Artículo 1.- Objeto de la licitación:

La CMF llama a presentar ofertas en licitación pública para contratar Servicios De Ciberseguridad, Cibervigilancia, Respuesta A Incidentes, Ethical Hacking Pentesting y Horas de Especialista de acuerdo a las características que se han definido en las presentes bases administrativas, bases técnicas y sus anexos.

Artículo 2.- Mandante de la licitación:

El mandante de la licitación es la Comisión para el Mercado Financiero, cuyo domicilio es Avenida Libertador Bernardo O’Higgins N° 1449, Torre II, piso 2, comuna de Santiago, Región Metropolitana, representada por su Presidente. 

Artículo 3.- Datos básicos de la licitación:

3.1.- Gastos:

Los gastos en que incurran los oferentes con motivo de la presente licitación serán de su exclusivo cargo, sin derecho a ningún tipo de reembolso por parte de la CMF.

3.2.- Documentación que rige esta licitación:

Esta licitación se rige por lo dispuesto en la Ley Nº 19.886 y su Reglamento contenido en el Decreto Nº 250, de 2004, del Ministerio de Hacienda, y por los documentos que a continuación se indican, los que, en caso de discrepancias, se interpretarán en forma armónica a las presentes bases de licitación, manteniendo el siguiente orden de prelación:

a)    Bases administrativas, técnicas y anexos de la licitación;

b)    Modificaciones a las bases que, eventualmente, podrá hacer la CMF, a través de la resolución correspondiente;

c)     Respuestas a las preguntas de los oferentes, y

d)    Aclaraciones a las ofertas que hayan sido solicitadas por la CMF.

Los interesados en conocer los documentos señalados anteriormente, podrán hacerlo accediendo al Portal Mercado Público.

3.3.- Modificaciones a las bases:

La CMF podrá modificar las bases administrativas, técnicas y sus anexos, ya sea por iniciativa propia o en atención a una consulta planteada por alguno de los oferentes, hasta antes del vencimiento del plazo para presentar ofertas. Estas modificaciones deberán ser aprobadas mediante resolución y serán publicadas en el Portal Mercado Público. En caso de ser necesario, se deberá fijar prudencialmente un nuevo plazo para la presentación de las ofertas, de manera de permitir que los oferentes puedan conocer y adecuar sus ofertas a tales modificaciones.

3.4.- Cronograma de la licitación:

El siguiente cronograma presenta la duración de cada etapa considerada para la presente licitación pública. Los plazos definidos son contados desde la fecha de publicación de las bases en el Portal www.mercadopublico.cl.

Los plazos de días establecidos en las presentes bases son de días corridos, salvo que se indique lo contrario.

Si el día fijado como término de algunos de los plazos indicados, coincidiese con un sábado, domingo o festivo, la actividad correspondiente deberá realizarse en el día hábil siguiente.

Con todo, el plazo de cierre para la recepción de ofertas no podrá vencer en días inhábiles ni en un día lunes o en un día siguiente a un día inhábil, antes de las 15:00 horas.

3.5.- Período de consultas, preguntas, aclaraciones y respuestas:

Toda consulta o pregunta por parte de los oferentes relativas a las bases de la presente licitación, deberá formularse a través del Portal en el ID respectivo, durante el período comprendido entre la fecha de inicio de consultas y el período de cierre de éstas indicado en el cronograma de licitación. Las consultas serán contestadas por la CMF a todos los interesados a través del mismo Portal. Dichas respuestas se considerarán como parte integrante de las presentes bases de licitación.

Las respuestas a las consultas formuladas en el Portal durante el procedimiento licitatorio, que impliquen una modificación a los antecedentes de la licitación, serán sancionadas por el respectivo acto administrativo, que será publicado en dicho Portal.

Por su parte, la CMF podrá aclarar, complementar y corregir las bases administrativas, bases técnicas y sus anexos hasta el día fijado para la recepción de ofertas, las que serán publicadas en el Portal y serán consideradas como parte integrante de dichas bases.

Artículo 4.- Contenido de la oferta:

Los oferentes deberán presentar sus ofertas a través del Portal Mercado Público, en formato electrónico o digital, dentro del plazo de recepción de las mismas, según lo indicado en el cronograma de la licitación.

La oferta se compone de los antecedentes administrativos, oferta técnica, condiciones inclusivas y oferta económica, según se detalla en los siguientes puntos 4.1, 4.2, 4.3 y 4.4, respectivamente.

En caso que el oferente quiera complementar la información de su oferta con archivos adicionales a lo requerido en estas bases, deberá hacer la referencia en su “Propuesta Técnica Detallada” (apartado 4.2.- Oferta Técnica, de las presentes bases administrativas) a la página y al nombre del documento adicional que la complementa. De no existir la referencia solicitada, estos documentos adicionales podrán no ser considerados por la comisión evaluadora en la revisión de las ofertas.

Se deja establecido que la sola circunstancia de presentar una oferta para esta licitación, implica que el respectivo oferente ha analizado las bases administrativas, técnicas, anexos, aclaraciones y respuestas a las preguntas de la licitación, con anterioridad a la presentación de su oferta, y que manifiesta su conformidad y aceptación sin ningún tipo de reservas ni condiciones a toda la documentación referida.

4.1.- Antecedentes administrativos:

Los oferentes deberán presentar, a través del Portal Mercado Público, en formato electrónico o digital, dentro del plazo de recepción de las ofertas, los siguientes documentos:

4.1.1.-  Declaración jurada electrónica en la plataforma dispuesta por la Dirección de Compras y Contratación Pública, de acuerdo a su Directiva de Contratación Pública N° 37, recomendaciones sobre el uso y aplicación del registro de proveedores.

Las inhabilidades para la presentación de las ofertas afectarán a cada integrante de la UTP

individualmente considerado, ya sea persona natural y/o jurídica, debiendo el apoderado o representante de la UTP firmar la declaración jurada en nombre de cada uno de los integrantes, conforme a las condiciones previstas en el Portal de Compras Públicas.

4.1.2.- Identificación del oferente:

Todos los oferentes deberán presentar el documento “Identificación del oferente” de acuerdo con el formato del Anexo N° 1.

Además, aquellos oferentes que presenten su oferta como una UTP, deberán presentar, un documento público o privado que dé cuenta del acuerdo para participar de esta forma. Este documento deberá contener la identificación de los integrantes de la UTP y la solidaridad entre las partes respecto de todas las obligaciones que se generen con la CMF, por lo que todos y cada uno de los integrantes de una UTP serán individualmente responsables respecto de las obligaciones derivadas de la licitación y del respectivo contrato, por lo que el instrumento de constitución de la UTP no puede incluir cláusulas de exención o limitación de responsabilidad para alguno de los integrantes de la UTP.

Asimismo, deberá contener el nombramiento de un representante o apoderado común con poderes suficientes, explicitándose en el acuerdo de constitución de la UTP el otorgamiento de poderes suficientes para representar a todos sus integrantes ante la CMF. Además, el acuerdo de constitución de la UTP deberá establecer su duración, la cual deberá extenderse por el tiempo que corresponda al proceso de licitación en la que participa, incluida la vigencia del contrato que eventualmente se adjudique.

El acuerdo de constitución de una UTP puede incorporar otras cláusulas adicionales que los integrantes determinen como necesarias y relevantes para el funcionamiento de la UTP, siempre y cuando se ajusten a las disposiciones de la Ley de Compras y su Reglamento, así como de las respectivas bases de licitación y el contrato.

Toda modificación que experimente la UTP debe ser informada de inmediato a la CMF, debiendo acompañarse el respectivo instrumento modificatorio. Toda modificación relativa a la integración o características de la UTP debe materializarse a través de las mismas formalidades necesarias para su constitución.

Asimismo, en caso de ser adjudicada su oferta, al momento de formalizar la contratación, el adjudicatario deberá presentar:

a) Una copia de Inscripción con vigencia de la persona jurídica, otorgada por el Conservador de Bienes Raíces respectivo. De la misma manera, para el caso de sociedades constituidas al amparo de la Ley N° 20.659, deberá presentar el certificado de vigencia y el certificado de estatuto actualizado, ambos otorgados por el Ministerio de Economía, Fomento y Turismo, que no podrán tener una antigüedad superior a 3 meses.

b) Una copia escaneada en formato electrónico de su escritura de constitución o una copia de escritura, acta de directorio reducida a escritura pública, u otro instrumento público en el que conste el nombre del (los) representante (s) legal (es) del proveedor y las facultades de que están investidos para representarla. Si se trata de personas jurídicas que no se constituyan mediante escritura pública inscrita en el Registro de Comercio correspondiente (Ley N° 20.659, que Simplifica el Régimen de Constitución, Modificación y Disolución de las Sociedades Comerciales), deberá acompañar los documentos que resulten idóneos para acreditar su existencia y la personería del representante, emitidos con una antelación no superior a seis meses.

En caso de adjudicar el servicio a una UTP que se encuentre conformada por una o más personas jurídicas, deberá presentarse al momento de contratar los documentos aludidos en los párrafos que preceden correspondiente a cada una de las personas jurídicas.  Junto a lo anterior, deberá acompañar una escritura pública como documento para contratar donde conste la unión temporal de conformidad con lo dispuesto en el inciso tercero del artículo 67 bis, del Decreto N° 250, de 2004, del Ministerio de Hacienda, que aprueba el Reglamento de la Ley N° 19.886.

Respecto de los oferentes que se encuentren constituidos como agencias de sociedades extranjeras, de acuerdo con lo dispuesto en los artículos 447 a 450 del Código de Comercio y artículos 121 a 124 de la Ley N° 18.046 sobre Sociedades Anónimas, deberán acompañar los documentos señalados en el artículo 447 del Código de Comercio o 121 de la Ley N°18.046, según sea el caso.

Los oferentes que se encuentren inscritos en el Registro Electrónico Oficial de Proveedores del Estado, no deberán acompañar estos documentos si ellos u otros similares se encuentran disponibles en dicho Registro a la fecha de apertura de las ofertas.

4.1.3.- Garantía de seriedad de la oferta:

La seriedad de la oferta se garantizará con una caución equivalente a $2.000.000.- (dos millones de pesos).

La caución deberá consistir en cualquier instrumento que asegure el cobro de la garantía de manera rápida y efectiva, de ejecución inmediata, con el carácter de irrevocable y ser pagadero a la vista, (a modo ilustrativo, tales documentos podrán consistir, entre otros, en boletas de garantía bancaria, vales vista, depósitos a la vista o certificados de fianza), tomado por el oferente o señalar en el documento que se toma en nombre del oferente, en un Banco o Institución de Garantía Recíproca establecido(a) en Chile, con oficinas en la Región Metropolitana y sujetos a las normas de la Comisión para el Mercado Financiero, nominativa a nombre de la Comisión para el Mercado Financiero, RUT N° 60.810.000-8, consignando la siguiente glosa: "Garantiza Seriedad Oferta Propuesta Pública ID 1005498-XX-LR23” (que corresponde al número de identificación de la propuesta en el Portal www.mercadopublico.cl, denominada “Número de la adquisición o ID”).

En caso de presentarse un vale vista o depósito a la vista, o cualquier instrumento con similares características a éstos para garantizar la seriedad de la oferta, el documento deberá señalar como beneficiario a la “Comisión para el Mercado Financiero”.

La vigencia del documento no podrá ser inferior a 90 días corridos, contados desde la fecha de cierre de recepción de ofertas del llamado a licitación.

Si dentro de ese plazo no se puede suscribir el contrato, la CMF solicitará al adjudicatario, antes de la fecha de su expiración, la renovación de la garantía de seriedad de la oferta. Si alguno de ellos no lo hiciere, la adjudicación podrá no ser considerada.

Esta garantía se hará efectiva, sin notificación ni forma de juicio, si el oferente:

a) Retira su oferta dentro del plazo de vigencia de la misma, encontrándose en proceso la licitación.

b) Si siéndole adjudicada la licitación, no proporciona los antecedentes necesarios para elaborar el contrato respectivo, o no suscribe el contrato dentro del plazo fijado por la CMF para hacerlo.

c) No entregare la garantía de fiel y oportuno cumplimiento del contrato dentro del plazo dispuesto en el cronograma de la licitación.

d) Presenta antecedentes inconsistentes o no verosímiles.

e) En los demás casos que la normativa o las presentes bases administrativas de licitación lo establezcan.

Dicho documento deberá ser entregado en forma física o electrónica. En caso que la caución sea remitida en forma física, para los días que van desde la publicación de las presentes bases hasta el día de cierre de la licitación, se deberá entregar en la Oficina de Partes de la CMF, ubicada en Avenida Libertador Bernardo O´Higgins N° 1449, Torre I, piso 1, comuna de Santiago, Región Metropolitana, de lunes a viernes en horario de 09:00 a 13:30 hrs.

En los casos que la garantía de seriedad de la oferta se otorgue de manera electrónica, deberá ajustarse a la Ley N° 19.799, sobre Documentos Electrónicos, Firma Electrónica y Servicios de certificación de dicha firma y ser entregada a través de la aplicación “CMF sin Papel”, disponible en el sitio web institucional, hasta el día de cierre de recepción de las ofertas.

La entrega física o electrónica de la garantía de seriedad de la oferta dentro del plazo establecido en el cronograma de licitación es obligatoria, por tanto, su no entrega o entrega fuera del plazo señalado implicará la exclusión del oferente respectivo.

Una vez cerrado el período de recepción de ofertas, se revisará que las garantías de seriedad cumplan con lo requerido en las bases administrativas. En caso que un oferente entregue dentro de plazo una garantía que contenga un error de carácter formal, no esencial, en la garantía, la CMF solicitará que ésta sea enmendada en un plazo no superior a 72 horas corridas contadas desde la formulación del reparo a través del Sistema de Información de Compras Públicas www.mercadopublico.cl. Si el documento presentare un error distinto a los señalados en este párrafo, implicará la exclusión del oferente respectivo.

Si la licitación pública es adjudicada, se devolverá la garantía de seriedad de la oferta, se física o electrónica, a los oferentes que no se encuentren seleccionados en el primero, segundo o tercer lugar en la escala de evaluación, dentro de los 10 (diez) días corridos siguientes a la notificación de la resolución de adjudicación, y a los que se encuentran seleccionados en el primero, segundo y tercer lugar en la escala de evaluación, dentro de los 10 (diez) días corridos siguientes de dictada la resolución aprobatoria del contrato suscrito con el oferente adjudicado.

En caso que la licitación pública sea declarada desierta, se devolverá la garantía de seriedad de la oferta al o los oferentes participantes en la licitación, dentro de los 10 (diez) días corridos siguientes a la notificación en el Portal www.mercadopublico.cl de la resolución que declara desierta la licitación.

Será de entera responsabilidad del oferente retirar la garantía de seriedad de la oferta.

Para el retiro de las garantías físicas los oferentes deberán dirigirse al Departamento de Contabilidad de la CMF, ubicado en Avenida Libertador Bernardo O´Higgins N° 1449, Torre II, piso 2, comuna de Santiago, en horario de 09:00 a 13:00 y de 14:30 a 17:00 horas, acreditando la persona que retira tener poder suficiente para ello mediante mandato o poder simple otorgado por el oferente y una fotocopia de su cédula de identidad.

La devolución de la garantía electrónica se realizará de acuerdo a los plazos indicados previamente, mediante comunicación vía correo electrónico que efectuará el Departamento de Contabilidad de la CMF.

4.2. Oferta Técnica:

Los oferentes deberán presentar, a través del Portal Mercado Público, en formato electrónico o digital, dentro del plazo de recepción de las ofertas, la información solicitada en los siguientes documentos:

a) “Propuesta Técnica Detallada” (obligatorio): consistente en un documento donde el oferente deberá detallar su propuesta técnica de trabajo, describiendo la planificación, instalación y puesta en marcha de los servicios como todas las tareas relacionadas con el requerimiento técnico del servicio ofertado y las características técnicas específicas de las soluciones ofertadas.

b) Anexo N° 2 “Oferta Técnica” (obligatorio).

c) Anexo N° 3 “Experiencia del oferente (no obligatorio)”.

4.3.- Condiciones inclusivas, de acuerdo con la información solicitada en el Anexo N° 5.

4.4. Oferta Económica:

Los oferentes ingresarán a través del Portal Mercado Público www.mercadopublico.cl, dentro del plazo de recepción de las ofertas, el precio de los servicios De Ciberseguridad, Cibervigilancia, Respuesta A Incidentes, Ethical Hacking Pentesting y Horas de Especialista por un período de 24 meses, en pesos chilenos, sin impuesto.

El oferente deberá presentar la información solicitada en el Anexo N° 4 “Oferta Económica”, como documento adjunto a su oferta, en formato Word, Excel u otro, el que deberá ser completado obligatoriamente con toda la información solicitada. En caso de no presentar esta información, será causal de inadmisibilidad de su oferta.

De producirse diferencias entre los valores ingresados por el oferente en los formularios del Portal Mercado Público y los ingresados en el Anexo N° 4 “Oferta Económica” de estas bases, para todos los efectos, se dará preeminencia a lo establecido en el anexo citado.

Se considerarán incluidos en la oferta todos los costos y gastos que demanden la ejecución del contrato y el fiel cumplimiento de las obligaciones contractuales.

En caso que el oferente quiera complementar su información, podrá hacerlo en archivos adicionales, en la medida que no condicione o modifique la oferta económica debiendo respetar los principios de estricta sujeción de las bases y de igualdad de los oferentes.

4.5.- Plazo de vigencia de las ofertas:

Las ofertas mantendrán su vigencia por un plazo de 90 días corridos, contados desde la fecha de cierre de recepción de las ofertas dispuesta en el cronograma de la licitación, de estas bases administrativas. Si dentro de ese plazo no se puede efectuar la adjudicación, la CMF solicitará a los oferentes, antes de la fecha de su expiración, la prórroga de sus ofertas y el reemplazo o ampliación de la vigencia de sus garantías de seriedad de oferta. Si alguno de ellos no lo hiciere, dicha oferta no será considerada.

4.6.- Inadmisibilidad de las ofertas:

Las ofertas presentadas por los oferentes serán declaradas inadmisibles cuando:

1. No presenten cualquiera de los antecedentes indicados como obligatorios en las letras a) y b) del punto 4.2, de las presentes bases administrativas.

2. No presenten la información requerida en el Anexo N° 4 “Oferta Económica”.

3. Sobrepasen el presupuesto total disponible para la presente licitación.

4. No cumplan con los requisitos establecidos en las bases técnicas de licitación, que deben ser informados de acuerdo a lo solicitado en el punto 1 del Anexo N° 2 “Oferta técnica”.

5. No presente toda la información requerida en los puntos N° 1 y 2 del Anexo N°2 “Oferta técnica”.

6. No adjunten a su oferta la Gantt solicitada, de acuerdo a lo dispuesto en el punto 4.4 de las bases técnicas. 

7. Si la CMF solicita, de acuerdo a bases, a través del Portal de Compras Públicas www.mercadopublico.cl, aclarar errores u omisiones formales o requiera antecedentes o certificaciones omitidos en la oferta, y el oferente no los presente dentro del plazo otorgado.

8. No presenten la garantía de seriedad de la oferta, debidamente completada, de acuerdo a lo requerido en el numeral 4.1.3 de estas bases.

9. En general, por no haber dado cumplimiento a las exigencias establecidas en las bases de licitación.

Se exceptúan de ser declaradas inadmisibles las ofertas que no presenten los siguientes antecedentes:

• Información contenida en los Anexos Nos 3 “Experiencia del Oferente” y 5 “Condiciones Inclusivas”.

La no presentación de la información señalada, será evaluada con “0” puntos.

Con respecto a los demás antecedentes establecidos en el punto 4.1, se estará a lo dispuesto en el artículo 6 y en el apartado I del punto 7.1 del artículo 7 de estas bases.

Artículo 5.- De la apertura de las ofertas:

La apertura electrónica de las ofertas, se efectuará el día señalado en el cronograma de la licitación, en un solo acto, a través del Sistema de Información del Portal Mercado Público.

Los oferentes podrán efectuar observaciones dentro de las 24 horas siguientes a la apertura de las ofertas. Estas observaciones deberán efectuarse a través del Sistema de Información, de acuerdo a lo establecido en el inciso final del artículo 33, del Decreto N° 250, de 2004, del Ministerio de Hacienda que Aprueba el Reglamento de la Ley N° 19.886

Las ofertas técnicas serán de público conocimiento.

La CMF podrá efectuar el proceso de compra y la recepción total o parcial de ofertas fuera del Sistema de Información cuando haya indisponibilidad técnica del Sistema de Información del Portal Mercado Público, circunstancia que deberá ser ratificada por la Dirección de Compras y Contratación Pública mediante el correspondiente certificado, el cual deberá ser solicitado por las vías que informe dicho Servicio, dentro de las 24 horas siguientes al cierre de la recepción de las ofertas. En tal caso, los oferentes afectados tendrán un plazo de 2 días hábiles contados desde la fecha del envío del certificado de indisponibilidad, para la presentación de sus ofertas fuera del Sistema de Información.

Artículo 6.- Errores u omisiones / falta de certificaciones o antecedentes durante la evaluación:

La CMF podrá solicitar a través del Portal Mercado Público, que los oferentes salven errores u omisiones formales, siempre y cuando las rectificaciones de dichos vicios u omisiones no les confieran a éstos una situación de privilegio respecto de los demás competidores, esto es, en tanto no se afecten los principios de estricta sujeción a las bases y de igualdad de los oferentes. En todo caso, estas solicitudes deberán ser informadas al resto de los oferentes a través del Portal Mercado Público.

La CMF podrá también permitir la presentación de certificaciones o antecedentes que los oferentes hayan omitido presentar al momento de efectuada la oferta, siempre que con ello no se modifique la oferta y siempre que dichas certificaciones o antecedentes se hayan producido u obtenido con anterioridad al vencimiento del plazo para presentar ofertas o se refieran a situaciones no mutables entre el vencimiento del plazo para presentar ofertas y el período de evaluación, con excepción de la garantía de seriedad de la oferta, la que en caso de no ser presentada dentro del plazo para efectuar ofertas, o de ser presentada dentro de plazo, adolezca de un error distinto de aquellos que permiten ser subsanados en los plazos señalados, significará declarar inadmisible la oferta.

En cualquiera de las situaciones descritas en los dos párrafos precedentes, se les otorgará a los oferentes un plazo de 72 horas corridas desde la notificación de la CMF para salvar los errores u omisiones formales y presentar las certificaciones o antecedentes faltantes.

Ninguno de los antecedentes o certificaciones solicitados por la CMF podrá versar sobre elementos evaluables en la oferta, sino únicamente sobre antecedentes administrativos.

Artículo 7.- De la evaluación:

Una Comisión Evaluadora nombrada para tal efecto, analizará y evaluará conforme a los criterios de evaluación las ofertas dentro del plazo señalado en el cronograma de licitación, proponiendo al Presidenta de la CMF, la adjudicación total de la licitación, al oferente que haya obtenido mayor puntaje, atendiendo a que ella cumple de mejor forma los requerimientos exigidos y que constituye la oferta más conveniente para los intereses de la Institución o bien, la Comisión Evaluadora podrá proponer dejar desierta la licitación, expresando los fundamentos para ello. 

La Comisión Evaluadora estará integrada por los siguientes funcionarios de la Comisión para el Mercado Financiero:

1. Jonathan Fletcher Castro, Analista Senior de Ciberseguridad del Área de Gestión de Riesgos, Seguridad de la Información y Continuidad Operacional.

2. Francisco Aliaga Calderón, Jefe Departamento Gestión de Infraestructura.

3. Johnny Ibáñez Mora, Analista de la Unidad de Seguridad Informática.

En caso que alguno de los integrantes no pueda asistir a la evaluación de ofertas por impedimento debidamente justificado, se designará por resolución a su reemplazante.

Durante la etapa de evaluación, la CMF podrá verificar todos aquellos antecedentes que estime pertinentes con el objeto de asegurar una correcta evaluación de las ofertas. En especial, podrá requerir información de los medios de contacto indicados por los propios oferentes para validar información con terceros.

Los miembros de la Comisión Evaluadora no podrán tener conflictos de intereses con los oferentes, de conformidad con la normativa vigente al momento de la evaluación. De esto deberán dejar constancia en el Informe de la Comisión Evaluadora.

7.1.- Proceso de evaluación:

El proceso de evaluación contempla la evaluación de criterios técnicos, económicos, requisitos formales, y condiciones inclusivas, debiendo cada uno de los componentes ser evaluado en forma independiente, en virtud de lo cual se le asignará el puntaje que corresponda. La suma de los puntajes asignados a los cuatro componentes corresponderá al puntaje final de la oferta.

En las operaciones aritméticas que se efectúen durante la evaluación de las ofertas técnicas, económicas, requisitos formales, y condiciones inclusivas, se utilizarán dos decimales.

En caso de tratarse de una UTP, ésta estará obligada a informar inmediatamente a la CMF el retiro de uno o más de sus integrantes. Si dicho retiro se produce durante la evaluación de las ofertas, la UTP deberá informar, además, en forma inmediata, si producto de ese retiro se continuará participando en la licitación, o bien si se desistirá de ésta. Luego del retiro de algunos de sus integrantes, la UTP deberá continuar funcionando con al menos 2 integrantes.

Si durante la evaluación de las ofertas se retira algunos de los integrantes de una UTP, que hubiese reunido una o más características objeto de la evaluación de la oferta, tal circunstancia podrá ser causal de declaración de inadmisibilidad de la propuesta la que deberá fundarse debidamente.

La pauta de evaluación que se utilizará para decidir la adjudicación considera los siguientes criterios de evaluación y sus respectivos puntajes y ponderaciones:

I.- Evaluación requisitos formales de la oferta:

Completitud de la oferta:

Este criterio está orientado al cumplimiento de lo establecido en las presentes bases, en cuanto a la presentación de los antecedentes, anexos y certificaciones requeridas por la CMF. La asignación de puntaje se efectuará de acuerdo a lo siguiente:

Si la CMF requiere antecedentes o certificaciones omitidos en la oferta y el oferente no los presenta dentro del plazo otorgado, no continuará en el proceso de evaluación de las ofertas, declarándose la inadmisibilidad de la misma, de acuerdo a lo establecido en el numeral 4.6 de las presentes bases.

En todo caso, ninguno de los antecedentes o certificaciones solicitados por la CMF podrá versar sobre elementos evaluables en la oferta técnica, económica, condiciones inclusivas, sino únicamente sobre antecedentes administrativos.

Respecto de la garantía de seriedad de la oferta, solo se admitirá la formulación de reparos que digan relación con errores en la fecha de vigencia, glosa de identificación o en la individualización del beneficiario o tomador.

II.- Evaluación aspecto económico de la oferta:

Las ofertas que sobrepasen el presupuesto total disponible de la contratación se considerarán inadmisibles y no continuarán con el proceso de evaluación de ofertas.

Las ofertas económicas serán evaluadas de la siguiente manera: se asignará 100 puntos a la oferta de menor valor (valor total bruto de los servicios licitados, en pesos chilenos, impuestos incluidos, por 24 meses).

Para el resto de las ofertas, se asignará el puntaje conforme a la siguiente ecuación:

Puntaje oferta (i) = [(P (m) / P (i)) x 100]

Dónde:

Puntaje oferta (i)        :           Puntaje de la oferta económica.

P (i)                             :           Precio ofertado por el oferente evaluado.

P (m)                           :           El menor precio ofertado por los oferentes.

En el caso de contar con una sola oferta para evaluar, se le asignarán 100 puntos.

III.- Evaluación aspecto técnico de la oferta:

La oferta técnica tendrá que cumplir con los requisitos establecidos en las bases técnicas.

Las propuestas que cumplan con los requisitos solicitados, continuarán en el proceso de evaluación, siendo evaluadas de acuerdo a los criterios y ponderaciones que a continuación se indican:

1. Experiencia del oferente en proyectos de implementación de servicios y puesta en marcha de algunas de las soluciones ofertadas.

Para medir este criterio de evaluación, se asignará puntaje considerando la cantidad y tipo de servicios realizados (o en ejecución), contratados a partir del año 2020 hasta antes de la fecha de la publicación de esta licitación, los cuales deberán tener directa relación con algunas de las soluciones a contratar indicadas en el punto 2 de las bases técnicas.

Los puntajes serán asignados de acuerdo con los siguientes tramos:

Para la evaluación de este criterio cada oferente deberá presentar adjunta a su oferta la información requerida en el Anexo N° 3 “Experiencia del Oferente” y al menos uno de los siguientes documentos o antecedentes:

• ID de licitación en mercado público.
• Orden de compra, que contenga como mínimo la descripción de los servicios de algunas de las soluciones solicitadas y el año de suscripción.
• Copia simple del contrato respectivo, firmado por ambas partes.
• Copia de una factura emitida a la institución pública y/o privada, que contenga como mínimo la descripción de los servicios de algunas de las soluciones solicitadas y el año de suscripción.

Si el oferente no adjuntare en el Portal de Compras Públicas la información solicitada en el Anexo N° 3 o no presenta los respaldos que permitan verificar la veracidad de lo informado, se procederá a no considerar ese antecedente en la evaluación de este criterio, siendo calificada la oferta con “0” puntos. Sólo se considerarán los antecedentes y/o respaldos sobre experiencia que se encuentren debidamente acreditados por alguno de los documentos señalados anteriormente.

En el caso que el oferente sea una unión temporal de proveedores, los integrantes de dicha unión podrán sumar sus experiencias individuales de acuerdo con la materia exigida para este criterio de evaluación.

2. Número de certificaciones y/o cursos adicionales de las personas que prestarán los servicios ofertados:

Para la evaluación de este ítem, el oferente deberá completar el numeral 2 del Anexo 2 “Oferta Técnica” indicando el nombre de las personas que se encuentren trabajando con residencia en Chile y contrato vigente que cuenten con certificaciones y/o cursos, descritos en la letra J) de las bases técnicas, adicionales a los dos mínimos indicados.

Las certificaciones o cursos deberán tener una antigüedad máxima desde el 2020 a la fecha. No se aceptarán certificaciones vencidas o caducadas.

Para acreditar que las personas contratadas cuentan con certificaciones y/o cursos deben presentar las certificaciones, certificados o diplomas que acrediten dicha condición y su vigencia.

Al momento de ofertar, los oferentes deberán acreditar con la documentación pertinente, que dichas personas se encuentran con contrato vigente y residen en Chile, adjuntando copia simple del contrato firmado por ambas partes. Si no es acreditada esta información, los profesionales no serán considerados.

IV. Condiciones inclusivas:

En este criterio se evaluará si el oferente fomenta la inclusión laboral, contratando trabajadores en situación de discapacidad, jóvenes entre 18 y 25 años cumplidos o pertenecientes a pueblos indígenas o contar con Sello Chile Inclusivo, de acuerdo a los tramos y puntajes que en cada caso se indican a continuación.

Para efectos de acreditar la contratación de personal en situación de discapacidad, joven, perteneciente a pueblos indígenas o contar con Sello Chile Inclusivo, se requerirá acompañar los siguientes documentos:

Personal en situación de discapacidad:

• La copia del contrato de trabajo o prestación de servicios suscritos directamente entre el oferente y el trabajador, vigente al momento de la oferta, según corresponda, de duración no inferior a seis meses. El contrato deberá haberse celebrado con anterioridad a la fecha del llamado a licitación efectuado en el Portal de Compras Públicas.
• Documento que acredite la inscripción del trabajador en el Registro Nacional de la Discapacidad, dictamen o certificación de la COMPIN.
• Para el caso de los contratos de duración indefinida para acreditar su vigencia, deberá acompañarse además de los documentos previamente señalados, copia de planilla de pago de cotizaciones previsionales de cualquiera de los tres meses inmediatamente anteriores al del llamado a licitación, donde conste el nombre del trabajador y su pago; o bien, un certificado extendido por las instituciones que corresponda (previsionales) donde se acredite fehacientemente lo anterior.
• Igualmente, para acreditar personal en situación de discapacidad, el oferente podrá presentar el certificado emitido por la Dirección del Trabajo, que cumple con la Ley N° 20.422, donde se indique la cantidad de trabajadores de la empresa que cuentan con discapacidad.

Personal joven entre 18 y 25 años cumplidos:

• La copia del contrato de trabajo o prestación de servicios suscritos directamente entre el oferente y el trabajador, vigente al momento de la oferta, según corresponda, de duración no inferior a seis meses. El contrato deberá haberse celebrado con anterioridad a la fecha del llamado a licitación efectuado en el Portal de Compras Públicas. 
• Acreditación beneficiaria de programa “Subsidio Joven” de SENCE o copia de cédula de identidad para acreditar la edad de entre 18 hasta 25 años.
• Adicionalmente y para el caso de los contratos de duración indefinida para acreditar su vigencia, deberá acompañarse además de los documentos previamente señalados, copia de planilla de pago de cotizaciones previsionales de cualquiera de los tres meses inmediatamente anteriores al del llamado a licitación, donde conste el nombre del trabajador y su pago; o bien, un certificado extendido por las instituciones que corresponda (previsionales) donde se acredite fehacientemente lo anterior.

Personal perteneciente a pueblos indígenas:

• La copia del contrato de trabajo o prestación de servicios suscritos directamente entre el oferente y el trabajador, vigente al momento de la oferta, según corresponda, de duración no inferior a seis meses. El contrato deberá haberse celebrado con anterioridad a la fecha del llamado a licitación efectuado en el Portal de Compras Públicas.
• Documento que acredite la pertenencia a pueblos indígenas, extendido por CONADI.
• Adicionalmente y para el caso de los contratos de duración indefinida para acreditar su vigencia, deberá acompañarse además de los documentos previamente señalados, copia de planilla de pago de cotizaciones previsionales de cualquiera de los tres meses inmediatamente anteriores al del llamado a licitación, donde conste el nombre del trabajador y su pago; o bien, un certificado extendido por las instituciones que corresponda (previsionales) donde se acredite fehacientemente lo anterior.

Sello Chile Inclusivo (Fuente: https://www.chileatiende.gob.cl/fichas/16316-sello-chile-inclusivo):

• Adjuntar documento donde conste la obtención y vigencia del Sello Chile Inclusivo del Servicio Nacional de la Discapacidad.

Tal como se indica en el recuadro de este criterio, si el oferente cuenta con el Sello Chile Inclusivo se le asignará puntaje (100 puntos) sólo por ese tramo.

Si el oferente no adjuntare en el Portal de Compras Públicas la información solicitada en el Anexo Nº 5, se le asignará “0” puntos en este criterio.

Artículo 8.- Informe de la Comisión Evaluadora:

La Comisión Evaluadora emitirá un informe de Evaluación, en el plazo establecido en el cronograma de licitación, el cual deberá estar suscrito por todos los integrantes de la Comisión Evaluadora. Este informe deberá contemplar un resumen del proceso de aplicación de criterios de evaluación, indicando el puntaje que haya obtenido cada proponente, describiendo los antecedentes evaluados, y todas las aclaraciones que pudieren haberse realizado.

En caso de producirse empates entre dos o más oferentes en el resultado final de la evaluación, se aplicarán en forma sucesiva las siguientes reglas de desempate:

1. Mayor puntaje en el criterio “Valor total bruto”.

2. Mayor puntaje en el criterio “Experiencia del oferente en proyectos de implementación de servicios y puesta en marcha de algunas de las soluciones ofertadas”.

3. Mayor puntaje en el criterio “Número de certificaciones adicionales de las personas que prestarán los servicios ofertados”.

Artículo 9.- De la adjudicación:

La CMF adjudicará la oferta que haya obtenido el mayor puntaje de acuerdo con los criterios de evaluación contemplados en las presentes bases, mediante resolución fundada en la que se especificarán los aludidos criterios.

La adjudicación se efectuará en el plazo indicado en el cronograma del proceso. 

En el evento que la adjudicación no se realice dentro del plazo establecido, la CMF señalará en el Portal Mercado Público las razones que lo motivaron y se dispondrá de un nuevo plazo de 20 días hábiles para la adjudicación.

En el caso que los oferentes quieran formular consultas sobre aspectos de la evaluación y/o adjudicación, podrán comunicarse vía correo electrónico dentro del plazo de tres días contados desde la notificación de la adjudicación, a la dirección abastecimiento@cmfchile.cl. Las consultas efectuadas serán respondidas por correo electrónico al proveedor que realiza la consulta, y junto con ello las preguntas y respuestas serán publicadas como anexo a la licitación pública.

Artículo 10.- Readjudicación:

La presente licitación contempla la posibilidad de readjudicación en los términos señalados en el inciso final del artículo 41 del Reglamento de la Ley N° 19.886.

La CMF podrá readjudicar la propuesta al oferente que siga en puntaje, dentro del plazo de 60 días corridos, contados desde la publicación de la adjudicación original, dictando la respectiva resolución, la que será publicada en el Portal Mercado Público.

Procederá la readjudicación en caso de que el adjudicatario no suscriba el contrato respectivo dentro del plazo establecido en estas bases o se verifique alguna otra causal establecida en las presentes bases. De estas circunstancias deberá dejarse constancia en el informe respectivo que deberá elaborar para dichos efectos la Comisión Evaluadora.

Asimismo, procederá la readjudicación si el adjudicatario fuese inhábil en los términos del artículo 4°, inciso 6°, de la Ley N° 19.886 al momento de la suscripción del contrato. En el caso que el adjudicatario sea una UTP y alguno de sus integrantes estuviese afecto a la citada inhabilidad del artículo 4°, inciso 6°, la UTP deberá informar por escrito, dentro del plazo de 5 días hábiles inmediatamente que tenga conocimiento de esta situación, si se desiste o si decide igualmente ejecutar el contrato adjudicado, con la integración del resto de sus miembros, siempre que éstos fuesen hábiles. En el evento de no informar lo anterior o de manifestar su intención de desistirse, la licitación será readjudicada al siguiente oferente mejor evaluado.

Luego del retiro de alguno de sus miembros, la UTP debe continuar funcionando con al menos 2 integrantes. Si la integración no cumple con el mínimo recién indicado, o el integrante de la UTP que se retira es alguno de los que hubiese reunido una o más características objeto de la evaluación de la oferta, ésta podrá ser dejada sin efecto, mediante una resolución fundada, debiendo la licitación ser readjudicada al siguiente oferente mejor evaluado.

De estas circunstancias deberá dejarse constancia en el informe respectivo que deberá elaborar para dichos efectos la Comisión Evaluadora.

Artículo 11.- Inadmisibilidad de las ofertas y declaración desierta de la licitación:

La CMF, mediante resolución fundada, se reserva el derecho de declarar inadmisible cualquiera de las ofertas presentadas que no cumplan los requisitos o condiciones establecidas en las presentes bases, sin perjuicio de la facultad de solicitar a los oferentes que salven errores u omisiones formales o completen certificaciones o documentos, de acuerdo a lo establecido en estas bases. 

La CMF, mediante resolución fundada, podrá declarar desierta la licitación cuando no se presenten ofertas o éstas no resulten convenientes a los intereses de la Institución, en virtud de lo establecido en el artículo 9º de la Ley Nº 19.886.

Artículo 12.- Del contrato:

De la presente licitación pública derivará el contrato “Herramienta y servicios de ciberseguridad, cibervigilancia y respuesta a incidentes de la CMF”. El contrato se regirá por las normas de la Ley N° 19.886; su Reglamento aprobado por Decreto N° 250, de 2004, de Ministerio de Hacienda; por las presentes bases y sus anexos; por las aclaraciones a las bases entregadas por la CMF, de oficio o con motivo de alguna consulta de los oferentes; y la oferta del proveedor, en todo aquello que no sea contrario a la normativa y a los documentos antes señalados.

Para contratar con el Estado, el oferente no puede tener las inhabilidades a que se refiere el inciso sexto del artículo 4 de la Ley N° 19.886 ni estar afecto a la prohibición de celebrar actos y contratos con organismos del Estado, en virtud de lo dispuesto en la Ley N° 20.393, ni encontrarse inhabilitado para contratar con el Estado en virtud de lo dispuesto en el D.L. N° 211 de 1973. Lo anterior, se acreditará mediante declaración jurada que deberán presentar los oferentes en la presente licitación.

Las causales de inhabilidad para contratar afectarán a cada integrante de la UTP, individualmente considerado.

12.1.- Inscripción en el Registro de Proveedores de la Administración del Estado:

Para la suscripción del contrato, el adjudicatario deberá estar inscrito y encontrarse hábil en el Registro de Proveedores de la Administración del Estado, que está a cargo de la Dirección de Compras y Contratación Pública.

En caso que el adjudicatario o los integrantes de la UTP no estén inscritos en el referido Registro, deberán inscribirse dentro del plazo de 10 días hábiles contados desde la notificación de la adjudicación respectiva.

Cuando el adjudicatario no se inscriba en el plazo indicado en el párrafo precedente o se encontrare inhábil en Registro de Proveedores, la CMF podrá dejar sin efecto la adjudicación y readjudicar la licitación, en los términos indicados en las presentes bases o bien podrá declarar desierta la licitación, según corresponda.

Si alguno de los integrantes de la UTP no se inscribiera o se encontrare inhábil en el Registro de Proveedores, la UTP adjudicada se encontrará inhabilitada para suscribir el respectivo contrato, a menos que el integrante inhabilitado se retirase, pudiendo suscribirse el contrato con la UTP conformada por el resto de los integrantes, siempre que la UTP quede conformada por a lo menos 2 integrantes y que el integrante que se haya retirado, no sea de aquellos que hubiesen reunido una o más características que le permitieron ser adjudicado, siendo objeto de evaluación de la oferta o de admisibilidad.

Asimismo, si durante la ejecución del contrato, alguno de los integrantes de la UTP incurriera en una inhabilidad sobreviniente que no le permita contratar con el Estado y en consecuencia no pueda estar inscrito en Registro de Proveedores, la UTP adjudicada se encontrará inhabilitada para continuar ejecutando el contrato, a menos que el integrante inhabilitado se retirase, pudiendo continuar la ejecución del contrato por parte de la UTP conformada por el resto de los integrantes, siempre que la UTP quede conformada por a lo menos 2 integrantes y que el integrante que se haya retirado, no sea de aquellos que hubiesen reunido una o más características que le permitieron ser adjudicado, siendo objeto de evaluación de la oferta o de admisibilidad.

Para efectos de estos dos últimos párrafos, el retiro del integrante inhábil deberá formalizarse dentro del plazo de 10 días hábiles.

12.2.- Condiciones básicas del contrato:

12.2.1. Domicilio de la CMF:

Comuna de Santiago, Región Metropolitana.

12.2.2. Subcontratación:

Se permite parcialmente. En ningún caso podrá exceder al 40% del valor total bruto de la contratación, ni incidir en el objeto principal del proyecto.

Si el adjudicatario subcontratare parcialmente algunas labores del servicio licitado durante la vigencia del contrato, éste deberá informarlo a la Jefatura de la Unidad de Seguridad Informática, señalando las especificaciones de los servicios que serán subcontratados. En este caso, el adjudicatario deberá presentar respecto de su subcontratista las declaraciones juradas en los términos señalados en el artículo 4 de estas bases administrativas y acreditar el cumplimiento de las obligaciones laborales y previsionales de su personal directo como subcontratado.

12.2.3. Cesión de derechos:

No se permite, excepto en los casos que dispone el artículo 74 del Decreto N° 250, del Ministerio de Hacienda, de 2004, que aprueba Reglamento de la Ley N° 19.886.

12.2.4. Vigencia del contrato:

El contrato entrará en vigencia una vez tramitada totalmente la resolución que lo aprueba, y se mantendrá vigente por un periodo de 24 meses desde la total entrega e implementación de la solución.

12.2.5. Plazo máximo para ejecución del contrato:

El servicio objeto de la presente licitación debe iniciarse dentro de los 5 días hábiles desde la resolución que aprueba el contrato, debiendo quedar instalada dentro de ese plazo, y se mantendrá vigente durante el período de 24 meses contados desde la reunión de inicio que se realizará entre el adjudicatario y la Jefatura de la Unidad de Seguridad Informática, conforme lo establecido en el punto 4.4 de las bases técnicas.

12.2.6. Precio y forma de pago:

El presupuesto disponible total para el servicio a contratar es de $712.243.438 (setecientos doce millones doscientos cuarenta y tres mil cuatrocientos treinta y ocho pesos), impuestos incluidos, por el período de 24 meses.

El precio total ofertado deberá contemplar todos los gastos y costos, previstos e imprevistos, necesarios para que se cumpla el objetivo del llamado a licitación.

El pago de los servicios contratados será realizado a través de la Comisión para el Mercado Financiero por transferencia electrónica o por la Tesorería General de la República, en 24 cuotas mensuales, iguales, por mes vencido, en moneda nacional, dentro del plazo de 30 días corridos, contados desde la recepción conforme de la respectiva factura o boleta; previa certificación de conformidad del servicio prestado, emanada del Jefatura de la Unidad de Seguridad Informática, y previa acreditación del cumplimiento de las obligaciones laborales y previsionales por parte del proveedor respecto de su personal directo y subcontratado.

En caso de tratarse de una UTP, el cumplimiento de las obligaciones laborales y previsionales de los proveedores se acreditará respecto de cada uno de los integrantes de dicha unión.

En forma previa a la facturación, el proveedor deberá aceptar la orden de compra respectiva y verificar en el Portal Mercado Público la recepción conforme del servicio entregado. Por tanto, el proveedor no debe facturar hasta que; habiendo prestado el servicio, reciba el formulario Ficha de Recepción Conforme de Bienes y/o Servicios, el cual será tramitado internamente y puesto a disposición para el proveedor a través del Portal www.mercadopublico.cl

La factura o instrumento tributario de cobro correspondiente, deberá ser enviada por el proveedor a la casilla de correo electrónico cmfrecepcion@custodium.com.

La CMF podrá rechazar las facturas, de conformidad con lo dispuesto en la Ley N° 19.983, que Regula la Transferencia y Otorga Mérito Ejecutivo a Copia de la Factura.

Los pagos que se realicen en virtud del contrato que se suscriba, solo se podrán efectuar una vez tramitado totalmente el acto administrativo que aprueba el contrato respectivo.

Los pagos que deban realizarse durante los futuros períodos anuales de vigencia del contrato, se efectuarán en la medida que exista disponibilidad presupuestaria y se cumplan las condiciones previstas en estas bases para ello.

Para proceder al pago, la CMF deberá solicitar mensualmente el “Certificado de Cumplimiento de Obligaciones Laborales y Previsionales (Ley de Subcontratación)” emitido por la Dirección del Trabajo (F30-1) o el instrumento que haga las veces de tal.

En el evento que el adjudicatario registre saldos insolutos de remuneraciones o cotizaciones de seguridad social respecto de sus trabajadores o respecto de los trabajadores subcontratados, los primeros estados de pago producto del contrato licitado deberán ser destinados al pago de dichas obligaciones, debiendo el proveedor acreditar que la totalidad de ellas se encuentran liquidadas al cumplirse la mitad del período de ejecución del contrato, con un máximo de seis meses.

12.2.7. Normativa, antecedentes y documentos aplicables:

La relación contractual con el adjudicatario se regirá por las normas de la Ley N° 19.886, su Reglamento aprobado por Decreto N° 250, de 2004, del Ministerio de Hacienda y por los siguientes antecedentes y documentos, que se consideran parte integrante del mismo:

1. Las presentes bases administrativas, bases técnicas y sus anexos.

2. El llamado a licitación pública que se efectúe a través del Portal de Compras Públicas www.mercadopublico.cl.

3. Aclaraciones a las bases entregadas de oficio o las respuestas emitidas en el periodo de consulta o respuestas.

4. La oferta administrativa, técnica y económica presentada por el oferente adjudicado -incluidos sus anexos- en todo aquello que no sea contrario a los demás antecedentes.

5. La resolución exenta que resuelva el proceso licitatorio adjudicando los servicios.

6. La resolución exenta que aprueba el contrato.

En caso que existan contradicciones entre lo dispuesto por las bases administrativas, técnicas y sus anexos y el contrato, primará lo dispuesto en el presente documento.

12.2.8. Solución de controversias y legislación aplicable:

La relación contractual se regirá por las leyes chilenas y en el caso de existir desacuerdos que no puedan ser solucionados entre las partes, serán sometidos al conocimiento de los tribunales ordinarios de justicia de la ciudad de Santiago, sin perjuicio de las facultades de la Contraloría General de la República.

12.2.9. Notificaciones:

Toda citación, notificación o requerimiento entre las partes, deberá hacerse por escrito. Para ello, ambas partes deberán designar como domicilios los que constan en la comparecencia del contrato.

Ello, sin perjuicio de las eventuales comunicaciones que puedan realizarse por la vía electrónica a los correos institucionales.

12.2.10. Suscripción del contrato:

El respectivo contrato se enviará al proveedor adjudicado, que deberá remitirlos firmados por el adjudicatario o su representante legal o apoderado, en caso de tratarse de una UTP, dentro del plazo indicado en el cronograma de licitación de las presentes bases, al Departamento de Compras de la CMF, ubicado en Avenida Libertador Bernardo O´Higgins N° 1449, torre II, piso 2, comuna de Santiago.

Si por cualquier causa imputable al adjudicatario, no se suscribe el contrato dentro del plazo establecido en las presentes bases, la CMF quedará facultada para dejar sin efecto la adjudicación respectiva.

En este caso, la CMF podrá, dentro del plazo de 60 días corridos, contados desde la publicación de la adjudicación original, seleccionar y readjudicar la oferta que reemplazará a aquella cuya adjudicación fue dejada sin efecto.

En este caso, la CMF procederá a la readjudicación en conformidad a las normas establecidas en estas bases.

Una vez firmado el contrato por las partes, éste y su resolución aprobatoria totalmente tramitada serán publicadas en el Portal Mercado Público www.mercadopublico.cl.

Todos los costos, gastos e impuestos que irrogue la formalización del contrato, serán de cargo del adjudicatario.

12.2.11. Garantía fiel y oportuno cumplimiento del contrato

El adjudicatario deberá garantizar el fiel y oportuno cumplimiento del contrato, de las bases administrativas, bases técnicas y sus anexos y el pago de cualquier obligación derivada del contrato, mediante cualquier instrumento financiero que asegure el cobro de la garantía de manera rápida y efectiva, de ejecución inmediata, con el carácter de irrevocable y ser pagadero a la vista; (a modo ilustrativo, tales documentos podrán consistir, entre otros, en boletas de garantía bancaria, vale vista, depósitos a la vista o certificados de fianza), por un monto equivalente al 5% del valor total bruto del contrato adjudicado, emitidos en pesos chilenos, tomados por el oferente o consignar que se toma en nombre del oferente y a la orden de la Comisión para el Mercado Financiero. El documento debe ser tomado en un Banco o Institución de Garantía Recíproca establecido(a) en Chile, con oficinas en la Región Metropolitana y sujetos a las normas de la Comisión para el Mercado Financiero.

El plazo de vigencia de la garantía de fiel y oportuno cumplimiento del contrato, será la vigencia del mismo, aumentado en un período de 60 días hábiles. La garantía deberá consignar la siguiente glosa: "Garantiza el fiel y oportuno cumplimiento contrato de la licitación ID 1005498-____-LR23” (que corresponde al número de identificación de la propuesta en el Portal www.mercadopublico.cl, denominada “Número de la adquisición o ID).

En caso de presentarse un vale vista o depósito a la vista, o cualquier instrumento con similares características a éstos para garantizar el fiel y oportuno cumplimiento del contrato, el documento deberá señalar como beneficiario a la “Comisión para el Mercado Financiero”.

El plazo para entregar la garantía de fiel y oportuno cumplimiento de contrato corresponde al indicado en el cronograma de la licitación.

Dicho documento deberá ser entregado en forma física o electrónica. En caso que la caución sea remitida en forma física, se deberá entregar en la Oficina de Partes de la CMF, ubicada en Avenida Libertador Bernardo O´Higgins N° 1449, Torre I, piso 1, comuna de Santiago, Región Metropolitana, de lunes a viernes en horario de 09:00 a 13:30 Hrs.

En los casos que la garantía de fiel cumplimiento se otorgue de manera electrónica, deberá ajustarse a la Ley N° 19.799, sobre Documentos Electrónicos, Firma Electrónica y Servicios de certificación de dicha firma y ser entregada a través de la aplicación “CMF sin Papel”, disponible en el sitio web institucional.

Dicha garantía no devengará intereses ni reajuste alguno y se hará efectiva en caso de incumplimiento total o parcial del contrato o de cualquier obligación emanada del mismo por parte del adjudicatario.

Esta garantía cauciona también el pago de las obligaciones laborales y sociales con los trabajadores propios y subcontratados del oferente adjudicado.

La CMF estará facultada para hacer efectiva la garantía de fiel y oportuno cumplimiento, administrativamente y sin necesidad de requerir acción judicial alguna.

La garantía será devuelta por la CMF una vez cumplida su vigencia.

De proceder el cobro de esta garantía por las causales establecidas en estas bases de licitación, ésta deberá sustituirse por el proveedor por otra garantía de las mismas características, antes de su cobro en el Banco o Institución correspondiente, de forma que el contrato siempre permanezca garantizado. En caso de no reemplazarse la garantía, la CMF estará facultada para dar por terminado el contrato.

Si el adjudicatario no suscribe el contrato o no entrega la garantía de fiel y oportuno cumplimiento del mismo, se entenderá que éste no acepta la adjudicación, pudiendo la CMF readjudicar la licitación y suscribir el contrato respectivo, con el siguiente oferente mejor evaluado o bien, declarar desierta la licitación. La CMF se encontrará facultada en el supuesto de incumplimiento establecido en estas bases por parte del proveedor adjudicado para proceder al cobro de la garantía de seriedad de la oferta.

El oferente readjudicado, deberá cumplir con la entrega de la garantía de fiel y oportuno cumplimiento del contrato, de la documentación correspondiente, y firmar el contrato, dentro del plazo de quince (15) días hábiles contados desde la notificación de la readjudicación en el Portal Mercado Público www.mercadopublico.cl.

El adjudicatario podrá solicitar, cada 12 meses de vigencia del contrato, el reemplazo de esta garantía de fiel y oportuno cumplimiento, por una en que se mantengan las mismas condiciones y características señaladas en el presente punto, por el mismo porcentaje establecido, pero sobre la base del monto correspondiente al saldo del contrato. Lo anterior, previa certificación de la Jefatura de la Unidad de Seguridad Informática que no existen incumplimientos o multas pendientes de cobro.

12.3.- Obligaciones y prohibiciones del adjudicatario:

Sin perjuicio de las obligaciones que derivan de la propia naturaleza de la contratación, el adjudicatario deberá cumplir especialmente con las siguientes obligaciones:

a) Ejecutar el contrato de buena fe y emplear el máximo de cuidado y dedicación para su debido cumplimiento.

b) Cumplir el contrato con estricta sujeción a lo establecido en las presentes bases y en los demás documentos que rigen esta licitación.

c) Abstenerse de realizar o pretender implementar cualquier cambio en la forma de prestar los servicios que no esté considerado en las bases y que no haya sido autorizado por el encargado del contrato.

d) Dar fiel cumplimiento a todas las normas legales o reglamentarias aplicables a la contratación, especialmente en materias laborales y de previsión. La CMF junto con pedir

para la procedencia del pago de forma mensual los documentos indicados en el punto 12.2.6 de estas bases administrativas, referidos a obligaciones laborales y previsionales

de sus trabajadores directos y subcontratados, podrá requerirlos, en cualquier momento.

No existirá relación laboral alguna entre los trabajadores del proveedor directos y subcontratados y la CMF, por lo que serán de cargo exclusivo del proveedor todas las obligaciones legales y previsionales a favor de sus empleados, directos y subcontratados.

e) Dar estricto cumplimiento a la Política General sobre Seguridad de la Información de la CMF.

f) Dar cumplimiento a la Gantt entregada.

12.4.- Responsabilidad:

El adjudicatario será responsable de todos los daños o perjuicios derivados de la mala calidad o calidad insuficiente del servicio contratado y de cualquier acción u omisión de las obligaciones y condiciones que éste debe cumplir, establecidas en estas bases, en el contrato y demás documentos y antecedentes que se entienden formar parte de él.

Cualquier falta, descuido u omisión del adjudicatario en la obtención de información y estudio de los documentos relativos al proceso de licitación, no lo exime de la responsabilidad de apreciar adecuadamente los costos necesarios para la elaboración y desarrollo del servicio materia de la licitación, regida por las presentes bases administrativas, bases técnicas y sus anexos.

En consecuencia, serán de cargo del oferente, adjudicatario o contratado, todos los costos en que pudieran incurrir para corregir faltas, errores, descuidos u omisiones resultantes del análisis de la información disponible que obtengan respecto de esta licitación.

12.5.- Multas:

La CMF aplicará administrativamente multas, salvo que el incumplimiento se deba a casos de fuerza mayor o caso fortuito, los que deberán ser justificados debidamente por el proveedor.

12.5.1 Causal, monto y tope de la multa:

1) No cumplimiento de los plazos de inicio de cada servicio: Se aplicarán multas, si el proveedor no diere cumplimiento a los plazos de implementación y habilitación del servicio ofertado, de acuerdo con lo establecido en el punto 4.4 de las bases técnicas de licitación, según lo siguiente:

Se aplicará una multa de 10 UF por cada día hábil de atraso. Para estos efectos se entenderán días hábiles de lunes a viernes e inhábiles los sábados, domingos y feriados.

Si el atraso es mayor a 10 días hábiles, será causal de término de contrato.

Los atrasos se contabilizarán a partir del día siguiente al vencimiento del plazo fijado para la implementación y habilitación del servicio.

2) Incumplimiento en los plazos de entrega durante la vigencia del servicio: Se aplicarán multas por incumplimientos en los plazos de entrega acordadas durante la vigencia del servicio, de acuerdo con lo establecido en las bases técnicas de licitación, según lo siguiente:

Se aplicará una multa de 3 UF por cada día hábil de atraso. Para estos efectos se entenderán días hábiles de lunes a viernes e inhábiles los sábados, domingos y feriados.

Los atrasos se contabilizarán a partir del día siguiente al vencimiento del plazo acordado.

El tope de aplicación de estas multas será de un 10% del valor total bruto del contrato.

La multa será cobrada en pesos chilenos, considerando para la conversión el valor que posea la Unidad de Fomento al día de emisión del informe de multa señalado en el punto 12.5.2.- de estas bases administrativas.

12.5.2.- Procedimiento de aplicación de multas:

En caso de producirse alguna causal que amerite la aplicación de multas, la Jefatura de la Unidad de Seguridad Informática, deberá elaborar un informe de multas, el que deberá contener a lo menos:

a) Identificación del adjudicatario;

b) Identificación de la resolución exenta que aprueba el contrato; 

c) Responsable por parte del adjudicatario;

d) Fecha del incumplimiento por parte del adjudicatario;

e) Descripción del incumplimiento y documentación que lo respalda;

f) Monto de la multa, y

g) Firma de la Jefatura de la Unidad de Seguridad Informática.

Una vez elaborado el informe, el Departamento de Compras de la CMF lo remitirá a través de carta certificada al domicilio del proveedor establecido en el contrato, o se lo entregará personalmente en ese domicilio, indicando los hechos que constituyen el incumplimiento y el monto de la multa. A contar de la notificación de la comunicación precedente, el adjudicatario tendrá un plazo de cinco días hábiles para efectuar sus descargos, acompañando todos los antecedentes que estime pertinentes.

Dichos descargos y los antecedentes pertinentes deberán ser presentados por escrito ante la CMF, los cuales deberán ser ingresados a la Oficina de Partes de la CMF, en las dependencias ubicadas en Avda. Libertador Bernardo O´Higgins N° 1.449, Torre I, piso 1, Santiago, Región Metropolitana, dirigidos al Departamento de Compras, de lunes a viernes, en horario de 9:00 a 13:30 horas, o por vía electrónica a través de la aplicación “CMF sin Papel”, disponible en el sitio web institucional.

Si el adjudicatario hubiere presentado descargos en tiempo y forma, la CMF podrá rechazarlos o acogerlos, total o parcialmente, lo que se determinará mediante una resolución fundada que será dictada dentro del plazo de 30 días hábiles contados desde la recepción de los descargos.

Vencido el plazo sin presentar descargos, la CMF dictará la resolución de aplicación de multas.

La resolución que disponga la aplicación de una multa se notificará personalmente o por carta certificada al proveedor a su domicilio establecido en el contrato, quien tendrá un plazo de cinco días hábiles, contados desde su notificación para presentar recurso de reposición por escrito ante la CMF, os cuales deberán ser ingresados a la en la Oficina de Partes de la CMF, en las dependencias ubicadas en Avda. Libertador Bernardo O´Higgins N° 1449, Torre I, piso 1, Santiago, Región Metropolitana, dirigidos al Departamento de Compras, de lunes a viernes, en horario de 9:00 a 13:30 horas, o por vía electrónica a través de la aplicación “CMF sin Papel”, disponible en el sitio web institucional.

Los plazos para la presentación de los descargos o recurso de reposición se computarán desde el día siguiente hábil a aquél en que se notifique la aplicación de una multa.

Las notificaciones por carta certificada se entenderán practicadas a contar del tercer día siguiente a su recepción en la oficina de correos que corresponda.

Lo anterior, de acuerdo con la Ley N° 19.880, que Establece Bases de los Procedimientos Administrativos que Rigen los Actos de los Órganos de la Administración del Estado.

12.5.3.- Pago de las multas:

El monto de la multa será rebajado del estado de pago respectivo que se deba efectuar al adjudicatario o de la garantía de fiel y oportuno cumplimiento del contrato que se encuentre vigente, y, de no ser suficiente este monto o en caso de no existir pagos pendientes, se procederá al cobro directo.

Artículo 13.- Modificación del contrato:

El contrato podrá modificarse por mutuo acuerdo de las partes, siempre y cuando con el contenido de la modificación no se afecte el principio de estricta sujeción a las bases y de igualdad de los oferentes.

Las modificaciones podrán efectuarse con la finalidad de lograr un mejor cumplimiento de los objetivos del contrato o de hacerse cargo de situaciones imprevistas, ocurridas durante su ejecución, y que incidan en su normal desarrollo.

Las modificaciones no podrán afectar el precio de la oferta ni alterar las condiciones esenciales del servicio adjudicado.

La resolución que apruebe cualquier modificación al contrato, deberá ser fundada y publicarse en el Sistema de Información Mercado Público.

Artículo 14.- Confidencialidad y políticas de seguridad:

El adjudicatario y su personal, ya sea directo o subcontratado, que se encuentren ligados al contrato en alguna de sus etapas deberán guardar absoluta reserva de los documentos y antecedentes de las personas o entidades sujetas a la fiscalización de la CMF o de la propia CMF, a que tuviere acceso con ocasión de la ejecución del contrato.

Esta obligación se hará extensiva a los trabajadores, dependientes o subcontratados, ejecutivos y contratistas del adjudicatario, quien deberá velar por su estricto cumplimiento de esta obligación, la que no se extingue una vez terminado el contrato.

Asimismo, quedarán obligados, en virtud de la presente licitación, a dar estricto cumplimiento a la Política General sobre Seguridad de la Información de la CMF, especialmente en lo que dice relación con la Política de Relaciones con el proveedor, que se encuentre vigente a la fecha de la suscripción del contrato. Para estos efectos, se hará entrega al adjudicatario, en el acto de suscripción del contrato, un ejemplar de dicha política para que sea aplicada en lo que sea pertinente.

Artículo 15.- Término del contrato:

15.1.- Término normal:

El contrato terminará por el transcurso del plazo establecido en éste.

15.2.- Término anticipado del contrato:

Sin perjuicio de lo establecido en el artículo 13 de la Ley N° 19.886 y 77 de su Reglamento, el contrato podrá terminarse anticipadamente, por las siguientes causales:

a) Resciliación o mutuo acuerdo de los contratantes;

b) Incumplimiento grave de las obligaciones contraídas por el contratante;

c) Si el proveedor es declarado en quiebra o tuviere la calidad de deudor en un procedimiento concursal de liquidación, según sea el caso;

d) Término o liquidación anticipada del contratante por causa distinta a la quiebra;

e) Por causa de interés público;

f) Por exigirlo la seguridad nacional;

g) Por razones de buen servicio;

h) La constatación de que los integrantes de la UTP constituyeron dicha figura con el objeto de vulnerar la libre competencia. De verificarse tal circunstancia, se remitirán los antecedentes pertinentes a la Fiscalía Nacional Económica;

i) Si uno de los integrantes de la UTP se retira de ésta, y dicho integrante reuniese una o más características objeto de la evaluación de la oferta;

j) Ocultar información relevante para ejecutar el contrato, que afecte cualquiera de sus miembros;

k) Inhabilidad sobreviniente de alguno de sus integrantes, en la medida que la UTP no pueda continuar ejecutando el contrato con los restantes miembros, en los mismos términos adjudicados;

l) Disolución de la UTP;

m) No sustituir la garantía de fiel y oportuno cumplimiento del contrato, en el caso de haber procedido su cobro por alguna de las causales establecidas en las presentes bases.

n) Registrar saldos insolutos de remuneraciones o cotizaciones de seguridad social con sus actuales trabajadores, directos o subcontratados, o con trabajadores contratados en los últimos dos años, a la mitad del período de ejecución del contrato, con un máximo de seis meses.

Si así correspondiere y a fin de verificar la ocurrencia de esta última causal, la CMF podrá solicitar que se le exhiba, entre otros, contratos de trabajos, copias firmadas de la respectivas liquidaciones de remuneraciones del personal, directo o subcontratado, empleado en la prestación del servicio, planillas de declaración y pago de imposiciones previsionales, de salud y cesantía de dichos empleados, registro de asistencia y control de jornada de trabajo, certificado emitido por la Inspección del Trabajo correspondiente al lugar donde se ejecutan los servicios en que conste que no tienen reclamos pendientes con dicho personal por incumplimiento de leyes laborales o previsionales, o por incumplimiento de los contratos de trabajo.

Se entenderá por incumplimiento grave de las obligaciones del proveedor las siguientes, que serán certificadas por la Jefatura de la Unidad de Seguridad Informática:

a) Si a juicio de la CMF, el adjudicatario no está ejecutando el contrato de acuerdo a lo establecido en las bases y sus anexos, que forman parte de la licitación.

b) Si este afecta el normal cumplimiento de las funciones de la CMF.

c) Entrega, por parte del adjudicatario, de antecedentes inconsistentes o no verosímiles durante el proceso de licitación.

d) El incumplimiento de las obligaciones contenidas en el punto 12.3 “obligaciones y prohibiciones del adjudicatario” de estas bases.

e) Por exceder el tope de multa establecido en el numeral 12.5.1 de estas bases.

f) La cesión del contrato, en los casos no autorizados expresamente por una ley.

g) El incumplimiento al artículo 14 de estas bases “Confidencialidad y políticas de seguridad”.

El término anticipado del contrato será dispuesto por la CMF a través de una resolución fundada, previo informe de la Jefatura de la Unidad de Seguridad Informática, quien deberá informar los hechos o situaciones constitutivas de la causal del término anticipado del contrato y será publicada en el Portal a más tardar dentro de las 24 horas de dictada.

La terminación anticipada del contrato no dará derecho a indemnización alguna para el proveedor.

En caso de tratarse de una UTP, las causales podrán afectar a cualquiera de los integrantes de la unión, en cuyo caso se dispondrá el término anticipado en la forma indicada.

En caso de producirse alguna causal que amerite el término anticipado, la Jefatura de la Unidad de Seguridad Informática deberá elaborar un informe, el que deberá contener a lo menos:

a) Identificación del adjudicatario;

b) Identificación de la resolución aprobatoria del contrato; 

c) Responsable por parte del adjudicatario;

d) Fecha del incumplimiento por parte del adjudicatario;

e) Descripción del incumplimiento y documentación que lo respalda; y

f) Firma de la Jefatura de la Unidad de Seguridad Informática.

Una vez elaborado el informe, el Departamento de Compras de la CMF lo remitirá al domicilio establecido por el proveedor adjudicado en el contrato a través de carta certificada o lo entregará personalmente en ese domicilio, indicando los hechos que constituyen el incumplimiento. A contar de la notificación de la comunicación precedente, el adjudicatario tendrá un plazo de cinco días hábiles para efectuar sus descargos, acompañando todos los antecedentes que estime pertinentes.

Dichos descargos y los antecedentes pertinentes deberán ser ingresados a la Oficina de Partes de la CMF, dirigidos al Departamento de Compras, de lunes a viernes, en horario de 9:00 a 13:30 horas, o a través de la aplicación CMF sin papel disponible en el sitio web institucional.

Si el adjudicatario hubiere presentado descargos en tiempo y forma, la CMF podrá rechazarlos o acogerlos, total o parcialmente, lo que se determinará mediante una resolución fundada que será dictada dentro del plazo de 30 días hábiles contados desde la recepción de los mismos.

Vencido el plazo sin presentar descargos, la CMF dictará la resolución de término de contrato.

La resolución que disponga el término de contrato se notificará personalmente o por carta certificada al proveedor, quien tendrá un plazo de cinco días hábiles, contados desde su notificación para presentar recurso de reposición por escrito ante la CMF, los cuales deberán ser ingresados a la Oficina de Partes de la CMF, en las dependencias ubicadas en

Avda. Libertador Bernardo O´Higgins N° 1449, Torre I, piso 1, Santiago, Región Metropolitana, dirigidos al Departamento de Compras, de lunes a viernes, en horario de 9:00 a 13:30 horas, o por vía electrónica a través de la aplicación “CMF sin Papel”, disponible en el sitio web institucional.

Los plazos para la presentación de los descargos o recurso de reposición se computarán desde el día siguiente hábil a aquél en que se notifique el término anticipado de contrato.

Las notificaciones por carta certificada se entenderán practicadas a contar del tercer día siguiente a su recepción en la oficina de correos que corresponda.

Lo anterior, de acuerdo con la Ley N° 19.880, que Establece Bases de los Procedimientos Administrativos que Rigen los Actos de los Órganos de la Administración del Estado.

La CMF hará efectiva la garantía de fiel y oportuno cumplimiento de contrato en caso de término anticipado del mismo y que sea imputable al adjudicatario, de acuerdo los casos señalados en este numeral.

1. ANTECEDENTES

La Comisión para el Mercado Financiero, en adelante CMF, es la continuadora legal de la ex Superintendencia de Valores y de Seguros (SVS), y de la ex Superintendencia de Bancos e Instituciones Financieras (SBIF). La exposición a amenazas, programas maliciosos o diferentes riesgos que afectan tanto a redes de comunicación como a sistemas de información que, con el avance de la digitalización de las sociedades y la profesionalización del Cibercrimen, han aumentado exponencialmente año a año, por lo que trabajar con un equipo multidisciplinario que se encargue de prevenir, analizar, identificar, evaluar, localizar ataques u otro tipo de amenazas. Dando una oportuna y temprana respuesta a emergencias de seguridad informáticas e incidentes de seguridad de TI específicos, es de gran importancia para la institución.

2. OBJETO DE LA LICITACIÓN

La CMF llama a personas naturales o jurídicas a participar en la licitación pública por la contratación de la suscripción de tres servicios a entregarse por el periodo de 24 meses para efectuar lo siguiente:

2.1. Servicio de monitoreo Ciberseguridad, Threat Hunting, Cibervigilancia/Ciberinteligencia

Investigaciones especiales centradas en la recopilación de inteligencia valiosa y relevante en el seguimiento de los actores de amenazas específicos que representan una amenaza para el sistema financiero. Eso incluye inteligencia sobre Ransomware, eCrime, Vulnerabilidades de Red y Host, Credenciales Comprometidas, Botnets, Fraude y     Amenazas Emergentes asociadas al ámbito tecnológico tanto nacional como internacional

2.2. Servicios de Red Team (Ethical Hacking/Pentesting)

Realizar labores de evaluación, detección y revisiones de vulnerabilidades en las aplicaciones, infraestructura y redes CMF por medio de herramientas y técnicas por parte de especialistas con la finalidad de poder identificar una o más brechas de seguridad.

2.3. Servicios de IR (Incident Response)

Respuesta ante incidentes que se encuentre enfocado en enfrentar amenazas y/o riesgos materializados.  Conformado por un equipo multidisciplinario que dará una oportuna y temprana respuesta a emergencias de seguridad informáticas, dando resolución a incidentes de seguridad de TI específicos.

3. REQUERIMIENTOS GENERALES (Requerimiento 01)

Se requiere de la implementación de una plataforma para la realización de investigaciones especiales centradas en la recopilación de inteligencia valiosa y relevante y en el seguimiento de los actores de amenazas específicos que representan una amenaza para el sistema financiero. Eso incluye inteligencia sobre Ransomware, eCrime, Vulnerabilidades de Red y Host, Credenciales Comprometidas, Botnets, Fraude y Amenazas Emergentes asociadas al ámbito tecnológico. También de una planificación y puesta en marcha para efectuar evaluación, detección y revisiones de vulnerabilidades en aplicaciones infraestructura y redes de CMF, La planificación y puesta en marcha de un servicio para enfrentar amenazas y/o riesgos materializados. Una vez declarado un Incidente de ciberseguridad crítico.

La solución deberá considerar como cobertura: Todas las instalaciones, redes e infraestructura y aplicaciones de la CMF.

Debido a lo crítico del servicio, el oferente deberá acreditar que todos los profesionales considerados para este servicio cuentan con residencia en Chile y poseen contrato de trabajo vigente.

Se espera que la solución ofertada cumpla con cada una de las siguientes características de acuerdo con cada servicio:

3.1. Servicio de monitoreo Ciberseguridad, Threat Hunting, Cibervigilancia/Ciberinteligencia

1. Como parte de la propuesta, se requiere considerar un servicio de caza de amenazas (Threat Hunting) a fin de descubrir tráfico malicio los cuales corresponden en indicadores de compromiso que puedan afectar a la CMF, implementando un mecanismo de seguridad preventivo realizando un análisis de amenazas basado en evidencias y la toma de decisiones ante eventos de Seguridad (Threat Intelligence). Para esto el oferente deberá contar con herramientas propietarias y/o externas para lograr este objetivo en donde se deben indicar cuales son las fuentes de las cuales se alimenta para el proceso de Threat Intelligence y Threat Hunting. El servicio propuesto por el Oferente deberá considerar un equipo de respuesta ante la materialización de un incidente de Seguridad y/o Ciberseguridad que esté capacitado para realizar un análisis e identificación de tráfico malicioso, revisión de patrones de ataque, análisis de firmas y características a nivel de tráfico y protocolos. El proveedor deberá ser capaz también de compartir información de Indicadores compromisos que afecten a otras entidades para poder tomar decisiones de manera proactiva y ágil, con el objetivo que CMF pueda implementar reglas en los dispositivos de seguridad en el caso de ser necesario y conocer el listado de alertas tempranas.

1. Investigaciones especiales para generar alertas cuando los atacantes interactúen maliciosamente con los activos de la red, empleados o sus datos, y revisando las posibles interacciones relevantes del atacante.

1. Generar alertas tempranas sobre amenazas emergentes o inminentes, e informar ante los primeros signos de exposición potencial de datos o riesgos de terceros, a fin de detectar tráfico malicioso y/o detección de ataques informáticos desde Internet, tales como denegación de servicios (DoS y DDos) que provienen desde internet y que buscan la indisponibilidad de los servicios que actualmente posee la CMF

1. Sobre y bajo el perímetro, el oferente deberá mantener informado a CMF de los indicadores de compromiso, incluidas infecciones activas, credenciales comprometidas, etc., para fortalecer las defensas de manera preventiva.

1. Se requiere mantener un servicio de Cibervigilancia respecto de información que la CMF pueda tener expuesta en internet y que se transformen en un riesgo que busque afectar sus activos, procesos y reputación. A raíz de esto, se busca identificar de manera temprana las ciberamenazas existentes respecto a posibles brechas que afecten lo anteriormente descrito. Para esto se requiere que el oferente realice la monitorización, notificación y respuesta en modalidad 24x7 (24 horas del día, los 7 días de la semana) de las amenazas existentes que escapen al perímetro y se encuentren dentro del ciberespacio, con el objeto de que CMF tome decisiones de manera rápida y eficiente, minimizando el impacto de los procesos corporativos de las amenazas detectadas. Es por esto que se demanda una solución que ayude en la detección y respuesta ante posibles amenazas, y la obtención de toda aquella información de contexto disponible que apoye el proceso de toma de decisiones recopilando evidencias, analizando tendencias y amenazas emergentes. Para esto, se requiere que el monitoreo de los siguientes elementos:

-        Dominios sospechosos.

-        Uso no autorizado de la marca.

-        Contenidos ofensivos.

-        Fugas de información.

-        Hacktivismo / activismo y DDoS.

-        Aplicaciones móviles sospechosas.

-        Phishing y Malware.

-        Seguimiento de perfiles sociales de VIPs pertenecientes asociadas a CMF

1. Generación de alertas en tiempo real, En caso de detectar un ataque en ejecución, el servicio debe informar de manera inmediata a los contactos definidos en CMF con el detalle técnico de lo ocurrido y los mitigadores implementados para la resolución del incidente.

1. Como parte del servicio de monitoreo el oferente deberá proveer el servicio de SIEM, que se alimente de todos los activos institucionales tecnológicos que posee la CMF para consolidar y correlacionar: datos, eventos, amenazas, alertas, firmas y riesgos de toda la plataforma CMF en tiempo real. Con la información recopilada se deberá realizar la correlación respectiva y generar alertas en función de anomalías o violaciones de seguridad detectadas, permitiendo a CMF visibilizar y atender en forma temprana posibles incidentes de seguridad, con la finalidad de prevenir impactos en los servicios e imagen de CMF. La información contenida en SIEM será insumo para los respectivos análisis forenses en caso de materialización de algún evento de seguridad, los archivos de Logs, eventos y registros de servicios y plataformas correlacionadas se deberán mantener en un medio de almacenamiento online por parte del proveedor de forma segura. Para análisis particulares CMF podrá solicitar al proveedor exportación de logs, eventos o registros almacenados en SIEM y colector. CMF podrá solicitar al termino del contrato el respaldo de todos sus registros o una fracción de ellos, si lo estima conveniente.

1. Con la finalidad de detectar en forma temprana cualquier vulnerabilidad, el oferente deberá establecer e implementar métodos de correlación y detección, utilizando distintas herramientas para integrar información, usando análisis de patrones de comportamiento y logs. Se debe comprender que durante todo el periodo del contrato se adicionarán fuentes de información asociados a eventos y como consecuencia el oferente deberá estar incorporando y/o ajustando los métodos de correlación que sean necesarios para dar cobertura sobre las amenazas emergentes.

1. Se deberá entregar un Informe técnico/ejecutivo de forma mensual con el resumen del Servicio de monitoreo Ciberseguridad, Threat Hunting, Cibervigilancia/Ciberinteligencia, los primeros 5 días hábiles de cada mes. El informe deberá contener los hallazgos de los últimos 30 días con las acciones y recomendaciones a implementar para mitigarlos. Se realizará una reunión presencial en dependencias de CMF para la entrega de este informe, en la cual deberá participar la contraparte técnica del oferente para explicar en detalle los hallazgos contenidos en el documento, esta reunión podrá realizarse por videoconferencia si CMF lo estima conveniente.

1. CMF podrá solicitar informes Técnicos/Ejecutivos relacionados a la Ciberseguridad Threat Hunting, Cibervigilancia/Ciberinteligencia referente a eventos importantes del ámbito nacional/Internacional que puedan ser relevantes para la institución.

1. Se requiere una recopilación de inteligencia humana y automatizada para activos protegidos de todos los OSINT relevantes, fuentes de datos que incluyen redes sociales (globales y regionales), web superficial, web profunda y obscura, canales de comunicación encubiertos, sitios de pegado, mercados electrónicos, tiendas de aplicaciones móviles, blogs, noticias, sitios y foros de trabajos y reseñas, código compartido, vulnerabilidad bases de dato, entre otros.

1. La protección debe incluir el monitoreo de amenazas organizacionales y de marca. Esto debe incluir suplantación de identidad de marca, menciones o evidencia de violación de activos/datos de la organización en canales que no pertenecen a OSINT (incluida la fuga de datos, el compromiso de credenciales, tarjetas de crédito y otra data propietaria).

1. Se necesita que exista una alerta de vulnerabilidades para los activos tecnológicos expuestos externamente, incluido un escaneado externo de recursos tales como: servidores, sitios webs, instancias basadas en contenedores virtuales y aplicaciones relacionadas. Debe ejecutarse de manera constante en búsqueda de contraseñas predeterminadas, puertos abiertos, configuraciones incorrectas, certificados caducados y otras configuraciones no seguras. Algunos de los activos a verificar:

-        Servidores web externos/hosts web.

-        Buckets S3 que exponen la información al público.

-        Certificados SSL caducados o no válidos en el servidor web.

-        Infraestructura insegura (contraseña por defecto).

-        Cookies inseguras (vulneraciones por ataques XSS) sin configuración http-true.

-        Detección de tipos de servidores (servidores de archivos, servidores VMware/ESXi, servidores de bases de datos, dispositivos NAS/SAN).

-        Detección de puertos peligrosos (RDP 389/3389, FTP, SSH, SNMP, Telnet, Tor 9050).

1. Se requiere de una protección para dominios de nivel superior (TLD) primario para una marca o producto determinado. Cada activo protegido de dominio debe cubrir todos los subdominios derivados para el mismo TLD principal.

Que haya una eliminación universal de cualquier suplantación de identidad o cuenta/sitio/contenido malicioso y otros términos de infracciones de servicio de redes sociales, tiendas de aplicaciones móviles, sitios de pegado, dominios, código compartido y otros. Que esto se realice de forma rápida identificando y automatizando la eliminación de sitios, y contenidos maliciosos en la superficie de ataque pública con visibilidad durante todo el proceso. Esto debe incluir:

-        Cuenta de redes sociales y remediación de publicaciones.

-        Eliminación de contenido no autorizado o malicioso.

-        Eliminación de dominios y monitoreo continuo.

-        Informe de estado de eliminación.

La protección debe incluir gobernanza, control y seguridad de cuentas de redes sociales corporativas u organizacionales (las cuentas sociales corporativas son aquellas cuentas y páginas sociales de propiedad de la organización sobre las que tiene control administrativo). Adicionalmente las cuentas autenticadas dentro de la plataforma deben recibir moderación de contenido en línea para publicaciones de contenido ofensivo o inapropiado.

1. El oferente deberá contar con un equipo de expertos en inteligencia de amenazas que brinden contexto, análisis de amenazas en profundidad e inteligencia completa. Esto complementado con un análisis humano experto funcional donde se contextualicen las amenazas potenciales a la organización, activos y datos. También que exista una producción de inteligencia estratégica acabada (geopolítica, industria, amenazas globales), informes de inteligencia de amenazas diarias, semanales e informes de evaluación de amenazas mensuales.

3.2 Servicios de IR (Incident Response)

Se debe proveer de servicio y herramientas que permitan dar respuestas ante incidentes de seguridad y ciberseguridad que se materialicen en CMF o eventos relacionados que sean informados por organismos externos (CSIRT, Fiscalizados, Otros Organismos de Gobierno, Etc,).

1. Apoyar a CMF en gestión de incidentes.
2. Asesorar en el tratamiento de vulnerabilidades asociadas a incidente.
3. Contar con personal para análisis de incidente e impacto.
4. Brindar asesoría de especialistas con conocimientos en plataformas de seguridad para apoyar a CMF en la mitigación y recuperación de servicios.
5. Servicio de incluir proceso de análisis forense de incidente materializado.
6. Conformar informes detallado y resumen ejecutivo de causas de incidente.
7. Proponer mejoras en niveles de seguridad post-incidente.

Conformar informes detallado y resumen ejecutivo de análisis forense de incidente.

Proponer mejoras al proceso de correlación de eventos para robustecer monitoreo de alertas y casos de uso generados.

1. Trabajar mediante la siguiente administración de para el caso de un incidente materializado:

• Tanto para la detección cómo clasificación del incidente serán realizadas por parte de la institución.
• En cuanto al manejo en la toma de control y de revisión de antecedentes sería realizado por el equipo de respuesta ante incidentes.
• La contención y recuperación del incidente será realizada por el equipo de respuesta ante incidentes, por tanto, las recomendaciones serán realizadas a los grupos de administradores de sistemas.
• Para la mejora continua, el registro de incidente será realizado la institución a partir de informe entregado por el equipo de respuesta ante incidentes.

3.3 Horas de Especialista

El oferente deberá considerar una cantidad de 120 (Ciento veinte) horas mensuales de especialista  por todo el periodo del contrato, las horas podrán acumularse por un periodo de 6 meses y CMF  podrá utilizarlas en los siguientes procesos:

3.3.1 Servicios de Red Team (Ethical Hacking/Pentesting)

1. Este servicio deberá tener la mayor cobertura comprobable para ser realizada sobre aplicaciones, infraestructura, redes alámbricas e inalámbricas, se requiere contar con un servicio de Ethical Hacking para la ejecución de los servicios descritos, los cuáles serán ejecutadas de manera programada.  Además, se requerirá el servicio de investigación de ataques que puedan afectar el normal comportamiento de la CMF, en este servicio se debe considerar alguna de las siguientes características:

-        Análisis de vulnerabilidades.

-        Análisis forense.

-        Test de penetración hacia servicios/activos públicos y privados de CMF.

-        Hacking avanzado de sistemas; Análisis de los tipos de amenazas existentes y pruebas de concepto de ataques hacia la infraestructura de la red utilizando diferentes tipos de herramientas.

-        Test de carga de aplicaciones y/o enlaces para identificar brechas de seguridad y/o ajustes de configuraciones de seguridad.

1. Para las aplicaciones web deben realizarse fases para el desarrollo esperado, para esto se describirán a continuación.

1. La primera fase debe ser el proceso de verificación de seguridad que se centre en recoger tanta información como sea posible sobre el objetivo, teniendo subtareas las mencionadas a continuación:

-        En el primer paso dar recolectar información del objetivo; centrado específicamente en conocer la versión y tipo de servidor Web donde se aloja la aplicación.

-        Otro es una actividad orientada en identificar las aplicaciones Web alojadas en el servidor y/o aplicación objetivo.

-        Posteriormente producir y recolectar errores a nivel de las aplicaciones Web y/o infraestructura que puedan revelar información sensible o excesiva.

-        Un análisis de arquitectura de la infraestructura y topología que revele información tal como código de fuente, métodos HTTP permitidos, funcionalidades administrativas, métodos de autentificación y configuraciones infraestructurales.

-        Para una etapa final que sea enfocada en la búsqueda de información oculta (código fuente, archivos de configuración, archivos redundantes, descargables, respaldos y similares) en la aplicación Web, que no haya sido considerada durante el desarrollo o configuración de esta.

1. La segunda fase del proceso es entender la lógica de negocio de la aplicación, comprender el porqué de su existencia y aprender de ella explorando las posibilidades de explotación que esta permite.

1. La tercera fase del proceso es buscar verificar la existencia de mecanismos de autentificación, los cuales sean posteriormente probados en busca de posibles vulnerabilidades, teniendo subtareas que serán mencionadas a continuación:

-        Verificar la existencia de cuentas o combinaciones fácilmente adivinables de Usuario/Contraseña a través de la utilización de diccionarios de datos.

-        Cuando las pruebas de diccionario fallen, sea factible la utilización de un software especializado para generar todas las combinaciones posibles de usuario y contraseña con la finalidad de ganar acceso.

-        Que uno de los métodos sea la búsqueda de evasión para el esquema de autenticación de la aplicación Web intentando acceder a los recursos sin autenticación.

-        Que otra prueba sea buscar la manera de acceder a los recursos del sistema aprovechándose de vulnerabilidades o errores en las configuraciones.

-        Otra etapa sea probar cómo la aplicación maneja el proceso de “contraseña olvidada”. También comprobando si su utilización permite que el usuario almacene la contraseña en el browser (“almacenar contraseña”).

-        Verificar si las funciones de cierre de sesión funcionan adecuadamente.

1. La cuarta fase del proceso es la búsqueda de entender y comprender los mecanismos de manejo de sesiones dispuestos en la aplicación Web, para posteriormente se pueda intentar evadir, secuestrar y/o aprovechar vulnerabilidades en su implementación y manejo, teniendo subtareas que se mencionan a continuación:

-        Análisis del esquema de administración de sesiones, con la finalidad de entender cómo se han desarrollado los mecanismos de administración de sesión e intentar evadirlos o romperlos.

-        Etapa de pruebas de seguridad de los tokens de sesión entregada a los clientes e intentar manipular estas sesiones y/o cookies con el objetivo de realizar secuestros de sesiones.

-        Normalmente los tokens de sesión contienen información confidencial o privada, en este punto que se intente probar si los token de sesión exponen esta información.

-        Que en un punto se fuerce a un usuario desconocido a ejecutar acciones indeseadas en la aplicación Web en la cual se encuentra autenticado.

Para este punto el foco es intentar explotar vulnerabilidades directamente relacionadas con el protocolo HTTP explotando vulnerabilidades en la aplicación Web.

En esta fase que sean probadas las debilidades más comunes de seguridad de una aplicación Web, que la atención se centre en la falta de validación de las entradas de un cliente. Estas debilidades conducen a casi todas las vulnerabilidades importantes en aplicaciones Web, tales como interpreter injection, locale/Unicode attacks, file system attacks y buffer overflows entre otras, teniendo subtareas que se mencionan a continuación:

Que se intente determinar la susceptibilidad de la aplicación a ataques del tipo XSS (Cross Site Scripting) intentando manipular los parámetros que la aplicación recibe como entrada.

Que se realicen pruebas de Cross Site Tracing (XST) un tipo de XSS donde se verifica si el servidor Web está configurado para permitir comandos (métodos) HTTP potencialmente peligrosos.

Para la prueba que se intente inyectar consultas SQL hacia la base de Datos (DB Back end) sin que la aplicación haga una validación de estas consultas.

Otra prueba prueba similar a SQL Injection, es tener como objetivo la base de datos de usuarios LDAP.

Evaluación de la posibilidad de explotar vulnerabilidades en el código generado por herramientas del tipo ORM (Object Relational Mapping tool [Hibernate for Java, NHibernate for .NET, ActiveRecord for Ruby on Rails, EZPDO for PHP, entre otras]).

Intentar inyectar un particular documento XML en la aplicación Web, que se busque como resultado que el parser de XML falle en realizar las validaciones de los datos contenidos en el archivo.

Intentar inyectar elementos de XPath en una consulta que utilice este lenguaje.

Otra prueba es tratar de manipular y/o operar servicios de mensajería a través de la aplicación Web, inyectando código directamente sobre estos protocolos.

El objetivo sería conseguir inyectar código como una entrada y buscar que este código sea procesado por el servidor Web e interpretado como código dinámico o como un included file.

En esta etapa se requiere buscar la utilización de la aplicación Web como un medio para gatillar comandos de sistema operativo.

Intentar aprovechar ciertas faltas de control en las entradas de datos para inundar o sobrescribir espacios de memoria asignados pudiendo ganar acceso a diferentes zonas de memoria protegidas y logrando ejecutar código arbitrario una vez que la aplicación ha entrado en el estado antes indicado.

En esta fase que el objetivo se centre en verificar la seguridad de los servicios Web, conocidos popularmente como SOA (Service Orientated Architecture)/Web services.

1. El Pentest debe incluir un Retest sobre las vulnerabilidades que sean declaradas en el mismo ambiente en que se hizo la revisión principal

3.3.2 Actividades especiales de CiberSeguridad

CMF podrá solicitar a cuenta de las horas de especialista, una serie de actividades relacionadas con la Ciberseguridad, que deberán ser realizadas por especialistas expertos en esta materia, como las siguientes:

1. Servicio de Análisis de Código
2. Análisis Forenses
3. Investigaciones especiales relacionadas con CiberSeguridad
4. Asesorías en materias de Ciberseguridad
5. Capacitación
6. Test de Carga
7. Elaboración de Procedimientos de Ciberseguridad
8. Otro tipo de asesoría relacionada con Ciberseguridad

4. REQUERIMIENTOS ESPECÍFICOS

La solución que se busca debe contar con todas las características técnicas y funcionalidades que se describen a continuación:

4.1 SERVICIO DE MONITOREO CIBERSEGURIDAD, THREAT HUNTING, CIBERVIGILANCIA/CIBERINTELIGENCIA

A) COMPONENTES PARA CIBERINTELIGENCIA Y CIBERVIGILANCIA (Requerimiento 02)

1. Se requiere una recopilación de inteligencia humana y automatizada para activos protegidos de todos los OSINT relevantes, fuentes de datos que incluyen redes sociales (globales y regionales), web superficial, web profunda y obscura, canales de comunicación encubiertos, sitios de pegado, mercados electrónicos, tiendas de aplicaciones móviles, blogs, noticias, sitios y foros de trabajos y reseñas, código compartido, vulnerabilidad bases de dato, entre otros.
2. La protección debe incluir el monitoreo de amenazas organizacionales y de marca. Esto debe incluir suplantación de identidad de marca, menciones o evidencia de violación de activos/datos de la organización en canales que no pertenecen a OSINT (incluida la fuga de datos, el compromiso de credenciales, tarjetas de crédito y otra data propietaria).
3. Se necesita que exista una alerta de vulnerabilidades para los activos tecnológicos expuestos externamente, incluido un escaneado externo de recursos tales como: servidores, sitios webs, instancias basadas en contenedores virtuales y aplicaciones relacionadas. Debe ejecutarse de manera constante en búsqueda de contraseñas predeterminadas, puertos abiertos, configuraciones incorrectas, certificados caducados y otras configuraciones no seguras.
   1. Algunos de los activos a verificar:

-        Servidores web externos/hosts web.

-        Buckets S3 que exponen la información al público.

-        Certificados SSL caducados o no válidos en el servidor web.

-        Infraestructura insegura (contraseña por defecto).

-        Cookies inseguras (vulneraciones por ataques XSS) sin configuración http-true.

-        Detección de tipos de servidores (servidores de archivos, servidores VMware/ESXi, servidores de bases de datos, dispositivos NAS/SAN).

-        Detección de puertos peligrosos (RDP 389/3389, FTP, SSH, SNMP, Telnet, Tor 9050).

1. Se requiere de una protección para dominios de nivel superior (TLD) primario para una marca o producto determinado. Cada activo protegido de dominio debe cubrir todos los subdominios derivados para el mismo TLD principal.
2. Que haya una eliminación universal de cualquier suplantación de identidad o cuenta/sitio/contenido malicioso y otros términos de infracciones de servicio de redes sociales, tiendas de aplicaciones móviles, sitios de pegado, dominios, código compartido y otros. Que esto se realice de forma rápida identificando y automatizando la eliminación de sitios, y contenidos maliciosos en la superficie de ataque pública con visibilidad durante todo el proceso.
   1. Esto debe incluir:

-        Cuenta de redes sociales y remediación de publicaciones.

-        Eliminación de contenido no autorizado o malicioso.

-        Eliminación de dominios y monitoreo continuo.

-        Informe de estado de eliminación.

1. La protección debe incluir gobernanza, control y seguridad de cuentas de redes sociales corporativas u organizacionales (las cuentas sociales corporativas son aquellas cuentas y páginas sociales de propiedad de la organización sobre las que tiene control administrativo). Adicionalmente las cuentas autenticadas dentro de la plataforma deben recibir moderación de contenido en línea para publicaciones de contenido ofensivo o inapropiado.
2. Se necesita que el equipo de operaciones de seguridad de la organización, expertos en inteligencia de amenazas brinden contexto, análisis de amenazas en profundidad e inteligencia completa. Esto complementado con un análisis humano experto funcional donde se contextualicen las amenazas potenciales a la organización, activos y datos. También que exista una producción de inteligencia estratégica acabada (geopolítica, industria, amenazas globales), informes de inteligencia de amenazas diarias, semanales e informes de evaluación de amenazas mensuales.
3. Se necesitan capacidades avanzadas de Threat Hunting para los servicios internos de seguridad EPDR con analistas dedicados para la búsqueda de amenazas desconocidas o con bajos niveles de detección, que eviten la distracción de la operación diaria de la plataforma y la fatiga de alertas, con la finalidad de potenciar las capacidades de detección y reacción en fases tempranas de ataques exitosos que hayan vulnerado controles y defensas.

4.2 SERVICIOS DE RED TEAM (ETHICAL HACKING/PENTESTING)

A) TEST DE PENETRACIÓN A APLICACIONES WEB (Requerimiento 03)

1. Para las aplicaciones web deben realizarse fases para el desarrollo esperado, para esto se describirán a continuación.
2. La primera fase debe ser el proceso de verificación de seguridad que se centre en recoger tanta información como sea posible sobre el objetivo, teniendo subtareas las mencionadas a continuación:

-        En el primer paso dar recolectar información del objetivo; centrado específicamente en conocer la versión y tipo de servidor Web donde se aloja la aplicación.

-        Otro es una actividad orientada en identificar las aplicaciones Web alojadas en el servidor y/o aplicación objetivo.

-        Posteriormente producir y recolectar errores a nivel de las aplicaciones Web y/o infraestructura que puedan revelar información sensible o excesiva.

-        Un análisis de arquitectura de la infraestructura y topología que revele información tal como código de fuente, métodos HTTP permitidos, funcionalidades administrativas, métodos de autentificación y configuraciones infraestructurales.

-        Para una etapa final que sea enfocada en la búsqueda de información oculta (código fuente, archivos de configuración, archivos redundantes, descargables, respaldos y similares) en la aplicación Web, que no haya sido considerada durante el desarrollo o configuración de la misma.

1. La segunda fase del proceso es entender la lógica de negocio de la aplicación, comprender el porqué de su existencia y aprender de ella explorando las posibilidades de explotación que esta permite.
2. La tercera fase del proceso es buscar verificar la existencia de mecanismos de autentificación, los cuales sean posteriormente probados en busca de posibles vulnerabilidades, teniendo subtareas que serán mencionadas a continuación:

-        Verificar la existencia de cuentas o combinaciones fácilmente adivinables de Usuario/Contraseña a través de la utilización de diccionarios de datos.

-        Cuando las pruebas de diccionario fallen, sea factible la utilización de un software especializado para generar todas las combinaciones posibles de usuario y contraseña con la finalidad de ganar acceso.

-        Que uno de los métodos sea la búsqueda de evasión para el esquema de autenticación de la aplicación Web intentando acceder a los recursos sin autenticación.

-        Que otra prueba sea buscar la manera de acceder a los recursos del sistema aprovechándose de vulnerabilidades o errores en las configuraciones.

-        Otra etapa sea probar cómo la aplicación maneja el proceso de “contraseña olvidada”. También comprobando si su utilización permite que el usuario almacene la contraseña en el browser (“almacenar contraseña”).

-        Verificar si las funciones de cierre de sesión funcionan adecuadamente.

1. La cuarta fase del proceso es la búsqueda de entender y comprender los mecanismos de manejo de sesiones dispuestos en la aplicación Web, para posteriormente se pueda intentar evadir, secuestrar y/o aprovechar vulnerabilidades en su implementación y manejo, teniendo subtareas que se mencionan a continuación:

-        Análisis del esquema de administración de sesiones, con la finalidad de entender cómo se han desarrollado los mecanismos de administración de sesión e intentar evadirlos o romperlos.

-        Etapa de pruebas de seguridad de los tokens de sesión entregada a los clientes e intentar manipular estas sesiones y/o cookies con el objetivo de realizar secuestros de sesiones.

-        Normalmente los tokens de sesión contienen información confidencial o privada, en este punto que se intente probar si los token de sesión exponen esta información.

-        Que en un punto se fuerce a un usuario desconocido a ejecutar acciones indeseadas en la aplicación Web en la cual se encuentra autenticado.

-        Para este punto el foco es intentar explotar vulnerabilidades directamente relacionadas con el protocolo HTTP explotando vulnerabilidades en la aplicación Web.

1. En esta fase que sean probadas las debilidades más comunes de seguridad de una aplicación Web, que la atención se centre en la falta de validación de las entradas de un cliente. Estas debilidades conducen a casi todas las vulnerabilidades importantes en aplicaciones Web, tales como interpreter injection, locale/Unicode attacks, file system attacks y buffer overflows entre otras, teniendo subtareas que se mencionan a continuación:

-        Que se intente determinar la susceptibilidad de la aplicación a ataques del tipo XSS (Cross Site Scripting) intentando manipular los parámetros que la aplicación recibe como entrada.

-        Que se realicen pruebas de Cross Site Tracing (XST) un tipo de XSS donde se verifica si el servidor Web está configurado para permitir comandos (métodos) HTTP potencialmente peligrosos.

-        Para la prueba que se intente inyectar consultas SQL hacia la base de Datos (DB Back end) sin que la aplicación haga una validación de estas consultas.

-        Otra prueba prueba similar a SQL Injection, es tener como objetivo la base de datos de usuarios LDAP.

-        Evaluación de la posibilidad de explotar vulnerabilidades en el código generado por herramientas del tipo ORM (Object Relational Mapping tool [Hibernate for Java, NHibernate for .NET, ActiveRecord for Ruby on Rails, EZPDO for PHP, entre otras]).

-        Intentar inyectar un particular documento XML en la aplicación Web, que se busque como resultado que el parser de XML falle en realizar las validaciones de los datos contenidos en el archivo.

-        Intentar inyectar elementos de XPath en una consulta que utilice este lenguaje.

-        Otra prueba es tratar de manipular y/o operar servicios de mensajería a través de la aplicación Web, inyectando código directamente sobre estos protocolos.

-        El objetivo sería conseguir inyectar código como una entrada y buscar que este código sea procesado por el servidor Web e interpretado como código dinámico o como un included file.

-        En esta etapa se requiere buscar la utilización de la aplicación Web como un medio para gatillar comandos de sistema operativo.

-        Intentar aprovechar ciertas faltas de control en las entradas de datos para inundar o sobrescribir espacios de memoria asignados pudiendo ganar acceso a diferentes zonas de memoria protegidas y logrando ejecutar código arbitrario una vez que la aplicación ha entrado en el estado antes indicado.

1. En esta fase que el objetivo se centre en verificar la seguridad de los servicios Web, conocidos popularmente como SOA (Service Orientated Architecture)/Web services.
2. El Pentest debe incluir un Retest sobre las vulnerabilidades que sean declaradas en el mismo ambiente en que se hizo la revisión principal.

B) METODOLOGÍAS Y ESTANDARES SOLICITADOS A TEST DE PENETRACIÓN A APLICACIONES WEB (Requerimiento 04)

El oferente deberá presentar en su propuesta las metodologías y estándares a utilizar, que deberán ser a lo menos las siguientes:

1. ISECOM OSSTMM: Metodología abierta desarrollada para pruebas de intrusión.
2. OWASP Top 10 2021.

C) HERRAMIENTAS A UTILIZAR PARA APLICACIONES WEB (Requerimiento 05)

El oferente deberá presentar en su propuesta las herramientas a utilizar, que deberán ser a lo menos las siguientes o su equivalente técnico:

1. Nessus
2. Burpsuite
3. Netspaker
4. IBM Rational
5. Acunetix
6. Kali Linux (Sistema operativo)
7. Otro tipo de herramientas consideradas como Metodologías.

D) TEST DE PENETRACIÓN A INFRAESTRUCTURA (Requerimiento 06)

1. El servicio que se requiere debe contemplar las siguientes fases.
2. Una fase de visibilidad en cuanto a lo que puede verse, registrarse, o monitorearse en el nivel de seguridad con o sin la ayuda de dispositivos electrónicos.
3. Después una fase asociada al acceso como el punto de entrada al nivel de seguridad. Se comprende que un punto de acceso no requiere ser una barrera física. Esto puede incluir, pero no se limita a, una página web, una ventana, una conexión de red, ondas de radio, o cualquier cosa cuya ubicación soporte la definición de casi-público o donde un computador interactúa con otro por medio de una red. Limitar el acceso significa negar todo excepto lo que este expresamente permitido financieramente y por buenas prácticas.
4. Debe tener una fase de confianza la cual, es una ruta especializada en relación con el nivel de seguridad. La confianza incluye la clase y cantidad de autenticación, no-repudio, control de acceso, contabilización, confidencialidad e integridad entre dos o más factores dentro del nivel de seguridad.
5. Por otra parte, se requiere que se evalué la autenticación, teniendo en cuenta que ésta es la medida por la cual cada interacción en el proceso tiene un nivel de privilegio.
6. En la fase de no-repudio se debe proveer la garantía de que ninguna persona o sistema responsable de la interacción pueda negar envolvimiento en la misma.
7. Se necesita que la confidencialidad sea clave en esto ya que es la certeza que únicamente los sistemas o partes involucradas en la comunicación de un proceso tengan acceso a la información privilegiada del mismo.
8. Lo mismo para la privacidad donde implica que el proceso sea conocido únicamente por los sistemas o partes involucradas.
9. Una fase de autorización que permita tener la certeza de que el proceso tiene una razón o justificación de negocios y es administrado responsablemente dando acceso permitido a los sistemas.

10.  Por otra parte, se requiere que la integridad sea la certeza de que el proceso tiene finalidad y que no puede ser cambiado, continuado, redirigido o reversado sin el conocimiento de los sistemas o partes involucradas.

11.  Que exista seguridad en los medios por los cuales el proceso no puede dañar otros sistemas, o procesos incluso en caso una falla total del mismo.

12.  Otra fase sería una alarma cómo la notificación apropiada y precisa de las actividades que violan o intentan violar cualquiera de las dimensiones de la seguridad. En la mayoría de las violaciones de seguridad, la alarma es el único proceso que genera reacción.

13.  Reconocimiento de red, para esa fase se requiere que se recopile tanta información como sea posible sobre la red objetivo.

14.  También se requiere de una fase donde se evalúen las vulnerabilidades en base al resultado de un escaneo de vulnerabilidad con la finalidad de determinar si allí existe cualquier vulnerabilidad que se podría explotar para ganar acceso a un host objetivo en una red.

15.  El Pentest debe incluir un Retest sobre las vulnerabilidades que sean declaradas en el mismo ambiente en que se hizo la revisión principal.

E) METODOLOGÍAS Y ESTANDARES SOLICITADOS PARA TEST DE PENETRACIÓN A INFRAESTRUCTURA (Requerimiento 07)

El oferente deberá presentar en su propuesta las metodologías y estándares a utilizar, que deberán ser a lo menos la siguiente:

1. ISECOM OSSTMM: Metodología abierta desarrollada para pruebas de intrusión.

F) HERRAMIENTAS A UTILIZAR PARA TEST DE PENETRACIÓN A INFRAESTRUCTURA (Requerimiento 08)

El oferente deberá presentar en su propuesta las herramientas a utilizar, que deberán ser a lo menos las siguientes o su equivalente técnico:

1. Nessus
2. Burpsuite
3. Nmap

G) ENTREGABLES DEL TEST DE PENETRACIÓN EN APLICACIONES WEB COMO EN INFRAESTRUCTURA (Requerimiento 09)

1. Un Informe técnico/ejecutivo por cada escenario de pentesting ejecutado, dentro de los 5 días posteriores a su realización.

4.3 SERVICIOS DE IR (INCIDENT RESPONSE)

A) PROTOCOLO DE GESTIÓN DE INCIDENTES DE SEGURIDAD (Requerimiento 10)

1. El servicio debe estar enfocado en enfrentar amenazas y/o riesgos materializados. Por lo que debe considerar los siguientes pasos:

a. Se debe tener un contacto inicial telefónico constante con la CMF dentro de la primera hora de ser notificados.

b. Una asistencia on-site de un consultor líder en las dependencias de la CMF (Región Metropolitana) dentro de la siguiente hora del contacto inicial.

c. On-site, este consultor líder debe armar un equipo de especialistas necesarios en las dependencias de la CMF, dentro de las 2 horas siguientes.

d. Este equipo acompañará a nuestro equipo (CMF), durante toda la incidencia con un máximo aproximado de 3 semanas, garantizando al menos responder a lo siguiente: ¿Qué Pasó? y ¿Cómo se resuelve?

e. Posteriormente a las 3 semanas, se debe entregar la información respecto de la investigación y de los antecedentes recopilados, procediendo al cierre del incidente.

B) PRERREQUISITOS FRENTE A UN INCIDENTE (Requerimiento 11)

1. Para cada incidente se entregarán logs de auditoría en un repositorio o SIEM, para que así se puedan abordar rápidamente los incidentes como Command&Control, ATP, exfiltración o reducir considerablemente los tiempos de investigación.
2. De ser necesario la CMF podrá entregar los siguientes accesos:

a. VPN (con privilegios para revisar configuraciones dependiendo del sistema operativo y/o el dispositivo).

b. Otros sistemas de seguridad, como, por ejemplo: EDR, Antivirus, Firewall, DLP, NAC, etc.

c. SIEM (solo lectura).

d. Hipervisor (solo lectura).

e. Logs en las fuentes (solo lectura).

C) ENTREGABLES GESTIÓN DE INCIDENTES DE SEGURIDAD (Requerimiento 12)

1. Dentro de las 48 horas posteriores a la solución de un incidente, el oferente deberá entregar un informe con el detalle de las acciones realizadas, participantes y efecto obtenido.
2. Dentro de los 5 días hábiles, el oferente deberá entregar un informe que indique las causas que provocaron el incidente, acciones realizadas para su solución y recomendaciones de mejora a implementar para que no se repita.

D) ANÁLISIS DE VULNERABILIDADES INTERNAS (Requerimiento 13)

1. Evaluar la infraestructura interna considerando cada componente independiente como una parte integral del mismo, prestando especial atención en la disponibilidad, rendimiento y calidad de este.
2. La carga de trabajo debe estar dividida en análisis, tanto automatizados como manuales y su porcentaje será acordado en conjunto entre la CMF y el adjudicatario.

E) HERRAMIENTAS PARA ANÁLISIS DE VULNERABILIDADES INTERNAS (Requerimiento 14)

El oferente deberá presentar en su propuesta las herramientas a utilizar, que deberán ser a lo menos las siguientes o su equivalente técnico:

1. Nessus.
2. Rapid7.

F) ANÁLISIS DE VULNERABILIDADES DE LOS SISTEMAS OPERATIVOS (Requerimiento 15)

1. Evaluar los sistemas operativos considerando cada componente independiente como una parte integral del mismo, prestando especial atención en la disponibilidad, rendimiento y calidad de estos.

2. Adicionalmente del escaneo de vulnerabilidades se deberán realizar las siguientes actividades mínimas:

a. Identificación de usuarios administradores.

b. Identificación de todos los usuarios locales y sus estados (activo-bloqueado-deshabilitado).

c. Identificación de carpetas compartidas y sus permisos.

d. Detalle de configuración de auditoría y logs.

e. En sistemas Windows, obtener el inventario de GPOs clasificadas por servidores para permitir granularidad.

f. Estado del Firewall de equipo.

3. La carga de trabajo debe estar dividida en análisis, tanto automatizados como manuales y su porcentaje será acordado en conjunto entre la CMF y el adjudicatario.

G) HERRAMIENTAS PARA ANÁLISIS DE VULNERABILIDADES DE LOS SISTEMAS OPERATIVOS (Requerimiento 16)

El oferente deberá presentar en su propuesta las herramientas a utilizar, que deberán ser a lo menos las siguientes o su equivalente técnico:

1. Nessus.
2. Nmap.
3. Acunetix.
4. Kali Linux (Sistema Operativo).
5. Otras herramientas que permitan realizar los análisis de Vulnerabilidades

H) RETEST ANÁLISIS DE VULNERABILIDADES (INTERNAS Y SISTEMAS OPERATIVOS) (Requerimiento 17)

1. La revisión debe incluir un retest sobre las recomendaciones declaradas y aplicadas dentro de un periodo de 3 meses previa coordinación en conjunto entre la CMF y el adjudicatario en el mismo ambiente en que se hizo la revisión principal.

I) ENTREGABLES DE ANÁLISIS DE VULNERABILIDADES (Requerimiento 18)

1. El oferente deberá entregar en un plazo de 5 días hábiles el informe técnico/ejecutivo con los resultados del análisis de vulnerabilidades, el que debe contener a lo menos los hallazgos y recomendaciones para su mitigación.
2. CMF podrá solicitar una reunión para revisar el informe, en la que tendrá que participar la contraparte técnica. Esta reunión podrá ser presencial o por videoconferencia, según lo estime CMF.

J) CERTIFICACIONES POR SERVICIOS Y EVALUABLES O CURSOS DE INTEGRANTES DEL EQUIPO ASOCIADOS A LOS CUATRO SERVICIOS (Requerimiento 19)

Los integrantes del equipo deberán, en su conjunto, contar a lo menos dos de las siguientes certificaciones o cursos (por ejemplo, un equipo con dos integrantes cada uno con una certificación, o uno de los integrantes que cuente con dos certificaciones):

1. OSCP (Offensive Security Certified Professional)
2. OSWP (Offensive Security Wireless Professional)
3. OSEP (Offensive Security Experienced Penetration Tester)
4. OSWA (Offensive Security Web Assessor)
5. OSWE (Offensive Security Web Expert)
6. eJPT (eLearnSecurity Junior Penetration Tester)
7. eCPPTv2 (eLearnSecurity Certified Professional Penetration Tester)
8. eWPTXv2 (eLearnSecurity Web Application Penetration Tester eXtreme)
9. eCPTX (eLearnSecurity Certified Penetration Tester eXtreme)

10.  eWPTv1 (eLearnSecurity Web Application Penetration Tester)

11.  CRPT (Certified Red Team Professional)

12.  CRTE (Certified Red Team Expert)

13.  FOR500: Windows Forensic Analysis

14.  FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics

15.  FOR578: Cyber Threat Intelligence

16.  SEC560: Enterprise Penetration Testing

17.  SEC542: Web App Penetration Testing and Ethical Hacking

18.  GIAC Certified Forensic Analyst (GCFA)

19.  GIAC Network Forensic Analyst (GNFA)

20.  GIAC Certified Forensic Examiner (GCFE)

21.  GIAC Cyber Threat Intelligence (GCTI)

22.  GIAC Reverse Engineering Malware (GREM)

23.  GIAC Certified Incident Handler (GCIH)

24.  GIAC Certified Intrusion Analyst (GCIA)

25.  GIAC Certified Detection Analyst (GCDA)

26.  GIAC Penetration Tester (GPEN)

27.  GIAC Web Application Penetration Tester (GWAPT)

28.  Curso de DFIR y Análisis Forense en Windows (Securizame)

29.  Curso de DFIR y Análisis Forense en Linux (Securizame)

30.  IRCP (Incident response certified professional)

31.  RTCP (Red team certified professional)

Las certificaciones no podrán tener una antigüedad máxima desde el 2020 a la fecha. No se aceptarán certificaciones vencidas o caducadas.

Para acreditar que las personas contratadas cuentan con certificaciones y/o cursos deben presentar las certificaciones, certificados o diplomas que acrediten dicha condición

Al momento de ofertar, los oferentes deberán acreditar con la documentación pertinente, que dichas personas se encuentran con contrato vigente y residen en Chile, adjuntando copia simple del contrato firmado por ambas partes. Si no es acreditada esta información, los profesionales no serán considerados.

4.4 PUESTA EN MARCHA (Requerimiento 20)

Se deberá adjuntar Carta Gantt con la programación de las actividades que se realizarán para dejar en pleno funcionamiento los servicios solicitados en esta licitación, respetando los plazos máximos que se indican a continuación: