gbps RJ45  2 interfaces de 10Gbps SFP+

Traducción de direcciones de red NAT dinámico, NAT estático, PAT, NAT64, NAT46, NAT 66

4 FUNCIONES BÁSICAS DE FIREWALL  Las reglas de firewall deben analizar las conexiones que atraviesen en el equipo, entre interfaces, grupos de interfaces (o Zonas) y VLANs.  La solución soportará políticas basadas en identidad. Esto significa que podrán definirse políticas de seguridad de acuerdo al grupo de pertenencia de los usuarios.  Deberá soportar reglas de firewall en IPv6 configurables tanto por CLI (Command Line Interface, Interface de línea de comando) como por GUI (Graphical User Interface, Interface Gráfica de Usuario).  La solución tendrá la capacidad de hacer captura de paquetes por política de seguridad implementada para luego ser exportado en formato PCAP.  El dispositivo de seguridad será capaz de crear e integrar políticas contra ataques DoS las cuales se deben poder aplicar por interfaces.  El dispositivo será capaz de ejecutar inspección de trafico SSL en todos los puertos y seleccionar bajo que certificado será válido este tráfico.  Tendrá la capacidad de hacer escaneo a profundidad de trafico tipo SSH dentro de todos o cierto rango de puertos configurados para este análisis.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 65 de Estudios Previos – Procesos Públicos De Selección 101

Conectividad y Enrutamiento 5

 Funcionalidad de DHCP: como Cliente DHCP, Servidor DHCP y reenvío (Relay) de solicitudes DHCP.  Soporte a etiquetas de VLAN (802.1q) y creación de zonas de seguridad en base a VLANs.  Soporte a ruteo estático y dinámico en IPv4 e IPv6, con manejo de prioridades para las mismas.  Soporte de enrutamiento basado en políticas para envió de tráfico de diferentes tipos basado en protocolo de tráfico entrante, dirección o interfaz fuente, dirección destino o número de puerto, tanto para IPv4 como para IPv6.  Soporte a ruteo dinámico RIP, OSPFv2, BGP, IS-IS para IPv4 y RIPng, OSPFv3, BGP para IPv6.  Soporte de ECMP (Equal Cost Multi-Path)  Soporte a ruteo de multicast PIM SM y PIM DM.  Soporte de reverse path lookup o anti-spoofing.  Soporte de rutas blackhole.  La solución permitirá la integración con analizadores de tráfico mediante el protocolo sFlow o Netflow.  Soporte de SD-WAN tanto para IPv4 como para IPv6, para la distribución de tráfico entre varios enlaces WAN, con las siguentes características: o Manejo de más de 2 enlaces WAN o Control de camino incluido en el NGFW, sin depender de una controladora centralizada. o Distribución de tráfico inteligente basada en aplicación, direccione IP de origen y destino, usuarios o grupos de usuarios o Monitoreo de estado de salud de los enlaces, basado en al menos retardo, jitter y pérdida de paquetes. Este monitoreo debe poderse hacer al menos usando ping y HTTP. o Failover automático en caso de falla o degradación de uno de los enlaces.

VPN IPSEC 6

El equipo deberá soportar las siguientes características:

 Soporte a certificados RSA X.509 para construcción de VPNs cliente a sitio (client- to-site).  Soporte de VPNs IPSec sitio a sitio y cliente – sitio.  Soporte para IKEv2 e IKE Configuration Method.  Soporte de VPNs con algoritmos de cifrado: AES256, AES192, AES128, DES, 3DES  Se debe soportar al menos los grupos de Diffie-Hellman 1, 2, 5 y 14.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 66 de Estudios Previos – Procesos Públicos De Selección 101

 Se debe soportar los siguientes algoritmos de integridad: MD5, SHA-1 y SHA256, SHA384, SHA512.  La VPN IPSec deberá poder ser configurada en modo interface (interface-mode VPN)  Se deben soportar VPNs basadas en rutas y VPNs basadas en políticas.

VPN SSL 7

 Capacidad de realizar SSL VPNs sin necesidad de licenciamiento por usuarios.  Soporte a SSL 2.0 y 3.0, TLS 1.0,1.1 y 1.2  Soporte para modo de operación basado en web o modo túnel.  Soporte a certificados RSA X.509 para construcción de VPNs SSL.  Soporte de autenticación de dos factores. En este modo, el usuario deberá presentar un certificado digital además de una contraseña para lograr acceso al portal de VPN.  Soporte de autenticación de dos factores con token, la solución debe estar en la capacidad de suplir o integrarse con tokens físicos o basados en software.  Validación de equipos de plataformas Windows mediante la comprobación de sistema operativo, firewall de Windows, antivirus para obtener acceso mediante VPN SSL.  Soporte nativo para al menos HTTP, FTP, SMB/CIFS, VNC, SSH, RDP y Telnet.  Deberá poder verificar la presencia de antivirus (propio y/o de terceros y de un firewall personal (propio y/o de terceros) en la máquina que establece la comunicación VPN SSL.  Capacidad integrada para eliminar y/o cifrar el contenido descargado al caché de la máquina cliente (caché cleaning)  Deberá tener soporte al concepto de registros favoritos (bookmarks) para cuando el usuario se registre dentro de la VPN SSL  Debe ser posible definir distintos portales SSL que servirán como interfaz gráfica a los usuarios de VPN SSL luego de ser autenticados por la herramienta. Dichos portales deben poder asignarse de acuerdo al grupo de pertenencia de dichos usuarios.  Los portales personalizados deberán soportar al menos la definición de:

 Widgets a mostrar  Aplicaciones nativas permitidas. Al menos: HTTP, CIFS/SMB, FTP, VNC  Soporte para Escritorio Virtual  Política de verificación de la estación de trabajo

La VPN SSL integrada debe soportar la funcionalidad de Escritorio Virtual, entendiéndose como un entorno de trabajo seguro que previene contra ciertos ataques además de evitar la divulgación de información.

AUTENTICACIÓN 8

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 67 de Estudios Previos – Procesos Públicos De Selección 101

El dispositivo deberá manejar los siguientes tipos de autenticación:

 Autenticación basada en contraseña y en doble factor de autenticación (certificado, correo, SMS y tokens).  Capacidad de integrarse con Servidores de Autenticación: RADIUS, LDAP, TACACS+, POP3, SSO y RSA ACE.  Soporte de tokens basados en software para dispositivos IOS o Android y hardware integrados a la solución de NGFW

Capacidad incluida, al integrarse con Microsoft Windows Active Directory o Novell eDirectory, de autenticar transparentemente usuarios sin preguntarles username o password. Esto es aprovechar las credenciales del dominio de Windows bajo un concepto “Single-Sign-On”.

MANEJO DE TRÁFICO Y CALIDAD DE SERVICIO. 9

 El equipo debe soportar traffic shaper basado en fuente (dirección IP, usuarios locales y grupos), destino (dirección IP, FQDN, URL o categoría), servicio (General, acceso web, acceso a archivos, servicios de correo y red, autenticación, acceso remoto, tunneling, VoIP, mensajería y otras aplicaciones, web proxy), aplicación, categoría de aplicaciones, categoría de URLs.  El equipo debe permitir la configuración de reglas de prioridad de tráfico por dirección fuente, grupo de usuarios, dirección destino, numero de protocolo y aplicaciones basadas en nube.  Capacidad de poder asignar parámetros de traffic shaping diferenciadas para el tráfico en distintos sentidos de una misma sesión  Capacidad de definir parámetros de traffic shaping que apliquen para cada dirección IP en forma independiente, en contraste con la aplicación de las mismas para la regla en general.

Capacidad de poder definir ancho de banda garantizado y ancho de banda máximo.

10 ANTIMALWARE  Debe ser capaz de analizar, establecer control de acceso y detener ataques y hacer antivirus en tiempo real en al menos los siguientes protocolos: HTTP, SMTP, IMAP, POP3, FTP, NNTP, HTTPS, IMAPS,POP3S, SMTPS y FTPS.  Debe mitigar las siguientes amenazas: Virus, gusanos, troyanos, ransomware, scareware, spyware, adware, botnets, entre otros.  El módulo de antimalware debe haber sido desarrollado por el mismo fabricante de la solución de firewall, así como las firmas deberán ser de su propiedad y no por medio de licenciamiento o concesiones de un tercero, esto con el fin de garantizar la idoneidad de la protección, así como los tiempos de respuesta del soporte de la misma.  El Antivirus deberá poder configurarse de forma que los archivos que pasan sean totalmente capturados y analizados, permitiendo hacer análisis sobre archivos que tengan varios niveles de compresión.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 68 de Estudios Previos – Procesos Públicos De Selección 101

 El Antivirus deberá integrarse de forma nativa con un servicio de protección de amenazas de dia cero en la nube del fabricante, o un dispositivo físico del mismo tipo, de tal manera que envíen muestras de archivos a dicho dispositivo para su análisis. Todo esto de manera nativa, sin requerir desarrollos adicionales.  El antivirus debe permitir las siguientes opciones de inspección: amenazas en ejecutables Windows que se encuentran embebidas en un adjunto de correo electrónico y protección para malware de dispositivos móviles.  Antivirus en tiempo real, integrado a la plataforma de seguridad “appliance”. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la categorización del contenido.  El Antivirus integrado debe soportar la capacidad de inspeccionar y detectar virus en tráfico IPv6.  El antivirus deberá escanear tráfico de compartición de archivos: CIFS, SMB y SAMBA.  La solución debe incluir mecanismos para detectar y detener conexiones a redes Botnet y servidores C&C.

FILTRADO WEB 11

 La solución debe permitir filtrado de contenido web, filtrado de URLs y servicio de filtrado web basado en firmas desarrolladas por laboratorio de investigación y desarrollo propio del fabricante.  Facilidad para incorporar control de sitios a los cuales naveguen los usuarios, mediante categorías. Por flexibilidad, el filtro de URLs debe tener por lo menos 75 categorías y por lo menos 47 millones de sitios web en la base de datos.  Debe poder categorizar contenido Web requerido mediante IPv6.  La solución debe permitir realizar el filtrado de contenido, tanto realizando reconstrucción de toda la sesión como realizando inspección paquete a paquete sin realizar reconstrucción de la comunicación.  Capacidad de filtrado de scripts en páginas web (JAVA/Active X).  La solución de Filtrado de Contenido debe soportar la característica de “Safe Search” o “Búsqueda Segura” para prevenir imágenes y sitios web con contenido explícito en los resultados de búsqueda. Esto debe ser soportado para los siguientes sitios: Google, Yahoo, Bing y Yandex.  Será posible exceptuar la inspección de HTTPS por categoría.  El filtrado de contenido web debe permitir la definición de palabras, frases, patrones, wildcards y expresiones regulares Perl para prevenir acceso a páginas con material cuestionable.  El sistema de filtrado de URLs debe incluir la capacidad de definir cuotas de navegación basadas en categoría, grupo de categoría o clasificación.

El filtrado debe ser sobre tráfico HTTP y HTTPS.

PROTECCIÓN CONTRA INTRUSOS (IPS) 12

 El sistema de detección y prevención de intrusos deben poder implementarse tanto en línea como fuera de línea. En línea, el tráfico a ser inspeccionado pasará a través

del equipo. Fuera de línea, el equipo recibirá el tráfico a inspeccionar desde un switch con un puerto configurado en span o mirror.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 69 de Estudios Previos – Procesos Públicos De Selección 101

 Deberá ser posible seleccionar el sistema operativo, protocolo, severidad y objetivo para la configuración de perfiles IPS.  Deberá ser posible definir políticas de detección y prevención de intrusiones para tráfico IPv6 a través de sensores.  El IPS debe tener la posibilidad de tomar las siguientes acciones: permitir, monitorear, bloquear, resetear la sesión, guardar copia de los paquetes que coincidan con las firmas, hacer cuarentena con base en dirección IP del atacante y tiempo basado en días, horas o minutos.  El sistema de protección de intrusos debe utilizar decodificadores de protocolo para identificar patrones de trafico anormal que no reúnan los requerimientos de protocolo y estándares.  Capacidad de detección de más de 4000 ataques.  Capacidad de actualización automática de firmas IPS mediante tecnología de tipo “Push” (permitir recibir las actualizaciones cuando los centros de actualización envíen notificaciones sin programación previa), adicional a tecnologías tipo “pull” (Consultar los centros de actualización por versiones nuevas)  El sistema de detección y prevención de intrusos deberá estar integrado a la plataforma de seguridad “appliance”, sin necesidad de integrar otro tipo de consola para poder administrar este servicio. Esta deberá permitir la protección de este servicio por política de control de acceso.  El sistema de detección y prevención de intrusos deberá soportar captar ataques por variaciones de protocolo y además por firmas de ataques conocidos (signature based / Rate base).  Basado en análisis de firmas en el flujo de datos en la red, y deberá permitir configurar firmas nuevas para cualquier protocolo.  Actualización automática de firmas para el detector de intrusos.  El Detector de Intrusos deberá mitigar los efectos de los ataques de negación de servicios.  Métodos de notificación:

o Alarmas mostradas en la consola de administración del appliance. o Alertas vía correo electrónico. o Debe tener la capacidad de cuarentena, es decir prohibir el tráfico subsiguiente a la detección de un posible ataque. Esta cuarentena debe poder definirse al menos para el tráfico proveniente del atacante o para el tráfico del atacante al atacado. o La capacidad de cuarentena debe ofrecer la posibilidad de definir el tiempo en que se bloqueará el tráfico. También podrá definirse el bloqueo de forma “indefinida”, hasta que un administrador tome una acción al respecto. o Debe ofrecerse la posibilidad de guardar información sobre el paquete de red que detonó la detección del ataque así como al menos los 5 paquetes sucesivos. Estos paquetes deben poder ser visualizados por una herramienta que soporte el formato PCAP. CONTROL DE APLICACIONES 13

 Debe basarse en categorías que permitan seleccionar grupos de firmas basados en un tipo de categoría.

 La solución debe soportar la capacidad de identificar la aplicación que origina cierto tráfico a partir de la inspección del mismo.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 70 de Estudios Previos – Procesos Públicos De Selección 101

 La identificación de la aplicación debe ser independiente del puerto y protocolo hacia el cual esté direccionado dicho tráfico.  La solución debe tener un listado de al menos 2300 aplicaciones ya definidas por el fabricante.  El listado de aplicaciones debe actualizarse periódicamente.  Para aplicaciones identificadas deben poder definirse al menos las siguientes opciones: permitir, bloquear, hacer traffic shapping, registrar en log, ver firmas y bloquear acceso a una aplicación por un periodo de tiempo específico basado en días, horas y minutos.  Para aplicaciones no identificadas (desconocidas) deben poder definirse al menos las siguientes opciones: permitir, bloquear, registrar en log.  Para aplicaciones de tipo P2P debe poder definirse adicionalmente políticas de traffic shaping.  Debe ser posible inspeccionar aplicaciones tipo Cloud como YouTube, Dropbox, Baidu, Amazon entre otras entregando información como login de usuarios, transferencia de archivos y videos visualizados. 

Inspección de Contenido SSL/SSH 14

 La solución debe soportar inspeccionar tráfico que esté siendo encriptado mediante SSL al menos para los siguientes protocolos: HTTP, IMAP, SMTP, POP3.  Debe ser posible definir perfiles de inspección SSL donde sea posible definir los protocolos a inspeccionar y el certificado usado, estos perfiles deben poder ser escogidos una vez se defina la política de seguridad.  Debe ser posible definir si la inspección se realiza desde múltiples clientes conectando a servidores (es decir usuarios que navegan a servicios externos con SSL) o protegiendo un servidor interno de la entidad.  La inspección deberá realizarse: mediante la técnica conocida como Hombre en el Medio (MITM – Man In The Middle) para una inspección completa o solo inspeccionando el certificado sin necesidad de hacer full inspection.  El equipo debe ser capaz de analizar contenido cifrado (SSL o SSH) para las funcionalidades de Filtrado de URLs, Control de Aplicaciones, Prevención de Fuga de Información, Antivirus e IPS  Debe ser posible inspeccionar tráfico SSH y funcionalidades como Exec, Port- Fortward o X11.

ALTA DISPONIBILIDAD 15

 La solución deberá ofertarse en alta disponibilidad  El dispositivo deberá soportar Alta Disponibilidad transparente, es decir, sin pérdida de conexiones en caso de que un nodo falle tanto para IPV4 como para IPV6  Alta Disponibilidad en modo Activo-Activo de forma automática sin requerir hacer políticas de enrutamiento basado en orígenes y destino para poder hacer la distribución del tráfico.  Posibilidad de definir al menos dos interfaces para sincronía  El Alta Disponibilidad podrá hacerse de forma que el uso de Multicast no sea necesario en la red

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 71 de Estudios Previos – Procesos Públicos De Selección 101

 Será posible definir interfaces de gestión independientes para cada miembro en un clúster.  Debe ser posible definir que Firewall Virtual estará activo sobre que miembro del Cluster para hacer una distribución de carga en caso se der necesario.  El equipo debe soportar hasta 4 equipos en esquema de HA. 

VISIBILIDAD 15

La solución debe estar en la capacidad de visualizar el tráfico de usuario, aplicaciones, navegación y niveles de riesgo en tiempo real, esto deberá ser sobre la misma plataforma sin necesidad de software o licenciamiento adicional.

 El equipo debe permitir la visualización de la topología física y lógica, con el fin de obtener mayor información de los dispositivos y conexiones.  El equipo debe entregar las siguientes consolas para reunir los siguientes objetivos:  Políticas: Permite monitoreo de actividad de políticas, con el fin de discernir cuales políticas no se usan y pueden ser borradas.  Interfaces: Permite realizar monitoreo actual e histórico de ancho de banda por interfaz.  Países: Filtrado de trafico de acuerdo a países fuente y destino.  Traffic shaping: Permite monitoreo de traffic shappers configurados.  Mapa de amenazas: Permite monitorear riesgos provenientes de varias ubicaciones internacionales llegando a una ubicación específica.  Autenticaciones fallidas: Permite determinar si el NGFW presenta un ataque de fuerza bruta, asi como: acceso no autorizado a interfaz por telnet, SSH, HTTP y HTTPS, fallas para hacer una consulta por SNMP, intentos fallidos para establecer conexión de una VPN IPSec Dial-up, conexiones de VPNs IPSec Sitio a Sitio y conexiones de VPNs SSL.  Menú tipo dropdown para navegar por la información.  Mostrar los origenes del tráfico o usuarios que lo generan.  Mostrar las aplicaciones y su categorización según riesgo.  Visibilidad de aplicaciones Cloud usadas por el usuario.  Visibilidad de destinos del tráfico.  Visibilidad de los sitios web mas consultados por los usuarios.  Visibilidad de las amenazas o incidentes que han ocurriendo en la red  En la información de fuentes, aplicaciones, navegación debe ser posible con un doble-click filtrar la información para ser más específica la búsqueda.  Se deben ver aplicaciones, sitios, amenazas por cada usuario.  Se debe ver el tiempo de navegación por cada sitio o categoría de sitios.  De las aplicaciones Cloud que permitan compartir archivos como Dropbox debe ser posible ver que archivos fueron subidos y descargados por los usuarios.  De aplicaciones de contenido como YouTube debe ser posible ver que videos fueron vistos por los usuarios. 

CARACTERÍSTICAS DE ADMINISTRACIÓN 16

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 72 de Estudios Previos – Procesos Públicos De Selección 101

 Interface gráfica de usuario (GUI), vía Web por HTTP y HTTPS.  Interfase basada en línea de comando (CLI) para administración de la solución.  Puerto de consola dedicado para administración. Este puerto debe estar etiquetado e identificado para tal efecto.  Comunicación cifrada y autenticada con usuario y contraseña, tanto como para la interface gráfica de usuario como la consola de administración de línea de comandos (SSH)  El administrador del sistema podrá tener las opciones incluidas de autenticarse vía usuario/contraseña y vía certificados digitales.  Los administradores podrán tener asignado un perfil de administración que permita delimitar las funciones del equipo que pueden gerenciar y afectar.  El equipo ofrecerá la flexibilidad para especificar que Los administradores puedan estar restringidos a conectarse desde ciertas direcciones IP cuando se utilice SSH, Telnet,http o HTTPS.  El equipo deberá poder administrarse en su totalidad (incluyendo funciones de seguridad, ruteo y bitácoras) desde cualquier equipo conectado a Internet que tenga un browser (Internet Explorer Mozilla, Firefox) instalado sin necesidad de instalación de ningún software adicional.

 Soporte de SNMP versión 2 y SNMPv3  Soporte de al menos 3 servidores syslog para poder enviar bitácoras a servidores de SYSLOG remotos  Soporte de Control de Acceso basado en roles, con capacidad de crear al menos 6 perfiles para administración y monitoreo del Firewall.  Monitoreo de comportamiento del appliance mediante SNMP, el dispositivo deberá ser capaz de enviar traps de SNMP cuando ocurra un evento relevante para la correcta operación de la red.  Permitir que el administrador de la plataforma pueda definir qué funcionalidades están disponibles o deshabilitadas para ser mostradas en la interfaz gráfica.  Contar con facilidades de administración a través de la interfaz gráfica como ayudantes de configuración (setup wizard).  Contar con herramientas gráficas para visualizar fácilmente las sesiones en el equipo, que permitan adicionarse por el administrador en la página inicial de la solución (dashboard), incluyendo por lo menos por defecto Top de sesiones por origen, Top de sesiones por destino, y Top de sesiones por aplicación. 

VIRTUALIZACIÓN 17

 El dispositivo deberá poder virtualizar los servicios de seguridad mediante “Virtual Systems”, “Virtual Firewalls” o “Virtual Domains”  La instancia virtual debe soportar por lo menos Firewall, VPN, URL Filtering, IPS.  Se debe incluir la licencia para al menos 10 (diez) instancias virtuales dentro de la solución a proveer, de los cuales se deberán configurar como mínimo tres acorde a los requerimientos de la entidad.  Cada instancia virtual debe poder tener un administrador independiente  La configuración de cada instancia virtual deberá poder estar aislada de manera lógica del resto de las instancias virtuales.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 73 de Estudios Previos – Procesos Públicos De Selección 101

 Cada instancia virtual deberá poder estar en modo gateway o en modo transparente a la red  Debe ser posible la definición y asignación de recursos de forma independiente para cada instancia virtual  Debe ser posible definir distintos servidores de log (syslog) para cada instancia virtual.  Debe ser posible definir y modificar los mensajes mostrados por el dispositivo de forma independiente para cada instancia virtual.  Debe ser posible definir enlaces de comunicación entre los sistemas virtuales sin que el trafico deba salir de la solución por medio de enlaces o conexiones virtuales, y estas conexiones deben poder realizarse incluso entre instancias virtuales en modo NAT y en modo Transparente

Se debe poder ver el consumo de CPU y memoria de cada instancia virtual.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 74 de Estudios Previos – Procesos Públicos De Selección 101

SOLUCION PLATAFORMA DE REPORTES

REQUERIMIENTOS TECNICOS CONTENIDOS EN LA SOLUCION DE PLATAFORMA DE REPORTES

ITEM DESCRIPCION CUMPLE SI/NO

1 GENERALIDADES Se requiere un equipo tipo appliance que permita registrar cada transacción tanto de la plataforma de Firewall de nueva generación como de los Firewalls de Aplicaciones web ofertados, para poder identificar y reaccionar a cualquier informe emitido por un log o registro de los dispositivos de seguridad perimetral ofertados. El equipo deberá recolectar y emitir el reporte de eventos, actividades y tendencias ocurridas en las plataformas de seguridad perimetral ofertadas Firewall de nueva generación y Firewall de Aplicaciones web, por lo cual deberá integrarse de forma nativa con estas plataformas sin requerir desarrollo adicional alguno.

La plataforma es requerida por un periodo de 3 años en un esquema 7 x 24 ante fabricante. Se requiere transferencia de conocimiento en la administración avanzada de esta plataforma para 3 empleados de la entidad, los materiales requeridos para dicha trasferencia de conocimiento, deberán estar totalmente incluidos en la oferta. Desempeño La solución de análisis de logs debe dar soporte a las siguientes características:  Capacidad de recibir hasta 100 Gbytes de logs diarios.  Capacidad de Almacenamiento de 4 Terabytes.  2 interfaces de red de 1000 Mbps Cobre  Capacidad de recibir logs hasta de 40 equipos sin necesidad de licenciar Funciones y configuraciones requeridas para el analizador de red

 Visor de tráfico en tiempo real.  Visor de tráfico histórico.  Visor personalizado de log de tráfico  Herramienta de búsqueda sobre los logs de tráfico. Análisis de logs y reportes requeridos

 Vista de búsqueda y manejo de logs.  Reportes basados en perfiles.  Inventario de plantillas predefinidas para reportes regulares.  Debe soportar de forma predefinida los reportes: o Eventos del sistema o Análisis de riesgo y aplicaciones o Reporte de Aplicaciones y Ancho de Banda o Reputación de Clientes o Análisis de seguridad o Reporte de Amenazas o Reportes de VPN o Reportes de uso de Web  Debe ser posible calendarizar los reportes  La plataforma deberá permitir integrar los logs de las plataformas de Firewall ofertadas.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 75 de Estudios Previos – Procesos Públicos De Selección 101

Anexo Análisis del Sector

1. ASPECTOS GENERALES En el presente documento se deja constancia de la viabilidad que tiene el proceso desde el punto de vista económico, técnico y legal, conforme la sustentación que sobre cada aspecto se adelante, para el conocimiento del sector, en cumplimiento de lo establecido en el Articulo 2.2.1.1.1.6.1 del Decreto 1082 de 2015 y el respectivo manual de análisis del sector por Colombia Compra Eficiente.

ASPECTOS TÉCNICOS El proceso que nos ocupa, se encuentra enmarcado dentro de las TICS (tecnologías de la información y de la comunicación), éstas son aquellas tecnologías que se necesitan para la gestión y transformación de la información, y muy en particular el uso de ordenadores y programas que permiten crear, modificar, almacenar, administrar, proteger y recuperar esa información; es por ello que las entidades tanto privadas como públicas deben enfocar sus esfuerzos al fortalecimiento de la estructura organizacional, al diseño de estrategias competitivas dentro de la economía, desarrollando nuevas tendencias que las conduzcan a la vanguardia tecnológica, la cual es imperante como una tendencia mundial. Las tecnologías de la información y la comunicación o TIC corresponden y se refieren a todas las tecnologías que de una u otra forma interfieren y median en los procesos informacionales y comunicativos entre seres humanos, y pueden ser entendidas como un conjunto de recursos tecnológicos integrados entre sí, que proporcionan, por medio de facilidades de hardware, de software, y de telecomunicaciones, la semi-automatización y comunicación de procesos relativos a negocios, a investigación científica, a enseñanza, a aprendizaje, a cuestiones de la vida diaria, etc. Las TIC son utilizadas de diversas maneras y en variados campos de actividad, destacándose las industrias (procesos de automatización y de automación), los comercios (gerenciamiento, publicidad, contabilidad), las inversiones (modelos de simulación, transmisión de informaciones en forma rápida para la más oportuna toma de decisiones), las instituciones educativas (sistemas de enseñanza/aprendizaje, educación a distancia, sistemas tutoriales), etc. Los Agentes que componen el sector y de acuerdo a la Asociación Americana de las Tecnologías de la Información (Information Technology Association of America, ITAA), las TICS son una parte de las tecnologías emergentes que habitualmente suelen identificarse con las siglas “TIC” y que hacen referencia a la utilización de medios informáticos para almacenar, procesar y difundir todo tipo de información o procesos de formación educativa. Estas se encargan del estudio, desarrollo, implementación, almacenamiento y distribución de la información mediante la utilización de hardware y software como medio de sistema informático. El uso acorde de las Tecnologías de la Información y Comunicación realidad exige a los gobiernos de los países poder identificar los mecanismos y variables a considerar en una estrategia hacia la construcción de la Sociedad de la Información. En Colombia El Ministerio de Tecnologías de la Información y las Comunicaciones, según la Ley 1341 o Ley de TIC, es la entidad que se encarga de diseñar, adoptar y promover las políticas, planes, programas y proyectos del sector de las Tecnologías de la Información y las Comunicaciones. Dentro de sus funciones está incrementar y facilitar el acceso de todos los habitantes del territorio nacional a las Tecnologías de la Información y las Comunicaciones y a sus beneficios. El Ministerio de Tecnologías creo El Viceministerio de Tecnologías y Sistemas de la Información, que surge a raíz de la importancia y crecimiento de los procesos de comunicación a través de la tecnología para lograr su especialización de acuerdo a los avances generados por el Estado en materias de Tecnologías de la Información y continuar con las gestiones desarrolladas por el viceministerio general. El propósito del Viceministerio de Tecnologías y Sistemas de la Información es asesorar al Ministro en la formulación, implementación, seguimiento y evaluación de políticas públicas para alcanzar la excelencia en el uso, acceso y administración de Tecnologías de la Información para el Estado, las cuales estén alineadas con la estrategia gubernamental nacional y sectorial, garantizando el ciclo de producción de información, así como su seguridad y privacidad, la interoperabilidad de los sistemas, y el direccionamiento estratégico de las inversiones estatales en tecnología. El informe más reciente del sector TIC en Colombia es de junio de 2013 y lo realizo La Cámara Colombiana de Informática y Telecomunicaciones “CCIT” en alianza con FEDESARROLLO. La CCIT es la entidad gremial que agrupa a las empresas más importantes del Sector de Telecomunicaciones e Informática en Colombia, fue fundada en 1993 y desde entonces ha desarrollado su gestión como organismo autorizado del sector privado, en sus relaciones con el Estado y la opinión pública; su misión es colaborar en la transformación del país a través del uso y promoción de las TIC como motor transversal de la economía, enfocados en generar un mayor desarrollo tecnológico y socioeconómico, que promueva la inversión, la innovación, la generación de empleo, la educación, la inclusión social y una mejor calidad de vida para la población y su visión es acelerar el crecimiento ordenado del sector de las TIC en Colombia, en defensa de los intereses de sus asociados y de los principios que rigen la agremiación.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 76 de Estudios Previos – Procesos Públicos De Selección 101

El informe fue titulado “La nueva locomotora de la economía Colombiana” y en concordancia con la necesidad que motivo este estudio previo, se destaca el análisis hecho al mercado de las tecnologías de la Información (TI), con el siguiente resumen: Los avances que ha presentado el sector TIC durante la última década son notables. En el caso de las TI, se trata de un sector de alto crecimiento, sobre el cual el Gobierno en razón a su enorme potencial, ha depositado gran confianza. Tanto así que se creó el Viceministerio de Tecnologías y Sistemas de la Información con el objetivo de hacer un seguimiento detallado a la evolución de dicho sector, al tiempo que el Ministerio de Industria, Comercio y Turismo tiene como meta convertirlo en un sector de talla mundial. Dentro de los obstáculos que debe resolver la industria TI se resaltan la mejora en la infraestructura necesaria para la provisión de bienes y servicios de alto valor agregado; la incorporación de mayores niveles de capital humano calificado; la migración desde modelos de negocio tradicionales, basados en la producción de bienes y servicios a petición del consumidor final, hacia otros más innovadores y la especialización por parte de las empresas en sectores productivos específicos, de manera que aumente su productividad (Fedesoft y Ministerio TIC, 2014). El sector TIC en Colombia presenta un enorme potencial. La herencia histórica de la última década refleja la buena disposición que tiene el país para seguir avanzando. Todo parece indicar que en el futuro cercano los sectores TIC no tradicionales serán quienes lideren el desarrollo del sector. En particular se resalta el protagonismo que han adquirido tanto el internet de banda ancha como las TI durante los últimos años. Las sinergias que puedan surgir del avance paralelo de ambos segmentos de mercado tendrán, sin lugar a dudas, enorme relevancia en el desarrollo económico de Colombia. Las empresas afiliadas a la CCIT son importantes compañías que son garante de una agremiación sólida y líder en el sector de la informática y las telecomunicaciones y actualmente esta industria representa el 7% del producto interno bruto del país con una gran proyección de crecimiento y solidez. El mantenimiento preventivo tanto de software como de hardware en un contexto general, disminuyen los riesgos de sufrir indisponibilidades en los servicios informáticos, minimizando el impacto que causa la suspensión de los servicios en el normal desarrollo de las actividades diarias. Las consecuencias de un desastre informático pueden ser largos y costosos periodos de inactividad, por esto es necesario contar con respaldo de repuestos, equipos y mano de obra calificada que durante un incidente permita mantener al Ministerio operando de una manera técnica, organizada y segura en el menor tiempo posible. De acuerdo con los lineamientos evocados anteriormente y teniendo en cuenta que el MINISTERIO DEL DEPORTE , va orientado a la vanguardia tecnológica, convencidos que la proyección de las innovaciones informáticas van a centrarse en la mejora de la capacidad de procesamiento, almacenamiento y transmisión de datos, se requiere asegurar el eficiente funcionamiento de la infraestructura tecnológica del ministerio a través de su mantenimiento, y así garantizar la disponibilidad de los servicios informáticos necesarios para contribuir con el cumplimiento de los procesos estratégicos, misionales, apoyo y del Ministerio. Estos servicios pueden ser ofrecidos por canales autorizados por los fabricantes con representación en Colombia y que sustenten mano de obra especializada.

ASPECTO ECONÓMICO Teniendo en cuenta que el presente proceso se desarrolla en el sector económico de servicios, en razón a que se va a realizar el mantenimiento de equipos de sistemas y cómputo, se dará a conocer algunos aspectos económicos relevantes del sector. El sector terciario o de servicios, corresponde al sector económico del presente objeto a contratar, el cual involucra a todas las actividades económicas que no producen bienes materiales sino proveen servicios para satisfacer las necesidades que demande la entidad para dar cumplimiento con los requerimientos que se generen en el desarrollo de la misión institucional.

ASPECTOS GENERALES DEL MERCADO Los avances que han tenido las TIC en el mundo han contribuido de distintas maneras al bienestar de la sociedad. Por un lado, representan una enorme oportunidad para reducir las brechas sociales, y por otro, tienen el poder de generar externalidades positivas sobre la mayoría de los sectores productivos de la economía. Además, la evidencia ha demostrado que las transformaciones que ha tenido el sector han exacerbado los efectos anteriormente descritos. El sector de tecnología en computación se ha caracterizado por innovar en el mercado de computadores para empresas y para individuos, creando una gran variedad en tamaños, capacidades de memoria y almacenamiento, diversos programas, etcétera. De igual forma, dentro de la historia del mercado del sector de tecnología en computación, se han creado infinidad de empresas con el mismo propósito, siendo Gateway, Sun, Lenovo, Apple, Hewlett-Packard (Hewlett Packard), Toshiba, Acer, Sony y Asus, las más importantes, en este mercado, contempladas como la competencia fuerte del sector.. La tendencia en la utilización de TICS en Colombia y el mundo aplica a todos los sectores de la economía incluyendo el Sector Público donde la modernización de sus procesos y el uso de herramientas informáticas le permiten agilizar su funcionamiento. Hace diez años aproximadamente los computadores de escritorio lideraban las intenciones de compra de los usuarios. Las ventas se mantenían en alza y ningún otro tipo de aparato parecía amenazar su reinado. Los portátiles aún no eran ni tan livianos ni tan…portátiles. Los teléfonos inteligentes empezaron a asomarse con timidez en aquellos tiempos. Sin embargo,

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 77 de Estudios Previos – Procesos Públicos De Selección 101 se encontraban plagados de limitaciones y eran preferidos en los entornos corporativos. Las conexiones a Internet móvil no ofrecían una experiencia óptima. Dentro del componente de producción de servicios TIC, se encuentran los servicios y redes de telecomunicaciones, como: servicios de telefonía fija, móvil, transmisión de datos, internet, correos y postales, radio y televisión, entre otros. Así mismo, se encuentra la industria de software que hace referencia a licencias, sistemas informáticos, paquetes de software de aplicaciones. Los servicios de consultoría en TI (tecnología e información) se refieren a los servicios de gestión de procesos empresariales, soporte, diseño y desarrollo de TI para aplicaciones, servicios de alojamiento (hosting), entre otros. Otra de las categorías de servicios TIC es leasing o servicios de arrendamiento de equipos, como arrendamiento sin opción de compra de computadores u otros equipos de telecomunicaciones, televisores, radios, grabadoras. Por último, se evidencian otros servicios TIC que hacen referencia a servicios de ingeniería para proyectos de telecomunicaciones, radiodifusión, mantenimiento y reparación de computadores o equipos periféricos. En conclusión los servicios TIC son el resultado de las soluciones a necesidades que evidencia la economía para usos específicos de las redes de telecomunicaciones y los bienes TIC. El subsector que enmarca el presente proceso es Software y Servicios Informáticos (SSI), es un segmento de lo que actualmente se conoce como “Tecnologías de la Información y Comunicaciones” (TICs), este sector se comprende en la producción de:  Hardware (PCs, mainframes, minicomputadoras, workstations, impresoras, etc  Software “empaquetado” o producto;  Servicios informáticos (incluyen tanto los servicios profesionales vinculados a instalación, mantenimiento, desarrollo, integración, etc. de software, como los de soporte técnico de hardware).

Las empresas de SSI se pueden dividir en tres grupos: 1. El primero está compuesto por firmas multinacionales, usualmente grandes empresas. Éstas se dedican en gran medida a brindar servicios de comercialización de productos que se desarrollan en las casas matrices y en algunos casos a la provisión de servicios informáticos mediante outsourcing. 2. El segundo grupo se constituye por un conjunto de empresas nacionales de tamaño mediano, que se dedican en gran medida a la provisión de servicios informáticos. 3. Por último, el tercer grupo se compone de empresas pequeñas, las cuales no presentan un elevado grado de especialización: se dedican a una amplia gama de actividades que abarcan desde la provisión de servicios informáticos de diversa índole hasta el desarrollo de videojuegos para celulares. Las actividades que desarrollan las empresas del Sector de Software y Servicios Informáticos (SSI) son:  Desarrollo de Software a Medida  Otros Servicios Relacionados  Soporte y Asistencia de Productos de Software  Desarrollo de Productos de Software  Servicios Funcionales y Provisión de Contenidos a Terceros  Implementación y puesta a punto Productos de Software  Servicios Informáticos de Valor Agregado  Actualización de Productos de Software  Desarrollo de Software Embebido en Equipos Electrónicos

Las tecnologías de la información (TI) son de suma importancia para cualquier compañía, sea para divulgar su portafolio, administrar sus datos o para conectar su organización a nivel nacional o internacional. Es en este contexto, en que las empresas de servicios informáticos las principales usuarias de las TI para brindar soluciones operativas a empresas de los sectores de las manufacturas, transporte, comercio, servicios financieros y servicios comunales. Los retos de este sector, son dominar nuevas tecnologías y adaptarlas al entorno empresarial y desarrollar alternativas que para las empresas del exterior sea atractivo.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 78 de Estudios Previos – Procesos Públicos De Selección 101

El Subsector de Software y Servicios Informáticos se encuentra clasificado por el DANE como DESARROLLO DE SISTEMAS INFORMÁTICOS Y PROCESAMIENTO DE DATOS.

Teniendo en cuenta que el presente proceso se desarrolla en el sector económico de servicios, según el más reciente boletín técnico en la ENCUESTA MENSUAL DE SERVICIO (EMS), emitido por el DANE el 31 de Mayo de 2019, donde se evidencia que, trece de los quince subsectores de servicios presentaron variación positiva en los ingresos totales, en comparación con Mayo de 2018. En cuanto a los servicios de Desarrollo de sistemas informáticos y procesamiento de datos, registraron un crecimiento de 17,3% en los ingresos nominales. Por su parte, el personal ocupado total presentó un crecimiento de 11,5%, en comparación con mayo de 2018

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 79 de Estudios Previos – Procesos Públicos De Selección 101

La variación de 17,3% en los ingresos totales, se explica por el incremento de 22,2% de los ingresos por servicios, de 25,2% de la reducción en la venta de mercancías y de -9.7% de otros ingresos operacionales, en comparación con mayo de 2018.

La variación de 11,5% en el personal ocupado total, se explica por el incremento de 1,2% en el personal permanente y de 6,5% en el personal temporal directo: Por su parte, el personal contratado a través agencias registró un incremento de 54,1%, en comparación con mayo de 2018.

 INDICE DE PRECIO AL CONSUMIDOR

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 80 de Estudios Previos – Procesos Públicos De Selección 101

En el mes de Julio, el IPC fue de 0.22%, presentando una variación en comparación con el IPC del mes de Julio de 2018. El IPC año corrido 2019 en el mes de Julio fue de 2.94%

Se ubicaron por encima del promedio nacional (0,22%):  Alimentos y bebidas no alcohólicas (0,66%),  Recreación y cultura (0,51%),  Información y comunicación (0,33%),  Transporte (0,28%). Por debajo se ubicaron:  Alojamiento, agua, electricidad, gas y otros combustibles (0,17%),  Salud (0,15%),  Muebles, artículos para el hogar y para la conservación ordinaria del hogar (0,05%),  Bienes y servicios diversos (0,01%),  Educación (0,00%),  Bebidas alcohólicas y tabaco (-0,01%),  Restaurantes y hoteles (-0,05%) y por último,  Prendas de vestir y calzado (-0,23%).

Los mayores aportes a la variación mensual del IPC (0,22%), se ubicaron en las divisiones de: Alimentos y bebidas no alcohólicas, Alojamiento, agua, electricidad, gas y otros combustibles y Transporte, las cuales aportaron 0,20 puntos porcentuales a la variación total

ASPECTO REGULATORIO El Ministerio del Deporte, regido por la Resolución de delegación No. 4519 de mayo 27 de 2016, del, a través de su ordenador de gasto, tiene capacidad jurídica para ser sujeto de derechos y obligaciones y hacerlos exigibles dentro del proceso, así como la capacidad económica para prestar estos servicios, en consecuencia y conforme al objeto del presente proceso, se determinó que:  El MINISTERIO DEL DEPORTE cuenta con la capacidad jurídica para adquirir estos servicios y así mismo está en capacidad de contraer derechos y obligaciones y hacerlos exigibles dentro del proceso.  El objeto contractual está permitido comercialmente y es regulado por el Código de Comercio, teniendo en cuenta que para adquirir los servicios a contratar no se establecen características especiales tendientes al cumplimiento del objeto del presente proceso de selección, los mismos se encuentran en el mercado regulado por las normas de comercio colombiano.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 81 de Estudios Previos – Procesos Públicos De Selección 101

 El mismo legalmente es viable, ya que sustenta el desarrollo del proceso contractual, es de carácter lícito en atención a lo normado en los artículos 1518 y 1519 del Código Civil, y la normatividad contractual, no contraviene normas de carácter público, contribuye a la aplicación del principio de transparencia, establecido en el artículo 24 de la Ley 80 de 1993; con la ley 1150 de 2007 y decreto 1082 de 2015 en el mantenimiento de equipos de cómputo, como lo son el hardware y software, el mantenimiento y soporte, monitoreo y gestión a todo costo de sistemas y equipos que integran parte de la plataforma informática del Ministerio y que conjuntamente con otros dispositivos hacen posible la comunicación porque intervienen activamente en este proceso. De esta forma se podrá garantizar la disponibilidad de servicios informáticos como él correo electrónico, Internet, Intranet, SIATH, SICOE, SIGE, SIIF, SAP, comunicaciones unificadas, aplicaciones de oficina, recursos compartidos, copias de seguridad, los cuales son necesarios para contribuir con el cumplimiento de los procesos estratégicos, misionales, de apoyo y de evaluación del Ministerio  En la actualidad el mercado está compuesto por empresas nacionales y extranjeras, se requiere que los proveedores de estos servicios enmarquen su actividad u objeto social a la reglamentación propia del sector de TICS, así como deben estar sujetas a la legislación vigente en Colombia para su funcionamiento y operatividad. Ahora bien, teniendo en cuenta lo contenido en el Artículo 2.2.1.1.1.6.1 del Decreto 1082 de 2015 el cual a su tenor literal reza: “Artículo 2.2.1.1.1.6.1. Deber de análisis de las Entidades Estatales. La Entidad Estatal debe hacer, durante la etapa de planeación, el análisis necesario para conocer el sector relativo al objeto del Proceso de Contratación desde la perspectiva legal, comercial, financiera, organizacional, técnica, y de análisis de Riesgo. La Entidad Estatal debe dejar constancia de este análisis en los Documentos del Proceso.”, se pone de manifiesto que:  La modalidad de selección dentro del proceso en curso es la de mayor cuantía, esta modalidad permite, por las características especiales de servicios a contratar, que se lleve a cabo un proceso de selección más corto a la licitación pública. Esta modalidad es usada para:

o Adquisición de bienes y servicios de características técnicas uniformes y de común utilización, lo que significa que se trata de bienes y servicios que cumplen con características de desempeño y calidad objetivas. o Contrataciones de menor cuantía. La cuantía se determina de acuerdo con el presupuesto de las entidades. o Prestación de servicios de salud, sin perjuicio de lo establecido en la Ley 100 de 1993. o Cuando una licitación pública haya sido declarada desierta. o Enajenación de bienes del Estado, con excepción de enajenación de acciones, cuotas de interés o bonos convertibles en acciones de entidades públicas, lo cual se encuentra regulado por la Ley 226 de 1995. o Productos de origen o destinación agropecuarios. o Actos o contratos que tengan por objeto directo las actividades propias de las empresas industriales y comerciales del Estado y de sociedades de economía mixta, con excepción a contratos de (i) obra pública, (ii) consultoría, (iii) prestación de servicios, (iv) concesión, y (v) encargos fiduciarios y fiducia pública. o Contratos de las entidades cuyo objeto sea la reinserción, desmovilización, protección de personas amenazadas, atención a desplazados y en general protección que se encuentren en alto grado de vulnerabilidad. o Bienes y servicios para la defensa y seguridad nacional. o Se exceptúan de esta modalidad de contratación, las obras públicas y los servicios intelectuales.  En Colombia las normas reglamentarias nacionales versan sobre las redes, sistemas y servicios de telecomunicaciones, más no sobre las tecnologías o su mantenimiento, las cuales en sí mismas son neutrales y pueden ser aptas para la configuración de las redes y la prestación de los servicios de telecomunicaciones. Colombia mantiene una política de neutralidad tecnológica, donde la regulación es independiente de la tecnología de acuerdo a lo establecido en la ley 1341 de 2009, que regula todo lo relacionado con las Tecnologías de la Información y las Comunicaciones (TIC).

 De otra parte, en lo que atañe específicamente al sector de las Tecnologías de la Información y las Comunicaciones (TIC), la Ley 1341 de 2009, define el marco general para la formulación de las políticas públicas que regirán dicho sector, en su artículo 2 establece que la investigación, el fomento, la promoción y el desarrollo de las TIC son una política de Estado que involucra a todos los sectores y niveles de la administración pública y de la sociedad, a fin de

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 82 de Estudios Previos – Procesos Públicos De Selección 101

contribuir al desarrollo educativo, cultural, económico, social y político e incrementar la productividad, la competitividad, el respeto a los Derechos Humanos inherentes y la inclusión social. Asimismo, la Ley 1341 al listar en su artículo 4 las facultades de intervención del Gobierno en el sector TIC, para incentivar y promover el desarrollo de la industria de tecnologías de la información y las comunicaciones y contribuir al crecimiento económico, la competitividad, la generación de empleo y las exportaciones.

 Al regular el Fondo de Tecnologías de la Información y las Comunicaciones, la Ley 1341 establece como función primordial del Fondo la de financiar los planes, programas y proyectos para facilitar acceso de todos los habitantes del territorio nacional a las TIC, para lo cual, entre otras actividades se le autoriza a financiar planes, programas y proyectos para promover la investigación, el desarrollo y la innovación de las Tecnologías de Información y las Comunicaciones dando prioridad al desarrollo de contenidos.

 Las normas atrás mencionadas constituyen el marco legal, para que a través de mecanismos asociativos o de administración por colaboración se pueda cumplir la función estatal de fomentar y apoyar la ciencia, la tecnología y la innovación.

 De esta manera se viene desarrollando el avance legislativo con relación a las tecnologías de la información y las comunicaciones y la intervención del estado con el fin de garantizar una libre leal competencia que incentiven la inversión actual y futura en el sector de las TIC y que permitan la concurrencia al mercado, con observancia del régimen de competencia, bajo precios de mercado y en condiciones de igualdad.

 La Constitución Política de Colombia de 1991, y la Legislación Ambiental busca la protección y conservación del Medio Ambiente preservando de los Recursos Naturales. El desarrollo de este aspecto se presenta según la jerarquización de la normatividad vigente en nuestro País

 Como el servicio a adquirir no genera ningún impacto ambiental ni se agota ningún recurso natural, para el presente proceso no se hace necesario el requerimiento de requisitos contemplados en las normas ambientales

 El Decreto – Ley 019 de 2012, establece en el artículo 4º que las autoridades deben incentivar el uso de las tecnologías de la información y las comunicaciones a efectos de que los procesos administrativos se adelanten con diligencia, dentro de los términos legales y sin dilaciones injustificadas, es por ello que el desarrollo del proceso contractual estaría acorde con las normas orientadas a fortalecer los mecanismos de prevención y la efectividad del control de la gestión pública que establece Ley 1474 de 2011.

 Igualmente, al presente proceso le es aplicable el previsto en el Estatuto General de Contratación de la Administración Pública (Ley 80 de 1993 y Ley 1150 de 2007), sus decretos reglamentarios, especialmente el Decreto 1082 de 2015, las leyes Civiles y Comerciales y demás normas que adicionen, complementen o regulen la materia; así como la Ley 1474 del 12 de julio de 2011 y el Decreto 19 de 2012, tanto a las etapas contractuales, como a la selección del contratista.

 Con base en el análisis económico, se pone de manifiesto que los servicios a adquirir a través del proceso en curso, son ofertados en condiciones relativamente uniformes en el mercado; así mismo, las especificaciones técnicas cuentan con estándares que aseguran la existencia de pluralidad de oferentes, factores que implican y conllevan a que la futura contratación podrá ser ejecutada tanto por personas naturales debidamente inscritas en el registro mercantil y que acrediten con su idoneidad en el desarrollo del objeto contractual, como por personas jurídicas sin necesidad de requerir Registro Único de Proponentes, por cuanto la ley expresamente lo exceptúa en razón a la cuantía del proceso.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 83 de Estudios Previos – Procesos Públicos De Selección 101

 Por otro lado, se busca establecer que los oferentes demuestren el cumplimiento del pago de aportes parafiscales en los términos del Art. 50 de la Ley 789 de 2002 y la inexistencia de causales de inhabilidad o incompatibilidad legal para contratar con el Estado. Cabe resaltar y aclarar que lo anteriormente enunciado se verificará, sin que ello implique que los proponentes se abstengan de demostrarlo, únicamente sobre el proponente que oferte el menor precio en los términos del Decreto 1082 de 26 de mayo de 2015.

 Se especifica que los servicios objeto del proceso podrán ser ofertados por empresas, lo que tiene relación e incidencia directa en materia tributaria, razón por la cual, este aspecto será objeto de revisión económica. Así mismo, dichas empresas deben cumplir con la normatividad vigente sobre normas comerciales destinadas al sector. El oferente adjudicatario y el contratante tiene la obligatoriedad de implementar la ejecución de un Sistmema de Gestión de Seguridad y Salud en el Trabajo SG –SST preceptuado en el Decreto 1072 de 2015 el cual señala en su artículo 2.2.4.6.4. Sistema de gestión de la seguridad y salud en el trabajo (SG-SST). El Sistema de Gestión de la Seguridad y Salud en el Trabajo (SG-SST) consiste en el desarrollo de un proceso lógico y por etapas, basado en la mejora continua y que incluye la política, la organización, la planificación, la aplicación, la evaluación, la auditoría y las acciones de mejora con el objetivo de anticipar, reconocer, evaluar y controlar los riesgos que puedan afectar la seguridad y la salud en el trabajo. Se trata de un contratista independiente al que se contrata para la ejecución de servicios en beneficios de terceros es decir a favor del ejército nacional, por un precio determinado, asumiendo todos los riesgos, para realizarlos con sus propios medios y con libertad y autonomía técnica y directiva. En conclusión, se indica que al presente proceso de contratación, entre otras, le será aplicable lo normado en la Ley 80 de 1993, Ley 1150 de 2007, Ley 1474 de 2011, Decreto 019 de 2011 y el Decreto 1082 de 2015, los cuales, para todos los efectos legales hacen parte de los presentes estudios previos, de la invitación a participar y de la comunicación de aceptación de oferta al proponente a quien se adjudique la misma y demás normas concordantes; específicamente en lo que se refiere a los estudios previos y procedimiento para la contratación de mínima cuantía estipulados en el Decreto 1082 de 2015 Capítulo 2 Sección 1 Subsección 5.

2. ESTUDIO DE LA OFERTA ¿QUIÉN VENDE? Una vez consultada la base de datos del PIE (Portal de Información Empresarial), donde se registra la información contable mediante Normas Internacionales de Información Financiera NIIF, para las empresas Plenas (Grupo 1), Pymes (Grupo 2) y, teniendo en cuenta los codigos de las actividades del presente proceso objeto de estudio:, 4652 “Comercio al por mayor de equipo, partes y piezas electrónicos y de telecomunicaciones”, 4651 “Comercio al por mayor de computadores, equipo periférico y programas de informática”, 4741 “Comercio al por menor de computadores, equipos periféricos”, 6202 “Actividades de consultoría informática y actividades de administración de instalaciones informáticas”, 9511 “Mantenimiento y reparación de computadores y de equipo periférico”. Se registraron (184) empresas a nivel nacional que pueden llegar a satisfacer la necesidad del presente proceso.

Nit Razón social de la CIIU Ciudad de la sociedad dirección del domicilio G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 860353110 MAICROTEL SAS establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de TEMENOS COLOMBIA administración de instalaciones BOGOTA-D.C.- 900318175 SAS informáticas BOGOTA D.C. G4741 - Comercio al por menor de ZESU TECNOLOGIA computadores, equipos periféricos, CARTAGENA- 806009752 S.A programas de informática y BOLIVAR

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 84 de Estudios Previos – Procesos Públicos De Selección 101

equipos de telecomunicaciones en establecimientos especializados G4652 - Comercio al por mayor de equipo, partes y piezas electrónicos y de BOGOTA-D.C.- 800151127 BELLTEC SAS telecomunicaciones BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y PROCALCULO PROSIS equipos de telecomunicaciones en BOGOTA-D.C.- 860034714 S A establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de FIRENDLY administración de instalaciones BOGOTA-D.C.- 900508203 TECHNOLOGIES LTDA informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y COMUNICACIONES equipos de telecomunicaciones en BARRANQUILLA- 802021201 MOVILES CONMOVIL SA establecimientos especializados ATLANTICO INNOVACION Y DESARROLLO DE J6202 - Actividades de consultoría NUEVOS CANALES informática y actividades de COMERCIALES DE administración de instalaciones BOGOTA-D.C.- 900563909 COLOMBIA SAS informáticas BOGOTA D.C. G4652 - Comercio al por mayor de COL equipo, partes y piezas COMERCIALIZADORA electrónicos y de MEDELLIN- 900181801 S.A.S telecomunicaciones ANTIOQUIA J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 800040620 HG & CIA S A S informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de FISERV COLOMBIA administración de instalaciones BOGOTA-D.C.- 830094425 LIMITADA informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones USAQUEN- 860353611 COMPUCOM S.A.S. informáticas BOGOTA D.C. G4651 - Comercio al por mayor de REDCOMPUTO computadores, equipo periférico y BOGOTA-D.C.- 830016004 LIMITADA programas de informática BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y MES DE OCCIDENTE equipos de telecomunicaciones en 800189839 SAS establecimientos especializados CALI-VALLE G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 860529301 CIBERGENIUS SAS programas de informática BOGOTA D.C. G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 860515402 LEXCO S.A. programas de informática BOGOTA D.C.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 85 de Estudios Previos – Procesos Públicos De Selección 101

G4652 - Comercio al por mayor de equipo, partes y piezas LATINOAMERICANA electrónicos y de MEDELLIN- 811017576 TCA SAS telecomunicaciones ANTIOQUIA G4652 - Comercio al por mayor de equipo, partes y piezas LOGICALIS COLOMBIA electrónicos y de BOGOTA-D.C.- 900365105 S.A.S telecomunicaciones BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y EVOLUCION equipos de telecomunicaciones en BUCARAMANGA- 900339610 MAYORISTA SAS establecimientos especializados SANTANDER G4652 - Comercio al por mayor de equipo, partes y piezas ROBOTEC COLOMBIA electrónicos y de SUBA-BOGOTA 800060313 SAS telecomunicaciones D.C. SUMINISTROS G4652 - Comercio al por mayor de ELECTRICOS E equipo, partes y piezas INDUSTRIALES electrónicos y de PEREIRA- 891412809 SUMILEC SA telecomunicaciones RISARALDA J6202 - Actividades de consultoría informática y actividades de IN MOTION COLOMBIA administración de instalaciones BOGOTA-D.C.- 900262503 SAS informáticas BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas CORIANT COLOMBIA electrónicos y de BOGOTA-D.C.- 900636608 SAS telecomunicaciones BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de CERCA TECHNOLOGY administración de instalaciones BOGOTA-D.C.- 830087915 S.A.S. informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900169608 NEORIS COLOMBIA SAS informáticas BOGOTA D.C. G4652 - Comercio al por mayor de MATERIALES equipo, partes y piezas ELECTRICOS Y electrónicos y de BOGOTA-D.C.- 860030723 MECANICOS SAS telecomunicaciones BOGOTA D.C. REDES DE G4652 - Comercio al por mayor de COMUNICACION Y equipo, partes y piezas SISTEMAS NETCOM electrónicos y de BOGOTA-D.C.- 800157616 SAS telecomunicaciones BOGOTA D.C. G4651 - Comercio al por mayor de XOREX DE COLOMBIA computadores, equipo periférico y BOGOTA-D.C.- 830026811 SAS programas de informática BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas NETDATA COLOMBIA electrónicos y de BOGOTA-D.C.- 900590424 SAS telecomunicaciones BOGOTA D.C. G4652 - Comercio al por mayor de 900434009 MACROTICS S.A.S equipo, partes y piezas CALI-VALLE

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 86 de Estudios Previos – Procesos Públicos De Selección 101

electrónicos y de telecomunicaciones G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 830132614 CEL UNION LTDA establecimientos especializados BOGOTA D.C. S9511 - Mantenimiento y SELCOMP INGENIERIA reparación de computadores y de BOGOTA-D.C.- 800071819 SAS equipo periférico BOGOTA D.C. OFICINA DE J6202 - Actividades de consultoría COOPERACION informática y actividades de UNIVERSITARIA administración de instalaciones BOGOTA-D.C.- 830081918 COLOMBIA SAS informáticas BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas MELTEC DE ORIENTE electrónicos y de DUITAMA- 826001016 SAS telecomunicaciones BOYACA G4741 - Comercio al por menor de computadores, equipos periféricos, SOLUCIONES programas de informática y TECNOLOGIA Y equipos de telecomunicaciones en BOGOTA-D.C.- 830505521 SERVICIOS SA establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900444717 CONEXIA SAS informáticas BOGOTA D.C. TECNOLOGIA G4651 - Comercio al por mayor de INFORMATICA TECINF computadores, equipo periférico y BOGOTA-D.C.- 800098622 SAS programas de informática BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900725637 NOAEXPORT SAS informáticas BOGOTA D.C. G4652 - Comercio al por mayor de VELOCITY equipo, partes y piezas ELECTRONICS electrónicos y de 900803419 COLOMBIA SAS telecomunicaciones CALI-VALLE J6202 - Actividades de consultoría informática y actividades de HEON HEALTH ON LINE administración de instalaciones BOGOTA-D.C.- 830117028 S.A. informáticas BOGOTA D.C. PROFESIONALES EN J6202 - Actividades de consultoría TRANSACCIONES informática y actividades de ELECTRONICAS S.A.- administración de instalaciones USAQUEN- 830096620 PTESA informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y ZURICH DE OCCIDENTE equipos de telecomunicaciones en BOGOTA-D.C.- 800087219 SA establecimientos especializados BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, BOGOTA-D.C.- 830053932 TELEPLUS LTDA programas de informática y BOGOTA D.C.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 87 de Estudios Previos – Procesos Públicos De Selección 101

equipos de telecomunicaciones en establecimientos especializados G4741 - Comercio al por menor de computadores, equipos periféricos, INGENIERIA ASISTIDA programas de informática y POR COMPUTADOR equipos de telecomunicaciones en MEDELLIN- 811004721 SAS establecimientos especializados ANTIOQUIA G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 890317923 ASI S.A.S programas de informática BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900333123 MARCO COLOMBIA SAS informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de SERBAN COLOMBIA administración de instalaciones BOGOTA-D.C.- 900790539 SAS informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 800027927 LineaDataScan S.A establecimientos especializados BOGOTA D.C. G4651 - Comercio al por mayor de NEOSECURE computadores, equipo periférico y BOGOTA-D.C.- 900374230 COLOMBIA SAS programas de informática BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y AVCOM COLOMBIA S A equipos de telecomunicaciones en BOGOTA-D.C.- 900404233 S establecimientos especializados BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y MORENO Y CAÑIZARES equipos de telecomunicaciones en BOGOTA-D.C.- 900208126 & CIA SAS establecimientos especializados BOGOTA D.C. COMPAÑÍA J6202 - Actividades de consultoría LATINOAMERICANA DE informática y actividades de APLICACIONES administración de instalaciones BOGOTA-D.C.- 800198975 INFORMATICAS SAS informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 830067633 CIBERC SA establecimientos especializados BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas electrónicos y de ENGATIVA- 800077715 BALUM S.A. telecomunicaciones BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas electrónicos y de BOGOTA-D.C.- 860402718 AGM BUSINESS LTDA telecomunicaciones BOGOTA D.C. FIRST DATA COLOMBIA J6202 - Actividades de consultoría BOGOTA-D.C.- 900236830 LTDA informática y actividades de BOGOTA D.C.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 88 de Estudios Previos – Procesos Públicos De Selección 101

administración de instalaciones informáticas G4652 - Comercio al por mayor de equipo, partes y piezas IKUSI REDES electrónicos y de USAQUEN- 830073329 COLOMBIA SAS telecomunicaciones BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y COMUNICACION MOVIL equipos de telecomunicaciones en FUNZA- 832010927 SA establecimientos especializados CUNDINAMARCA J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 830080928 ITIS SUPPORT LTDA informáticas BOGOTA D.C. G4651 - Comercio al por mayor de computadores, equipo periférico y TEUSAQUILLO- 830024826 I3NET SAS programas de informática BOGOTA D.C. G4651 - Comercio al por mayor de ZEBRA TECHNOLOGIES computadores, equipo periférico y BOGOTA-D.C.- 900516335 COLOMBIA SAS programas de informática BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 860090919 SAYME SAS establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de CONSULTORIA administración de instalaciones BOGOTA-D.C.- 830079434 ORGANIZACIONAL SAS informáticas BOGOTA D.C. G4741 - Comercio al por menor de SUCOMPUTO SAS computadores, equipos periféricos, SUCOMPUTO programas de informática y INFRAESTRUCTURA equipos de telecomunicaciones en BOGOTA-D.C.- 800079939 TECNOLOGICA SAS establecimientos especializados BOGOTA D.C. G4651 - Comercio al por mayor de QUALIPRINT COLOMBIA computadores, equipo periférico y BOGOTA-D.C.- 900643833 SAS programas de informática BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, PROYECTOS programas de informática y TECNOLOGICOS equipos de telecomunicaciones en BOGOTA-D.C.- 900136031 INTEGRALES LIMITADA establecimientos especializados BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 900668336 OFICOMCO SAS establecimientos especializados BOGOTA D.C. G4651 - Comercio al por mayor de computadores, equipo periférico y MEDELLIN- 811000242 C&S TECNOLOGIA SA programas de informática ANTIOQUIA G4741 - Comercio al por menor de computadores, equipos periféricos, CARTAGENA- 806015647 COMPULAGOS SAS programas de informática y BOLIVAR

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 89 de Estudios Previos – Procesos Públicos De Selección 101

equipos de telecomunicaciones en establecimientos especializados G4652 - Comercio al por mayor de RAYCO LTDA RODRIGO equipo, partes y piezas ARISTIZABAL Y CIA electrónicos y de BOGOTA-D.C.- 860400538 LTDA telecomunicaciones BOGOTA D.C. G4651 - Comercio al por mayor de SOFBANG BOGOTA computadores, equipo periférico y BOGOTA-D.C.- 900408332 COLOMBIA programas de informática BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones MEDELLIN- 800134634 INTERLAN SAS informáticas ANTIOQUIA G4651 - Comercio al por mayor de GAMMA INGENIEROS computadores, equipo periférico y BOGOTA-D.C.- 891501783 SAS programas de informática BOGOTA D.C. J6202 - Actividades de consultoría COGNOSONLINE informática y actividades de SOLUTIONS COLOMBIA administración de instalaciones BOGOTA-D.C.- 830074045 SA informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900440441 SEIDOR COLOMBIA SAS informáticas BOGOTA D.C. G4651 - Comercio al por mayor de SOFTWEB ASESORES computadores, equipo periférico y CHAPINERO- 830046657 S.A.S. programas de informática BOGOTA D.C. G4741 - Comercio al por menor de VALUE ADDED computadores, equipos periféricos, INFORMATION programas de informática y TECHNOLOGIES equipos de telecomunicaciones en USAQUEN- 900040754 SOLUTIONS SAS establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría THE BEST informática y actividades de EXPERIENCIE IN administración de instalaciones CHAPINERO- 900237844 TECHNOLOGY SA informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y SISTEMAS Y equipos de telecomunicaciones en BOGOTA-D.C.- 830058072 ACCESORIOS SAS establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de ADP CONSULTORES administración de instalaciones USAQUEN- 900293650 S.A.S. informáticas BOGOTA D.C. RESERCO S9511 - Mantenimiento y INTERNATIONAL reparación de computadores y de BOGOTA-D.C.- 900759950 SERVICES IT SAS equipo periférico BOGOTA D.C. SOLUCIONES LATINAS J6202 - Actividades de consultoría ADMINISTRATIVAS informática y actividades de INTEGRALES SOLATI administración de instalaciones BOGOTA-D.C.- 830064639 SAS informáticas BOGOTA D.C. PROTOKOL GRUPO G4741 - Comercio al por menor de COLOMBIA EN computadores, equipos periféricos, BOGOTA-D.C.- 900407241 LIQUIDACIÓN programas de informática y BOGOTA D.C.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 90 de Estudios Previos – Procesos Públicos De Selección 101

equipos de telecomunicaciones en establecimientos especializados J6202 - Actividades de consultoría informática y actividades de administración de instalaciones 805025345 SIMITOCCIDENTE SA informáticas CALI-VALLE J6202 - Actividades de consultoría informática y actividades de PANORAMA administración de instalaciones BOGOTA-D.C.- 900615641 TECHNOLOGIES S.A.S. informáticas BOGOTA D.C. G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 900423843 TASNET SAS programas de informática BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, COMUNICACIONES programas de informática y GLOBALES COLOMBIA equipos de telecomunicaciones en BOGOTA-D.C.- 830116450 S.A. establecimientos especializados BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas TEAM electrónicos y de MEDELLIN- 900206408 COMMUNICATIONS S.A telecomunicaciones ANTIOQUIA J6202 - Actividades de consultoría informática y actividades de PROCEDATA administración de instalaciones BOGOTA-D.C.- 800243347 INTERNACIONAL S.A.S. informáticas BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas electrónicos y de BOGOTA-D.C.- 900315448 MOVILCO SAS telecomunicaciones BOGOTA D.C. SISTEMAS INTEGRALES S9511 - Mantenimiento y DE INFORMATICA SA reparación de computadores y de BOGOTA-D.C.- 890329946 SISA SA equipo periférico BOGOTA D.C. INTERNATIONAL G4651 - Comercio al por mayor de TECNOLOGY computadores, equipo periférico y BOGOTA-D.C.- 830088250 SYSTEMAS SAS programas de informática BOGOTA D.C. G4651 - Comercio al por mayor de MSL DISTRIBUCIONES computadores, equipo periférico y BOGOTA-D.C.- 830031855 & CIA SAS programas de informática BOGOTA D.C. J6202 - Actividades de consultoría TCS SOLUTION informática y actividades de CENTER SUCURSAL administración de instalaciones BOGOTA-D.C.- 900103457 COLOMBIA informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y ANDEANTRADE GROUP equipos de telecomunicaciones en BOGOTA-D.C.- 900466147 LATAM SAS establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de EPICOR SOFTWARE administración de instalaciones BOGOTA-D.C.- 900405147 COLOMBIA SAS informáticas BOGOTA D.C. Green Services and J6202 - Actividades de consultoría MEDELLIN- 900571849 Solutions S.A.S. informática y actividades de ANTIOQUIA

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 91 de Estudios Previos – Procesos Públicos De Selección 101

administración de instalaciones informáticas J6202 - Actividades de consultoría EYS SOLUCIONES informática y actividades de EMPRESARIALES IT administración de instalaciones BOGOTA-D.C.- 830102659 SAS informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones 900052363 NET GROUP SA informáticas CALI-VALLE SERVICE MANAGEMENT S9511 - Mantenimiento y SOLUTIONS COLOMBIA reparación de computadores y de MOSQUERA- 900457657 S.A.S. equipo periférico CUNDINAMARCA G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 900025740 MICROHOME LTDA programas de informática BOGOTA D.C. G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 830141960 JAAM SA programas de informática BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas PUNTOS Y MECADOS electrónicos y de BOGOTA-D.C.- 800055554 SAS telecomunicaciones BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas electrónicos y de BOGOTA-D.C.- 830045053 CABLE SERVICIOS SA telecomunicaciones BOGOTA D.C. J6202 - Actividades de consultoría SOFTLINE informática y actividades de INTERNATIONAL DE administración de instalaciones BOGOTA-D.C.- 900389156 COLOMBIA S.A.S. informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900409754 IKONOSOFT SAS informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900189962 META 4 ANDINA LTDA informáticas BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas GEOVISION DE electrónicos y de BOGOTA-D.C.- 830069756 COLOMBIA SAS telecomunicaciones BOGOTA D.C. G4651 - Comercio al por mayor de MINDRAY MEDICAL computadores, equipo periférico y BOGOTA-D.C.- 900383361 COLOMBIA SAS programas de informática BOGOTA D.C. COMPUTADORES Y G4651 - Comercio al por mayor de SOLUCIONES CAD DE computadores, equipo periférico y BOGOTA-D.C.- 830014490 COLOMBIA S.A.S. programas de informática BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y INGENICO COLOMBIA equipos de telecomunicaciones en BOGOTA-D.C.- 900064857 LTDA establecimientos especializados BOGOTA D.C.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 92 de Estudios Previos – Procesos Públicos De Selección 101

G4741 - Comercio al por menor de computadores, equipos periféricos, INVERSER LTDA programas de informática y INVERSIONES Y equipos de telecomunicaciones en FUNZA- 830033765 SERVICIOS establecimientos especializados CUNDINAMARCA J6202 - Actividades de consultoría UN&ON SOLUCIONES informática y actividades de SISTEMAS DE administración de instalaciones SUBA-BOGOTA 800233464 INFORMACION S.A.S informáticas D.C. G4651 - Comercio al por mayor de tecnoprocesos sas en computadores, equipo periférico y SANTA-FE- 900273006 reorganizacion programas de informática BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y PROMOTORA DE equipos de telecomunicaciones en 820005443 COMUNCIACIONES SAS establecimientos especializados TUNJA-BOYACA J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 830136065 PROCESSA SAS informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de QUIMBAYA AERIAL administración de instalaciones BOGOTA-D.C.- 830029560 SERVICES SAS informáticas BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas electrónicos y de BOGOTA-D.C.- 830051511 MULTICONTROL LTDA telecomunicaciones BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 830122983 ESRI COLOMBIA S A S informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de ARANDA SOFTWARE administración de instalaciones SUBA-BOGOTA 830099766 ANDINA S.A.S. informáticas D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, BONNCEL programas de informática y DISTRIBUCIONES Y equipos de telecomunicaciones en BOGOTA-D.C.- 830094770 MERCADEO SAS establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de INCLUSION administración de instalaciones BOGOTA-D.C.- 900727268 CONSULTING S.A.S informáticas BOGOTA D.C. J6202 - Actividades de consultoría SOLUCIONES informática y actividades de INTEGRALES DE administración de instalaciones 800157786 OFICINA SAS informáticas CALI-VALLE J6202 - Actividades de consultoría informática y actividades de VSI GLOBAL administración de instalaciones BARRANQUILLA- 900334291 SOLUTIONS SAS informáticas ATLANTICO

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 93 de Estudios Previos – Procesos Públicos De Selección 101

J6202 - Actividades de consultoría COMPAÑIA informática y actividades de INTERNACIONAL DE administración de instalaciones BOGOTA-D.C.- 830056149 INTEGRACION SA informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 830044977 XSYSTEM LTDA establecimientos especializados BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y COMERCIALIZADORA equipos de telecomunicaciones en BARRANQUILLA- 802014311 EASY SAS establecimientos especializados ATLANTICO J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 830131674 HR SOLUTIONS SAS informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 811026190 CDM EQUIPOS S.A establecimientos especializados BOGOTA D.C. G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 900261768 Adistec Colombia S.A.S programas de informática BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas SECURITY VIDEO electrónicos y de BOGOTA-D.C.- 830005066 EQUIPMENT SAS telecomunicaciones BOGOTA D.C. S9511 - Mantenimiento y reparación de computadores y de BOGOTA-D.C.- 900148177 PEAR SOLUTIONS SAS equipo periférico BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900322971 BGH Colombia SAS informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BARRANQUILLA- 800060273 DISELCO S.A. establecimientos especializados ATLANTICO J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900255873 O4IT COLOMBIA SAS informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y OCEAN SUPPLY DEPOT equipos de telecomunicaciones en CHAPINERO- 830031583 LTDA establecimientos especializados BOGOTA D.C. S9511 - Mantenimiento y PUNTO DE SERVICIOS reparación de computadores y de BOGOTA-D.C.- 800160274 S.A equipo periférico BOGOTA D.C.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 94 de Estudios Previos – Procesos Públicos De Selección 101

G4652 - Comercio al por mayor de equipo, partes y piezas FURUKAWA COLOMBIA electrónicos y de BOGOTA-D.C.- 900631191 SAS telecomunicaciones BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BARRANQUILLA- 802014278 802014278 establecimientos especializados ATLANTICO G4651 - Comercio al por mayor de EXSIS SOFTWARE & computadores, equipo periférico y SUBA-BOGOTA 800245974 SOLUCIONES SAS programas de informática D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 830089581 A R C SOFTWARE S A S establecimientos especializados BOGOTA D.C. G4651 - Comercio al por mayor de DISTRICOM DE computadores, equipo periférico y PEREIRA- 816005590 COLOMBIA SAS programas de informática RISARALDA J6202 - Actividades de consultoría ETEK INTERNATIONAL informática y actividades de CORPORATION administración de instalaciones BOGOTA-D.C.- 830061576 SUCURSAL COLOMBIA informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de WINCOR NIXDORF SL administración de instalaciones BOGOTA-D.C.- 900376574 SUCURSAL COLOMBIA informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de ASESORIAS SERVICIOS administración de instalaciones BOGOTA-D.C.- 800067879 Y NEGOCIOS SAS informáticas BOGOTA D.C. G4651 - Comercio al por mayor de computadores, equipo periférico y CHAPINERO- 900451574 IUTUM COLOMBIA programas de informática BOGOTA D.C. G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 800177588 INFORMESE SAS programas de informática BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 900636479 INFOR COLOMBIA SAS establecimientos especializados BOGOTA D.C. DESARROLLO DE J6202 - Actividades de consultoría SOFTWARE E informática y actividades de INGENIERIA DE administración de instalaciones BOGOTA-D.C.- 800198031 SISTEMAS DESIS SAS informáticas BOGOTA D.C. S9511 - Mantenimiento y reparación de computadores y de BOGOTA-D.C.- 830007379 COMSISTELCO SAS equipo periférico BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de AMAZING COLOMBIA administración de instalaciones BOGOTA-D.C.- 860052578 SAS informáticas BOGOTA D.C.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 95 de Estudios Previos – Procesos Públicos De Selección 101

G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y DATUM INGENIERIA equipos de telecomunicaciones en BOGOTA-D.C.- 830136779 SAS establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de COSMO CONSULT administración de instalaciones CHAPINERO- 900673278 COLOMBIA SAS informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de COMSTOR COLOMBIA administración de instalaciones BOGOTA-D.C.- 900625784 SAS informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en MEDELLIN- 811022490 E-GLOBAL S.A establecimientos especializados ANTIOQUIA G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 800230829 SISTETRONICS LTDA programas de informática BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de ENTELGY COLOMBIA administración de instalaciones BOGOTA-D.C.- 900360482 SAS informáticas BOGOTA D.C. J6202 - Actividades de consultoría EVOLUTION informática y actividades de TECHNOLOGIES administración de instalaciones USAQUEN- 830147784 GROUP SAS informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de WIPRO TECHNOLOGIES administración de instalaciones BOGOTA-D.C.- 900355682 SUCURSAL COLOMBIA informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900157788 TDC COLOMBIA LTDA informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de administración de instalaciones BOGOTA-D.C.- 900554898 GIGA COLOMBIA SAS informáticas BOGOTA D.C. DISTRIBUIDORA DE G4651 - Comercio al por mayor de SOFTWARE Y computadores, equipo periférico y MEDELLIN- 900650486 MOVILIDAD S.A.S. programas de informática ANTIOQUIA J6202 - Actividades de consultoría informática y actividades de SINCOSOFT SINCO administración de instalaciones BOGOTA-D.C.- 830021894 COMUNICACIONES SAS informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de ALFA PEOPLE ANDINO administración de instalaciones TEUSAQUILLO- 830013988 SAS informáticas BOGOTA D.C. WALTER BRIDGE Y CIA G4652 - Comercio al por mayor de MEDELLIN- 800006911 SA equipo, partes y piezas ANTIOQUIA

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 96 de Estudios Previos – Procesos Públicos De Selección 101

electrónicos y de telecomunicaciones G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y MCAFEE COLOMBIA equipos de telecomunicaciones en BOGOTA-D.C.- 900234286 LTDA establecimientos especializados BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y QUADDRIX equipos de telecomunicaciones en CHAPINERO- 900052587 TECHNOLOGY SAS establecimientos especializados BOGOTA D.C. G4652 - Comercio al por mayor de OPENLINK SISTEMAS equipo, partes y piezas DE REDES DE DATOS electrónicos y de CHAPINERO- 900254691 SAS telecomunicaciones BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas TELCONSUR electrónicos y de BOGOTA-D.C.- 900612193 COLOMBIA SAS telecomunicaciones BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas DIESEL TRACTOMULAS electrónicos y de BOGOTA-D.C.- 830084499 LIMITADA telecomunicaciones BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de ALERT LOGIC INC administración de instalaciones BOGOTA-D.C.- 900666093 COLOMBIA SAS informáticas BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de SISTRAN COLOMBIA administración de instalaciones BOGOTA-D.C.- 830047891 S.A. informáticas BOGOTA D.C. G4651 - Comercio al por mayor de COMPUTEL SYSTEM computadores, equipo periférico y BOGOTA-D.C.- 830049916 SAS programas de informática BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en BOGOTA-D.C.- 830010792 MAKRO OFFICE LTDA. establecimientos especializados BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de INFORMATICA administración de instalaciones BOGOTA-D.C.- 830053693 COLOMBIA SAS informáticas BOGOTA D.C. G4651 - Comercio al por mayor de computadores, equipo periférico y BOGOTA-D.C.- 800250721 MICROHARD SAS programas de informática BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de BARRIOS- ASSIST CONSULTORES administración de instalaciones UNIDOS- 830090100 DE SISTEMAS S.A. informáticas BOGOTA D.C. J6202 - Actividades de consultoría ADMINISTRACION DE informática y actividades de REDES Y PROYECTOS administración de instalaciones BOGOTA-D.C.- 900340993 SAS informáticas BOGOTA D.C.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 97 de Estudios Previos – Procesos Públicos De Selección 101

G4652 - Comercio al por mayor de equipo, partes y piezas SIMS TECNOLOGIES electrónicos y de ENGATIVA- 900068896 SAS telecomunicaciones BOGOTA D.C. J6202 - Actividades de consultoría informática y actividades de SOFTTEK RENOVATION administración de instalaciones BOGOTA-D.C.- 830099847 LIMITADA informáticas BOGOTA D.C. G4741 - Comercio al por menor de computadores, equipos periféricos, programas de informática y COMPAÑIA CELL NET equipos de telecomunicaciones en MEDELLIN- 811009418 OCCIDENTE S.A. establecimientos especializados ANTIOQUIA J6202 - Actividades de consultoría SOLUCIONES informática y actividades de EMPRESARIALES administración de instalaciones BOGOTA-D.C.- 900506385 OMEGA SAS informáticas BOGOTA D.C. G4652 - Comercio al por mayor de equipo, partes y piezas 2DAY'S SOLUTIONS electrónicos y de 900809957 COLOMBIA SAS telecomunicaciones CALI-VALLE J6202 - Actividades de consultoría informática y actividades de E GLOBAL TECNOLOGY administración de instalaciones BOGOTA-D.C.- 900113592 SAS informáticas BOGOTA D.C.

TAMAÑO EMPRESARIAL Teniendo en cuenta lo anterior, de las trescientas cuarenta (40) empresas registradas con los códigos CIIU anteriormente mencionados, se determinó el siguiente tamaño empresarial de acuerdo a la clasificación por activo total que posee cada una de ellas.

TIPO TAMAÑO: SMLV ($ valor en pesos) CANTIDAD Microempresa hasta 500 ($414,058,000) 11 Pequeña empresa superior a 500 y hasta 5,000 ($4,140,580,000) 32 Mediana empresa Superior a 5,000 y hasta 30,000 ($24,843,480,000) 122 Gran Empresa superior a 30,000 ($24,843,480,000 19 TOTAL 184

Se puede evidenciar que a nivel nacional la mayoría de empresas filtradas por los códigos CIIU anteriormente mencionados que pueden llegar a satisfacer la necesidad son Medianas empresas Son ciento veintidós (122) registros, seguido de pequeñas empresas con treinta y dos (32) empresas. UBICACIÓN Por lo anterior a continuación presentamos como se encuentran distribuidas estas empresas a nivel nacional por departamentos y distrito capital.

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 98 de Estudios Previos – Procesos Públicos De Selección 101

UBICACIÓN BOGOTA D.C. 151 CUNDINAMARCA 3 BARRANQUILLA 5 BUCARAMANGA 1 CALI 7 CARTAGENA 2 DUITAMA 1 MEDELLIN 11 PEREIRA 2 TUNJA 1 TOTAL 184 Con la anterior grafica se puede evidenciar que la mayoría de las empresas registradas a nivel nacional se encuentran en la ciudad de Bogotá D.C. con un total de treinta (151) empresas. ¿CUÁL ES LA DINÁMICA DE PRODUCCIÓN, DISTRIBUCIÓN Y ENTREGA DEL BIEN O SERVICIO OBJETO DEL PROCESO? De acuerdo al estudio de mercado y las empresas que se presentaron a cotizar para el presente proceso, se puede evidenciar que son prestadoras de servicios ubicadas en la ciudad de bogota, aspecto positivo considerando que la ejecución del mismo se realiza en dicha ciudad, motivo por el cual la distribución y entrega del servicio se puede realizar oportunamente. Gracias a las tecnologías de la información, este sector se ha dinamizado en la última década, puesto que su puesta en marcha necesita de un grupo pequeño de personas y las diferentes aplicaciones desarrolladas permiten atender a un número considerable de clientes. Por otro lado, el sector evoluciona para llegar a grandes compañías, para esto la inversión en tecnología y capital humano son vitales.

3. ESTUDIO DE LA DEMANDA ¿CÓMO HA ADQUIRIDO LA ENTIDAD ESTATAL EN EL PASADO ESTE BIEN, OBRA O SERVICIO? VIGENCIA 2016  3. DESCRIPCIÓN DEL OBJETO A CONTRATAR, CON LAS ESPECIFICACIONES Y LA IDENTIFICACIÓN DEL CONTRATO A CELEBRAR.

ESTADOS FINANCIEROS -PERSONAS NATURALES O JURIDICAS NACIONALES O EXTRANJERAS DOMICILIADAS O CON SUCURSAL EN COLOMBIA. De conformidad con lo señalado en el artículo 2.2.1.1.1.5.1 y siguientes del decreto 1082 del 2015, establece que “Las personas naturales y jurídicas, nacionales o extranjeras, con domicilio en Colombia, interesadas en participar en procesos de contratación convocados por las Entidades Estatales, deben estar inscritas en el RUP…”. Así mismo, en concordancia con Articulo 221 del Decreto Ley 019 de 2012, que modifica el Artículo 6 de la Ley 1150 de 2007 “De la verificación de las condiciones de los proponentes” numeral 6.1. “Las cámaras de comercio harán la verificación documental de la información presentada por los interesados al momento de inscribirse en el registro”. “El certificado de Registro Único de Proponentes será plena prueba de las circunstancias que en ella se hagan constar y que hayan sido verificadas por las Cámaras de Comercio (…)”. Por lo tanto, la verificación de las condiciones establecidas en el Numeral 1 del Artículo 5, de la Ley 1150 de 2007, se demostrarán exclusivamente con el respectivo certificado del RUP. La información financiera acreditada para el proceso, corresponderá a la suministrada a la Cámara de Comercio para el Registro Único de Proponentes RUP. Por lo anterior, el proponente acreditará su capacidad financiera a través del Registro Único de Proponentes del que se verificaran los Estados Financieros con corte a 31 de diciembre de 2018, en caso de que el oferente se haya constituido en el presente año se evaluaran los indicadores con el corte trimestral presentado. Nota: Es deber del oferente actualizar la información financiera en el Registro Único de Proponentes, de conformidad con lo establecido en inciso 2° del Articulo 2.22 de la Ley 80 de 1993 Los siguientes indicadores fueron aplicados teniendo en cuenta la cuantía del proceso y los factores económicos del sector a desarrollar dicho proceso y tomado como referencia el Manual para determinar y verificar los requisitos habilitantes en los Procesos de Contratación que manifiesta que “Los indicadores de capacidad financiera buscan establecer unas condiciones mínimas que reflejan la salud financiera de los proponentes a través de su liquidez y endeudamiento. Estas condiciones muestran la aptitud del proponente para cumplir oportuna y cabalmente el objeto del contrato.” Para lo anterior se procedió a revisar la información financiera publicada en la base de datos del SIE de 30 empresas del sector en donde se desarrolla el presente proceso contractual así;

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 99 de Estudios Previos – Procesos Públicos De Selección 101

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 100 de Estudios Previos – Procesos Públicos De Selección 101

PROCESO Versión: 3 CÓDIGO ADQUISICIÓN DE BIENES Y SERVICIOS BS – FR – 025 FORMATO Página 101 de Estudios Previos – Procesos Públicos De Selección 101