INFOTEC CENTRO DE INVESTIGACIÓN E INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN DIRECCIÓN ADJUNTA DE DESARROLLO TECNOLÓGICO UNIDAD DE GESTIÓN DE SEGURIDAD ANEXO TÉCNICO ANEXO TÉCNICO 1.1. DESCRIPCIÓN DEL PROYECTO / IDENTIFICACIÓN DEL BIEN O SERVICIO 1.1.1. Nombre del proyecto / adquisición del bien o servicio. 010 - Certificados Digitales SSL 1.1.2. Duración del proyecto / servicio. A partir de la fecha de fallo del procedimiento de contratación y hasta el 30 de abril de 2019. 1.2. ALCANCE Se requiere de una bolsa económica que permita solicitar 4 tipos de certificados digitales: CERTIFICADO TIPO 1 VERISING CERTIFICADO TIPO 2 GEOTRUST Multidominio CERTIFICADO TIPO 3 GEOTRUST CERTIFICADO TIPO 4 SYMANTEC UNIFIED COMMUNICATIONS (SAN) 1.3. OBJETIVO Brindar al INFOTEC de capacidades técnicas para poder continuar ofertando su amplio catálogo de soluciones tecnológicas en materia de seguridad informática. 1.4. REQUERIMIENTO INFOTEC requiere de un servicio de suministro bajo demanda de expedición de Certificados Digitales a sus clientes vía SSL (Secure Sockets Layer) por su siglas en inglés, lo anterior servirá para proteger los sitios WEB que así lo soliciten, con el objetivo de reforzar la seguridad de sus sistemas transaccionales en internet; derivado de que el servicio es bajo demanda, el método de pago será en 15 días hábiles una vez entregada la factura. Para reforzar la seguridad en los sistemas transaccionales, El Certificado Digital es una clave importante, ya que es un documento digital mediante el cual una Autoridad Certificadora garantiza la relación entre la identidad de un usuario o entidad y su llave pública. La Autoridad Certificadora es una organización confiable que emite o revoca certificados de entidades, mediante la validación y autentificación de dichas solicitudes. La llave pública permite cifrar el mensaje enviado (puede ser compartida con cualquier persona), mientras que la llave privada permite descifrarlo (solo tiene acceso el propietario del certificado, misma que puede ser almacenada en una tarjeta inteligente por ejemplo). Un certificado digital permite identificarse en Internet así como intercambiar información con otras personas o entidades, con la garantía de que sólo quien posee la llave privada puede tener acceso a dicha información, derivado de esta necesidad existen clientes en INFOTEC que requieren certificados digitales para el reforzamiento de la seguridad en sus sistemas transaccionales los cuales son utilizados por sus usuarios finales para realizar operaciones a través de internet. Formato ANEXO TÉCNICO, v 1.0. NOVIEMBRE 2014 1 INFOTEC CENTRO DE INVESTIGACIÓN E INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN UNIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES ANEXO TÉCNICO Los certificados digitales son utilizados para aumentar la seguridad de las transacciones en Internet y ayudan a disminuir los fraudes virtuales por suplantaciones de identidad (tanto de personas como de empresas). Los certificados digitales permiten verificar que la información que se envía es auténtica, es decir que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado (criptograma) no haya sido modificado en su tránsito. Así pues los certificados digitales, proporcionan un mecanismo para verificar la autenticidad de programas y documentos obtenidos a través de la red, como por ejemplo el envío de correo encriptado, firmas digitales, control de acceso a recursos, la validación oficial de documentos electrónicos, etc. CARACTERÍSTICAS TÉCNICAS Las características técnicas de los certificados solicitados se describen a continuación: Certificado Tipo 1 Certificados Digitales SSL de 128/256 bits Verisign Secure Site Pro. Ofrecerán la privacidad de la información que fluye entre el servidor Web y el navegador del usuario El Certificado ofrecerá autenticación, validación y privacidad contra los sitios Web fraudulentos y de phishing. Garantizará la identidad. Cifrado a 128/256 bits Algoritmo de hashing SHA1 Firmado por una unidad certificadora reconocida “ Verising Secure Site Pro” Con vigencia de 1 a 4 años por certificado. Certificado Tipo 2 Certificados Digitales SSL de 128/256 bits Getrust True BusinessID y True BusinessID MultiDomain (5 domains) Ofrecerán la privacidad de la información que fluye entre el servidor Web y el navegador del usuario El certificado ofrecerá autenticación, validación y privacidad contra los sitios Web fraudulentos y de phishing. Garantizará la identidad. Cifrado a 128/256 bits Algoritmo de hashing SHA1 Firmado por una unidad certificadora reconocida “ GeoTrust” Con vigencia de 1 a 4 años por certificado. Los certificados soportarán subdominios asociados al mismo (wildcard y el Tipo SAN) Certificado Tipo 3 Certificados Digitales SSL de 128/256 bits Getrust SSL Wildcard Formato ANEXO TÉCNICO, v 1.0. NOVIEMBRE 2014 2 INFOTEC CENTRO DE INVESTIGACIÓN E INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN UNIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES ANEXO TÉCNICO Ofrecerán la privacidad de la información que fluye entre el servidor Web y el navegador del usuario El certificado ofrecerá autenticación, validación y privacidad contra los sitios Web fraudulentos y de phishing. Garantizará la identidad. Cifrado a 128/256 bits Algoritmo de hashing SHA1 Firmado por una unidad certificadora reconocida “ GeoTrust” CANTIDAD TIPO DE CERTIFICADO CERTIFICADO TIPO 1 VERISING Secure Site Pro *128/256Bits de encriptación Soporte técnico para solicitud, instalación y operación CERTIFICADO TIPO 2 GEOTRUST True Bussiness Multi-Domain 128/256 Bits de encriptación Soporte técnico para solicitud, instalación y operación CERTIFICADO TIPO 3 GEOTRUST SSL Wildcard 128/256 Bits de encriptación Soporte técnico para solicitud, instalación y operación CERTIFICADO TIPO 4 SYMANTEC UNIFIED COMMUNICATIONS (SAN) Puede proteger múltiples FQDN. Ofrecen flexibilidad cuando los sitios web no comparten el mismo nombre de dominio. Soporte técnico para solicitud, instalación y operación CANTIDAD MÍNIMO/MÁXIMO DURACIÓN DE CADA CERTIFICADO Mínimo 50 Máximo 125 Mínimo 25 Máximo 62 Mínimo 2 Máximo 5 12 meses Mínimo 2 Máximo 5 Las cantidades a las que hace referencia cada tipo de certificado como mínimas y máximas son enunciativas más no limitativas, por lo que no constituyen una limitante para las solicitudes en caso de no estar dentro del umbral establecido. Las solicitudes de certificados únicamente estarán limitadas por la vigencia y monto del contrato. CARACTERÍSTICAS DEL SERVICIO EL PRESTADOR deberá de gestionar y solicitar a la entidad certificadora los certificados requeridos por el INFOTEC, así mismo deberá realizar los trámites en caso de que sea necesario para la solicitud de garantías ante dicha entidad certificadora. Formato ANEXO TÉCNICO, v 1.0. NOVIEMBRE 2014 3 INFOTEC CENTRO DE INVESTIGACIÓN E INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN UNIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES ANEXO TÉCNICO INFOTEC solicitará a EL PRESTADOR bajo demanda y como se vayan requiriendo los certificados contratados en el rubro de CANTIDAD, estos certificados deberán estar disponibles para su emisión cuando así los requiera el INFOTEC. EL PRESTADOR deberá ofrecer una propuesta en la cual cotice sus certificados de manera anual y deberá de mantener los precios pactados desde el momento de la firma del contrato y hasta la finalización del mismo. La vigencia del certificado ofertado será de 1 (un) año y en caso de requerir certificados por un tiempo mayor, se utilizarán más certificados de los que se tengan disponibles para dicho fin. EL PRESTADOR deberá de solicitar al INFOTEC la información necesaria para la gestión del certificado, en donde se detallen todos los requerimientos necesarios para gestión de dichos certificados. NIVELES DE ATENCIÓN Los certificados digitales son emitidos por entidades certificadoras con reconocimiento a nivel mundial, cumpliendo con los más altos estándares de autenticación de sitios WEB en el sector de la seguridad en internet. El servicio cuenta con: Apoyo telefónico durante las instalaciones de los certificados. Apoyo Técnico vía telefónica por la vigencia del certificado a partir de la generación de los mismos para cualquier plataforma de Sistema Operativo. Guías para su instalación en cualquier plataforma de Sistema Operativo. Entrega del certificado en 72 (setenta y dos) horas como tiempo máximo una vez entregada la documentación necesaria a EL PRESTADOR. BENEFICIOS El uso de los certificados digitales permite generar la infraestructura necesaria para proporcionar servicio seguros en Internet, y fomentar así el desarrollo del comercio electrónico y sistemas transaccionales de nuestros clientes. Garantizan la integridad de las transacciones y archivos. Garantizan la confidencialidad. Garantizan la autenticidad. Hacen irrefutable una transacción. Con un certificado digital es posible acreditar la existencia de una empresa o persona en la red y asegurar la identidad digital de los sitios web, con el objetivo de realizar envíos de información y transacciones electrónicas seguras y confidenciales. 1.5. LUGAR Y TIEMPO DE ENTREGA/PRESTACIÓN DEL SERVICIO La duración del presente servicio será por 35 (treinta y cinco) meses, durante los cuales el INFOTEC podrá solicitar a EL LICITANTE nuevos certificados digitales bajo demanda. Cabe Formato ANEXO TÉCNICO, v 1.0. NOVIEMBRE 2014 4 INFOTEC CENTRO DE INVESTIGACIÓN E INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN UNIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES ANEXO TÉCNICO señalar que cada certificado tendrá una duración de un año. Es decir, que para solicitudes multianuales, se utilizarán 2 (dos) o 3 (tres) certificados digitales de la bolsa disponible. Durante el periodo de vigencia del contrato, el INFOTEC solicitará certificados y se pagarán a contra entrega y validación del área solicitante. 1.6. ENTREGABLES Se realiza un entregable por cada certificado solicitado que viene firmado tanto por el proveedor como por INFOTEC con el cual se valida la entrega del certificado solicitado Nombre del entregable Formato del entregable Fecha de entrega Reporte de certificados SSL Electrónico y Físico 3 día hábiles posteriores a la entrega del certificado Nota el reporte deberá contener lo siguiente: Dominio principal Descripción del bien Cantidad Fecha de emisión Estatus del certificado Quien recibe el bien Fecha del VoBo y recepción del bien 1.7. NIVELES DE SERVICIO Formato ANEXO TÉCNICO, v 1.0. NOVIEMBRE 2014 5 INFOTEC CENTRO DE INVESTIGACIÓN E INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN UNIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES ANEXO TÉCNICO El proveedor cuenta con hasta 5 días naturales máximo para la entrega de los certificados digitales que el INFOTEC vaya solicitando, en caso de incumplimiento o retraso en la entrega se hará acreedor a una deductiva de acuerdo al tiempo de retraso. PENALIZACIÓN Y DEDUCCIONES AL PAGO Se realiza una deductiva por cada día de retraso en la entrega de los certificados digitales solicitados de acuerdo a la siguiente fórmula (contando a partir del 6 día natural): 𝐷 = 𝑑 × 𝑉 × 1% Es decir que a partir del sexto día natural se descontará el 1% del valor del certificado digital. Dónde: D [Deductiva], d [días de retraso en la entrega del certificado] V [Valor del certificado digital] La deductiva que será descontada de la factura que el proveedor emita para el cobro de los certificados digitales correspondientes. Formato ANEXO TÉCNICO, v 1.0. NOVIEMBRE 2014 6