TDR-Servicio-Internet-Tel 25042022 VF R R

“Decenio de la Igualdad de Oportunidades para mujeres y hombres”
“Año del Fortalecimiento de la Soberanía Nacional”
REQUERIMIENTO DE SERVICIOS EN GENERAL
TÉRMINOS DE REFERENCIA
A. INFORMACIÓN GENERAL
1) DENOMINACIÓN DE LA CONTRATACIÓN
Contratación del Servicio de Internet, Seguridad Perimetral, y Telefonía Fija
para la Sede Central de la Autoridad Portuaria Nacional (APN) y Servicio de
Enlace de Datos entre el Centro de Control de Comunicaciones y Respuesta
a Emergencias (CCCRE) del Callao y la Sede Central.
2) FINALIDAD PÚBLICA
El presente requerimiento tiene como finalidad publica, mantener a la APN
interconectado digitalmente dentro de la comunidad portuaria para
coadyuvar a la ejecución de sus actividades y funciones, así como al
cumplimiento de sus metas organizacionales.
Asimismo, permite que la APN cumpla con la actividad operativa del Plan
Operativo Institucional – POI referente a Mantener y asegurar los servicios
tecnológicos para optimizar las actividades en la APN, la misma que está
alineada a la Acción Estratégica de Sistemas y servicios informáticos
implementados para optimizar la operatividad de la entidad del Plan
Estratégico Institucional – PEI APN
3) OBJETIVOS DE LA CONTRATACIÓN
La APN, requiere contratar los servicios de telecomunicaciones como la línea
dedicada para el acceso a Internet, la interconexión de datos con la Oficina
de Centro de Control de Comunicaciones y Respuesta a Emergencias, la
telefonía fija y el Internet Móvil a nivel nacional, además de los servicios de
central telefónica y Seguridad perimetral para la APN, con cobertura las 24
horas del día, de manera ininterrumpida durante el plazo de ejecución
contractual.
4) ÁREA O UNIDAD ORGÁNICA

Oficina de Tecnologías de la Información.
5) ACTIVIDAD DEL POI

Maximizar la disponibilidad de los servicios de TI
6) MES PROBABLE DE CONVOCATORIA

Mayo
B. INFORMACION ESPECÍFICA
1) DESCRIPCIÓN DEL SERVICIO

A continuación, se detalla las características de cada componente que se

requiere contratar por el periodo de treinta y seis (36) meses:
• COMPONENTES DEL SERVICIO
COMPONENTES DESCRIPCIÓN
60 Mbps - Overbooking 1:1
Enlace de Contingencia de 60 Mbps.
Última milla de Fibra Óptica.
02 equipos router en calidad de alquiler (un equipo para el
enlace principal y otro para el de contingencia), que soporte
1: Servicio de un ancho de banda mínimo de 80 Mbps.
Internet 02 equipos Switches de 12 puertos 10/100/1000BaseT, en
calidad de alquiler, estos Switches son para la conexión
WAN en contingencia.
64 módems USB o Hotspots 4G o 4.5G con servicio de
internet móvil. Capacidad de descarga de 20GB por mes
Velocidad de hasta 5000Kbps o superior.
02 equipos Firewalls perimetrales en calidad de alquiler,
configurados en redundancia. (activo/pasivo).
01 equipo Administrador de Ancho de Banda, en calidad de
alquiler.
2: Seguridad Servicio de Protección avanzada de puesto de trabajo y
Perimetral servidores
Servicio de Ciberdefensa
Servicio de Gestion de Vulnerabilidades
Servicio de DDoS
Soporte de LAN gestionada.
35 Mbps – 100% garantizado en ambos extremos.
Enlace de datos entre dos sedes (Sede Central de la APN
y el CCCRE del puerto del Callao).
El enlace de datos será configurado para la transmisión de:
3: Servicio de
voz, datos y video.
Enlace de Datos
02 equipos Router (uno para la sede principal y otro para el
CCCRE del Puerto del Callao), que soporte un ancho de
banda mínimo de 50 Mbps.
Primario E1 con 30 canales de voz y 100 DIDs como
mínimo.
4: Servicio de
Llamadas a Fijo y Móvil, Local, Nacional, Internacional
Telefonía Fija
Primario E1 de contingencia con 30 canales de voz y 100
Digital
DIDs como mínimo.
Appliance Central telefónica
• El equipo debe contemplar 02 puertos para 2
5: Servicio de enlaces primarios.
Central Telefónica • El equipo debe contemplar 60 puertos para
teléfonos analógicos, como mínimo.
• 86 licencias para telefonía IP como mínimo.
• Debe permitir asignar hasta 300 códigos para la

realización de llamadas por cada usuario como
mínimo.
86 teléfonos IP
Incluir: Instalación, Configuración y puesta en producción.
Incluir: Software de Tarificación.
Se precisa que para el caso del servicio de “LAN Gestionada” del componente
de Seguridad Perimetral, el CONTRATISTA deberá considerar que la gestión
de un Switch y de 05 teléfonos IP que se encuentra en el CCCRE del puerto
de Iquitos, donde tendrán que acceder de manera remota a fin de poder
gestionarlo y en caso de falla física deberá desplazar a un personal para
respectiva reparación (los tiempos de respuesta se detallan en punto 07 de
los términos de referencia.
Asimismo, se precisa que todos los equipos que serán entregados en alquiler
a la entidad serán devueltos al finalizar el contrato y cuando se haya
entregado toda la información y configuraciones que se almacenen en dichos
equipos.
A continuación, se detalla las características de cada componente de los
servicios de Internet y Telefonía Fija:
1.1 SERVICIO DE ACCESO A INTERNET DEDICADO
a) Características del servicio de acceso a internet dedicado
✓ Uno de los dos enlaces será configurado en modo activo/standby,

el medio físico de transporte de ambos enlaces deberá ser fibra
óptica canalizada o área en todo su recorrido desde el punto de
presencia del proveedor hasta el local central de la APN,
garantizando de esta forma la calidad y continuidad del servicio. El
enlace de respaldo deberá provenir de un nodo diferente al enlace
principal, así como deberá utilizar una ruta distinta. El
CONTRATISTA deberá entregar junto con el plan de trabajo
indicado en la Fase I del Numeral 1.6 de los presentes
términos de referencia los planos de la topología de las rutas
de los nodos de tal forma que se evidencie que estos vienen
de rutas diferentes.
Cabe indicar que al referirse al modo Activo-Standby, se refiere a

que uno de los enlaces contratados (60 Mbps) estará en modo
activo, mientras que el segundo enlace (60 Mbps) será configurado
en modo standby, entendiéndose que la entidad está solicitando
solo 02 enlaces en el presente servicio. Asimismo, la Entidad podrá
solicitar durante la ejecución de contrato el cambio a un modo
Activo-Activo, en caso este lo requiera y sin costo para la entidad.
✓ La disponibilidad del servicio debe ser del 99.90% como mínimo

caso contrario se ha de considerar como caída del servicio y estará
sujeto a las penalidades indicadas en el punto 9) Penalidades del
presente documento. El CONTRATISTA presentará un
procedimiento para la atención de averías, al momento de

firmarse el acta de activación del servicio, el cual tener una
previa aprobación de la Oficina de Tecnologías de la Información
– OTI para su uso.
✓ El servicio de acceso a Internet debe estar disponible las

veinticuatro (24) horas del día, los siete (07) días de la semana los
trescientos sesenta y cinco (365) días del año, durante el periodo
de contrato.
✓ Debe poseer un ancho de banda hacia el Internet Internacional de

10 Gbps como mínimo por cada interconexión y debe contar con
sistemas de redundancia en la salida internacional como mínimo
dos operadores TIER1 internacionales distintos con rutas físicas
diferentes con los que deberá tener conexión directa a través de
enlaces de Fibra Óptica. Con ello se busca garantizar la velocidad,
seguridad y disponibilidad mensual del acceso a Internet
requerido, de tal forma que cuando ocurra una catástrofe
(terremoto, huracán, y/o incendio) en el área geográfica de la
conexión principal del proveedor, no se vea afectado el servicio de
Internet proporcionado a la APN.
Debe garantizar la conexión internacional para ambas rutas y

por distintos proveedores internacionales, para ello deberá indicar
los nombres de los operadores TIER 1 internacional, en su
propuesta, para garantizar la mayor disponibilidad en cuanto al
servicio.
✓ Entregará como mínimo 75 direcciones IP públicas (59 IPs

publicas IPv4 y 16 IPs publicas IPv6), con la capacidad de
aumentar de acuerdo con los requerimientos de la APN, siguiendo
las normas de ARIN (American Registry for Internet Numbers), así
mismo, registro DNS, es decir inscripción de nuestros dominios en
los servidores del CONTRATISTA. Asimismo, deberá considerar
que, durante el periodo de contrato, la APN podrá solicitar el
cambio del pool de IP públicas de IPv4 a IPv6, así como la
configuración en los equipos de comunicaciones en calidad de
alquiler y los equipos de comunicaciones de propiedad de la APN
(los cuales cuentan con soporte para IPv6), para que se configure
el protocolo IPv6 en la red LAN, dicha configuración no tendrá
costo para la institución. El CONTRATISTA, deberá entregar las
IP públicas asignadas, a través de un correo electrónico de
manera encriptada, esto deberá realizarse en la fase 02 de la
implementación del servicio.
✓ , Debe entregar los accesos para que la entidad pueda realizar de

manera automática el registro o modificación de los DNS. En caso
la entidad requiera el apoyo del CONTRATISTA, este podrá
realizarlo durante las 24 horas de los 07 días de la semana durante
el tiempo del contrato. Los accesos deberán ser entregados en
la fase 02 de la implementación, mediante correo electrónico.
✓ Garantizará que el ancho de banda contratado para el enlace será

de uso exclusivo para la APN desde la puerta WAN del Router en
el local de la entidad hasta el Router de borde del proveedor del
servicio de Internet.
✓ Debe brindar un portal web donde el personal autorizado de la APN

pueda visualizar reportes del tráfico en forma gráfica y para un
periodo determinado, en línea (tiempo real) almacenando una
bitácora del periodo del servicio, para fines comparativos. Dicho
acceso se deberá brindar en la fase 02 de la implementación
del servicio y se firmará un acta de recepción de los accesos
a dicho portal.
✓ La APN brindará los ambientes adecuados con la infraestructura

necesaria (pozo a tierra, UPS, aire acondicionado, energía
estabilizada) para la instalación del equipamiento relacionado al
servicio a contratar.
✓ Debe brindar la posibilidad técnica de un traslado de local por

mudanza de la institución previa coordinación con la APN..
b) Equipos de enrutamiento – Router
Debe, entregar en calidad de alquiler 02 Router, de los cuales 01 se

usara como el enlace principal y el otro para la contingencia del
servicio de internet. Para garantizar un óptimo servicio, se deberá
proveer equipos de enrutamiento que tengan la vigencia tecnológica
de parte de la marca a proponer, . Las características mínimas de los
equipos enrutadores, deberá ser la siguiente:
✓ Interfaces: seis (06) puertos 10/100/1000BaseT + 2SFP, 1 puerto

USB.
✓ Para efectos de la propuesta, ninguno de los modelos ofertados
podrá estar listados ni anunciado en el sitio web del fabricante
como end-of-life o end-of-sale o end-of-support. Se deberá
adjuntar a su propuesta el enlace público del fabricante que
verifique que los modelos propuestos no están en ese listado
– Ver Anexo A.
✓ Routing: BGP, OSPF, RIP v1/v2, Rutas estáticas, ECMP, RPF y
enrutamiento basado en rutas y políticas.
✓ Multicast: IGMP v1/v2, PIM-SM, PIM-DM, SSM.
✓ Alta disponibilidad: Activo/Activo, Activo/Pasivo, VRRP.
✓ Switching L2: LACP, autenticación de puerto basada en 802.1x.
✓ Opcionalmente la capacidad mínima de memória RAM/FLASH de
4GB.
✓ Para efectos de performance de manera opcional el enrutador
podrá soportar al menos 450 Mbps de tráfico IMIX y 60,000
sesiones concurrentes.
✓ Los equipos opcionalmente deben soportar (no instalado) sin
cambio de hardware:
• Antivirus
• Antispam
• Filtro Web
• IPS
✓ El equipo permitirá almacenar un mínimo de dos sistemas
operativos para mantener la alta disponibilidad y opcionalmente
almacenar de forma local un mínimo de dos archivos de
configuración realizadas.
✓ Si el equipo instalado falla, el CONTRATISTA debe cambiarlo por
otro similar o superior, en caso de tener que cambiar el equipo por
uno superior se debe cambiar también el segundo router por
modelo y marca del equipo reemplazado, a fin de garantizar un
óptimo funcionamiento de la solución.
✓ Para la interconexión entre los enrutadores y la solución de
seguridad perimetral, se deberá considerar dos (02) Switches de
12 puertos 10/100/1000BaseT en alta disponibilidad, los cuales se
describen en el literal c).
✓ A fin de validar las características técnicas mínimas ofertadas de
los router,se debe entregar en su oferta el Formato de
Cumplimiento del ANEXO A, debidamente sustentado,
indicando las referencias técnicas (número de folio)
evidenciadas en los documentos emitidos por el fabricante
(folletos, catálogos, brochures u otros).
c) Switch de 12 Puertos
El CONTRATISTA debe entregar en calidad de alquiler 02 Switch de

12 puertos de 10/100/1000 BaseT, cada uno, para la conexión WAN
en activo y en stanby. Para garantizar un óptimo servicio, se deberá
proveer equipos de tecnología vigente de parte de la marca a
proponer.. Dichos switches deben contar con las siguientes
características:
✓ Se requiere de un conmutador modular administrable de interfaces

GigaEthernet que permita la operación en capa 2, capa 3 del
modelo OSI.
✓ Deberá disponer de al menos 12 puertos 10/100/1000BaseT. Las
interfaces deberán permitir la auto-negociación de la velocidad del
puerto y del modo dúplex de la comunicación.
– Ver Anexo B.
✓ Para la administración local se deberá considerar de al menos un
(01) puerto de Consola RS232 o un (01) puerto RJ45 o un (01)
puerto USB.
✓ La capacidad de tráfico mínimo que deberá procesar el equipo será
no menor de 25Gbps de switch fabric y una tasa de envío de
paquetes no menor a 20Mpps.
✓ Entre las funcionalidades básicas de administración, operación y
mantenimiento se deberá considerar: SSHv2, HTTPS, Puerto
Espejo (Port Mirroring), RMON, SNMP v2/v3, Netflow o Sflow,
SNTP, TACACS+, IEEE 802.1Q – VLAN trunking y tagging, IEEE

802.3ad - LACP, IEEE 802.3x – control de flujo de los puertos
10/100/1000BaseT, IEEE 802.1d – Spanning Tree Protocol, IEEE
802.1w – Rapid Spanning Tree Protocol, IEEE 802.1s – Múltiple
Spanning Tree Protocol, IEEE 802.1ag – Ethernet OAM
Connectivity Fault Management.
✓ Debe incluir el soporte de enrutamiento estático entre VLAN y las
siguientes funcionalidades sin la necesidad de cambio de
hardware: BFD – Bidirectional Forwarding Detection, OSPFv2,
Routing Information Protocol versión 1 y versión 2, enrutamiento
estático, VRF – Virtual Routing and Forwarding.
✓ Debepermitir la asignación dinámica de IP de forma estática o vía
DHCP Server local, DHCP Relay con opción 82 tanto para VLAN
como para puertos en Capa 3.
✓ Soporte los siguientes protocolos multicast sin cambio de hardware
o a través de upgrade de software: IGMP v1/v2/v3, IGMP snooping
con puertos RVIs o IRB, PIM DM/SM/SSM, MVR.
✓ Debe soportar cuatro (04) colas por puerto o más, para diferenciar
o priorizar el tráfico, QoS capa 2-3, Clase de Servicio sobre
interfaces agregadas (LAGs).
✓ De manera opcional el sistema operativo del equipo podra evitar o
reducir los errores humanos durante su operación, para ello el
sistema operativo debe considerar las siguientes características:
• El usuario administrador del equipo es quien decide en qué

momento se aplicarán los cambios realizados en la
configuración del equipo. Los comandos ingresados no
deberán ser ejecutados de forma inmediata por el sistema, sino
por el contrario solo cuando el usuario administrador lo
autorice.
• El equipo deberá evitar errores lógicos e inestabilidad del
sistema cuando los comandos de configuración introducidos no
guarden un orden secuencial entre sí. Por lo tanto, el resultado
de la configuración será el mismo independientemente del
orden de como hayan sido ingresados los comandos.
• En caso haya dos o más usuarios administradores realizando
configuraciones de manera simultánea, los cambios realizados
serán independientes entre ellos. Por lo tanto, cuando un
usuario administrador autorice el cambio, el sistema no
considerará la información ingresada por los otros
administradores.
• Cuando el usuario administrador autorice ejecutar al sistema,
la configuración realizada por este, el sistema deberá validarla.
En caso de encontrar algún error sobre la configuración, ésta
no será ejecutada y el sistema adicionalmente deberá indicar
claramente cuál es el error o errores encontrados para su
posterior corrección.
✓ A fin de validar las características técnicas mínimas ofertadas se,

debe presentar en su oferta el Formato de Cumplimiento del
ANEXO B, debidamente sustentado, indicando las referencias
técnicas (número de folio) evidenciadas en los documentos
emitidos por el fabricante (folletos, catálogos, brochures u

otros).
d) Módems Portátiles - para Internet Móvil.
✓ El CONTRATISTA debe brindar en calidad de alquiler sesenta y

cuatro (64) módems portátiles 4G o 4.5G con servicio de internet
móvil y con plan de datos de hasta 20 GB por mes a una velocidad
de hasta 5000Kbps.
✓ Se deberá realizar la entrega de dichos módems con el servicio
activo mediante un acta de entrega, firmada por el jefe de proyecto
por parte de la APN. La entrega de los Módems y la firma del acta
de entrega será antes de culminar la fase 02 de la implementación
del servicio. El Servicio se activarán con la firma del acta de
activación del Servicio.
✓ Se deberá garantizar cobertura en los siguientes puntos a nivel
nacional:
Ítem Descripción Ubicación

1 CALLAO Av. Santa Rosa N.º 135 La Perla – Callao
2 CCCRE del Puerto del Callao Av. Manco Cápac S/N - Callao
3 PAITA Jr. Zepita 368 Paita
Terminal Portuario Jr. Ferrocarril 127 – Paita - Piura
4
Euroandinos (TPE) de Paita
ANEXO DE LA OD. PAITA EN Av. Bolognesi s/n edifício Semor Oficina 303 –
5
TALARA 304
SALAVERRY Mz. Q, Lote 26 A, Urb. Covicorti- Distrito de
6 Trujillo, provincia de Trujillo, Departamento de la
Libertad
Terminal Portuario El puerto está ubicado a 8° 13' 27" de latitud sur
Multipropósito de Salaverry y 78° 59' 52" de longitud oeste, a una distancia
7 aproximadamente a 14 kilómetros del centro de
la ciudad de Trujillo y está muy cerca de la
Carretera Panamericana.
PISCO Av. Las Américas 925 Urb Los Bancarios Distrito
8 Pisco Playa, Provincia de Pisco, Departamento
de Ica
Terminal Portuario General Carretera Punta Pejerrey Km 39, Paracas -
9
San Martin – Pisco Pisco
SAN NICOLÁS Marcona Zona M23 - D - Distrito de Marcona,
10
Provincia de Nazca, Departamento de Ica
MATARANI Urb. Centenario Mz: A Lote 14 - Distrito de
11 Mollendo, Provincia de Islay, Departamento de
Arequipa
Terminal Portuario de El puerto está ubicado a Latitud 16° 59' 42.5''
12
Matarani Sur y Longitud 72° 06' 13.2'' Oeste
ILO Urb. Enapu B2, Lote 2 - Distrito de Ilo, Provincia
13 de Ilo, Departamento de Moquegua
IQUITOS Av. De la Marina N° 1338- Interior Terminal

Portuario ENAPU- Distrito de Villa Punchana,
14
Provincia de Maynas, Departamento de
Loreto.
ANEXO DE LA OD. IQUITOS Calle Junín Mz-C Lt-2 - Distrito de Nauta,
15
EN NAUTA Provincia de Loreto , Departamento de Loreto
PUCALLPA Prolongación Jr. Ucayali S/ Amazonas N° 207
16 Mz. 189 Lote 15-B Calleria
YURIMAGUAS Calle Libertad 1301 a Calle Jose Galvez 302-

Distrito de Yurimaguas, Provincia de Alto
17
Amazonas, Departamento de Loreto
Terminal Portuario de Carretera a Nuevo Puerto - 16500

18 Yurimaguas de Nueva
Reforma
1.2 SEGURIDAD PERIMETRAL
a) Equipo Firewall – Seguridad Perimetral.
El servicio deberá contar con una solución de seguridad perimetral, para

ello el CONTRATISTA instalará en calidad de alquiler dos (02) equipos
Next Generation Firewall, en modalidad activo/standby, de propósito
dedicado, para garantizar un óptimo servicio; asimismo, se deberá proveer
equipos de seguridad que sean de tecnología vigente de parte de la marca
a proponer,. Los equipos de seguridad deberán contar con las siguientes
características mínimas:
GENERALES
✓ La solución debe consistir en dos appliances de seguridad con

funcionalidades de Next Generation Firewall (NGFW).
✓ La solución tiene que ser ofrecida en alta disponibilidad, es decir por
lo menos 2 (dos) appliances con las mismas características mínimas
mencionadas en estas especificaciones.
✓ La plataforma propuesta debe contar con certificación USGv6 para
trabajar IPv6 tanto en Firewall como en IPS.
✓ La plataforma debe ser optimizada para análisis de contenido de
aplicaciones en capa 7.
✓ Para efectos de la propuesta, ninguno de los modelos ofertados podrá
estar listados ni anunciado en el sitio web del fabricante como end-of-
life o end-of-sale o end-of-support. Se deberá adjuntar a su
propuesta el enlace público del fabricante que verifique que los
modelos propuestos no están en ese listado – Ver Anexo C
✓ Los equipos NGFW deberán tener soporte vigente de fabrica durante
la fecha de contrato del servicio, el soporte del fabricante deberá
incluir atención de incidentes de software o hardware de la
plataforma, reposición de partes o equipo de reemplazo en caso de
falla de hardware.
✓ Se deberá proporcionar una cuenta de acceso al portal oficial de

soporte del fabricante, donde la Entidad tendrá la potestad de dar
seguimiento a los casos abiertos por el CONTRATISTA. Esto
debeser entregado en la fase 02 de la implementación, mediante
correo electrónico.
✓ Como parte de la propuesta, se debe proporcionar el acceso a una
herramienta que permita evaluar el nivel de adopción de buenas
prácticas de configuración en el Next Generation Firewall
implementado, con la finalidad de mejorar la postura de seguridad de
red proporcionada por la solución. Esto deberá ser entregado en la
fase 02 de la implementación, mediante correo electrónico.
✓ Dicha herramienta mínimamente debe contemplar la adopción de
buenas prácticas en materia de configuración de los diferentes
módulos de seguridad de la solución, como mínimo estos: Control de
Aplicaciones, Antivirus/Antimalware, Antispyware/Antibot, IPS,
Sandboxing, Filtro Web, Gestión de Logs. Se requiere que la
propuesta incluya documentación pública sobre dicha herramienta
explicando su alcance.
✓ La herramienta de evaluación de buenas prácticas deberá ser
específica para la configuración de Next Generation Firewall
implementado, no se aceptarán portales con guías de usuarios
genéricas.
✓ La Entidad deberá poder realizar la evaluación de buenas prácticas a
libre demanda y de manera autónoma.
✓ Si se identifica actividad sospechosa y/o maliciosa en la red, o sufra
una brecha de seguridad luego de implementar las buenas prácticas
de seguridad sugeridas por la herramienta de evaluación, la Entidad
tendrá la potestad de contar con un servicio directo con el Fabricante,
el cual incluye:
o Expertos, herramientas especializadas de inteligencia de
amenazas y prácticas de cacería de amenazas.
o Análisis de logs e indicadores de compromiso
o Evaluación de la configuración del NGFW que incluya
recomendaciones personalizadas
o Recomendaciones de pasos siguientes a realizar
CAPACIDAD
✓ Throughput de Next Generation Firewall de 3 Gbps medido con tráfico

productivo real (transacciones usando una mixtura de aplicaciones de
capa 7, transacciones medidas en condiciones empresariales o
transacciones HTTP 64KB de tamaño). No se aceptarán mediciones
hechas con tráfico UDP o RFCs 3511, 2544, 2647 o 1242 o mixes de
tráfico que no especifiquen tamaño de transacciones o paquetes.
✓ Throughput de Prevención de Amenazas de 1.5 Gbps medido con
tráfico productivo real (transacciones usando una mixtura de
aplicaciones de capa 7, transacciones medidas en condiciones
empresariales o transacciones HTTP 64KB de tamaño), con las
siguientes funcionalidades habilitadas simultáneamente: Control de
aplicaciones, Sistema de Prevención de Intrusos (IPS),
Antivirus/Antimalware de red, Antispyware/AntiBot, control de
amenazas avanzadas de día cero (Sandboxing), Filtro de Archivos, y
Logging activo. Si el fabricante tuviese diferentes niveles o modos de
inspección de seguridad, el equipo ofertado deberá soportar el

throughput requerido con el nivel o modo más alto de inspección. Se
debe garantizar que el equipo no degrade su performance por debajo
de lo requerido por la Entidad cuando se vayan habilitando los
módulos de seguridad indicados en el modo más alto de inspección.
No se aceptarán mediciones hechas con tráfico UDP o RFCs 3511,
2544, 2647 o 1242 o mixes de tráfico que no especifiquen tamaño de
transacciones o paquetes.
✓ El equipo debe soportar como mínimo 290.000 sesiones simultaneas
y 50.000 nuevas sesiones por segundo, medidos con paquetes HTTP
de 1 byte.
✓ Disco de estado sólido interno de 120 GB o superior.
✓ Mínimo ocho (08) interfaces de red 10/100/1000 en cobre, formato
RJ45 para tráfico de datos de la red
✓ Minimo una (01) interfaz de consola RJ45,
CARACTERÍSTICAS GENERALES
✓ El dispositivo de seguridad debe soportar VLAN Tags 802.1q,

agregación de links 802.3ad, policy based routing o policy based
forwarding, ruteo multicast, jumbo frames, sub-interfaces ethernet
lógicas, NAT de origen y destino.
✓ Debe soportar enrutamiento estático y dinámico (RIPv2, BGP y
OSPFv2).
✓ Soportar como mínimo las siguientes funcionalidades en IPv6:
SLAAC (address auto configuration), NAT64, Identificación de
usuarios a partir de LDAP/AD, Captive Portal, IPv6 over IPv4 IPSec,
Reglas de seguridad contra DoS (Denial of Service), Descifrado
SSL/TLS y SSH, PBR (Policy Base Routing) o PBF (Policy Based
Forwarding), OSPFv3, QoS, DHCPv6 Relay, SNMP, NTP, NTP
autenticado, SYSLOG, DNS y control de aplicaciones.
✓ Permitir configurar el tiempo de almacenamiento en caché de la Tabla
ARP.
✓ Permitir NAT de destino basado en dominio en lugar de IP. El equipo
deberá ser capaz de balancear el tráfico entrante por esa regla de
NAT de destino.
✓ Soportar DNS Dinámico en las interfaces de red del equipo de
seguridad.
✓ Soportar túneles GRE como punto inicio o finalización del túnel.
✓ Capacidad de inspeccionar el contenido en túneles GRE, GPRS,
VXLAN e IPSec no cifrado, sin necesidad de que el equipo de
seguridad sea el punto final del túnel.
✓ Soportar IPv6 en modos de alta disponibilidad, tanto Activo/Activo
como Activo/Pasivo.
✓ Debe ser capaz de operar en los modos Capa 3 (con capacidades
completas de Ruteo y NAT), Capa 2, Transparente y Sniffer, de forma
simultánea mediante el uso de sus interfaces físicas sin necesidad de
tener que hacer uso de contextos o dominios virtuales.
ALTA DISPONIBILIDAD
✓ Soporte a configuración de alta disponibilidad Activo/Pasivo y

Activo/Activo, con despliegues de los equipos tanto en modo
transparente como en modo capa 3 (L3).
✓ La configuración en alta disponibilidad debe sincronizar: Sesiones;
Certificados de descifrado, Configuraciones, incluyendo, más no
limitado a políticas de Firewall, NAT, QoS y objetos de red.
✓ Debe ser posible el monitoreo de fallo de enlaces, ya sea ante la caída
de al menos una de las interfaces del equipo, una conexión física
adyacente o pérdida de conectividad hacia una IP desde una de las
interfaces.
✓ Debe permitir cifrar la comunicación entre dos Firewall de HA durante
la sincronización de las configuraciones.
FUNCIONALIDADES DE FIREWALL
✓ Control de políticas por zonas, puertos, direcciones IP, segmentos y/o

rangos de red, región geográfica, usuarios y grupos de usuarios,
aplicaciones grupos estáticos de aplicaciones, grupos dinámicos de
aplicaciones (basados en sus atributos) y categorías de aplicaciones.
✓ Deberá ser posible la identificación de la aplicación y la inspección de
malware, spyware y exploits dentro del tráfico cifrado por los
protocolos en mención.
✓ Permitir el agendamiento de las políticas de seguridad.
✓ Debe ser posible especificar en las reglas de seguridad un grupo de
objetos basados en IP y/o URL que se alimenten dinámicamente de
una fuente externa.
✓ Permitir agrupar las políticas de seguridad utilizando etiquetas u otro
método.
✓ Permitir añadir un comentario de auditoría cada vez que se cree o se
edite la política de seguridad. Cada comentario deberá estar asociado
a la versión de la política editada. Esto con el fin de garantizar buenas
prácticas de documentación, organización y auditoria.
✓ Debe permitir realizar validaciones de la configuración antes de ser
aplicada o instalada, esto implica, entre otras cosas, identificar y
notificar cuando existan reglas generales superpuestas sobre otras
específicas (shadowed rules).
✓ Debe mostrar la primera y última vez que se utilizó una regla de
seguridad.
✓ Debe mostrar la fecha de creación y última fecha de modificación de
la regla de seguridad.
✓ Debe mostrar a través de un filtro, las reglas de seguridad que no han
tenido uso en la red desde el último encendido del dispositivo firewall.
DESCIFRADO DE TRÁFICO SSL/TLS
✓ Debe permitir descifrar el tráfico de navegación de usuarios a internet

mediante la instalación de un certificado digital en los equipos.
✓ Debe permitir descifrar el tráfico entrante hacia servidores HTTPS
publicados en internet importando el certificado del servidor en el
Firewall.
✓ Debe ser capaz de inspección el tráfico cifrado, incluyendo el
protocolo TLS 1.3.
✓ Debe tener la capacidad de bloquear la conexión hacia sitios web

cifrados con protocolos obsoletos e inseguros.
✓ Debe identificar y notificar al cliente si está visitando una página web
con certificado digital no válido o emisor no confiable, a pesar de no
aplicar descifrado al tráfico SSL/TLS
✓ Debe soportar certificados que utilice Subject Alternative Name (SAN)
y Server Name Indication (SNI).
✓ Debe permitir excluir sitios a los cuales no se les aplicará la política
de descifrado, identificados por dominios y wildcards.
✓ Para los certificados almacenados localmente en el firewall, tiene que
ser posible bloquear la posibilidad de exportar las claves privadas,
para evitar un uso indebido por parte de los administradores.
✓ Debe contar con un dashboard de reportes y logs dedicados a
monitorear el tráfico de descifrado SSL/TLS, este dashboard deberá
estar disponible en la interfaz gráfica, con el objetivo de identificar
rápidamente problemas relacionados con las técnicas de descifrado
de tráfico, el mismo debe tener varios estados de troubleshooting y
proveer de las herramientas a los administradores para encontrar
rápidamente las causas por las cuales se puede producir una falla en
la descifrado del tráfico (por ejemplo, informar sobre certificados
expirados, claves de cifrado débiles, certificados revocados, cierre de
la conexión por parte del cliente, entre otros).
CONTROL DE APLICACIONES
✓ Reconocer por lo menos 3000 aplicaciones diferentes, incluyendo,

más no limitando: el tráfico relacionado a peer-to-peer, redes sociales,
acceso remoto, update de software, protocolos de red, voip, audio,
vídeo, proxy, mensajería instantánea, email.
✓ Debe procesar e inspeccionar aplicaciones que utilicen HTTP/2
✓ Para tráfico cifrado (SSL/TLS), debe permitir el descifrado de
paquetes con el fin de permitir la lectura del payload de la aplicación
cifrada.
✓ Debe inspeccionar el payload del paquete de datos con el objetivo de
detectar las aplicaciones en capa 7, a través de expresiones
regulares, firmas u otro mecanismo. El chequeo de firmas también
debe determinar si una aplicación está utilizando su puerto default o
no, por ejemplo, RDP en el puerto 80 en vez del 3389.
✓ Las políticas de seguridad deberán poder definirse 100% en base a
aplicaciones pudiendo aplicar reglas específicas a cada aplicación,
ejemplo si 2 aplicaciones utilizan el mismo puerto y protocolo, se
tienen que poder crear 2 políticas de seguridad en las cuales se
apliquen controles diferentes a cada aplicación.
✓ Debe poder identificar y crear políticas de seguridad basadas en
aplicaciones de Sistemas de Infraestructura Crítica (ICS) como addp,
bacnet, modbus, dnp3, coap, dlms, iccp, iec-60870-5-104, mms-ics,
rockwell, siemens, entre otros.
✓ Debe aplicar análisis heurístico a fin de detectar aplicaciones a través
de análisis de comportamiento del tráfico observado.
✓ Con el objetivo de identificar aplicaciones propietarias a nivel de capa
7, la solución debe permitir nativamente la creación de aplicaciones
personalizadas desde la interfaz de gestión, sin la necesidad de

acción por parte del fabricante.
✓ Debe ser posible la creación de grupos estáticos de aplicaciones y
grupos dinámicos de aplicaciones basados en sus atributos.
✓ Al crear políticas basadas en aplicaciones, si las mismas dependen
de otras aplicaciones, la interfaz gráfica debe sugerir y permitir
agregar las aplicaciones dependientes de la seleccionada, para poder
permitir el uso correcto de la política de seguridad en capa 7.
✓ Debe contar con un módulo de optimización de políticas, que
identifique las aplicaciones que han pasado sobre políticas basadas
en puertos o de Capa 4, indicando consumo en Bytes, Hits y Fechas
de visualización. Este módulo deberá facilitar la migración de la
política de Capa 4 a una política de Capa 7 a través de un wizard.
PREVENCION DE AMENAZAS CONOCIDAS
✓ Para seguridad del ambiente contra ataques, los dispositivos de

seguridad deben poseer módulo de IPS (Intrusion Prevention
System), Antivirus/Antimalware, Antispyware/Antibot.
✓ Capacidad de realizar DNS Sinkhole para la identificación de equipos
comprometidos por spyware en entornos corporativos
✓ Las funcionalidades de IPS, Antivirus y Antispyware/Antibot deben
operar en carácter permanente, pudiendo ser utilizadas por tiempo
indeterminado, incluso si no existe el derecho de recibir
actualizaciones debido a caducidad de soporte con el fabricante.
✓ El equipo deberá soportar el throughput solicitado operando en el
máximo nivel o modo de seguridad de inspección de IPS, Antivirus y
Antispyware/Antibot.
✓ Las firmas deberán estar basadas en patrones del malware y no
únicamente en hashes, con el objetivo de detectar malware
polimórfico que pertenezca a una misma familia.
✓ Debe sincronizar las firmas de seguridad cuando el Firewall se
implementa en alta disponibilidad.
✓ Debe soportar granularidad en las políticas de IPS, Antivirus y
Antispyware/Antibot, permitiendo la creación de diferentes políticas
por zona de seguridad, dirección de origen, dirección de destino,
servicio, usuario y grupo de usuarios y la combinación de todos esos
ítems.
✓ Debe permitir capturar el paquete de red (en formato PCAP) asociada
a la alerta de seguridad.
✓ Debe identificar las consultas que realizan los hosts infectados hacia
dominios maliciosos, de tal forma que el Firewall pueda bloquear
dichas consultas DNS.
✓ Los eventos deben identificar el país que origino la amenaza.
✓ Deberá posibilitar la creación de firmas customizadas por la interfaz
gráfica del producto.
✓ Debe ser capaz de detectar y bloquear el virus y malware en general
que se propague en, al menos, los siguientes protocolos: HTTP,
HTTPS, HTTP/2, FTP, SMB (versiones 1, 2 y 3), SMTP, IMAP y
POP3; tanto en IPv4 como en IPv6, para todos los protocolos en
mención.
✓ Debe soportar la creación de firmas de IPS basadas en el formato de
Snort.
ANALISIS DE MALWARE DE DÍA CERO
✓ La solución propuesta debe incluir mecanismos de detección de

amenazas de día cero, incluyendo una plataforma Sandboxing.
✓ La plataforma de Sandboxing deberá ser ofrecido en Nube (Cloud).
Como mínimo se requiere que el Sandbox propuesto pueda detectar
el malware de día cero en un tiempo no mayor a 5 minutos utilizando
la emulación completa de malware en entornos Windows, Linux,
Android y Mac (este tiempo de análisis se debe cumplir de manera
paralela para todos los archivos enviados al Sandbox, considerando
análisis dinámico completo, es decir, no incluye Firmas o Prefiltros)
✓ Deberá tener una disponibilidad del servicio de al menos 99.9%
contabilizados mensualmente.
✓ Deberá ser un servicio propio del fabricante, no se aceptarán
plataformas que tercericen el servicio de Sandboxing con entidades
terceras.
✓ El Next Generation Firewall deberá ser capaz de actualizar las firmas
de malware en tiempo real, con el objetivo de tener información de
malware detectado a nivel global por el fabricante.
✓ Deberá garantizar la privacidad y confidencialidad del contenido de
los archivos analizados, para lo cual se requiere que el servicio cuente
como mínimo con certificaciones SOC2 Tipo II de AICPA, FedRAMP.
✓ El malware de día cero deberá poder ser identificado dentro de la
infraestructura de la Entidad, sin necesidad de enviar el archivo a ser
analizado fuera de la red.
✓ Debe analizar Links/URLs para determinar si es o no malicioso, a
pesar de no estar categorizada dentro de la Base de Datos del
fabricante.
✓ Debe proveer información forense sobre las acciones realizadas por
el malware y generar automáticamente las firmas de malware y
bloquear el acceso a las URLs maliciosas utilizadas por el malware.
✓ El Next Generation Firewall debe ser capaz de enviar al sandbox de
manera automática los archivos sospechosos que se propaguen por
los protocolos HTTP, HTTPS, HTTP/2, FTP, SMTP, POP3, IMAP y
SMB, tanto en IPv4 como en IPv6.
✓ Debe permitir al administrador la descarga del archivo original
analizado por el Sandbox.
✓ Debe permitir reportar al fabricante eventos que son falso-positivo y
falso-negativo en el análisis de malware de día cero a partir de la
propia consola de administración.
✓ Deberá soportar el análisis de archivos ejecutables (EXE), DLLs, ELF
(Linux), archivos comprimidos (ZIP, 7ZIP, RAR) archivos office (.doc,
.docx, .xls, .xlsx, .ppt, .pptx), archivos java (.jar e class), archivos de
tipos script (.vbs, .ps1, .js), email link, flash, archivos de MacOS
(mach-o, dmg, pkg) y Android APKs en el ambiente controlado.
✓ Permitir la subida de archivos al sandbox de forma manual y vía API.
✓ Debe detectar técnicas usadas para evadir herramientas de
sandboxing como detección de hypervisor (no debe usar hypervisores
comerciales), inyección de código a procesos permitidos y
deshabilitación de funcionalidades de seguridad del host.
✓ La solución debe realizar el análisis en un ambiente de hardware real,

deshabilitando totalmente la habilidad de la amenaza de evadir
sandboxing en máquinas virtuales.
FILTRO DE CONTENIDO WEB
✓ Permite especificar la política por tiempo, horario o determinado

período (día, mes, año, día de la semana y hora)
✓ Deberá incluir la capacidad de creación de políticas basadas en la
visibilidad e identificar el usuario que accede a una URL a través de
la integración con servicios de directorio, autenticación vía Active
Directory, LDAP en general y base de datos local.
✓ Debe soportar un cache local de URLs en el appliance, evitando el
delay de comunicación/validación de las URLs
✓ Debe poseer al menos 70 categorías de URLs, incluyendo las de
malware y phishing.
✓ Debe permitir la creación de categorías personalizadas.
✓ Debe contar con multi categorías de URL, que permita que un sitio
web pertenezca a dos categorías distintas.
✓ Debe identificar y categorizar los dominios nuevos, menores a 30 días
de antigüedad.
✓ Debe permitir la customización de la página de bloqueo.
✓ Permitir la inserción o modificación de valores en la cabecera HTTP
del tráfico de aplicaciones SaaS que pasen por el equipo de
seguridad.
✓ Debe permitir notificar al usuario, mostrándole solo una página de
alerta, pero permitiéndole continuar la navegación al site.
✓ Debe identificar cuando un usuario envía credenciales corporativas
de red a sitios no autorizados y debe poder bloquear dicho envío,
previniendo así ataques de phishing.
PROTECCION AVANZADA DE DNS
✓ La solución debe ser alimentada por un servicio de inteligencia global

capaz de identificar decenas de millones de dominios maliciosos con
análisis en tiempo real sin depender de firmas estáticas.
✓ El servicio de protección de DNS debe alimentarse de telemetría
provista por clientes a nivel mundial y más de 30 fuentes de
inteligencia de amenazas de terceros.
✓ La solución debe ser capaz de predecir y detener dominios maliciosos
de malware basados en algoritmos de generación de dominio (DGA).
✓ Debe utilizar machine learning y/o inteligencia artificial para detectar
nuevos dominios nunca vistos autogenerados por algoritmos DGA
✓ Debe poseer políticas para bloquear dominios DGA o interrumpir las
consultar de DNS a dichos dominios.
✓ Debe ayudar a contener ataques emergentes basados en DNS, que
utilicen técnicas de tunelización lenta sobre tráfico DNS, técnicas de
entradas de DNS pendientes y adquisición de subdominios
✓ Debe ser capaz de predecir nuevos dominios maliciosos
inmediatamente luego de su registro, antes de que puedan ser
utilizados en ataques
✓ Debe detectar e interrumpir robo de datos ocultos o tunelizados en

tráfico DNS
✓ Debe analizar las consultas de DNS, incluyendo las tasas de
consultas y patrones, entropía y frecuencia de n-grams para detectar
posibles intentos de tunelización.
✓ Debe bloquear resoluciones de DNS que usen técnicas de SNI
Spoofing utilizadas para eludir los controles de descifrado.
IDENTIFICACION DE USUARIOS
✓ Debe incluir a capacidad de creación de políticas basadas en la

visibilidad y control de usuarios y/o grupos de usuarios a través de la
integración de servicios de autenticación vía LDAP, Active Directory,
E- Novell Directory, Exchange y base de datos local.
✓ Debe poseer integración con Microsoft AD Domain Controller para la
identificación de direcciones IP y usuarios. Esta integración se podrá
realizar con o sin software agente.
✓ Debe poder identificar la IP y el usuario de Dominio en base a Event
Viewer y WMI.
✓ Debe poder monitorear eventos de login y logout del Active Directory
utilizando el protocolo WinRM.
✓ Debe soportar la recepción de eventos de autenticación de
Controladores Wireless con 802.1x, Soluciones NAC y Proxy, vía
Syslog, XFF (X-forward-for) en la cabecera HTTP y/o XML API para
la identificación de direcciones IP y usuarios.
✓ Debe permitir el control, sin instalación de cliente de software, en
equipamientos que soliciten salida a internet para que antes de iniciar
la navegación, se muestre un portal de autenticación residente en el
firewall (Captive Portal). Adicionalmente se podrá añadir un segundo
factor de autenticación.
✓ Debe permitir la definición de grupos dinámicos de usuarios.
FILTRO DE DATOS
✓ Los archivos deben ser identificados por extensión y firmas.

✓ Permite identificar y opcionalmente prevenir la transferencia (subida
o bajada) de varios tipos de archivos (incluidos MS Office, PDF, PE,
APK, Flash, DLL, BAT, CAB, PIF, REG, archivos comprimidos en
RAR, ZIP u otro) identificados sobre aplicaciones.
✓ Permitir identificar y opcionalmente prevenir la transferencia de
información sensible basados en el contenido del archivo, incluyendo,
más no limitando al número de tarjetas de crédito; y permitiendo la
creación de nuevos tipos de datos vía expresión regular.
VPN
✓ Soportar VPN Site-to-Site y Cliente-To-Site en protocolos IPSec o

SSL.
✓ La VPN IPSec debe soportar como mínimo:
o DES y 3DES; AES 128, 192 e 256 (Advanced Encryption Standard)
o Autenticación MD5, SHA-1, SHA-2;
o Diffie-Hellman Group 1, Group 2, Group 5 y Group 14;
o Algoritmo Internet Key Exchange (IKEv1 & IKEv2);

✓ Permitir la aplicación de políticas de seguridad y visibilidad para las
aplicaciones que circulan dentro de los túneles VPN.
✓ Las VPN client-to-site deben poder operar usando el protocolo IPSec
o SSL y permitir la conexión por medio de agente instalado en el
sistema operativo.
✓ Soportar autenticación vía AD/LDAP, Kerberos, TACACS+, SAML,
Certificados Digitales y RADIUS, incluyendo Doble Factor de
Autenticación (2FA).
✓ Debe permitir definir segmentos de red para ser agregadas de forma
automática en la tabla de rutas de la interfaz túnel del equipo que
tenga instalado el agente de VPN.
✓ Debe soportar Split Tunnel para elegir los segmentos de red que
serán enrutados por la VPN.
✓ Debe permitir los siguientes tipos de conexión del cliente al túnel VPN:
o Antes del usuario se autentique en la estación;
o Después de la autenticación del usuario en la estación usando
Single Sign On (SSO);
o Bajo demanda del usuario;
✓ El agente de VPN client-to-site debe ser compatible al menos con:
Windows 7, Windows 8, Windows 10, MacOS X.
✓ Debe contar con un dashboard gráfico que permita monitorear a los
usuarios conectados por VPN.
✓ Debe permitir al menos 300 usuarios concurrentes, el
CONTRATISTA, debe considerar el licenciamiento necesario para
cumplir con la cantidad de usuarios requeridos como mínimo.
CONSOLA DE ADMINISTRACION Y MONITOREO
✓ Con la finalidad de no degradar el performance de procesamiento de

red y seguridad del Next Generation Firewall, la administración del
equipo, gestión de reportes y gestión de logs deben contar con
recursos dedicados de CPU, Memoria RAM y Disco Duro, ya sea
integrado dentro del mismo appliance u otro appliance independiente
del mismo fabricante
✓ Permitir exportar las reglas de seguridad en formato CSV y PDF
✓ Debe contar con un dashboard interactivo y gráfico que permita
monitorear el uso de las aplicaciones en capa 7, sitios web visitados,
actividad de los usuarios, actividad por IP (origen y destino), países
origen y destino del tráfico, uso de las reglas de seguridad, actividad
del tráfico malicioso, actividad de los usuarios VPN. Esta información
podrá ser vista en base a Bytes y Sesiones, y ser filtrado en base a
un rango de tiempo, IP, usuario, país y regla de seguridad.
✓ Debe permitir el control de acceso a la gestión del equipo a través de
roles personalizables.
✓ Debe permitir la captura de paquetes en formato PCAP para poder
ser leídos por una herramienta tercera. La captura de paquetes
deberá poder ser filtrada antes del proceso de ejecución en base a la
interfaz, IP y Puerto (origen y destino)
✓ Ante escenarios donde existan dos o más administradores del Next
Generation Firewall logueados y realizando cambios en simultáneo
en la consola de gestión, la solución deberá de ser capaz de solo
aplicar los cambios realizados por cada administrador individual, sin

afectar o sobrescribir los cambios del otro administrador.
✓ Contar con un módulo que permita comparar y que indique
específicamente que cambio se hizo a una política de seguridad
respecto a una versión anterior de dicha política.
✓ Debe ser capaz de detectar errores humanos de configuración de
reglas de seguridad donde se sobrepongan reglas generales sobre
reglas específicas (shadowing rules).
✓ Debe permitir el almacenamiento de diferentes versiones de archivos
de respaldo de configuración (backup).
✓ Debe poder realizar una copia de seguridad (backup) automática de
las configuraciones y rollback de configuración a la última
configuración salvada.
✓ Debe permitir el monitoreo de eventos basados en SNMP, integración
con SIEM a través de Syslog, y envío de alertas por correo electrónico
(integrándose a un servidor SMTP).
✓ Debe permitir la generación de logs de auditoria detallados,
informando de la configuración realizada, el administrador que la
realizo, su IP y el horario de la alteración;
✓ Debe permitir la asignación de una cuota de uso de disco para definir
una capacidad máxima de almacenamiento de logs de tráfico de
datos, amenazas, auditoría de configuraciones, eventos de sistema.
✓ Debe soportar la personalización de reportes, permitiendo mostrar
información de eventos de antivirus, antispyware, IPS, navegación a
internet, aplicaciones, malware de día cero, debe permitir seleccionar
las columnas a mostrar, filtrar la información en base a usuarios,
grupos de usuarios, direcciones IP, el rango de fechas de los datos,
deben poder ser exportados en PDF y enviados automáticamente vía
✓ La plataforma de seguridad debe permitir realizar tareas de gestión a
través del API basado en XML.
✓ A fin de validar las características técnicas mínimas ofertadas para

los equipos firewall, se debepresentar en su oferta el Formato de
Cumplimiento del ANEXO C, debidamente sustentado, indicando
las referencias técnicas (número de folio) evidenciadas en los
documentos emitidos por el fabricante (folletos, catálogos,
brochures u otros).
b) Servicio de Protección avanzada de puesto de trabajo y

servidores
El CONTRATISTA, debe entregar un servicio gestionado de detección

y respuesta avanzada a través de algún software con las siguientes
características mínimas:
✓ Deberá estar integrada al servicio de ciberdefensa (visualización

de investigaciones).
✓ Protección para 50 máquinas servidores y/o estaciones de trabajo
compatible con los siguientes sistemas operativos:
o Windows 7 SP1 hasta Windows 10

o Windows Server 2008 R2 SP1 hasta Server/Core 2019

o macOS Big Sur, Catalina, Mojave
o Ubuntu, Redhat (RHEL), CentOS, Oracle, Amazon AMI,
SUSE Linux Enterprise Server, Fedora, Debian, Virtuozzo,
Scientific Linux
✓ La solución estará basada en una administración SaaS multitenant

de fácil uso y gestión flexible. El servicio debe incluir protección,
detección y respuesta ante amenazas de los endpoints.
✓ Protección contra ransomware con tecnología AI basado en
comportamiento.
✓ Protección automática ante una amenaza.
✓ Prevención de ataques basada en archivos mediante inteligencia
artificial estática y el servicio de inteligencia en nube del fabricante
✓ Detección de ataques fileless mediante IA de análisis de
comportamiento
✓ Respuesta autónoma frente a amenazas/eliminación, cuarentena
✓ Respuesta de remediación/rollback autónoma, mediante una sola
instrucción.
✓ Dispositivo en cuarentena de la red.
✓ Inventario de aplicaciones del dispositivo final.
✓ Detección de dispositivos no autorizados
✓ Vulnerabilidad de la aplicación del dispositivo final.
✓ Reglas de detección personalizadas con respuesta activa de
acuerdo con el contexto.
✓ El portal de administración de la solución EDR debe contar con las
siguientes características:
- Deberá ser una plataforma ampliada de detección y respuesta
(XDR)
- Capacidad de administrar la autenticacion y autorización
mediante SSO, MFA, RBAC.
- Integracion con la inteligencia de amenazas del propio
fabricante y con los indicadores de amenaza de MITRE
ATT&CK.
- Dashboard que permita el análisis de seguridad de los datos.
- Notificaciones configurables por email y Syslog
✓ La protección del dispositivo final deberá considerar: Inteligencia
Artificial (AI) estática, IA basado en el análisis de comportamiento,
protección frente a documentos, malware que se ejecuta en
memoria, exploits, movimiento lateral de malware.
✓ No se requiere una conexión central para proteger el dispositivo
final, ante la desconexión a Internet se mantendrá la protección de
manera autónoma.
✓ Respuesta automática a Ransomware, con capacidad de reversión
a una sola intrusión.
✓ Detección, prevención y respuesta a nivel organizacional
✓ Como respuesta del evento de ciberseguridad sobre el dispositivo
final, la solución de EDR deberá realizar remediación y reversión a
su estado original, cuarentena del dispositivo afectado, y
protección con o sin acceso a Internet.
✓ Entre las características más importantes del EDR se deberá
considerar: la detección de dispositivos sin el agente o no
autorizados, inventario y vulnerabilidad de aplicaciones instaladas
en el dispositivo final, control de dispositivo bluetooth, USB, control

de Firewall OS con reconocimiento de ubicación.
✓ El servicio de EDR debe considerar un argumento de ataque,
brindar visibilidad a bajo nivel, profunda del incidente, y permitir la
caza de amenaza.
✓ La solución de EDR debe permitir determinar la causa raíz detrás
de los actores de amenazas y responder de forma autónoma, sin
depender de los recursos de la nube.
✓ La solución de EDR debe permitir determinar la causa raíz detrás
de los actores de amenazas y responder de forma autónoma, sin
depender de los recursos de la nube.
✓ A fin de validar las características técnicas mínimas ofertadas la
protección avanzada de puesto de trabajo y servidores debe
presentar como parte de su oferta el Formato de
Cumplimiento del ANEXO D, debidamente sustentado,
c) Equipo de Administración de Ancho de Banda.
El CONTRATISTA, debe entregar en calidad de alquiler una solución

de administración de ancho de banda, para ello deberá instalar un (01)
equipo (appliance) de propósito dedicado, para garantizar el óptimo
servicio éste debe ser de tecnología vigente: .Dicho equipo deberá
contar con las siguientes características mínimas:
✓ Un equipo dedicado a la funcionalidad de gestionar ancho de

banda, este componente o función no deberá estar embebida
sobre enrutadores, firewalls, NGFW, UTM entre otras.
– Ver Anexo E.
✓ Debe estar licenciado para poder gestionar 100 Mbps de
throughput full duplex (100 Mbps entrante y 100 Mbps saliente) y
deberá tener capacidad de poder incrementar (con licenciamiento
adicional) a 2 Gbps (sin cambiar de hardware).
✓ Capacidad de clasificar el tráfico según: Aplicación, Protocolo,
Puerto, Rango de puertos, IP, Rango de IPs, Subred y VLAN
✓ Las reglas de clasificación se podrán configurar en múltiples
niveles, mínimo 10, de forma que una regla pueda tener diferentes
reglas hijo, y así sucesivamente.
✓ La configuración de políticas ha de realizarse mediante una
aplicación con interfaz web
✓ La construcción de políticas ha de realizarse de forma visual,
representándose el árbol con los diferentes niveles de forma
gráfica y no en modo tabla.
✓ Cada nodo del árbol de políticas ha de ser capaz de contraerse

para facilitar la visibilidad de todas las reglas, o poder visualizar un
único nodo y sus políticas hijas.
✓ Se debe disponer de un buscador que, al escribir una aplicación,
puerto, IP, dibuje el camino que recorre en el árbol para saber
rápidamente qué política se le está asignando.
✓ Aplicar reglas de QoS que contengan las siguientes opciones:
o Asignación de un mínimo de ancho de banda
o Limitación a un máximo ancho de banda
o Definición de diferentes prioridades
o Descartar aquellos paquetes no deseados (drop)
o Mantener el QoS original
o Eliminar el QoS para que sea más proclive a descartarse si
hay saturación
✓ Los catálogos de clasificación y control deben ser válidos para
aplicar a cualquier nivel del árbol de clasificación (sin necesidad de
definir a qué nivel corresponde la regla)
✓ Se debe disponer de capacidad de tener plantillas para poder
clonar políticas.
✓ Se debe poder tener algoritmos de QoS para priorización y
limitación de tráfico basado en % en vez de en valores estáticos o
fijos.
✓ El elemento es transparente a nivel de transporte, sin cambios en
las direcciones IP y puestos de origen destino.
✓ La solución de QoS ha de ser integrable dentro de una herramienta
de analítica avanzada que permita todas las funcionalidades
descritas en el módulo de reporting.
✓ El sistema de políticas debe tener autoprotección y detección de
incongruencias en políticas impidiendo la creación de una política
errónea y quedando marcado en el árbol de políticas en algún color
aquella política que no es válida impidiendo ser guardada.
✓ El equipo para ofertar debe disponer de un bypass externo y pasivo
simultaneo de interfaces de cobre y/o de fibra óptica, dicho bypass
deberá garantizar que en caso de falla eléctrica o de
procesamiento de este equipo, el tráfico no se vea interrumpido y
se garantice la continuidad de la conectividad de las interfaces en
funcionamiento.
✓ El dispositivo de gestión de ancho de banda deberá poder soportar
la optimización TCP de tráfico dentro de la misma caja, deberá
poder hacer las siguientes funcionalidades de aceleración:
➢ La solución de optimización deberá ir en línea y cumplir con los

siguientes requisitos:
• Optimización de tráfico encriptado por protocolo TLS
(versiones 1.0, 1.1, 1.2 y 1.3) sin romper la encriptación
extremo a extremo.
• Optimización de tráfico encriptado por protocolo SSL
(versiones 2.0, 3.0) sin romper la encriptación extremo a
extremo.
• Optimización de tráfico de Internet (tráfico no proveniente
del centro de datos/WAN).
• Optimización de tráfico de aplicaciones albergadas en la

nube.
• Despliegue en un solo punto en el camino del tráfico. No
deberá ser necesario desplegar parejas de elementos en
cada extremo del tráfico a optimizar.
• Despliegue en la nube no necesaria para optimizar
aplicaciones albergadas.
• Despliegue tanto en appliances de fabricante como modo
software en entorno virtual.
• Los parámetros de optimización se autoajustarán con
algoritmos de aprendizaje.
• El elemento actuará como un enlace físico (bump-in-the-
wire) que manda el tráfico entre dos puertos físicos sin
necesitar de direcciones IP asignadas y sin cambiar las
MACs de los paquetes que lo atraviesan.
• El elemento soporta agregación de enlaces.
• El elemento soporta VLANs
• El elemento es compatible con los siguientes mecanismos
de respaldo (failover): OSPF, BGP, 802.3ad.
• El elemento es transparente a nivel de transporte, sin
cambios en las direcciones IP y puestos de origen destino.
✓ Capilaridad a nivel de Aplicaciones y reporting del gestor de ancho
de banda
✓ La consola de analítica y reportería debe ser poder montada dentro
del gestor de ancho de banda sin que esto afecte al rendimiento.
No se admitirán soluciones cuya gestión vaya fuera del appliance
de gestión de tráfico o en la nube.
✓ Dicha parte de reportería deberá tener las siguientes capacidades
de monitorización y analítica avanzada:
• Creación de cuadros de mando personalizados a las
necesidades del cliente.
• Capacidad de hacer filtros en las diferentes tablas de la base
de datos y de las distintas fuentes de datos.
• Capacidad de hacer ZOOM o “Drill Down” desde una vista
superior a otra vista más particular.
• Capacidad de crear cuadros de mando con leyendas
personalizadas, incrustar vídeos, o fotos explicativas en la
página web del cuadro de mando. Capacidad de incrustar
Logos o cualquier otra información.
• Posibilidad de crear botones de búsqueda, cuadros de mando
de búsquedas, posibilidad de hacer búsquedas múltiples por
diversos criterios, etc.
• Interfaz gráfica multilenguaje.
• Interfaz gráfica debe soportar “modo claro” y “modo oscuro”.
• La interfaz gráfica debe auto-adaptarse a la resolución y/o al
tipo de terminal: laptop, tableta, móvil, etc.
• Posibilidad de hacer filtros de todo tipo de los datos y de las
vistas de los datos.
• Capacidad multitenant de acceso a las vistas de datos y a los
datos. Dicha funcionalidad no puede ser de coste adicional.
• Capacidad de multiplexar diferentes fuentes de datos en un

único cuadro de mando.
• Capacidad de creación de alarmas y eventos y planificación de
eventos.
• Notificación de alarmas en múltiples formatos tipo email, Slack,
o similares.
• Capacidad de visualizar umbrales de tres niveles, pudiendo
seleccionar los colores, tanto para series temporales como
agregadas y acelerómetros.
• Capacidad de generación de informes e informes
automatizados que se puedan programar y generar
automáticamente en formato PDF y otros, tipo JPG o CSV.
• Capacidad de creación mapas de “carreteras” que permitan
visualizar por donde va un flujo, servicio o aplicación.
Capacidad de autodescubrimiento de nodos de red.
• Capacidad de generar múltiples vistas de datos en formato
tabla, series temporales, diagramas, gráficos de barras,
gráficos de agregación como por ejemplo tipo “pie” y otros
muchos tipos.
• Se podrán sacar informes y gráficas en función del tiempo,
seleccionando mediante un calendario el periodo a visualizar.
• Se podrá definir la resolución de los datos a visualizar, por
ejemplo: cada minuto, cada 5 minutos, etc. Incluso se podrá ir
a resoluciones inferiores siempre y cuando se tengan datos con
una resolución inferior.
• Se podrán crear cuantos “dashboards” o cuadros de mando se
desea y la forma de construirlos será mediante tarjetas (cards)
que se pueden definir de cualquier tamaño, se podrán asignar
colores, leyendas y en definitiva personalizar.
• Dichas tarjetas estarán accesibles para los usuarios en función
de sus privilegios y podrán ser particulares de un usuario o
generales para ser utilizadas por muchos usuarios.
• Las tarjetas deben permitir suscribirse a eventos creados en
otras tarjetas. Es decir, haciendo click en un campo de una
tarjeta, debe permitir que se aplique el filtro del valor
seleccionado en otra u otras tarjetas.
• Una tarjeta puede ser definida como filtro, de modo que permita
crear una entrada de texto, una lista desplegable, botones de
selección, etc. Dichos filtros han de aplicarse a las tarjetas
predefinidas.
• Las tarjetas pueden configurarse para aparecer invisibles en el
cuadro de mando y aparecer sólo cuando se aplique un evento
determinado.
✓ Métricas, KPIs y tipos de aplicaciones necesarias de la
herramienta:
o Reconocimiento de aplicaciones a nivel 7.
o Capacidad de generar firmas para reconocimiento de
aplicaciones corporativas.
o Deben disponer de reportes relativos a: Aplicaciones,
Conversaciones, URLs, Puertos, Grupo de aplicaciones,
Nombre de host, IP origen, IP destino, Puerto origen,
Puerto destino
o Calcular las siguientes métricas:

▪ QoE
• RTT
• TCP duplicate ACK
• TCP Packet lost
• TCP Retransmission
• TCP RTT Client site
• TCP RTT Server site
▪ Network
• Number of flows
• Total throughput
• Total volume
• Downstream
• Upstream
• Packets transmit
• Packets received
• Activity duration
• Max peak throughput
▪ HTTP/HTTPS
• Service Setup time
• Mean data
• Peak data
• Service non accessibility
• Session failure ratio
• Session time
• Set up time
• Transactions
• Data transfer cut off
• Service access failure
▪ Usuario
• Duration Usage
• Total activity
• Start time
• Stop time
▪ VoIP
• RTT
• TCP Packet lost
• Caller ID
• Session Time
• Duration Time
✓ La sonda de red debe ser capaz de realizar capturas de tráfico para
poder generar PCAPs tanto para IPs concretas como para rangos
de IPs. Dichas capturas se podrán truncar parta de la carga útil del
paquete. Se podrá seleccionar las IPs o VLANs desde donde ser
realiza la captura.
✓ Se podrá almacenar en la base de datos gran cantidad de datos

(días, incluso semanas) para realizar las capturas siempre en
función del almacenamiento necesario para las mismas.
✓ Se podrá identificar el tráfico de un mismo flujo que pueda estar
duplicado, tanto para la captura de paquetes como para la propia
monitorización de la sonda DPI.
✓ Se puede recibir información segmentada por VLANs.
✓ Se podrá identificar un flujo o conexión independientemente de que
pudiera haber en la red un Proxy, NAT o un cambio en la cabecera
de los paquetes de dicha conexión.
✓ El sistema gestor de tráfico debe poder soportar, no licenciado de
inicio, en el mismo equipo y sin HW adicional la capacidad de
monitorizar todos los equipos externos al gestor que forman parte
de la comunicación del enlace a Internet (FW, SW, Routers,
Servidores u otros).
✓ A fin de validar las características técnicas mínimas ofertadas del
equipo administrador de ancho de banda se debe adjuntar en su
oferta el Formato de Cumplimiento del ANEXO E, debidamente
sustentado, indicando las referencias técnicas (número de
folio) evidenciadas en los documentos emitidos por el
fabricante (folletos, catálogos, brochures u otros).
d) Servicio de Ciberdefensa
El CONTRATISTA, deberá entregar un servicio de ciberdefensa

propio o de un tercero, con certificación ISO27001 e ISO22301, que,
mediante el análisis de logs de la solución de seguridad perimetral
(Firewall) y solución EDR, permita realizar investigaciones y escalar
incidentes con las siguientes características:
✓ Capas adicionales como analítica de comportamiento de usuarios

(UBA), orquestación, automatización y respuesta de seguridad
(SOAR), para procesar múltiples eventos de seguridad y
mecanismos de detección propietarios basados en Inteligencia
artificial totalmente integrados al servicio.
✓ Con el objetivo de validar y dar seguimiento a las investigaciones
de ciberseguridad, el CONTRATISTA deberá entregar un Portal
web seguro con doble factor de autenticación para revisar las
investigaciones. Esto se deberá entregar en la fase 02 de la
implementación del servicio, a través de un correo
electrónico.
✓ El portal debe actuar como una interfaz gráfica de usuario (GUI)
que muestre investigaciones que fueron realizadas por los
componentes (SIEM, UBA, SOAR, I.A.).
✓ El portal deberá mostrar investigaciones por el periodo de contrato
para efectos de historial y permitir consultas como: en cualquier
rango de tiempo, fuentes datos, estados, por lo menos 3 niveles
de condición de defensa o DEFCON (normal, intermedio y critica)
asociado a las investigaciones y misiones pendientes de revisar
✓ Capas adicionales al SIEM como analítica de comportamiento de
usuarios (UBA), orquestación, automatización y respuesta de
seguridad (SOAR), para procesar múltiples eventos de seguridad
y mecanismos de detección propietarios basados en Inteligencia

artificial totalmente integrados al servicio.
✓ Monitoreo 24x7 identificando amenazas cibernéticas que puedan
afectar la operación.
✓ Inteligencia de amenazas mediante actualizaciones de
indicadores de compromiso (IOC) de múltiples fuentes que
incluyen indicadores internos extraídos de eventos, comunidades
de código abierto, redes sociales, inteligencia técnica e
inteligencia procedente de la Deep and Dark Web. Las fuentes de
inteligencia de amenazas deberán ser enviadas al gestor de
eventos de la seguridad de la informacion para correlacionar y
generar detecciones.
✓ Caza de amenazas sobre el gestor de eventos de seguridad,
identificando, evaluando y mejorando la capacidad de detección
mediante búsqueda exhaustiva de ciber-amenazas y actividades
maliciosas.
✓ Respuesta y mitigación de incidentes en tiempo real ante ciber-
amenazas.
✓ Optimización de procesos consistentes de desarrollo y
aprendizaje que incluyan optimización de reglas, actualizaciones
y sugerencias de implementación de nuevas tecnologías de
detección de amenazas cibernéticas.
✓ Investigación forense de procesos en curso de presuntas
actividades maliciosas y amenazas cibernéticas incluyendo el
análisis post mortem de incidentes verificados. Mínimo de 4 horas
mensuales de ser requerido.
✓ El servicio deberá tener la capacidad de integrarse a cualquier
solución de seguridad, fuente de registro y Endpoint.
✓ Configuración personalizable de notificaciones vía email
(notificaciones, recomendaciones, acciones pendientes, nuevas
investigaciones, escalamiento de una investigación en curso,
modificación del estado de una investigación en curso)
✓ Este servicio será retroalimentado por un emisor externo de
incidentes para que de esta manera no sea juez ni parte en la
emisión de investigaciones, a fin de asegurar la imparcialidad y
permitir que la entidad pueda dar seguimiento de los tiempos de
resolución y atención del postor.
✓ Monitoreo de credenciales y direcciones IP en Web Oscura
o Monitoreo 24x7x365 de credenciales de correo del dominio
ucontinental.edu.pe (ilimitadas), 10 direcciones de correo
personal (gmail, outlook, etc) y de 49 direcciones Ipv4
públicas.
o Entregar visibilidad de los passwords comprometidos, si el
hallazgo lo permite.
o Incluir información personal, si el hallazgo lo permite, como
fecha de nacimiento, nombres, apellidos, números de
identificación personal y/o fiscal.
o Se deberá enviar un informe mensual y en el caso de
detectarse una brecha entre entregas de informes, se
deberá enviar un informe diario especializado para los
hallazgos en particular.
✓ Gestión continua de vulnerabilidades y monitoreo de superficie de

ataque para el dominio apn.gob.pe y hasta 30 subdominios por el
periodo de contrato.
✓ Visibilidad desde el punto de vista de un ciberdelincuente mediante
visualización de recursos y/o aplicaciones expuestas. Se deberá
restringir todo lo que no sea necesario estar publicado. Se deberá
poder visualizar:
o Direcciones ip
o Hostnames
o Puertos
o Protocolos
o Servicios
o Información de servicios
o Expiración de certificados SSL
✓ La gestión continua de vulnerabilidades deberá ejecutarse de
forma semanal, por el periodo de contrato y cada vez que se
registre una amenaza emergente indicando los CVE asociados.
✓ La solución deberá ejecutar como mínimo 11,000 controles
infosec. El contratista deberá adjuntar el listado de controles con la
siguiente información:
o Nombre del control
o CVE
o Data de publicación
o Clasificación CVSS
o Factor de riesgo (alto, mediano, bajo).
✓ Los controles de seguridad deben ser del tipo:
o Software y hardware vulnerable
o Vulnerabilidades de aplicaciones Web
▪ OWASP10
▪ SQL Injection
▪ XSS
▪ XXE
o Fuga de información
▪ Información local de directorio
▪ Direccion IP interna
o Reducción de superficie de ataque
▪ Base de datos expuestas
▪ Interfaces administrativas
▪ Servicios sensibles (SMB)
▪ Software de monitoreo de red
o Debilidad SSL/TLS
▪ Heartbleed, Crime, Beast, Robot
▪ Protocolos de bajo cifrado
▪ Configuraciones erroneas de certificados SSL
▪ Servicios sin encriptación
✓ Los informes deberán presentar las vulnerabilidades encontradas
con el siguiente contexto
o Descripción
o Ocurrencia
o Evidencia
o Remediación
o Nuevas vulnerabilidades versus análisis anterior
e) Servicio de Gestión de Vulnerabilidades
El CONTRATISTA, deberá entregar un servicio de gestión de

vulnerabilidades que contemple lo siguiente:
✓ Una solución de gestión de vulnerabilidades y auditoría de

configuraciones de infraestructura que está basada en cloud,
en modalidad software como servicio, licenciada para 65
activos de infraestructura y 20 aplicaciones web.
✓ Realizar escaneos de vulnerabilidades y evaluación de
configuraciones (políticas) en forma programada y automática.
Los resultados de estos deberán estar consolidados en un
único sistema de gestión.
✓ Colectar datos mediante escáneres activos, escáneres pasivos
(análisis de tráfico de red) y agentes. No deberá haber límites
en la cantidad de escáneres a desplegar en forma distribuida.
Además, deberá contar con motores de escaneo públicos para
escanear ambientes publicados a Internet.
✓ Estar basado en un catálogo propio de vulnerabilidades que
incluyan más de 160 mil evaluaciones diferentes y al menos 64
mil vulnerabilidades conocidas por un período no menor a 15
años.
✓ Proveer un mecanismo de priorización de vulnerabilidades
automático basado en la probabilidad de explotación y que
ofrezca información alternativa al CVSS (Common Vulnerability
Scoring System) basada en Inteligencia de amenazas reales
recabada de diversas fuentes como Deep Web, Dark Web,
redes sociales, sitios de divulgación y otros centros de
investigación.
✓ Ser capaz de evaluar, no solo vulnerabilidades, sino auditar
configuraciones y compararlas contra las mejores prácticas y
frameworks de seguridad tales como CIS, CERT, CISA STIG,
PCI y otros para la totalidad de activos licenciados, incluidos
equipos de red, infraestructura de virtualización, Windows,
Linux, Bases de Datos, Aplicaciones y otros sistemas. Estas
auditorías podrán ser personalizables por la organización. Esta
funcionalidad es también conocida como Policy Compliance.
Se requiere esta capacidad sin límites de licenciamiento.
✓ Deberá contar con una API completa para integración
mediante scripting automatizado y exportación de datos
mediante llamados. Esta API debe estar liberada y
documentada y no deberá tener limitaciones de licencias en
cantidad de llamados o sistemas que la consultan. Si no existe
una licencia ilimitada, considerar la de mayor capacidad
disponible.
✓ Los escáneres deben ser desplegables en modalidad software
y virtual appliance con soporte de VMware y Hyper-V.
✓ Deben permitir la configuración y almacenamiento seguro de
credenciales de usuario para escanear mediante cuentas
locales y de dominio Windows, cuentas ssh para sistemas
Unix/Linux y dispositivos de red. Deberá permitir elevar
privilegios mediante “su” y “sudo” y no deberá tener
limitaciones en cantidad de credenciales. Además, el sistema
deberá integrarse con soluciones de bóvedas digitales como

Cyberark, Centrify, Beyondtrust y otras.
✓ Deberá ser capaz de obtener vulnerabilidades de estaciones
de trabajo en Internet (teletrabajo) y otros ambientes no
conectados a la red del organismo, e inalcanzables por un
escáner, mediante agente Windows, Linux y MacOS.
✓ Deberá contar con escaneos que solo auditen la existencia o
inexistencia de parches de todo tipo de sistemas (Windows
Desktop, Unix/Linux, equipos de red, aplicaciones y otras
plataformas).
✓ Deberá mantener registro de estado de vulnerabilidades por
activo, de modo de identificar vulnerabilidades que, habiendo
sido remediadas, volvieron a surgir en nuevos escaneos.
Deberán registrarse las fechas de primera aparición, última
aparición y reaparición. Además, se deberá contar con una
vista de vulnerabilidades remediadas.
✓ La solución debe ser capaz de identificar sistemas
comprometidos por malware y otros códigos maliciosos.
También deberá ser capaz de identificar la ejecución y nivel de
firmas del sistema de Antimalware presente en el dispositivo.
✓ Permitir auto-clasificar activos mediante reglas que asignen
clases o etiquetas de acuerdo a diversos criterios como
Ubicación, Criticidad, Unidad de negocio, tipo de tecnología,
dueño del activo, y otros.
✓ Debe reportar vulnerabilidades que sean explotables,
establecer el nivel de madurez del código de exploit (si aplica),
documentar de que forma se explota (malware, acceso remoto,
con o sin credenciales), si el exploit está presente en
frameworks reconocidos tales como Metasploit, Canvas, Core
y otras.
✓ Proporcionar un modelo de licencia dinámico, para garantizar
que la recopilación de datos (escaneos activos o detección
pasiva) no se interrumpa cuando se rebase temporalmente las
licencias contratadas. Además, la solución deberá contar con
la posibilidad de informar el conteo de licencias utilizado y
licenciado y las fechas de expiración.
✓ Proporcionar control de acceso basado en roles y perfiles con
suficiente granularidad para controlar a los usuarios el acceso
a determinados conjuntos de datos y la funcionalidad que está
disponible para los usuarios tales como ejecutar escaneos,
cambiar configuraciones, acceder a los resultados, generar
reportes, aceptar riesgos y otros casos de uso. Debe contar
con roles predefinidos y permitir crear nuevos roles.
✓ Permitir configurar características de performance de red para
impedir que produzca excesos de tráfico en redes de bajo
ancho de banda disponible. También deberá permitir
configurar la simultaneidad de sistemas escaneados y la
cantidad de chequeos por escaneo. Aun teniendo estas
medidas el sistema deberá incluir la capacidad de programar
ventanas horarias que automáticamente detengan la ejecución
de todos los escaneos y luego los reanuden.
✓ Presentar paneles de control predefinidos y personalizables
que contengan datos estadísticos, gráficos de tendencias,
información relevante mediante filtros, índices de riesgos y

otros datos importantes.
✓ Deberá ser capaz de identificar activos mediante escaneos de
descubrimiento y escaneos pasivos. Además, deberá detectar
el sistema operativo, los servicios que se ejecutan, el software
instalado y datos que permitan identificarlo tales como IP, MAC
Address, hostname/DNS Name. Deberá permitir aplicar
etiquetas que designen criterios de clasificación tales como
criticidad, área o departamento, dueño, ubicación física,
ambiente. Estas etiquetas deberán ser completamente
personalizables y permitir crear reglas que las apliquen
automáticamente. También deberá registrar el día y hora que
se vio al activo por primera y última vez y la última vez que fue
escaneado con credenciales.
✓ Contar de forma nativa e incluida en su licenciamiento, la
capacidad de conectarse a las API de Google Cloud Platform,
AWS y Azure para el descubrimiento de nuevas instancias en
entornos de nube. Además, deberá contar con escáneres pre-
autorizados y disponibles en esos servicios de nube.
✓ Permitir realizar escaneos del tipo auditoría de configuración
para determinar el cumplimiento de los controles de seguridad
y mejores prácticas contra estándares de industria (CIS, NIST,
etc), recomendaciones de fabricantes y políticas internas
personalizadas. Estas auditorías deberán alcanzar a sistemas
operativos, incluyendo los de los dispositivos de red,
aplicaciones, motores de bases de datos, hipervisores, cuentas
cloud (AWS, Azure, Google Cloud Platform) y otros
componentes de infraestructura y deberá permitir ser ejecutado
con escáner de red o con agente.
✓ Contar además con mecanismos para detectar información
sensible y ser capaz de auditar la ejecución y estado de
actualización de los paquetes antivirus instalados.
Para la gestión de vulnerabilidades sobre Aplicaciones Web, se

contemplara las siguientes características:
✓ Contar con un módulo que automatice el descubrimiento de

problemas de seguridad comunes tales como Cross-Site
Scripting, SQL Injection, Directory Traversal,
✓ Configuraciones inseguras y otras vulnerabilidades y
debilidades en aplicaciones Web.
✓ Deberá estar orientado al descubrimiento de vulnerabilidades
indicadas en el TOP 10 de OWASP https://owasp.org/www-
project-top-ten/
✓ Debe utilizar motores de escaneo propios. No se aceptarán
soluciones que utilicen motores de otros fabricantes o
tecnologías open-source.
✓ Debe contar con motores de escaneo públicos, listos para ser
usados sin necesidad de despliegue para aplicaciones
publicadas a Internet.
✓ Contar con diferentes opciones de escáneres distribuidos
globalmente y tener libertad de elegir cual utilizar.
✓ Deberá informar los rangos de IP utilizados por cada grupo de

escáneres.
✓ Los escáneres deberán auto escalar de manera de no producir
mayores retrasos ni colas de espera en la ejecución.
✓ Contar con una opción de despliegue local para motores de
análisis que permitan escanear aplicaciones internas no
✓ Definir y administrar grupos de usuarios, incluida la limitación
de las funciones de escaneo y el acceso a informes.
✓ Contar con la opción de configurar métodos de autenticación
de múltiples factores.
✓ Contar con ilimitados motores de escaneo sin que la licencia
limite su uso.
✓ Se debe permitir la definición de secciones críticas de la
aplicación que sean seguras para escanear y de otras partes
que nunca deberían escanearse, para evitar latencias de
rendimiento e interrupciones.
✓ Debe soportar todas las versiones de protocolos de transporte
utilizados comúnmente en los sitios web actuales, incluyendo
http v.1.1, http v.1.0, SSL/TLS, http compression, http User
Agent Configuration.
✓ debe estar basada en escaneos activos mediante tests
remotos. No se tendrán en cuenta herramientas que analicen
tráfico ni requieran la implementación de piezas de software o
código en la aplicación o requiera la instalación de un gateway
para su análisis.
✓ Debe contar con plantillas de scan que permitan escanear las
vulnerabilidades de una aplicación y otros que permitan solo
entender la estructura del sitio. Deberá también haber
plantillas para auditar la versión de SSL/TLS implementada en
la aplicación.
✓ Contar con una plantilla que permita auditar la configuración de
la aplicación.
✓ Contar con un repositorio de credenciales para ser utilizadas
en los escaneos.
✓ Contar con la posibilidad de ingresar credenciales de usuarios
válidos de la aplicación y soportar los siguientes esquemas:
o Usuario/Password usando esquema Basic/Digest o
NTLM.
o Formulario de Login de la aplicación indicando url y con la
opción de configurar una Regex o una página específica
que permita verificar el login exitoso.
o Cookie con verificación de login exitoso.
o Selenium mediante la generación de un script
automatizado mediante el registro de ingreso de una
sesión válida
✓ El escáner debe mantener una sesión válida activa durante
todo el escaneo, tanto para descubrir los elementos del sitio
(parámetros, cookies, formularios, enlaces, etc.) como para el
testeo de vulnerabilidades.
✓ Deberá permitir configurar una programación para ejecutar un
escaneo en forma recurrente, programando la frecuencia o
definiendo día y hora precisa de inicio.
✓ Permitir configurar permisos de acceso y visibilidad a los

resultados y de control y configuración de los parámetros del
escaneo.
✓ Permitirá definir si los resultados son compartidos y
acumulados en los paneles de control y reportes generales o
son solo de consulta del propietario
✓ Permitirá utilizar scripts de Selenium para analizar páginas con
lógicas de acceso complejas.
✓ Permitirá definir URLs explícitas para ser incluidas o excluidas
en una tarea es escaneo.
✓ Permitirá definir extensiones de archivos para que sean
excluidas de análisis.
✓ Deberá dar la opción de configurar la descomposición del Path
para incluir directorios recursivos como nuevas URLs.
✓ Debe ser capaz de auditar:
o Cookies
o Encabezados (Headers)
o Formularios
o Links
o Nombres de Parámetros
o Valores de Parámetros
o Elementos JSON
o Elementos XML
o Formularios UI (Entradas y grupos de botones asociados
con código JavaScript)
o Entradas UI (elementos de entrada huérfanos con los
eventos del modelo de objeto de documento (DOM)
asociado)
✓ Permitir definir una URL de un host remoto para testear una
vulnerabilidad de RFI (Remote File Inclusion)
✓ Contar con la opción de definir la duración máxima de un
escaneo.
✓ Contar con parámetros que limiten la cantidad de URLs que el
sistema rastreará, la cantidad máxima de directorios, el tamaño
máximo de una página que analizará y la cantidad máxima de
redirecciones que el escaneo hará antes de detenerse.
✓ Permitir definir el user-agent con que el escaner explorará la
aplicación.
✓ Permitirá definir opciones de pantalla que usará el escaner
para la evaluación, tales como el ancho y el alto en pixeles.
✓ Contar con opciones para configurar la performance del
escaneo tales como:
o Máximo número de conexiones HTTP concurrentes
o Máximo número de requerimientos HTTP por segundo
o Detectar red congestionada y reducir la carga
o Especificar el tiempo máximo de espera de las respuestas
o Especificar el tiempo máximo de espera de un browser
antes de abortar el escaneo
o Especificar el número consecutivo de vencimientos de
tiempo de espera (timeouts) antes de abortar el escaneo
✓ Tener la suficiente granularidad como para poder definir la
habilitación/inhabilitación de tests de vulnerabilidades
puntuales o por familias.
✓ El fabricante deberá poner a disposición acceso a una API que

permita crear conectores, importar/exportar datos y
automatizar procesos.
✓ Ser capaz de detectar vulnerabilidades que permitan la
inyección de código.
✓ Deberá testear la aplicación e identificar vulnerabilidades de
Cross-Site Scripting.
✓ Deberá contar con evaluaciones que identifiquen
vulnerabilidades que permitan la exposición de datos.
✓ Deberá detectar vulnerabilidades y debilidades de
configuración del Web Server.
✓ Deberá contar con múltiples evaluaciones relacionadas con
SSL/TLS, identificando cifrados no soportados o débiles,
certificados auto-firmados o expirados, versiones débiles u
obsoletas de protocolo.
✓ debe ser segura de escanear en ambientes de producción.
✓ debe tener la capacidad de testear una aplicación web
diseñada para el uso en dispositivos móviles.
✓ Deberá ser capaz de testear aplicaciones HTML5.
✓ Debe Ser capaz de lanzar escaneos bajo demanda y
detenerlos durante su ejecución.
✓ Debe permitir ejecutar múltiples escaneos simultáneos.
✓ Debe entregar paneles de control que muestren indicadores
estadísticos con número de vulnerabilidades por criticidad.
✓ Deberá entregar paneles de control que muestren indicadores
de ejecución de los escaneos.
✓ Debe mostrar en los paneles de control, cuantas
vulnerabilidades existen agrupadas por categoría de OWASP.
✓ Deberá mostrar resultados ordenados por vulnerabilidad o por
aplicación y ordenando por severidad y cantidad.
✓ Dada una aplicación, el sistema deberá mostrar el histórico de
escaneos realizados sobre la misma.
✓ Deberá contar con paneles de control que muestren
estadísticas de vulnerabilidades por aplicación, por categoría
de OWASP y por severidad.
✓ Deberá permitir crear paneles de control personalizados.
✓ A fin de validar las características técnicas mínimas ofertadas
de la solución de la gestión del vulnerabilidades se deberá
adjuntar en su oferta el Formato de Cumplimiento del
ANEXO F, debidamente sustentado, indicando las
referencias técnicas (número de folio) evidenciadas en los
documentos emitidos por el fabricante (folletos, catálogos,
brochures u otros).
✓
f) Servicio de Protección DDoS.
✓ El CONTRATISTA, deberá brindar el servicio de protección DDoS

para la APN. El servicio deberá tener las siguientes características:
• Se requiere de un servicio de mitigación de ataques de
denegación de servicios en la nube, del CONTRATISTA.
• La solución debe soportar IPV4 y IPV6.
• Capacidad de throughput inspección incluida debe ser de al

menos del ancho de banda contratado.
• Capacidad de informar la cantidad de tráfico malicioso
bloqueado, en bps, durante una mitigación activa en la nube.
• Capacidad de informar la cantidad de tiempo que una
mitigación de nube lleva ejecutándose.
• El servicio incluirá la protección contra ataques de denegación
de servicio hasta la capa 4 y/o hasta la capa 7.
g) Soporte de LAN gestionada.
✓ El CONTRATISTA, deberá brindar el servicio de soporte

gestionado y la renovación de la garantía de fábrica de los equipos
de comunicaciones propiedad de la APN. El servicio deberá tener
las siguientes características:
• Si los equipos Switch instalados fallan (deja de funcionar), el

CONTRATISTA, debe gestionar el cambio por otro similar o
superior en un plazo del MRA de la marca
• Debe realizar atención de incidencias de los Switch de forma
ilimitada.
• Actualizar el Firmware de los equipos de ser necesario.
• Renovar las garantías del fabricante de los equipos de
comunicaciones de propiedad de la APN por 36 meses, esto
es para los equipos que no cuenten con garantía en el
momento de la activación del servicio. Dichas garantías serán
vigentes a partir de la firma del acta de activación del servicio,
los certificados o cartas de garantía deben ser entregadas a la
firma del acta de activación del servicio.
• Para los equipos de comunicaciones de propiedad de la APN

que cuenten aun con garantía, el CONTRATISTA, solo se
encargara de gestionar los cambios por garantía de fábrica y
también de la gestión, administración, configuración y atención
de incidencias y requerimientos.
• El equipamiento de comunicaciones para la Red gestionada

de propiedad de la APN es el siguiente:
Equipo Marca Modelo Cantidad Series
Switch- • GA0214510238
JUNIPER EX3300 02
Core • GA0214520292
• CT0213357276
• CU0214330227
• CT0214320149
Swtich-
JUNIPER EX2200 07 • CU0213394679
Acceso
• CT0214320260
• CT0214490661
• CT0210240983
Switch- • JW3620260611
JUNIPER EX2300 10
Acceso • JW3620261001
• JW3620260622
• JW3620261021
• JW3620260935
• JW3620260607
• JW3620260542
• JW3620260567
• JW3620260603
• JW3620261030
Switch- C9300- • FJC24431NXF
CISCO 02
Acceso 24T • FJC24431NXF
• CN83HL3248
Switch- • CN83HL33BT
ARUBA 2930F 04
Acceso • CN83HL327C
• CN83HL3238
• CNF0J0T7B3
• CNF0J0T7B4
Access IAP • CNF0J0T77P
ARUBA 06
Point 315RW • CNF0J0T77T
• CNF0J0T7DP
• CNF0J0T7GN
• CN63HH85LH
• CN63HH85ML
Access IAP 205 • CN63HH85QX
ARUBA 06
Point RW • CN63HH85MW
• CN63HH85MV
• CN63HH85MN
• CNJFJSS0K8
• CNJFJSS0Q1
• CNJ7JSSGGN
Access IAP 305
ARUBA 07 • CNJFJSS0H8
Point RW
• CNJ7JSS0K9
• CNJFJSS005
• CNJ7JSSFY0
• Para el caso del Access Point, el CONTRATISTA debe realizar

un diagnóstico inicial de la red inalámbrica a fin de mejorar el
rendimiento de esta. Si en caso fuera necesario reubicar
algunos de los equipos inalámbricos, el CONTRATISTA será
responsable de realizar dicha actividad la cual incluirá el
tendido del cableado de red, en la misma categoría con que se
encuentre la red de la institución, siendo la APN la responsable
de proporcionar la conexión eléctrica. Esta revisión deberá
realizarse en la fase 02 de implementación del servicio y
se detallará el resultado del diagnostico y las mejoras
realizadas si fuese el caso.
• Si durante el periodo de contrato, algunos de los equipos

inalámbricos o switch culminara su garantía de fábrica dentro
de dicho periodo, el CONTRATISTA deberá realizar las
renovaciones de garantía correspondientes a fin de mantener

la garantía de fábrica por lo que reste del contrato. Dicha
renovación de garantía deberá ser entregada por mesa de
partes en el momento que realice la renovación. Esta
renovación no generara costo para la entidad.
• El CONTRATISTA, deberá tener en cuenta que 01 switch de

la marca Aruba se encuentra en el CCCRE de la ciudad de
Iquitos. Los demás equipos se encuentran distribuidos entre la
sede central de la APN y el CCCRE del puerto del Callao.
• El servicio de soporte de LAN gestionada deberá detectar las

fallas de lentitud en la red de cableado y la red inalámbrica de
la sede central de la APN, a fin de identificar problemas de
bucles, duplicidad de direcciones IP, altos consumos de ancho
de banda de alguna estación de trabajo y cualquier otro
problema interno que se presente en la red de la sede central
de la APN.
1.3 SERVICIO DE ENLACE DE DATOS CON EL CCCRE.
a) Enlace de Datos
✓ Los enlaces dedicados de transmisión tendrán las siguientes

características:
• Simétrico, deberá tener un overbooking 1:1 y un ancho de

banda de 35 Mbps garantizado al 100% en ambos extremos,
para la Sede Central ubicado en el Av. Santa Rosa 135 – La
Perla – Callao y la Sede del CCCRE del Puerto del Callao,
ubicado en Av. Manco Cápac S/N – Callao (Referencia: frente
a la Av. Piérola).
• El CONTRATISTA deberá de proveer dos equipos router, uno
para la sede central y otro para el CCCRE del puerto del
Callao, además de los equipos necesarios para la
interconexión de la sede central de la APN y la sede del Centro
de Control de Comunicaciones y Respuesta a Emergencias
(CCCRE), del puerto del Callao.
• A fin de validar las características técnicas mínimas ofertadas
para estos dos router, debe presentar en su oferta el Formato
de Cumplimiento del ANEXO B, debidamente sustentado,
• Los enlaces dedicados deberán soportar QoS y diferenciar el
tráfico de extremo a extremo para voz, datos y video según el
requerimiento de la APN. La entidad indicara la
configuración de los COS en la fase 02 de la
implementación del servicio.
• El medio de transmisión requerido debe ser fibra óptica en la
última milla.
• El servicio deberá contar con una Red IP/MPLS con el fin de

cumplir con los requerimientos del APN.
• El backbone deberá ser propio y no rentados a terceros. El
CONTRATISTA deberá garantizar que cumple con dicho
requerimiento, para tener solo un punto de coordinación en los
momentos que se genere una atención de soporte.
• El medio de comunicación físico deberá ser alámbrico con
tecnología IP/MPLS (Multiprotocol Label Switching) de
acuerdo con el uso de conectividad que maneja el APN.
• Para efectos de la propuesta, ninguno de los modelos
ofertados podrá estar listados ni anunciado en el sitio web del
fabricante como end-of-life o end-of-sale o end-of-support. Se
deberá adjuntar a su propuesta el enlace público del
fabricante que verifique que los modelos propuestos no
están en ese listado – Ver Anexo A.
• El enrutador por instalar en las sedes usuarias deberá tener
como mínimo las siguientes interfaces físicas para la
conectividad de datos: 02 interfaces Ethernet 10/100 Mbps.
• Soporte Técnico 24Hrs x 7 días a la semana, durante la
vigencia del contrato y ante cualquier eventualidad en la
transmisión.
• El retardo del enlace end to end (implica medición entre nodos
del CONTRATISTA) tendrá un tiempo de 30ms y la medición
se realizará con paquetes de tamaño de 32 bytes. Dicha
medición se realizará en la fase 03 de pruebas y se
adjuntará dichos resultados en el informe final.
• La solución deberá permitir el cambio de la configuración de
los COS durante el periodo del contrato sin costo alguno para
la entidad.
• La disponibilidad del enlace de datos debe ser de al menos
99.50%mensual. Se entiende que la red en esta zona es
propensa a una mayor frecuencia de cortes de fibra óptica.
1.4 SERVICIO DE TELEFONÍA FIJA DIGITAL
a) Telefonía Fija.
✓ La cobertura para el servicio solicitado es de acuerdo con el cuadro

siguiente:
Cantidad de Canales de
Sede Dirección DIDs
PRIs Voz
Sede Av. Santa Rosa 135 La

01 PRI 30 100
Central Perla - Callao
El servicio deberá de permitir el acceso sin restricciones a los

siguientes destinos:
Minutos Fijos Bolsa Incluida

Telefonía Fija Local 10,000 minutos mensuales
Telefonía Fija a Móvil Nacional 5,000 minutos mensuales

Larga Distancia Fijo Nacionales 1,800 minutos mensuales
Larga Distancia Fijo Internacionales 200 minutos mensuales
Larga Distancia Móvil
100 minutos mensuales
Internacionales
• El servicio debe brindar la posibilidad de restringir las llamadas

a teléfonos celulares en general (locales, nacionales e
internacionales) a petición de la entidad.
• Las llamadas a celulares deben considerarse dentro de las
bolsas contratadas y no deben generar costo adicional (salvo
se haya consumido la totalidad de minutos de la bolsa).
• Las llamadas a destinos no contempladas en las bolsas
descritas (rurales, satelitales) serán facturadas de manera
adicional a precios de lista y deben ser facturados en el mismo
documento de los consumos adicionales fuera de bolsa.
b) Detalles del servicio de Telefonía Fija Digital
✓ Uno de los dos E1 PRI deberán ser configurado en modo

activo/activo, el medio físico de transporte de ambos enlaces
debeser fibra óptica canalizada en todo su recorrido desde el punto
de presencia del proveedor hasta el local central de la APN,
garantizando de esta forma la calidad y continuidad del servicio. El
enlace de respaldo deberá provenir de un nodo diferente al enlace
principal, así como deberá utilizar una ruta distinta. Se precisa que
son 100 DID distribuidos entre los 2 E1 PRI.
✓ El Enlace Primario Principal (E1 PRI) debe ser configurado con 30
canales digitales de comunicación; utilizando como medio de
comunicación Fibra Óptica desde el punto de presencia del
CONTRATISTA.
✓ El Enlace Primario Contingencia (E1 PRI) debe ser configurado
con 30 canales digitales de comunicación; utilizando como medio
de comunicación Fibra Óptica desde el punto de presencia del
CONTRATISTA.
✓ Se debe asignar 100 números DIDs (para poder acceder a una
extensión telefónica directamente sin pasar por una operadora). Se
precisa que la cantidad de DOD deberá ser la misma que los DID.
✓ El tipo de interface de señalización ofrecido deberá ser E1 PRI,
utilizando el protocolo Euro ISDN. El PRI deberá tener
descubrimiento del número de la llamada entrante.
✓ Acceso gratuito a los servicios de emergencia.
✓ Presentación de identidad del usuario llamante.
✓ Garantía de privacidad en las telecomunicaciones.
✓ Capacidad de discado directo nacional (DDN), internacional (DDI)
y restricciones de bloqueo.
✓ Servicio de facturación detallada de las conexiones o llamadas
salientes, así como los minutos reales consumidos en forma
mensual, los que deberán llegar mensualmente vía correo
electrónico (se deberá enviar al siguiente correo:
[email protected]) y en formato MS Excel, lo que
permitirá a la entidad analizar sus consumos de manera detallada
por cada DID, donde se detalle sus consumos llamada por

llamada.
✓ Servicio sin restricciones de bloqueo para ningún tipo de destino
definido en el cuadro de bolsas a contratar. Caso contrario deberá
ser solicitado expresamente por la APN a través del área
responsable del servicio.
✓ Bajo los principios de neutralidad no-discriminación igualdad de
acceso y libre y leal competencia promovidos por OSIPTEL, el
CONTRATISTA, debe de permitir el acceso a los servicios de larga
distancia nacional y larga distancia internacional de otras
operadoras de la competencia a consideración de la APN
✓ El CONTRATISTA deberá facilitar toda información solicitada por
la APN referente a consumos desagregados, sin costo alguno y al
finalizar cada periodo de facturación.
✓ El servicio de Telefonía debe brindar la facilidad de reportes por
conjuntos de DIDs agrupados por centro de costo o unidad
orgánica según defina la entidad.
✓ Conexión en HUNTING.
1.5 SERVICIO DE CENTRAL TELEFÓNICA - (TELEFONÍA INTERNA)
a) Equipo Central Telefónica
o El servicio deberá brindar una solución de Telefonía IP Privada

Gestionada, para ello el CONTRATISTA brindará un equipo
(appliance) de propósito dedicado en calidad de alquiler (Se
precisa que una vez finalizado el plazo contractual, la entidad
procederá a la devolución de los equipos entregados en alquiler),
,para garantizar un óptimo servicio el equipo debe ser de
tecnología vigente. La central telefónica, deberán contar con las
siguientes características mínimas:
• El equipamiento deberá ser de solución tipo appliance de

propósito específico con arquitectura todo en uno (all-in-one),
de crecimiento modular a través de tarjetería, y basado en el
protocolo SIP.
• Para efectos de la propuesta, ninguno de los modelos
están en ese listado – Ver Anexo G.
• La central telefónica debe incluir los puertos para dos
primarios.
• La central telefónica debe tener la capacidad de integrar 96
teléfonos analógicos, de ser el caso se deberá incluir las
licencias necesarias.
• Debe contemplar 86 licencias para telefonía IP como mínimo.
• El sistema de comunicaciones deberá permitir asignar hasta
300 códigos o más, para la realización de llamadas como
mínimo, asociado a los permisos con los que cuenta cada
usuario, por ejemplo, llamada a teléfonos fijos, teléfonos
móviles, larga distancia nacional o larga distancia

internacional.
• La central debe permitir contestar las llamadas de un anexo a
otro.
• La central debe permitir crear grupos de anexos.
• El sistema deberá estar habilitado para atender la capacidad
de equipos telefónicos solicitados, teniendo capacidad para
soporte de telefonía IP y análoga. Sin embargo, la solución
deberá estar dimensionada para soportar un crecimiento de
hasta un 100% como mínimo.
• En caso de suministrase licencias en software o hardware,
éstas serán cedidas a perpetuidad y no deberán ser
necesarios contratos de renovación periódicos. Para ello el
CONTRATISTA, deberá entregar el certificado de las licencias
de ser el caso, como anexo al informe final referente a la
instalación y configuración del servicio.
• El sistema deberá proporcionar buzones de voz incorporados
(built-in) para implementar la funcionalidad de correos de voz
y prevenir la pérdida de llamadas.
• El sistema deberá soportar servicios suplementarios tales
como, llamada de emergencia, estación de secretaria, y
barrido de llamada, entre otros, para cumplir con los diferentes
requerimientos de servicio.
• El sistema deberá soportar IPv4 e IPv6.
• Se deberá considerar que, durante el periodo de contrato, la
APN podrá solicitar el cambio de IPv4 a IPv6, así como la
configuración en los equipos de comunicaciones en calidad de
alquiler y los equipos de comunicaciones de propiedad de la
APN (los cuales cuentan con soporte para IPv6), para que se
configure el protocolo IPv6 en la red telefonía fija, dicha
configuración no tendrá costo para la institución.
• El sistema debe estar en capacidad de soportar los códecs de
audio G.711a, G.711μ, G.729AB.
• El sistema de comunicaciones deberá ser una plataforma de
comunicaciones IP y soportar una gama de teléfonos IP que a
su vez soporten estándares internacionales como Calidad de
Servicio (QoS), G.711a, G.711μ, G.729AB en conexión
Ethernet, con switch incorporado, de 10/100 Mbps como
mínimo.
• La central telefónica deberá estar en capacidad de integrarse
sin problemas con un sistema de tarificación externo, en lo que
se refiere a asignación de cuotas, que opcionalmente incluya
cortes de llamadas, aviso de corte mediante mensajería entre
otros.
• El sistema deberá permitir la personalización de la música de
espera y poder permitirle la adición de mensajes
Institucionales.
• , Se deberá cambiar el actual saludo de la central telefónica de
la APN, en la solución que este proponga. Para ello, El
CONTRATISTA, deberá realizar la grabación del saludo en un
estudio profesional de tal forma que dicho audio no presente
ruido, ni voces robotizadas. La APN entregará al
CONTRATISTA, el texto bajo el cual se realizará la grabación

para que posteriormente este sea incluido en el sistema de la
central telefónica, esta configuración deberá realizarse antes
de la activación del servicio. Dicho audio deberá ser parte de
los entregables del informe final referente a la instalación y
configuración del servicio.
• El sistema de la central telefónica debe ser capaz de permitir
que se pueda grabar un saludo de bienvenida con opciones de
tal forma que el usuario externo, pueda seleccionar de forma
rápida al área que desea llamar, asimismo en caso el usuario
externo desee comunicarse con la operadora y esta esté
ocupada, el sistema deberá enviar un mensaje de espera y
apenas la operadora libera la línea el mensaje de espera sea
interrumpido para que ingrese la llamada.
• El sistema de la central Telefónica debe permitir que cuando
la operadora se encuentre atendiendo una llamada e ingrese
en ese mismo instante alguna llamada externa, el sistema
deberá a través de un audio indicar que la operadora está
ocupada, dando la opción de marcar el anexo o seguir
esperando la atención de la operadora.
• Asimismo, las opciones que marque el usuario externo
deberán estar relacionadas a uno o dos anexos, es decir si en
caso un anexo se encuentra ocupado y ha timbrado más de 05
veces la llamada pasara al siguiente anexo que esté
relacionado a la opción que se haya marcado y encaso este
segundo anexo este ocupado, el sistema le indicara mediante
un mensaje que el anexo está ocupado y dando la alternativa
que marque otra opción o espere la atención de la operadora.
• Asimismo, durante el periodo de contrato se deberá garantizar
que la APN pueda realizar hasta dos cambios del saludo de
bienvenida sin costo alguno para la entidad. Es decir, el
CONTRATISTA, deberá realizar hasta dos nuevas
grabaciones del saludo de bienvenida, en caso la institución lo
requiere.
• La administración deberá ser a través de una consola web,
para la asignación de anexos, códigos, permisos de llamadas,
entre otros.
• Las dimensiones de los equipos deberán ser para
instalaciones en racks o gabinetes empleando el estándar de
19”.
• Para la funcionalidad de único número de contacto, el sistema
tendrá la capacidad de configurar listas de acceso (incluyendo
la posibilidad de restricciones hacia ciertos números) y
programación de horarios para la distribución de las llamadas.
• Alimentación 220V AC 60Hz, incluyendo los cables de
alimentación eléctrica para los tomacorrientes con líneas a
tierra.
• El sistema de central telefónica deberá tener la capacidad de
poder modificar las etiquetas de los teléfonos.
• Las funcionalidades de los teléfonos analógicos que son
propiedad de la APN deberán de poder realizar lo siguiente:
✓ Transferencia de llamadas.
✓ Llamadas externas
✓ Llamadas Internas
✓ Captura de llamadas
✓ Grupo de extensiones
✓ Código personal
• Se deberá incluir módulos de tarjeta para la conexión de hasta

66 teléfonos analógicos.
• Los Teléfonos IP deben tener las siguientes facilidades:
✓ Restricción de llamadas.
✓ Grupos de extensiones
✓ Captura de llamadas.
✓ Código personal.
✓ Conferencia tripartita.
✓ Desvío de llamadas.
✓ Rellamada.
✓ Llamada en consulta.
✓ Llamada externa.
✓ Llamada interna.
✓ Marcación por tonos DTMF y pulsos.
✓ Interconexión de llamada sobre la extensión ocupada
o en DND.
✓ Identificación de llamadas.
✓ Deshabilitación/Habilitación del teléfono IP por el
usuario o administrador del sistema.
✓ Teléfono con múltiples números.
✓ Supervisión visual permanente de otros anexos desde
el teléfono IP. (opcional).
✓ Marcación abreviada.
✓ Movimiento de terminal mediante código.
✓ Lista de llamadas ISDN no contestadas.
✓ Se debe contar con una operadora automática que
permita acceder directamente a un anexo interno
desde una línea externa en una central telefónica
además de dar una imagen corporativa a la empresa.

de la central telefónica se debe presentar en su oferta el
Formato de Cumplimiento del ANEXO G, debidamente
b) Software de tarificación de llamadas.
▪ Reporte de llamadas entrantes / salientes por anexo, código y

usuario.
▪ Debe permitir asignar bolsa de minutos por usuario y código de
negocio, el software no deberá cortar o cancelar la llamada
después de haber utilizado el 100% de la bolsa de minutos

asignada al código de negocio.
▪ Control de Excesos de llamadas fijas y celulares vía alertas por
email.
▪ Debe permitir asignar la duración en minutos por cada llamada
▪ El sistema debe permitir asignar código de llamadas por usuario
como mínimo 300 códigos.
▪ El software debe enviar los reportes programados por correo
electrónico en formato Excel y Pdf.
▪ Consultas por empleado, anexo, fecha, tipo de servicio, tipo de
llamada y código de negocio.
▪ El Software de tarificación podrá ser instalado en servidor virtual
que la APN pueda proporcionar, con las características que el
CONTRATISTA solicite, esto con la finalidad de ahorrar costos en
la adquisición de un servidor, para la instalación del software de
tarificación.
▪ El CONTRATISTA, deberá coordinar con la APN, la asignación
de la bolsa de minutos por código de negocio, dicha distribución
de minutos deberá ser detallada en el informe final referente a la
instalación y configuración del servicio.
▪ Alertas ante:
✓ Exceso de duración de la llamada.
✓ Uso de códigos no registrados o dado de baja.
✓ Detección de posible robo de clave.
▪ El CONTRATISTA, deberá capacitar en el uso del software de
tarificación hasta 02 especialistas de la APN y también
entregar un manual de uso detallado, esta actividad deberá
realizarse antes de la activación del servicio.
c) Equipos Telefónicos.
✓ El CONTRATISTA, deberá proporcionar 86 teléfonos IP en calidad

de alquiler (Se precisa que, una vez finalizado el plazo contractual,
la entidad procederá a la devolución de los equipos entregados),
de dos (02) tipos. Las características mínimas de estos equipos
son:
Teléfonos IP de Tipo A (cantidad: 84 Teléfonos)
• Los teléfonos ofertados deben ser de la misma marca de la

central telefónica.
• Teléfono de dos (02) líneas basado en el protocolo SIP.
• Pantalla LCD a color con resolución de al menos 320 x 240
píxeles.
• Dos puertos Ethernet 10/100/1000 Mbps.
• El color de los equipos deben ser Negro o Gris.
• Debe contar con al menos las siguientes teclas de funciones:
transferencia de llamada, conferencia, manos libres/altavoz,
modo audífonos, silencio, espera, ajuste de volumen.
• Debe contar con al menos 02 teclas de líneas, 5 teclas de
navegación, 04 teclas de función suave (softkey) y 10 teclas
programables.
• Indicador visual de mensajes de voz (Message Waiting

Indicator).
• Debe poder mostrar información histórica de llamadas
perdidas, realizadas y recibidas.
• Soporte de los códecs G.711a, G.711μ, G.729AB.
• Soporte de los protocolos 802.1p/q (VLAN).
• Soporte del protocolo 802.3af (Power Over Ethernet).
• Debe incluir al menos 10 tonos de timbrado predefinidos.
de los teléfonos IP de tipo A se deberá adjuntar en su oferta
el Formato de Cumplimiento del ANEXO H, debidamente
Teléfonos IP de Tipo B (Cantidad: 02 teléfonos)
• Deben ser de la misma marca de la central telefónica.

• Teléfono de 6 líneas basado en el protocolo SIP.
• Pantalla LCD a color con resolución de al menos 800 x 480
píxeles.
• Dos puertos Ethernet 10/100/1000 Mbps.
• El color de los equipos deben ser Negro o Gris.
• Debe contar con al menos las siguientes teclas de funciones:
transferencia de llamada, conferencia, manos libres/altavoz,
modo audífonos, silencio, espera, ajuste de volumen.
• Debe contar con al menos 06 teclas de líneas, 5 teclas de
programables.
• Indicador visual de mensajes de voz (Message Waiting
Indicator).
• Debe poder mostrar información histórica de llamadas
perdidas, realizadas y recibidas.
• Soporte de los códecs G.711a, G.711μ, G.729AB.
• Soporte de los protocolos 802.1p/q (VLAN).
• Soporte del protocolo 802.3af (Power Over Ethernet).
• Debe incluir al menos 10 tonos de timbrado predefinidos.
• Capacidad para conectar módulos de expansión. Debe incluir
los módulos de expansión para al menos 02 teléfonos.
• Capacidad para conectar módulos de expansión. Debe incluir
los módulos de expansión para cada uno de los equipos.
de los teléfonos IP de tipo B se deberá adjuntar en su oferta
el Formato de Cumplimiento del ANEXO H, debidamente
✓ La APN proveerá los puntos de red y el cableado para la

interconexión de los teléfonos IP, todos los teléfonos IP, además
de ser PoE, deberán venir con su adaptador de corriente en caso

de no existir conexión a un switch de tipo PoE.
✓ De ser el caso la APN proporcionará los puntos de red y el

cableado necesario hasta la Central Telefónica.
✓ Se debe considerar que de los 84 teléfonos IP de tipo A, 05 de ellos

funcionaran en el CCCRE de Iquitos, un teléfono en la oficina de
Pisco de la APN que se encuentra en el Terminal Portuario de San
Martin ylos demás teléfonos de dicho tipo se encuentran
distribuidos entre la sede central de la APN, el local anexo de la
sede central y el CCCRE del puerto del Callao.
1.6 INFORME MENSUAL DE LOS COMPONENTES QUE FORMAN PARTE

DE LOS SERVICIOS.
El CONTRATISTA, deberá hacer entrega de informes mensuales que a

continuación se detallan:
Informes del Servicios de Internet
a) Solución de Seguridad perimetral
✓ Informe que detalle la salud del clúster de Firewalls, dicho informe

deberá incluir como mínimo: Procesamiento del CPU, consumo de
la memoria Flash/RAM, estado del almacenamiento, eventos y
alarmas del equipo, versión de sistema operativo y
recomendaciones.
✓ Informe que detalle los ataques recibidos que incluya lo siguiente:

Origen, destino, detalle del ataque y recomendaciones.
✓ Presentar de manera detallada la evaluación de buenas prácticas

que se realiza con la herramienta que permite evaluar el nivel de
adopción de buenas prácticas de configuración en el Next
Generation Firewall.
✓ Detalle de todos los cambios realizados en la configuración del

firewall, del mes correspondiente. Estos cambios serán los que haya
solicitado la entidad o los que haya realizado el CONTRATISTA.
✓ Reporte detallado de los malware de día cero, que se hayan

detectado en el mes correspondiente.
✓ Reporte detallado con un dashboard gráfico que permita ver los

usuarios conectados por VPN en el periodo correspondiente. Se
debe poder visualizar la fecha de ingreso y salida, así como la red
asignada y el usuario.
✓ Conclusiones y recomendaciones.
b) Protección avanzada de puesto de trabajo y servidores

✓ Reporte detallado de las amenazas y ataques detectados en las

50 estaciones de trabajo o servidores. Se debe detallar las
acciones realizadas por EDR en caso de detección de ataques.
c) Solución de administración de ancho de banda
✓ Informe que detalle la salud del equipo, deberá incluir como mínimo:
Procesamiento del CPU, consumo de la memoria Flash/RAM,
estado del almacenamiento, eventos y alarmas del equipo, versión
de sistema operativo y recomendaciones.
✓ Reporte que detalle el uso del ancho de banda por usuario o

dirección IP, aplicaciones, y las recomendaciones para realizar las
restricciones a fin de mejorar el uso del ancho de banda disponible
en APN.
✓ Detalle de todos los cambios realizados en la configuración del

administrador de ancho de banda, del mes correspondiente. Estos
cambios serán los que haya solicitado la entidad o los que haya
realizado el CONTRATISTA.
✓ Conclusiones y recomendaciones
d) Servicio de Ciberdefensa
✓ Los informes mensuales deberán presentar las vulnerabilidades

encontradas con el siguiente contexto:
o Descripción
o Ocurrencia
o Evidencia
o Remediación
o Nuevas vulnerabilidades versus análisis anterior.
✓ Propuestas de mejoras para la seguridad perimetral.

✓ Conclusiones y recomendaciones
e) Servicio de Gestion de Vulnerabilidades
✓ Reporte de vulnerabilidades que sean explotables, establecer el

nivel de madurez del código de exploit (si aplica), documentar de
que forma se explota (malware, acceso remoto, con o sin
credenciales), si el exploit está presente en frameworks
reconocidos tales como Metasploit, Canvas, Core y otras.
✓ Reporte de las vulnerabilidades detectadas en los aplicativos webs
y que acciones se deben realizar. Estas acciones deben ser
explicadas de forma detallada.
✓ Reporte de los activos digitales de la APN y sus vulnerabilidades,
se deberá precisar las evidencias y las posibles resoluciones.
f) Servicio de Protección DDoS

✓ Reporte de la cantidad de tráfico malicioso bloqueado, en bps,

durante una mitigación activa en la nube.
✓ Reportar la cantidad de tiempo que una mitigación de nube lleva
ejecutándose.
✓ Conclusiones y Recomendaciones
g) Servicio de LAN gestionado
✓ Se deberá hacer entrega de un reporte que detalle la salud de los

equipos de comunicaciones detallados en el literal g) del numeral
1.1. de los términos de referencia (Procesamiento del CPU,
consumo de la memoria Flash/RAM, estado del almacenamiento,
eventos y alarmas del equipo) que forman parte del servicio.
✓ Detalle de todos los cambios realizados en la configuración de los

equipos administrados en el presente componente, del mes
correspondiente. Estos cambios serán los que haya solicitado la
entidad o los que haya realizado el CONTRATISTA.
✓ Detalle de la actualización del Firmware de los equipos

administrados, en caso se haya realizado o no en el mes
correspondiente.
Informes del Servicio de Telefonía Fija
h) Servició de Central Telefónica
✓ Reporte que detalle la salud (Procesamiento del CPU, consumo de

la memoria Flash/RAM, estado del almacenamiento, eventos y
alarmas del equipo) del Appliance central telefónica que forman
parte del servicio.
✓ Reportes detallados de llamadas entrantes y salientes por anexo,
código y usuario.
✓ Detalle de todos los cambios realizados en la configuración de la
central telefónica en el presente componente, del mes
correspondiente. Estos cambios serán los que haya solicitado la
entidad o los que haya realizado el CONTRATISTA
Servicio de SLA
✓ Reporte detallado de la atención de incidencias que se hayan dado

en el mes. Este reporte debe estar de acuerdo con los tiempos de
respuesta que se detallan en el punto 7 de los presentes términos de
referencia. El SLA deberá agregar los tiempos de atención descritos en
el presente documento ante incidentes o eventos o requerimientos,
referente al servicio y a los equipos descritos dentro del servicio en sí.
1.7 INSTALACIÓN Y CONFIGURACIÓN DE LOS SERVICIOS
Posterior a la firma del contrato y posterior suscripción del acta de inicio de

implementación del servicio, se seguirá las siguientes fases de
implementación:
✓ Fase 01: Presentación y aprobación del plan de trabajo y revisión de

la documentación adjunta.
✓ Fase 02: Ejecución.
✓ Fase 03: Pruebas.
✓ Fase 04: Cierre.
FASE 01: PRESENTACIÓN Y APROBACIÓN DE PLAN DE TRABAJO

(hasta 09 días calendario)
• El CONTRATISTA firmará el acta de inicio de implementación del

servicio al día siguiente de la recepción de la comunicación formal de
la APN, en la cual se definirá al Jefe de Proyecto por parte de la APN,
así como otros puntos necesarios para la puesta en marcha del
servicio.
• A continuación, a los 07 días calendario, contados a partir del día
siguiente de la firma del acta de inicio de implementación del servicio,
se presentará el plan de trabajo detallado en el que se incluya el
cronograma de los trabajos, listando las actividades a realizar en la
APN, propuesta de la implementación, asimismo, se hará entrega
de la relación de equipos y materiales que serán instalados, .
Dicho plan de trabajo será entregado por mesa de partes físico o
virtual (por correo electrónico).
• El plan de trabajo del CONTRATISTA, junto con la documentación
adjunta deberá ser revisada y aprobada por el jefe de proyecto de la
APN, en un plazo no mayor de dos (02) días calendario, contados a
partir del día siguiente de la recepción del plan de trabajo. La
aprobación de dicho plan de trabajo se comunicara por correo
electrónico al CONTRATISTA.
• Los correos electrónicos de ambas partes se definirán y se detallarán
en el acta de inicio de implementación del proyecto.
FASE 02: EJECUCIÓN (hasta 90 días calendario)
• El CONTRATISTA, firmara el acta de inicio de la fase 02, al día

siguiente de aprobado el plan de trabajo. Esta fase iniciara desde la
firma de dicha acta.
• El CONTRATISTA será responsable por cualquier daño o avería
causada sobre la infraestructura, equipamiento, mobiliario u otros,
resultantes de la falta de procedimientos o medidas preventivas
tendientes a salvaguardar el patrimonio de la APN, debiendo
subsanar de forma inmediata y resoluta todos los daños ocasionados
asumiendo la total responsabilidad por los costos que demanden la
inmediata reposición o normalización de los daños ocasionados.
• El CONTRATISTA, deberá garantizar en todo momento y
circunstancia la seguridad del personal a su cargo durante la
realización de los trabajos en las instalaciones de la APN, siendo de
su entera y única responsabilidad cualquier hecho que comprometa o
ponga en riesgo la vida o salud de estos.
• Los daños ocasionados por el CONTRATISTA durante la ejecución

de los trabajos sobre la propiedad de terceros serán cubiertos por
este, sin perjuicio de la APN.
• En el caso de daños involuntarios a los acabados, paredes o pisos de
la APN, durante el proceso de instalación y puesta en marcha de la
presente contratación, el CONTRATISTA debe realizar la reposición
y/o acabado, con el mismo tipo de materiales o componentes.
• El CONTRATISTA deberá proporcionar todos los equipos y
herramientas de trabajo en óptimas condiciones de uso y seguridad
mínimos exigidos (cascos, uniformes, botas, guantes, anteojos, entre
otros) para la totalidad del personal asignado a la presente
contratación y dar cumplimiento a la Ley N° 29783 Ley de Seguridad
y Salud en el Trabajo y su Reglamento.
• La APN, será responsable de proveer el espacio físico, la energía
eléctrica estabilizada y el sistema de pozo a tierra.
• EL CONTRATISTA, se compromete a usar durante el desarrollo de
sus actividades, materiales, accesorios, consumibles y otros
elementos originales, los cuales cumplan con los estándares de
probada calidad de fabricación y de marcas de reconocido prestigio,
formalmente autorizadas para comercializarse en el país.
• .
• El CONTRATISTA, deberá entregar los equipos en alquiler, con sus
respectivas guías de remisión, a fin de que estos sean registrados por
la institución.
• El CONTRATISTA será responsable de la configuración de las
soluciones solicitadas.
• La instalación se efectuará sin afectar las labores de la Institución.
• La APN, garantizará al CONTRATISTA todos los accesos necesarios,
para la realización de trabajos de implementación dentro de las
instalaciones, siendo la entidad, la responsable de gestionar las
autorizaciones de ingreso, desocupar los espacios, oficinas, pasillos
donde vayan a ser ejecutados los trabajos de instalación.
• El CONTRATISTA, deberá capacitar como mínimo a 03 personas de
la APN, en la administración, monitoreo y configuración de toda la
solución de Internet y Telefonía Fija, cada transferencia de
conocimiento deberá ser como mínimo de 02 horas por cada sistema
o equipo propuesto. Esta capacitación deberá darse antes de concluir
con la fase 02. La capacitación podrá realizarse de manera virtual o
presencial.
• El CONTRATISTA, deberá capacitar en el uso del Teléfono de la
operadora a 02 especialistas de la APN, dicha capacitación deberá
ser de al menos 02 horas, la cual deberá darse antes de la activación
del servicio.
• El CONTRATISTA deberá instalar, configurar y poner en producción
todo el equipamiento necesario para cada uno de los servicios que
forman parte de los términos de referencia al 100%.
✓ Servicio de acceso a internet dedicado.

✓ Servicio de Seguridad Perimetral.
✓ Servicio de enlace de datos con el CCCRE.
✓ Servicio de telefonía fija digital.
✓ Servicio de central telefónica - (telefonía interna).
• Asimismo, dicho personal deberá cumplir con el “PLAN PARA LA

VIGILANCIA, PREVENCION Y CONTROL DE COVID 19 EN EL
TRABAJO”, en el cual se estable lo siguiente:
Medidas en Cliente, Usuario o Proveedor

✓ Los clientes, proveedores o vistas que ingresan al centro
de trabajodeben comunicar e indicar al personal de
seguridad en caso presente síntomas que califiquen
como sospechoso de COVID-19.
✓ Solo se permitirá el ingreso de personas que usen
elementos de bioseguridad o EPP de acuerdo con la
emergencia (Mascarillas oRespiradores).
✓ Deben cumplir con las medidas de higiene
adecuadas antes y durante el tiempo que
permanezcan en las instalaciones.
✓ Deben Cumplir con el distanciamiento social obligatorio dispuesto:
✓ 1,5m entre personas
✓ 1m /para atención de ventanilla.
✓ Los que realicen actividades dentro de las instalaciones,
deben tener un SGSST actualizado y acorde a la
coyuntura, cumpliendolos dispositivos legales.
• Una vez concluida esta fase se deberá firmar un acta de cierre de la

Fase 02: Ejecución.
FASE 03: PRUEBAS (hasta 05 días calendario)
• La fase de prueba empezará a partir de la firma del acta de inicio de

la Fase 03: Pruebas, la cual se firmará al día siguiente de la firma del
acta de cierre de la fase 02: Ejecución.
• Las pruebas de conectividad y verificación de cada enlace y del
servicio de telefonía fija se realizarán en presencia del Administrador
de Red del Centro de Cómputo de la APN.
• La omisión de algún producto que al momento de las pruebas resulte
necesario para la provisión de los servicios, o para el cumplimiento de
las especificaciones funcionales o técnicas ofrecidas, obligará al
CONTRATISTA a proveerlo sin cargo alguno.
• Cualquier defecto notificado por la APN al CONTRATISTA durante la
realización de las pruebas de aceptación, será rectificado por este sin
cargo alguno, teniendo como plazo máximo 02 (dos) días calendario
a partir de su notificación.
• El CONTRATISTA debe contar con un protocolo de pruebas el cual
deberá ser firmado por el especialista de la OTI de la APN y el técnico
encargado de realizar dicho protocolo de pruebas.
• Se precisa que los defectos notificados por la APN al CONTRATISTA
durante la realización de las pruebas de aceptación serán rectificados
por el CONTRATISTA sin cargo alguno, siempre y cuando dichos

defectos obedezcan a causa imputables al CONTRATISTA.
• Una vez concluida la fase de pruebas, se deberá firmar un acta de
finalización de la Fase 03: Pruebas
FASE 04: FIRMA DEL ACTA DE CIERRE Y ACTIVACIÓN DEL
SERVICIO (02 día calendario)
• El acta de cierre se firmará al día siguiente de la firma del acta de

finalización de la Fase 03: Pruebas.
• Al finalizar con los trabajos de instalación, configuración e

implementación el CONTRATISTA entregará el informe final del
proyecto, esto será al día siguiente de haberse firmado el acta de
cierre, detallando el desarrollo de las actividades desarrolladas en
cada fase y detallando el desarrollo de los siguientes componentes:
✓ Internet Dedicado
✓ Enlace de datos
✓ Seguridad Perimetral
✓ Telefonía Digital.
✓ Central Telefónica.
✓ Red Gestionada.
✓ Inventario de Equipamiento que forma parte de los servicios.
✓ Mapa de red Físico/Lógico.
✓ Accesos a la gestión de los equipos (usuario y clave de
administrador)
✓ Detalle de las configuraciones finales de cada componente de
seguridad, switch core y switch de acceso.
✓ Detalle grafico de la configuración de las VLANS configurados en
cada switch core y de acceso a fin de saber que redes están
configuradas en cada puerto. Asimismo, se deberá entregar una
matriz con el detalle en mención.
✓ Se debe detallar las listas de las configuraciones en firewall de
manera que sea entendible, además del código o comandos que
se hayan podido ejecutar en los equipos.
✓ Listado final de las configuraciones de las IP públicas, donde se
detalle los puertos configurados.
✓ Detalle de la última versión instalada del firmware de cada equipo
instalado.
✓ Se debera adjuntar la copia de las guías de remisión de los
equipos entregados y las actas y correos electrónicos que
evidencien el cumplimiento de lo requerido en los términos de
referencia.
• El informe Final debe ser entregado en físico (a colores) y digital (en

formato Microsoft Word 2019 o superior, el diseño de red lógico y
físico en formato Microsoft Visio o AutoCAD). Dicho informe final será
entregado por mesa de partes en un sobre lacrado con el sello de
confidencial, esto teniendo en cuenta que la información de dicho
informe contiene información de contraseñas, direcciones IP e
información de la configuración de la seguridad perimetral.
• El Informe Final, debe contener un índice detallado y contener un

índice de imágenes o fotos, de tal forma que se pueda revisar con
mayor facilidad el Checklist.
• El CONTRATISTA, deberá entregar en el informe final manuales
detallados de administración en formato digital de la central telefónica,
los teléfonos IP, los Switch Core y firewall. Todos los manuales o guía
rápidas deberán ser entregadas en español.
• El acta de activación del servicio mensual se firmará al día siguiente
que se firme el acta de cierre del proyecto de implementación.
1.8 PERFIL DEL PERSONAL Y ACTIVIDADES A DESARROLLAR PARA

LA EJECUCION DEL SERVICIO
El personal clave, que participará en el desarrollo de la implementación del

servicio, realizará las siguientes actividades:
Un (01) jefe del Proyecto:
El jefe de proyecto deberá contar con la siguiente constancia o diplomado:
• Constancia de PMP o Diplomado en Dirección de Proyectos o

Diplomado en Gerencia de Proyectos
Se precisa que, en caso de las constancias se deberá presentar

indicando al menos 24 horas lectivas por cada constancia presentada
y en el caso de diplomado se deberá indicar al menos 48 horas lectivas.
Actividades:
El jefe de proyecto estará a cargo de la presentación del plan de

trabajo, así como la supervisión del cumplimiento de cada etapa de la
instalación y configuración de los servicios contratados. Asimismo,
estará a cargo de las coordinaciones y presentación de los avances
del proyecto, así como gestionar cualquier inconveniente o incidencia
originada por parte del CONTRATISTA. Una vez culminada la fase de
pruebas el jefe de proyecto del CONTRATISTA firmara el acta de
activación del servicio, junto con el jefe del proyecto por parte de APN.
Dos (02) Técnicos de Networking:
Los especialistas deberán contar con el siguiente certificado:
• Certificado de Routing-Switching o sistema operativo emitido por el

fabricante de los equipos de comunicaciones propuestos (Routers y
Switch WAN).
Actividades:
Los técnicos para la solución de networking, estarán a cargo de la fase

de ejecución de la instalación y configuración, cumpliendo con los
tiempos establecidos en el plan de trabajo presentado por el jefe del
proyecto por parte de la APN. Asimismo, se harán cargo de la atención
de requerimientos e incidencias de la solución de los equipos de

comunicaciones durante el periodo de contrato. Dichas atenciones
podrán ser de manera remota u onsite, los tiempos de respuesta se
detallan en el punto 7 de los presentes términos de referencia.
Dos (02) Especialistas de Seguridad:
• Certificado emitido por el fabricante de la solución de seguridad

perimetral propuesta (Firewalls)
• Certificado emitido por el fabricante de la solución de administración
de ancho de banda propuesta.
• Certificado emitido por el fabricante del servicio de ciberdefensa.
• Certificado emitido por el fabricante del servicio de gestión de
vulnerabilidades
• .
Actividades:
Los especialistas para la solución de seguridad perimetral estarán a

cargo de la fase de ejecución de la instalación y configuración,
cumpliendo con los tiempos establecidos en el plan de trabajo
presentado por el jefe del proyecto por parte de la APN. Asimismo, se
harán cargo de la atención de requerimientos e incidencias de la
solución de los equipos de seguridad perimetral durante el periodo de
contrato. Dichas atenciones podrán ser de manera remota u on-site,
los tiempos de respuesta se detallan en el punto 7 de los presentes
términos de referencia.
Dos (02) Especialistas de Telefonía:
• Certificado emitido por el fabricante en la solución de telefonía fija

propuesta.
Actividades:
Los especialistas para la solución de telefonía fija estarán a cargo de
la fase de ejecución de la instalación y configuración, cumpliendo con
los tiempos establecidos en el plan de trabajo presentado por el jefe
del proyecto por parte de la APN. Asimismo, se harán cargo de la
atención de requerimientos e incidencias de la solución de los equipos
de seguridad perimetral durante el periodo de contrato. Dichas
atenciones podrán ser de manera remota u on-site, los tiempos de
respuesta se detallan en el punto 7 de los presentes términos de
referencia
Nota Importante: Para la acreditación de los certificados o constancias

que se solicitan en este punto, se presentaran junto con el plan de trabajo
que se presenta en la Fase 01 de la implementación del presente proyecto.
1.9 CONSIDERACIONES GENERALES
a) El CONTRATISTA instalará y mantendrá actualizadas las versiones de

software o firmware en los respectivos equipos de comunicaciones y
seguridad asignados para el servicio, así como los equipos
gestionados. Dicha actividad se realizará previa coordinación con la
Oficina de Tecnologías de la Información de la APN.
b) El CONTRATISTA permitirá el nuevo registro a nivel de internet del
servicio de correo electrónico de la institución, sin costo adicional para
la institución.
c) En caso de ser necesario el realizar obras civiles dentro o fuera de la
APN para la instalación del servicio requerido, estos deberán ser
realizados por el CONTRATISTA quien asumirá los costos que puedan
involucrar, estas obras deberán realizarse en la fase 02 de la
implementación del proyecto.
d) El CONTRATISTA deberá considerar el equipamiento necesario hasta
el ingreso al puerto RJ45 del Switch de la Sede Central de APN y Local
de CCCRE, transmitiendo a una velocidad mínima en la interface de
comunicación de 10/100/1000 Base-T. La APN será responsable de
garantizar espacio para el rack o gabinete, energía estabilizada,
tomacorrientes.
e) El CONTRATISTA, deberá considerar realizar administración
compartida de toda la solución con la finalidad de minimizar los
tiempos de respuesta con relación al soporte técnico. Esta
administración se determinará en el acta de inicio de
implementación.
f) El CONTRATISTA, deberá asegurar y garantizar que el ancho de
banda y la operación de los equipos routers, sea la óptima y correcta
a fin de que los servicios de video-conferencia con que cuenta la APN,
puedan transmitirse de manera correcta, durante el tiempo de contrato.
g) .
h) El CONTRATISTA es responsable de la operatividad de los enlaces
de comunicación y del buen funcionamiento, licencias, actualización
de hardware, firmware y software de sistema operativo de sus equipos
de comunicación, siempre y cuando sea necesario para asegurar la
calidad del servicio ofrecido y mantener el flujo de las aplicaciones de
red del APN.
i) .
j) El CONTRATISTA, deberá considerar el licenciamiento necesario para
el correcto funcionamiento de los sistemas de seguridad y satisfacer
los requerimientos mencionados del APN.
k) El CONTRATISTA deberá garantizar la total privacidad de todos los
canales de comunicaciones brindados al APN a través de un acuerdo
de confidencialidad el cual se firmará al momento de la firma del
contrato.
l)
m) EL CONTRATISTA deberá usar tubo corrugado, canaletas o bandejas
metálicas para cubrir los excedentes de cable de fibra óptica de la
toma de pared/techo a donde lo necesite, para conservar la decoración
de las instalaciones de APN. El cableado de la red de datos, que se

use para dicha interconexión deberá estar debidamente etiquetado. El
CONTRATISTA, deberá usar patch cord categoría 6 para
interconectar sus equipos.
n) El CONTRATISTA de considerarlo necesario, podrá realizar una visita
técnica a la sede central y CCCRE de la APN durante el desarrollo del
procedimiento de selección, de tal manera de que elabore su plan
de trabajo indicado en la Fase I del Numeral 1.6 de los presentes
términos de referencia acorde a los requerimientos e
infraestructura de los edificios. Las visitas serán guiadas en las
fechas y horas coordinadas con el responsable de la OTI.
o) El CONTRATISTA será responsable de la configuración de las
soluciones solicitadas así mismo deberá asegurar que los equipos a
proveer sean compatibles entre sí.
p) De acuerdo con la ley N° 29956 (Ley que establece el derecho de
portabilidad numérica en los servicios de telefonía fija), el
CONTRATISTA, deberá considerar mantener la misma numeración de
anexos con que cuenta actualmente la APN.
q) El CONTRATISTA, podrá realizar las actividades de atención de
incidencia y requerimientos no solo a través del personal clave sino
con apoyo de su staff de técnicos que cumplan con al menos las
capacitaciones descritas en el punto 1.7 de los presentes términos de
referencia.
r) En caso el CONTRATISTA, requiera realizar algún cambio de personal
clave durante la ejecución del servicio contratado, este podrá hacerlo
con 05 días de anticipación y que cumpla con el perfil solicitado o sea
superior. Para ello el CONTRATISTA deberá comunicar mediante
carta a través de mesa de partes con el periodo antes mencionado.
s) Será responsabilidad del CONTRATISTA la configuración de la
Central Telefónica del APN y del acceso RDSI-PRI o troncal IP según
sea el caso para las cuales los dos (02) enlaces trabajarán de tal forma
que en cuanto uno se encuentre inoperativo el otro funcionara
manteniendo el mismo número telefónico.
t) De exceder los minutos contemplados en la bolsa, se deberá
considerar la misma tarifa por minutos ofertada en la bolsa por cada
tipo de destino, es decir deberá contemplar una tarifa única para cada
tipo de llamadas:
1. Tarifa única para llamadas fijas locales.

2. Tarifa única para llamadas LDN.
3. Tarifa única para llamadas LDI.
4. Tarifa única para llamadas Móviles.
u) El CONTRATISTA deberá contar con un esquema de seguridad en las

comunicaciones en su red que garantice el cumplimiento de las
exigencias regulatorias en salvaguarda del secreto de las
telecomunicaciones, en cualquiera de sus modalidades según los
mecanismos propios de las tecnologías ofertadas. Para garantizar ello
el CONTRATISTA deberá adjuntar al plan de trabajo indicado en la
Fase I del Numeral 1.6 de los presentes términos de referencia,
documentación que acredite que cuenta con un esquema de
seguridad, pudiendo presentar la topología o diagrama de dicho
esquema.
v) Las coordinaciones para la instalación de la línea dedicada serán

realizadas por la OTI de la APN. Se dará por aceptada la entrega del
servicio cuando resulte satisfactoria la puesta en producción de la línea
de acceso a Internet, la Telefonía Fija, la entrega del equipamiento y
la documentación respectiva.
w) La APN devolverá los equipos en alquiler en su totalidad al
CONTRATISTA, una vez que finalice los 36 meses de contrato, esto
se realizará en coordinación con la OTI de la APN, para el retiro de los
equipos antes mencionados, el CONTRATISTA elaborará una guía de
salida de dichos equipos y se firmará un acta de devolución.
x) El CONTRATISTA, entregara en el último informe mensual un CD o
USB, que contengan las configuraciones de todos los equipos de
comunicaciones y de seguridad, tanto de los que son propiedad de la
APN y de los de propiedad del CONTRATISTA.
y) El CONTRATISTA, deberá conectar los puertos de telefonía analógica
con la central telefónica propuesta, esto deberá realizarlo conectando
patch cord los cuales serán proporcionados por el CONTRATISTA,
estos patch cord serán de categoría 6 y el tamaño lo definirá el
CONTRATISTA, considerando que será el responsable de incluir los
ordenadores o patch panel necesarios para realizar dicha actividad.
Asimismo, el CONTRATISTA, deberá etiquetar cada punto telefónico
a fin de contar con una fácil identificación.
z) En el caso que durante el tiempo de contrato alguno de los equipos en
alquiler pasa a un estado de descontinuado, el CONTRATISTA
procederá a realizar el cambio respectivo por la versión que reemplaza
al equipo descontinuado.
2) REQUISITOS DE CALIFICACIÓN DE LA EMPRESA QUE PRESTARÁ EL

SERVICIO
A. CAPACIDAD TÉCNICA Y PROFESIONAL
A.1. EXPERIENCIA DEL PERSONAL CLAVE
Experiencia:
a) Un (01) Jefe de Proyecto
Experiencia mínima de tres (03) años como Jefe de Proyectos o

encargado de proyectos de telecomunicaciones.
b) Dos (02) Especialistas de Networking:
Estos técnicos deberán contar con experiencia mínima de 02

años en las implementaciones switching o gestión de redes de
datos o Servicios de Internet o enlace de datos.
c) Dos (02) Especialistas de Seguridad:
Dicho personal deberá tener 02 años de experiencia mínima, en

la implementación o configuración de soluciones de seguridad
perimetral.
d) Dos (02) Especialista de Telefonía:
Dicho personal deberá tener 03 años de experiencia mínima, en

la implementación o configuración de Centrales Telefónica
Acreditación:
La experiencia del personal clave se acreditará con cualquiera

de los siguientes documentos: (i) copia simple de contratos y su
respectiva conformidad o (ii) constancias o (iii) certificados o (iv)
cualquier otra documentación que, de manera fehaciente
demuestre la experiencia del personal propuesto. Se precisa que
la experiencia se contabilizara desde la fecha de emisión del
título de profesional técnico o del título de la carrera profesional.
A.2. CALIFICACIONES DEL PERSONAL CLAVE
a) Un (01) Jefe de Proyecto:
Formación Académica
Requisitos:
Profesional titulado en:
• Ingeniería de Telecomunicaciones o
• Ingeniería de Sistemas o
• Ingeniería Electrónica o
• Ingeniería Informática
Acreditación:
El TÍTULO PROFESIONAL será verificado por el comité de

selección en el Registro Nacional de Grados Académicos y
Títulos Profesionales en el portal web de la Superintendencia
Nacional de Educación Superior Universitaria - SUNEDU a
través del siguiente link: https://enlinea.sunedu.gob.pe/
b) Dos (02) Especialistas de Networking:
Requisitos:
Profesional Técnico Titulado o Bachiller titulado en alguna de
las siguientes carreras:
• Sistemas.
• Redes de datos
• Informática.
• Telecomunicaciones.
• Sistemas de Información.
• Computación y de Sistemas.
•
Informática y de Sistemas.
• Electrónica.
• Redes y Comunicaciones de Datos
•
Acreditación:
El GRADO O TÍTULO PROFESIONAL será verificado por el

comité de selección en el Registro Nacional de Grados
Académicos y Títulos Profesionales en el portal web de la
Superintendencia Nacional de Educación Superior Universitaria
- SUNEDU a través del siguiente link:
https://enlinea.sunedu.gob.pe/ // o en el Registro Nacional de
Certificados, Grados y Títulos a cargo del Ministerio de
Educación a través del siguiente link:
http://www.titulosinstitutos.pe/, según corresponda.
c) Dos (02) especialistas de seguridad:
Requisitos:
Profesional Técnico Titulado o Bachiller titulado en alguna de las

siguientes carreras:
• Sistemas.
• Redes de datos
• Informática.
• Informática y de Sistemas.
• Electrónica.
Acreditación:

.
d) Dos (02) Especialista de Telefonía:
Requisitos:
Profesional Técnico Titulado o Bachiller titulado en alguna de las

siguientes carreras:
• Sistemas.
• Redes de datos
• Informática.
• Informática y de Sistemas.
• Electrónica.
Acreditación:

A.3. HABILITACION
Requisito:
El postor debe contar con Autorización del Ministerio de Transportes y
Comunicaciones para brindar el servicio de conmutación de transmisión
de datos y/o el servicio de valor añadido de conmutación de datos por
paquete.
Acreditación:
Copia del documento emitido por el Ministerio de Transportes y
Comunicaciones que acredite su autorización para brindar el servicio de
conmutación de transmisión de datos y/o el servicio de valor añadido de
conmutación de datos por paquete y/o certificado de registro de empresas
prestadoras de servicios de valor añadido.
B EXPERIENCIA DEL POSTOR EN LA ESPECIALIDAD

Requisitos:
El POSTOR debe acreditar un monto facturado acumulado equivalente a ocho

millones y 00/100 – S/ 8’000,000.00, por la contratación de servicios iguales o
similares al objeto de la convocatoria, durante los 08 años anteriores a la fecha
de la presentación de las ofertas que se computarán desde la fecha de la
conformidad o emisión del comprobante de pago, según corresponda.
• Se consideran servicios similares a los siguientes: Servicios de

telecomunicaciones.
• Servicios de transmisión de voz, datos y video.
• Servicios de transmisión de voz.
• Servicios de transmisión de datos.
• Servicios de transmisión de video.
• Servicios de acceso a internet.
• Servicio de enlace de datos.
Acreditación:
La experiencia del postor en la especialidad se acreditará con copia simple de
(i) contratos u órdenes de servicios, y su respectiva conformidad o constancia
de prestación; o (ii) comprobantes de pago cuya cancelación se acredite
documental y fehacientemente, con voucher de depósito, nota de abono, reporte
de estado de cuenta, cualquier otro documento emitido por Entidad del sistema
financiero que acredite el abono o mediante cancelación en el mismo
comprobante de pago1, correspondientes a un máximo de veinte (20)
contrataciones.
En caso los postores presenten varios comprobantes de pago para acreditar una
sola contratación, se debe acreditar que corresponden a dicha contratación; de
lo contrario, se asumirá que los comprobantes acreditan contrataciones
independientes, en cuyo caso solo se considerará, para la evaluación, las veinte
(20) primeras contrataciones indicadas en el Anexo Nº 8 referido a la
Experiencia del Postor en la Especialidad.
En el caso de servicios de ejecución periódica o continuada, solo se considera

como experiencia la parte del contrato que haya sido ejecutada durante los ocho
(8) años anteriores a la fecha de presentación de ofertas, debiendo adjuntarse
copia de las conformidades correspondientes a tal parte o los respectivos
comprobantes de pago cancelados.
En los casos que se acredite experiencia adquirida en consorcio, debe

presentarse la promesa de consorcio o el contrato de consorcio del cual se
desprenda fehacientemente el porcentaje de las obligaciones que se asumió en
el contrato presentado; de lo contrario, no se computará la experiencia
proveniente de dicho contrato.
1 Cabe precisar que, de acuerdo con la Resolución N° 0065-2018-TCE-S1 del Tribunal de Contrataciones del
Estado:
“… el solo sello de cancelado en el comprobante, cuando ha sido colocado por el propio postor, no puede ser
considerado como una acreditación que produzca fehaciencia en relación a que se encuentra cancelado.
Admitir ello equivaldría a considerar como válida la sola declaración del postor afirmando que el comprobante
de pago ha sido cancelado”
(…)
“Situación diferente se suscita ante el sello colocado por el cliente del postor [sea utilizando el término
“cancelado” o “pagado”] supuesto en el cual sí se contaría con la declaración de un tercero que brinde certeza,
ante la cual debiera reconocerse la validez de la experiencia”.
Asimismo, cuando se presenten contratos derivados de procesos de selección

convocados antes del 20.09.2012, la calificación se ceñirá al método descrito en
la Directiva “Participación de Proveedores en Consorcio en las Contrataciones
del Estado”, debiendo presumirse que el porcentaje de las obligaciones equivale
al porcentaje de participación de la promesa de consorcio o del contrato de
consorcio. En caso que en dichos documentos no se consigne el porcentaje de
participación se presumirá que las obligaciones se ejecutaron en partes iguales.
Si el titular de la experiencia no es el postor, consignar si dicha experiencia

corresponde a la matriz en caso que el postor sea sucursal, o fue transmitida
por reorganización societaria, debiendo acompañar la documentación
sustentatoria correspondiente.
Si el postor acredita experiencia de una persona absorbida como

consecuencia de una reorganización societaria, debe presentar adicionalmente
el Anexo N° 9.
Cuando en los contratos, órdenes de servicios o comprobantes de pago el

monto facturado se encuentre expresado en moneda extranjera, debe
indicarse el tipo de cambio venta publicado por la Superintendencia de Banca,
Seguros y AFP correspondiente a la fecha de suscripción del contrato, de
emisión de la orden de servicios o de cancelación del comprobante de pago,
según corresponda.
Sin perjuicio de lo anterior, los postores deben llenar y presentar el Anexo Nº

8 referido a la Experiencia del Postor en la Especialidad.
Importante
• Al calificar la experiencia del postor, se debe valorar de manera integral
los documentos presentados por el postor para acreditar dicha
experiencia. En tal sentido, aun cuando en los documentos presentados
la denominación del objeto contractual no coincida literalmente con el
previsto en las bases, se deberá validar la experiencia si las actividades
que ejecutó el postor corresponden a la experiencia requerida.
• En el caso de consorcios, solo se considera la experiencia de aquellos

integrantes que se hayan comprometido, según la promesa de
consorcio, a ejecutar el objeto materia de la convocatoria, conforme a la
Directiva “Participación de Proveedores en Consorcio en las
Contrataciones del Estado”.
Importante
• Si como resultado de una consulta u observación corresponde precisarse o ajustarse el
requerimiento, se solicita la autorización del área usuaria y se pone de conocimiento de tal
hecho a la dependencia que aprobó el expediente de contratación, de conformidad con el
numeral 72.3 del artículo 72 del Reglamento.
• El cumplimiento de los Términos de Referencia se realiza mediante la presentación de una

declaración jurada. De ser el caso, adicionalmente la Entidad puede solicitar documentación
que acredite el cumplimiento del algún componente de estos. Para dicho efecto, consignará
de manera detallada los documentos que deben presentar los postores en el literal e) del
numeral 2.2.1.1 de esta sección de las bases.
• Los requisitos de calificación determinan si los postores cuentan con las capacidades
necesarias para ejecutar el contrato, lo que debe ser acreditado documentalmente, y no
mediante declaración jurada.
3) SISTEMA DE CONTRATACIÓN (Precios unitarios, suma alzada, esquema

mixto, tarifa, porcentaje u honorario fijo con comisión de éxito)
Suma Alzada
4) LUGAR DE LA PRESTACIÓN DEL SERVICIO
Las labores serán realizadas en las instalaciones de la sede central de la APN
– Av. Santa Rosa N° 135 La Perla – Callao, el CCCRE del Puerto del Callao
– Av. Manco Cápac S/N Callao, Local Anexo de la APN – Av. Santa Rosa N°
135 La Perla – Callao y CCCRE del Puerto de Iquitos en Av. La Marina S/N –
Interior ENAPU.
5) PERIODO DE EJECUCIÓN
La implementación, instalación y puesta en producción de todos los servicios
y sus componentes como parte del contrato no deberá exceder de los ciento
treinta y seis (136) días calendario contados a partir del día siguiente de
firmado el acta de inicio de implementación del servicio, dicha acta se firmará
al día siguiente de la confirmación de recepción de la comunicación formal de
la APN, para el inicio del servicio.
La ejecución de todos los servicios contratados será por un plazo de treinta y

seis (36) meses contados a partir del siguiente de la firma del acta de
activación del servicio.
6) FORMA Y CONDICIONES DE PAGO

✓ Los pagos se realizarán mensualmente al finalizar cada mes de servicio,
ascendiendo el monto mensual a: 1/36 del monto del contrato, debiéndose
contar con:
• Conformidad emitida por OTI, correspondiente a cada reporte mensual
presentado por el contratista.
• Comprobante de pago (factura) mensual presentado por el contratista
✓ Los comprobantes de pago (facturas electrónicas) podrán ser enviadas al
correo [email protected].
✓ En caso de que el inicio de la prestación no coincida con el periodo de
facturación del operador a quien se otorgue la Buena Pro; la primera
facturación tendrá un cargo del prorrateo del servicio brindado contado
desde la activación de este, se aplicará el mismo criterio para la última
facturación y los informes mensuales, sin perjuicio de lo cual se dará
cumplimiento a la forma y condiciones de pago consignadas en el presente
numeral.
✓ El pago del servicio es a todo costo e incluye todos los impuestos de ley.
✓ El servicio de implementación no generara ningún pago.
✓ El pago se realizará de acuerdo con la estructura de costos presentada a

la firma del contrato. Asimismo, el CONTRATISTA, deberá detallar en su
facturación los componentes del servicio.
7) GARANTÍA Y SERVICIOS POST ACTIVACIÓN

a) El servicio de soporte debe proveer una disponibilidad de 7x24x365 o
7x24x366 año bisiesto, para todos los componentes y servicios contenidos
en el presente documento.
b) El CONTRATISTA debe contar con un centro de atención del servicio que

se encargue de brindar gestión, administración y seguridad de los
servicios que contrata la APN. El servicio de soporte será permanente bajo
la modalidad 7x24x365 o 7x24x366 y contará con un sistema de gestión
adecuado para reportar fallas y atenciones. El centro de atención deberá
contar personal para atender cualquier consulta o problema a surgir con
los servicios de Internet, enlace de datos y servicio de telefonía fija incluido
cada componente de los servicios.
c) El CONTRATISTA deberá, garantizar que la APN se contacte de forma

directa con los especialistas de las soluciones requeridas en los presentes
términos de referencia, de tal forma que los tiempos de atención sean
óptimos.
d) Debido a la importancia y la criticidad, el Nivel del Servicio (SLA) debe ser

mínimo de 99.50% mensual para el servicio de enlace de datos y de
99.90% mensual para la conexión a Internet Dedicado y Telefonía Fija
Digital.
e) El “SLA” para el enlace será medido por el CONTRATISTA del Servicio, lo

cual será validado por la OTI a través del registro de incidentes y
requerimientos reportados de forma mensual el proveedor entregará a la
APN un Informe mensual del SLA brindado.
f) El CONTRATISTA, debe garantizar que su Centro de Atención supervise

la disponibilidad del acceso en la red de datos durante todo el año.
g) El CONTRATISTA deberá reparar o reemplazar sin costo para la APN los

equipos rentados o componentes que sean necesarios para asegurar la
prestación del servicio en caso de falla éstos.
h) El CONTRATISTA deberá entregar en su informe final referente a la

instalación y configuración del servicio, el plan de mantenimiento
preventivo de los equipos rentados y de los equipos gestionados, el
mismo que se realizará dos veces al año durante el periodo de
contrato de 36 meses y consistirá en la limpieza del hardware,
componentes internos y actualización de las versiones de software y
firmware de los equipos de propiedad de APN y de propiedad del
CONTRATISTA. Una vez finalizado cada mantenimiento, el
CONTRATISTA deberá emitir un informe detallado de dicho

mantenimiento, documento que será presentado conjuntamente con
los reportes mensuales del mes que se ejecute el mantenimiento.
i) El CONTRATISTA deberá entregar a la APN, una nómina del personal

técnico autorizado a realizar labores de mantenimiento en las sedes bajo
contrato. Dicha nómina deberá ser entregada como mínimo 24 horas
antes de realizarse los trabajos y actualizada cuando se produzcan
cambios.
j) En caso el CONTRATISTA, deba cambiar algún personal designado para

realizar los trabajos de mantenimiento preventivo de los equipos de
comunicación, este deberá comunicar a la APN con una anticipación de
05 días hábiles y deberá remitir la documentación que certifica al personal,
para poder realizar las funciones planificadas en el mantenimiento
k) Si los equipos appliance instalados, equipos telefónicos y los equipos

gestionados fallan (deja de funcionar), el CONTRATISTA deberá
repararlos o reemplazarlos sin costo para la entidad por otro similar o
superior en el plazo del RMA de la marca. Adicionalmente, solo para los
routers se debe reponer en un máximo de 04 horas, contados a partir de
reportado el problema, por un equipo similar o superior de manera
temporal mientras siga el proceso del RMA de la marca.
l) Incluir las licencias necesarias de todo el equipamiento rentado y con

soporte gestionado, para su correcto funcionamiento de acuerdo con los
requerimientos antes mencionados, por el periodo de 36 meses
correspondiente a la efectiva ejecución del servicio.
m) Los equipos y componentes deben estar diseñados para operar bajo un

escenario continuo de trabajo de 7x24x365, robusto, que asegure una
disponibilidad del servicio del 99.90%.
n) El CONTRATISTA se encargará de todos los cambios de configuraciones

que la entidad necesite hacer de manera permanente 24 x 7, sin límite de
cantidad de cambios, ni costos adicionales.
o) La APN, podrá solicitar al CONTRATISTA, al menos 02 veces en el

periodo de contrato, el traslado del equipamiento rentado y del
equipamiento gestionado, de un gabinete hacia otro, dentro del centro de
cómputo de la sede central de la APN, sin que esto origine algún costo
para la institución. El traslado o reubicación también puede solicitarse para
los circuitos digitales de los servicios de internet y telefonía fija, incluida la
fibra óptica que llega al media converter.
p) Toda la gestión de Soporte y Mantenimiento del Servicio de Seguridad

Administrada es por parte del CONTRATISTA, lo cual incluye
actualización de las listas, generación y envió de reportes.
q) El CONTRATISTA y Sub-Contrata (de ser el caso), deberá contar con

NOC (Network Opertation Center) y a su vez que cuenten con una
herramienta de mesa de ayuda, la cual opcionalmente podrá estar
certificada en ITIL. El CONTRATISTA, deberá garantizar que cuenta con

dicha herramienta.
r) Asimismo, los tiempos de respuesta, de atención de requerimientos y

solución para las incidencias o caídas del servicio serán las siguientes:
1. Tiempo de Respuesta: Este tiempo inicia desde que la APN notifica

la incidencia o requerimiento mediante correo electrónico al
CONTRATISTA y luego este responde por el mismo medio con el
número de ticket de atención. Este tiempo máximo de respuesta no
debe ser mayor de una (01) hora.
2. Tiempo de Atencion de Requerimientos: Este tiempo inicia cuando
se recibe mediante correo electrónico del CONTRATISTA, el ticket de
atención, hasta que el CONTRATISTA, informe mediante correo
electrónico que se ha atendido el requerimiento. El tiempo máximo
para atender el requerimiento será de hasta seis (06) horas.
3. Tiempo de Solución de Caídas e Incidencias: Este tiempo inicia
cuando se recibe mediante correo electrónico del CONTRATISTA, el
ticket de atención, hasta que el CONTRATISTA, informe mediante
correo electrónico que se ha dado solución a la caída del servicio o la
incidencia. El tiempo máximo de solución será de veinticuatro (24)
horas. Se evaluará extender el plazo previa comunicación del
prestador del servicio tomando en cuenta factores externos, ajenos al
proveedor demostrables. Asimismo, en caso que algunos de los
equipos de internet móvil (Modem), se reporte como dañado o
averiado, este deberá ser cambiado en un periodo no mayor de 24
horas, contados a partir del envío de correo solicitando el cambio por
avería.
8) PENALIDADES
La APN aplicará las penalidades correspondientes de acuerdo con lo
establecido en la Ley de Contrataciones del Estado y su Reglamento.
9) OTRAS PENALIDADES
Las siguientes penalidades se aplicarán en caso de incumplimiento de los
requerimientos mínimos expuesto en el presente documento. Se precisa que,
en casos de afectación al servicio, por causas externas ajenas al operador
(fortuito o fuerza mayor), puede ser reportada a las oficinas de atención del
CONTRATISTA sin que ello signifique un supuesto de penalidad.
Otras penalidades
N° Supuestos de aplicación de Forma de cálculo Procedimiento
penalidad
1 Cuando no se cumpla con 10% de una UIT, por cada Se verificará,

los tiempos de cada fase día de retraso en cada de de acuerdo
de implementación una de las fases. con la fecha
detallado en el presente de las firmas
documento. de cada acta
de inicio y de
Otras penalidades
N° Supuestos de aplicación de Forma de cálculo Procedimiento
penalidad
cierre de cada
fase
2 Cuando no se cumpla con 2% de una UIT (Unidad Se verificará
los tiempos de respuesta o impositiva tributaria) por el periodo de
tiempos de atención de cada hora o fracción de atención o
requerimientos o tiempos hora de retraso. solución del
de solución de caídas e problema
incidencias, detallados en mediante el
el punto 7 del presente registro de
documento. correo
electrónico de
acuerdo con lo
indicado en el
punto 7 de los
presentes
términos de
referencia.
10) CLAUSULA NORMAS ANTICORRUPCIÓN

El proveedor / contratista acepta expresamente que no llevara a cabo,
acciones que están prohibidas por las leyes locales u otras leyes anti-
corrupción. Sin limitar lo anterior, el proveedor / contratista se obliga a no
efectuar algún pago, ni ofrecerá o transferirá algo de valor, a un funcionarios
o empleado gubernamental o a cualquier tercero relacionado con el servicio
aquí establecido de manera que pudiese violar las leyes locales u otras leyes
anti-corrupción, sin restricción alguna.
En forma especial, el proveedor / contratista declara con carácter de
declaración jurada que no se encuentra inmerso en algún proceso de carácter
penal vinculado a presuntos ilícitos penales contra el Estado Peruano,
constituyendo su declaración, la firma de este en la Orden de Servicio de la
que estos términos de referencia forman parte integrante.
11) CLAUSULA NORMAS ANTISOBORNO

El proveedor, no debe ofrecer, negociar o efectuar, cualquier pago, objeto de
valor o cualquier dadiva en general, o cualquier beneficio o incentivo ilegal en
relación al contrato, que pueden constituir un incumplimiento a la ley, tales
como robo, fraude, cohecho o tráfico de influencias, directa o indirectamente,
o a través de socios, integrantes de los órganos de administración,
apoderados, representantes legales, funcionarios, asesores o personas
vinculadas, en concordancia o a lo establecido en el artículo 11 del TUO de la
Ley de Contrataciones del Estado, Ley N° 30225, y artículo 7° de su
Reglamento aprobado mediante Decreto Supremo N° 344-2018-EF.
Asimismo, el proveedor se obliga a conducirse en todo momento, durante la

ejecución del contrato, con honestidad, probidad, veracidad e integridad y de
no cometer actos ilegales o de corrupción, directa o indirectamente o a través
de sus socios, accionistas, participantes, integrantes de los órganos de
administración apoderados, representantes legales, funcionarios, asesores y
personas vinculadas en virtud a lo establecido en los artículos antes citados
de la Ley de Contrataciones del Estado y su Reglamento.
Asimismo, el Proveedor se compromete a comunicar a las autoridades
competentes, de manera directa y oportuna, cualquier acto o conducta ilícita
o corrupta de la que tuviere conocimiento; así también en adoptar medidas
técnicas, practicas, a través de los canales dispuestos por la entidad.
De la misma manera, el proveedor es consciente que, de no cumplir con lo
anteriormente expuesto, se someterá a la resolución del contrato y a las
acciones civiles y/o penales que la entidad pueda accionar.
12) FECHA
25.04.2022
13) FIRMA Y SELLO ÁREA USUARIA
(firmado digitalmente por)

Ing. Mariela Gutarra Ramos
Jefa de la Oficina de TI
FORMATOS DE CUMPLIMIENTOS
ANEXO A
Características técnicas mínimas de los Routers Cumple Folio

(Si/No)
✓ Interfaces: seis (06) puertos 10/100/1000BaseT +
2SFP, 1 puerto USB.
✓ Routing: BGP, OSPF, RIP v1/v2, Rutas estáticas,
ECMP, RPF y enrutamiento basado en rutas y
políticas.
✓ Multicast: IGMP v1/v2, PIM-SM, PIM-DM, SSM.
✓ Alta disponibilidad: Activo/Activo, Activo/Pasivo,
VRRP.
✓ Switching L2: LACP, autenticación de puerto
basada en 802.1x.
✓ Para efectos de la propuesta, ninguno de los
modelos ofertados podrá estar listados ni
anunciado en el sitio web del fabricante como end-
of-life o end-of-sale o end-of-support. Se deberá
adjuntar a su propuesta el enlace público del
fabricante que verifique que los modelos
propuestos no están en ese listado
ANEXO B
Características técnicas mínimas de los Switch WAN Cumple Folio
(Si/No)
Se requiere de un conmutador modular administrable de
interfaces GigaEthernet que permita la operación en capa
2, capa 3 del modelo OSI.
Para efectos de la propuesta, ninguno de los modelos
ofertados podrá estar listados ni anunciado en el sitio web
del fabricante como end-of-life o end-of-sale o end-of-
support. Se deberá adjuntar a su propuesta el enlace
público del fabricante que verifique que los modelos
propuestos no están en ese listado
Deberá disponer de al menos 12 puertos
10/100/1000BaseT. Las interfaces deberán permitir la
auto-negociación de la velocidad del puerto y del modo
dúplex de la comunicación.
Para la administración local se deberá considerar de al
menos un (01) puerto de Consola RS232 o un (01) puerto
RJ45 o un (01) puerto USB.
La capacidad de tráfico mínimo que deberá procesar el
equipo será no menor de 25Gbps de switch fabric y una
tasa de envío de paquetes no menor a 20Mpps.
Entre las funcionalidades básicas de administración,
operación y mantenimiento se deberá considerar: SSHv2,
HTTPS, Puerto Espejo (Port Mirroring), RMON, SNMP
v2/v3, Netflow o Sflow, SNTP, TACACS+, IEEE 802.1Q –
VLAN trunking y tagging, IEEE 802.3ad - LACP, IEEE
802.3x – control de flujo de los puertos 10/100/1000BaseT,
IEEE 802.1d – Spanning Tree Protocol, IEEE 802.1w –
Rapid Spanning Tree Protocol, IEEE 802.1s – Múltiple
Spanning Tree Protocol, IEEE 802.1ag – Ethernet OAM
Connectivity Fault Management.
Deberá incluir el soporte de enrutamiento estático entre
VLAN y las siguientes funcionalidades sin la necesidad de
cambio de hardware: BFD – Bidirectional Forwarding
Detection, OSPFv2, Routing Information Protocol versión 1
y versión 2, enrutamiento estático, VRF – Virtual Routing
and Forwarding.
Deberá permitir la asignación dinámica de IP de forma
estática o vía DHCP Server local, DHCP Relay con opción
82 tanto para VLAN como para puertos en Capa 3.
Soporte los siguientes protocolos multicast sin cambio de
hardware o a través de upgrade de software: IGMP
v1/v2/v3, IGMP snooping con puertos RVIs o IRB, PIM
DM/SM/SSM, MVR.
Deberá soportar cuatro (04) colas por puerto o más, para
diferenciar o priorizar el tráfico, QoS capa 2-3, Clase de
Servicio sobre interfaces agregadas (LAGs).
ANEXO C
Características técnicas mínimas de los Firewall Cumple Folio

(Si/No)
GENERALES
La solución debe consistir en dos appliances de seguridad con
funcionalidades de Next Generation Firewall (NGFW).
La solución tiene que ser ofrecida en alta disponibilidad, es
decir por lo menos 2 (dos) appliances con las mismas
características mínimas mencionadas en estas
especificaciones.
Para efectos de la propuesta, ninguno de los modelos
están en ese listado
La plataforma propuesta por el fabricante debe contar con
certificación USGv6 para trabajar IPv6 tanto en Firewall como
en IPS.
La plataforma debe ser optimizada para análisis de contenido
de aplicaciones en capa 7.
La herramienta de evaluación de buenas prácticas deberá ser
específica para la configuración de Next Generation Firewall
implementado, no se aceptarán portales con guías de
usuarios genéricas.
CAPACIDAD
Throughput de Next Generation Firewall de 3 Gbps medido
con tráfico productivo real (transacciones usando una mixtura
de aplicaciones de capa 7, transacciones medidas en
condiciones empresariales o transacciones HTTP 64KB de
tamaño). No se aceptarán mediciones hechas con tráfico UDP
o RFCs 3511, 2544, 2647 o 1242 o mixes de tráfico que no
especifiquen tamaño de transacciones o paquetes.
Throughput de Prevención de Amenazas de 1.5 Gbps medido
con tráfico productivo real (transacciones usando una mixtura
de aplicaciones de capa 7, transacciones medidas en
condiciones empresariales o transacciones HTTP 64KB de
tamaño), con las siguientes funcionalidades habilitadas
simultáneamente: Control de aplicaciones, Sistema de
Prevención de Intrusos (IPS), Antivirus/Antimalware de red,
Antispyware/AntiBot, control de amenazas avanzadas de día
cero (Sandboxing), Filtro de Archivos, y Logging activo. Si el
fabricante tuviese diferentes niveles o modos de inspección
de seguridad, el equipo ofertado deberá soportar el throughput
requerido con el nivel o modo más alto de inspección. Se debe
garantizar que el equipo no degrade su performance por
debajo de lo requerido por la Entidad cuando se vayan
habilitando los módulos de seguridad indicados en el modo
más alto de inspección. No se aceptarán mediciones hechas
con tráfico UDP o RFCs 3511, 2544, 2647 o 1242 o mixes de
tráfico que no especifiquen tamaño de transacciones o
paquetes.
El equipo debe soportar como mínimo 290.000 sesiones
simultaneas y 50.000 nuevas sesiones por segundo, medidos
con paquetes HTTP de 1 byte.
Disco de estado sólido interno de 120 GB o superior.

Mínimo ocho (08) interfaces de red 10/100/1000 en cobre,
formato RJ45 para tráfico de datos de la red
Minimo una (01) interfaz de consola RJ45,
CARACTERÍSTICAS GENERALES
El dispositivo de seguridad debe soportar VLAN Tags 802.1q,
agregación de links 802.3ad, policy based routing o policy
based forwarding, ruteo multicast, jumbo frames, sub-
interfaces ethernet lógicas, NAT de origen y destino.
Debe soportar enrutamiento estático y dinámico (RIPv2, BGP
y OSPFv2).
Soportar como mínimo las siguientes funcionalidades en IPv6:
SLAAC (address auto configuration), NAT64, Identificación de
usuarios a partir de LDAP/AD, Captive Portal, IPv6 over IPv4
IPSec, Reglas de seguridad contra DoS (Denial of Service),
Descifrado SSL/TLS y SSH, PBR (Policy Base Routing) o PBF
(Policy Based Forwarding), OSPFv3, QoS, DHCPv6 Relay,
SNMP, NTP, NTP autenticado, SYSLOG, DNS y control de
aplicaciones.
Permitir configurar el tiempo de almacenamiento en caché de
la Tabla ARP.
Permitir NAT de destino basado en dominio en lugar de IP. El
equipo deberá ser capaz de balancear el tráfico entrante por
esa regla de NAT de destino.
Soportar DNS Dinámico en las interfaces de red del equipo de
seguridad.
Soportar túneles GRE como punto inicio o finalización del
túnel.
Capacidad de inspeccionar el contenido en túneles GRE,
GPRS, VXLAN e IPSec no cifrado, sin necesidad de que el
equipo de seguridad sea el punto final del túnel.
Soportar IPv6 en modos de alta disponibilidad, tanto
Activo/Activo como Activo/Pasivo.
Debe ser capaz de operar en los modos Capa 3 (con
capacidades completas de Ruteo y NAT), Capa 2,
Transparente y Sniffer, de forma simultánea mediante el uso
de sus interfaces físicas sin necesidad de tener que hacer uso
de contextos o dominios virtuales.
ALTA DISPONIBILIDAD
Soporte a configuración de alta disponibilidad Activo/Pasivo y
Activo/Activo, con despliegues de los equipos tanto en modo
transparente como en modo capa 3 (L3).
La configuración en alta disponibilidad debe sincronizar:
Sesiones; Certificados de descifrado, Configuraciones,
incluyendo, más no limitado a políticas de Firewall, NAT, QoS
y objetos de red.
Debe ser posible el monitoreo de fallo de enlaces, ya sea ante
la caída de al menos una de las interfaces del equipo, una
conexión física adyacente o pérdida de conectividad hacia una
IP desde una de las interfaces.
Debe permitir cifrar la comunicación entre dos Firewall de HA
durante la sincronización de las configuraciones.
FUNCIONALIDADES DE FIREWALL
Control de políticas por zonas, puertos, direcciones IP,
segmentos y/o rangos de red, región geográfica, usuarios y
grupos de usuarios, aplicaciones grupos estáticos de
aplicaciones, grupos dinámicos de aplicaciones (basados en

sus atributos) y categorías de aplicaciones.
Deberá ser posible la identificación de la aplicación y la
inspección de malware, spyware y exploits dentro del tráfico
cifrado por los protocolos en mención.
Permitir el agendamiento de las políticas de seguridad.
Debe ser posible especificar en las reglas de seguridad un
grupo de objetos basados en IP y/o URL que se alimenten
dinámicamente de una fuente externa.
Permitir agrupar las políticas de seguridad utilizando etiquetas
u otro método.
Permitir añadir un comentario de auditoría cada vez que se
cree o se edite la política de seguridad. Cada comentario
deberá estar asociado a la versión de la política editada. Esto
con el fin de garantizar buenas prácticas de documentación,
organización y auditoria.
Debe permitir realizar validaciones de la configuración antes
de ser aplicada o instalada, esto implica, entre otras cosas,
identificar y notificar cuando existan reglas generales
superpuestas sobre otras específicas (shadowed rules).
Debe mostrar la primera y última vez que se utilizó una regla
de seguridad.
Debe mostrar la fecha de creación y última fecha de
modificación de la regla de seguridad.
Debe mostrar a través de un filtro, las reglas de seguridad que
no han tenido uso en la red desde el último encendido del
dispositivo firewall.
DESCIFRADO DE TRÁFICO SSL/TLS
Debe permitir descifrar el tráfico de navegación de usuarios a
internet mediante la instalación de un certificado digital en los
equipos.
Debe permitir descifrar el tráfico entrante hacia servidores
HTTPS publicados en internet importando el certificado del
servidor en el Firewall.
Debe ser capaz de inspección el tráfico cifrado, incluyendo el
protocolo TLS 1.3.
Debe tener la capacidad de bloquear la conexión hacia sitios
web cifrados con protocolos obsoletos e inseguros.
Debe identificar y notificar al cliente si está visitando una
página web con certificado digital no válido o emisor no
confiable, a pesar de no aplicar descifrado al tráfico SSL/TLS
Debe soportar certificados que utilice Subject Alternative
Name (SAN) y Server Name Indication (SNI).
Debe permitir excluir sitios a los cuales no se les aplicará la
política de descifrado, identificados por dominios y wildcards.
Para los certificados almacenados localmente en el firewall,
tiene que ser posible bloquear la posibilidad de exportar las
claves privadas, para evitar un uso indebido por parte de los
administradores.
Debe contar con un dashboard de reportes y logs dedicados
a monitorear el tráfico de descifrado SSL/TLS, este dashboard
deberá estar disponible en la interfaz gráfica, con el objetivo
de identificar rápidamente problemas relacionados con las
técnicas de descifrado de tráfico, el mismo debe tener varios
estados de troubleshooting y proveer de las herramientas a
los administradores para encontrar rápidamente las causas
por las cuales se puede producir una falla en la descifrado del
tráfico (por ejemplo, informar sobre certificados expirados,

claves de cifrado débiles, certificados revocados, cierre de la
conexión por parte del cliente, entre otros).
CONTROL DE APLICACIONES
Reconocer por lo menos 3000 aplicaciones diferentes,
incluyendo, más no limitando: el tráfico relacionado a peer-to-
peer, redes sociales, acceso remoto, update de software,
protocolos de red, voip, audio, vídeo, proxy, mensajería
instantánea, email.
Debe procesar e inspeccionar aplicaciones que utilicen
HTTP/2
Para tráfico cifrado (SSL/TLS), debe permitir el descifrado de
paquetes con el fin de permitir la lectura del payload de la
aplicación cifrada.
Debe inspeccionar el payload del paquete de datos con el
objetivo de detectar las aplicaciones en capa 7, a través de
expresiones regulares, firmas u otro mecanismo. El chequeo
de firmas también debe determinar si una aplicación está
utilizando su puerto default o no, por ejemplo, RDP en el
puerto 80 en vez del 3389.
Las políticas de seguridad deberán poder definirse 100% en
base a aplicaciones pudiendo aplicar reglas específicas a
cada aplicación, ejemplo si 2 aplicaciones utilizan el mismo
puerto y protocolo, se tienen que poder crear 2 políticas de
seguridad en las cuales se apliquen controles diferentes a
cada aplicación.
Debe poder identificar y crear políticas de seguridad basadas
en aplicaciones de Sistemas de Infraestructura Crítica (ICS)
como addp, bacnet, modbus, dnp3, coap, dlms, iccp, iec-
60870-5-104, mms-ics, rockwell, siemens, entre otros.
Debe aplicar análisis heurístico a fin de detectar aplicaciones
a través de análisis de comportamiento del tráfico observado.
Con el objetivo de identificar aplicaciones propietarias a nivel
de capa 7, la solución debe permitir nativamente la creación
de aplicaciones personalizadas desde la interfaz de gestión,
sin la necesidad de acción por parte del fabricante.
Debe ser posible la creación de grupos estáticos de
aplicaciones y grupos dinámicos de aplicaciones basados en
sus atributos.
Al crear políticas basadas en aplicaciones, si las mismas
dependen de otras aplicaciones, la interfaz gráfica debe
sugerir y permitir agregar las aplicaciones dependientes de la
seleccionada, para poder permitir el uso correcto de la política
de seguridad en capa 7.
Debe contar con un módulo de optimización de políticas, que
identifique las aplicaciones que han pasado sobre políticas
basadas en puertos o de Capa 4, indicando consumo en
Bytes, Hits y Fechas de visualización. Este módulo deberá
facilitar la migración de la política de Capa 4 a una política de
Capa 7 a través de un wizard.
PREVENCION DE AMENAZAS CONOCIDAS
Para seguridad del ambiente contra ataques, los dispositivos
de seguridad deben poseer módulo de IPS (Intrusion
Prevention System), Antivirus/Antimalware,
Antispyware/Antibot.
Capacidad de realizar DNS Sinkhole para la identificación de
equipos comprometidos por spyware en entornos corporativos
Las funcionalidades de IPS, Antivirus y Antispyware/Antibot

deben operar en carácter permanente, pudiendo ser utilizadas
por tiempo indeterminado, incluso si no existe el derecho de
recibir actualizaciones debido a caducidad de soporte con el
fabricante.
El equipo deberá soportar el throughput solicitado operando
en el máximo nivel o modo de seguridad de inspección de IPS,
Antivirus y Antispyware/Antibot.
Las firmas deberán estar basadas en patrones del malware y
no únicamente en hashes, con el objetivo de detectar malware
polimórfico que pertenezca a una misma familia.
Debe sincronizar las firmas de seguridad cuando el Firewall
se implementa en alta disponibilidad.
Debe soportar granularidad en las políticas de IPS, Antivirus y
Antispyware/Antibot, permitiendo la creación de diferentes
políticas por zona de seguridad, dirección de origen, dirección
de destino, servicio, usuario y grupo de usuarios y la
combinación de todos esos ítems.
Debe permitir capturar el paquete de red (en formato PCAP)
asociada a la alerta de seguridad.
Debe identificar las consultas que realizan los hosts infectados
hacia dominios maliciosos, de tal forma que el Firewall pueda
bloquear dichas consultas DNS.
Los eventos deben identificar el país que origino la amenaza.
Deberá posibilitar la creación de firmas customizadas por la
interfaz gráfica del producto.
Debe ser capaz de detectar y bloquear el virus y malware en
general que se propague en, al menos, los siguientes
protocolos: HTTP, HTTPS, HTTP/2, FTP, SMB (versiones 1,
2 y 3), SMTP, IMAP y POP3; tanto en IPv4 como en IPv6, para
todos los protocolos en mención.
Debe soportar la creación de firmas de IPS basadas en el
formato de Snort.
ANALISIS DE MALWARE DE DÍA CERO
La solución propuesta debe incluir mecanismos de detección
de amenazas de día cero, incluyendo una plataforma
Sandboxing.
La plataforma de Sandboxing deberá ser ofrecido en Nube
(Cloud). Como mínimo se requiere que el Sandbox propuesto
pueda detectar el malware de día cero en un tiempo no mayor
a 5 minutos utilizando la emulación completa de malware en
entornos Windows, Linux, Android y Mac (este tiempo de
análisis se debe cumplir de manera paralela para todos los
archivos enviados al Sandbox, considerando análisis
dinámico completo, es decir, no incluye Firmas o Prefiltros)
Deberá tener una disponibilidad del servicio de al menos
99.9% contabilizados mensualmente.
Deberá ser un servicio propio del fabricante, no se aceptarán
plataformas que tercericen el servicio de Sandboxing con
entidades terceras.
El Next Generation Firewall deberá ser capaz de actualizar las
firmas de malware en tiempo real, con el objetivo de tener
información de malware detectado a nivel global por el
fabricante.
Deberá garantizar la privacidad y confidencialidad del
contenido de los archivos analizados, para lo cual se requiere
que el servicio cuente como mínimo con certificaciones SOC2

Tipo II de AICPA, FedRAMP.
El malware de día cero deberá poder ser identificado dentro
de la infraestructura de la Entidad, sin necesidad de enviar el
archivo a ser analizado fuera de la red.
Debe analizar Links/URLs para determinar si es o no
malicioso, a pesar de no estar categorizada dentro de la Base
de Datos del fabricante.
Debe proveer información forense sobre las acciones
realizadas por el malware y generar automáticamente las
firmas de malware y bloquear el acceso a las URLs maliciosas
utilizadas por el malware.
El Next Generation Firewall debe ser capaz de enviar al
sandbox de manera automática los archivos sospechosos que
se propaguen por los protocolos HTTP, HTTPS, HTTP/2, FTP,
SMTP, POP3, IMAP y SMB, tanto en IPv4 como en IPv6.
Debe permitir al administrador la descarga del archivo original
analizado por el Sandbox.
Debe permitir reportar al fabricante eventos que son falso-
positivo y falso-negativo en el análisis de malware de día cero
a partir de la propia consola de administración.
Deberá soportar el análisis de archivos ejecutables (EXE),
DLLs, ELF (Linux), archivos comprimidos (ZIP, 7ZIP, RAR)
archivos office (.doc, .docx, .xls, .xlsx, .ppt, .pptx), archivos
java (.jar e class), archivos de tipos script (.vbs, .ps1, .js), email
link, flash, archivos de MacOS (mach-o, dmg, pkg) y Android
APKs en el ambiente controlado.
Permitir la subida de archivos al sandbox de forma manual y
vía API.
Debe detectar técnicas usadas para evadir herramientas de
sandboxing como detección de hypervisor (no debe usar
hypervisores comerciales), inyección de código a procesos
permitidos y deshabilitación de funcionalidades de seguridad
del host.
La solución debe realizar el análisis en un ambiente de
hardware real, deshabilitando totalmente la habilidad de la
amenaza de evadir sandboxing en máquinas virtuales.
FILTRO DE CONTENIDO WEB
Permite especificar la política por tiempo, horario o
determinado período (día, mes, año, día de la semana y hora)
Deberá incluir la capacidad de creación de políticas basadas
en la visibilidad e identificar el usuario que accede a una URL
a través de la integración con servicios de directorio,
autenticación vía Active Directory, LDAP en general y base de
datos local.
Debe soportar un cache local de URLs en el appliance,
evitando el delay de comunicación/validación de las URLs
Debe poseer al menos 70 categorías de URLs, incluyendo las
de malware y phishing.
Debe permitir la creación de categorías personalizadas.
Debe contar con multi categorías de URL, que permita que un
sitio web pertenezca a dos categorías distintas.
Debe identificar y categorizar los dominios nuevos, menores a
30 días de antigüedad.
Debe permitir la customización de la página de bloqueo.
Permitir la inserción o modificación de valores en la cabecera

HTTP del tráfico de aplicaciones SaaS que pasen por el
equipo de seguridad.
Debe permitir notificar al usuario, mostrándole solo una página
de alerta, pero permitiéndole continuar la navegación al site.
Debe identificar cuando un usuario envía credenciales
corporativas de red a sitios no autorizados y debe poder
bloquear dicho envío, previniendo así ataques de phishing.
PROTECCION AVANZADA DE DNS
La solución debe ser alimentada por un servicio de inteligencia
global capaz de identificar decenas de millones de dominios
maliciosos con análisis en tiempo real sin depender de firmas
estáticas.
El servicio de protección de DNS debe alimentarse de
telemetría provista por clientes a nivel mundial y más de 30
fuentes de inteligencia de amenazas de terceros.
La solución debe ser capaz de predecir y detener dominios
maliciosos de malware basados en algoritmos de generación
de dominio (DGA).
Debe utilizar machine learning y/o inteligencia artificial para
detectar nuevos dominios nunca vistos autogenerados por
algoritmos DGA
Debe poseer políticas para bloquear dominios DGA o
interrumpir las consultar de DNS a dichos dominios.
Debe ayudar a contener ataques emergentes basados en
DNS, que utilicen técnicas de tunelización lenta sobre tráfico
DNS, técnicas de entradas de DNS pendientes y adquisición
de subdominios
Debe ser capaz de predecir nuevos dominios maliciosos
inmediatamente luego de su registro, antes de que puedan ser
utilizados en ataques
Debe detectar e interrumpir robo de datos ocultos o
tunelizados en tráfico DNS
Debe analizar las consultas de DNS, incluyendo las tasas de
consultas y patrones, entropía y frecuencia de n-grams para
detectar posibles intentos de tunelización.
Debe bloquear resoluciones de DNS que usen técnicas de
SNI Spoofing utilizadas para eludir los controles de descifrado.
IDENTIFICACION DE USUARIOS
Debe incluir a capacidad de creación de políticas basadas en
la visibilidad y control de usuarios y/o grupos de usuarios a
través de la integración de servicios de autenticación vía
LDAP, Active Directory, E- Novell Directory, Exchange y base
de datos local.
Debe poseer integración con Microsoft AD Domain Controller
para la identificación de direcciones IP y usuarios. Esta
integración se podrá realizar con o sin software agente.
Debe poder identificar la IP y el usuario de Dominio en
base a Event Viewer y WMI.
Debe poder monitorear eventos de login y logout del
Active Directory utilizando el protocolo WinRM.
Debe soportar la recepción de eventos de autenticación
de Controladores Wireless con 802.1x, Soluciones NAC
y Proxy, vía Syslog, XFF (X-forward-for) en la cabecera
HTTP y/o XML API para la identificación de direcciones
IP y usuarios.
Debe permitir el control, sin instalación de cliente de

software, en equipamientos que soliciten salida a
internet para que antes de iniciar la navegación, se
muestre un portal de autenticación residente en el
firewall (Captive Portal). Adicionalmente se podrá añadir
un segundo factor de autenticación.
Debe permitir la definición de grupos dinámicos de
usuarios.
FILTRO DE DATOS
Los archivos deben ser identificados por extensión y
firmas.
Permite identificar y opcionalmente prevenir la
transferencia (subida o bajada) de varios tipos de
archivos (incluidos MS Office, PDF, PE, APK, Flash,
DLL, BAT, CAB, PIF, REG, archivos comprimidos en
RAR, ZIP u otro) identificados sobre aplicaciones.
Permitir identificar y opcionalmente prevenir la
transferencia de información sensible basados en el
contenido del archivo, incluyendo, más no limitando al
número de tarjetas de crédito; y permitiendo la creación
de nuevos tipos de datos vía expresión regular.
VPN
Soportar VPN Site-to-Site y Cliente-To-Site en protocolos
IPSec o SSL.
La VPN IPSec debe soportar como mínimo:
DES y 3DES; AES 128, 192 e 256 (Advanced Encryption
Standard)
Autenticación MD5, SHA-1, SHA-2;
Diffie-Hellman Group 1, Group 2, Group 5 y Group 14;
Algoritmo Internet Key Exchange (IKEv1 & IKEv2);
Permitir la aplicación de políticas de seguridad y visibilidad
para las aplicaciones que circulan dentro de los túneles VPN.
Las VPN client-to-site deben poder operar usando el protocolo
IPSec o SSL y permitir la conexión por medio de agente
instalado en el sistema operativo.
Soportar autenticación vía AD/LDAP, Kerberos, TACACS+,
SAML, Certificados Digitales y RADIUS, incluyendo Doble
Factor de Autenticación (2FA).
Debe permitir definir segmentos de red para ser agregadas de
forma automática en la tabla de rutas de la interfaz túnel del
equipo que tenga instalado el agente de VPN.
Debe soportar Split Tunnel para elegir los segmentos de red
que serán enrutados por la VPN.
Debe permitir los siguientes tipos de conexión del cliente al
túnel VPN:
✓ Antes del usuario se autentique en la estación
✓ Después de la autenticación del usuario en la estación
usando Single Sign On (SSO);
✓ Bajo demanda del usuario
El agente de VPN client-to-site debe ser compatible al menos
con: Windows 7, Windows 8, Windows 10, MacOS X.
Debe contar con un dashboard gráfico que permita monitorear
a los usuarios conectados por VPN.
Debe permitir al menos 300 usuarios concurrentes, el

CONTRATISTA, debe considerar el licenciamiento necesario
para cumplir con la cantidad de usuarios requeridos como
mínimo.
CONSOLA DE ADMINISTRACION Y MONITOREO
Con la finalidad de no degradar el performance de
procesamiento de red y seguridad del Next Generation
Firewall, la administración del equipo, gestión de reportes y
gestión de logs deben contar con recursos dedicados de CPU,
Memoria RAM y Disco Duro, ya sea integrado dentro del
mismo appliance u otro appliance independiente del mismo
fabricante
Permitir exportar las reglas de seguridad en formato CSV y
PDF
Debe contar con un dashboard interactivo y gráfico que
permita monitorear el uso de las aplicaciones en capa 7, sitios
web visitados, actividad de los usuarios, actividad por IP
(origen y destino), países origen y destino del tráfico, uso de
las reglas de seguridad, actividad del tráfico malicioso,
actividad de los usuarios VPN. Esta información podrá ser
vista en base a Bytes y Sesiones, y ser filtrado en base a un
rango de tiempo, IP, usuario, país y regla de seguridad.
Debe permitir el control de acceso a la gestión del equipo a
través de roles personalizables.
Debe permitir la captura de paquetes en formato PCAP para
poder ser leídos por una herramienta tercera. La captura de
paquetes deberá poder ser filtrada antes del proceso de
ejecución en base a la interfaz, IP y Puerto (origen y destino)
Ante escenarios donde existan dos o más administradores del
Next Generation Firewall logueados y realizando cambios en
simultáneo en la consola de gestión, la solución deberá de ser
capaz de solo aplicar los cambios realizados por cada
administrador individual, sin afectar o sobrescribir los cambios
del otro administrador.
Contar con un módulo que permita comparar y que indique
específicamente que cambio se hizo a una política de
seguridad respecto a una versión anterior de dicha política.
Debe ser capaz de detectar errores humanos de configuración
de reglas de seguridad donde se sobrepongan reglas
generales sobre reglas específicas (shadowing rules).
Debe permitir el almacenamiento de diferentes versiones de
archivos de respaldo de configuración (backup).
Debe poder realizar una copia de seguridad (backup)
automática de las configuraciones y rollback de configuración
a la última configuración salvada.
Debe permitir el monitoreo de eventos basados en SNMP,
integración con SIEM a través de Syslog, y envío de alertas
por correo electrónico (integrándose a un servidor SMTP).
Debe permitir la generación de logs de auditoria detallados,
informando de la configuración realizada, el administrador que
la realizo, su IP y el horario de la alteración;
Debe permitir la asignación de una cuota de uso de disco para
definir una capacidad máxima de almacenamiento de logs de
tráfico de datos, amenazas, auditoría de configuraciones,
eventos de sistema.
Debe soportar la personalización de reportes, permitiendo
mostrar información de eventos de antivirus, antispyware, IPS,
navegación a internet, aplicaciones, malware de día cero,

debe permitir seleccionar las columnas a mostrar, filtrar la
información en base a usuarios, grupos de usuarios,
direcciones IP, el rango de fechas de los datos, deben poder
ser exportados en PDF y enviados automáticamente vía
La plataforma de seguridad debe permitir realizar tareas de
gestión a través del API basado en XML.
ANEXO D
Características técnicas mínimas del software para el
Cumple Folio
Servicio de Protección avanzada de puesto de (Si/No)
trabajo y servidores
Protección para 50 máquinas servidores y/o estaciones de

trabajo compatible con los siguientes sistemas operativos:
✓ Windows 7 SP1 hasta Windows 10

✓ Windows Server 2008 R2 SP1 hasta Server/Core 2019
✓ macOS Big Sur, Catalina, Mojave
✓ Ubuntu, Redhat (RHEL), CentOS, Oracle, Amazon AMI,
SUSE Linux Enterprise Server, Fedora, Debian, Virtuozzo,
Scientific Linux
La solución estará basada en una administración SaaS
multitenant de fácil uso y gestión flexible. El servicio debe
incluir protección, detección y respuesta ante amenazas de los
endpoints.
Protección contra ransomware con tecnología AI basado en
comportamiento.
Protección automática ante una amenaza.
Prevención de ataques basada en archivos mediante
inteligencia artificial estática y el servicio de inteligencia en
nube del fabricante
Detección de ataques fileless mediante IA de análisis de
comportamiento
Respuesta autónoma frente a amenazas/eliminación,
cuarentena
Respuesta de remediación/rollback autónoma, mediante una
sola instrucción.
Dispositivo en cuarentena de la red.
Inventario de aplicaciones del dispositivo final.
Detección de dispositivos no autorizados
Vulnerabilidad de la aplicación del dispositivo final.
Reglas de detección personalizadas con respuesta activa de
acuerdo con el contexto.
El portal de administración de la solución EDR debe contar con
las siguientes características:
Deberá ser una plataforma ampliada de detección y respuesta
(XDR)
Capacidad de administrar la autenticacion y autorización
mediante SSO, MFA, RBAC.
Integracion con la inteligencia de amenazas del propio
fabricante y con los indicadores de amenaza de MITRE
ATT&CK.
Dashboard que permita el análisis de seguridad de los datos.
Notificaciones configurables por email y Syslog
La protección del dispositivo final deberá considerar:
Inteligencia Artificial (AI) estática, IA basado en el análisis de
comportamiento, protección frente a documentos, malware
que se ejecuta en memoria, exploits, movimiento lateral de
malware.
No se requiere una conexión central para proteger el
dispositivo final, ante la desconexión a Internet se mantendrá
la protección de manera autónoma.
Respuesta automática a Ransomware, con capacidad de

reversión a una sola intrusión.
Detección, prevención y respuesta a nivel organizacional
Como respuesta del evento de ciberseguridad sobre el
dispositivo final, la solución de EDR deberá realizar
remediación y reversión a su estado original, cuarentena del
dispositivo afectado, y protección con o sin acceso a Internet.
Entre las características más importantes del EDR se deberá
considerar: la detección de dispositivos sin el agente o no
autorizados, inventario y vulnerabilidad de aplicaciones
instaladas en el dispositivo final, control de dispositivo
bluetooth, USB, control de Firewall OS con reconocimiento de
ubicación.
El servicio de EDR deberá considerar un argumento de ataque,
brindar visibilidad a bajo nivel, profunda del incidente, y permitir
la caza de amenaza.
La solución de EDR deberá permitir determinar la causa raíz
detrás de los actores de amenazas y responder de forma
autónoma, sin depender de los recursos de la nube.
La solución de EDR deberá permitir determinar la causa raíz
detrás de los actores de amenazas y responder de forma
autónoma, sin depender de los recursos de la nube
ANEXO E
Características técnicas mínimas del administrador de ancho Cumple Folio

de banda (Si/No)
Un equipo dedicado a la funcionalidad de gestionar ancho de
banda, este componente o función no deberá estar embebida
sobre enrutadores, firewalls, NGFW, UTM entre otras.
Para efectos de la propuesta, ninguno de los modelos ofertados
Deberá estar licenciado para poder gestionar 100 Mbps de
throughput full duplex (100 Mbps entrante y 100 Mbps saliente) y
deberá tener capacidad de poder incrementar (con licenciamiento
adicional) a 2 Gbps (sin cambiar de hardware).
Capacidad de clasificar el tráfico según: Aplicación, Protocolo,
Puerto, Rango de puertos, IP, Rango de IPs, Subred y VLAN
Las reglas de clasificación se podrán configurar en múltiples
niveles, mínimo 10, de forma que una regla pueda tener diferentes
reglas hijo, y así sucesivamente.
La configuración de políticas ha de realizarse mediante una
aplicación con interfaz web
La construcción de políticas ha de realizarse de forma visual,
representándose el árbol con los diferentes niveles de forma
gráfica y no en modo tabla.
Cada nodo del árbol de políticas ha de ser capaz de contraerse
para facilitar la visibilidad de todas las reglas, o poder visualizar un
único nodo y sus políticas hijas.
Se debe disponer de un buscador que, al escribir una aplicación,
puerto, IP, dibuje el camino que recorre en el árbol para saber
rápidamente qué política se le está asignando.
Aplicar reglas de QoS que contengan las siguientes opciones:
✓ Asignación de un mínimo de ancho de banda

✓ Limitación a un máximo ancho de banda
✓ Definición de diferentes prioridades
✓ Descartar aquellos paquetes no deseados (drop)
✓ Mantener el QoS original
✓ Eliminar el QoS para que sea más proclive a descartarse si hay
saturación
Los catálogos de clasificación y control deben ser válidos para

aplicar a cualquier nivel del árbol de clasificación (sin necesidad de
definir a qué nivel corresponde la regla)
Se debe disponer de capacidad de tener plantillas para poder
clonar políticas.
Se debe poder tener algoritmos de QoS para priorización y
limitación de tráfico basado en % en vez de en valores estáticos o
fijos.
El elemento es transparente a nivel de transporte, sin cambios en
las direcciones IP y puestos de origen destino.
La solución de QoS ha de ser integrable dentro de una herramienta
de analítica avanzada que permita todas las funcionalidades
descritas en el módulo de reporting.
El sistema de políticas debe tener autoprotección y detección de
incongruencias en políticas impidiendo la creación de una política
errónea y quedando marcado en el árbol de políticas en algún color

aquella política que no es válida impidiendo ser guardada.
El equipo para ofertar debe disponer de un bypass externo y pasivo
simultaneo de interfaces de cobre y/o de fibra óptica, dicho bypass
deberá garantizar que en caso de falla eléctrica o de
procesamiento de este equipo, el tráfico no se vea interrumpido y
se garantice la continuidad de la conectividad de las interfaces en
funcionamiento.
El dispositivo de gestión de ancho de banda deberá poder soportar
la optimización TCP de tráfico dentro de la misma caja, deberá
poder hacer las siguientes funcionalidades de aceleración:
La solución de optimización deberá ir en línea y cumplir con los
siguientes requisitos:
Optimización de tráfico encriptado por protocolo TLS
(versiones 1.0, 1.1, 1.2 y 1.3) sin romper la encriptación extremo a
extremo.
Optimización de tráfico encriptado por protocolo SSL
(versiones 2.0, 3.0) sin romper la encriptación extremo a extremo.
Optimización de tráfico de Internet (tráfico no proveniente
del centro de datos/WAN).
Optimización de tráfico de aplicaciones albergadas en la
nube.
Despliegue en un solo punto en el camino del tráfico. No
deberá ser necesario desplegar parejas de elementos en cada
extremo del tráfico a optimizar.
Despliegue en la nube no necesaria para optimizar
aplicaciones albergadas.
Despliegue tanto en appliances de fabricante como modo
software en entorno virtual.
Los parámetros de optimización se autoajustarán con
algoritmos de aprendizaje.
El elemento actuará como un enlace físico (bump-in-the-
wire) que manda el tráfico entre dos puertos físicos sin necesitar
de direcciones IP asignadas y sin cambiar las MACs de los
paquetes que lo atraviesan.
El elemento soporta agregación de enlaces.
El elemento soporta VLANs
El elemento es compatible con los siguientes mecanismos
de respaldo (failover): OSPF, BGP, 802.3ad.
El elemento es transparente a nivel de transporte, sin
cambios en las direcciones IP y puestos de origen destino.
Capilaridad a nivel de Aplicaciones y reporting del gestor de ancho
de banda
La consola de analítica y reportería debe ser poder montada dentro
del gestor de ancho de banda sin que esto afecte al rendimiento.
No se admitirán soluciones cuya gestión vaya fuera del appliance
de gestión de tráfico o en la nube.
Dicha parte de reportería deberá tener las siguientes capacidades
de monitorización y analítica avanzada:
o Creación de cuadros de mando personalizados a las

necesidades del cliente.
o Capacidad de hacer filtros en las diferentes tablas de la
base de datos y de las distintas fuentes de datos.
o Capacidad de hacer ZOOM o “Drill Down” desde una vista
superior a otra vista más particular.
o Capacidad de crear cuadros de mando con leyendas
personalizadas, incrustar vídeos, o fotos explicativas en la página
web del cuadro de mando. Capacidad de incrustar Logos o

cualquier otra información.
o Posibilidad de crear botones de búsqueda, cuadros de
mando de búsquedas, posibilidad de hacer búsquedas múltiples
por diversos criterios, etc.
o Interfaz gráfica multilenguaje.
o Interfaz gráfica debe soportar “modo claro” y “modo
oscuro”.
o La interfaz gráfica debe auto-adaptarse a la resolución y/o
al tipo de terminal: laptop, tableta, móvil, etc.
o Posibilidad de hacer filtros de todo tipo de los datos y de
las vistas de los datos.
o Capacidad multitenant de acceso a las vistas de datos y a
los datos. Dicha funcionalidad no puede ser de coste adicional.
o Capacidad de multiplexar diferentes fuentes de datos en
un único cuadro de mando.
o Capacidad de creación de alarmas y eventos y
planificación de eventos.
o Notificación de alarmas en múltiples formatos tipo email,
Slack, o similares.
o Capacidad de visualizar umbrales de tres niveles,
pudiendo seleccionar los colores, tanto para series temporales
como agregadas y acelerómetros.
o Capacidad de generación de informes e informes
automatizados que se puedan programar y generar
automáticamente en formato PDF y otros, tipo JPG o CSV.
o Capacidad de creación mapas de “carreteras” que
permitan visualizar por donde va un flujo, servicio o aplicación.
Capacidad de autodescubrimiento de nodos de red.
o Capacidad de generar múltiples vistas de datos en formato
tabla, series temporales, diagramas, gráficos de barras, gráficos de
agregación como por ejemplo tipo “pie” y otros muchos tipos.
o Se podrán sacar informes y gráficas en función del tiempo,
seleccionando mediante un calendario el periodo a visualizar.
o Se podrá definir la resolución de los datos a visualizar, por
ejemplo: cada minuto, cada 5 minutos, etc. Incluso se podrá ir a
resoluciones inferiores siempre y cuando se tengan datos con una
resolución inferior.
o Se podrán crear cuantos “dashboards” o cuadros de
mando se desea y la forma de construirlos será mediante tarjetas
(cards) que se pueden definir de cualquier tamaño, se podrán
asignar colores, leyendas y en definitiva personalizar.
o Dichas tarjetas estarán accesibles para los usuarios en
función de sus privilegios y podrán ser particulares de un usuario o
generales para ser utilizadas por muchos usuarios.
o Las tarjetas deben permitir suscribirse a eventos creados
en otras tarjetas. Es decir, haciendo click en un campo de una
tarjeta, debe permitir que se aplique el filtro del valor seleccionado
en otra u otras tarjetas.
o Una tarjeta puede ser definida como filtro, de modo que
permita crear una entrada de texto, una lista desplegable, botones
de selección, etc. Dichos filtros han de aplicarse a las tarjetas
predefinidas.
o Las tarjetas pueden configurarse para aparecer invisibles
en el cuadro de mando y aparecer sólo cuando se aplique un
evento determinado
Métricas, KPIs y tipos de aplicaciones necesarias de la
herramienta:
o Reconocimiento de aplicaciones a nivel 7.

o Capacidad de generar firmas para reconocimiento de
aplicaciones corporativas.
o Deben disponer de reportes relativos a: Aplicaciones,
Conversaciones, URLs, Puertos, Grupo de aplicaciones, Nombre
de host, IP origen, IP destino, Puerto origen, Puerto destino
o Calcular las siguientes métricas:
QoE
• RTT
• TCP Packet lost
Network
• Number of flows
• Total throughput
• Total volume
• Downstream
• Upstream
• Packets transmit
• Packets received
• Activity duration
• Max peak throughput
HTTP/HTTPS
• Service Setup time
• Mean data
• Peak data
• Service non accessibility
• Session failure ratio
• Session time
• Set up time
• Transactions
• Data transfer cut off
• Service access failure
Usuario
• Duration Usage
• Total activity
• Start time
• Stop time
VoIP
• RTT
• TCP Packet lost
• Caller ID
• Session Time
• Duration Time
La sonda de red debe ser capaz de realizar capturas de tráfico para

poder generar PCAPs tanto para IPs concretas como para rangos
de IPs. Dichas capturas se podrán truncar parta de la carga útil del
paquete. Se podrá seleccionar las IPs o VLANs desde donde ser
realiza la captura.
Se podrá almacenar en la base de datos gran cantidad de datos

(días, incluso semanas) para realizar las capturas siempre en
función del almacenamiento necesario para las mismas.
Se podrá identificar el tráfico de un mismo flujo que pueda estar
duplicado, tanto para la captura de paquetes como para la propia
monitorización de la sonda DPI.
Se puede recibir información segmentada por VLANs.
Se podrá identificar un flujo o conexión independientemente de que
pudiera haber en la red un Proxy, NAT o un cambio en la cabecera
de los paquetes de dicha conexión.
El sistema gestor de tráfico debe poder soportar, no licenciado de
inicio, en el mismo equipo y sin HW adicional la capacidad de
monitorizar todos los equipos externos al gestor que forman parte
de la comunicación del enlace a Internet (FW, SW, Routers,
Servidores u otros).
ANEXO F
Características técnicas mínimas de la solución de la gestión Cumple Folio

de vulnerabilidades (Si/No)
Se requiere una solución de gestión de vulnerabilidades y
auditoría de configuraciones de infraestructura que está basada
en cloud, en modalidad software como servicio, licenciada para
65 activos de infraestructura y 20 aplicaciones web.
Deberá realizar escaneos de vulnerabilidades y evaluación de
configuraciones (políticas) en forma programada y automática.
Los resultados de estos deberán estar consolidados en un único
sistema de gestión.
Deberá colectar datos mediante escáneres activos, escáneres
pasivos (análisis de tráfico de red) y agentes. No deberá haber
límites en la cantidad de escáneres a desplegar en forma
distribuida. Además, deberá contar con motores de escaneo
públicos para escanear ambientes publicados a Internet.
Deberá estar basado en un catálogo propio de vulnerabilidades
que incluyan más de 160 mil evaluaciones diferentes y al menos
64 mil vulnerabilidades conocidas por un período no menor a 15
años.
Deberá proveer un mecanismo de priorización de
vulnerabilidades automático basado en la probabilidad de
explotación y que ofrezca información alternativa al CVSS
(Common Vulnerability Scoring System) basada en Inteligencia
de amenazas reales recabada de diversas fuentes como Deep
Web, Dark Web, redes sociales, sitios de divulgación y otros
centros de investigación.
Deberá ser capaz de evaluar, no solo vulnerabilidades, sino
auditar configuraciones y compararlas contra las mejores
prácticas y frameworks de seguridad tales como CIS, CERT,
CISA STIG, PCI y otros para la totalidad de activos licenciados,
incluidos equipos de red, infraestructura de virtualización,
Windows, Linux, Bases de Datos, Aplicaciones y otros sistemas.
Estas auditorías podrán ser personalizables por la organización.
Esta funcionalidad es también conocida como Policy Compliance.
Se requiere esta capacidad sin límites de licenciamiento.
La solución deberá contar con una API completa para integración
mediante scripting automatizado y exportación de datos mediante
llamados. Esta API deberá estar liberada y documentada y no
deberá tener limitaciones de licencias en cantidad de llamados o
sistemas que la consultan. Si no existe una licencia ilimitada,
considerar la de mayor capacidad disponible.
Los escáneres deberán ser desplegables en modalidad software
y virtual appliance con soporte de VMware y Hyper-V.
Deberá permitir la configuración y almacenamiento seguro de
credenciales de usuario para escanear mediante cuentas locales
y de dominio Windows, cuentas ssh para sistemas Unix/Linux y
dispositivos de red. Deberá permitir elevar privilegios mediante
“su” y “sudo” y no deberá tener limitaciones en cantidad de
credenciales. Además, el sistema deberá integrarse con
soluciones de bóvedas digitales como Cyberark, Centrify,
Beyondtrust y otras.
Deberá ser capaz de obtener vulnerabilidades de estaciones de
trabajo en Internet (teletrabajo) y otros ambientes no conectados
a la red del organismo, e inalcanzables por un escáner, mediante
agente Windows, Linux y MacOS.
Deberá contar con escaneos que solo auditen la existencia o

inexistencia de parches de todo tipo de sistemas (Windows
Desktop, Unix/Linux, equipos de red, aplicaciones y otras
plataformas).
Deberá mantener registro de estado de vulnerabilidades por
activo, de modo de identificar vulnerabilidades que, habiendo sido
remediadas, volvieron a surgir en nuevos escaneos. Deberán
registrarse las fechas de primera aparición, última aparición y
reaparición. Además, se deberá contar con una vista de
vulnerabilidades remediadas.
La solución deberá ser capaz de identificar sistemas
comprometidos por malware y otros códigos maliciosos. También
deberá ser capaz de identificar la ejecución y nivel de firmas del
sistema de Antimalware presente en el dispositivo.
Deberá permitir auto-clasificar activos mediante reglas que
asignen clases o etiquetas de acuerdo a diversos criterios como
Ubicación, Criticidad, Unidad de negocio, tipo de tecnología,
dueño del activo, y otros.
Deberá reportar vulnerabilidades que sean explotables,
establecer el nivel de madurez del código de exploit (si aplica),
documentar de que forma se explota (malware, acceso remoto,
con o sin credenciales), si el exploit está presente en frameworks
reconocidos tales como Metasploit, Canvas, Core y otras.
La solución debe proporcionar un modelo de licencia dinámico,
para garantizar que la recopilación de datos (escaneos activos o
detección pasiva) no se interrumpa cuando se rebase
temporalmente las licencias contratadas. Además, la solución
deberá contar con la posibilidad de informar el conteo de licencias
utilizado y licenciado y las fechas de expiración.
Deberá proporcionar control de acceso basado en roles y perfiles
con suficiente granularidad para controlar a los usuarios el acceso
a determinados conjuntos de datos y la funcionalidad que está
disponible para los usuarios tales como ejecutar escaneos,
cambiar configuraciones, acceder a los resultados, generar
reportes, aceptar riesgos y otros casos de uso. Debe contar con
roles predefinidos y permitir crear nuevos roles.
La solución debe permitir configurar características de
performance de red para impedir que produzca excesos de tráfico
en redes de bajo ancho de banda disponible. También deberá
permitir configurar la simultaneidad de sistemas escaneados y la
cantidad de chequeos por escaneo. Aun teniendo estas medidas
el sistema deberá incluir la capacidad de programar ventanas
horarias que automáticamente detengan la ejecución de todos los
escaneos y luego los reanuden.
Deberá presentar paneles de control predefinidos y
personalizables que contengan datos estadísticos, gráficos de
tendencias, información relevante mediante filtros, índices de
riesgos y otros datos importantes.
La solución deberá ser capaz de identificar activos mediante
escaneos de descubrimiento y escaneos pasivos. Además,
deberá detectar el sistema operativo, los servicios que se
ejecutan, el software instalado y datos que permitan identificarlo
tales como IP, MAC Address, hostname/DNS Name. Deberá
permitir aplicar etiquetas que designen criterios de clasificación
tales como criticidad, área o departamento, dueño, ubicación
física, ambiente. Estas etiquetas deberán ser completamente
personalizables y permitir crear reglas que las apliquen
automáticamente. También deberá registrar el día y hora que se

vio al activo por primera y última vez y la última vez que fue
escaneado con credenciales.
La solución deberá contar de forma nativa e incluida en su
licenciamiento, la capacidad de conectarse a las API de Google
Cloud Platform, AWS y Azure para el descubrimiento de nuevas
instancias en entornos de nube. Además, deberá contar con
escáneres pre-autorizados y disponibles en esos servicios de
nube.
Deberá permitir realizar escaneos del tipo auditoría de
configuración para determinar el cumplimiento de los controles de
seguridad y mejores prácticas contra estándares de industria
(CIS, NIST, etc), recomendaciones de fabricantes y políticas
internas personalizadas. Estas auditorías deberán alcanzar a
sistemas operativos, incluyendo los de los dispositivos de red,
aplicaciones, motores de bases de datos, hipervisores, cuentas
cloud (AWS, Azure, Google Cloud Platform) y otros componentes
de infraestructura y deberá permitir ser ejecutado con escáner de
red o con agente.
Deberá contar también con mecanismos para detectar
información sensible y ser capaz de auditar la ejecución y estado
de actualización de los paquetes antivirus instalados.
Deberá contar con un módulo que automatice el descubrimiento
de problemas de seguridad comunes tales como Cross-Site
Scripting, SQL Injection, Directory Traversal,
Configuraciones inseguras y otras vulnerabilidades y debilidades
en aplicaciones Web.
Deberá estar orientado al descubrimiento de vulnerabilidades
indicadas en el TOP 10 de OWASP https://owasp.org/www-
project-top-ten/
La solución deberá utilizar motores de escaneo propios. No se
aceptarán soluciones que utilicen motores de otros fabricantes o
tecnologías open-source.
Deberá contar con motores de escaneo públicos, listos para ser
usados sin necesidad de despliegue para aplicaciones publicadas
a Internet.
Deberá contar con diferentes opciones de escáneres distribuidos
globalmente y tener libertad de elegir cual utilizar.
Deberá informar los rangos de IP utilizados por cada grupo de
escáneres.
Los escáneres deberán auto escalar de manera de no producir
mayores retrasos ni colas de espera en la ejecución.
Deberá contar con una opción de despliegue local para motores
de análisis que permitan escanear aplicaciones internas no
La solución debe poder definir y administrar grupos de usuarios,
incluida la limitación de las funciones de escaneo y el acceso a
informes.
Deberá contar con la opción de configurar métodos de
autenticación de múltiples factores.
Debe contar con ilimitados motores de escaneo sin que la licencia
limite su uso.
Se debe permitir la definición de secciones críticas de la
aplicación que sean seguras para escanear y de otras partes que
nunca deberían escanearse, para evitar latencias de rendimiento
e interrupciones.
Debe soportar todass las versiones de protocolos de transporte

utilizados comúnmente en los sitios web actuales, incluyendo http
v.1.1, http v.1.0, SSL/TLS, http compression, http User Agent
Configuration.
La solución deberá estar basada en escaneos activos mediante
tests remotos. No se tendrán en cuenta herramientas que
analicen tráfico ni requieran la implementación de piezas de
software o código en la aplicación o requiera la instalación de un
gateway para su análisis.
Debe contar con plantillas de scan que permitan escanear las
vulnerabilidades de una aplicación y otros que permitan solo
entender la estructura del sitio. Deberá también haber plantillas
para auditar la versión de SSL/TLS implementada en la
aplicación.
Deberá contar con una plantilla que permita auditar la
configuración de la aplicación.
Deberá contar con un repositorio de credenciales para ser
utilizadas en los escaneos.
Deberá contar con la posibilidad de ingresar credenciales de
usuarios válidos de la aplicación y soportar los siguientes
esquemas:
o Usuario/Password usando esquema Basic/Digest o

NTLM.
o Formulario de Login de la aplicación indicando url y con
la opción de configurar una Regex o una página específica que
permita verificar el login exitoso.
o Cookie con verificación de login exitoso.
o Selenium mediante la generación de un script
automatizado mediante el registro de ingreso de una sesión válida
El escáner deberá mantener una sesión válida activa durante todo
el escaneo, tanto para descubrir los elementos del sitio
(parámetros, cookies, formularios, enlaces, etc.) como para el
testeo de vulnerabilidades.
Deberá permitir configurar una programación para ejecutar un
escaneo en forma recurrente, programando la frecuencia o
definiendo día y hora precisa de inicio.
Deberá permitir configurar permisos de acceso y visibilidad a los
resultados y de control y configuración de los parámetros del
escaneo.
Permitirá definir si los resultados son compartidos y acumulados
en los paneles de control y reportes generales o son solo de
consulta del propietario
Permitirá utilizar scripts de Selenium para analizar páginas con
lógicas de acceso complejas.
Permitirá definir URLs explícitas para ser incluidas o excluidas en
una tarea es escaneo.
Permitirá definir extensiones de archivos para que sean excluidas
de análisis.
Deberá dar la opción de configurar la descomposición del Path
para incluir directorios recursivos como nuevas URLs.
Deberá al menos ser capaz de auditar:
o Cookies
o Encabezados (Headers)
o Formularios
o Links
o Nombres de Parámetros
o Valores de Parámetros
o Elementos JSON
o Elementos XML
o Formularios UI (Entradas y grupos de botones asociados
con código JavaScript)
o Entradas UI (elementos de entrada huérfanos con los
eventos del modelo de objeto de documento (DOM) asociado)
Deberá permitir definir una URL de un host remoto para testear
una vulnerabilidad de RFI (Remote File Inclusion)
Deberá contar con la opción de definir la duración máxima de un
escaneo.
Deberá contar con parámetros que limiten la cantidad de URLs
que el sistema rastreará, la cantidad máxima de directorios, el
tamaño máximo de una página que analizará y la cantidad
máxima de redirecciones que el escaneo hará antes de
detenerse.
Deberá permitir definir el user-agent con que el escaner explorará
la aplicación.
Permitirá definir opciones de pantalla que usará el escaner para
la evaluación, tales como el ancho y el alto en pixeles.
Deberá contar con opciones para configurar la performance del
escaneo tales como:
o Máximo número de conexiones HTTP concurrentes

o Máximo número de requerimientos HTTP por segundo
o Detectar red congestionada y reducir la carga
o Especificar el tiempo máximo de espera de las
respuestas
o Especificar el tiempo máximo de espera de un browser
antes de abortar el escaneo
o Especificar el número consecutivo de vencimientos de
tiempo de espera (timeouts) antes de abortar el escaneo
Deberá tener la suficiente granularidad como para poder definir la
habilitación/inhabilitación de tests de vulnerabilidades puntuales
o por familias.
El fabricante deberá poner a disposición acceso a una API que
permita crear conectores, importar/exportar datos y automatizar
procesos.
Deberá ser capaz de detectar vulnerabilidades que permitan la
inyección de código.
Deberá testear la aplicación e identificar vulnerabilidades de
Cross-Site Scripting.
Deberá contar con evaluaciones que identifiquen vulnerabilidades
que permitan la exposición de datos.
Deberá detectar vulnerabilidades y debilidades de configuración
del Web Server.
Deberá contar con múltiples evaluaciones relacionadas con
SSL/TLS, identificando cifrados no soportados o débiles,
certificados auto-firmados o expirados, versiones débiles u
obsoletas de protocolo.
La solución deberá ser segura de escanear en ambientes de
producción.
La solución deberá tener la capacidad de testear una aplicación
web diseñada para el uso en dispositivos móviles.
La solución deberá se capaz de testear aplicaciones HTML5.
Deberá ser capaz de lanzar escaneos bajo demanda y detenerlos

durante su ejecución.
Deberá permitir ejecutar múltiples escaneos simultáneos.
Deberá entregar paneles de control que muestren indicadores
estadísticos con número de vulnerabilidades por criticidad.
Deberá entregar paneles de control que muestren indicadores de
ejecución de los escaneos.
Deberá mostrar en los paneles de control, cuantas
vulnerabilidades existen agrupadas por categoría de OWASP.
Deberá mostrar resultados ordenados por vulnerabilidad o por
aplicación y ordenando por severidad y cantidad.
Dada una aplicación, el sistema deberá mostrar el histórico de
escaneos realizados sobre la misma.
Deberá contar con paneles de control que muestren estadísticas
de vulnerabilidades por aplicación, por categoría de OWASP y por
severidad.
Deberá permitir crear paneles de control personalizados
ANEXO G
Características técnicas mínimas de la Central Telefónica Cumple Folio

(Si/No)
El equipamiento deberá ser de solución tipo appliance de propósito
específico con arquitectura todo en uno (all-in-one), de crecimiento modular
a través de tarjetería, y basado en el protocolo SIP.
Para efectos de la propuesta, ninguno de los modelos ofertados podrá estar
listados ni anunciado en el sitio web del fabricante como end-of-life o end-of-
sale o end-of-support. Se deberá adjuntar a su propuesta el enlace
público del fabricante que verifique que los modelos propuestos no
están en ese listado
La central telefónica debe incluir los puertos para dos primarios.
La central telefónica debe tener la capacidad de integrar 96 teléfonos
analógicos, de ser el caso el CONTRATISTA, deberá incluir las licencias
necesarias.
El sistema de comunicaciones deberá permitir asignar hasta 300 códigos o
más, para la realización de llamadas como mínimo, asociado a los permisos
con los que cuenta cada usuario, por ejemplo, llamada a teléfonos fijos,
teléfonos móviles, larga distancia nacional o larga distancia internacional.
La central debe permitir contestar las llamadas de un anexo a otro.
La central debe permitir crear grupos de anexos.
El sistema deberá estar habilitado para atender la capacidad de equipos
telefónicos solicitados, teniendo capacidad para soporte de telefonía IP y
análoga. Sin embargo, la solución deberá estar dimensionada para soportar
un crecimiento de hasta un 100% como mínimo.
En caso de suministrase licencias en software o hardware, éstas serán
cedidas a perpetuidad y no deberán ser necesarios contratos de renovación
periódicos. Para ello el CONTRATISTA, deberá entregar el certificado de las
licencias de ser el caso, como anexo al informe final referente a la instalación
y configuración del servicio.
El sistema deberá proporcionar buzones de voz incorporados (built-in) para
implementar la funcionalidad de correos de voz y prevenir la pérdida de
llamadas.
El sistema deberá soportar servicios suplementarios tales como, llamada de
emergencia, estación de secretaria, y barrido de llamada, entre otros, para
cumplir con los diferentes requerimientos de servicio.
El sistema deberá soportar IPv4 e IPv6.
El CONTRATISTA deberá considerar que, durante el periodo de contrato, la
APN podrá solicitar el cambio de IPv4 a IPv6, así como la configuración en
los equipos de comunicaciones en calidad de alquiler y los equipos de
comunicaciones de propiedad de la APN (los cuales cuentan con soporte
para IPv6), para que se configure el protocolo IPv6 en la red telefonía fija,
dicha configuración no tendrá costo para la institución.
El sistema debe estar en capacidad de soportar los códecs de audio G.711a,
G.711μ, G.729AB.
El sistema de comunicaciones deberá ser una plataforma de
comunicaciones IP y soportar una gama de teléfonos IP que a su vez
soporten estándares internacionales como Calidad de Servicio (QoS),
G.711a, G.711μ, G.729AB en conexión Ethernet, con switch incorporado, de
10/100 Mbps como mínimo.
La central telefónica deberá estar en capacidad de integrarse sin problemas
con un sistema de tarificación externo, en lo que se refiere a asignación de
cuotas, que opcionalmente incluya cortes de llamadas, aviso de corte
mediante mensajería entre otros.
El sistema deberá permitir la personalización de la música de espera y poder

permitirle la adición de mensajes Institucionales.
La administración deberá ser a través de una consola web, para la
asignación de anexos, códigos, permisos de llamadas, entre otros.
Las dimensiones de los equipos deberán ser para instalaciones en racks o
gabinetes empleando el estándar de 19”.
Para la funcionalidad de único número de contacto, el sistema tendrá la
capacidad de configurar listas de acceso (incluyendo la posibilidad de
restricciones hacia ciertos números) y programación de horarios para la
distribución de las llamadas.
Alimentación 220V AC 60Hz, incluyendo los cables de alimentación eléctrica
para los tomacorrientes con líneas a tierra.
El sistema de central telefónica deberá tener la capacidad de poder modificar
las etiquetas de los teléfonos.
Las funcionalidades de los teléfonos analógicos que son propiedad de la
APN deberán de poder realizar lo siguiente:
Transferencia de llamadas.
Llamadas externas
Llamadas Internas
Captura de llamadas
Grupo de extensiones
Código personal
Se deberá incluir módulos de tarjeta para la conexión de hasta 66 teléfonos
analógicos.
Los Teléfonos IP deben tener las siguientes facilidades:
Restricción de llamadas.
Grupos de extensiones
Captura de llamadas.
Código personal.
Conferencia tripartita.
Desvío de llamadas.
Rellamada.
Llamada en consulta.
Llamada externa.
Llamada interna.
Marcación por tonos DTMF y pulsos.
Interconexión de llamada sobre la extensión ocupada o en DND.
Identificación de llamadas.
Deshabilitación/Habilitación del teléfono IP por el usuario o
administrador del sistema.
Teléfono con múltiples números.
Supervisión visual permanente de otros anexos desde el teléfono IP.
(opcional).
Marcación abreviada.
Movimiento de terminal mediante código.
Lista de llamadas ISDN no contestadas.
Se debe contar con una operadora automática que permita acceder
directamente a un anexo interno desde una línea externa en una central
telefónica además de dar una imagen corporativa a la empresa.
ANEXO H
Características técnicas mínimas deL Telefono IP de Tipo A Cumple Folio

(Si/No)
Los teléfonos ofertados deberán ser de la misma marca de la central
telefónica.
Teléfono de dos (02) líneas basado en el protocolo SIP.
Pantalla LCD a color con resolución de al menos 320 x 240 píxeles.
Dos puertos Ethernet 10/100/1000 Mbps.
El color de los equipos deben ser Negro o Gris.
Debe contar con al menos las siguientes teclas de funciones:
transferencia de llamada, conferencia, manos libres/altavoz, modo
audífonos, silencio, espera, ajuste de volumen.
Debe contar con al menos 02 teclas de líneas, 5 teclas de navegación,
04 teclas de función suave (softkey) y 10 teclas programables.
Indicador visual de mensajes de voz (Message Waiting Indicator).
Debe poder mostrar información histórica de llamadas perdidas,
realizadas y recibidas.
Soporte de los códecs G.711a, G.711μ, G.729AB.
Soporte de los protocolos 802.1p/q (VLAN).
Soporte del protocolo 802.3af (Power Over Ethernet).
Debe incluir al menos 10 tonos de timbrado predefinidos
Características técnicas mínimas deL Telefono IP de Tipo B Cumple Folio

(Si/No)
Los teléfonos ofertados deberán ser de la misma marca de la central
telefónica.
Teléfono de 6 líneas basado en el protocolo SIP.
Pantalla LCD a color con resolución de al menos 800 x 480 píxeles.
Dos puertos Ethernet 10/100/1000 Mbps.
El color de los equipos deben ser Negro o Gris.
Debe contar con al menos las siguientes teclas de funciones:
transferencia de llamada, conferencia, manos libres/altavoz, modo
audífonos, silencio, espera, ajuste de volumen.
Debe contar con al menos 06 teclas de líneas, 5 teclas de
programables.
Indicador visual de mensajes de voz (Message Waiting Indicator).
Debe poder mostrar información histórica de llamadas perdidas,
realizadas y recibidas.
Soporte de los códecs G.711a, G.711μ, G.729AB.
Soporte de los protocolos 802.1p/q (VLAN).
Soporte del protocolo 802.3af (Power Over Ethernet).
Debe incluir al menos 10 tonos de timbrado predefinidos.
Capacidad para conectar módulos de expansión. Debe incluir los
módulos de expansión para al menos 02 teléfonos.
Capacidad para conectar módulos de expansión. Debe incluir los
módulos de expansión para cada uno de los equipos.

TDR-Servicio-Internet-Tel 25042022 VF R R

Cargado por

Copyright:

Formatos disponibles

TDR-Servicio-Internet-Tel 25042022 VF R R

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TDR-Servicio-Internet-Tel 25042022 VF R R

Cargado por

Copyright:

Formatos disponibles

“Decenio de la Igualdad de Oportunidades para mujeres y hombres”

“Año del Fortalecimiento de la Soberanía Nacional”

REQUERIMIENTO DE SERVICIOS EN GENERAL

4) ÁREA O UNIDAD ORGÁNICA

5) ACTIVIDAD DEL POI

6) MES PROBABLE DE CONVOCATORIA

1) DESCRIPCIÓN DEL SERVICIO

A continuación, se detalla las características de cada componente que se

• Debe permitir asignar hasta 300 códigos para la

a) Características del servicio de acceso a internet dedicado

✓ Uno de los dos enlaces será configurado en modo activo/standby,

Cabe indicar que al referirse al modo Activo-Standby, se refiere a

✓ La disponibilidad del servicio debe ser del 99.90% como mínimo

procedimiento para la atención de averías, al momento de

✓ El servicio de acceso a Internet debe estar disponible las

✓ Debe poseer un ancho de banda hacia el Internet Internacional de

Debe garantizar la conexión internacional para ambas rutas y

✓ Entregará como mínimo 75 direcciones IP públicas (59 IPs

✓ , Debe entregar los accesos para que la entidad pueda realizar de

✓ Garantizará que el ancho de banda contratado para el enlace será

✓ Debe brindar un portal web donde el personal autorizado de la APN

✓ La APN brindará los ambientes adecuados con la infraestructura

✓ Debe brindar la posibilidad técnica de un traslado de local por

b) Equipos de enrutamiento – Router

Debe, entregar en calidad de alquiler 02 Router, de los cuales 01 se

✓ Interfaces: seis (06) puertos 10/100/1000BaseT + 2SFP, 1 puerto

El CONTRATISTA debe entregar en calidad de alquiler 02 Switch de

✓ Se requiere de un conmutador modular administrable de interfaces

SNTP, TACACS+, IEEE 802.1Q – VLAN trunking y tagging, IEEE

• El usuario administrador del equipo es quien decide en qué

✓ A fin de validar las características técnicas mínimas ofertadas se,

emitidos por el fabricante (folletos, catálogos, brochures u

d) Módems Portátiles - para Internet Móvil.

✓ El CONTRATISTA debe brindar en calidad de alquiler sesenta y

Ítem Descripción Ubicación

IQUITOS Av. De la Marina N° 1338- Interior Terminal

YURIMAGUAS Calle Libertad 1301 a Calle Jose Galvez 302-

Terminal Portuario de Carretera a Nuevo Puerto - 16500

1.2 SEGURIDAD PERIMETRAL

a) Equipo Firewall – Seguridad Perimetral.

El servicio deberá contar con una solución de seguridad perimetral, para

✓ La solución debe consistir en dos appliances de seguridad con

✓ Se deberá proporcionar una cuenta de acceso al portal oficial de

✓ Throughput de Next Generation Firewall de 3 Gbps medido con tráfico

inspección de seguridad, el equipo ofertado deberá soportar el

✓ El dispositivo de seguridad debe soportar VLAN Tags 802.1q,

✓ Soporte a configuración de alta disponibilidad Activo/Pasivo y

✓ Control de políticas por zonas, puertos, direcciones IP, segmentos y/o

DESCIFRADO DE TRÁFICO SSL/TLS

✓ Debe permitir descifrar el tráfico de navegación de usuarios a internet

✓ Debe tener la capacidad de bloquear la conexión hacia sitios web

✓ Reconocer por lo menos 3000 aplicaciones diferentes, incluyendo,

personalizadas desde la interfaz de gestión, sin la necesidad de

PREVENCION DE AMENAZAS CONOCIDAS

✓ Para seguridad del ambiente contra ataques, los dispositivos de

ANALISIS DE MALWARE DE DÍA CERO

✓ La solución propuesta debe incluir mecanismos de detección de

✓ La solución debe realizar el análisis en un ambiente de hardware real,

FILTRO DE CONTENIDO WEB