NACIONAL FINANCIERA, S.N.C.

DIRECCIÓN DE INFORMÁTICA

FECHA: 14 de junio de 2022.

Solicitud de información

Presente

Nacional Financiera, S.N.C., como entidad del Gobierno Federal, requiere para sus actividades de suministro, arrendamiento y/o
prestación de servicios, mismas que se encuentran reguladas por la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público
(LAASSP) y su Reglamento, obtener información para contratar bajo las mejores condiciones disponibles para el Estado.

En este sentido y en los términos de lo previsto en el artículo 2 fracción X de la Ley de Adquisiciones, Arrendamientos y Servicios del
Sector Público, su representada ha sido identificada por Nacional Financiera, S.N.C., como un posible proveedor

Por lo anterior y con el objeto de identificar: a).- la existencia bienes, arrendamientos o servicios en las condiciones solicitadas por
Nacional Financiera, S.N.C., b).- posibles proveedores a nivel nacional o internacional, y c).- el precio estimado de lo requerido, nos
permitimos solicitar su valioso apoyo a efecto de proporcionarnos una cotización de los bienes y/o servicios y/o arrendamientos descritos
en el documento anexo.

Dicha cotización se requiere que la remita en documento de la empresa, debidamente firmada por persona facultada, digitalizarla y enviar
vía este medio el archivo PDF a nombre del Lic. René Francisco Fano Rocha, antes de la fecha y hora límite señalada en el presente
documento, cabe mencionar que en caso de alguna duda o aclaración podrá enviarlas a través del sistema CompraNet.

Mucho agradeceré que en su respuesta se incluya: Lugar y fecha de cotización y vigencia de la misma.

La fecha y hora límite en caso de dudas es el 16 de junio de 2022 a las 12:00 pm.

La fecha y hora límite para presentar la información es el 23 de junio de 2022 a las 17:00 pm.

Para efectos de control interno, en el caso de no recibir respuesta o manifestar un inconveniente o imposibilidad, se procederá a hacer la
anotación respectiva en nuestros registros, circunstancias que deberán ser consideradas al momento de definir el tipo de procedimiento de
contratación.

NOTA: Vencido el plazo de recepción de información Nacional Financiera, S.N.C. al amparo de lo previsto en el artículo 26 de la Ley de
Adquisiciones, Arrendamientos y Servicios del Sector Público, definirá el procedimiento a seguir para la contratación, el cual puede ser:
licitación pública; invitación a cuando menos tres personas o adjudicación directa”.

Este documento no genera alguna obligación para la entidad.

Atentamente

Ing. Teodoro Avila Xicotencatl

Coordinador Tecnológico de Telecomunicaciones
 Anexo Técnico
Red de telecomunicaciones WAN

Dirección General Adjunta de Procesos

y Tecnología
 CONTENIDO

1.- INTRODUCCIÓN........................................................................................................................4
1.1 Situación actual........................................................................................................................4
2.- OBJETIVO DEL SERVICIO.......................................................................................................5
3.- ALCANCE...................................................................................................................................5
4.- ESTRATEGIA DEL SERVICIO..................................................................................................6
4.1 Arquitectura del Servicio..........................................................................................................6
4.2 Adjudicación del Servicio..........................................................................................................6
4.3 Actualización del Servicio.........................................................................................................6
5.- DESCRIPCIÓN DEL SERVICIO................................................................................................7
5.1 Servicio Red de Telecomunicaciones WAN...............................................................................7
Descripción del concepto Nodo.....................................................................................................7
5.5 Servicio de Acceso a Internet.................................................................................................30
5.5.5 Particularidades de resolución de nombres y Certificados Digitales...................................37
5.6 Servicio de Firewall.................................................................................................................39
5.8 Servicio de Operación.............................................................................................................46
5.9 Centro de Operaciones para la solución de Firewall Dedicado...............................................54
6.- Capacitación:...........................................................................................................................58
6.1 Catálogo del Servicio..............................................................................................................59
6.3 Plan de Trabajo General.........................................................................................................59
6.4 Niveles de Servicio (SLA).........................................................................................................63
6.14 Roles y responsabilidades....................................................................................................70
7 Entregables................................................................................................................................71
7.2 Memoria Técnica....................................................................................................................78
7.4 Transición del contrato / Finalización.....................................................................................80
8.- ASPECTOS ADMINISTRATIVOS...........................................................................................82
8.8.1.-Vigencia de Prestación del Servicio....................................................................................82
 8.9 Auditoria y monitoreo del servicio.........................................................................................82
8.10 Lineamientos........................................................................................................................82
8.11 Normatividad interna NAFIN................................................................................................82
8.13 Borrado seguro.....................................................................................................................84
8.15 Garantía de Soporte al Servicio............................................................................................86
8.16 Lugar de prestación de los servicios.....................................................................................86
9.- INFORMACION DE LA COTIZACION O PROPUESTA TECNICA......................................86
10.- GLOSARIO DE TERMINOS...................................................................................................86
11.- APENDICES Y SECCIONES..................................................................................................89
Apéndice 1 Arquitectura de Referencia......................................................................................89
Apéndice 2 Matriz de Servicios...................................................................................................89
Sección I Modelo Económico..........................................................................................................90
Deducciones.....................................................................................................................................97
Sección III Procedimiento del pago................................................................................................102
CONTROL DEL DOCUMENTO..................................................................................................104
Nombre de Documento:.............................................................................................................104
Comentarios...............................................................................................................................104
Firmas de elaboración/actualización, revisión y autorización..................................................104
1.- INTRODUCCIÓN

Nacional Financiera S.N.C. (NAFIN), para alcanzar sus objetivos, tiene la necesidad de mantener comunicación
segura, disponible y confiable entre los diversos inmuebles que la conforman, para lo cual se requiere integrar una
red de telecomunicaciones segura que integre el servicio de Internet Corporativo y que permita la transmisión
segura de voz, datos y video, con el objetivo de mantener la operación sustantiva y garantizar los niveles de
servicio establecidos en el presente Anexo Técnico.

1.1 Situación actual.

NAFIN, actualmente cuenta con los servicios de Red Privada Virtual e Internet Corporativo mediante el cual
mantiene comunicados su centro de cómputo principal (CCP) con el centro de cómputo alterno (CCA) y con las
oficinas estatales a través de 2 enlaces de 51 Mbps redundantes en esquema activo-pasivo en el Centro de Cómputo
Principal (CCP), 2 enlaces MPLS de 25 Mbps redundantes en esquema activo-pasivo en el Centro de Cómputo
Alterno (CCA), 2 enlaces MPLS de 3 Mbps redundantes en esquema activo-pasivo para 1 oficina regional, 3
enlaces MPLS de 3 Mbps para oficinas regionales, 1 enlace de 2 Mbps para una oficina de archivo. Lo anterior,
conforme al siguiente diagrama:

Además, NAFIN cuenta con los siguientes servicios:

• Red perimetral.
• Operación del servicio (SOC, NOC y personal en sitio).
• particularidades, (certificados digitales y dominios).

2.- OBJETIVO DEL SERVICIO

Contar con una red de telecomunicaciones segura multiservicio, bajo un modelo de servicio administrado sobre
demanda que comprende los servicios de transporte de voz, datos y video, acceso a internet y soluciones de
seguridad perimetral, con el objeto de asegurar la continuidad operativa de los servicios de comunicaciones,
utilizando tecnología que permita continuar con el cumplimiento de la normatividad aplicable como Institución
Financiera, así como mantener la seguridad en la transmisión de la información a través de canales seguros; todo lo
anterior apegado a niveles de servicio.
3.- ALCANCE

El propósito del presente documento es establecer las especificaciones y lineamientos técnicos que permitan dar
continuidad y facilitar la incorporación de nuevas tecnologías a través de la contratación de servicios de Red de
Telecomunicaciones Segura e Internet Corporativo que incluya los siguientes apartados: Servicio Administrado de
la Red de Telecomunicaciones Segura, Servicio de Acceso a Internet, Servicio de Seguridad Perimetral, Servicio de
Operación y Particularidades de NAFIN.

El servicio abarca las siguientes etapas: diseño, implementación, operación, administración del proyecto y, en
general, la administración de todos los servicios que se especifican en el presente Anexo Técnico.

Todos los recursos humanos y materiales necesarios para brindar continuidad de los servicios descritos en el
presente Anexo Técnico, serán por cuenta del licitante adjudicado, asimismo, cualquier gasto por concepto de
daños derivado de percances y accidentes en los inmuebles de NAFIN durante la instalación, puesta a punto y
cambios en los servicios a lo largo de la vigencia del servicio, de la misma manera, los gastos derivados de viáticos
y transporte, sueldos de personal ajeno a NAFIN que intervenga en alguna actividad derivada del cumplimiento de
alguna de las etapas mencionadas en el presente Anexo.

Cada uno de los servicios descritos en el presente documento, podrán ser contratados de manera individual bajo
demanda con base en las necesidades de NAFIN.
4.- ESTRATEGIA DEL SERVICIO

Para NAFIN, es de suma importancia que los servicios y procesos basados en las plataformas electrónicas con las
que cuenta actualmente utilicen una plataforma de red de comunicaciones interna y externa basada en una
arquitectura flexible, escalable, de alto desempeño, con niveles de seguridad acordes a la criticidad de la
información, con base en la normatividad aplicable por los distintos entes reguladores del sistema financiero, bajo
los cuales NAFIN se maneja como institución financiera y con niveles de servicio requeridos para cubrir las
necesidades del negocio de NAFIN.

Además, es necesario recalcar que, gran parte de las iniciativas y procesos actuales y futuros, se encuentran
estrechamente vinculados al servicio descrito en el presente Anexo Técnico, por lo que resulta fundamental para las
actividades de NAFIN.

4.1 Arquitectura del Servicio.

Los servicios requeridos en su diseño formarán parte del ecosistema tecnológico de la Institución, por lo cual la
arquitectura busca establecer directrices que permitan flexibilidad, escalabilidad, seguridad, eficiencia e
implementación de dichos servicios, bajo un esquema modular, seguro, estándar, interoperable y escalable que
pueda agilizar su desarrollo y habilite mecanismos tecnológicos para soportar procesos y estrategias sustantivas.

4.2 Adjudicación del Servicio.

El contrato se adjudicará por partida única o grupo de partidas de acuerdo con lo establecido en el Artículo 26,
fracciones I, II y III, de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público (LAASSP).

4.3 Actualización del Servicio

Durante la vigencia de la prestación del servicio, en caso de que, por causas de obsolescencia o incompatibilidad
con nuevas tecnologías, no sea posible proporcionar los servicios conforme a los niveles de servicio solicitados por
NAFIN; los equipos, soluciones y en general, todo el equipamiento y software que incluya el Licitante en su
proposición deberá ser sustituido por uno de nueva tecnología equivalente o superior, sin costo adicional para
NAFIN.

En caso de que equipo de cómputo, hardware o algún componente de la Infraestructura requerida para la prestación
del servicio, presente alguna falla o daño que requiera su sustitución física durante la vigencia del servicio, el
Licitante deberá sustituir el equipo dañado por equipo nuevo de iguales características o superiores, sin costo
adicional para NAFIN. En este caso el prestador del servicio deberá de cumplir con los niveles de servicio
establecidos en el presente Anexo Técnico.
5.- DESCRIPCIÓN DEL SERVICIO

5.1 Servicio Red de Telecomunicaciones WAN.

Descripción

Se requiere una solución estándar al transporte de información en una red privada IP, con la fiabilidad, calidad, y
seguridad con base a la calidad de servicio e ingeniería de tráfico.

El servicio administrado de la red de telecomunicaciones de Red de Área Amplia (por sus siglas en inglés, Wide
Área Network WAN), requiere de la interconexión de NAFIN a través de una red privada virtual para la
transmisión de voz, datos y video de acuerdo con las necesidades de NAFIN con los niveles de servicio solicitados
los cuales se encuentran definidos en el numeral 6.5 de este mismo Anexo Técnico.

Durante la vigencia de la prestación del servicio, se requiere del servicio los 7 días de la semana, las 24 horas del
día, NAFIN utilizará la Red de Telecomunicaciones WAN para transportar cualquier tipo de tráfico a través del
protocolo IP para establecer comunicaciones seguras entre los nodos que conformen la red.

Descripción del concepto Nodo.

Se entiende por nodo al conjunto de los elementos que conforman la solución integral, los cuales se enlistan a
continuación de forma mínima y no siendo limitativa: medios, ruteadores multiservicio, interfaces de voz,
Switches, Firewalls de estado e IPS´s, hasta el punto de demarcación definido y sobre el cual se determinará el
nivel de disponibilidad; en este entendido, si alguno de los elementos que integran el referido nodo no ofrece el
servicio solicitado, se considerará que dicho nodo no está disponible.

En los nodos donde NAFIN solicite un nivel de criticidad alta, el Licitante deberá proporcionar redundancia en
medio, CPE y nodo, esta redundancia deberá ser a través de centrales o puntos de presencia distintos, con
diversidad de rutas y diversidad de medio. En el “Apéndice 2 Matriz de Servicios”, se indican los nodos, el nivel de
disponibilidad del servicio de cada uno y los domicilios que requieren de elementos adicionales como parte del
nodo.

Para los nodos considerados como críticos, deberá operar con balanceo de cargas definido por NAFIN en ambos
enlaces. En caso de falla deberá conmutar automáticamente el tráfico al enlace que se encuentre operando
correctamente. Dicho balanceo de cargas se realizará mediante técnicas de ruteo sin que sea necesario el considerar
una solución o appliance de propósito dedicado. Para los nodos de criticidad media y estándar se deberá considerar
un solo enlace.

5.1.1 Características del Servicio

La red de telecomunicaciones WAN propuesta por el Licitante debe disponer de la flexibilidad de topologías tipo
malla completa (Full Mesh), tipo estrella (Hub & Spoke) o combinación de ambas con mecanismos de encripción
avanzada IPSec, cumpliendo lo siguiente:

a) Deberá implementar encripción sobre la red entre todos los sitios de la institución sin necesidad de
implementar túneles. Debe de preservar todos los campos originales del encabezado IP con la finalidad de no
 afectar el tratamiento que se le puede dar a ese tráfico.

b) Deberá de implementar los mecanismos estándares de HMAC-SHA y SHA-MD5 para verificar la integridad
de los paquetes, AES (256) bits para la confidencialidad de la información transmitida y RFC3547 para la
implementación de seguridad en el plano de control.

c) Es requisito que exista un equipo de ruteo principal (servidor de llaves) en la red que distribuya las llaves de
encripción y políticas a todos los routers de la red que estén autenticados y registrados como miembros del
grupo. Este mecanismo de membresía y asignación de llaves de encripción se deberá realizar con canales
seguros sin túneles mediante la implementación del estándar RFC3547. Además de distribuir las llaves de
encripción a todos los routers de la red que estén autenticados y registrados como miembros de la misma red,
el servidor de llaves también será capaz de definir las políticas de encripción (protocolos, tráfico por encriptar,
temporizadores, llaves), de manera centralizada para su posterior distribución a los routers autenticados y
registrados en la Red de telecomunicaciones WAN propuesta. NAFIN no aceptará soluciones equivalentes a
las solicitadas. Se debe implementar más de un servidor de llaves para incrementar la confiabilidad y
disponibilidad del sistema de encripción.

d) El servidor de llaves debe enviar periódicamente nuevas llaves, antes que las previamente asignadas expiren.

e) Se deberá permitir la capacidad de implementar al menos dos servidores de llaves de tal forma que cualquiera
pueda fungir como respaldo en caso de falla. Estos servidores de llaves deben poder implementarse en
localidades diferentes.

f) El ruteador de cada sitio remoto deberá detectar fallas de conectividad hacia el sistema de servidores de llaves
y cambiar su modo de transmisión de encripción a texto claro.

g) La solución deberá poder escalar hasta miles de sitios en topología de malla completa en un grupo único de
encripción.

h) Los equipos Locales del Cliente (por sus siglas en inglés Customer Permises Equipment, CPE) deberán
realizar la encripción vía hardware.

i) Los equipos CPE deberán incluir el licenciamiento necesario para brindar las funcionalidades requeridas por
NAFIN de acuerdo con lo descrito en la Matriz de Servicios.

Se deberá incluir toda la infraestructura necesaria para habilitar los esquemas de encripción y llaves. de tal manera
que el añadir un nuevo sitio a la red de telecomunicaciones WAN del Licitante, no deberá implicar el realizar
ningún cambio significativo en la configuración de los sitios ya existentes.

El Licitante será responsable de enrutar desde el nodo origen hasta el nodo destino el tráfico de voz, datos o video
que se genere en las redes de área local de NAFIN.

El protocolo de enrutamiento entre el equipo ruteador multiservicio provisto por el Licitante y el equipo de
conmutación de NAFIN, podrá ser estático y/o dinámico. En el caso de tratarse de un enrutamiento dinámico se
utilizarán los protocolos BGP4 u OSPF.

El ancho de banda solicitado para cada nodo de la Red de Telecomunicaciones WAN se especifica en el “Apéndice
2 Matriz de Servicios”, el cual podrá ser utilizado por los diferentes tipos de tráfico: voz, datos y video.

En caso de no transmitir alguno de estos tipos de tráfico (voz, datos críticos y video), se podrá utilizar el ancho de
banda disponible, evitando reservar canales de comunicación exclusivos y procurando el uso eficiente de los
recursos de comunicaciones, es decir, el ancho de banda no será dedicado en canales para el uso exclusivo de algún
tipo de tráfico: voz, datos o video.

Para el enlace a la red de telecomunicaciones WAN, se deberá garantizar un ancho de banda fijo, requerido por
NAFIN, deberá ser simétrico y bidireccional, los requerimientos se especifican en el “Apéndice 2 Matriz de
Servicios” del presente Anexo Técnico.

La red de telecomunicaciones WAN requerida deberá soportar al menos 4 niveles de calidad de servicio (por sus
siglas en inglés Quality of Service QoS), TOMANDO COMO EL DE MAYOR PRIORIDAD QoS1, como se
indica a continuación:

a) QoS1: Voz
b) QoS2: Video
c) QoS3: Datos Críticos
d) QoS4: Datos Normales

Los anchos de banda de las calidades de servicio deberán ser dinámicos y en tiempo real de menor a mayor
criticidad.

El incremento o decremento para cada QoS dentro del ancho de banda solicitado durante el tiempo de contratación
no deberá impactar en el precio ofertado. Es decir, NAFIN no realizará erogación adicional alguna por el
incremento de ancho de banda.

La red de telecomunicaciones WAN deberá permitir flexibilidad, es decir, que las aplicaciones (puertos TCP),
puedan asignarse dentro del ancho de banda solicitado para las calidades de servicio mencionadas según las
necesidades de NAFIN, sin tener un costo adicional dentro del ancho de banda total del puerto de la red de
telecomunicaciones WAN para cada nodo de NAFIN.

La red debe ser escalable, es decir, que deberá tener la flexibilidad, eficiencia y transparencia suficientes para que
en el momento que sea necesario, se puedan agregar nuevos sitios remotos o ampliar los anchos de banda sin
afectar la operación de la red misma.

La latencia máxima aceptada de los enlaces será de: 100 ms para voz y datos.

Deberá tener la flexibilidad para soportar estándares tales como:

a) RFC2544 (Network Interconnect Devices).
b) RFC4364 (MPLS).
c) RFC2685 (RPV).
d) RFC2917 (CORE MPLS).
e) RFC3031 (MPLS Architecture).
f) RFC4182 (MPLS Label Stack Encoding).
g) RFC3036 Procesamiento del Tiempo de Vida (TTL).
 h) RFC4762 (VPLS).
i) RFC3547 (Seguridad).

El Licitante recibirá por parte de NAFIN la lista inicial de los puertos TCP (por sus siglas en inglés Transmission
Control Protocol TCP) y UDP (por sus siglas en inglés User Datagram Protocol UDP) que emplean las aplicaciones
bajo cada calidad de servicio, sirviendo esto como mecanismo para identificación del tipo de tráfico.

NAFIN será la responsable de definir el tráfico a cursar de las aplicaciones entre cada uno de los nodos de la red de
telecomunicaciones WAN, ya que el intercambio del tráfico será determinado por listas de acceso.

El Licitante deberá integrar y configurar los flujos de QoS a través de la Red de Telecomunicaciones WAN en
cuanto al tráfico de voz, datos y video requerido por NAFIN. Las rutas y configuraciones para llevar a cabo dicha
integración serán propuestas e implementadas por el Licitante. Lo anterior, no debe generar un costo extra por
ningún motivo para NAFIN.

El Licitante deberá presentar para el caso del software, al momento de la presentación de propuesta de servicios, un
documento en el que demuestre contar con los derechos de autor y propiedad intelectual o exclusividad en la
explotación de su plataforma electrónica personalizada y por lo tanto exima a NAFIN de cualquier reclamación en
materia de propiedad intelectual derivado del uso de su plataforma. Mismo que deberá acreditar mediante:

a) Si el Licitante es el titular de los derechos de las licencias, esto es que sea de su propiedad, deberá anexar
la constancia que acredite dicha propiedad, que, en caso de México, se acredita con el certificado del
registro de derechos de autor.
b) En el caso de que el Licitante no sea el titular de los derechos de autor, deberá entregar la constancia
mediante la cual el titular de los derechos le otorga al Licitante la licencia de uso del software respectivo
y, asimismo le autoriza a sublicenciar a terceros el uso del mismo.
c) Para el caso del Hardware, deberá presentar al momento de la presentación de propuesta técnica de
servicios, un documento en el que demuestre el contar con los derechos o exclusividad en la
comercialización en territorio nacional y por lo tanto exima a NAFIN de cualquier reclamación en
materia de propiedad intelectual derivado del uso de su plataforma.
d) En el caso de que el Licitante no tenga los derechos o la exclusividad de la comercialización, deberá
entregar la constancia mediante la cual el titular de los derechos le asigna al Licitante la comercialización
en territorio nacional de los productos propuestos.

Para cualquiera de los casos anteriores, si la constancia es expedida en el extranjero, deberá estar debidamente
apostillada en los términos en que se suscribe el requisito de la legalización de los documentos emitidos en el
extranjero y de presentarse en otro idioma acompañar la traducción realizada mediante perito autorizado para ello.
Para efectos de la entrega de proposiciones, será suficiente que se entregue el documento solicitado, aun cuando no
cuente con el apostillamiento respectivo, en la inteligencia de que el Licitante ganador deberá entregarlo con
posterioridad, ya que será un requisito indispensable para proceder al pago en los términos previstos en el contrato.

5.1.2 Características técnicas del equipo Terminal del Enlace a la Red de Telecomunicaciones WAN

El Licitante deberá incluir para el Equipo Terminal del Cliente CPE de la Red de Telecomunicaciones WAN:

a) La infraestructura a instalar por parte del Licitante se ubicará en el lugar que indique NAFIN y deberá estar
debidamente etiquetada en un lugar visible para su identificación.
b) Con el fin de contar con una red homogénea, los CPE’s deberán ser de la misma marca y de las familias
 más recientes en el mercado.
c) Capacidad para poder actualizar el software del equipo de manera remota. Deberá poder guardar múltiples
configuraciones en el ruteador.
d) Deberá tener la última versión de sistema operativo estable y recomendada por el fabricante del equipo.
e) Deberá realizar las actualizaciones para todo el equipamiento, con base en una verificación previa de su
estabilidad e identificación de posibles afectaciones, conforme se liberen nuevas versiones, durante la
vigencia del servicio, apegándose al proceso de control de cambios de NAFIN.
f) Deberá tener al menos 4 ranuras para módulos de interfaces de red y puerto de servicios para crecimientos
de acuerdo con las necesidades de NAFIN.
g) El Licitante deberá considerar en el CPE, al menos dos Puertos Ethernet 10/100/1000 Mbps necesarios
para conectar los elementos solicitados por cada nodo, de estos, debe considerarse al menos un puerto para
la conexión con la LAN de cada sitio.
h) Para los puertos LAN se requiere FastEthernet o Gigabit Ethernet 10/100/1000 Mbps de acuerdo con las
necesidades de NAFIN.
i) Manejo de protocolos BGPv4, RIP1, RIP2, OSPF, IPv4, IGMPv1, IGMPv2, IGMPv3, IPv6 y SNMP v3.
j) Manejo de PIM (Protocol Independent Multicast), en sus variantes: PIM-DM (Dense Mode), PIM-SM
(Sparse Mode) y PIM-SSM (Source SpecificMulticast)
k) Deberá manejar el protocolo VRRP o similar.
l) Deberá contar con la capacidad de redireccionar tráfico de red.
m) Deberá de soportar la encapsulación de tráfico IPv4 e IPv6 en IPv4 de acuerdo al protocolo RFC2784.
n) En cuanto a las calidades de servicio (QoS) se requiere manejo de funciones de etiquetado por tipo de
aplicación basado en IP precedente y DiffServ, funciones para conformado y monitoreo de tráfico
(policing), basándose en IP precedente y DiffServ, gestión de colas (WFQ, CBWFQ y colas de alta
prioridad PQ), control y manejo de congestión (WRED), fragmentación e intercalación (Interleaving).
o) Soporte de estándares de encripción 256-bit AES-GCM; y de Hashing SHA-256, SHA-384 y SHA-512.
p) Deberá manejar un mecanismo que garantice los niveles de jitter y retraso que son requeridos por
aplicaciones en tiempo real, voz y video en el encolamiento con prioridad de paquetes permitiendo asignar
ancho de banda compartido dentro de un mismo enlace para otras aplicaciones o tipos de tráfico con base a
la clasificación previamente realizada y ante situación de saturación del enlace.
q) Deberá tener la funcionalidad operativa para garantizar que el tráfico de voz, datos y video sea tratado bajo
las condiciones de Calidad de Servicio (QoS).
r) Deberá soportar módulos E1 G.703/ G.704 (Qsig y/o R2 Modificado) y E&M (recEive and retrasMit, por
sus siglas en inglés), de acuerdo con el requerimiento de NAFIN.
s) El Licitante deberá incluir en su proposición un listado de los equipos que integran su solución indicando
la marca, el modelo y las características de cada uno de ellos.
t) El Licitante tendrá la libertad de seleccionar la manera de conectar el equipo CPE a la red de
Telecomunicaciones WAN de acuerdo con el RFC4364, considerando el cumplimiento de los Niveles de
Servicio solicitados.
u) Deberá permitir la implementación de múltiples contextos o instancias independientes de tablas ruteo que
coexistan en el mismo ruteador de manera simultánea. De tal manera que no puede haber conflictos de
traslape de direccionamiento con direcciones duplicadas entre estas instancias de ruteo independientes.
v) Los equipos CPE deberán permitir incluir listas de control de acceso como parte de su funcionalidad, de tal
manera que únicamente los usuarios indicados por NAFIN podrán acceder a las aplicaciones, datos y
 servicios de estas mismas.
w) Deberá contar con la capacidad de especificar listas de acceso para detectar tráfico de acuerdo con los
criterios establecidos que pueden ser: Dirección fuente y/o destino, MAC, IPv4 o IPv6, Protocolo, Puerto
fuente y/o destino TCP/UDP, Mensaje ICMP, valor de la precedencia del encabezado IP
x) Deberá soportar el protocolo de control de acceso para restringir el acceso de dispositivos no autorizados a
los puertos LAN del ruteador de acuerdo con el estándar IEEE 802.1x.
y) Deberá manejar mecanismos de AAA (Authentication, Accounting y Authorizing por sus siglas en inglés).
z) Debe ser capaz de integrarse con servicios RADIUS o TACACS+. Dichos servicios RADIUS o TACACS+
serán proporcionados por La Convocante.
aa) Deberán contar con la funcionalidad de realizar la traducción de direcciones de red (NAT: Network
Address Translation y PAT: Port Address Translation, por sus siglas en inglés).
bb) Deberán soportar los estándares 802.1p (QoS) y 802.1q (Dot1q) hacia la red LAN de NAFIN.
cc) Deberá proveer el protocolo para evitar la creación de bucles o loops en puertos switcheados en redes
Ethernet de área local de acuerdo a los estándares IEEE 802.1d, IEEE 802.1w y IEEE 802.1s.
dd) Deberá permitir la configuración de políticas de calidad de servicio para flujos de tráfico dirigidos hacia el
plano de control del equipo de ruteo IP para la protección contra ataques de negación de servicios (DoS)
dirigidos hacia el equipo.
ee) Deberá soportar el protocolo DHCP en forma de servidor y relay.
ff) La administración deberá ser a través del protocolo SNMPv3 y capacidad para soportar RMON o superior.
gg) Capacidad de bloqueo de tráfico por dirección IPv4 e IPv6.
hh) Deberá manejar el protocolo SSH v2
ii) Deberá contar con puerto de consola.
jj) Debe de soportar la funcionalidad estándar de sincronización de fecha y hora de acuerdo con el RFC5905.
kk) Deberá tener una capacidad de rendimiento de 428 Mbps
ll) Deberá tener una memoria flash de al menos 10Gb y una memoria RAM dinámica de 8 Gbps
mm) Deberá ser capaz de entregar métricas a un sistema de gestión centralizado que permita el monitoreo,
reporteo y generación de alarmas facilitando la resolución de problemas y el análisis de capacidad.
nn) Contar con la capacidad de ejecutar un proceso de monitoreo de forma independiente con el fin de no
comprometer la funcionalidad primaria ni desempeño del router.
oo) Deberá proporcionar las siguientes métricas, que deberán ser integradas y visualizadas al 100% en el
sistema de monitoreo y Análisis de Tráfico:
I. Cantidad de Tráfico.
II. Clasificación de Tráfico por Aplicación.
III. Tráfico por Conversación de cada Aplicación.
IV. Deberá crear clasificaciones de tráfico para reflejar Aplicaciones personalizadas de diversas
maneras, como puertos, direcciones IP de servers o URL’s en el caso de Aplicaciones WEB.
V. Deberá permitir clasificar el tráfico en las interfaces del router ya sea por su QoS o por grupos de
subredes para poder identificar subdivisiones de los nodos que sea relevantes al análisis.
VI. Deberá obtener las métricas, reportes y alarmas solicitadas acerca del tráfico Total, y las que se han
solicitado en el punto anterior.
VII. Deberá contar con la funcionalidad de analizar la señalización para descubrir los protocolos que la
componen y anomalías en los mismos, a la vez analizar el RTP para entregar métricas de Jitter y
Packet Loss, así como alarmas relativas al mismo de tal manera que sea factible descubrir
eventualidades que puedan poner en riesgo la entrega de servicios de VoIP y Video.
VIII. La captura debe iniciarse por comando del usuario con privilegios para tal fin o al presentarse
alguna condición de red, tal como una alarma que le sirva de señal de disparo.

5.1.3 Características Técnicas equipo switch de interconexión entre componentes

El licitante debe considerar en su propuesta la inclusión de un equipo de interconexión switch para la conectividad
de los componentes que conformen el nodo requerido por NAFIN. Dicho switch debe contar con capacidades de
capa 2 del modelo de OSI y cumplir con las siguientes características:

a) Debe permitir integrar en el mismo chasis las necesidades de densidad de puertos de tecnologías Gigabit
Ethernet, Fast Ethernet y Ethernet, además de la administración de tráfico en la capa 2.
b) El equipo propuesto debe manejar un rendimiento de al menos 128Gps y el manejo de al menos 95 mpps.
c) El equipo debe de manejar al menos 8Gb de Ram y 16Gb de Flash.
d) Debe soportar puertos de red: 10/100/1000 BASE-TX.
e) El equipo debe soportar módulos Gigabit Ethernet que permita combinar interfaces 1000BASE-SX,
1000BASE-LX sin restricción alguna.
f) Debe tener capacidad para configurar mínimo de 255 VLANs pudiendo utilizar al menos, direcciones IP,
puertos físicos y protocolos.
g) Debe soportar IPv4, IGMP v2, IGMP Snooping, DHCP Relay, Radius client, 802.1D, 802.1w, 802.1p,
802.1Q, 802.1s, 802.3ad, 802.1x, 802.3x. (los protocolos IGMP v2 e IGMP Snooping se deberán
soportar, pero no es requerido que se incluyan en el equipamiento).
h) Debe manejar mecanismos de calidad de servicio como Shaped Round Robin, Weighted Tail Drop,
DSCP.
i) Debe manejar limitación de tasas de transferencia basada en dirección IP fuente y destino, dirección
MAC fuente y destino, información de UDP y TCP, así como la combinación de estos parámetros.
j) Debe manejar cuatro colas de prioridad por puerto.
k) Debe manejar IGMPv3 y/o snooping.
l) Debe manejar LACP.
m) Debe ser capaz de limitar el número de direcciones MAC por Puerto.
n) Debe manejar DHCP snooping, inspección dinámica de ARP, bloqueo de puertos que reciban paquetes
BDPU no autorizados.
o) Debe manejar mecanismos que prevengan que un switch ajeno a la red se quiera convertir en el switch
raíz de spanning tree.
p) Debe manejar listas de control de acceso por puerto.
q) Debe manejar SSH v2 y HTTPS.
r) El equipo debe de ser montable en rack de 19” y sin modificaciones al rack ni al equipo. Debe incluir
accesorios para montarlos.
s) Debe soportar tramas Ethernet de al menos 9000 bytes (Jumbo Frames).
t) Debe soportar SNMP v3.
u) Debe soportar la replicación de tráfico de un puerto a otro, incluso cuando el otro puerto esté ubicado en
un switch remoto.
v) Debe soportar autenticación RADIUS y TACACS.
w) Debe interactuar con servicios RADIUS y TACACS+ proporcionados por la Convocante.

5.1.4 Características Técnicas direccionamiento IP en la Red de Telecomunicaciones WAN

a) El Licitante tendrá la libertad de proponer la arquitectura, direccionamiento y el enrutamiento de la Red

de Telecomunicaciones WAN propuesta, considerando en todo momento el direccionamiento existente
en las redes LAN de NAFIN con el fin de evitar conflictos por duplicidad de direccionamiento IP.
 b) El Licitante solo será responsable del diseño del plan de direccionamiento IP de la Red
Telecomunicaciones WAN de acuerdo con el RFC4364 respetando el direccionamiento LAN de NAFIN.
c) En los casos que así se requiera y para evitar duplicidad en el direccionamiento, el Licitante debe
considerar la implementación de un mecanismo de traducción de direcciones NAT.
d) El servicio de Red de telecomunicaciones WAN establecerá los mecanismos de control necesarios, para
garantizar la asignación y uso de los recursos de comunicaciones para los servicios de NAFIN, por lo
que, entre otras cosas, se evitarán las colisiones de direccionamiento y se garantizará el uso adecuado del
ancho de banda destinado a un servicio.
e) El direccionamiento actual será proporcionado al Licitante, el cual definirá si éste se conserva o se realiza
un nuevo direccionamiento IP, en cuyo caso presentará su proposición a NAFIN para su revisión y en su
caso, aprobación. En este punto, el Licitante deberá interactuar con el Proveedor de servicios de NAFIN
actual, con la finalidad de homologar el direccionamiento IP, dichas actividades serán coordinadas y
deberán contar con el visto bueno de personal de NAFIN.
f) El plan de direccionamiento será documentado y entregado por el licitante previo a la puesta en
operación de los servicios para conocimiento y aprobación de NAFIN.
g) El Licitante, observará en todo momento los procesos y mecanismos para la liberación de la
comunicación entre nodos de NAFIN acordados durante la planeación de la implantación, de tal forma
que se garantice la seguridad de NAFIN
h) El Licitante ganador debe considerar que NAFIN podrá comenzar a implementar una transición al
Protocolo de Internet versión 6 (IPv6), dentro del periodo de vigencia del contrato, por lo cual, debe
considerar que los servicios proporcionados deben soportar la migración a dicha transición en el
momento que así lo solicite NAFIN, también, deberá proporcionar todo el apoyo necesario para las
actividades que se deriven de acuerdo con el Plan de Trabajo que se defina en conjunto con NAFIN, sin
que esto origine un costo adicional.

5.2 Servicio de enlace LAN to LAN

El licitante debe proveer, instalar y poner en operación en los nodos que NAFIN señale en el Apéndice 2 “Matriz
de servicios”, una solución basada en enlaces dedicados punto a punto, el cual deberá cumplir al menos con las
siguientes características:
a) Debe ser en modo Wire.
b) Debe ser enlace Síncrono.
c) Debe entregarse en interfaz Ethernet (IEEE 802.3) con conectores RJ45 en cada una de sus puntas,
siendo estos el punto de demarcación del servicio.
d) Debe incluir todo lo necesario para cumplir con el servicio y con las características solicitadas hasta el
punto de demarcación mencionado.
e) Debe manejar granularidad desde 5Mbps.
f) Debe contar con una base inicial de 100 Mbps, con crecimientos de 5 Mbps, hasta un 1Gbps
g) Debe realizar el transporte a nivel capa 2 del modelo OSI, es decir, manteniendo el direccionamiento IP
(extensión de la misma LAN de NAFIN).
h) Debe poder transportar diferentes VLANs con encapsulación dot1q (IEEE 802.1Q) y transportar todo el
tráfico de broadcast, unicast y multicast entre los dos extremos del enlace.
i) Debe garantizar el ancho de banda siendo simétrico y bidireccional.
 j) Debe soportar comunicación Full-Duplex, para activar la detección de colisiones y funciones de
loopback.
k) Se debe proveer el servicio vía pago por uso bajo demanda.
l) Debe permitir integrarse con una herramienta de monitoreo y medición de uso, soportando SNMP v1, v2
y v3.
m) Deberá cumplir con una disponibilidad de 99.90% (Criticidad Media) y latencia de 10 ms. y 99.98%
(Criticidad Alta) de acuerdo a las necesidades de NAFIN.

5.3 Características Técnicas Administración de Tráfico y Optimización de Aplicaciones

Con el fin de administrar el tráfico y optimizar el desempeño de las aplicaciones críticas de NAFIN, se requiere una
solución que permita un rendimiento superior en la utilización del ancho de banda mediante técnicas de
compresión, donde se reconozcan los cambios o modificaciones que sufran por el uso de las aplicaciones, enviando
solamente el incremental de la nueva información, al tiempo que también tendrá que permitir mejorar el tiempo de
respuesta de las mismas; mitigando los efectos de la latencia sobre las diferentes aplicaciones, aplicando dichas
técnicas incluso hasta la capa de aplicación del modelo OSI.

Esta solución deberá contar con las siguientes características mínimas:

a) Para una mayor eficiencia, la solución debe trabajar en modalidad simétrica. Entiéndase por tal, que las
técnicas de optimización se aplicarán mediante dispositivos a ambos extremos del enlace WAN que se
pretende optimizar.
b) Debe de detectar de manera automática si los paquetes viajan por diferentes trayectorias físicas sin que
afecte el proceso de aceleración.
c) El servicio debe soportar la optimización y aceleración del tráfico de NAFIN, sin necesidad de pasar por
un sitio central para que el tráfico sea optimizado.
d) El servicio debe ser brindado mediante dispositivos independientes y específicos; y no se aceptarán en
esta instancia módulos agregables a los equipos existentes, así como tampoco soluciones de software
instaladas en servidores multipropósito.
e) El servicio no debe manipular la información vital de los paquetes, la razón de esto es que se pueda hacer
uso transparente de funcionalidades tales como QoS, ACLs, redundancia de router y enlace, etc. Además,
debe brindar niveles de desempeño y disponibilidad alta. En caso de configuraciones de alta
disponibilidad, los equipos involucrados deben sincronizar sus datos automáticamente.
f) La aceleración del desempeño de aplicaciones en los enlaces WAN deberá considerarse de acuerdo a las
capacidades de los mismos.
g) Debe poder auto-descubrir los equipos para poder establecer una conexión optimizada sin necesidad de
establecer un túnel estático y ser capaz de establecer una malla dinámica entre las diferentes oficinas si se
establece una conexión TCP entre ellas.
h) El tráfico enviado por la solución hacia la WAN debe de cumplir el estándar RFC2581 de principios de
congestión para TCP. La configuración inicial del equipo debe soportar el comienzo lento de TCP y
manejar la congestión a razón de interactuar amigablemente con el tráfico pre-existente compartiendo la
WAN.
i) La solución debe ser transparente para los servidores de procesamiento y almacenamiento, así como
también para los usuarios finales. Por ningún motivo se debe modificar el enrutamiento normal de los
 paquetes o utilizar técnicas de túneles.
j) La solución debe permitir especificar las técnicas de aceleración mediante políticas por host, subred y/o
puerto TCP.
k) Para la evaluación de los equipos propuestos, se comprobarán los requerimientos técnicos específicos de
los catálogos, manuales del hardware y software.
l) La solución debe funcionar en modo físicamente en línea (Ethernet Bridge) o a través de
redireccionamiento de tráfico como técnicas de WCCP o PBR.
m) La comunicación optimizada sobre la WAN (la comunicación entre los equipos optimizadores) debe
mantener una conexión TCP optimizada independiente por cada uno de los clientes reales (esquema
Proxy TCP).
n) La solución debe integrarse de manera transparente dentro de la infraestructura de ruteo IP existente y ser
completamente transparente para los protocolos de ruteo existentes (Ej. OSPF, RIP, BGP, etc.). Todas las
funciones de ruteo incluyendo “selección dinámica del camino” o cualquier otra decisión de ruteo debe
permanecer como responsabilidad del equipo que viene realizando dicha tarea (“router”)
o) La solución debe operar en VLAN (IEEE 802.1q) en las interfaces de intercepción.
p) La solución debe permitir el curso normal del tráfico ante una falla que lo deje fuera de servicio y/o
apagado del mismo, sin necesidad de intervención por parte de los operadores (modo bypass), además
debe permitir al operador conmutar manualmente al modo bypass.
q) Cuando sea superada la capacidad máxima de conexiones optimizadas, la solución debe continuar
cursando tráfico de manera no optimizada a través del mismo.
r) La solución debe preservar los valores pre-existentes en el campo de QoS TOS/Diffserv al momento de
enviar tráfico a través de la red WAN.
s) La solución debe contar con dos capas de optimización de ancho de banda: basada en diccionarios de
patrones repetitivos y compresión de tráfico.
t) Para la optimización de ancho de banda basada en diccionarios de patrones repetitivos debe:
I. Permitir el almacenamiento único en su disco duro y no deberá reducir su capacidad de almacenamiento
a consecuencia de divisiones lógicas por la interconexión de los otros sitios donde existan optimizadores.
En el disco duro se deben de almacenar los patrones de tráfico repetitivos de manera tal que puedan ser
servidos localmente sin necesidad de que dicho tráfico curse por la red WAN cada vez que un usuario
quiera accederlo. El diccionario de datos repetitivos debe realizarse en un disco rígido propio del
dispositivo y debe persistir en caso de reinicio del sistema o bien en casos de desconexión.
II. Deben reconocerse los patrones de datos repetitivos a nivel de segmentos parciales de bytes y reutilizarse
para poder enviar las referencias por la WAN en lugar de la información completa. No se admitirán
soluciones que sólo permitan el caching a nivel de objetos completos y no por segmentos.
III. El algoritmo de de-duplicación basado en diccionarios debe funcionar de manera bi-direccional para
garantizar la máxima eficiencia de ahorro de ancho de banda por transferencias sucesivas.
IV. Los patrones de datos almacenados deben ser guardados en un repositorio universal de referencias que
permita, independientemente de la aplicación, maximizar la eficiencia de almacenamiento en el disco
duro. Esto se refiere a que, por ejemplo, si un usuario baja un archivo por carpetas compartidas y
posteriormente se envió por correo; el sistema universal de referencias deberá guardar una copia del
archivo a nivel de referencias que sea independiente a la aplicación.
V. El equipo debe censar de manera dinámica, si el hecho de almacenar los segmentos ocasiona presión de
escritura al disco duro a razón de realizar la de-duplicación a nivel de memoria y reducir la compresión
 de manera dinámica a razón de garantizar la mayor velocidad de segmentos antes de la optimización.
u) La solución debe tener la capacidad de cifrar la información optimizada entre los equipos a través de
SSL/TLS o IPSec con los algoritmos 3DES, AES con Key Lenght de (128, 196, 256) bits.
v) La solución debe permitir compresión de Tráfico, es decir, para todo tráfico optimizado la solución debe
permitir aplicar un algoritmo de compresión antes de cursar la información por la WAN. Este algoritmo
deberá después, aplicar la técnica de de-duplicación basada en diccionarios descrita en los puntos
previos.
w) Debe preservar el esquema de seguridad de Microsoft para el uso de SMB de acuerdo al sistema
operativo.
x) Debe permitir la optimización de RPC sobre SSL de manera automática en la optimización de Outlook.
y) Cuando se realice una consulta a través de HTTP de un video bajo demanda de contenido generado a
través de Microsoft Silverlight o adobe flash, debe ser capaz de entregar el contenido a múltiples
computadoras; donde para optimizar este tráfico sobre la WAN, solo se debe tener una sola sesión de
video y no una relación 1 a 1 de sesiones por cada usuario que se encuentre revisando el video.
z) Debe ser capaz de poder realizar Calidad de Servicio de entrada o salida tráfico, que permita una
inspección de paquetes a nivel aplicativo (Deep Packet Inspection por sus siglas en inglés), en caso de
que se requiera.
aa) Debe ser capaz de definir clases por tráfico de aplicación y aplicar calidad de servicio de acuerdo a
políticas para cada clase.
bb) Debe permitir definir un mínimo de ancho a utilizar a cada una de las clases de las aplicaciones.
cc) Debe ser capaz de definir un máximo ancho de banda a ser utilizado por cada clase de tráfico y ser capaz
de utilizarlo si ninguna de las otras clases lo está utilizando para maximizar la utilización del ancho de
banda.
dd) La solución debe ser capaz de priorizar el encolamiento con el objetivo de poder priorizar flujo de
paquetes para cada una de las clases de tráfico de manera independiente.
ee) Debe ser capaz de aplicar políticas de calidad de servicios para todo el tráfico
ff) Debe soportar un modelo jerárquico de calidad de servicio; capaz de alojar el ancho de banda aplicado
para el ancho de banda local y capaz de administrar el ancho de banda para cada sitio remoto.
gg) Debe permitir la conexión de acceso a los equipos propuestos de la solución para la administración
mediante protocolo HTTPS y SSH.
hh) Debe tener soporte para integración en redes que utilicen un direccionamiento IPV6.
ii) Los equipos de la solución deben tener la capacidad de enviar de alertas sobre el estado del equipo vía
traps SNMP; así como logs de eventos y alertas del servicio consultables vía web.
jj) Los logs deben ser capturados de manera individual hasta un periodo de 30 días.
kk) Los equipos deben poder administrarse a través de SNMP v3 a razón de poder establecer diferentes
perfiles de administración para mayor seguridad.
ll) La solución debe tener la capacidad de poder exportar información de sus conexiones a través de
NetFlow V5 y/o Netflow V9 a un colector externo.
mm) Se debe comprobar que la solución es totalmente compatible con un agente de software para
instalarse en laptops o PC’s con sistema operativo Windows 10 o superior.
nn) La solución debe tener su propia consola de administración y debe ser capaz de ser administrados a través
de la misma.
oo) La solución debe ser 100% administrada y deberá integrarse de manera transparente a la solución de Red
 de Telecomunicaciones WAN dentro de un mismo equipo.
pp) Debe realizar la aceleración del desempeño de aplicaciones en enlaces WAN con equipos que soporten lo
establecido por nodo según el “Apéndice 2 Matriz de Servicios”

La solución deberá generar al menos los siguientes reportes:

a) Optimización de ancho de banda (tráfico bidireccional, LAN a WAN y viceversa).
b) Coincidencia de datos recibidos contra datos referenciados en disco duro.
c) Ganancia de capacidades de red.
d) Reportes de reducción de datos en porcentaje y pico.
e) Reportes de reducción HTTP.
f) Reportes de reducción de NFS.
g) Estadísticas de reducción de tráfico SSL.
h) Reportes de tasas de transferencia de datos.
i) Resumen de reducción del tráfico por protocolos.
j) Reportes de conexiones actuales y del estado de las mismas.
k) Histórico de conexiones.
l) Todos los reportes deben ser configurables en vistas de últimos minutos, cinco minutos, hora,
día y rango de tiempo.
m) Envío de alertas sobre el estado del equipo vía traps SNMP.
n) Log de eventos y alertas del servicio consultables vía web.
o) Bitácora de conexiones TCP que han trasmitido más información, identificando las
direcciones IP fuente y destino, así como el puerto de aplicación.
p) Sesiones TCP actuales e histórico de las 50 conexiones que han enviado más tráfico.

5.4 Análisis de Tráfico

El Licitante debe proporcionar una herramienta de monitoreo de tráfico con capacidades de analizador de
protocolos, capaz de recolectar información del funcionamiento de la voz, datos y video que cursen hacia y desde la
Red de Telecomunicaciones WAN, internet, LAN, servidores u otros, de acuerdo con la plataforma y criticidad
indicada en el Apéndice 2 “Matriz de Servicios”

El Licitante deberá considerar el Apéndice 2 “Matriz de Servicios” y dimensionar con base en la siguiente tabla:

Para los nodos considerados como de criticidad MEDIA, cuyo ancho de banda especificado en el documento
“Matriz de Servicios” sea igual o menor a 4.5 Mbps, la solución de monitoreo que se deberá contemplar deberá ser
de tipo ESTÁNDAR.

5.4.1 Características del servicio de Análisis de Tráfico

El sistema de monitoreo de tráfico debe contar al menos con las siguientes funcionalidades:

a) Proveer la habilidad de escuchar el tráfico de la red y descubrir elementos nuevos de infraestructura

automática.
b) Visibilidad en toda la red (extremo a extremo), logrando identificar todos los elementos de infraestructura,
conexiones y segmentos. Mostrando la distribución lógica y física de la topología de red.
c) Este sistema deberá tener la capacidad de integrar todas las diferentes plataformas que integran la red de
NAFIN, tales como voz, datos, video, LAN, WAN, VoIP, Servidores, aplicaciones y métricas para análisis
de Performance de red (LAN y WAN).
d) Proporcionar RCA (Root Cause Analysis) en caso de falla y en Tiempo Real, y determinar el Impacto en la
Red.
e) La solución de monitoreo de tráfico deberá estar basada en equipos colectores que puedan conectarse vía
puerto espejo o por medio de TAP’s los cuales le reportaran a un servidor central.
f) El servidor central deberá estar alojado en las instalaciones del Licitante.
g) El sistema deberá ser capaz de integrar al monitoreo aplicaciones y desarrollos propios de NAFIN al menos
por:
I. Puerto
II. Direcciones IP de los servidores
III. URL´s
IV. IP Origen y Destino
h) La recolección de datos de la solución de monitoreo de tráfico no deberá afectar el rendimiento de la red de
NAFIN. Por lo que no deberá ser una solución basada en agentes.
i) La solución deberá generar información sobre el rendimiento, comportamientos y tendencias de la red.
j) El sistema deberá ser capaz de crear reportes que permitan seleccionar el periodo (por hora, día, semana,
mes, año, y personalizada es decir de fecha a fecha) y/o por grupo de nodos manteniendo en línea la
información por lo menos 1 año. Esta base de datos almacenará los registros sumarizados en forma
mensual, hasta la conclusión de la prestación del servicio y podrán ser solicitados por NAFIN en cualquier
momento durante la vigencia del servicio.
k) Respecto al tráfico HTTPS, HTTP y WEB se podrán configurar y dar de alta aplicaciones por su liga de
acceso URL.
l) La solución deberá ser capaz de realizar desgloses sobre las gráficas para mostrar el detalle de la
información (proceso conocido en inglés como Drill Down).
m) La resolución disponible de los datos en las gráficas podrá filtrarse, al menos, por segundos, minutos,
horas, días o meses.
n) Se deberán emitir alertas cuando el desempeño y rendimiento de la red se desvíe de los patrones
establecidos, mediante el análisis detallado de todas y cada una de las aplicaciones que corran en la red
incluyendo voz, datos, video y las de manera nativa.
o) La solución deberá incluir mecanismos de sincronización como NTP (Network Time Protocol) o PTP
(Precision Time Protocol) y así garantizar la correcta sincronización de la información.
 p) La solución se deberá poder integrar con métodos de autenticación vía Directorio Activo, LDAP v3,
Radius o ACS Server.
q) La solución facilitará la creación de reportes comparativos entre las interfaces físicas y virtuales (subnets,
VLAN, QoS).
r) El sistema deberá contar con un visor de alarmas que al menos de una vista retrospectiva de las mismas.
s) Tanto el Licitante como NAFIN deberán tener la capacidad de obtener mediciones de tráfico y monitoreo
proactivo en tiempo real de todo el tráfico cursando por la red de NAFIN bajo las siguientes métricas:
1. Utilización de ancho de banda.
2. Pérdida de paquetes.
3. Latencia.
4. Hosts que más utilizan la red.
5. Enlaces que más utilizan la red.
6. Aplicaciones que más consumen recursos de red
7. Tamaño de los paquetes (Packet Size).
8. Distribución de los paquetes en la red.
9. Utilización, errores, broadcast vs. Tiempo en los enlaces monitoreados.
10. Distribución de Protocolos.
11. Top de las Conversaciones.
12. Tiempo de respuesta de aplicaciones.
13. En los sistemas virtuales cuyo tráfico atraviese la red física monitoreada, se deberán obtener al
menos las siguientes métricas: Las máquinas virtuales más utilizadas.
14. Las aplicaciones que más se usan.
15. Top de conversaciones entre las máquinas virtuales.
16. Tiempos de respuesta entre las máquinas virtuales.
t) Deberá detectar de manera automática y proactiva la actividad de aplicaciones nuevas, como el uso de P2P
no autorizado.
u) Deberá ser capaz de realizar análisis forense basado en el análisis de paquetes.
v) Deberá garantizar el almacenamiento en cada sonda de monitoreo, de acuerdo con la Tabla: 4.2.1.1
w) Las capturas de paquetes que sean obtenidas por la solución deberán poder ser exportadas en formatos .cap
ó .pcap para su análisis posterior.
x) Deberá permitir generar diagramas de las conexiones TCP mostrando cómo los paquetes se mueven entre
el servidor y el cliente. Esto basado en capturas de tráfico.
y) La solución deberá mostrar los grupos de conversaciones TCP/UDP.
z) Deberá permitir usar los paquetes almacenados en las sondas de monitoreo para crear gráficas de las
transacciones entre 2 hosts que muestren los paquetes de una conexión y la latencia de los mismos.
aa) La solución de análisis y tráfico deberá graficar Tiempos de Respuesta para las aplicaciones dentro de la
red, entregando resultados Top de al menos las siguientes variables:
 Peores Aplicaciones
 Peores Servidores
 Peores Clientes
 Peores Flujos
 Peores Sitios
bb) La solución de análisis de tráfico deberá poder calcular el tiempo de respuesta por separado de red y
servidor.
cc) Deberá permitir inventariar para una aplicación y/o Servidor la cantidad de respuestas fallidas o
 satisfactorias.
dd) Deberá ser capaz de monitorear el uso de ancho de banda por aplicación y así mismo identificar tendencias
de crecimiento para poder tomar decisiones proactivas.
ee) Deberá contar con mecanismos de control de acceso y autenticación para que únicamente el personal
autorizado por NAFIN tenga acceso a la información.
ff) Para la presentación de la información deberá proporcionar dashboards configurables que podrán contener
diferentes paneles o gráficas de información, mostrando al menos la siguiente información:
 Uso de los enlaces monitoreados en total y desglosados por:
o Aplicación.
o IP Origen y Destino.
o Ancho de Banda.
o Conversaciones entre Hosts.
 Uso de una Aplicación en total y desglosado por:
o Aplicación.
o IP Origen y Destino.
o Ancho de Banda.
o Grupos de Aplicaciones.
o Conversaciones entre Hosts.
 Deberán permitir visualizar para un Host:
o Top aplicaciones.
o Top conversaciones hacia y desde el Host.
 Deberá observar el estado de las aplicaciones y servicios que están corriendo en el centro de datos,
como:
o Indicar el número y severidad de las anomalías en indicadores clave de desempeño.
o Indicar posibles problemas de desempeño de los aplicativos.
o Deberá proveer la capacidad de hacer zoom sobre la información, conocido como drill-down
hacia métricas específicas que hayan causado el problema.
gg) El sistema deberá ser capaz de obtener datos disponibles para cada intervalo de tiempo seleccionado
mostrando al menos las siguientes variables:
 Los paquetes recibidos.
 Tipos de errores de los paquetes recibidos.
 Tráfico por dirección IP asociado con el puerto, aplicación.
 Tráfico por puerto asociado con el protocolo IP y la tasa de Trasmisión en paquetes y bytes.
 Conversaciones entre estaciones IP.
 Mostrar estadísticas por VLAN y QoS.
hh) Deberá permitir la creación de filtros personalizados.
ii) Deberá soportar diagnósticos en las diferentes capas del modelo OSI, las cuales deben incluir:
 Red.
 Direcciones IP duplicadas.
 Frames Perdidos.
 Paquetes que excedieron el Tiempo de Vida (Time-to Live Expiring).
 Transporte.
 Servidores más Lentos.
 Exceso del Tamaño de Ventana en conversaciones TCP (Window Size Exceded)
jj) Deberá contar con filtros de post-captura, independientes de los filtros de pre-captura, al menos por:
  Filtro por errores.
 Filtro de patrones de datos (Bytes y bits) permitiendo la configuración de cualquier patrón dentro de
la trama.
 Filtros por conversación entre dos estaciones a través de la selección del nombre o la dirección
IP/IPX.
 Filtro por protocolos.
 Tamaño de trama.
 Paquetes con errores.
 Dirección IP.
kk) La solución de monitoreo deberá proveer una consola unificada de acceso a las herramientas de toda la
solución de análisis de tráfico de aseguramiento del servicio desde la cual pueden ser lanzadas las
interfaces de alerta, monitoreo, troubleshooting.
ll) Gestión proactiva que permita resolver problemas de rendimiento antes de que afecten a los servicios
solicitados.
mm) Presentar la información referente a los servicios solicitados para NAFIN.
nn) Deberá soportar IPV6 y 10GIGA Ethernet.
oo) Deberá de monitorear Ethernet, logrando identificar tecnologías como QoS, MPLS, VPNs y demás
servicios encriptados.
pp) Configuración de alarmas para netflow, sflow o similar, QoS, MPLS VLANs. Siendo capaz de generar
alarmas por utilización de link.
qq) Generación de reportes del estado actual de los elementos, su desempeño y tendencias.
rr) Configuración de umbrales para la generación de alarmas y envío de las mismas vía correo electrónico, u
otro mecanismo automatizado.
ss) Generación de la información sobre las Clases de Servicio utilizadas en cada uno de los nodos de la Red de
Telecomunicaciones WAN.
tt) Generar reportes por Clase de Servicio.
uu) Colectar las siguientes métricas en tiempo real:
 Utilización de ancho de banda.
 Pérdida de paquetes.
 Latencia.
vv) El sistema deberá trabajar sobre las plataformas Windows y Linux.
ww) Deberá permitir al personal que designe NAFIN la generación de reportes explotando todas las variables y
funcionalidades de la herramienta de monitoreo, con la opción de parametrizar dichos reportes y
consultarlos vía Web.
xx) Deberá ser accedida vía WEB por todos y cada uno de los usuarios encargados del monitoreo y buen
funcionamiento de la red
yy) El monitoreo en tiempo real para la detección de alarmas y eventos de fallas se realizará al menos cada
minuto, este mismo intervalo de tiempo será utilizado para la medición de los niveles de servicio.

5.4.2 Análisis de Voz

La herramienta de monitoreo y análisis:

a) Deberá recibir información estadística en tiempo real, de las mismas sondas de análisis de tráfico definidas
en el punto anterior (Análisis de Tráfico), que permita hacer una evaluación de la calidad de los flujos de
 voz, presentando resultados por medio de gráficas.
b) Deberá contar con pantallas específicas para el monitoreo e identificación de posibles causas que puedan
estar relacionadas con un evento de falla y que ayuden a inferir su solución, elaboración de informes, filtro
de los flujos de voz analizados y un resumen de los problemas que se presentan dentro de los ambientes de
voz de NAFIN.
c) La solución deberá presentar un análisis que permita ver y clasificar en un código de colores, el porcentaje
del número de flujos de voz analizados dentro de niveles aceptables, degradados y críticos, basado en
indicadores clave de calidad que incluyan como mínimo:
• Calidad media de la voz sobre IP (puntuación MOS).
• Porcentaje de los flujos de voz.
• Volumen medio de las conversaciones activas medidas de los flujos de voz.
• Relación señal ruido promedio de los flujos de voz.
d) Cada uno de estos indicadores clave coloreados, al ser seleccionado, deberá llevar a pantallas de
información más profunda acerca de las localidades y los flujos de voz analizados para llegar a los valores
presentados inicialmente.
e) Debe ser posible crear los filtros básicos de uno o más nodos fuente de las llamadas y uno o más nodos
destino de las llamadas.
f) Debe permitir crear los siguientes filtros avanzados:
• Una o más sonda de monitoreo y análisis.
• Uno o varios codecs de audio, incluyendo como mínimo G.711A, G.711μ, G.723.1, G.729, G.722,
G.728, GSM 06.10, AMR-NB, AMR-WB, G.722.1, G.722.1C , VMR-BM, iLBC, G.729D, G.729E,
GSM-EFR, G.726 entre otros
• Uno o más tipos de dispositivos incluyendo como mínimo: ATA, MCU, teléfono IP, Media Gateway,
Mobile, el router NAT, Session Border Control (SBC), decodificador, Soft Phone.
• También debe ser posible construir filtros avanzados tomando en cuenta los siguientes criterios:
- Voz IP MOS, Voz IP Mínimo MOS, Voz IP MOS degradado, Voz IP Máximo MOS
Degradado.
- Número de paquetes recibidos, el porcentaje de pérdida de paquetes, promedio de pérdida de
paquetes de forma consecutiva.
- Jitter máximo (ms), Jitter mínimo (ms) Porcentaje de paquetes fuera de secuencia, Retardo
en el transporte IP (ms).
- Tasa de bits de medios (kbps).
- Duración del flujo (seg), el tamaño del payload, comunicación en una vía (One-Way), VLAN
ID.
- Calidad de Servicio (QoS), puerto de origen, puerto de destino.
g) La solución debe contar con una pantalla de monitoreo que deberá presentar una sección con los eventos
más recientes coloreados e indicados por su severidad, con un link dinámico hacia pantallas de información
más profunda.
h) La herramienta deberá permitir dar de alta las diferentes localidades de NAFIN donde se concentran los
usuarios del Servicio de Telefonía IP, por rangos de direcciones IP, pudiéndose definir localidades y
sublocalidades por medio de redes y subredes. Las ubicaciones se podrán visualizar ya sea por sus
direcciones IP o nombres asignados en la configuración del sistema.
i) Deberá de existir una pantalla capaz de mostrar las afectaciones a los servicios de voz por nodo.
j) Para calidad de escucha debe ser presentados valores promedio, mínimo y máximo de tasa de señal en la
 voz.
k) Para calidad de conversación se debe presentar valores promedio, mínimo y máximo de Retardo de la voz.
l) En el caso de los problemas de red que afectan a los flujos de voz, se debe presentar Jitter promedio,
mínimo y máximo (ms) pérdida (%) y retardo de ida y vuelta (ms) para voz.
m) Deberá ser capaz de acceder a la lista de los flujos de voz evaluados con los valores numéricos para cada
una de las métricas clave mencionadas anteriormente.
n) Deberá mostrar una pantalla con las alertas de la localidad seleccionada, así como pantallas para los flujos
de voz de esa localidad.
o) La información de cada flujo de voz debe contener datos como la dirección IP y el puerto de origen, la
dirección IP y el puerto de destino, hora de inicio y fin del flujo, duración, códec utilizado, MOS IP, IP
MOS mínimo, porcentaje de pérdida de paquetes y jitter.
p) Para cada flujo de voz también debe ser posible mostrar una vista lógica de la red con cada segmento
evaluado, con los terminales de comunicación, las sondas colectoras y los valores de indicadores clave
obtenidos en cada punto de evaluación disponible.
q) Debe haber una lista de los flujos de voz relacionados con la conversación seleccionada que indica la
dirección de cada flujo de voz y los valores obtenidos en cada una de las métricas clave.
r) En los detalles del flujo de voz se debe presentar un resumen para las informaciones de red (VLAN,
DiffServ IP, IP TTL) y métricas de paquetes (número total, porcentaje de pérdida, la pérdida consecutiva
de paquetes media y máxima, Jitter mínimo y máximo, porcentaje de paquetes fuera de secuencia).
s) Deberá ser capaz de emitir los siguientes tipos de reportes como mínimo:
• Ejecutivo, con información sobre los acontecimientos, la declaración de las métricas clave de voz.
• De Negocio, que muestra diversos parámetros según la ubicación.
• De Servicio, con resumen de llamadas.
• De Operación, con la información del dispositivo en comparación con las métricas clave, para
identificar los patrones de errores y el rendimiento.
• El sistema de monitoreo deberá ser capaz de generar alarmas en tiempo real respecto a la degradación
de voz, basadas en los siguientes criterios; pérdida de paquetes, jitter, nivel de volumen de voz, nivel
de ruido, SNR (signal-to-noise radio), distorsión de la voz, eco y retraso.
t) En la sección del filtro de eventos debe permitir el filtrado de eventos por:
• Una extensión.
• Una identificación de usuario y Dirección IP.
• Intervalo de tiempo y/o localidad.
u) En los detalles de los eventos se debe incluir; Número del llamante, Número llamado, Hora de inicio de
llamada, Duración de la llamada, Diagnóstico de la llamada, Dispositivo del llamante y Dispositivo del
llamado.
v) Deberá existir una pantalla de resumen de los problemas actuales donde deben aparecer los eventos más
significativos en términos de porcentaje de los flujos afectados en todo el sistema, con la Descripción del
problema / evento, Número de flujos afectados, Porcentaje de flujos afectados, Principio de la ocurrencia,
si persiste su duración y si ha finalizado el horario de finalización.
w) Deberá presentar una pantalla orientada al análisis de problemas donde se despliegue la matriz de todas las
subredes dadas de alta en el sistema y cruzando las mismas con indicadores clave de desempeño y desde
los cuales se pueda realizar un análisis profundo subsecuente (drill-down) hasta los flujos de voz
correspondientes a ese evento, así como alertas relacionadas.
5.4.3 Reportes de Análisis de Tráfico

Con el objetivo de contar con la información para controlar y monitorear el centro de datos, LAN, Internet, VPNs y
servidores, el NOC deberá proporcionar a través de la herramienta de análisis de tráfico y aplicaciones al menos los
siguientes reportes:
a) Estos reportes podrán ser solicitados de manera diaria, semanal, mensual e histórica y deberán ser
parametrizables con al menos las siguientes variables:
• Disponibilidad del enlace.
• Centro de Datos.
• VPN.
• Internet.
• LAN.
b) Utilización de ancho de banda de todos y cada uno de los nodos.
• Bytes de entrada/salida.
• Top Aplicaciones que corren por la Red.
• Top de IP que más tráfico generan.
• Top de Conversaciones que más tráfico generan.
• Tabla del comportamiento de todas las aplicaciones que corren por la Red.
c) Tiempos de respuesta de cada nodo hacia MPLS, INTERNET y Centros de Datos.
d) Tiempos de Respuesta de las aplicaciones que corren por cada enlace.
e) Peores tiempos de respuesta de Aplicaciones.
f) Peores tiempos de respuesta de Servidores.
g) Cantidad de retransmisiones.
h) Número de peticiones a un servidor en específico.
i) Número de peticiones satisfactorias y fallidas.
j) Contadores TCP para las aplicaciones en donde aplique este criterio.
k) El sistema deberá ser capaz de generar estos reportes en formato HTML, PDF, Web y podrán ser
enviados vía correo electrónico.

5.5 Servicio de Acceso a Internet

Descripción

Se requiere acceso al servicio de red de redes denominado internet con servicios de seguridad y niveles de servicio
a NAFIN en las siguientes modalidades:

 Internet para aplicativos de uso crítico.

 Internet para aplicativos de uso estándar.

5.5.1 Características generales del Servicio de Acceso a Internet.

El Licitante debe proporcionar un servicio de acceso a Internet en los nodos señalados en el “Apéndice 2 Matriz de
Servicios”, en donde se marcan los componentes del servicio y ancho de banda requerido para cada uno de los
nodos indicados, conforme a los niveles de servicio establecidos en el presente documento.

Para la prestación de este servicio, se deberán considerar las siguientes condiciones:

a) El Licitante debe contar con al menos dos conexiones STM-16 directas a Tier-1 y garantizar que la salida
a Internet cuenta con redundancia en su salida internacional; en los casos donde se encuentre un enlace de
alta disponibilidad, la salida del Enlace Activo tenga una salida Internacional diferente a la del enlace de
respaldo, está información debe documentarla mediante carta bajo protesta de decir verdad y entregarla a
NAFIN previo a la puesta en operación de los servicios.
b) El tiempo de respuesta entre los equipos del Licitante y el Proveedor de Internet Tier-1, no deberá ser
mayor a 60 ms, desde el equipo de acceso del Licitante de servicio hasta el Tier-1. El Licitante debe
integrar como parte de su proposición el resultado del comando para respuesta de eco (ping) entre el
equipo que asignará para el servicio de internet y el equipo de ruteo hacia el Proveedor Internacional de
Internet Tier-1.
c) El Licitante debe manifestar por escrito, que cuenta con Acuerdos de Peering con al menos dos de los
Proveedores de Internet en México, lo anterior, con la finalidad de optimizar el intercambio del tráfico
doméstico o Nacional entre los distintos Proveedores de Internet y entregarla a NAFIN previo a la puesta
en operación de los servicios.
d) El Licitante puede ofrecer 4 saltos a Internet Tier-1 en su plataforma, medidos desde su equipo de acceso
(CPE) en su red hasta el Proveedor de Internet Internacional (Tier-1), presentando el resultado de la
ejecución de comandos que lo comprueben, con un escrito manifestando lo anterior haciéndose sujeto a
someterse a las pruebas técnicas necesarias para demostrarlo.
e) Para los nodos críticos, debe operar con balanceo de cargas en ambos enlaces. En caso de falla debe
conmutar automáticamente el tráfico al enlace que se encuentre operando correctamente.
f) En caso de falla total del nodo crítico y a solicitud de NAFIN, deberá conmutar el tráfico a través de la
Red de Telecomunicaciones WAN al nodo más cercano con salida a Internet de NAFIN.
g) La administración de las políticas internas de acuerdo al tipo de solución de seguridad solicitada, tales
como: Firewall, IPS, administración de ancho de banda y del filtrado de contenido serán definidas por
NAFIN con el Licitante durante las sesiones posteriores al inicio de la vigencia del servicio, mismas que
deberán estar implementadas al inicio de la operación del servicio.
h) El ancho de banda solicitado se describe en el “Apéndice 2 Matriz de Servicios” teniendo en
consideración la tabla de valores de ancho de banda que pueden requerirse y los niveles de servicio que
se aplicará en caso de incrementos o decrementos, durante la vigencia del servicio.
i) El Licitante proporcionará a NAFIN el direccionamiento homologado IPv4, Clase C (256 direcciones IP).
j) El Licitante debe presentar el diseño de su solución propuesta como Servicio de Acceso a Internet, de
manera individual y separado de los servicios administrados de la Red de Telecomunicaciones WAN.
k) En el costo del Servicio de Acceso a Internet, el Licitante deberán considerar todos los elementos que se
requieran para prestar dicho servicio, que, de manera enunciativa, podrán ser: ruteador multiservicio,
switches, enlaces.
l) El enlace requerido para el servicio de Internet destinado a aplicativos críticos debe ser tipo simétrico
m) El enlace requerido para el servicio de Internet destinado a aplicativos estándar podrá ser tipo
asimétrico.
n) Para el servicio de internet destinado a aplicativos estándar, el enlace ofertado debe ser tipo empresarial.
No se aceptarán enlaces de tipo doméstico.
o) Los niveles de servicio requeridos para cada tipo de servicio se encuentran delimitados en el apartado 6.5
Niveles de Servicio.

5.5.2 Características Técnicas de Seguridad para el servicio de Internet

NAFIN requiere que en la infraestructura del servicio de Internet del Licitante se incluya un mecanismo para
determinar en forma automática el comportamiento anómalo del servicio y tener la capacidad de alertar a NAFIN
para mitigar cualquier actividad maliciosa que se presente como ataques de tipo Negación de Servicio Distribuido
(DDoS, por sus siglas en inglés) y/o Negación de Servicio Dirigido (DoS, por sus siglas en inglés) generado por
medio de la actividad de gusanos o de ataques de tipo botnets, debe realizar análisis del flujo de tráfico buscando
patrones de tráfico anormales que indiquen la presencia de un ataque tipo DDoS y DoS.

Por lo tanto, el servicio debe integrar un sistema de gestión de amenazas que realice una inspección profunda de
paquetes, que permita al Licitante del servicio reducir de manera rápida e inteligente las amenazas a la seguridad y
contra cualquier situación desconocida que trate de agotar el ancho de banda o los recursos de la red.

Una vez que se ha detectada una condición anómala, el tráfico debe ser filtrado y descartar todo el tráfico dañino,
dejando pasar solo el tráfico legítimo hacia las redes de NAFIN para ser entregado a su destino final; durante todo
este proceso, los servicios publicados en Internet deben permanecer siempre disponibles.

El análisis del tráfico, la detección de anomalías y el proceso de mitigación de ataques de tipo DDoS y DoS, se
debe llevar a cabo en la infraestructura del Licitante, el objetivo es que el proceso de mitigación del tráfico de
ataque se realice antes de que pueda llegar a las redes de NAFIN y acabar con los recursos de ancho de banda.

La solución debe permitir y operar al menos con las siguientes características:

a) Mitigación y detección de amenazas:

I. Detección de anomalías y mitigación de DDoS y DoS.

II. Amenazas de día cero antes de que impacten en los servicios de NAFIN.

b) Mitigación y detección de lo siguiente:

I. Zombie Flexible.
II. Zombis (con selecciones de umbrales en Mbps y pps desde el portal Web del cliente) para
clasificar una IP como zombie y con la opción de conocer una lista de zombis activos
detectados. Mitigación inteligente de botnets.
III. Firmas de capas aplicativas.
IV. Mitigación contra ataques SSL.
V. Ataques de SSL malformados.
VI. Visibilidad en tiempo real de los eventos de la mitigación
VII. Visibilidad de todas las estadísticas de las mitigaciones andando
VIII. Selección de detalle y configuración de cada contra-medida usando la pizarra de mitigación.
IX. Captura simple de paquetes de datos "crudos" directamente desde la pizarra de mitigación

c) Ataques de saturación de recursos SSL Ingeniería de tráfico inteligente, visibilidad escalable y análisis
del tráfico con tecnología de “flujo" de la red.
d) Interfaz Web que permita ofrecer por lo menos las siguientes características, en el entendido que son los
iniciales, en caso de requerir adicionales se le indicará al licitante:

I. Configuración de recursos definidos por rangos de las subredes (CIDR), Números de

sistemas autónomos de BGP, Interfaces del router, comunidades de BGP, información de
capa 3 y 4 de netflow (lenguaje basado en TCPDUMP).
II. Detección de ataques basado en la línea de base contra los recursos definidos, con opciones
 configurables por recursos que permitan filtrar la sensibilidad de la anomalía en paquetes por
segundo y Mbps, disparando una alarma vía correo electrónico.
III. Detección basada en la violación de un protocolo de por lo menos los siguientes:

a. TCP Syn Flood/RST/NULL

b. ICMP Flooding.
c. Tráfico total (Mbps y paquetes por segundo).

IV. Detección del tráfico basado en lenguaje TCPDUMP con información definida en las capas
3 y 4.
V. Ejecutar reportes en tiempo real y calendarizados que incluyan lo siguiente:
a. Anomalías clasificadas por niveles de severidad acordada con NAFIN.
b. Anomalías por tipo, incluyendo por lo menos las siguientes:
 Fragmentación de IP.
 Protocolo.
 Ancho de Banda.
 ICMP.
 TCP/SYN.
 Alertas y Mitigaciones.
 Distribución del ancho de banda
 Por protocolo.
 Los hosts que más utilizan la red (Top Talkers).
 Por aplicación.
 Tamaño del paquete.
 QoS.
 Un tabulador de gusanos.
 Por sitio y aplicaciones caídas.
VI. Portal personalizable e independiente para NAFIN, el cual permita crear las plantillas para
visualizar recursos específicos, reportes, ataques.
VII. Iniciar mitigaciones y contadores de medidas para reducir el impacto de los ataques.
VIII. Los ataques detectados, se debe ofrecer la opción de generar recomendaciones de listas de
acceso basadas en cada ataque.
IX. Por lo menos se debe proveer acceso a los últimos 3 meses en línea de las alertas y las
mitigaciones ocurridas.
X. A través de la misma página Web deberá permitir la generación de Huellas digitales
(Fingerprints) posteriores a los ataques existentes, que deben proveer información en texto
de capa 3 y 4 en un formato legible de manera que permita identificar un ataque, aunque
cambie la heurística del mismo.
XI. Deberá permitirle al Licitante realizar al menos mitigaciones con:
a. Inyección de Blackhole de BGP.
b. Filtros con listas de acceso (ACLs).
c. Dispositivos de mitigación que deben ofrecer una mitigación inteligente, filtrar
tráfico malicioso mientras se permite el tráfico válido para alcanzar el elemento que
está siendo atacado.
XII. Deberá permitir al Licitante seleccionar la mitigación a aplicarse, así como, generar reportes
y modificaciones en tiempo real dependiendo de los resultados de la mitigación.
 XIII. Deberá permitir al Licitante generar reportes de las mitigaciones que fueron ejecutadas
anteriormente, con detalles de tráfico descartado y transferido para cada uno de los
medidores.
XIV. IP redundante para acceso al portal Web que se pueda dar de baja sin la intervención manual
del Licitante en caso de falla de la dirección primaria, y sin pérdida de la información de la
línea de base o estadística, para asegurar la alta disponibilidad del sistema para NAFIN.
Las notificaciones deben ser enviadas al menos vía correo electrónico desde el sistema para
informar al Licitante y a NAFIN con opciones configurables para permitir una rápida
reacción.

e) Las acciones de mitigación deben tener al menos las siguientes características:

I. Mitigación de específico SYN Flood.

II. Mitigación del DNS (protocolo mal formado y basado en autenticación).
III. Mitigación con taza límite por cliente de HTTP Get Flood y por objeto.
IV. Línea de base por recurso.

f) El Licitante deberá integrar en su proposición un esquema detallado de esta solución indicando los
elementos que la integran, así como la descripción de los procesos de análisis de información, detección
de anomalías y mitigación de ataques.
g) El Licitante deberá considerar la transición del protocolo IPv4 al protocolo IPv6 en los equipos frontera
que realizan la conectividad hacia Internet, sin costo adicional para NAFIN.

5.5.3 Administrador de Ancho de Banda

NAFIN requiere de una solución que permita administrar el ancho de banda de las aplicaciones internas y externas
en tiempo real, asignando prioridades y recursos de red en función del puerto, el dispositivo y la identificación de
las aplicaciones o el contenido en internet, con al menos las siguientes especificaciones:
a) Deberá ser una caja de propósito específico dedicado a proporcionar la administración de ancho de banda
hacia el canal de Internet, alineándose a las necesidades de NAFIN y operar de manera conjunta con
todos los elementos del nodo, de acuerdo con su criticidad.
b) Los requerimientos descritos y requeridos deben ser respaldados por documentación técnica del
fabricante referenciado con catálogos, manuales y publicaciones en el sitio web del fabricante.
c) Las capacidades mínimas de los equipos se deberán considerar de acuerdo con los requerimientos de
ancho de banda de los enlaces de Internet solicitados por NAFIN.
d) El Licitante deberá incluir todos los elementos de hardware y software necesarios para la correcta
operación, así como lo necesario para su montaje en gabinetes.
e) La solución propuesta deberá integrarse de manera transparente dentro de la infraestructura de red
existente.
f) Soporte en modo de alta disponibilidad para NAFIN.
g) En caso de falla o falta de energía eléctrica en los equipos, estos no deben afectar la comunicación (modo
Bypass).
h) Informar a NAFIN de actualizaciones, parches o mejoras de versiones aplicables a los equipos en
cuestión, en un tiempo máximo de 15 días de haberse liberado por el fabricante.
i) Asignar parámetros de “traffic shapping” por usuario, grupo, dirección IP, rango de direcciones IP,
categoría, aplicación, prioridad.
 j) Asignar políticas y/o configuraciones para asignar ancho de banda por: usuario, grupo, dirección IP,
rango de direcciones IP, categoría, aplicación y prioridad.
k) Priorizar el tráfico por categoría, contenido web, IP o grupos de IP’s para las aplicaciones críticas
definidas por NAFIN, garantizando el ancho de banda.
l) Asignar ancho de banda por aplicación controlando el tráfico por tipo de prioridad.
m) Deberá registrar el ancho de banda consumido por las aplicaciones y categorías de contenido web,
tiempos de respuesta de las principales aplicaciones de red y el servidor de retraso, además de monitorear
la salud, eficiencia y retransmisiones TCP en la red.
n) Deberá identificar y clasificar las aplicaciones web, contenidas. Controlando el rendimiento en tiempo
real y reuniendo la evidencia para resolver problemas de rendimiento. Deberá garantizar o controlar el
ancho de banda al menos para los siguientes tipos de aplicaciones que se mencionan a continuación, sin
que sea un límite la cantidad o tipo de aplicaciones:
a. Cliente Servidor.
b. Colaboración.
c. Entrega de Contenido.
d. Base de datos.
e. Directorio Activo.
f. Correo Electrónico.
g. Servidores de Archivos.
h. Juegos.
i. Mensajería.
j. P2P.
k. VoIP.
l. Multimedia.

5.5.3.1 Administración integración y reporteo

La solución de optimizador debe soportar:

a) Administración por SSH, CLI, HTTPS.
b) Envío de eventos vía SNMP V3., en forma mínima.
c) Administración centralizada bajo las siguientes características:
I. Cambiar la contraseña para tener acceso a la interface de administración, además de limitar el
acceso a la misma.
II. Visualizar estadísticas numéricas y gráficas del uso del ancho de banda, en tiempo real, por hora,
por día y por mes.
III. Incluir una pantalla desde donde se puedan visualizar reportes por tipo, con rangos de fechas y su
visualización en línea
IV. Los tipos de reportes requeridos, en línea iniciales serán los siguientes:
a. Top por IP.
b. Top por tipo de aplicación.
c. Top por prioridad.
d. Top por calidad de servicio.
e. Top por protocolo.
 V. Realizar actualizaciones centralizadas del software, de forma remota y previamente acordadas y
autorizadas por NAFIN.

5.5.4 Servicio de Domain Name Server (DNS)

El Licitante deberá proporcionar el servicio administrado de DNS. Los servicios de DNS Interno y/o Externo
proporcionados por el Licitante deberán considerar:
a) El servidor de DNS de frontera (Externo) que brindará la resolución de dominios de Internet al esquema
de DNS Internos de NAFIN con una disponibilidad del 99.98% mensual.
b) Resolución de nombres para los dominios de Internet de NAFIN.
c) El Servicio de DNS externo debe estar considerado en la solución de Internet y en las instalaciones del
Licitante.
d) Durante las reuniones de planeación técnica para la implementación de los servicios, NAFIN entregará al
Licitante ganador el listado de los Dominios que deberá publicar.
e) El DNS Interno se ubicará en las Instalaciones de NAFIN en las localidades señaladas en el Apéndice 2
“Matriz de Servicios” y el DNS Externo se ubicará en las Instalaciones del Licitante.
f) El servicio de Resolución de Nombre de Dominio deberá ser una solución integrada por hardware y
software conformado con una infraestructura que permita cumplir con la funcionalidad y los niveles de
servicio descritos en el presente documento.
g) La propiedad de los nombres de Dominio ante el NIC quedará a nombre del responsable que indique
NAFIN, fungiendo el Licitante como punto de contacto técnico durante la vigencia del servicio, este
trámite lo realizará NAFIN.
h) NAFIN requiere que el servicio de DNS administre los dominios y subdominios de Internet que sean
solicitados durante la vigencia del servicio.
i) NAFIN indicará el o los servicios de DNS internos requeridos y su criticidad en el “Apéndice I:
Particularidades de NAFIN” y “Apéndice 2 Matriz de Servicios”.

5.5.5 Particularidades de resolución de nombres y Certificados Digitales

5.5.5.1 Requerimientos Mínimos

El Licitante deberá proporcionar el servicio de Resolución de Nombre de Dominio (DNS) interno primario, para la
resolución de dominios internos y navegación hacia Internet que cumpla con las siguientes características:

a) La infraestructura que soporte este servicio deberá ser instalada en la DMZ de la red perimetral de cada
nodo requerido en el “Apéndice 2 Matriz de Servicios”.
b) La infraestructura que soporte el servicio requerido debe cumplir con las características mínimas
siguientes:
 Sistemas operativo UNIX.
 Basado en BIND.
c) El servicio requerido debe proporcionarse de acuerdo con el diagrama siguiente de Conectividad Acceso
a Internet:
 d) El Licitante deberá proporcionar el servicio de DNS externo bajo un esquema redundante, de alta
disponibilidad con base a sitio geográfico, para resolver las consultas a los dominios internos de NAFIN
y que cumplan con los niveles de servicios solicitados.
e) Los equipos que formen parte de la solución de DNS externos deberán estar implementados en las
instalaciones del prestador del servicio de Internet, de acuerdo al diagrama de Conectividad Acceso a
Internet anterior.
f) El servicio de Resolución de Nombre de Dominio (DNS) interno y externo requerido, deberá estar
integrado por hardware y software conformado con una infraestructura de alta disponibilidad para
garantizar el servicio de resolución de nombres de los siguientes dominios, hacia la red Internet:
NOMBRE DE DOMINIO EMISOR FECHA DE VENCIMIENTO
nafinsa.com.mx AKKY Nov 2023
nafinsa.gob.mx AKKY No tiene vencimiento
NETWORK
nafinsa.com Feb 2023
SOLUTIONS, LLC.
nafin.gob.mx AKKY No tiene vencimiento
nafin.com.mx AKKY Nov 2023
NETWORK
capasistec.com Feb 2023
SOLUTIONS, LLC.
sectorialesnafin.gob.mx AKKY No tiene vencimiento
nafininfo.gob.mx AKKY No tiene vencimiento
actualízatecadenas.gob.mx AKKY No tiene vencimiento
nafinpromo.gob.mx AKKY No tiene vencimiento

Así como también para los siguientes certificados:

NOMBRE DE CERTIFICADO FECHA DE
EMISOR
SSL VENCIMIENTO
www.nafin.com  DigiCert SHA2 Secure Server CA Jul 2023
cadenas.nafin.com.mx  DigiCert SHA2 Secure Server CA May 2023
servicios.nafin.com DigiCert SHA2 Secure Server CA Jul 2023
aplicaciones.nafin.com  DigiCert SHA2 Secure Server CA Feb 2023
mail.nafin.com DigiCert SHA2 Secure Server CA Jul 2023
autodiscover.nafin.gob.mx, DigiCert SHA2 Secure Server CA Jul 2023
nafin.gob.mx  DigiCert SHA2 Secure Server CA Jul 2023
orcl.nafin.gob.mx  DigiCert SHA2 Secure Server CA May 2023
soporte.nafin.com  DigiCert SHA2 Secure Server CA May 2023
 nfclx.nafin.gob.mx  DigiCert SHA2 Secure Server CA Jun 2023
aplica.nafin.com  DigiCert SHA2 Secure Server CA Mar 2023
colaboracion.nafin.com  DigiCert SHA2 Secure Server CA Mar 2023
sip.nafin.gob.mx DigiCert SHA2 Secure Server CA Ene 2022
linea.nafin.com DigiCert SHA2 Secure Server CA Ene 2023
meet.nafin.com DigiCert SHA2 Secure Server CA Ene 2022
dialin.nafin.com DigiCert SHA2 Secure Server CA Ene 2023
lyncdiscover.nafin.gob.mx DigiCert SHA2 Secure Server CA Ene 2023
webapps.nafin.com  DigiCert SHA2 Secure Server CA Sep 2023
apps.nafin.com  DigiCert SHA2 Secure Server CA Abr 2023
demoscadenas.nafin.com.mx DigiCert SHA2 Secure Server CA Abr 2023
inst_env.nafin.gob.mx DigiCert SHA2 Secure Server CA Abr 2023
VSRSRVSP.intra.nafin.gob.mx DigiCert SHA2 Secure Server CA Abr 2023
Apps2.nafin.com DigiCert SHA2 Secure Server CA Abr 2023

g) A solicitud de NAFIN, el Licitante deberá registrar y administrar el alta, baja o cambio de los dominios y
certificados digitales de 256 bits SSL, que sean requeridos, durante la vigencia del contrato y el costo
para cada componente se aplicará con base a los precios ofertados en el modelo económico, en su sección
de “Precio por Servicio”.

5.6 Servicio de Firewall

Descripción

Con la finalidad de que NAFIN cuente con una seguridad perimetral que permita robustecer y protegerse contra
ataques provenientes de internet, intranet y de otras redes; es necesario implementar la infraestructura de control de
acceso necesaria para proteger las aplicaciones.

5.6.1 Características Técnicas Servicio de Firewall

El Licitante deberá implementar el Servicio de Red Perimetral basada en equipos Firewall con el objetivo de
garantizar niveles de confianza para un control de acceso a la red de Telecomunicaciones WAN, Internet e Intranet,
así como la definición de políticas en zonas desmilitarizadas (DMZ) donde se alojarán los servicios y/o
aplicaciones expuestas a Internet.

El Licitante deberá considerar los servicios profesionales necesarios y suficientes por parte del Fabricante para el
diseño de la arquitectura, instalación, configuración, parametrización, pruebas, puesta en operación y ajuste fino de
la solución para el desarrollo del servicio. El diseño deberá estar basado en mejores prácticas del mercado.

Se deberá considerar la asistencia por parte del fabricante en caso de que algún incidente o falla no permita brindar
los niveles de servicio solicitados, requerido soporte en sitio y sin costo para NAFIN.

El Licitante deberá incluir todos los elementos de hardware y software necesario para la correcta operación, así
como lo necesario para su montaje en gabinetes.

Todos los equipos deberán ser cajas con propósito específico y operar de manera conjunta, alineándose a las
necesidades de NAFIN y a la criticidad de cada nodo.

El Licitante deberá considerar para esta solución de equipos de propósito específico solo con la tecnología de
Firewall, las cuales deberán incluir y operar al menos con las siguientes características:
a) La siguiente tabla muestra las características generales que al menos se deberán considerar para la
tecnología de Firewall.

Throughput conexiones
TIPO Throughput Interfaces
VPN IPsec Concurrentes

≥ 10 puertos 10/100/1000 GE
I ≥ 10 Gbps ≥ 5 Gbps 2,000,000 4 puertos GE SFP

≥ 8 puertos 10/100/1000 GE
II ≥ 9 Gbps ≥ 3 Gbps 1,000,000 2 puertos GE SFP

b) Debe permitir aceleración por hardware.

c) Debe tener 2 fuentes de poder redundantes para los Firewall tipo I Y II.
d) Los Firewalls tipo I y II deben soportan interfaces 10G y estar disponibles en caso de que NAFIN lo
requiera al inicio del proyecto o bajo demanda.
e) Debe tener disco duro de al menos 250 GB SSD para los Firewalls tipo I Y II
f) Debe permitir Implementación en modo transparente y Gateway.
g) Debe permitir balanceo de cargas y alta disponibilidad sin incluir software y/o hardware de terceros y sin
costo adicional.
h) Debe poder operar en alta disponibilidad en modo Activo/Activo y Activo/Pasivo.
i) Debe soportar los protocolos LAN: 802.3ad, 802.1q
j) Debe soportar ruteo dinámico en IPv4 e IPv6, con por lo menos los protocolos OSPF, BGP y RIP, así
como Multicast, Policy-based routing. RIPv1 y 2, RIPng, IGMP (1 y 2), PIM SM.
k) Debe soportar NAT (incluyendo para VoIP) y PAT.
l) Debe soportar tecnología IPv6; Dual Stacking firewall y VPN, Túneles IPv4 to IPv6, Túneles IPv4 desde
IPv6
m) Debe soportar tecnología de QoS basada en colas inteligentes, tales como Diffserv, TOS.
n) Debe tener monitoreo gráfico en tiempo real del tráfico de QoS que esté circulando por el equipo.
o) Debe permitir modificar el MTU para evitar problemas de fragmentación de paquetes encriptados.
p) Debe soportar valores de MTU mayores a 1500 bytes, para incrementar el rendimiento de interfaces
gigabit, permitiendo modificar el MSS.
q) Debe permitir definir límites en el ancho de banda para restringir aplicaciones no críticas en la red.
r) Debe contar con alguna de las siguientes certificaciones:
I. Certificación de NSSLabs.
II. Certificación ICSA Labs
III. Common Criteria EAL4
s) Debe cumplir con el estándar FIPS 140-2, además deberá ser reconocido como líder o competidores
(challengers) dentro del cuadrante mágico de Gartner para el rubro de Networks Firewalls, el más
reciente divulgado a la firma del contrato.
t) Debe contar dentro del mismo Firewall, con detección de ataques de red y nivel aplicativo, protegiendo al
menos los siguientes servicios:
I. Aplicaciones Web.
II. Servicios de correo (E-mail)
III. DNS.
IV. FTP.
V. Servicios de Windows (Microsoft Networking).
VI. Voz sobre IP (H.323, SIP, MGCP, SCCP/Skinny) .
 VII. Servicios de Videoconferencia.
VIII. Detección y rechazo de ataques conocidos y desconocidos, protegiendo al menos de los
siguientes:
a. Suplantación de IP (IP Spoofing).
b. Inundación de paquetes con SYN (SYN Flooding).
c. Rastreo de puertos abiertos (Port Scanning).
d. Ping de la muerte.
e. Inundación de ICMP (ICMP Flood).
f. Cross-Side Scripting.
g. Además de gusanos como Code Red, Nimda, bugbear, Slammer y otros.
u) Debe tener la capacidad de actualizar en línea las bases que protegen contra los ataques, además dicha
capacidad debe estar incluida e integrada dentro del mismo Firewall.
v) Debe tener la capacidad de detección de ataques a servicios Web implementados en:
I. Servidores Web.
II. Servidores de correo.
III. DNS, evitando la ejecución de código malicioso.
IV. Ataques basados en fragmentación de paquetes.
V. Inserción de scripts.
VI. Robo de información y credenciales.
VII. Ataques HTTP provocados por gusanos y malware.
VIII. Detección de código ejecutable en tráfico HTTP.
IX. Soportar el tráfico de Video RFC4582
X. Proteger implementaciones de VoIP, soportando H323 en todas sus versiones, SIP. MGCP y
SCCP.
XI. Soportar implementaciones de Video, H.323 (H.239), SIP.
XII. Basado en la tecnología conocida como “Stateful Inspection”
w) Debe cifrar y autenticar la comunicación entre los servidores de administración y los equipos.
x) Debe permitir un método para bloqueo sobre mensajería instantánea de al menos las siguientes opciones:
I. Video.
II. Voz.
III. aplicaciones compartidas.
IV. transferencia de archivos.
V. asistencia remota.

5.6.2 Características Técnicas Métodos de Autenticación

a) Debe soportar métodos de autentificado por usuario y cliente para el firewall.

b) Debe soportar autentificación para los usuarios que no utilicen plataforma de Windows, además de
dispositivos móviles.
c) Debe contar con los métodos necesarios para la identificación de los usuarios sin agente y haciendo
búsquedas en el Directorio activo o portal cautivo.
d) Debe autenticar sesiones para cualquier servicio; es decir cualquier protocolo y/o aplicación que se
ejecuten bajo los protocolos TCP/UDP/ICMP
e) Debe proporcionar control de acceso que incluya el soporte de al menos 1000 aplicaciones, servicios y
protocolos predefinidos
f) Debe integrarse con Directorio Activo u Open LDAP para crear reglas de control de aplicaciones por:
I. Usuarios.
 II. Grupos de Usuarios.
III. Equipos de cómputo.
IV. Dirección IP.
V. Redes.
VI. Y todas las opciones combinadas.
g) Debe soportar al menos los siguientes esquemas de autenticación de usuarios:
I. Tokens.
II. TACACS+.
III. RADIUS, password del sistema operativo.
IV. Password propio del Firewall.
V. Directorio LDAP.
VI. Certificados digitales o dispositivos biométricos.
VII. SSH, SSL/TLS.
VIII. IPsec nativo.

5.6.3 Características Técnicas Administración Integración y Reporteo

a) Debe administrarse de forma centralizada a través de una sola consola de administración y monitoreo de
políticas de firewall en un solo equipo central con funcionalidades de monitoreo en tiempo real y
reporteo.
b) Debe tener la capacidad de definir administradores con diversos roles, con distintos permisos dentro de la
consola para poder delegar funciones administrativas.
c) Debe contar con autenticación fuerte (certificados) de manera nativa en la solución, para los
administradores de la consola.
d) Debe brindar seguimiento a los cambios realizados en las políticas de seguridad, de modo que sea posible
revisar qué administrador hizo qué modificaciones, así como fecha, origen e impacto de la modificación.
e) Debe generar bitácoras, que permitan obtener fácilmente un reporte completo del estado de la seguridad
de la red.
f) Debe contar con interface gráfica de usuario (GUI), para hacer administración de la solución; además de
una Interface basada en línea de comando.
g) Debe contar con interface basada en Web para el acceso remoto considerando que la comunicación
deberá de ser cifrada vía SSL al dispositivo firewall.
h) Se deben proporcionar al menos dos cuentas de solo lectura para el personal responsable que NAFIN
designe.
i) Debe realizar una integración transparente y certificada con directorios tipo LDAP.
j) Debe soportar una autoridad certificadora interna que pueda emitir certificados para comunicación segura
entre consola de administración y dispositivo de control de acceso.
k) Debe permitir la revisión de bitácoras en tiempo real.
l) Debe generar versiones de la política de seguridad y poder regresar a versiones anteriores de la misma.
m) Debe permitir la administración remota a través de CLI, SSH, SSHv2, SSL, SNMP V3, HTTP y Serial.
n) Debe permitir el monitoreo en tiempo real del tráfico circulando por todos los Firewalls, sesiones y
estado de cada equipo.
o) Debe realizar mediciones de conexiones por segundo, conexiones concurrentes y paquetes por segundo
que están pasando a través del firewall y desplegarlas a cualquier usuario en tiempo real desde la
interface de administración.
p) Debe generar reportes sobre el estado de los componentes, tráfico de red, y de las políticas de Firewalls;
 además de poder personalizar dichos reportes y desplegar varios tipos en una sola ventana.
q) Debe graficar en tiempo real los “top N” de los servicios más utilizados y de los equipos que más están
consumiendo recursos.
r) Debe generar acciones y/o alertas en función de determinados eventos como cambios de políticas o
valores críticos en contadores como uso de al menos CPU, Memoria% de espacio libre en disco y
sesiones por segundo y concurrentes.
s) Debe contar con monitoreo y reacción sobre comportamiento de usuarios, detectando actividades
sospechosas como intentos de acceso no autorizados, permitiendo el bloqueo de las conexiones
detectadas.
t) Debe realizar actualizaciones centralizadas del software, de forma remota.
u) Debe hacer actualizaciones de software tipo “One-Click” en tiempo real.
v) Debe hacer actualizaciones de software de firewalls sin importar que la versión sea menos reciente que la
actual versión de la consola de administración.
w) Debe hacer envío de eventos como mínimo por SNMP v3.
x) Debe poder diferenciar entre logs de usuarios regulares y logs propios de la administración.
y) Debe asociar cada IP correspondiente a usuarios internos con su correspondiente nombre de usuario
tomando esa información del Active Directory, sin necesidad de instalar ninguna aplicación en el Domain
Controller ni en las PC´s de los usuarios.
z) Debe grabar las vistas de tráfico y contadores del sistema a un archivo, para posteriormente poder verlo
en cualquier momento.
aa) Debe permitir administrar logs y usuarios dando acceso a gerentes y auditores sin necesidad de tener
acceso total a la consola, tener visión de las políticas de seguridad a través de un navegador Por lo que se
debe proporcionar al menos tres cuentas de solo lectura para el personal responsable que NAFIN designe.
bb) Debe forzar al administrador a que deba requerir la aprobación del personal responsable que NAFIN
designe antes de permitir la instalación de políticas.
cc) Debe contar con un sistema de control de cambios integrado.

5.7 Servicio de equipos de ruteo avanzado para la Red de Telecomunicaciones WAN

El Licitante debe considerar proveer una solución de ruteo avanzado provista por equipos de propósito específico
que realicen el ruteo del tráfico proveniente desde distintos puntos de la Red de Telecomunicaciones WAN
propuesta hacia los diferentes destinos posibles de acuerdo con las políticas y necesidades que NAFIN requiera, en
el entendido que las políticas requeridas hacen referencia a las reglas de configuración que se deban implementar
en la infraestructura de ruteo avanzado propuesta para cumplir con los requerimientos de NAFIN.

Las características técnicas que la solución propuesta debe cumplir son las siguientes:

a) La solución propuesta debe ser provista a través de equipamiento de uso dedicado.

b) La infraestructura que soporte el servicio propuesto debe operar en un esquema de Alta disponibilidad en
caso de falla.
c) La solución propuesta debe identificar el tráfico (direcciones IP, aplicaciones, URL´s, dominios, etc.) y
determinar el destino de dicho tráfico con base en políticas establecidas, las cuales serán definidas y
acordadas con NAFIN durante la etapa de implementación y previo al arranque de operación de los
servicios.
d) Deberá incluir la orquestación de los flujos del tráfico a través de umbrales predefinidos con reconocimiento
de aplicativos por puertos TCP y UDP para el manejo del ruteo de manera automatizada.
e) Debe incluir las interfaces tipo LAN 10/100/1000 Mbps Tx o Fx y WAN RJ-45 (LAN to LAN) necesarias
de acuerdo con el diagrama topológico siguiente. Se deben considerar interfaces para crecimiento futuro
del 25% tanto en LAN como en WAN.

f) La solución deberá manejar integración con diferentes proveedores de servicio de nube SaaS, IaaS y Paas
con la idea de optimizar el consumo de los servicios como Office365.
g) Debe contar con una interface de administración que la cual permita monitorear, gestionar y automatizar
las políticas de ruteo basadas en los requerimientos de NAFIN y los aplicativos que esta utilice.
h) Dicha interface de administración debe ser accedida a través de un protocolo seguro (p. ejem. https o bien
sshv2).
i) La infraestructura que soporte el servicio requerido debe tener una capacidad de rendimiento de la menos
19 GB
j) La infraestructura que soporte el servicio requerido debe contar con una memoria flash de la menos 8 GB
y una memoria RAM dinámica de al menos 8 GB. La infraestructura que soporte el servicio requerido
debe soportar la capacidad de los enlaces WAN con los anchos de banda solicitados en el “Apéndice 2
Matriz de servicios”
k) La Infraestructura que soporte el servicio requerido debe contar con fuentes de poder redundantes.
l) Debe integrar la posibilidad de generar reportes de operación los cuales contengan al menos los siguientes
datos:
 Uptime de la infraestructura que soporta el servicio ofertado
 Top 10 orígenes (direcciones IP, aplicaciones, URL´s, dominios, etc.).
 Top 10 destinos (direcciones IP, aplicaciones, URL´s, dominios, etc.).
 Uso de Ancho de banda por política de ruteo implementada.
 Uso de Ancho de banda por interface.
 Aplicativos con mejor y peor desempeño de acuerdo con las variables: jitter, latencia y pérdida.
 Aplicativos con mayor consumo de ancho de banda.
m) El monitoreo de la infraestructura que soporte el servicio requerido debe ser a través del protocolo SNMP
V3.
 n) La solución deberá contar con la generación de alarmas y eventos a nivel sistema.

o) La infraestructura que soporte el servicio requerido debe poder ser incluido en un sistema TACACS o
raduis (provisto por NAFIN) para su administración.
p) La solución deberá contar con la capacidad de visualización de variables de desempeño y consumo en tiempo
real y de manera histórica. Debe almacenar estadísticas y logs del tráfico durante toda la vigencia del contrato
y mantener en línea datos para generar reportes de al menos los últimos 6 meses, para lo cual el Licitante debe
considerar en su propuesta proporcionar el repositorio con la capacidad suficiente para dar cumplimiento a lo
requerido
q) La infraestructura que soporte el servicio propuesto debe contar con un puerto de consola RJ-45 y/o USB
r) La infraestructura que soporte el servicio propuesto debe contar con 1 puerto USB para insertar memorias
s) La infraestructura que soporte el servicio propuesto debe contar con LEDs que indiquen el estado de los
puertos, el estado ambiental (temperatura), el estado del sistema del router (si está reiniciando, fallas en
hardware)
t) La infraestructura que soporte el servicio propuesto debe contar con un componente para conectarlo a tierra
física.
u) La infraestructura que soporte el servicio propuesto debe poder montarse en un rack de 19 pulgadas.

5.8 Servicio de Operación

Descripción

Se requiere cumplir con la atención, registro, resolución de incidentes, problemas y solicitudes de servicio, que
permitan la continuidad operativa, en los niveles de servicio indicados; realizando monitoreo de la operación de la
Red Privada Virtual y los elementos de Seguridad de NAFIN.

5.8.1 Mesa de ayuda

El Licitante debe implementar una Mesa de Ayuda, la cual será identificada por NAFIN como “Mesa Especializada
de Servicios “MES”, con capacidad para atender todos los tickets que se generen y que le lleguen apegándose en
todo momento al proceso de Administración y seguimiento de solicitudes, requerimientos e Incidentes de las
mejores prácticas en la industria para servicios de TI.

La MES es el centro de atención y punto de contacto del Licitante, ubicado en sus instalaciones, que mediante el
uso de herramientas para monitoreo y de manera dedicada para el servicio proporcionado a NAFIN, debe cumplir
con los requerimientos de nivel de servicio sin que esta interconexión genere gastos adicionales para NAFIN.

5.8.1.1 Características Mesa de ayuda

a) El Licitante, alineará todos sus procesos relacionados con la administración del servicio provisto a NAFIN
a las mejores prácticas de la industria para servicios de TI, lo anterior considera a la Mesa Especializada de
Servicios y a todos los procesos de entrega y soporte del servicio, a saber:
1. Administración de configuraciones.
2. Administración de cambios.
3. Administración de incidencias.
4. Administración de liberaciones.
 5. Administración de planeación de la capacidad.
6. Administración de los niveles de servicio.
7. Administración de la disponibilidad.
b) La MES del Licitante será responsable en todo momento de que los incidentes reportados sean resueltos
dentro de los niveles de servicio establecidos, realizando o emprendiendo acciones para eliminar las causas
raíz y/o para prevenir fallas potenciales.
c) Se requiere que la MES sea implementada y se logre su puesta a punto, antes de la entrada en operación de
los servicios solicitados.
d) Para seguimiento de reportes, el Licitante deberá implementar durante la vigencia del servicio y sin costo
adicional para NAFIN, una herramienta de gestión, que tenga la capacidad de generar y compartir registros
históricos, consultas, generación de reportes y seguimiento a los eventos presentados y la solución
correspondiente, la cual deberá contar con acceso a la información para La Mesa Especializada de servicios
(MES), La Mesa de Ayuda de NAFIN y los Responsables del Proyecto que NAFIN designe para gestionar
y seguimiento en todo momento los reportes desde su apertura, atención, solución y cierre. Para lo anterior,
el Licitante deberá generar cuentas de lectura para el acceso del personal que sea necesario.
e) Las funciones generales de la Mesa Especializada de Servicios son las siguientes:
I. Debe Cumplir con los niveles de servicio definidos por NAFIN para la atención de los reportes,
solicitudes de servicio, incidentes y problemas.
II. La solución de software para la gestión de reportes debe estar basada en el manejo de procesos
basados en mejores prácticas relacionadas a servicios de TI y administrar como mínimo los
módulos de: Recepción de reportes, solicitudes de servicio o de información, incidentes y
problemas y reportes de estadísticas e indicadores.
III. Debe proporcionar atención y soporte para mantener la operación de todos los servicios requeridos
en el presente Anexo Técnico y sus niveles de servicio.
IV. Debe operar con un horario de servicio de 7 días a la semana, 24 horas al día durante la vigencia
de la prestación de los servicios, brindando la atención de acuerdo con los niveles de servicio
establecidos.
V. Los responsables del proyecto designados por NAFIN podrán levantar incidentes y notificar a la
MES vía telefónica y/o correo electrónico, para la pronta solución de éstos.
VI. Las tareas iniciales que el Licitante debe realizar con NAFIN son: recibir, registrar, analizar,
resolver y canalizar los reportes de incidentes, dar seguimiento, solución y cierre a los incidentes
informando a los responsables asignados por NAFIN, para que a su vez se informe al usuario final
oportunamente.
VII. La atención y soporte deben realizarse con la interacción y comunicación permanente entre
NAFIN y la MES.
VIII. La MES deberá tener la capacidad suficiente para almacenar y recuperar todos los reportes que se
presenten durante la vigencia de la prestación del servicio, clasificados por tipo de evento, por mes
y por año.
IX. Los datos mínimos requeridos en un reporte para el control de eventos e incidentes deberán ser:
a. Identificador del reporte o número de incidente o evento.
b. Identificador del usuario que reporta, (estos son los datos que identifican al usuario que
levantó el reporte), al menos nombre, teléfono, correo electrónico y ubicación.
c. Hora en que se presenta el evento reportado.
d. Hora en que se reporta el problema por parte del usuario autorizado.
e. Tiempo de solución del incidente y restablecimiento del servicio.
f. Descripción del ticket.
g. Solución del ticket.
 h. Nombre de quien soluciona.
i. Fecha y hora de solución.
f) Cuando se presenten interrupciones, fallas, errores en alguno de los enlaces, degradaciones en el
desempeño en alguno de los equipos del servicio solicitado, el Licitante informará al personal técnico de
NAFIN a través de un correo electrónico, llamada telefónica y/o mensaje de texto la falla del servicio que
requiera atención.
g) Una vez resuelto el problema reportado, el personal asignado por el Licitante informará al personal
técnico de NAFIN, la causa del problema y la solución de esta, con el fin de validar que el servicio fue
restablecido y cuente con la información para generar las estadísticas de disponibilidad del servicio de
acuerdo con los niveles de servicio requeridos.
h) Una vez recuperado el servicio, el Licitante documentará las acciones aplicadas para el cierre del reporte.
i) A solicitud del personal técnico de NAFIN el Licitante entregará un diagnóstico documentado y un plan
de solución definitiva a los problemas que generaron interrupción general o parcial de cualquiera de los
servicios requeridos en el presente Anexo Técnico, en los nodos o equipos involucrados, así como en
degradaciones en el desempeño en alguno de los equipos del servicio solicitado.
j) Los campos de información que deberán ser enviados o recibidos de NAFIN hacia la MES y viceversa
para solicitudes e incidentes, se proporcionarán al Licitante.
k) NAFIN podrá realizar auditorías de los reportes de la solución de la MES en el momento que así lo
requiera y revisar los niveles de servicio, para lo cual se deberá proporcionar a NAFIN las cuentas de
solo lectura personalizadas de acceso y contraseñas al personal que se designe.
l) El Licitante debe proporcionar a NAFIN al menos una clave de acceso de solo lectura a los componentes
de infraestructura que soportan los servicios requeridos, con el propósito de que se pueda revisar los
parámetros de operación del equipo, entre los que incluyen: uso de procesador y memoria, estado de las
interfaces seriales y Ethernet, Fast Ethernet, gigabit Ethernet, bits o bytes transmitidos y recibidos por
cada interface, así como ejecutar los comandos de pings y traceroute.
m) El Licitante, debe configurar al menos una comunidad SNMP v3 con derechos de lectura, independiente
a la comunidad que el Licitante utilice para el monitoreo de los diferentes equipos de comunicaciones
que formen parte de su servicio y se encuentren en instalaciones de NAFIN. Esta comunidad tendrá como
objetivo, monitorear todos estos equipos desde un sitio diferente al NOC, con uno o más servidores de
NAFIN (o un tercero definido por ésta). En estos servidores se recibirá la notificación automática de
incidentes y envío de traps SNMP, según parámetros establecidos por NAFIN, que permitan tener
visibilidad sobre variables importantes de desempeño en la Red de telecomunicaciones WAN. El número
de comunidades será al menos uno.
n) Debe contar con la opción de extraer e interpretar datos relacionados con el estado y el desempeño de los
dispositivos que componen la red de NAFIN.
o) Los registros generados por las herramientas de monitoreo implementadas por el Licitante serán los que
se utilizarán para validar los niveles de servicio proporcionados por el Licitante, de acuerdo con los
requerimientos de NAFIN y bajo los niveles de servicio definidos en el apartado de Niveles de Servicio.
p) En caso de controversia, la información recibida a través del protocolo SNMP en los centros de
monitoreo de NAFIN, será utilizada como referencia para determinar si existen diferencias respecto a lo
reportado por el NOC, y en su caso, ser reconocidas como elementos de juicio para establecer un punto
de acuerdo. Esta opción solo será prerrogativa de NAFIN más no del Licitante.
q) El Licitante debe proporcionar, previo a la puesta en operación de los servicios, una matriz de
escalamiento, la cual contenga al menos la información de los contactos (nombre, puesto, teléfono
oficina, teléfono móvil) para su localización en todo momento, así como los tiempos establecidos para
pasar al siguiente nivel.
5.8.2 Centro de Operación de la Red (NOC)

5.8.2.1 Características NOC

El NOC debe de considerar, al menos, las siguientes tareas en servicios de gestión y monitoreo:

a) NAFIN debe contar con acceso de sólo lectura a todos los componentes de infraestructura que conforman
los servicios proporcionados con el fin de poder supervisar y evaluar su configuración. El Licitante debe
proporcionar las herramientas necesarias y el acceso simultáneo para tres personas designadas por NAFIN,
con la finalidad de monitorear en línea el consumo de ancho de banda, analizar el tráfico del enlace,
disponibilidad de servicios, medición de los niveles de servicio y aplicaciones descritas en este Anexo
Técnico, observando sus funciones principales, desempeños, bitácoras, alarmas, eventos y reportes para
supervisar su funcionamiento y desempeño.
b) El NOC debe operar en paralelo a la integración de cada uno de los servicios en la red de voz, datos y
video.
c) El Licitante debe generar las notificaciones de todas las incidencias de los nodos, equipamiento y servicios
de la red de NAFIN de forma inmediata a una dirección de correo electrónico, llamada telefónica y
mensaje de texto definidos por NAFIN y en ese momento iniciar el procedimiento de solución. El Licitante
debe absorber los costos que se generen para la entrega de este servicio.
d) El cierre de cada incidencia o requerimiento debe realizarse de manera coordinada entre personal de
NAFIN y el personal que el Licitante designe para tal efecto. La incidencia sólo podrá ser cerrada cuando
sea corroborada su solución y aceptada por NAFIN. El tiempo de validación de la solución de la incidencia
o requerimiento será independiente al de la solución de este cuando se valide que ya no exista afectación
y/o se envíe evidencia de que los requerimientos fueron realizados, apegándose a los niveles de servicio
solicitados por la NAFIN.
e) El Licitante debe dar solución a las incidencias, sea de manera remota o en sitio, según se requiera para
cumplir los niveles de servicio.
f) El Licitante debe entregar dentro de los primeros siete días hábiles de cada mes durante la vigencia del
servicio, los reportes de las incidencias ocurridas en el servicio a través de correo electrónico o cualquier
otro medio electrónico, al Administrador del contrato definido por NAFIN. Los reportes a entregar son los
siguientes:
I. Reporte detallado de incidencias por cada sitio y su tiempo de solución, donde se refleje el número
de horas y/o minutos sin servicios (voz, datos y video) imputables al Licitante y los imputables a
NAFIN (energía eléctrica, equipo apagado, etc.) o a causas de fuerza mayor en el sitio afectado
(tormentas eléctricas, huracanes, inundaciones, etc.)
II. Reporte del número de incidencias clasificadas por tipo y severidad.
III. Reportes de desempeño de equipos, servicios y aplicaciones, especificando:
a. Utilización de CPU.
b. Utilización de memoria.
c. Utilización de ancho de banda.
d. Latencia.
g) El Licitante debe entregar un resumen en forma impresa y/o electrónica, donde incluya el control de los
cambios.
h) En caso de Incidentes o daños en el hardware de los equipos del centro de soporte y monitoreo, el Licitante
será el responsable de contar con procedimientos para mantener los niveles de disponibilidad y servicio
 solicitados.
i) La herramienta de monitoreo utilizada por el Licitante no debe interferir en el desempeño de la red y/o
ancho de banda de cada nodo, no mayor al 5% de la capacidad del enlace.
j) El sistema de monitoreo debe contar con la capacidad de graficar por día, semana, mes, semestre y año,
NAFIN debe poder seleccionar el periodo de tiempo a su elección para generar reportes.
k) La información deberá estar disponible en línea con intervalos de al menos: 5 minutos por día, resolución
de 15 minutos por semana, resolución de 60 minutos por 90 días, resolución de 1 día hasta la vigencia del
servicio.
l) Prevenir problemas potenciales a través del monitoreo proactivo, entendiéndose como tal a las actividades
de monitoreo y alertamiento que identifiquen cuando se rebasen los umbrales de operación aceptable de la
infraestructura que soporta los servicios solicitados en el presente Anexo Técnico. Los umbrales de
operación y los alertamientos deben ser definidos y acordados con NAFIN previo a la puesta en operación
de los servicios.
m) Aislar y solucionar los problemas presentados en los elementos de los nodos y la prestación de los
servicios.
n) Cuando la herramienta de monitoreo detecte los problemas del incidente en la red y/o los equipos, ésta
deberá enviar vía correo electrónico la notificación de forma automática al personal designado por NAFIN.
o) La Herramienta de monitoreo debe ser capaz de monitorear equipos a través de los siguientes protocolos:
SNMP v3, JMX, WMI, ICMP.
p) El servicio debe contar con una herramienta que permita descubrir automáticamente todos los elementos de
red que tengan una dirección IP con la finalidad de obtener un inventario de la infraestructura instalada.
q) La herramienta de monitoreo debe permitir realizar peticiones bajo demanda de una prueba mediante un
OID (Object Identifier, Identificador de Objeto) en específico.
r) La herramienta de monitoreo debe permitir configurar umbrales por cada elemento y variable monitoreada
en cada uno de los dispositivos.
s) La herramienta de monitoreo debe permitir el acceso remoto vía HTTPS solo de lectura al personal de las
NAFIN, con la finalidad de verificar el estado de los servicios y la actividad de los enlaces.
t) El Licitante deberá contar con una herramienta en sus instalaciones de monitoreo que obtenga el estado de
operación de los enlaces de los sitios remotos y el nodo central de NAFIN al menos a través de un
navegador web y alguna otra interface de administración.
u) Se requiere que el monitoreo de cada uno de los enlaces y del nodo central, así como los CPE, considere
los siguientes aspectos:
I. Consumo de ancho de banda en tiempo real.
II. Visualización del estado del enlace en línea.
III. Notificar en forma automática los problemas en la red y/o los equipos.
IV. El sistema de monitoreo deberá entregar los siguientes tipos de reportes vía web y en forma
gráfica, para la medición del desempeño de la red.
V. % utilización de CPU y memoria.
VI. Consumo de ancho de banda (entrada, salida y promedio) por enlace.
VII. Consumo de ancho de banda por QoS (bits entrada, salida y descartados).
VIII. Paquetes perdidos por errores y descartes.
IX. Para la administración de los incidentes generados de la red:
a. Fecha y hora de la última alarma del sitio.
b. Tiempo promedio de solución y respuesta.
 c. Relación de incidencias del mes.
d. Clasificación de reportes por tipo de incidentes.
e. Frecuencia y tipo de Incidentes.
f. Identificación de problemas.
g. Plan de acción para corregir desviaciones en los niveles de servicio.
h. Casos abiertos y cerrados.
v) La solución con la que se preste el servicio de monitoreo de infraestructura y medición de Niveles de
Servicio debe tener la capacidad de ajustar el tiempo de poleo de cada una de las métricas colectadas.
w) El poleo de cada una de las métricas debe ser de 5 minutos, teniendo la capacidad de generar poleos de
hasta un minuto en caso de así convenir a la operación a solicitud expresa de NAFIN.
x) El servicio debe contar con una interface en la cual se podrán visualizar, configurar y dar de alta los
diferentes niveles de servicio (SLA por sus siglas en inglés), mediante la correlación de las diferentes
variables que se estén monitoreando. Esta interface deberá tener al menos las siguientes características:
I. Configurar el periodo del nivel de servicio de forma diaria, semanal o mensual.
II. Configurar con qué frecuencia se lleva a cabo la correlación de las métricas.
III. Configurar las fórmulas y umbrales de cada uno de los niveles de servicio, solicitados en el punto
(Niveles de servicio).
IV. Usar protocolos de acceso seguros tales como https o sshV2.
y) La solución debe mostrar el tiempo de cumplimiento de cada uno de los SLA.
z) El servicio debe contar con una interface en la que se puedan visualizar de forma gráfica las métricas
monitoreadas por cada dispositivo, es decir, para visualizar un esquema de conexión de equipos (capa 7), el
monitoreo se podrá realizar por medio de protocolos de capa 2 (de manera enunciativa: ARP, RARP,
Ethernet, etc.) y de capa 3 (de manera enunciativa: IP, ICMP, RIP, IGMP, SNMP, etc.).
aa) Debe existir una interface que permita visualizar un esquema de conexión de equipos mediante protocolos
de capa 2 y capa 3.
bb) La disponibilidad de los equipos de la infraestructura debe ser medido con base al protocolo ICMP.
cc) Las lecturas deben actualizarse en línea y contar con la facilidad de generar mediante filtros: reportes que
representen informes del comportamiento de la red por días, semanas, meses.
dd) Procedimientos de escalamiento de niveles de atención (tiempo estimado entre cada escalamiento de nivel.
ee) El Licitante llevará un proceso de control de cambios que se sujete a la aprobación de un comité
conformado por los responsables de cada servicio tanto de NAFIN como del Licitante. El control de
cambios se apegará a mejores prácticas relacionadas a Servicios de TI.
ff) El Licitante deberá considerar los siguientes tipos de control de cambios.
5.8.2.2 Atención a Incidentes

a) El Licitante deberá contar con el servicio de soporte en sitio para el nodo desde su acometida hasta las
puntas de conexión con la infraestructura de NAFIN.
b) El Licitante deberá integrarse al plan de marcación de NAFIN, sin que esto represente un costo adicional.
Dicho plan de marcación será proporcionado al Licitante antes del inicio de operación del servicio.
c) El NOC deberá contar con asistencia técnica las 24 horas del día, el cual deberá incluir un servicio
telefónico gratuito para lo cual deberá entregar en su propuesta técnica:

 Detalle de los procedimientos para los diferentes niveles de escalación de servicio a reporte de
incidentes.
 Descripción del uso y manejo de las bitácoras mensuales de reportes de incidentes atendidos.
 Descripción de sus servicios del centro de asistencia a través de WEB y/o correo electrónico.
 Definir claramente su procedimiento de escalación para la atención de incidentes en cuatro niveles, en
donde refleje a los responsables y sus cargos, así como datos para su localización, como celular, correo
electrónico, teléfono de oficina.
 Deberá especificar su NOC para el seguimiento de reportes de incidentes, en sus cuatro niveles con un
procedimiento de escalamiento que se sujete a los siguientes tiempos:
o 5 min. Recepción del reporte en el centro de atención correspondiente.
o 1 HR primer nivel de escalamiento.
o 2 HR segundo nivel de escalamiento.
o 3 HR tercer y último nivel de escalamiento.
 Teléfonos de oficina, y celulares de los responsables de cada nivel.
d) El Licitante deberá cumplir con los niveles de servicio solicitados, para lo cual deberá contar, con soporte
del(los) fabricante(s) de los elementos involucrado.
e) NAFIN de así requerirlo podrá solicitar al Licitante el escalamiento con el fabricante en caso de
incidentes recurrentes y/o de alta criticidad y/o que impacte los niveles de servicio.
f) El Licitante administrará la red de manera proactiva es decir a través del monitoreo de sus parámetros de
operación, recomendando cambios a los anchos de banda y/o calidades de servicio antes de que el
desempeño de la red se vea impactado.
g) Así mismo, los equipos sustitutos, las refacciones y partes que requiera el Licitante para llevar a cabo el
mantenimiento correctivo en la infraestructura usada para la prestación del servicio serán sin costo
adicional para NAFIN
5.8.2.3 Requerimientos Técnicos:
a. Los equipos de monitoreo deberán tener puertos para monitoreo y de gestión.
b. Conexión vía Port mirror o TAP divisor del medio.
c. Tecnología 10/100/1000 o 10G según aplique el tipo de monitoreo o el sitio a monitorear.
d. Capacidad de almacenamiento según la capacidad del nodo a monitorear.
e. Deberá tener fuente de poder redundante.
f. Controlador de disco duro-SATA RAID.

5.9 Centro de Operaciones para la solución de Firewall Dedicado

5.9.1 Herramientas de Monitoreo

a) Incluir todas las licencias y actualizaciones necesarias tanto en software y hardware, para mantener su
operación continua, con una disponibilidad del 99.9 % mensual de las mismas en el Centro de
Operaciones de Seguridad.
b) Monitoreo en línea de las alarmas de seguridad generadas en los equipos de seguridad.
c) Levantamiento automático de reportes en la herramienta del Centro de Operaciones de Seguridad, al
detectarse incidentes de seguridad por medio del sistema de monitoreo. Después de esto se deberá
notificar inmediatamente al personal asignado por NAFIN sobre el incidente, mediante llamada
telefónica, correo electrónico. Para atención de reportes de seguridad el Licitante deberá proporcionar un
el número telefónico de contacto gratuito y una vez establecida la naturaleza, se deberá canalizar con
alguno de los ingenieros especialistas para su atención. En el caso de que falle el número telefónico de
contacto gratuito, el Licitante deberá proporcionar un número local alternativo.
d) Una vez que es detectado algún incidente de seguridad se llama proactivamente a NAFIN para iniciar el
proceso de soporte, el personal del Centro de Operaciones de Seguridad contará con una hora a partir de
que se levantó el reporte, para que en forma remota contenga la incidencia a nivel perimetral, mediante
los cambios pertinentes en la configuración de los equipos de seguridad proporcionados, en tanto se
determina la corrección que el propio fabricante publique (concepto: día zero).
e) El Licitante deberá contar con una matriz de severidades la cual se definirá con NAFIN para la
identificación de incidentes de seguridad usando una plataforma para la correlación de eventos que le
permitan identificar un Incidente (evitar falsos positivos) con mínimo los siguientes niveles:

 Crítico: Incidente de alto impacto dado el riesgo que representa; puede, potencialmente, ocasionar
afectación y/o daño en activos y/o servicios de NAFIN. Afectación total al servicio, pérdida total
de algún dispositivo de seguridad o bien mediante la explotación de vulnerabilidades críticas en la
infraestructura protegida.
 Medio: Incidente serio en el que hay una degradación, más no una afectación a los servicios e
infraestructura que es protegida mediante la solución de seguridad. Bloqueo o bajo desempeño al
acceder a ciertos servicios de red que requieren el uso de los dispositivos de seguridad, así como
la pérdida parcial de alguna funcionalidad. Degradación en el servicio sin llegar a ocasionar caída
del mismo.
 Estándar: Incidente menor que no trae consecuencias de impacto a los servicios e infraestructura
protegida por la solución de seguridad. El incidente se da mediante fallas en visualización de
bitácoras o problemas para comunicación de servicios internos del cliente.
f) El Centro de Operaciones de Seguridad deberá detectar y mitigar proactivamente los incidentes de
seguridad catalogados como de día zero, contará con una hora a partir de la detección para contener la
incidencia a nivel perimetral mediante los cambios pertinentes en la configuración de los equipos de
 seguridad proporcionados, en tanto se determina la corrección que el propio fabricante publique.
g) Notificación de Incidentes de Seguridad (mecanismos: e-mail, teléfono fijo, teléfono móvil): Son los
medios de comunicación que el Licitante empleará para contactar a NAFIN ante cualquier incidente de
seguridad.
h) Solución a Incidentes Críticos de Seguridad. El Licitante se compromete con NAFIN a:

 Identificar un incidente catalogado como Crítico, con atención inmediata.

 Descartar que se trate de un falso positivo.
 Alertar del incidente mediante los mecanismos ya descritos.
 Prevenir el ataque.
 Implementar solución de remediación (previa notificación a NAFIN). Siempre que no incluya o
afecte a equipo de cómputo de NAFIN.
i) Solución a Incidentes de tipo medio (60 minutos): Es el tiempo en el cual el Licitante se compromete con
NAFIN a:

 Identificar un incidente catalogado como medio.

 Descartar que se trate de un falso positivo.
 Alertar del incidente mediante los mecanismos ya descritos.
 Prevenir el ataque e implementar solución de remediación (en caso de que aplique previa
aprobación del cliente).
j) Solución a Incidentes de tipo estándar (24 horas naturales): Es el tiempo en el cual el Licitante se
compromete con NAFIN:

 Identificar un incidente catalogado como estándar.

 Descartar que se trate de un falso positivo.
 Alertar del incidente mediante los mecanismos ya descritos.
 Prevenir el ataque e implementar solución de remediación (en caso de que aplique previa
aprobación del cliente).
k) Una vez que la vulnerabilidad ha sido corregida por el Licitante se deberán realizar recomendaciones y
tomar las medidas necesarias en los equipos de seguridad perimetral e infraestructura de RPV, para evitar
que este tipo de incidencia se repita.
l) El tiempo de resguardo de información se determinará en conjunto con NAFIN, por lo menos 6 meses en
línea y posterior el Licitante deberá considerar de forma preventiva, la posibilidad de contar con equipos
y espacio necesario para resguardar la información por la vigencia total del servicio, al término del
servicio deberá ser entregada a los responsables que NAFIN designe.
m) El Licitante deberá contar con un proceso ya definido de respuesta a incidentes de seguridad, el cual será
revisado por personal que NAFIN designe y afinado por el Licitante de acuerdo con la retroalimentación
recibida. Para esto, el Licitante deberá contemplar las sesiones de trabajo necesarias para que el proceso
quede totalmente adecuado a las necesidades de NAFIN.
n) El Licitante deberá documentar el proceso de atención a NAFIN para requerimientos de cambios, reporte
de fallas, solución de dudas.
o) El Licitante deberá presentar sus reportes tipo a generar como resultado de la operación, para que NAFIN
los revise y, de acuerdo con sus necesidades, solicitar los cambios que considere pertinentes.

 Reportes Estándar: Son los reportes predefinidos a los cuales NAFIN tendrá acceso para validar el
desempeño del servicio contratado.
 Reportes Personalizados: Es la capacidad para poder definir y ejecutar reportes a solicitud de
 NAFIN en formato mínimo PDF.

5.9.2 Asistencia Técnica en Sitio y Remota

El Licitante deberá incluir en su proposición los recursos técnicos y humanos necesarios con experiencia de al
menos 3 años en administración de redes y en las herramientas de las soluciones propuestas para brindar la
operación a los servicios de asistencia en sitio de acuerdo con los niveles de servicio solicitados durante la vigencia
de la prestación del servicio.

Los recursos en sitio propuestos por el Licitante estarán sujetos a la comprobación de su capacidad por parte de
NAFIN, mediante la revisión de los documentos presentados en la proposición técnica que soporten su perfil.

NAFIN definirá y seleccionará las características del personal en sitio, como: horario, días de la semana, perfil
entre otros.

Características técnicas:

a) Integrar como parte de su solución las herramientas de monitoreo, infraestructura de hardware, software
y seguridad que considere convenientes, así como el personal necesario para atención de fallas y soporte
en sitio, dicha infraestructura y servicio se deberá mantener en el nodo central de NAFIN y será utilizada
para atender la operación crítica, en horario de 7:00 a 20:00 horas, de lunes a viernes.
b) El personal asignado por el Licitante para la administración monitoreo y soporte en sitio de la red RPV,
seguridad e Internet deberá atender sus actividades en las instalaciones de NAFIN de lunes a viernes en
un horario de 7:00 a 20:00 horas. Para los horarios restantes (lunes a viernes de 20:01 a 6:59 horas,
sábados, domingos y días festivos), se deberá atender desde su(s) centro(s) de servicio(s).
c) El Licitante deberá supervisar y en su caso corregir en forma proactiva, el estado lógico y físico de los
equipos y enlaces de comunicaciones ofertados, utilizando para ello la infraestructura instalada en el punto
“5.9.1 Herramientas de Monitoreo”.
d) El Licitante será el responsable en todo momento de mantener la comunicación entre las distintas
instancias de asistencia y contará con la información pertinente para el escalamiento de fallas.
e) El Licitante, a través de personal en sitio, deberá garantizar a NAFIN la ejecución de los siguientes
procesos:

 Administración y monitoreo continuo de la operación de la red para la prevención de fallas.

 Detección oportuna de fallas inclusive, previo a que sean reportadas por NAFIN.
 Recuperación del servicio conforme a la disponibilidad y niveles de servicio solicitados
 Diagnóstico y corrección de raíz en las fallas presentadas
 Control y gestión oportuna de los reportes de falla que le asigne el área técnica o la Mesa de
Ayuda de NAFIN, hasta su cierre y Vo.Bo. de las áreas internas designadas por la misma.
 Notificación en tiempo real a través de una llamada telefónica a la Mesa de Ayuda de NAFIN, en
el cual se indique los problemas y las interrupciones así mismo se deberá notificar los
restablecimientos correspondientes a cada uno de los enlaces, equipos, interfaces o cualquier
componente de la red RPV, Internet y solución de seguridad que impacte el nivel de servicio
solicitado. Proporcionar reportes para el cierre de fallas reportadas, documentando causa,
diagnóstico y solución.
f) Emisión de la Información para la planeación de capacidad de la infraestructura de conectividad y
servicios en la red, en base al monitoreo continuo y reportes estadísticos obtenidos.
 g) Emisión de la Información para la planeación de capacidad de la infraestructura, anchos de banda de los
canales y servicios en la red, con base en el monitoreo continuo y reportes estadísticos obtenidos
h) Ejecución de altas, bajas y cambios, en la infraestructura, considerando:

 Altas, como la nueva configuración, componente o nuevo servicio del sistema de la red RPV,
Internet y solución de seguridad.
 Bajas, como la eliminación de un servicio o componente integrante del sistema de la red RPV,
Internet y solución de seguridad.
 Cambios, como cualquier modificación en la configuración de la infraestructura que permita la
reubicación de equipos terminales.

i) El Licitante deberá contar cuando menos con un centro nacional de soporte y atención a fallas las 24
horas, los 365 días del año, el cual trabajará en forma complementaria con el esquema de monitoreo y
administración descrito en esta sección.
j) NAFIN proporcionará facilidades de espacio, iluminación, conexión a los servicios de voz y datos para la
instalación de infraestructura de administración, monitoreo y recuperación del servicio para el personal
técnico que opere dicha infraestructura. Los alcances de estas facilidades por persona a brindar asistencia
técnica son:

 Espacio Físico.
 1 línea telefónica digital con aparato para realizar sólo llamadas locales.
 1 puerto Ethernet para conexión a la red de NAFIN.
 2 contactos eléctricos soportados a energía no regulada.

k) La asistencia técnica y soporte remoto deberá cubrir los requerimientos especificados en la sección del
NOC.
l) El licitante deberá considerar la creación de la CMDB (Configuration Management Data Base) inicial de
la totalidad de los componentes de infraestructura que soporta lo servicios solicitados en el presente
Anexo Técnico. Esta CMDB deberá contener al menos:
 Listado de CI (Configuration Items).
 Atributos de cada CI.
 Relaciones de cada CI.

Se requiere que el licitante ganador realice la captura de la información de la CMDB en la herramienta de

NAFIN destinada a este fin de acuerdo a los procesos vigentes en NAFIN. En caso de no existir dicha
herramienta, el licitante ganador debe proporcionar la información en formato .xls. La carga inicial de CI
´s en la herramienta debe completarse dentro de los 60 días hábiles contados a partir del inicio de
operaciones de los servicios.

El detalle de las relaciones y atributos de cada CI deberá ser acordado con NAFIN de forma previa a su
captura y el licitante será responsable de mantener actualizada esta CMDB durante la prestación del
servicio.

6.- Capacitación:

El Licitante debe considerar realizar una transferencia de conocimientos de los servicios implementados, la cual
debe cumplir con lo siguiente:
  Manejo de las diferentes infraestructuras que soportan los servicios con la finalidad de identificar fallas,
estadísticas, estatus, y demás información relevante relacionad a los servicios.
 Manejo del sistema de monitoreo, repositorios de información y logs.
 La transferencia de conocimientos deberá ser acordada entre el Licitante Ganador y NAFIN para realizarse
dentro de los primeros 3 meses subsecuentes al inicio de operación de los servicios.
 Manual de operación de cada servicio implementado. Cada manual debe incluir:
o Guía operativa Altas Bajas y cambios.
o Guía operativa de cambio de contraseñas críticas en la infraestructura.

Guía operativa de Planeación de la capacidad.

6.1 Catálogo del Servicio

El listado de servicios con su volumetría, ubicaciones y criticidades se encuentra especificado en el “Apéndice 2

Matriz de Servicios” del presente Anexo Técnico.

6.3 Plan de Trabajo General

El proyecto de implementación de los servicios requeridos se divide en las siguientes etapas:

Señalar las etapas en las que se divide el proyecto para su ejecución; de forma global, se consideran:

1. Inicio del Servicio. Durante esta etapa se definen la reunión de kick off y la estrategia que se seguirá para
la atención y seguimiento del proyecto de implementación de los servicios, con el Administrador del
Proyecto del Licitante y el personal que designe NAFIN. A su vez, se define la periodicidad de las
sesiones de seguimiento, así como los hitos a cumplir de acuerdo con el Anexo Técnico. Durante esta
etapa el Licitante debe dar cumplimiento a los siguientes puntos:

 Con el fin de garantizar la correcta ejecución del proyecto, el Licitante deberá considerar la
participación de un Project Manager Professional (PMP) que deberá contar con certificado
vigente por el PMI (Project Management Institute), el licitante debe agregar en su propuesta la
entrega de una copia de la documentación que lo acredite, considerando que NAFIN podrá
solicitar en cualquier momento el documento original para su cotejo.
 El PMP deberá fungir como único punto de contacto entre NAFIN y el Licitante durante la
fase de implementación de la red.
 Las funciones que desarrollará el PMP inicialmente son:
o Plan de Trabajo de la Implementación.
o Desarrollo del Plan de Trabajo.
o Control del Plan de Trabajo.
o Seguimiento a las actividades y ejecución del Plan de Trabajo.
o Notificar a NAFIN sobre desviaciones en el Plan de Trabajo.
o Entrega de la memoria técnica final a NAFIN.
 El plan de trabajo de la implementación de los servicios solicitados por NAFIN deberá ser
detallado por día y el Licitante debe considerar la elaboración de reportes de avance durante el
desarrollo del proyecto donde se incluyan las desviaciones, riesgos y su respectivo tratamiento.
 El plan de trabajo entregado por el Licitante al que se hace referencia debe ser avalado y
autorizado por NAFIN dentro de los 10 días hábiles posteriores a la firma del contrato.
 Asimismo, NAFIN realizará los comentarios pertinentes para su ajuste y aprobación final.
 El Licitante y el prestador de los servicios actuales, podrán establecer acuerdos de operación y
comerciales que apoyen la transferencia de los servicios. Dichos acuerdos deberán ser con el
visto bueno de NAFIN.
 El Licitante deberá considerar los servicios profesionales por parte del Fabricante para cada
una de las tecnologías propuestas en su solución, para el diseño de la arquitectura, instalación,
configuración, parametrización, pruebas, puesta en operación y ajuste fino durante la vigencia
de la prestación del servicio. El diseño deberá estar basado en mejores prácticas.
 Se deberá considerar operación asistida por parte del fabricante una vez que se dé por
terminada la instalación y configuración de los equipos y herramientas propuestas.
 Se deberá considerar la asistencia por parte del fabricante hasta 2 eventos al año en caso de
que algún incidente o falla no permita brindar los niveles de servicio solicitados, requerido
soporte en sitio y sin costo adicional para NAFIN

2. Planeación del arranque (mesas de planeación técnica). Durante esta etapa se llevan a cabo las mesas
de planeación técnica necesarias que permitan al Licitante ganador conocer las particularidades
relacionadas a los servicios en NAFIN. A su vez, en estas mesas se exponen los puntos y detalles
técnicos relevantes relacionados a los servicios a implementar.

3. Instalación y puesta a Punto. Durante esta etapa se realiza la instalación y configuración inicial de la
infraestructura que soportará los servicios ofertados, así como la instalación en racks de los equipos, las
configuraciones iniciales y las primeras pruebas de conectividad a nivel red. Una vez concluida la
instalación inicial, se procederá a realizar la afinación y personalización de las configuraciones de
acuerdo con las especificaciones y necesidades de NAFIN.

El Licitante deberá entregar en la etapa de instalación de cada uno de los servicios solicitados, un
inventario de todos los equipos y productos de software que formen la solución propuesta el cual será
validado por personal técnico de NAFIN.

4. Transición de los servicios. En esta etapa, se determina el periodo de transición y las ventanas de
mantenimiento necesarias para llevar cabo la transición de cada uno de los servicios. Es importante que
durante etapa se definan estrategias que permitan contar un con roll-back rápido de los servicios en caso
de fallas después de que se hayan migrado y se dé cumplimiento a las fechas comprometidas en el Plan
de Trabajo

Los horarios de migración de los nodos se establecerán en coordinación con NAFIN.

5. Operación de los servicios.

En esta etapa se inicia la operación de los servicios que previamente se instalaron y se transaccionaron.
Las consideraciones relacionadas a esta etapa son las siguientes:
 Se considerará que los servicios son entregados al 100%, cuando el Licitante, cumpla con
todos los puntos requeridos en el Anexo Técnico y definidos en el formato de verificación de
puesta en operación de cada servicio solicitado por NAFIN, el cual deberá estar firmado de
conformidad tanto por el Licitante como por NAFIN.
  Se debe dar cumplimiento a los niveles de servicio establecidos en el presente Anexo Técnico.

Entrega de Servicios Durante la Vigencia del Contrato.

Para el caso de servicios que se hayan solicitado después de inicio de operaciones del contrato, los
tiempos de entrega que se cumplirán durante la vigencia de la prestación servicio son los siguientes a
partir de la solicitud formal que realice NAFIN:
 Puesta en servicio de nuevos nodos: 6 semanas.
 Para cambios de domicilio de nodos existentes, NAFIN y el Licitante determinarán de común
acuerdo las fechas de baja y activación del nuevo domicilio, las cuales no excederán de 6
semanas contadas a partir de la notificación formal de NAFIN al Licitante. Los costos por
cambio de domicilio deberán ser especificados con precio unitario en la propuesta económica
del Licitante.
 Baja de nodos: dentro de los 5 días siguientes a la solicitud formal. Transcurrido dicho plazo,
la prestación del servicio posterior será bajo responsabilidad del Licitante, sin costo adicional
para NAFIN.
 Modificaciones a anchos de banda, siempre y cuando no sean bajo demanda e impliquen un
cambio físico en él o los enlaces de transmisión (incrementos por configuración): 5 días
naturales. Si implican cambio físico aplican los tiempos de cambios de domicilio.
 Modificaciones a anchos de banda para nodos bajo demanda que impliquen un cambio físico
en él o los enlaces de transmisión, se requieren incrementos y decrementos, aplican los
tiempos de cambio de domicilio.
 Puesta en servicio de videoconferencia solicitado por NAFIN, será de 4 semanas.
 Las notificaciones y/o respuestas serán válidas formalmente por oficio o por correo
electrónico.
 El Licitante deberá contemplar la integración dentro de la Red de Telecomunicaciones WAN
los nuevos Nodos que requiera NAFIN para su integración, cumpliendo con las mismas
características en cuanto a niveles de servicio, disponibilidad, precio, enlaces e infraestructura.
 En aquellos supuestos en los que no haya un señalamiento respecto a si se trata de día natural o
hábil, se entenderá como día natural.

6. Cierre del contrato. Durante esta etapa, el Licitante debe realizar los preparativos y tareas requeridas para la
transición de los servicios a un nuevo proveedor de acuerdo con lo especificado en el presente Anexo
Técnico. En esta etapa también se debe considerar el retiro de todos aquellos componentes que soportaron los
servicios anteriores sin afectación a los nuevos servicios en ventanas de mantenimiento coordinadas con
NAFIN.
6.4 Niveles de Servicio (SLA)

Los niveles de servicio estarán relacionados a la Red de Telecomunicaciones WAN, Internet y otros servicios en
términos de disponibilidad, desempeño del servicio, entrega de los servicios, tiempo de solución a Incidentes (TTR
por sus siglas en inglés), reportes y penalizaciones. En todos los cálculos para la determinación de niveles de
servicio serán valores truncados a dos decimales.

El Licitante entregará a NAFIN los reportes del servicio solicitados en el presente Anexo Técnico. La evaluación se
realizará tomando como base los reportes registrados en la Mesa de Ayuda de NAFIN, utilizando sus herramientas
de medición; para la evaluación del servicio ofertado y el resultado del nivel de servicio proporcionado en el mes
correspondiente.

6.4.1 Disponibilidad de la Red de Telecomunicaciones WAN

a) La Disponibilidad se define como la medida del porcentaje de tiempo, en que un sistema (o un componente
del sistema) realiza la función que le es propia. Es decir; disponibilidad es la proporción de tiempo en que el
sistema cumple con la función para la cual está dispuesto, en relación con el tiempo en que debería haber
estado disponible.
b) La disponibilidad del servicio provisto por la Red de Telecomunicaciones WAN, se agrupa en:
Disponibilidad Física del Medio, Disponibilidad Físico del Nodo y Disponibilidad Lógica.

6.4.2 Disponibilidad Física del Medio

El Licitante mantendrá una Disponibilidad de los canales de comunicación, conforme a los niveles de servicio que
se especifican en este Anexo Técnico. Se considera que un enlace no se encuentra disponible físicamente cuando:

a) El medio de transmisión o cualquiera de sus componentes (medio físico, equipo de TX/RX, terminador de
red) se encuentra abajo (down), es decir, no hay ningún tipo de comunicación y/o señalización a nivel capa
física.
b) El protocolo de transmisión (por ejemplo, HDLC o PPP), se encuentra abajo (line protocol down), es
decir, no hay señalización a nivel capa de enlace.
c) En el caso de intermitencia se considerará como no disponible.

6.4.3 Disponibilidad Física del Nodo

El Licitante mantendrá una Disponibilidad de los elementos del nodo (equipos de comunicación, equipos de
seguridad (appliance), equipos de administración de tráfico y optimización de aplicaciones), conforme a los niveles
de servicio que se especifican en este documento. En el caso de no poder cumplirlos, el Licitante, realizará las
adecuaciones necesarias en los equipos que integran el nodo.
Se considera que un elemento del nodo no está disponible físicamente cuando:

a) El elemento se encuentre dañado físicamente, en su conjunto o en alguno de sus componentes, de tal

manera que no permita ofrecer íntegramente las funciones de la solución solicitada.

6.4.4 Disponibilidad Lógica

Se considerará que un enlace no está disponible lógicamente cuando:

a) El protocolo de enrutamiento (cuando se trate de protocolos de ruteo dinámicos en el CPE) se encuentra

 abajo (protocol down), es decir, no hay señalización a nivel capa de ruteo.
b) La transmisión y recepción de información no sea completada entre el equipo CPE fuente y destino.
c) Cuando se realicen modificaciones que no sean programados y que no se observen los acuerdos
establecidos en el proceso de control de cambios.
d) La red del Licitante permitirá la medición de la Disponibilidad Lógica.

6.5 Disponibilidad del Servicio

En la siguiente tabla se presentan las disponibilidades de servicio por tipo de nodo, solicitadas por NAFIN para los
diferentes tipos de nodo de la Red de Telecomunicaciones WAN:

NIVELES DE SERVICIO
Nodo Nodo
Nodo Criticidad
Criticidad Criticidad
ESTÁNDAR
ALTA MEDIA
Disponibilidad Mensual del
servicio de la Red de >=99.98% >=99.93% >=99.5%
Telecomunicaciones WAN
Disponibilidad Mensual del
servicio de Internet para >=99.98% >=99.93% >=99.5%
aplicativos de uso crítico
Disponibilidad Mensual del
servicio de Internet para >=99.95% >=99.93% >=99.5%
aplicativos de uso estándar

El Licitante deberá prever en el diseño de su solución, todos los elementos del nodo que requieran redundancia y/o
esquemas de alta disponibilidad, para cumplir con los niveles de servicio especificados en el “Apéndice 2 Matriz de
Servicios”, de acuerdo con el tipo de nodo, ubicación geográfica, condiciones físicas, y demás consideraciones.

El Licitante debe entregar en su proposición, el diseño de la solución para cada nodo, indicando en éste las
redundancias y/o esquemas de alta disponibilidad considerados.

Si durante la vigencia del servicio el Licitante debe realizar cambios en la solución para poder dar cumplimiento a
la disponibilidad solicitada por NAFIN, estos cambios deberán ser programados y observar los acuerdos
establecidos en el proceso de control de cambios; asimismo estos cambios no causarán costos adicionales para
NAFIN, siempre y cuando dichos cambios no sean debido a una solicitud expresa de NAFIN para cambiar el nivel
de servicio del nodo que se trate, en cuyo caso solo se incrementará el costo mensual con base a los costos
ofertados por el Licitante, para cada elemento del nodo en el nivel de disponibilidad solicitado.

6.5.1 Tiempo de reparación de fallas.

Cuando el Licitante haya ofertado esquemas de redundancia y/o alta disponibilidad en el nodo y se presente
cualquier tipo de falla ya sea lógica o física que no afecte la disponibilidad del mismo, asegurará, a través de los
diferentes mecanismos previstos dentro de su estrategia, un adecuado proceso de administración de incidentes; que
dé como resultado el cumplimiento del tiempo de reparación de fallas (TTR por sus siglas en inglés) para la
atención y solución de incidentes, en los distintos componentes del servicio y los elementos de los nodos que
forman parte de la Red de Telecomunicaciones WAN. Los niveles requeridos se definen en función de la criticidad
señalada en el Apéndice 2 Matriz de Servicios” y de acuerdo con la siguiente tabla:

Nivel de TTR del Nodo TTR (horas)

Nodo Criticidad ALTA T≤4
Nodo Criticidad MEDIA T≤8
Nodo Criticidad ESTANDAR T ≤ 24

6.6 Latencia y Pérdida de Paquetes

En la siguiente tabla se presentan los niveles de servicio requeridos, para las diferentes calidades de servicio:

Calidad de servicio Nivel de Servicio Solicitado

Tiempo máximo de ida y
QoS Pérdida de paquetes
vuelta en mili- segundos
Voz, Datos y Video T≤8 <1%

El Licitante deberá considerar al nodo Plaza Inn como el ID de referencia que se tomará como punto central para la
medición de las latencias desde los demás nodos que conformen la Red de Telecomunicaciones WAN de NAFIN;
cabe indicar que dicho ID central podrá cambiar, previo aviso, según las necesidades de NAFIN.

6.6.1 Medición de la Pérdida de Paquetes

Para la medición de la pérdida de paquetes, se entregará un reporte mensual con base en la herramienta de
monitoreo descrita en el punto 5.8.2 al Centro de Operación de Red (NOC).

No se considerará pérdida de paquetes, sí existe en el mismo periodo de Incidente condiciones de no disponibilidad

física o lógica.

6.7 Disponibilidad del Centro de Operaciones de Red (NOC) y del Centro de Operaciones para la solución de
Firewall dedicado

Incluir todas las licencias y actualizaciones necesarias tanto en software y hardware para mantener la operación
continua con una disponibilidad solicitada por nodo. La Disponibilidad se obtendrá a partir de lo siguiente:

6.7.1 Disponibilidad de las Herramientas de Monitoreo y Análisis de Tráfico.

a) El Licitante, deberá mantener una disponibilidad de las herramientas de monitoreo y análisis de tráfico en
una operación 7 días de la semana 24 horas del día. Cuando algunas de estas no se encuentren disponibles
y esto ocasione la pérdida de la información utilizada para la medición de disponibilidad, latencia, ancho
de banda y análisis de tráfico de uno o más nodos, el tiempo que esté relacionado con la pérdida de
información y que impida el cálculo será considerado como no disponibilidad para el nodo o nodos
afectados por la falta de información.
 b) El Licitante, mantendrá una disponibilidad en las aplicaciones de monitoreo, seguimiento de reportes y
análisis de tráfico, a través de un acceso WEB, en una operación 7 días de la semana 24 horas del día.

6.8 Disponibilidad del servicio de enlace LAN to LAN

Deberá cumplir con una disponibilidad de 99.90% (Criticidad Media) y latencia de 10 ms. y 99.98% (Criticidad
Alta) de acuerdo a las necesidades de NAFIN.

6.9 Disponibilidad de la Mesa de Ayuda

El Licitante, mantendrá la disponibilidad de atención y recepción de llamadas que realice NAFIN para la recepción,
registro, análisis y solución de los reportes de incidentes bajo un esquema de operación de 7 días de la semana 24
horas del día.

Se entregará un reporte mensual con base en la herramienta de monitoreo descrita en el punto 5.10.2 Centro de
Operación de Red (NOC) del presente Anexo Técnico.

6.10 Disponibilidad de Internet

El Licitante, mantendrá una disponibilidad del servicio de Internet, considerado y medido como un nodo de la Red
de Telecomunicaciones WAN de acuerdo con lo solicitado en el “Apéndice 2 Matriz de Servicios”.

La latencia no será mayor a 60 milisegundos para el servicio de Internet para aplicativos de uso crítico y no será
mayor a 75 milisegundos para el servicio de Internet para aplicativos de uso estándar, ambas de ida y vuelta al
punto de acceso a la red pública más cercano en términos del número de saltos necesarios para alcanzarlo.

Se entregará un reporte mensual con base en la herramienta de monitoreo descrita en el punto 5.8.2, Centro de
Operación de Red (NOC).

6.11 Disponibilidad de DNS

La disponibilidad del DNS se define como la medida del porcentaje de tiempo, en que sus diferentes elementos
realizan la función que les es propia y se considerará como parte integrante del nodo de Internet para cálculos de
disponibilidad de este último.

La disponibilidad de los equipos DNS será de 99.98%, deberá cumplir con la disponibilidad solicitada en el nodo
de Internet por NAFIN y deberá basarse en el protocolo ICMP. Midiendo la disponibilidad de cada uno de los
componentes habilitadores del servicio DNS.

El tiempo para dar de alta un registro en el DNS deberá ser como máximo de 1 hora a partir de levantado la
solicitud en la mesa de ayuda.

Se entregará un reporte mensual con base en la herramienta de monitoreo descrita en el punto 4.2, Centro de
Operación de Red (NOC).

6.12 Niveles de Servicio Aplicables a los Elementos de Seguridad

El Licitante, garantizará la seguridad mediante el monitoeo en tiempo real al estado de la seguridad relativo a los
servicios ofrecidos en su proposición, así como sistemas de detección de intrusiones que pudieran ocurrir,
brindando visibilidad, tanto en el flujo de datos y la postura de seguridad de la Red de Telecomunicaciones WAN
en NAFIN.

En la siguiente tabla, se presentan los niveles de servicio esperados para las tareas de administración y monitoreo
de la infraestructura de seguridad:
Servicio Nivel comprometido
Atención a
requerimientos de 30 minutos después de acordado el cambio entre el
configuraciones de proveedor y NAFIN
seguridad
Por prioridad:
Crítico – identificación y contención inmediata
Tiempo de solución de
Medio – 60 minutos
incidentes de seguridad
Estándar – 24 horas Programado

Licenciamiento y actualización del software

Licenciamiento y
proporcionado por el proveedor durante todo el contrato.
entrega de
Entrega de la media máximo 3 días hábiles después de
actualizaciones
liberada la versión

Urgente – Inmediato, una vez autorizado o solicitado por

Nacional Financiera.

Impacto Alto – 24 horas Programado.

Control de cambios
Impacto Medio – 48 horas Programado.

Estándar – 24 horas, una vez autorizado o solicitado por

NAFIN.

Cero accesos de usuarios o equipos no autorizados en la

Control de accesos
ALN WAN e Internet.
Dictamen de
actividades Tiempo máximo de entrega del dictamen: 4 horas.
sospechosas

Crítico: de acuerdo con la disponibilidad del nodo y

aplicaciones y/o servicios.
Notificación y atención
de actividades
Medio: 60 minutos.
sospechosas
Estándar: 24 horas programado.

6.12.1 Servicios de Cálculo de

Proceso de control de cambios iniciando en máximo 2 días
la remediación de
naturales después de ser publicados por el fabricante.
vulnerabilidades
Tiempo máximo de una hora a partir de la detección para
Atención a incidentes contener la incidencia a nivel perimetral mediante los
de Día Zero cambios pertinentes en la configuración de los equipos de
seguridad.
Disponibilidad por Nodo

Disponibilidad Lógica del nodo, se considera cuando el servicio está activo ya sea a través del enlace activo o el
enlace redundante. La Disponibilidad de la Red de telecomunicaciones WAN por Nodo se deberá calcular a través
de la herramienta de monitoreo del NOC descrita en el punto “5.10.2. Centro de Operaciones de Red NOC”.

6.12.2 Medición de la Disponibilidad del Servicio

La medición de la disponibilidad de los servicios se realizará en forma diaria recolectando la información generada
a través de la herramienta de monitoreo (definida en el Servicio de NOC), acumulando esta información hasta el
cierre del mes, en donde se realizarán los cálculos finales del comportamiento de la disponibilidad de los servicios
durante ese periodo.

La información recolectada en forma diaria no será compactada ni se realizarán promedios de los promedios al final
del mes, la base de cálculo será la información que se obtenga en forma diaria.

El Licitante deberá proporcionar información al menos cada minuto, la cual se almacenará en una base de datos de
la misma herramienta y estará disponible en cualquier momento (dentro del plazo de 6 meses) para NAFIN por
medio de las herramientas del NOC mediante su vista WEB. Posteriormente a los 6 meses se podrán compactar los
datos para la revisión requerida por NAFIN.

Para determinar la disponibilidad mensual del nodo, se realizará una sumatoria de la disponibilidad mensual de
cada uno de los elementos del nodo que se trate y deberá ser visualizada por las herramientas del NOC.

En caso de que ocurra algún incidente y no se vea comprometida la disponibilidad en las herramientas de
monitoreo, pero si algún servicio o aplicación específica catalogada como critica para NAFIN, se calculará la
penalización con base al tiempo de afectación a dicho servicio o aplicación.

Los tiempos de indisponibilidad podrán ser justificados por el Licitante presentando las evidencias de la previa
autorización por parte de NAFIN de alguna ventana de mantenimiento, soporte o actividad mandatoria. Dicha
justificación deberá ser presentada a NAFIN para su verificación y visto bueno.

En casos en los que sea necesario acceder al sitio, el personal del Licitante deberá notificar con anticipación de
acuerdo con el procedimiento Operativo interno que se tenga definido con NAFIN para tal fin. En caso de que no se
permita el acceso al personal, se detendrá el conteo del tiempo de no disponibilidad justo cuando personal del
Licitante informe esta eventualidad a NAFIN, y ésta última corrobore la situación. En este caso, el tiempo volverá a
contarse a partir de la hora en que esté disponible el acceso al sitio especificado, por NAFIN. Los procedimientos
de acceso y los acuerdos operativos para el reinicio del conteo de la no disponibilidad serán definidos entre el
Licitante y NAFIN previo a la puesta en operación de los servicios. Esto será aplicable en general, para todos los
niveles de servicio siempre y cuando el diagnóstico del problema, acordado con NAFIN, identifique que la solución
de este depende del acceso al sitio en cuestión.

NAFIN requiere de la gestión de niveles de servicio, de acuerdo con las disponibilidades mencionadas
anteriormente, con la capacidad de monitorear, medir y dar seguimiento sobre la calidad de los servicios requeridos
por NAFIN. La interfaz de generación de niveles de servicio deberá permitir exportar de forma simple a los
formatos: PDF y CSV.

6.13 Monitoreo en Sitio

Con la finalidad de que NAFIN valide la administración, gestión, niveles de servicio y mantenga un monitoreo
constante de todos los servicios solicitados en el presente anexo Técnico; el Licitante deberá contemplar en su
propuesta lo siguiente:
 El Licitante deberá configurar al menos una comunidad SNMP con derechos de lectura, independiente a la
comunidad que el Licitante utilice para el monitoreo de los diferentes componentes habilitadores que
formen parte del servicio.
 En todo momento, desde el inicio del servicio, NAFIN podrá recibir de todo componente habilitador
instalado, comunidades de SNMP con acceso Sólo-Lectura.
 El Licitante deberá realizar los trabajos necesarios, a fin de soportar y permitir el monitoreo de los
componentes habilitadores, usando SNMP, sin costo adicional para NAFIN.

6.14 Roles y responsabilidades

Los servicios objeto de este contrato y sus actividades, son la referencia para indicar la participación que los
diferentes actores tienen: Supervisar, Autorizar, Responsable, Apoyo) como se presentan en la siguiente tabla:

Administrador del
Núm. Actividad Licitante
contrato
1 Servicios de telecomunicaciones WAN A, S I, E, R
2 Servicio de Internet Corporativo A, S I, E, R
Roles: R: Responsable, A: Autoriza, S: Supervisa, I: Informa, E: Ejecuta

El licitante ganador, en conjunto con el Administrador del contrato, serán responsables de conducir todas las tareas
relacionadas para la optimización del uso y configuración de los servicios, con el fin de garantizar su desempeño y
el correcto funcionamiento de los mismos.
7 Entregables

Con el objeto de medir el desempeño de los servicios proporcionados por el Licitante, será necesario generar
reportes de comportamiento, desempeño y disponibilidad de la Red de Telecomunicaciones WAN con la cual se
proporcionen los servicios solicitados, de acuerdo con los niveles de servicio definidos. Estos reportes serán
entregados de forma electrónica y son una condicionante para el pago de la factura mensual relacionada a la
operación de los servicios.

Los reportes que serán entregados por el Licitante a NAFIN son los siguientes:
 Todos losDescripció
No. reportes se deberán programarContenido
y deberán generarse Tipo de manera sencillaTiempo de permitir Comentari
y deberán la agrupación
n Mínimo
de dispositivos y la concentración de distintas métricas en un solo reporte. entrega os
Este reporte se
La interfaz de generación de reportes deberá permitir exportar de forma simple a los siguientes formatos: entregará
PDF y
CSV.  Detalle del incidente solamente en
atendido. los casos en los
7.1 Entregable Final para laAceptación Formal que en el mes
Actualización a la y Pago de los Servicios
Reporte
Las entregas de por concluidas mediante el formato de verificación de puesta
se darán Dentro
ende los
operación de losreportado
servicios.seEl
mantenimie CMDB de NAFIN. Por evento - primeros 7 días hayan suscitado
contenido
1 de dicho formato, así como las firmas
 Actualización de reconocidas
la para el mismo y otros aspectos, serán definidos entre
nto
el Licitante y NAFIN previo a la puesta en operación de los servicios.Mensual hábiles de cada eventos que
correctivo Memoria Técnica de mes. impliquen un
La aceptación formal del iniciolos delservicios
servicio y para propósito del inicio de la facturación del mismo cambio en el
será en
proporcionados.
momento en que se concluya con la instalación y puesta a punto de la totalidad de los servicios, la cual deberá alguno de los
ocurrir a más tardar a la fecha del plan de trabajo detallado fin de transición de los servicios identificados en el componentes
“Apéndice 2 Matriz de Servicios” como “Entrega inicial mínima”, los cuales incluyen en forma mínima que soportan
no siendo
estos limitativos, los enlaces de última milla, CPE’s, nodos, equipos, interconexión, sistema de administración los servicios y
Detallecon
monitoreo, así mismo deberán cumplir de los
las pruebas que NAFIN y el Licitante definan en la fase de planeación y
incidentes
en forma mínima con las pruebas que a continuación se detallan tanto en la Red de Telecomunicaciones WAN, el
Acceso a Internet, solución deatendidos
seguridad, que servicio de Equipos de Ruteo Avanzado, como en el servicio de
Administración d4e ancho de banda. incluya: documentos deberán estar incluidos como parte del entregable final del
Los
desarrollo del proyecto. o Descripción.
o Diagnóstico.
a) Red de telecomunicaciones WAN.
o Acciones
 Se realizarán realizadas.
llamadas simultaneas en función de la capacidad del de
nodo,
Reporte de Dentro los las cuales no deberán
o Tiempo
presentar degradación, eco dey retardo que impidan llevar– una conversación continua e inteligible y al
incidentes Mensual primeros 7 días
2
en la cualquiera deapertura
colgar y cierre. se deberá
las extensiones, liberar en forma
Periódico automática
hábiles de cada el canal.
o Tiempo de
 Se realizarán pruebas simultáneas de transmisión de voz y datos mes.
operación sin que se tenga degradación en
cualquiera de los servicios.
afectación Para
al ello se utilizará el máximo de canales de voz disponibles en el nodo
a prueba. servicio (TTR en
 Se validará que elcaso nodo dedel Centro Alterno en forma alternativa al nodo central cuente con la
aplicar).
conectividad y comunicación
o Acciones con cada uno de sus nodos remotos y regionales.
 Se analizará el tráfico adicionales para cada enlace para corroborar que la información viaje en forma
que circula por
cifrada. prevenir nuevos
 Se validará que la infraestructura
incidentes. que integra el servicio este reconocida e incorporada al sistema de
administración y monitoreo propuesto por el Licitante, en las instalaciones de NAFIN.
 Disponibilidad de
b) Acceso a Internet. los componentes de
infraestructura
 Se validará el esquema que
de direccionamiento homologado asignado para los nodos centrales y centro
soportan
alterno para NAFIN. los
 Se validará que desdeservicioslos en cadacentral y centro alterno se cuente con la conectividad y acceso a
nodos
nodo.
Internet de acuerdo con las capacidades solicitadas en cada nodo.
Utilizacióndedenombres de dominios internos y externos, desde cada uno de los
 Se validará la resolución
Reporte de Servidores
equipos ancho
DNS deproporcionados.
banda de Dentro de los
operación
 Se comprobará cada
que enlace.
los dominios y Mensual – digitales
certificados primeros
SSL7 días
listados en Apéndice I:
3
de los
Particularidades de NAFIN
 Signos hayan
vitales Periódicocon el rolhábiles
de lasido transferidos dealcada
de pago, contacto designado por el
servicios
Licitante. infraestructura mes.
(CPU, Memoria,
Capacidad de
Disco, etc.)
 Pérdida de
paquetes.
 Latencia.
7.4 Transición del contrato / Finalización

7.4.1 Transferencia de Servicios al Final del Proyecto

El nuevo Licitante en su caso, deberá coordinar la transferencia de servicios con el Licitante actual (el Licitante
motivo del proceso de este documento), así como con futuros Licitantes de servicios en el caso de un cambio,
elaborando conjuntamente la logística de transición, misma que será avalada y autorizada por NAFIN de acuerdo
con los siguientes puntos:

a) El nuevo Licitante y el Licitante ganador para la prestación de los servicios objeto de este Anexo
Técnico, podrán establecer acuerdos de operación y comerciales de cualquier tipo, necesarios para que
apoyen la transferencia de los servicios, privilegiando la continuidad operativa.
b) En el plan de transferencia de servicios del proveedor actual al nuevo Licitante, este último deberá
detallar la entrega de la infraestructura, instalación, configuración, puesta a punto y operación de los
servicios. Este plan, incluirá un apartado de “RollBack” o regreso al punto de partida, en caso de no ser
posible concluir al 100% la entrega de los servicios de acuerdo con el plan de trabajo presentado en su
proposición a NAFIN.
c) Conforme se realice la migración de los servicios a la infraestructura del nuevo Licitante, el nodo de la
Red de Telecomunicaciones WAN migrado deberá tener conexión a todos los nodos de NAFIN
(Migrados y No Migrados), así como acceso al Centro de Cómputo Institucional de NAFIN para cursar
tráfico de voz.
d) En caso de que se requiera, el nuevo Licitante, se coordinará con el proveedor actual del servicio de la
Red de Telecomunicaciones WAN, a fin de cumplir con el plan de trabajo presentado en su proposición a
NAFIN.
e) El Licitante actual de servicios, deberá con base en un plan previamente acordado con NAFIN,
desmontar los equipos de su propiedad y proporcionar las facilidades para el montaje de los equipos
suministrados por el nuevo Licitante.

7.4.2 Condiciones Técnicas para la Transmisión a un Nuevo Licitante Posterior al Término del Servicio.

La obligación del proveedor que preste el servicio durante el periodo de transición a un nuevo contrato de servicios
se deberá realizar bajo las siguientes condiciones:

a) El Licitante, deberá garantizar los niveles de servicio durante el procedimiento de contratación de un

nuevo “proyecto”.
 El Licitante, al término de este proyecto, garantizará los niveles de servicio durante el periodo de
transferencia de servicios al nuevo Licitante.

b) En su caso, el Licitante, integrará la infraestructura necesaria para conectarse al nuevo Licitante.

 El Licitante, durante el periodo de transición que podrá durar máximo 4 meses, mantendrá la
infraestructura que proporcione el servicio de la red privada virtual a NAFIN con objeto de que el
nuevo Licitante integre su infraestructura total de solución y no afecte sus procesos de operación.
 Adicionalmente, es importante mencionar que el Licitante, dará todas las facilidades que NAFIN
considere pertinentes; para garantizar la transparencia en el proceso de transición al nuevo Licitante
de servicios.
 Durante la etapa de migración de los servicios, el Licitante, retirará todos los equipos que hubieran
 sido parte de la solución y que sean única y exclusivamente de su propiedad, dichos retiros formarán
parte del acta de liberación del servicio y será requisito para la liberación de la Garantía de
Cumplimiento del Contrato.

c) En su caso, el Licitante que se encuentre prestando los servicios objeto de este Anexo Técnico, se
coordinará con el nuevo Licitante para realizar la migración progresiva del proyecto. Dicha coordinación
deberá llevar el visto bueno de NAFIN para su ejecución.
 El Licitante que se encuentre prestando los servicios objeto de este Anexo Técnico, durante el
periodo de transición hacia el Nuevo Licitante de Red de Telecomunicaciones WAN, integrará un
grupo de trabajo para la coordinación en la etapa de migración progresiva del proyecto,
estableciendo un plan de trabajo donde se reflejen los límites y participación del Licitante, NAFIN y
el nuevo Licitante sobre los servicios con objeto de no afectar la operación de la Red Privada
Virtual de NAFIN.
 Es importante señalar que el Licitante que se encuentre prestando los servicios objeto de este Anexo
Técnico, en conjunto con NAFIN, apoyará a la integración continua y transparente de los servicios
bajo las prioridades y normas que NAFIN determine.
8.- ASPECTOS ADMINISTRATIVOS

8.8.1.-Vigencia de Prestación del Servicio

La vigencia de los servicios inicia a partir de la fecha de firma del contrato y concluye el 30 de septiembre de 2024,
en el entendido que la fecha de inicio para la prestación de los servicios será el 1° de enero del 2023 y hasta el 30
de septiembre del 2024 (21 meses).

8.9 Auditoria y monitoreo del servicio

De conformidad con lo dispuesto en el artículo 57 de la LAASSP y 107 de su Reglamento, la Secretaría de la

Función Pública (SFP) y el Órgano Interno de Control en NAFIN (OIC), con motivo de las auditorías, visitas o
inspecciones que practiquen, podrán solicitar al LICITANTE información y documentación relacionada con el
presente contrato, para tal efecto el LICITANTE se obliga con NAFIN a proporcionar la información.

Las solicitudes de información y documentación que se le requieran al Licitante se formularán mediante oficio,
señalando el plazo que se otorga para su entrega, el cual se determinará considerando la naturaleza y la cantidad de
documentos y fojas de dicha información.

8.10 Lineamientos

El Licitante se deberá apegar a las políticas de Seguridad Informática de NAFIN, las cuales se entregarán dentro de
los 10 días hábiles posteriores a la firma del contrato.

8.11 Normatividad interna NAFIN

El Licitante se sujetará a las leyes, reglamentos, estatutos, decretos, lineamientos, manuales, políticas, acuerdos,
normatividad y demás disposiciones aplicables vigentes al servicio que rige el contrato a partir de la fecha de su
firma, a las emisiones, adiciones, modificaciones y derogaciones que ocurran durante su vigencia.

La Dirección de Informática de NAFIN, de conformidad con sus atribuciones, responsabilidades y/o funciones
indicadas en su Estatuto o Ley Orgánica y el Manual de Organización, entregarán a través del Administrador del
Contrato, el marco legal jurídico-administrativo al Licitante para su aplicación y observancia obligatoria a las
disposiciones establecidas, con la finalidad de que instrumente los controles, esquemas de configuración o
monitoreo de seguridad y medidas de protección en materia de servicios electrónicos, sistemas, aplicaciones,
comunicación e intercambio de datos, infraestructura, mecanismos de almacenamiento y de acceso a la información
de NAFIN, para la prevención de pérdida y fuga de información en equipos de su propiedad, y de los proveedores
que le prestan sus servicios.

8.12 Normas, mejores prácticas y estándares internacionales

El Licitante deberá proporcionar la documentación que acredite que el licitante da cumplimiento con las siguientes
Normas Oficiales Mexicanas (NOM), Normas Mexicanas (NMX) y/o en su caso, el equivalente internacional, para
lo cual adicionalmente se deberá presentar la evidencia que muestre dicha equivalencia:

NORMA Oficial Mexicana NOM-184-SCFI-2018, Elementos normativos y obligaciones específicas que deben
observar los participantes para la comercialización y/o prestación de los servicios de telecomunicaciones cuando
utilicen una red pública de telecomunicaciones
Norma Oficial Mexicana NOM-019-SCFI-1998, Esta Norma establece los requisitos de seguridad que deben
cumplir todos los equipos de procesamiento de datos periféricos o equipos relacionados, que se comercialicen en el
territorio de los Estados Unidos Mexicanos.

8.13 Borrado seguro

Con la finalidad de salvaguardar los derechos de propiedad institucional o intelectual, portabilidad y recuperación
de datos generados y procesados de acuerdo a su ciclo de vida, NAFIN solicitará al LICITANTE ejecutar el
borrado seguro de la información contenida en los dispositivos de almacenamiento utilizados en equipos de su
propiedad o arrendados, antes de ser retirados de sus instalaciones.

El LICITANTE deberá entregar un reporte de borrado seguro con las características y el detalle pormenorizado del
proceso de borrado, debidamente signado por quien lo ejecuta, cuando resulte aplicable y dependiendo del servicio
asignado. Las modalidades de borrado seguro serán definidas al LICITANTE por NAFIN, de conformidad con las
causas que lo originen, o por petición debidamente formalizada.

La herramienta de borrado seguro deberá cumplir con al menos uno de los estándares que se describen a
continuación.
a) DOD 5220.22‐M.
b) NAVSO P‐5239‐26.
c) NCSC‐TG‐025.
d) Bruce Schneier´s algorithm.

La herramienta de borrado seguro de datos deberá:

a) Contar con soporte técnico local en el país, en español y preferentemente en la Ciudad de México.
b) Borrar el 100% (todas las particiones y sectores) de la información contenida en el disco de todos los
equipos del Licitante anterior que serán retirados una vez concluido el contrato.
c) Certificado de borrado de datos, reporte con características del proceso de borrado.

La herramienta utilizada por el Licitante para el borrado de datos deberá generar por cada uno de los equipos
borrados, un reporte que certifique el proceso de borrado, conteniendo al menos la siguiente información y
características:
a) Reporte protegido digitalmente
b) Firma Digital
c) Fecha del reporte
d) Número del reporte
e) Información de disco
f) Información del equipo
g) Estatus de terminación del proceso de borrado
h) Duración del borrado
i) Campos de impresión para firmas de quien ejecuta el borrado y quien recibe el reporte

8.14 Políticas y Procedimientos del Servicio

El Licitante durante la vigencia de la prestación del servicio y con posterioridad a la terminación del mismo, asume
todas las responsabilidades por las violaciones que se causen en materia de patentes, marcas y/o derechos de autor,
originadas por la utilización de las técnicas, procedimientos, herramientas, dispositivos, redacciones, textos,
imágenes, etc., que utilice en el cumplimiento de sus obligaciones derivadas del presente contrato, liberando a
NAFIN de cualquier responsabilidad al respecto.

EL Licitante y su personal se obligan a guardar absoluta confidencialidad durante la vigencia del presente contrato
y con posterioridad a su terminación, con respecto a toda la documentación e información inherente a los Servicios,
a las actividades u operaciones de NAFIN, de la información que las partes contratantes identifiquen como
confidencial, incluyendo toda aquella información relativa a las operaciones activas, pasivas y de servicios respecto
de las cuales NAFIN esté obligada a guardar el secreto, de conformidad con el artículo 142 de la Ley de
Instituciones de Crédito.

Asimismo, El Licitante se obliga a no editar, publicar comercializar, modificar, reproducir total o parcialmente la
información documentación que NAFIN le proporcione para la realización de los Servicios, por lo cual responderá
de los daños y perjuicios que éste y en su caso su personal, le causen a NAFIN por el uso indebido de la
información de que dispongan.

Cualquier gasto derivado de viáticos y/o transportación corren a cuenta del Licitante y deben estar incluidos dentro
de su propuesta. NAFIN, no realizará ningún tipo de pago por estos conceptos.

Las obligaciones que contraiga el Licitante derivado del contrato que se formalice, tendrán el carácter de
indivisibles.

La forma en que se adjudicará el contrato para la prestación del servicio será por partida única, a un solo Licitante.
8.15 Garantía de Soporte al Servicio

El Licitante deberá proporcionar para el servicio de Telecomunicaciones WAN y Servicio de Internet Corporativo,
conforme al numeral 5.8.1 que refiere el Entregable Final para la aceptación formal y pago de los Servicios.

8.16 Lugar de prestación de los servicios

El Licitante deberá prever en el diseño de su solución, todos los elementos del nodo que requieran redundancia y/o
esquemas de alta disponibilidad, para poder cumplir con los niveles de servicio especificados en el “Apéndice 2
Matriz de Servicios”, de acuerdo al tipo de nodo, ubicación geográfica, condiciones físicas, y demás
consideraciones que estime pertinentes.

9.- INFORMACION DE LA COTIZACION O PROPUESTA TECNICA

Es el conjunto de elementos que el proveedor presentará para evaluación técnica de la institución.

El LICITANTE entregará para su evaluación, la Propuesta Técnica con los requisitos establecidos por NAFIN, en
este Anexo Técnico, sus Apéndices y Secciones, observando y aplicando el mismo orden secuencial; cada hoja será
foliada con un número consecutivo y rubricada por el representante legal del LICITANTE.

Los elementos incluidos en la Propuesta Técnica, serán considerados para su evaluación, a efecto de dictaminar su
cumplimiento conforme a lo descrito en las Bases de la convocatoria (LPN-IR-AD); la Propuesta Técnica deberá
presentarse en formato impreso y electrónico. En caso de detectarse diferencias entre la copia física y la electrónica,
se considerará genuino el documento físico, de cumplir los requisitos solicitados.
 10.- GLOSARIO DE TERMINOS

SIGLAS DENOMINACIÓN
AAA Protocolos de autenticación, autorización y contabilidad (Authentication, Authorization and Accounting) que gestionan las solicitudes de
acceso de los usuarios a los recursos informáticos de la organización
CPE Equipo Local del Cliente. Término de telecomunicaciones en interiores o exteriores para originar, encaminar o terminar una
comunicación. El equipo puede proveer una combinación de servicios incluyendo datos, voz, video y un host de aplicaciones multimedia.
DHCP Protocolo de configuración dinámica cliente/servidor que proporciona automáticamente un host de protocolo de Internet (IP) con su
dirección IP y otra información de configuración relacionada, como la máscara de subred y la puerta de enlace predeterminada.
DHCP Función de seguridad de segundo nivel del modelo OSI. Está integrada en el conmutador o switch, el cual conecta a los clientes con los
SNOOPI servidores DHCP. Se trata de un protocolo que primero verifica toda la información DHCP que pasa a través del conmutador.
NG
DNS Domain Name System, es decir, "Sistema de nombres de dominio".
DPI Deep Packet Inspection, Inspección a fondo de los paquetes que realiza cualquier equipo de red sin ser el equipo final con
el que se tienen funciones avanzadas de seguridad
IP Dirección única que identifica a un dispositivo en Internet o una red local; es un protocolo de Internet o conjunto de reglas
que rigen el formato de datos enviados por Internet o red local.
LATEN Tiempo total que tarda un paquete de datos en viajar de un nodo origen a otro nodo destino.
CIA
LAN Es una red de área local o grupo de computadoras y dispositivos periféricos que comparten una línea de comunicaciones
común o enlace inalámbrico a un servidor dentro de un área específica.
MPLS Multiprotocol Label Switching (conmutación de etiquetas multiprotocolo), técnica que unifica la transferencia de
diferentes tipos de datos a través de una misma red, para superar las limitaciones de velocidad y mejorar el flujo de trabajo
de Internet.
NAT Network Adress Translation o Traducción de direcciones de red en español. Se trata de un sistema que se utiliza en las
redes bajo el protocolo IP y permite el intercambio de paquetes entre dos redes que tienen asignadas mutuamente
direcciones IP incompatibles
NFS Network File System es un protocolo que permite acceso remoto a un sistema de archivos a través de la red.
NOC Centros de Operación llamados NOC (Network Operation Center) utilizados para monitorear redes y SOC (Security
Operation Center) utilizados para Monitoreo de Seguridad Física.
PBR Política basada en ruteo, que permite inspeccionar el tráfico que entra por una interfaz del router y tomar acciones según
se haya indicado.
P2P Una red peer-to-peer, red de pares, red entre iguales o red entre pares, es una red de ordenadores en la que todos o algunos
aspectos funcionan sin clientes ni servidores fijos, sino una serie de nodos que se comportan como iguales entre sí.
QoS QoS.- Calidad del servicio mide la consistencia en el cumplimiento de ciertas normas de servicios IP de paquetes y datos
RPC Remote Procedure Call, técnica que utiliza el modelo cliente-servidor para ejecutar tareas en un proceso diferente como
podría ser en una computadora remota.
RPV Es una Red privada virtual.
SNMP Protocolo simple de administración de red o conjunto estándar de reglas de comunicación; herramienta clave de monitoreo
que permite a un administrador de red entender el estado de la infraestructura de red.
SSH Protocolo que garantiza que tanto el cliente como el servidor remoto intercambien informaciones de manera segura y
dinámica.
SSL Secure Sockets Layer (capa de sockets seguros). Protocolo para navegadores y servidores web que permite la
autenticación, el cifrado y el descifrado de datos que se envían por la Internet.
TAPs Terminal Access Point, o también en inglés, test access ports) es un dispositivo de red que permite separar la entrada de
datos de la salida de datos.
TCP Transmission Control Protocol, es un protocolo de red importante que permite que dos anfitriones (hosts) se conecten e
intercambien flujos de datos.
UDP User Datagram Protocol, es un protocolo mínimo de nivel de transporte orientado a mensajes. Proporciona una sencilla
interfaz entre la capa de red y la capa de aplicación.
UTP Tipo de cableado utilizado principalmente para comunicaciones.
VPN Significa Redes privadas virtuales, permiten conectarse a internet a través de otro servidor en vez del router, obteniendo
una IP diferente, pudiendo estar el servidor en otra ubicación.
VRRP Virtual Router Redundancy Protocol, es un protocolo de comunicaciones no propietario definido y diseñado para aumentar
 la disponibilidad de la puerta de enlace por defecto, dando servicio a máquinas en la misma subred.
WAN Se utilizan para conectar redes LAN y otros tipos de redes; permite a los usuarios comunicarse con los usuarios y equipos
de otros lugares.
WCCP Protocolo Web Cache Communications. Se usa para establecer y mantener el redireccionamiento transparente de tipos
seleccionados de tráfico que fluyen a través de un grupo de routers con el objetivo de optimizar el uso de recursos y
reducir los tiempos de respuesta.
11.- APENDICES Y SECCIONES

Apéndice 1 Arquitectura de Referencia

Apéndice 2 Matriz de Servicios

Sección I Modelo Económico.
Sección II Penas Convencionales y Deducciones.

La penalización que se aplicará por atraso y por causas imputables al Licitante en las fechas de entrega de
los servicios que se señalan en cada uno de los supuestos indicados a continuación, serán las siguientes,
en el entendido que en aquellos supuestos en los que no haya un señalamiento respecto a si se trata de día
natural o hábil, se entenderá como día natural.

PLAZOS
CONCEPTO REQUERIMIENTO PENALIZACIÓN
ESTABLECIDOS
2 al millar por cada día de
30 días naturales a partir Adicionar e atraso del monto total de la
Adicionar e incrementar
de la recepción de la incrementar facturación mensual de los
equipos en los nodos
solicitud formal equipos en los nodos servicios correspondientes
al nodo(s) afectado(s).
Adicionar e Adicionar e 2 al millar por cada día de
10 días hábiles a partir
incrementar incrementar atraso calculado sobre el monto total de la
de la recepción de la
soluciones en los soluciones en los facturación mensual de los servicios
solicitud formal
nodos nodos correspondientes al nodo(s) afectado(s).
Incrementos o decrementos
de ancho de banda en 2 al millar por cada día de
Incrementar o nodos atraso calculado sobre el monto total
3 días naturales a
disminuir anchos de sin cambio en medio de de la facturación mensual de los
partir de la solicitud
banda por transmisión de acuerdo con servicios
formal
configuración el correspondientes al nodo(s)
“Apéndice 2 Matriz de afectado(s)
Servicios”
Entrega de Plan de 10 días hábiles Plan de Trabajo de 2 al millar por cada 48
Trabajo de posteriores al inicio de la Implementación de horas de atraso calculada
 Implementación de sobre el monto total del
vigencia del contrato Servicios
Servicios contrato
15 días naturales
Entrega final del Entregable final del 2 al millar por cada día hábil
después de la
desarrollo del desarrollo de atraso calculada sobre
implementación del
proyecto del proyecto el monto total del contrato
último nodo
2 al millar por cada día de
atraso calculado sobre el monto total
Puesta en servicio de
Entrega de nuevos 45 días naturales a partir de la facturación mensual de los
nuevos
servicios de la solicitud forma servicios
nodos
correspondientes al nodo(s)
afectado(s)
2 al millar por cada día de
De acuerdo a las fechas
atraso calculado sobre el monto total
del Plan de Trabajo de
Entrega inicial de Puesta en servicio inicial de de la facturación mensual de los
Implementación de
servicios nodos servicios
Servicios propuesto para
correspondientes al nodo(s)
NAFIN
afectado(s)
2 al millar por cada día de
atraso calculado sobre el monto total
Entrega de
45 días naturales a partir Cambio de domicilio de un de la facturación mensual de los
servicios: cambios
de la solicitud formal nodo ya instalado servicios
de domicilio
correspondientes al nodo(s)
afectado(s)
Durante los 2 al millar por cada día de
Entrega de primeros 7 días hábiles de Entrega del reporte dentro atraso sobre el importe de
reportes cada mes y de acuerdo al del nivel de servicio la facturación total mensual
tipo de reporte que se trate. establecido. de los servicios.
2 al millar por cada día de
atraso en el alta de nuevos dominios y
Entrega de nuevos 5 días hábiles a partir de la Solicitud de nuevos
certificados digitales SSL de 256 bits,
dominios y/o certificados recepción de la solicitud dominios y certificados
sobre el importe de
digitales SSL de 256 Bits formal digitales SSL de 256 Bits
la facturación total mensual
de los servicios.

Deducciones

Deductivas

En caso de que se presenten fallas en la prestación de los servicios derivadas del incumplimiento parcial o
prestación deficiente de los servicios, se aplicarán deducciones al pago de la prestación de los servicios en
los términos que a continuación se indican, en el entendido que en aquellos supuestos en los que no haya
un señalamiento respecto a si se trata de día natural o hábil, se entenderá como día natural.

Dicha deductiva se aplicará conforme a los siguientes supuestos:

CONCEPTO NIVEL DE SERVICIO DEDUCTIVAS MÁXIMO PERMITIDO
Cuando no se cumplan
con los objetivos de las
disponibilidades del 6 al millar, por cada minuto
servicio por nodo, para de indisponibilidad sobre el
los diferentes niveles de nivel de servicio establecido
Disponibilida
disponibilidad, conforme y con base al importe de la
d nodos de Con un máximo de 3
al esquema de medición facturación del mes de
criticidad eventos al mes por nodo.
propuesto indicado en el incidencia mensual por nodo
Alta
punto “6.5 Disponibilidad de la Red de
del servicio” del presente Telecomunicaciones WAN;
Anexo Técnico Incluye para él o los nodos afectados.
todos los elementos que
conforman cada nodo.
Disponibilida Cuando no se cumplan 6 al millar, por cada minuto Con un máximo de 4
d nodos de con los objetivos de las de indisponibilidad sobre el eventos al mes por nodo.
criticidad disponibilidades del nivel de servicio establecido
Media servicio por nodo, para y con base al importe de la
los diferentes niveles de facturación del mes de
CONCEPTO NIVEL DE SERVICIO DEDUCTIVAS MÁXIMO PERMITIDO
disponibilidad, conforme
al esquema de medición
propuesto indicado en el incidencia mensual por nodo
punto “6.5 Disponibilidad de la Red de
del servicio” del presente Telecomunicaciones WAN;
Anexo Técnico. Incluye para él o los nodos afectados.
todos los elementos que
conforman cada nodo.
Cuando no se cumplan
con los objetivos de las
disponibilidades del 6 al millar, por cada minuto
servicio por nodo, para de indisponibilidad sobre el
los diferentes niveles de nivel de servicio establecido
Disponibilida
disponibilidad, conforme y con base al importe de la
d nodos de Con un máximo de 4
al esquema de medición facturación del mes de
criticidad eventos al mes por nodo.
propuesto indicado en el incidencia mensual por nodo
estándar.
punto “6.5 Disponibilidad de la Red de
del servicio” del presente Telecomunicaciones WAN;
Anexo Técnico. Incluye para él o los nodos afectados.
todos los elementos que
conforman cada nodo.
2 al millar por cada
milisegundo que el promedio
exceda el límite establecido
por cada calidad de servicio,
sobre el importe de la
facturación mensual por nodo
Máximo 100 ms, para de la Red de
cada calidad de servicio Telecomunicaciones WAN,
establecida en el punto para él o los nodos afectados Con un máximo de 3 meses
Latencia
“6.6. Latencia y Pérdida por incumplimiento del nivel consecutivos.
de paquetes” del presente de servicio acordado.
Anexo Técnico. En caso de reincidencia
durante dos meses
consecutivos, la deducción
será de 5 al millar por cada
milisegundo hasta el mes en
que no presente
incumplimiento.
Tiempo de reparación
para falla o incidente o
reconfiguración lógica de
6 al millar por cada hora
un nodo de la Red de
sobre el nivel de servicio
Telecomunicaciones
Tiempo de establecido calculado sobre
WAN e internet, mayor al Con máximo de 10 eventos
reparación de el importe mensual por nodo
solicitado conforme al al mes.
falla de la Red de
nivel de criticidad del
Telecomunicaciones WAN
nodo especificado en el
para él o los nodos afectados.
punto “6.5.1 Tiempo de
reparación de falla” del
presente Anexo Técnico.
Internet
Nodo Crítico Cuando no se cumplan 6 al millar por cada minuto
con los niveles mínimos de indisponibilidad sobre el
Aplica para de disponibilidad del nivel de servicio establecido
Con máximo 3 eventos al
el servicio de servicio indicado en el calculado sobre el importe de
mes.
Internet para punto “6.5 Disponibilidad la facturación mensual del
aplicativos de del servicio” del presente servicio de Internet de
uso crítico y Anexo Técnico. NAFIN correspondiente.
estándar
Internet Cuando no se cumplan 4 al millar por cada minuto Con máximo 3 eventos al
Nodo Medio con los niveles mínimos de indisponibilidad sobre el mes.
de disponibilidad del nivel de servicio establecido
Aplica para servicio indicado en el calculado sobre el importe de
el servicio de punto “6.5 Disponibilidad la facturación mensual del
Internet para del servicio” del presente servicio de Internet de
aplicativos de Anexo Técnico. NAFIN correspondiente.
uso crítico y
CONCEPTO NIVEL DE SERVICIO DEDUCTIVAS MÁXIMO PERMITIDO
estándar
Internet
Nodo
Cuando no se cumplan 2 al millar por cada minuto
Estándar
con los niveles mínimos de indisponibilidad sobre el
de disponibilidad del nivel de servicio establecido
Aplica para Con máximo 3 eventos al
servicio indicado en el calculado sobre el importe de
el servicio de mes.
punto “6.5 Disponibilidad la facturación mensual del
Internet para
del servicio” del presente servicio de Internet de
aplicativos de
Anexo Técnico. NAFIN correspondiente.
uso crítico y
estándar
Cuando no se cumplan
6 al millar por cada minuto
con los niveles mínimos
de indisponibilidad sobre el
de disponibilidad del
nivel de servicio establecido
DNS Externo servicio indicados en el Con máximo 3 eventos al
calculado sobre el importe de
e Interno punto “6.11. mes.
la facturación mensual del
Disponibilidad de DNS”
servicio de Internet de La
del presente Anexo
Entidad correspondiente.
Técnico.
2 al millar por décima
porcentual sobre el parámetro
En caso de reincidencia
Cuando no se cumplan requerido de pérdida de
durante dos meses
con los niveles mínimos paquetes sin interrupción
Degradación consecutivos, la deducción
requeridos en el punto total del servicio del enlace
por pérdida será del 5 al millar por
“6.6. Latencia y Pérdida sobre el importe de la factura
de paquetes décima porcentual hasta el
de paquetes” del presente mensual por nodo de la Red
cuarto mes en que no
Anexo Técnico. de Telecomunicaciones
presente incumplimiento.
WAN para el o los nodos
afectados.
Cuando no se cumplan
con los niveles mínimos
Monitoreo
requeridos en el inciso a) 2 al millar por hora de
del NOC y/o
del punto “6.7. indisponibilidad sobre el
Centro de
Disponibilidad del Centro nivel de servicio establecido
Operaciones Con un máximo de 3
de Operaciones de Red calculado sobre el importe de
para la eventos mensuales.
(NOC) y del Centro de la factura total mensual de la
solución de
Operaciones para la Red de Telecomunicaciones
Firewall
solución de Firewall WAN
dedicado.
dedicado” del presente
Anexo Técnico.
6 al millar por hora de
Optimizador Cuando no se cumplan
indisponibilidad sobre el
y acelerador con los niveles mínimos
nivel de servicio establecido
de trafico requeridos en el punto Con un máximo de 3
calculado sobre el importe de
Control de “6.4.3 Disponibilidad eventos mensuales.
la factura total mensual de la
ancho de Física del Nodo” del
Red de Telecomunicaciones
banda presente Anexo Técnico.
WAN
Cuando no se cumpla con
Atención a el tiempo máximo 6 al millar por cada hora
requerimient establecido en el punto natural de atraso calculado
os de “6.12 Niveles de Servicio sobre el monto total de la Con un máximo de 5
configuracion Aplicables a los facturación mensual de los eventos mensuales por nodo.
es de Elementos de Seguridad” servicios correspondientes al
seguridad del presente Anexo nodo(s) afectado(s).
Técnico.
6 al millar por cada minuto
Cuando no se cumpla con
de afectación a los servicios
los tiempos establecidos
y/o aplicaciones y/o por
Tiempo de por prioridad estipulados
atraso para la solución de
solución a en el punto “6.12 Niveles Con un máximo de 1 evento
este, calculado sobre el
incidentes de de Servicio Aplicables a mensual por nodo.
monto total de la facturación
seguridad los Elementos de
mensual de los servicios
Seguridad” del presente
correspondientes al nodo(s)
Anexo Técnico.
afectado(s).
Control de Cuando no se cumpla con 2 al millar por cada hora Aplica para:
cambios de lo establecido en el punto natural de atraso calculado Cualquier dispositivo de
las “6.12 Niveles de Servicio sobre el monto total de la seguridad
 CONCEPTO NIVEL DE SERVICIO DEDUCTIVAS MÁXIMO PERMITIDO
Cuando se solicite un
Aplicables a los
control de cambios en algún
soluciones de Elementos de Seguridad” facturación mensual de la
componente de las
seguridad del presente Anexo solución involucrada.
soluciones antes
Técnico.
mencionadas.
Cuando no se cumpla con
lo establecido en el punto 2 al millar por cada acceso Aplica para:
“6.12 Niveles de Servicio no autorizado calculado Cualquier dispositivo de
Control de
Aplicables a los sobre el monto total de la seguridad Cuando se detecte
acceso
Elementos de Seguridad” facturación mensual de la algún acceso no autorizado
del presente Anexo solución involucrada. por NAFIN.
Técnico.
Cuando no se cumpla con
Servicios de lo establecido en el punto 6 al millar por cada día Aplica para:
remediación “6.12 Niveles de Servicio natural de atraso calculado Cualquier dispositivo de
de Aplicables a los sobre el monto total de la seguridad
vulnerabilida Elementos de Seguridad” facturación mensual de la Cuando el fabricante
des del presente Anexo solución involucrada. publique la remediación.
Técnico.
Cuando no se cumpla con
lo establecido en el punto 6 al millar por cada hora
Aplica para:
Dictamen de “6.12 Niveles de Servicio hábil de atraso calculado
Cualquier dispositivo de
actividades Aplicables a los sobre el monto total de la
seguridad cuando se detecte
sospechosas Elementos de Seguridad” facturación mensual de la
alguna actividad sospechosa.
del presente Anexo solución involucrada.
Técnico.
Cuando no se cumpla con
6 al millar por cada día de
lo establecido el punto
atraso del calculado sobre el Aplica para:
Manejo de “6.12 Niveles de Servicio
monto total de la facturación Cualquier dispositivo de
incidentes de Aplicables a los
mensual de los servicios seguridad cuando se detecte
día cero. Elementos de Seguridad”
correspondientes al nodo(s) algún incidente de día cero.
del presente Anexo
afectado(s).
Técnico.
2 al millar por cada día de
Cuando no se notifique
Personal indisponibilidad sobre el Aplica para: NOC, Centro
del cambio de los
Certificado monto total de la facturación de Operaciones para la
Recursos Humanos
para soportar mensual de los servicios solución de Firewall
solicitados (Gestión del
los servicios. correspondientes al nodo(s) dedicado y personal en sitio.
Personal Técnico).
afectado(s).

El pago de la penalización o deductiva la deberá cubrir el Licitante al 5° (quinto) día natural siguiente a la
fecha en que NAFIN le notifique por escrito de la(s) penalización(es) y el (los) importe(s)
correspondiente(s) a la(s) misma(s), debiendo efectuar dicho pago mediante cheque certificado (salvo
buen cobro), en favor de NAFIN. El pago mensual que corresponda al periodo en el que se generó el
atraso, quedará supeditado proporcionalmente al pago que deba hacer el Licitante de la penalización por
atraso en que incurra.

La(s) penalización (iones) y deductiva(s) por atraso no podrá(n) exceder individual o acumulativamente
del monto de garantía de cumplimiento del servicio y en el evento de que el Licitante alcance dicho
monto, NAFIN podrá rescindir el contrato y se aplicará la penalización por incumplimiento del contrato
de la convocatoria, en el entendido de que NAFIN podrá optar por continuar con el contrato o rescindirlo
aún sin llegar al porcentaje máximo de la garantía

Sección III Procedimiento del pago

Área o sujeto obligado Sec Actividad

LICITANTE O 1 Captura la factura electrónica en el Sistema de
PROVEEDOR Comprobantes Electrónicos de NAFIN y entrega
el(los) reporte(s) que preceden según el presente
contrato, al responsable de Administrar y vigilar el
 cumplimiento del contrato de NAFIN debidamente
autorizado(s) y firmado(s) de conformidad con la
misma área a partir del primer día hábil del mes
siguiente al que está facturando, en horario de 8:30 a
12:00 horas
RESPONSABLE DE 2 Recibe la documentación mencionada en el punto 1,
ADMINISTRAR Y valida y revisa que se haya cumplido con lo estipulado
VIGILAR EL en el contrato, en caso de estar de acuerdo, da su Vo.
CUMPLIMIENTO DEL Bo. Y la turna a la Coordinación Administrativa de la
CONTRATO Dirección de Informática para trámite de pago.
2.1 LA DEPENDENCIA O ENTIDAD se obliga a pagar a
"EL PROVEEDOR" en contraprestación por el
suministro de LOS
SERVICIOS, los precios unitarios, en moneda
nacional, de conformidad con el Apéndice 2 de este
Anexo Técnico y de manera mensual
devengada, de acuerdo a lo siguiente:
2.2 Pagos mensuales devengados por la cantidad que
resulte de la sumatoria de multiplicar el total de cada
uno de los tipos de servicios proporcionados, por el
costo unitario señalado el Apéndice 2 de este contrato,
más el Impuesto al Valor Agregado
correspondiente.
El pago de los incrementos de componentes del
servicio solicitado por "LA DEPENDENCIA O
ENTIDAD" durante la vigencia del contrato, se
realizará a mes vencido, previa aceptación por parte de
"LA DEPENDENCIA O ENTIDAD" de la instalación
de los incrementos solicitados y de acuerdo a la
sumatoria que resulte multiplicar el costo unitario
mensual señalado el Apéndice 2 de este Anexo
Técnico, por cada uno de los incrementos en
componentes de servicio requeridos y aceptados por
"LA DEPENDENCIA O
ENTIDAD", más el Impuesto al Valor Agregado
correspondiente.
2.3 En caso de que la factura presente algún error,
manifiesta sus observaciones por escrito al proveedor,
para su corrección, junto con el reporte del servicio.
Una vez actualizada, se reinicia el procedimiento desde
el punto 1.
COORDINACIÓN 3 Recibe el oficio de instrucción del pago, por parte del
ADMINISTRATIVA Responsable de Administrar y vigilar el cumplimiento
del contrato de NAFIN, junto con la documentación
soporte establecida en el contrato y procede a realizar
los registros correspondientes.
LICITANTE O 4 Al vigésimo día natural de haberse registrado el
PROVEEDOR documento en el Sistema de Recepción de Facturas
Electrónicas, valida el depósito correspondiente a la
cuenta que para tales fines estableció previamente. En
caso de ser día inhábil, la transferencia se llevará a
cabo el día hábil posterior.

Fin del procedimiento.