Artículo 1.- Objeto de la licitación:

La CMF llama a presentar ofertas en la licitación pública para la contratación de herramientas y servicios especializados de ciberseguridad, según las especificaciones que se han definido en las presentes bases administrativas, técnicas y sus anexos.

Artículo 2.- Mandante de la licitación:

El mandante de la licitación es la Comisión para el Mercado Financiero, cuyo domicilio es Avenida Libertador Bernardo O’Higgins N°1449, Torre II, piso 2, comuna de Santiago, Región Metropolitana, representada por su presidenta.

Artículo 3.- Datos básicos de la licitación:

3.1.- Gastos:

Los gastos en que incurran los oferentes con motivo de la presente licitación serán de su exclusivo cargo, sin derecho a ningún tipo de reembolso por parte de la CMF.

3.2.- Documentación que rige esta licitación:

Esta licitación se rige por lo previsto en la Ley Nº19.886 y su Reglamento contenido en el Decreto Supremo Nº661, de 2024, del Ministerio de Hacienda, y por los documentos que a continuación se indican, los que, en caso de discrepancias, se interpretarán en forma armónica a las presentes bases de licitación, manteniendo el siguiente orden de prelación:

a.- Bases administrativas, técnicas y anexos de la licitación;

b.- Modificaciones a las bases que, eventualmente, podrá hacer la CMF, a través de la resolución correspondiente;

c.- Respuestas a las preguntas de los oferentes, y,

d.- Aclaraciones a las ofertas que hayan sido solicitadas por la CMF.

Los interesados en conocer los documentos señalados anteriormente, podrán hacerlo accediendo al Portal Mercado Público.

3.3.- Modificaciones a las bases:

La CMF podrá modificar las bases administrativas, técnicas y sus anexos, ya sea por iniciativa propia o en atención a una consulta planteada por alguno de los oferentes, hasta el día antes del vencimiento del plazo para presentar ofertas. Estas modificaciones deberán ser aprobadas mediante resolución y serán publicadas en el Portal Mercado Público. En caso de ser necesario, se deberá fijar prudencialmente un nuevo plazo para la presentación de las ofertas, de manera de permitir que los oferentes puedan conocer y adecuar sus ofertas a tales modificaciones.

3.4.- Cronograma de la licitación:

El siguiente cronograma presenta la duración de cada etapa considerada para la presente licitación pública. Los plazos definidos son contados desde la fecha de publicación de las bases en el Portal www.mercadopublico.cl.

Los plazos de días establecidos en las presentes bases son de días corridos, salvo que se indique lo contrario.

Si el día fijado como término de algunos de los plazos indicados, coincidiese con un día sábado, domingo o festivo, la actividad correspondiente deberá realizarse en el día hábil siguiente.

Con todo, el plazo de cierre para la recepción de ofertas no podrá vencer en días inhábiles ni en un día lunes o en un día siguiente a un día inhábil, antes de las 15:00 horas.

3.6.- Período de consultas, preguntas, aclaraciones y respuestas:

Toda consulta o pregunta por parte de los oferentes relativas a las bases de la presente licitación, deberán formularse a través del Portal www.mercadopublico.cl, en el ID respectivo, durante el período comprendido entre la fecha de inicio de consultas y el período de cierre de éstas indicado en el cronograma de licitación. Las consultas serán contestadas por la CMF a todos los interesados a través del mismo Portal. Dichas respuestas se considerarán como parte integrante de las presentes bases de licitación.

Las respuestas a las consultas formuladas en el Portal durante el procedimiento licitatorio, que impliquen una modificación a los antecedentes de la licitación, serán sancionadas por el respectivo acto administrativo, que será publicado en dicho Portal.

Por su parte, la CMF podrá aclarar, complementar y corregir las bases administrativas, bases técnicas y sus anexos hasta el día anterior al día fijado para la recepción de ofertas, las que serán publicadas en el Portal y serán consideradas como parte integrante de dichas bases.

Artículo 4.- Contenido de la oferta:

Los oferentes deberán presentar sus ofertas a través del Portal Mercado Público, en formato electrónico o digital, dentro del plazo de recepción de estas, según lo indicado en el cronograma de la licitación.

La oferta se compone de los antecedentes administrativos, de la oferta técnica y de la oferta económica según se detalla en los siguientes puntos 4.1, 4.2 y 4.3 respectivamente.

Las ofertas deberán presentar la información solicitada en los anexos de las presentes bases, según corresponda, los que, para estos efectos, se encontrarán disponibles en el Portal Mercado Público.

En caso que el oferente quiera complementar la información de su oferta con archivos adicionales a lo requerido en estas bases, deberá hacer la referencia en su “Propuesta Técnica Detallada” (apartado 4.2.- Oferta Técnica, de las presentes bases administrativas) a la página y al nombre del documento adicional que la complementa. De no existir la referencia solicitada, estos documentos adicionales podrán no ser considerados por la comisión evaluadora en la revisión de las ofertas.

Se deja establecido que la sola circunstancia de presentar una oferta para esta licitación implica que el respectivo oferente ha analizado las bases administrativas, técnicas, anexos, aclaraciones y respuestas a las preguntas de la licitación, con anterioridad a la presentación de su oferta, y que manifiesta su conformidad y aceptación sin ningún tipo de reservas ni condiciones a toda la documentación referida.

4.1.-     Antecedentes administrativos:

Los oferentes deberán presentar, a través del Portal Mercado Público, en formato electrónico o digital, dentro del plazo de recepción de las ofertas, los siguientes documentos:

4.1.1.- Declaración jurada electrónica en la plataforma dispuesta por la Dirección de Compras y Contratación Pública, en atención a su Directiva de Contratación Pública N°37, recomendaciones sobre el uso y aplicación del registro de proveedores.

Las inhabilidades para la presentación de las ofertas afectarán a cada integrante de la UTP individualmente considerado, ya sea persona natural y/o jurídica, debiendo el apoderado o representante de la UTP firmar la declaración jurada en nombre de cada uno de los integrantes, conforme el formato contenido en el Anexo N°1-A o 1-B, según corresponda a su tipo de persona (jurídica o natural).

4.1.2.-  Identificación del oferente, de acuerdo con el formato del Anexo N°2.

Todos los oferentes deberán presentar el documento “Identificación del oferente” de acuerdo con el formato del Anexo N°2.

Además, aquellos oferentes que presenten su oferta como una UTP, deberán presentar, un documento público o privado que dé cuenta del acuerdo para participar de esta forma. Este documento deberá contener la identificación de los integrantes de la UTP y la solidaridad entre las partes respecto de todas las obligaciones que se generen con la CMF, por lo que todos y cada uno de los integrantes de una UTP serán individualmente responsables respecto de las obligaciones derivadas de la licitación y del respectivo contrato, por lo que el instrumento de constitución de la UTP no puede incluir cláusulas de exención o limitación de responsabilidad para alguno de los integrantes de la UTP.

Asimismo, deberá contener el nombramiento de un representante o apoderado común con poderes suficientes, explicitándose en el acuerdo de constitución de la UTP el otorgamiento de poderes suficientes para representar a todos sus integrantes ante la CMF. Además, el acuerdo de constitución de la UTP deberá establecer su duración, la cual deberá extenderse por el tiempo que corresponda al proceso de licitación en la que participa, incluida la vigencia del contrato que eventualmente se adjudique.

El acuerdo de constitución de una UTP puede incorporar otras cláusulas adicionales que los integrantes determinen como necesarias y relevantes para el funcionamiento de la UTP, siempre y cuando se ajusten a las disposiciones de la Ley de Compras y su Reglamento, así como de las respectivas bases de licitación y el contrato.

Toda modificación que experimente la UTP debe ser informada de inmediato a la CMF, debiendo acompañarse el respectivo instrumento modificatorio. Toda modificación relativa a la integración o características de la UTP debe materializarse a través de las mismas formalidades necesarias para su constitución.

Asimismo, en caso de ser adjudicada su oferta, al momento de contratar, el adjudicatario deberá presentar:

a.- Una copia de Inscripción con vigencia de la persona jurídica, otorgada por el Conservador de Bienes Raíces respectivo. De la misma manera, para el caso de sociedades constituidas al amparo de la Ley N°20.659, deberá presentar el certificado de vigencia y el certificado de estatuto actualizado, ambos otorgados por el Ministerio de Economía, Fomento y Turismo, que no podrán tener una antigüedad superior a 3 meses.

b.- Una copia escaneada en formato electrónico de su escritura de constitución o una copia de escritura, acta de directorio reducida a escritura pública, u otro instrumento público en el que conste el nombre del (los) representante (s) legal (es) del proveedor y las facultades de que están investidos para representarla. Si se trata de personas jurídicas que no se constituyan mediante escritura pública inscrita en el Registro de Comercio correspondiente (Ley N°20.659, que Simplifica el Régimen de Constitución, Modificación y Disolución de las Sociedades Comerciales), deberá acompañar los documentos que resulten idóneos para acreditar su existencia y la personería del representante, emitidos con una antelación no superior a seis meses.

En caso de adjudicar el servicio a una UTP que se encuentre conformada por una o más personas jurídicas, deberá presentarse al momento de contratar los documentos aludidos en los párrafos que preceden correspondiente a cada una de las personas jurídicas. Junto a lo anterior, deberá acompañar una escritura pública como documento para contratar donde conste la unión temporal de conformidad con lo dispuesto en el artículo N°180, del Decreto Supremo N°661, de 2024, del Ministerio de Hacienda, que aprueba el Reglamento de la Ley N°19.886.

Respecto de los oferentes que se encuentren constituidos como agencias de sociedades extranjeras, de acuerdo con lo dispuesto en los artículos 447 a 450 del Código de Comercio y artículos 121 a 124 de la Ley N°18.046 sobre Sociedades Anónimas, deberán acompañar los documentos señalados en el artículo 447 del Código de Comercio o 121 de la Ley N°18.046, según sea el caso.

Los oferentes que se encuentren inscritos en el Registro Electrónico Oficial de Proveedores del Estado no deberán acompañar estos documentos si ellos u otros similares se encuentran disponibles y vigentes en dicho Registro.

4.1.3.- Garantía de seriedad de la oferta:

La seriedad de la oferta se garantizará con una caución equivalente a $1.000.000.- (un millón de pesos).

La caución deberá consistir en cualquier instrumento que asegure el cobro de la garantía de manera rápida y efectiva, de ejecución inmediata, con el carácter de irrevocable y ser pagadero a la vista (a modo ilustrativo, tales documentos podrán consistir, entre otros, en boletas de garantía bancaria, vales vista, depósitos a la vista o certificados de fianza), tomado por el oferente o señalar en el documento que se toma en nombre del oferente, en un Banco o Institución de Garantía Recíproca establecido(a) en Chile, con oficinas en la Región Metropolitana y sujetos a las normas de la Comisión para el Mercado Financiero, nominativo a nombre de la Comisión para el Mercado Financiero, RUT N°60.810.000-8, consignando la siguiente glosa: "Garantiza Seriedad Oferta Propuesta Pública ID 1005498-___-LR25” (que corresponde al número de identificación de la propuesta en el Portal www.mercadopublico.cl, denominada “Número de la adquisición o ID”).

En caso de presentarse un vale vista o depósito a la vista, o cualquier instrumento con similares características a éstos para garantizar la seriedad de la oferta, el documento deberá señalar como beneficiario a la “Comisión para el Mercado Financiero”.

La vigencia del documento no podrá ser inferior a 90 días corridos, contados desde la fecha de cierre de recepción de ofertas del llamado a licitación.

Si dentro de ese plazo no se puede suscribir el contrato, la CMF solicitará al adjudicatario, antes de la fecha de su expiración, la renovación de la garantía de seriedad de la oferta. Si no lo hiciere, la adjudicación se dejará sin efecto.

Esta garantía se hará efectiva, sin notificación ni forma de juicio, si el oferente:

a)     Retira su oferta dentro del plazo de vigencia de la misma, encontrándose en proceso la licitación.

b)     Si siéndole adjudicada la licitación, no proporciona oportunamente los antecedentes necesarios para elaborar el contrato respectivo, o no suscribe el contrato dentro del plazo fijado por la CMF para hacerlo.

c)     No entregare la garantía de fiel y oportuno cumplimiento del contrato dentro del plazo dispuesto en el cronograma de la licitación.

d)     Presenta antecedentes inconsistentes o no verosímiles.

e)     En los demás casos que las presentes bases administrativas de licitación lo establezcan.

f)     En los demás casos que la Ley N°19.886 y su Reglamento así lo establezcan.

Dicho documento deberá ser entregado en forma física o electrónica. En caso de que la caución sea remitida en forma física, para los días que van desde la publicación hasta el día de cierre de la licitación, se deberá entregar en la Oficina de Partes de la CMF, ubicada en Avenida Libertador Bernardo O´Higgins N°1449, Torre I, piso 1, comuna de Santiago, Región Metropolitana, de lunes a viernes en horario de 09:00 a 13:30 Horas.

En los casos que la garantía de seriedad de la oferta se otorgue de manera electrónica, deberá ajustarse a la Ley N°19.799, sobre Documentos Electrónicos, Firma Electrónica y Servicios de certificación de dicha firma y ser entregada a través de la aplicación “CMF sin Papel”, disponible en el sitio web institucional, hasta el día de cierre de recepción de las ofertas.

La entrega física o electrónica de la garantía de seriedad de la oferta dentro del plazo establecido en el cronograma de licitación es obligatoria, por tanto, si no entrega o entrega fuera del plazo señalado implicará la exclusión del oferente respectivo.

Una vez cerrado el período de recepción de ofertas, se revisará que las garantías de seriedad cumplan con lo requerido en las bases administrativas. En caso de que un oferente entregue dentro de plazo una garantía que contenga un error de carácter formal, no esencial, en la garantía, la CMF solicitará que ésta sea enmendada en un plazo no superior a 72 horas corridas contadas desde la formulación del reparo a través del Sistema de Información de Compras Públicas www.mercadopublico.cl. Si el documento presentare un error distinto a los señalados en este párrafo, implicará la exclusión del oferente respectivo.

Si la licitación pública es adjudicada, se devolverá la garantía de seriedad de la oferta a los oferentes que no se encuentren seleccionados en el primero, segundo o tercer lugar en la escala de evaluación, dentro de los 10 días corridos siguientes a la notificación de la resolución de adjudicación, y a los que se encuentran seleccionados en el primero, segundo y tercer lugar en la escala de evaluación, dentro de los 10 días corridos siguientes de dictada la resolución aprobatoria del contrato suscrito con el oferente adjudicado.

En caso de que la licitación pública sea declarada desierta, se devolverá la garantía de seriedad de la oferta al o los oferentes participantes en la licitación, dentro de los 10 (diez) días corridos siguientes a la notificación en el Portal www.mercadopublico.cl de la resolución que declara desierta la licitación.

Para el retiro de las garantías físicas los oferentes deberán dirigirse al Departamento de Compras de la CMF, ubicado en Avenida Libertador Bernardo O´Higgins N°1449, Torre II, piso 2, comuna de Santiago, en horario de 09:00 a 13:00 y de 14:30 a 17:00 horas, acreditando la persona que retira tener poder suficiente para ello mediante mandato o poder simple otorgado por el oferente y una fotocopia de su cédula de identidad.

De ser entregada una garantía electrónica, esta se entenderá retirada de la institución una vez finalizada la vigencia de ésta.

4.2.- Oferta técnica:

Los oferentes, en conformidad a las bases técnicas que se establecen en la presente resolución, deberán presentar, a través del Portal Mercado Público, en formato electrónico o digital, dentro del plazo de recepción de las ofertas, la información solicitada en los siguientes documentos:

a.- Propuesta Técnica Detallada (obligatorio), consistente en un documento de formato libre, donde el oferente deberá detallar su propuesta técnica de trabajo, describiendo la planificación, instalación y puesta en marcha de los servicios, así como todas las tareas relacionadas con el requerimiento técnico del servicio ofertado y las características técnicas específicas de las soluciones ofertadas.

b.- Anexo N°3 “Oferta Técnica” (obligatorio), señalando si cumple (Sí/No) con los requisitos mínimos de los bienes y servicios requeridos y la página de la propuesta técnica detallada en dónde señala como cumple.

c.- Anexo N°4 “Experiencia del Oferente” (no obligatorio).

c.- Anexo N°6 “Declaración jurada programa de integridad” (no obligatorio).

c.- Anexo N°7 “Declaración jurada simple – Integrantes del Equipo” (obligatorio).

c.- Anexo N°8 “Equidad de género” (no obligatorio).

4.3.- Oferta económica:

Los oferentes ingresarán a través del Portal Mercado Público www.mercadopublico.cl, dentro del plazo de recepción de las ofertas, el precio neto total de la herramientas y servicios especializados de ciberseguridad por un periodo de 24 meses, en pesos chilenos (sin impuesto).

Además, el oferente deberá presentar la información solicitada en el Anexo N°5 “Oferta Económica”, como documento adjunto a su oferta, en formato Word, Excel u otro, el que deberá ser completado obligatoriamente con toda la información solicitada. En caso de no presentar esta información, será causal de inadmisibilidad de su oferta.

En caso de producirse diferencias entre los precios ingresados por el oferente en el formulario del Portal Mercado Público y los ingresados en el Anexo N°5 “Oferta Económica” de estas bases, se dará preeminencia a los precios que consigne el anexo citado.

Se considerarán incluidos en la oferta todos los costos y gastos que demande la ejecución del contrato y el fiel cumplimiento de las obligaciones contractuales.

En caso de que el oferente quiera complementar su información, podrá hacerlo en archivos adicionales, en la medida que no condicione o modifique la oferta económica debiendo respetar los principios de estricta sujeción a las bases y de igualdad de los oferentes

4.4.- Plazo de vigencia de las ofertas:

Las ofertas deberán mantener su vigencia por un plazo de 90 días corridos, contados desde la fecha de cierre de recepción de las ofertas dispuesta en el cronograma de la licitación de estas bases administrativas. Si dentro de ese plazo no se puede efectuar la adjudicación, la CMF solicitará a los oferentes, antes de la fecha de su expiración, la prórroga de sus ofertas. Si alguno de ellos no lo hiciere, dicha oferta no será considerada.

4.5.- Inadmisibilidad de las ofertas:

Las ofertas presentadas por los oferentes serán declaradas inadmisibles cuando:

1.- No presenten cualquiera de los antecedentes requeridos como obligatorios en los puntos 4.2 y 4.3 de las bases administrativas de licitación.

2.- No presenten la garantía de seriedad de la oferta debidamente completada de acuerdo a lo señalado en el numeral 4.1.3 de las bases administrativas de licitación.

3.- No cumplan con los requisitos señalados en los puntos N° 1 “Requisitos Técnicos” y N° 2 “Certificación de las personas que prestan el servicio ofertado”, del Anexo N° 3 “Oferta Técnica”.

4.- No cumple con los profesionales con residencia en chile, que posean contrato de trabajo vigente y en su conjunto cuenten con las certificaciones indicadas en el punto 3,6 de las bases técnicas.

5.- No presentar la información requerida en el Anexo N° 7 con todos los integrantes del equipo de trabajo presentado en su oferta.

6.- Sobrepasen el presupuesto total disponible.

7.- La Comisión solicite a través del Portal de Compras Públicas www.mercadopublico.cl, aclarar errores u omisiones formales o requiera antecedentes o certificaciones omitidos en la oferta, y el oferente no los presente dentro del plazo otorgado.

8.- En general, por no haber dado cumplimiento a las exigencias establecidas en las bases de licitación.

Se exceptúan de ser declaradas inadmisibles las ofertas que no presenten los siguientes antecedentes:

• Información requerida en el Anexo N°4 “Experiencia del Oferente”.
• Información requerida en el Anexo N°6 “Declaración jurada programa de integridad”

La no presentación de la información señalada, será evaluada con “0” puntos.

Con respecto a los demás antecedentes establecidos en el punto 4.1, se estará a lo dispuesto en el artículo 6 y en el apartado I del punto 7.1 del artículo 7 de estas bases.

Artículo 5.- De la apertura de las ofertas:

La apertura electrónica de las ofertas se efectuará el día señalado en el cronograma de licitación, en un solo acto, a través del Sistema de Información del Portal Mercado Público.

Los oferentes podrán efectuar observaciones dentro de las 24 horas siguientes a la apertura de las ofertas. Estas observaciones deberán efectuarse a través del Sistema de Información.

Las ofertas técnicas serán de público conocimiento.

La CMF podrá efectuar el proceso de compra y la recepción total o parcial de ofertas fuera del Sistema de Información cuando haya indisponibilidad técnica del Sistema de Información del Portal Mercado Público, circunstancia que deberá ser ratificada por la Dirección de Compras y Contratación Pública mediante el correspondiente certificado, el cual deberá ser solicitado por las vías que informe dicho Servicio, dentro de las 24 horas siguientes al cierre de la recepción de las ofertas. En tal caso, los oferentes afectados tendrán un plazo de 2 días hábiles contados desde la fecha del envío del certificado de indisponibilidad, para la presentación de sus ofertas fuera del Sistema de Información.

Artículo 6.- Errores u omisiones / falta de certificaciones o antecedentes durante la evaluación:

La CMF podrá solicitar a través del Portal Mercado Público, que los oferentes salven errores u omisiones formales, siempre y cuando las rectificaciones de dichos vicios u omisiones no les confieran a éstos una situación de privilegio respecto de los demás competidores, esto es, en tanto no se afecten los principios de estricta sujeción a las bases y de igualdad de los oferentes. En todo caso, estas solicitudes deberán ser informadas al resto de los oferentes a través del Portal Mercado Público.

La CMF podrá también permitir la presentación de certificaciones o antecedentes que los oferentes hayan omitido presentar al momento de efectuada la oferta, siempre que con ello no se modifique la oferta y siempre que dichas certificaciones o antecedentes se hayan producido u obtenido con anterioridad al vencimiento del plazo para presentar ofertas o se refieran a situaciones no mutables entre el vencimiento del plazo para presentar ofertas y el período de evaluación.

En cualquiera de las situaciones descritas en los dos párrafos precedentes, se les otorgará a los oferentes un plazo de 72 horas corridas desde la notificación de la CMF para salvar los errores u omisiones formales y presentar las certificaciones o antecedentes faltantes.

Ninguno de los antecedentes o certificaciones solicitados por la CMF podrá versar sobre elementos evaluables en la oferta, sino únicamente sobre antecedentes administrativos.

Artículo 7.- De la evaluación:

Una Comisión de Evaluación nombrada para tal efecto (“Comisión Evaluadora”), analizará y evaluará conforme a los criterios de evaluación las ofertas dentro del plazo señalado en el cronograma de licitación, proponiendo a la Presidenta de la CMF, la adjudicación de la licitación, al oferente que haya obtenido mayor puntaje, atendiendo a que ella cumple de mejor forma los requerimientos exigidos y que constituye la oferta más conveniente para los intereses de la Institución o bien, la Comisión Evaluadora podrá proponer dejar desierta la licitación, expresando los fundamentos para ello. 

La Comisión Evaluadora estará integrada por al menos tres de los siguientes funcionarios de la Comisión para el Mercado Financiero:

1.- Rubén Santelices - jefe de División de Infraestructura Tecnológica y Conectividad

2.- Francisco Aliaga – jefe de Departamento de Ingeniería de Sistemas

3.- Johnny Ibáñez - Analista Senior

4.- Pablo Moral - Analista Senior

5.- José Donoso – jefe Departamento de Ciberseguridad

En caso de que tres de los integrantes anteriores no pueda asistir a la evaluación de ofertas por impedimento debidamente justificado, se designará por resolución a un reemplazante.

Durante la etapa de evaluación, la CMF podrá verificar todos aquellos antecedentes que estime pertinentes con el objeto de asegurar una correcta evaluación de las ofertas. En especial, podrá requerir información de los medios de contacto indicados por los propios oferentes.

Los miembros de la Comisión Evaluadora no podrán tener conflictos de intereses con los oferentes, de conformidad con la normativa vigente al momento de la evaluación, debiendo suscribir una declaración jurada que así lo indique. De esto deberán dejar constancia en el Informe de la Comisión Evaluadora.

7.1.- Proceso de evaluación:

El proceso de evaluación contempla la revisión de las ofertas técnicas, económicas, los requisitos formales, programa de integridad y equidad de género; debiendo cada uno de los componentes ser evaluado en forma independiente, en virtud de lo cual se le asignará el puntaje que corresponda. La suma de los puntajes asignados a todos los componentes corresponderá al puntaje final de la oferta.

En las operaciones aritméticas que se efectúen durante la evaluación de las ofertas, se utilizarán dos decimales.

En caso de tratarse de una UTP, ésta estará obligada a informar inmediatamente a la CMF el retiro de uno o más de sus integrantes. Si dicho retiro se produce durante la evaluación de las ofertas, la UTP deberá informar, además, en forma inmediata, si producto de ese retiro continuará participando en la licitación, o bien si se desistirá de ésta. Luego del retiro de algunos de sus integrantes, la UTP deberá continuar funcionando con al menos 2 integrantes. Los nuevos integrantes de la UTP deberán estar hábiles para contratar con el Estado, de conformidad a la normativa vigente.

Si durante la evaluación de las ofertas se retira algunos de los integrantes de una UTP, que hubiese reunido una o más características objeto de la evaluación de la oferta, tal circunstancia podrá ser causal de declaración de inadmisibilidad de la propuesta la que deberá fundarse debidamente.

La pauta de evaluación que se utilizará para evaluar las ofertas considera los siguientes criterios de evaluación y sus respectivos puntajes y ponderaciones:

I.- Evaluación requisitos formales de la oferta:

Completitud de la oferta:

Este criterio está orientado al cumplimiento de lo establecido en las presentes bases, en cuanto a la presentación de los antecedentes, anexos y certificaciones requeridas por la CMF.

La asignación de puntaje se efectuará de acuerdo con lo siguiente:

Si la CMF requiere antecedentes o certificaciones omitidos en la oferta y el oferente no los presenta dentro del plazo otorgado, no continuará en el proceso de evaluación de las ofertas.

En todo caso, ninguno de los antecedentes o certificaciones solicitados por la CMF podrá versar sobre elementos evaluables en la oferta técnica, económica, pacto integridad, etc., sino únicamente sobre antecedentes administrativos.

II.- Evaluación aspecto económico de la oferta:

Las ofertas que sobrepasen el presupuesto total disponible de la contratación se considerarán inadmisibles y no continuarán con el proceso de evaluación de ofertas.

Las ofertas económicas serán evaluadas de la siguiente manera: se asignará 100 puntos a la oferta de menor valor (valor total bruto de los servicios licitados, en pesos chilenos, impuestos incluidos, por 24 meses).

Para el resto de las ofertas, se asignará el puntaje conforme a la siguiente ecuación:

Puntaje oferta (i) = [(P (m) / P (i)) x 100]

Dónde:

Puntaje oferta (i)            :             Puntaje de la oferta económica.

P (i)                                   :             Precio ofertado por el oferente evaluado.

P (m)                                 :             El menor precio ofertado por los oferentes.

En el caso de contar con una sola oferta para evaluar, se le asignarán 100 puntos.

III.- Evaluación aspecto técnico de la oferta:

La oferta técnica tendrá que cumplir con los requisitos establecidos en las bases técnicas.

Las propuestas que cumplan con los requisitos solicitados continuarán en el proceso de evaluación, siendo evaluadas de acuerdo a los criterios y ponderaciones que a continuación se indican:

1. Experiencia del oferente en proyectos de implementación y puesta en marcha en cada uno de los servicios solicitados.

Para evaluar la experiencia del oferente y asignar puntaje al Servicio de Monitoreo Ciberseguridad, Threat Hunting, Cibervigilancia, Ciberinteligencia, se considerarán cada uno de los servicios realizados o en ejecución homologables a los servicios solicitados por CMF, contratados a partir de enero del año 2021 hasta antes de la fecha de publicación de esta licitación.

Los puntajes serán asignados de acuerdo con los siguientes tramos:

Para evaluar la experiencia del oferente y asignar puntaje a los Servicios de RedTeam y Servicios de Incident Response, se considerarán cada uno de los servicios realizados o en ejecución homologables a los servicios solicitados por CMF, contratados a partir de enero del año 2021 y hasta antes de la fecha de la publicación de esta licitación.

Los puntajes serán asignados de acuerdo con los siguientes tramos:

Para la evaluación de este criterio cada oferente deberá presentar adjunta a su oferta la información requerida en el Anexo N°4 “Experiencia del Oferente” y al menos uno de los siguientes documentos o antecedentes:

●        ID de licitación en mercado público.

●        Orden de compra, que contenga como mínimo la descripción de los servicios/soluciones solicitadas y el año de suscripción.

●        Copia simple del contrato respectivo, firmado por ambas partes.

●        Copia de una factura emitida a la institución pública y/o privada, que contenga como mínimo la descripción de los servicios/soluciones solicitadas y el año de suscripción.

Si el oferente no adjuntare en el Portal de Compras Públicas la información solicitada en el Anexo N° 4 o no presenta los respaldos que permitan verificar la veracidad de lo informado, se procederá a no considerar ese antecedente en la evaluación de este criterio, siendo calificada la oferta con “0” puntos. Sólo se considerarán los antecedentes y/o respaldos sobre experiencia que se encuentren debidamente acreditados por alguno de los documentos señalados anteriormente.

En el caso que el oferente sea una unión temporal de proveedores, los integrantes de dicha unión podrán sumar sus experiencias individuales de acuerdo con la materia exigida para este criterio de evaluación.

2. Certificaciones y/o cursos adicionales de las personas que prestaran el servicio

Para la evaluación de este ítem, el oferente deberá completar el numeral 2 del Anexo 3 “Oferta Técnica” indicando el nombre de las personas que se encuentren trabajando con residencia en Chile y contrato vigente que cuenten con certificaciones y/o cursos adicionales, a los mínimos descritos en el numeral 3.6. PROFESIONALES QUE PRESTARAN EL SERVICIO (Requerimiento 06) de las bases técnicas.

Las certificaciones o cursos deberán tener una antigüedad máxima desde el 2015 a la fecha, certificaciones anteriores a esta fecha no serán consideradas.

Para acreditar que las personas contratadas cuentan con certificaciones y/o cursos deben presentar las certificaciones, certificados o diplomas que acrediten dicha condición.

Al momento de ofertar, los oferentes deberán presentar el Anexo N° 7 firmado por el representante legal, para acreditar que dichas personas se encuentran con contrato vigente y residen en Chile. Si no es acreditada esta información, los profesionales no serán considerados.

IV. Equidad de género

Este criterio evaluará si el oferente fomenta la equidad de género, pudiendo con ello incluir en su oferta uno o más de las 3 siguientes opciones de condiciones de evaluación:

 A.- Opción N° 1: El oferente es una persona natural de sexo femenino.

Medio de verificación o acreditación: en el caso de que la oferente no se encuentre inscrita en el Registro de Proveedores, deberá adjuntar a su oferta una copia de su cédula de identidad. Si se encuentra inscrita no será necesario adjuntar documentación adicional.

Para personas naturales, lo anterior se basa en la información del Registro Civil, incluyendo a quienes han rectificado su sexo registral bajo la Ley Nº21.120 de Identidad de Género, identificándose como mujeres.

B.- Opción N° 2: El oferente es una microempresa liderada por mujer(es)*

Medio de verificación o acreditación: en el caso de proveedores que no se encuentren inscritos en el Registro de Proveedores, deberán acompañar un instrumento público que dé cuenta de los socios actuales de la empresa. Por ejemplo, copia de la escritura de constitución y de sus posteriores modificaciones o el certificado de inscripción en el Conservador de Bienes Raíces con anotaciones al margen. En el caso de “empresas creadas en un día” podrán acompañar copia de sus estatutos vigentes. En el caso de oferentes inscritas en el Registro de Proveedores no deberán acompañar documentación adicional si la señalada precedentemente se encuentra disponible en dicho registro y cuenta con Sello Empresa Mujer.

*Las empresas lideradas por mujeres son aquellas en las que se puede establecer que éstas tienen la propiedad o el control de las operaciones. Esto se hará mediante los siguientes criterios:

• Tener más del 50% de propiedad de mujeres

• Tener una gerenta general

• Tener más del 50% de representantes legales mujeres.

C.- Opción N° 3: El oferente demuestra paridad de género en sus contrataciones, evaluándose el porcentaje de mujeres contratadas en relación con el total de trabajadores de la empresa (oferente), en el mes anterior a la presentación de la oferta.

Medio de verificación o acreditación: Última planilla de cotizaciones de seguridad social pagadas en PreviRed o algún documento equivalente.

Para el caso que el oferente, presente en su oferta antecedentes evaluables por más de una de las 3 opciones descritas anteriormente, se considerara aquella que obtenga mayor puntaje, estás igualmente no son acumulables en ellas.

Para efectos de evaluación, los oferentes deberán incorporar en su oferta, a través del portal www.mercadopublico.cl, el Anexo N° 8 junto con los documentos de respaldo legalmente válidos y vigentes que acrediten el cumplimiento de algunas de las opciones respectivas. Junto con encontrarse inscritos en el Registro de Proveedores y encontrarse habilitados para participar en cualquier procedimiento de contratación y suscripción de los contratos definitivos, en relación a lo indicado en el artículo N°16, de la Ley 19.886.

Si el oferente no adjuntare en el Portal de Compras Públicas la información solicitada en el Anexo N° 8 o no presenta los respaldos que permitan verificar la veracidad de lo informado, se procederá a no considerar ese antecedente en la evaluación de este criterio, siendo calificado con “0” puntos.

V. Programa de Integridad

Oferente cuenta con pacto de integridad

El oferente deberá informar si posee herramientas en relación con el cumplimiento de un programa de integridad que haya ha sido dado a conocer a la empresa. Para tales efectos, el oferente deberá incorporar en su oferta, a través del portal www.mercadopublico.cl, los antecedentes señalados en el Anexo N°6.

Lo anterior, de acuerdo con lo establecido por la instrucción Nº E370752/2023 de la Contraloría General de la Republica que haya ha sido dado a conocer a la empresa. Para tales efectos, el oferente deberá incorporar en su oferta, a través del portal www.mercadopublico.cl, los antecedentes señalados en el Anexo N°6.

Con motivos de acreditar la veracidad de la información presentada se deberá adjuntar documentos que respalden la declaración, tales como: actas de capacitaciones, código de ética, actas de jornadas de inducción sobre la materia, normativa interna anticorrupción (en relación al soborno y los demás delitos establecidos en la ley 20.393 de Responsabilidad Penal de la Persona Jurídica), u otro documento que conste que efectivamente se instruyó a los trabajadores en las materias que se están comprometiendo.

Para la asignación de puntaje se considerará lo establecido en la siguiente tabla:

En el evento que no informe o no acompañe los documentos que permitan acreditar el cumplimiento de este criterio se le asignará 0 puntos.

Artículo 8.- Informe de la Comisión Evaluadora:

La Comisión Evaluadora emitirá un informe (Informe de Evaluación), dentro del plazo establecido en el cronograma de licitación, el cual deberá estar suscrito por al menos 3 de los integrantes de la Comisión Evaluadora. Este informe deberá contemplar un resumen del proceso de aplicación de criterios de evaluación, indicando el puntaje que haya obtenido cada proponente, describiendo en detalle los antecedentes evaluados, y todas las aclaraciones que pudieren haberse realizado.

En caso de producirse empate entre dos o más oferentes en el resultado final de la evaluación, se aplicarán en forma sucesiva las siguientes reglas de desempate:

a.- Mayor puntaje en el criterio “Experiencia del oferente en Servicios de Monitoreo Ciberseguridad, Threat Hunting, Cibervigilancia, Ciberinteligencia.”.

b.- Mayor puntaje en el criterio “Experiencia del oferente en Servicios de RedTeam”.

c.- Mayor puntaje en el criterio “Experiencia del oferente en Servicios de Incident Response”.

d.- Mayor puntaje en el criterio “Certificaciones y/o cursos de las personas que prestaran el servicio”.

e.- Mayor puntaje en el criterio “Precio total bruto de los servicios”.

f.- Mayor puntaje en el criterio “Equidad de género”.

Artículo 9.- De la adjudicación:

La CMF adjudicará la oferta que haya obtenido el mayor puntaje de acuerdo con los criterios de evaluación contemplados en las presentes bases, mediante resolución fundada en la que se especificarán los aludidos criterios.

La adjudicación se efectuará en el plazo indicado en el cronograma del proceso, a un solo oferente y por el total del servicio requerido.

En el evento que la adjudicación no se realice dentro del plazo establecido, la CMF señalará en el Portal Mercado Público las razones que lo motivaron y se dispondrá de un nuevo plazo de 15 días hábiles para la adjudicación.

En el caso que los oferentes quieran formular consultas sobre aspectos de la evaluación y/o adjudicación, podrán comunicarse vía correo electrónico dentro del plazo de tres días contados desde la notificación de la adjudicación, a la dirección abastecimiento@cmfchile.cl. Las consultas efectuadas serán respondidas por correo electrónico al proveedor que realiza la consulta, y junto con ello las preguntas y respuestas serán publicadas como anexo a la licitación pública.

Artículo 10.- Readjudicación:

La presente licitación contempla la posibilidad de readjudicación en los términos señalados en el inciso final del artículo 58 del Reglamento de la Ley N°19.886.

La CMF podrá readjudicar la propuesta al oferente que siga en puntaje, dentro del plazo de 60 días corridos, contados desde la publicación de la adjudicación original, dictando la respectiva resolución, la que será publicada en el Portal Mercado Público.

Procederá la readjudicación en el caso que el adjudicatario no suscriba el contrato respectivo dentro del plazo establecido en estas bases o se verifique alguna otra causal establecida en las presentes bases. De estas circunstancias deberá dejarse constancia en el informe respectivo que deberá elaborar para dichos efectos la Comisión Evaluadora.

Asimismo, procederá la readjudicación si el adjudicatario fuese inhábil en virtud de lo establecido en los Artículos 35 quáter y 35 septies o demás disposiciones de la Ley N°19.886 al momento de la suscripción del contrato. En el caso que el adjudicatario sea una UTP y alguno de sus integrantes estuviese afecto a la citada inhabilidad, la UTP deberá informar por escrito, dentro del plazo de 5 días hábiles inmediatamente que tenga conocimiento de esta situación, si se desiste o si decide igualmente ejecutar el contrato adjudicado, con la integración del resto de sus miembros, siempre que éstos fuesen hábiles. En el evento de no informar lo anterior o de manifestar su intención de desistirse, la licitación será readjudicada al siguiente oferente mejor evaluado.

Luego del retiro de alguno de sus miembros, la UTP debe continuar funcionando con al menos 2 integrantes. Si la integración no cumple con el mínimo recién indicado, o el integrante de la UTP que se retira es alguno de los que hubiese reunido una o más características objeto de la evaluación de la oferta, ésta podrá ser dejada sin efecto, mediante una resolución fundada, debiendo la licitación ser readjudicada al siguiente oferente mejor evaluado.

De estas circunstancias deberá dejarse constancia en el informe respectivo que deberá elaborar para dichos efectos la Comisión Evaluadora.

Artículo 11.- Inadmisibilidad de las ofertas y declaración desierta de la licitación:

La CMF, mediante resolución fundada, se reserva el derecho de declarar inadmisible cualquiera de las ofertas presentadas que no cumplan los requisitos o condiciones establecidas en las presentes bases, sin perjuicio de la facultad de solicitar a los oferentes que salven errores u omisiones formales o completen certificaciones o documentos, de acuerdo con lo establecido en estas bases.

La CMF, mediante resolución fundada, podrá declarar desierta la licitación cuando no se presenten ofertas o éstas no resulten convenientes a los intereses de la Institución, en virtud de lo establecido en el artículo 9º de la Ley Nº19.886.

Artículo 12.- Del contrato:

De la presente licitación pública derivará el contrato “herramientas y servicios especializados de ciberseguridad”. El contrato se regirá por las normas de la Ley N°19.886; su Reglamento aprobado por Decreto Supremo N°661, de 2024, de Ministerio de Hacienda; por las presentes bases y sus anexos; por las aclaraciones a las bases entregadas por la CMF, de oficio o con motivo de alguna consulta de los oferentes; y la oferta del proveedor, en todo aquello que no sea contrario a la normativa y a los documentos antes señalados.

Para contratar con el Estado, el oferente no puede tener las inhabilidades a que se refieren los Artículos 35 quáter y 35 septies de la Ley N°19.886 u otra de sus disposiciones, ni estar afecto a la prohibición de celebrar actos y contratos con organismos del Estado, en virtud de lo dispuesto en la Ley N°20.393 ni encontrarse inhabilitado para contratar con el Estado en virtud de lo dispuesto en el D.L. N°211 de 1973. Asimismo, no deberá encontrarse afecto a la inhabilidad contemplada en el artículo 33 de la Ley N°21.595. Lo anterior, se acreditará mediante declaración jurada electrónica, que deberán presentar los oferentes en la presente licitación.

Las causales de inhabilidad para contratar afectarán a cada integrante de la UTP, individualmente considerado.

12.1.- Inscripción en el Registro de Proveedores:

Para la suscripción del contrato, el adjudicatario deberá estar inscrito y encontrarse hábil en el Registro de Proveedores, que está a cargo de la Dirección de Compras y Contratación Pública.

En caso de que el adjudicatario o los integrantes de la UTP no estén hábil en el Registro, deberán regularizar su estado dentro del plazo de 5 días hábiles contados desde la notificación de la adjudicación respectiva.

Cuando el oferente adjudicado no se encontrare inhábil en el Registro Proveedores, la CMF podrá dejar sin efecto la adjudicación y readjudicar la licitación, en los términos indicados en las presentes bases o bien podrá declarar desierta la licitación, según corresponda.

Si alguno de los integrantes de la UTP se encontrare inhábil en Registro Proveedores, la UTP adjudicada se encontrará inhabilitada para suscribir el respectivo contrato, a menos que el integrante inhabilitado se retirase, pudiendo suscribirse el contrato con la UTP conformada por el resto de los integrantes, siempre que la UTP quede conformada por a lo menos 2 integrantes y que el integrante que se haya retirado, no sea de aquellos que hubiesen reunido una o más características que le permitieron ser adjudicado, siendo objeto de evaluación de la oferta o de admisibilidad.

Asimismo, si durante la ejecución del contrato, alguno de los integrantes de la UTP incurriera en una inhabilidad sobreviniente que no le permita contratar con el Estado, la UTP adjudicada se encontrará inhabilitada para continuar ejecutando el contrato, a menos que el integrante inhabilitado se retirase, pudiendo continuar la ejecución del contrato por parte de la UTP conformada por el resto de los integrantes, siempre que la UTP quede conformada por a lo menos 2 integrantes y que el integrante que se haya retirado, no sea de aquellos que hubiesen reunido una o más características que le permitieron ser adjudicado, siendo objeto de evaluación de la oferta o de admisibilidad.

Para efectos de estos dos últimos párrafos, el retiro del integrante inhábil deberá formalizarse dentro del plazo de 5 días hábiles.

12.2.- Condiciones básicas del contrato:

12.2.1. Domicilio de la CMF.

Comuna de Santiago.

12.2.2. Subcontratación.

Se permite parcialmente, hasta un 20%. Si el adjudicatario subcontratare parcialmente algunas labores del servicio licitado durante la vigencia del contrato, éste deberá informarlo por escrito a la División de Infraestructura Tecnológica y Conectividad de la CMF, constatando las especificaciones de los servicios que serán subcontratados. En este caso, el adjudicatario deberá presentar respecto de su subcontratista las declaraciones juradas en los términos señalados en el artículo 4 de estas bases administrativas y acreditar el cumplimiento de las obligaciones laborales y previsionales de su personal directo como subcontratado.

12.2.3. Cesión de derechos.

No se permite, excepto en los casos en que la ley lo autoriza.

12.2.4. Vigencia del contrato.

El contrato tendrá una vigencia de 24 meses a contar del 8 de noviembre de 2025, previa total tramitación de la resolución que aprueba el contrato.

No obstante, lo anterior, por razones de buen servicio, la CMF podrá solicitar el inicio de los servicios una vez suscrito el contrato, antes de la formalización de la resolución que lo apruebe. No procederá pago alguno, sino una vez totalmente tramitada la resolución que aprueba el contrato.

12.2.5. Plazo para ejecución del contrato:

24 meses, a contar del 8 de noviembre de 2025, previa total tramitación de la resolución que aprueba el contrato.

12.2.6. Precio y forma de pago.

El presupuesto total disponible para la contratación es de hasta $522.220.652.- (quinientos veintidós millones doscientos veinte mil seiscientos cincuenta y dos de pesos), incluidos todos los impuestos que pudieran corresponder, para un periodo de 24 meses.

El precio total ofertado deberá contemplar todos los gastos y riesgos necesarios para que se cumpla el objetivo del llamado a licitación.

El pago de los servicios adjudicados será realizado por de la Comisión para el Mercado Financiero por transferencia electrónica o a través de la Tesorería General de la República, en 24 cuotas iguales mensuales, en pesos chilenos, pagados dentro de los 30 días corridos, contados desde la recepción conforme del respectivo instrumento tributario de cobro; previa certificación de conformidad del servicio prestado, emanada por la Jefatura de la División de Infraestructura Tecnológica y Conectividad. 

Los pagos que se realicen en virtud del contrato que se suscriba, solo se podrán efectuar una vez tramitado totalmente el acto administrativo que aprueba el contrato respectivo.

Los pagos que deban realizarse durante los futuros períodos anuales de vigencia del contrato, se efectuarán en la medida que exista disponibilidad presupuestaria y se cumplan las condiciones previstas en estas bases para ello.

En forma previa a la facturación, el proveedor deberá aceptar la orden de compra respectiva y verificar en el Portal Mercado Público la recepción conforme del servicio entregado. Por tanto, el proveedor no debe facturar hasta que; habiendo prestado el servicio, reciba el formulario Ficha de Recepción Conforme de Bienes y/o Servicios, el cual será tramitado internamente y puesto a disposición para el proveedor a través del Portal www.mercadopublico.cl

La factura o instrumento tributario de cobro deberá contener el numero de la orden de compra en el campo 801 y posteriormente enviar el archivo XML a la casilla de correo electrónico cmfrecepcion@custodium.com.

La CMF podrá rechazar las facturas, de conformidad con lo dispuesto en la Ley N°19.983, que Regula la Transferencia y Otorga Mérito Ejecutivo a Copia de la Factura.

El precio total ofertado deberá contemplar todos los gastos y riesgos necesarios para que se cumpla el objetivo del llamado a licitación. Los precios ofertados tendrán una vigencia igual a la vigencia del contrato. Durante la vigencia del contrato los precios ofertados no podrán ser alterados y la remuneración del personal, señalada por el proveedor en su oferta, no podrá ser disminuida.

12.2.7. Normativa, antecedentes y documentos aplicables.

La relación contractual con el proveedor adjudicado se regirá por las normas de la Ley N°19.886, su Reglamento aprobado por Decreto Supremo N°661, de 2024, del Ministerio de Hacienda y por los siguientes antecedentes y documentos, que se consideran parte integrante del mismo:

a.- Las presentes bases administrativas, bases técnicas y sus anexos.

b.- El llamado a licitación pública que se efectúe a través del Portal de Compras Públicas www.mercadopublico.cl.

c.- Aclaraciones a las bases entregadas de oficio o las respuestas emitidas en el periodo de consulta o respuestas.

d.- La oferta administrativa, técnica y económica presentada por el oferente adjudicado -Incluidos sus anexos- en todo aquello que no sea contrario a los antecedentes señalados en los números anteriores.

e.- La Resolución Exenta que resuelva el proceso licitatorio adjudicando los servicios.

f.- La Resolución Exenta que aprueba el contrato.

En caso de existir diferencias entre lo señalado en las presentes bases de licitación y el contrato suscrito con el proveedor que resulte adjudicado, se entenderá que prevalece lo dispuesto en las presentes bases.

12.2.8. Solución de controversias y legislación aplicables.

La relación contractual se regirá por las leyes chilenas y en el caso de existir desacuerdos que no puedan ser solucionados entre las partes, serán sometidos al conocimiento de los tribunales ordinarios de justicia de la ciudad de Santiago. Lo anterior sin perjuicio de las facultades y competencias de la Contraloría General de la República y del Tribunal de Contratación Pública.

12.2.9. Notificaciones.

Toda citación, notificación o requerimiento entre las partes, deberá hacerse por escrito. Para ello, ambas partes deberán designar como domicilios los que constan en la comparecencia del contrato.

Ello, sin perjuicio de las eventuales comunicaciones que puedan realizarse por la vía electrónica a los correos institucionales.

12.2.10. Suscripción del contrato.

El respectivo contrato se enviará en formato digital al proveedor adjudicado, quien deberá remitirlo firmado por el adjudicatario o su representante legal o apoderado, en caso de tratarse de una UTP, dentro del plazo indicado en el cronograma de licitación de las presentes bases, al Departamento de Compras de la CMF, al correo abastecimiento@cmfchile.cl .

Si por cualquier causa imputable al adjudicatario, no se suscribe el contrato dentro del plazo establecido en las presentes bases, la CMF quedará facultada para dejar sin efecto la adjudicación respectiva. En este caso, la CMF, podrá proceder a la readjudicación en conformidad a las normas establecidas en estas bases.

Una vez firmado el contrato por las partes, éste y su resolución aprobatoria totalmente tramitada serán publicadas en el Portal Mercado Público www.mercadopublico.cl.

Todos los costos, gastos e impuestos que irrogue la formalización del contrato, serán de cargo del adjudicatario.

12.2.11. Garantía fiel y oportuno cumplimiento del contrato.

El adjudicatario deberá garantizar el fiel y oportuno cumplimiento del contrato, de las bases administrativas, bases técnicas y sus anexos y el pago de cualquier obligación derivada del contrato, mediante uno o más instrumentos financieros que asegure el cobro de la garantía de manera rápida y efectiva, de ejecución inmediata, con el carácter de irrevocable y ser pagadero a la vista; (a modo ilustrativo, tales documentos podrán consistir, entre otros, en boletas de garantía bancaria, vale vista, depósitos a la vista o certificados de fianza), que en su conjunto deberán sumar el monto equivalente al 5% del precio total neto del contrato adjudicado, emitidos en pesos chilenos, tomados por el oferente o consignar que se toma en nombre del oferente y a la orden de la Comisión para el Mercado Financiero. El documento debe ser tomado en un Banco o Institución de Garantía Recíproca establecido(a) en Chile, con oficinas en la Región Metropolitana y sujetos a las normas de la Comisión para el Mercado Financiero.

Esta garantía cauciona también el pago de las obligaciones laborales y sociales con los trabajadores propios y subcontratados del oferente adjudicado.

El plazo de vigencia de la garantía de fiel y oportuno cumplimiento del contrato, será la vigencia de este, aumentado en un período de 60 días hábiles.

Dicha garantía no devengará intereses ni reajuste alguno y se hará efectiva en caso de incumplimiento total o parcial del contrato o de cualquier obligación emanada del mismo por parte del adjudicatario.

En los casos que la garantía de fiel y oportuno cumplimiento de contrato se otorgue de manera electrónica, deberá ajustarse a la Ley N°19.799, sobre Documentos Electrónicos, Firma Electrónica y Servicios de certificación de dicha firma. La garantía en formato electrónico deberá ser enviada por el oferente adjudicado a través de la aplicación CMF sin papel, disponible en el sitio web institucional, con copia al correo electrónico abastecimiento@cmfchile.cl, dentro del plazo dispuesto en el cronograma de la licitación.

En caso de que la caución sea remitida en forma física, se deberá entregar en la Oficina de Partes de la CMF, ubicada en Avenida Libertador Bernardo O´Higgins N°1449, Torre I, piso 1, comuna de Santiago, Región Metropolitana, de lunes a viernes en horario de 09:00 a 13:30 Horas.

En caso de modificarse el contrato incrementando su valor, cuyo tope es de hasta un 30%, el adjudicatario deberá otorgar una garantía de fiel y oportuno cumplimiento por un monto de 5% del valor total bruto del aumento, en los mismos términos establecidos en estas bases, garantía que deberá entregarse previo a la suscripción de la modificación del contrato.

La CMF estará facultada para hacer efectiva la garantía de fiel y oportuno cumplimiento, administrativamente y sin necesidad de requerir acción judicial alguna.

La garantía será devuelta por la CMF una vez cumplida su vigencia.

La garantía deberá consignar la siguiente glosa: "Garantiza el fiel y oportuno cumplimiento de contrato de la licitación ID 1005498-XX-LR25” (que corresponde al número de identificación de la propuesta en el Portal www.mercadopublico.cl, denominada “Número de la adquisición o ID).

En caso de presentarse un vale vista o depósito a la vista, o cualquier instrumento con similares características a éstos para garantizar el fiel y oportuno cumplimiento del contrato, el documento deberá señalar como beneficiario a la “Comisión para el Mercado Financiero”.

El plazo para entregar la garantía de fiel y oportuno cumplimiento de contrato corresponde al indicado en el cronograma de la licitación.

De proceder el cobro de esta garantía por las causales establecidas en estas bases de licitación, ésta deberá sustituirse por el proveedor por otra garantía de las mismas características, antes de su cobro en el Banco o Institución correspondiente, de forma que el contrato siempre permanezca garantizado.

En caso de no reemplazarse la garantía, de acuerdo a lo establecido en el párrafo que precede, la CMF estará facultada para dar por terminado el contrato.

Si el adjudicatario no suscribe el contrato o no entrega la garantía de fiel y oportuno cumplimiento del mismo, se entenderá que éste no acepta la adjudicación, pudiendo la CMF readjudicar la licitación y suscribir el contrato respectivo, con el siguiente oferente mejor evaluado o bien, declarar desierta la licitación. La CMF se encontrará facultada en el supuesto de incumplimiento establecido en estas bases por parte del proveedor adjudicado para proceder al cobro de la garantía de seriedad de la oferta.

El oferente readjudicado, deberá cumplir con la entrega de la garantía de fiel y oportuno cumplimiento del contrato, de la documentación correspondiente, y firmar el contrato, dentro del plazo de quince (15) días hábiles contados desde la notificación de la readjudicación en el Portal Mercado Público www.mercadopublico.cl.

12.3.- Obligaciones y prohibiciones del adjudicatario:

Sin perjuicio de las obligaciones que derivan de la propia naturaleza de la contratación, el adjudicatario deberá cumplir especialmente con las siguientes obligaciones:

a.- Ejecutar el contrato de buena fe y emplear el máximo de cuidado y dedicación para su debido cumplimiento.

b.- Cumplir el contrato con estricta sujeción a lo establecido en las presentes bases y en los demás documentos que rigen esta licitación.

c.- Abstenerse de realizar o pretender implementar cualquier cambio en la forma de prestar los servicios que no esté considerado en las bases y que no haya sido autorizado por el encargado del contrato.

d.- Dar fiel cumplimiento a todas las normas legales o reglamentarias aplicables a la contratación, especialmente en materias laborales y de previsión. La CMF podrá pedir, en cualquier momento, informes al oferente sobre el cumplimiento de las obligaciones laborales y previsionales de sus trabajadores, directos y subcontratados. Este informe deberá ser respaldado por certificados de la Dirección del Trabajo. No existirá relación laboral alguna entre los trabajadores del proveedor directos y subcontratados y la CMF, por lo que serán de cargo exclusivo del proveedor todas las obligaciones legales y previsionales a favor de sus empleados, directos y subcontratados.

e.- Dar estricto cumplimiento a la Política General sobre Seguridad de la Información de la CMF.

12.4.- Responsabilidad:

El adjudicatario será responsable de todos los daños o perjuicios derivados de la mala calidad o calidad insuficiente del servicio contratado y de cualquier acción u omisión de las obligaciones y condiciones que éste debe cumplir, establecidas en estas bases, en el contrato y demás documentos y antecedentes que se entienden formar parte de él.

Cualquier falta, descuido u omisión del adjudicatario en la obtención de información y estudio de los documentos relativos al proceso de licitación, no lo exime de la responsabilidad de apreciar adecuadamente los costos necesarios para la elaboración y desarrollo del servicio materia de la licitación, regida por las presentes bases administrativas, bases técnicas y sus anexos.

En consecuencia, serán de cargo del oferente, adjudicatario o contratado, todos los costos en que pudieran incurrir para corregir faltas, errores, descuidos u omisiones resultantes del análisis de la información disponible que obtengan respecto de esta licitación.

12.5.- Multas:

La CMF aplicará administrativamente multas, salvo que el incumplimiento se deba a casos de fuerza mayor o caso fortuito, los que deberán ser justificados debidamente por el proveedor.

12.5.1 Causal y monto de la multa:

1) No cumplimiento de los plazos de inicio de cada servicio: Se aplicarán multas, si el proveedor no diere cumplimiento a los plazos de implementación y habilitación del servicio ofertado, de acuerdo con lo establecido en el punto 4.4 de las bases técnicas de licitación, según lo siguiente:

Se aplicará una multa de 10 UF por cada día hábil de atraso. Para estos efectos se entenderán días hábiles de lunes a viernes e inhábiles los sábados, domingos y feriados.

Si el atraso es mayor a 10 días hábiles, será causal de término de contrato.

Los atrasos se contabilizarán a partir del día siguiente al vencimiento del plazo fijado para la implementación y habilitación del servicio.

2) Incumplimiento en los plazos de entrega durante la vigencia del servicio: Se aplicarán multas por incumplimientos en los plazos de entrega acordadas durante la vigencia del servicio, de acuerdo con lo establecido en las bases técnicas de licitación, según lo siguiente:

Se aplicará una multa de 3 UF por cada día hábil de atraso. Para estos efectos se entenderán días hábiles de lunes a viernes e inhábiles los sábados, domingos y feriados.

Los atrasos se contabilizarán a partir del día siguiente al vencimiento del plazo acordado.

El tope de aplicación de estas multas será de un 10% del valor total bruto del contrato.

La multa será cobrada en pesos chilenos, considerando para la conversión el valor que posea la Unidad de Fomento al día de emisión del informe de multa señalado en el punto 12.5.2.- de estas bases administrativas.

12.5.2.- Procedimiento de aplicación de multas:

En caso de producirse alguna causal que amerite la aplicación de multas, la jefatura de la División de Infraestructura Tecnológica y Conectividad de la CMF, deberá elaborar un informe de multas, el que deberá contener a lo menos:

a.- Identificación del adjudicatario;

b.- Identificación de la resolución exenta que aprueba el contrato;

c.- Responsable por parte del adjudicatario;

d.- Fecha del incumplimiento por parte del adjudicatario;

e.- Descripción del incumplimiento y documentación que lo respalda;

f.- Monto de la eventual multa; y

g.- Firma de la jefatura de la División de Infraestructura Tecnológica y Conectividad de la CMF.

Una vez elaborado el informe, el Departamento de Compras de la CMF lo notificará a través del sistema de información por correo electrónico único establecido por el proveedor en el registro de proveedores, indicando los hechos que constituyen el incumplimiento y el monto de la multa. A contar de la notificación de la comunicación precedente, el proveedor tendrá un plazo de cinco días hábiles para efectuar sus descargos, acompañando todos los antecedentes que estime pertinentes.

Dichos descargos y los antecedentes pertinentes deberán ser presentados por escrito ante la CMF, los cuales deberán ser ingresados a la Oficina de Partes de la CMF, en las dependencias ubicadas en Avda. Libertador Bernardo O´Higgins N°1449, Torre I, piso 1, Santiago, Región Metropolitana, dirigidos al Departamento de Compras, de lunes a viernes, en horario de 9:00 a 13:30 horas, o por vía electrónica a través de la aplicación CMF sin papel, disponible en el sitio web institucional.

Si el adjudicatario hubiere presentado descargos en tiempo y forma, la CMF podrá rechazarlos o acogerlos, total o parcialmente, lo que se determinará mediante una resolución fundada que será dictada dentro del plazo de 30 días hábiles contados desde la recepción de los descargos.

Vencido el plazo sin presentar descargos, la CMF dictará la resolución de aplicación de multas.

La resolución que disponga la aplicación de una multa se notificará a través del sistema de información por correo electrónico único establecido por el proveedor en el registro de proveedores, quien tendrá un plazo de cinco días hábiles, contados desde su notificación para presentar recurso de reposición por escrito ante la CMF, el que deberá ser presentado en la Oficina de Partes de la CMF, dirigido al Departamento de Compras, de lunes a viernes, en horario de 9:00 a 13:30 horas, o a través de la aplicación “CMF sin Papel” disponible en el sitio web institucional

Los plazos para la presentación de los descargos o recurso de reposición se computarán desde el día siguiente hábil a aquél en que se notifique la aplicación de una multa.

Lo anterior, de acuerdo con la Ley N°19.880, que Establece Bases de los Procedimientos Administrativos que Rigen los Actos de los Órganos de la Administración del Estado.

12.5.3.- Pago de las multas:

El monto de la multa será rebajado del pago que se deba efectuar al adjudicatario en el estado de pago más próximo o de la garantía de fiel y oportuno cumplimiento del contrato que se encuentre vigente, y, de no ser suficiente este monto o en caso de no existir pagos pendientes, se procederá al cobro directo.

Artículo 13.- Modificación del contrato:

El contrato podrá modificarse por mutuo acuerdo de las partes, siempre y cuando con el contenido de la modificación no se afecte el principio de estricta sujeción a las bases y de igualdad de los oferentes.

Las modificaciones podrán efectuarse con la finalidad de lograr un mejor cumplimiento de los objetivos del contrato o de hacerse cargo de situaciones imprevistas, ocurridas durante su ejecución, y que incidan en su normal desarrollo.

Las modificaciones no podrán afectar los precios establecidos en la oferta.

El contrato podrá prorrogarse en las mismas condiciones técnicas y comerciales pactadas, solo aumentando su plazo de ejecución que, en ningún caso, el monto de estas modificaciones podrá exceder, independientemente o en su conjunto con las demás modificaciones realizadas a este durante la vigencia, el equivalente al 30% del monto originalmente contratado.

La resolución que apruebe cualquier modificación al contrato, deberá ser fundada y publicarse en el Sistema de Información Mercado Público.

Artículo 14.- Confidencialidad y políticas de seguridad:

El adjudicatario y su personal, ya sea directo o subcontratado, que se encuentren ligados al contrato en alguna de sus etapas deberán guardar absoluta reserva de los documentos y antecedentes de las personas o entidades sujetas a la fiscalización de la CMF o de la propia CMF, a que tuviere acceso con ocasión de la ejecución del contrato.

Esta obligación se hará extensiva a los trabajadores, dependientes o subcontratados, ejecutivos y contratistas del adjudicatario, quien deberá velar por su estricto cumplimiento de esta obligación, la que no se extingue una vez terminado el contrato.

Asimismo, quedarán obligados, en virtud de la presente licitación, a dar estricto cumplimiento a la Política General sobre Seguridad de la Información de la CMF, especialmente en lo que dice relación con la Política de Relaciones con el proveedor, que se encuentre vigente a la fecha de la suscripción del contrato. Para estos efectos, se hará entrega al adjudicatario, en el acto de suscripción del contrato, un ejemplar de dicha política para que sea aplicada en lo que sea pertinente.

Artículo 15.- Independencia:

El personal del adjudicatario que intervenga en la prestación de los servicios, no tendrá vinculación alguna con la CMF, ni tendrá derecho a beneficio de cualquier clase que la Institución pueda otorgar a sus trabajadores.

Artículo 16.- Término del contrato:

16.1.- Término normal:

El contrato terminará por el transcurso del plazo establecido en éste.

16.2.- Término anticipado del contrato:

Sin perjuicio de lo establecido en el artículo N°13 bis de la Ley N°19.886 y el artículo N°130 de su Reglamento, el contrato podrá terminarse anticipadamente, por las siguientes causales:

a.- La muerte o incapacidad sobreviniente de la persona natural, o la extinción de la personalidad jurídica de la sociedad contratista.

b.- La resciliación o mutuo acuerdo entre las partes, siempre que el Proveedor no se encuentre en mora de cumplir sus obligaciones.

c.- El incumplimiento grave de las obligaciones contraídas por el Proveedor. Las Bases o el contrato deberán establecer de manera precisa, clara e inequívoca las causales que dan origen a esta medida.

d.- El estado de notoria insolvencia del contratante, a menos que se mejoren las cauciones entregadas o las existentes sean suficientes para garantizar el cumplimiento del contrato.

e.- Término o liquidación anticipada del contratante por causa distinta a la quiebra;

f.- La imposibilidad de ejecutar la prestación en los términos inicialmente pactados, cuando no sea posible modificar el contrato conforme al artículo 129 precedente. En tal caso, la Entidad sólo pagará el precio por los bienes y/o servicios que efectivamente se hubieren entregado o prestado, según corresponda, durante la vigencia del contrato. Asimismo, en el evento que la imposibilidad de cumplimiento del contrato obedeciere a motivos imputables al Proveedor, procederá que se apliquen en su contra las medidas establecidas en el artículo 135 de este reglamento.

g.- Por exigirlo el interés púbico o la seguridad nacional;

h.- Por razones de buen servicio;

i.- La constatación de que los integrantes de la UTP constituyeron dicha figura con el objeto de vulnerar la libre competencia. De verificarse tal circunstancia, se remitirán los antecedentes pertinentes a la Fiscalía Nacional Económica;

j.- Si uno de los integrantes de la UTP se retira de ésta, y dicho integrante reuniese una o más características objeto de la evaluación de la oferta;

k.- Ocultar información relevante para ejecutar el contrato, que afecte cualquiera de sus miembros;

l.- Inhabilidad sobreviniente del proveedor o de alguno de los integrantes de la UTP, en la medida que esta no pueda continuar ejecutando el contrato con los restantes miembros, en los mismos términos adjudicados;

m.- Disolución de la UTP;

n.- No sustituir la garantía de fiel y oportuno cumplimiento del contrato, en el caso de haber procedido su cobro por alguna de las causales establecidas en las presentes bases.

o.- Registrar saldos insolutos de remuneraciones o cotizaciones de seguridad social con sus actuales trabajadores, directos o subcontratados, o con trabajadores contratados en los últimos dos años, a la mitad del período de ejecución del contrato, con un máximo de seis meses.

Si así correspondiere y a fin de verificar la ocurrencia de esta última causal, la CMF podrá solicitar que se le exhiba, entre otros, contratos de trabajos, copias firmadas de la respectivas liquidaciones de remuneraciones del personal, directo o subcontratado, empleado en la prestación del servicio, planillas de declaración y pago de imposiciones previsionales, de salud y cesantía de dichos empleados, registro de asistencia y control de jornada de trabajo, certificado emitido por la Dirección del Trabajo correspondiente al lugar donde se ejecutan los servicios en que conste que no tienen reclamos pendientes con dicho personal por incumplimiento de leyes laborales o previsionales, o por incumplimiento de los contratos de trabajo.

p.- Las demás establecidas en la ley, en las respectivas Bases de la licitación o en el contrato.

Se entenderá por incumplimiento grave de las obligaciones del contratado las siguientes, que serán certificadas por la jefatura de la División de Infraestructura Tecnológica y Conectividad de la CMF.

a.- Si a juicio de la CMF, el adjudicatario no está ejecutando el contrato de acuerdo con lo establecido en las bases y sus anexos, que forman parte de la licitación.

b.- Si este afecta el normal cumplimiento de las funciones de la CMF.

c.- Entrega, por parte del adjudicatario, de antecedentes inconsistentes o no verosímiles durante el proceso de licitación.

d.- El incumplimiento de las obligaciones contenidas en el punto 12.3 de estas bases.

e.- Por exceder el tope de multa establecido en el numeral 12.5.1 de estas bases.

f.- La cesión del contrato, en los casos no autorizados expresamente por una ley.

g.- El incumplimiento al artículo 14 de estas bases “Confidencialidad y políticas de seguridad”.

h.- La subcontratación que no se ajuste a lo dispuesto en el punto 12.2.2 de estas bases.

El término anticipado del contrato será dispuesto por la CMF a través de una resolución fundada, previo informe de la jefatura de la División de Infraestructura Tecnológica y Conectividad de la CMF, quien deberá informar los hechos o situaciones constitutivas de la causal del término anticipado del contrato y será publicada en el Portal a más tardar dentro de las 24 horas de dictada.

La terminación anticipada del contrato no dará derecho a indemnización alguna para el proveedor.

En caso de tratarse de una UTP, las causales podrán afectar a cualquiera de los integrantes de la unión, en cuyo caso se dispondrá el término anticipado en la forma indicada.

En caso de producirse alguna causal que amerite el término anticipado, la jefatura de la División de Infraestructura Tecnológica y Conectividad de la CMF deberá elaborar un informe, el que deberá contener a lo menos:

a.- Identificación del adjudicatario;

b.- Identificación de la resolución aprobatoria del contrato;

c.- Responsable por parte del adjudicatario.

d.- Fecha del incumplimiento por parte del adjudicatario;

e.- Descripción del incumplimiento y documentación que lo respalda; y

f.- Firma de la Jefatura de la División de Infraestructura Tecnológica y Conectividad de la CMF.

Una vez elaborado el informe, y de ser la causal de termino anticipado la resciliación o mutuo acuerdo entre las partes, el Departamento de Compras gestionará la formalización del documento de termino anticipado firmado por las partes, que será aprobado por resolución de la CMF.

De ser distinta la causal de termino a la indicada en párrafo anterior, el Departamento de Compras de la CMF notificará a través del sistema de información por correo electrónico único establecido por el proveedor en el registro de proveedores, indicando la infracción cometida y los hechos que la constituyen. A contar de la notificación de la comunicación precedente, el adjudicatario tendrá un plazo de cinco días hábiles para efectuar sus descargos, acompañando todos los antecedentes que estime pertinente.

Dichos descargos y los antecedentes pertinentes deberán ser presentados por escrito ante la CMF, los cuales deberán ser ingresados a la Oficina de Partes de la CMF, en las dependencias ubicadas en Avda. Libertador Bernardo O´Higgins N°1449, Torre I, piso 1, Santiago, Región Metropolitana, dirigidos al Departamento de Abastecimiento, de lunes a viernes, en horario de 9:00 a 13:30 horas, o por vía electrónica a través de la aplicación CMF sin papel, disponible en el sitio web institucional.

Si el adjudicatario hubiere presentado descargos en tiempo y forma, la CMF podrá rechazarlos o acogerlos, total o parcialmente, lo que se determinará mediante una resolución fundada que será dictada dentro del plazo de 30 días hábiles contados desde la recepción de los descargos.

Vencido el plazo sin presentar descargos, la CMF dictará la resolución de término de contrato.

La resolución que disponga el término de contrato se notificará a través del sistema de información por correo electrónico único establecido por el proveedor en el registro de proveedores, quien tendrá un plazo de cinco días hábiles, contados desde su notificación para presentar recurso de reposición por escrito ante la CMF, el que deberá ser ingresado a la Oficina de Partes de la CMF, en las dependencias ubicadas en Avda. Libertador Bernardo O´Higgins N°1449, Torre I, piso 1, Santiago, Región Metropolitana, dirigidos al Departamento de Compras, de lunes a viernes, en horario de 9:00 a 13:30 horas, o por vía electrónica a través de la aplicación CMF sin papel, disponible en el sitio web institucional.

Los plazos para la presentación de los descargos o recurso de reposición se computarán desde el día siguiente hábil a aquél en que se notifique el término anticipado de contrato.

Lo anterior, de acuerdo con la Ley N°19.880, que Establece Bases de los Procedimientos Administrativos que Rigen los Actos de los Órganos de la Administración del Estado.

La CMF hará efectiva la garantía de fiel y oportuno cumplimiento de contrato en caso de término anticipado del mismo y que sea imputable al adjudicatario, de acuerdo los casos señalados en este numeral.

1. ANTECEDENTES

La exposición a amenazas cibernéticas, programas computacionales maliciosos o diferentes riesgos digitales que afectan tanto a redes de comunicación como a sistemas de información que, con el avance de la digitalización de las sociedades y la profesionalización del Cibercrimen, han aumentado exponencialmente año a año, hace indispensable contar con un servicio experto y trabajar con un equipo multidisciplinario que se encargue de prevenir, analizar, identificar, evaluar, localizar y neutralizar ciberataques u otro tipo de amenazas digitales, habilitando una oportuna y temprana respuesta a emergencias tecnológicas e incidentes de ciberseguridad.

Es por este motivo que la Comisión para el Mercado Financiero, en adelante CMF, requiere contratar servicios especializados de ciberseguridad los cuales son solicitados y detallados en las presentes bases técnicas.

1. OBJETO DE LA LICITACIÓN

La CMF llama a personas naturales o jurídicas a participar en la licitación pública para la contratación de servicios especializados de ciberseguridad a entregarse por el periodo de 24 meses. Los servicios especializados requeridos deben permitir efectuar lo siguiente:

2.1.   Servicio de monitoreo Ciberseguridad, Threat Hunting, Cibervigilancia y Ciberinteligencia

Investigaciones especiales centradas en la recopilación de inteligencia valiosa y relevante en el seguimiento de los actores de amenazas específicos que representan una amenaza para el ecosistema digital de la CMF. Esto incluye inteligencia sobre Ransomware, eCrime, Vulnerabilidades de Red y Host, Credenciales Comprometidas, Botnets, Fraude y Amenazas Emergentes asociadas al ámbito tecnológico tanto nacional como internacional.

2.2.   Servicios de Red Team

Realizar labores de evaluación, detección, revisiones y explotación controladas de vulnerabilidades en las aplicaciones, infraestructura y redes de CMF, así como ejercicios de vulneración de seguridad física, por medio del uso de herramientas y técnicas por parte de especialistas, con la finalidad de poder identificar una o más brechas de seguridad e implementar ciclos de mejora.

2.3.   Servicios de IR (Incident Response)

Apoyo en la respuesta ante incidentes cibernéticos, que se encuentre enfocado en enfrentar amenazas y/o riesgos materializados, conformando un equipo multidisciplinario que dé oportuna y temprana respuesta a emergencias de ciberseguridad, dando resolución a incidentes de ciberseguridad específicos.

1. ESPECIFICACIÓN DE REQUERIMIENTOS

3.1.   Requerimientos generales (Requerimiento 01)

Se requiere la provisión e integración de una plataforma de tipo Security Information and Event Management - SIEM de próxima generación, especializada en la detección, investigación y respuesta ante amenazas cibernéticas o digitales. Esta plataforma debe estar basada en modelos avanzados de inteligencia artificial, aprendizaje automático y ciencia de datos. Sus funciones principales deben abarcar la capacidad de recopilar datos de fuentes locales y en la nube, analizarlos de manera eficiente y almacenarlos de forma segura. Además, se espera que la plataforma ofrezca búsquedas a alta velocidad, utilizando lenguaje natural y no propietario. Deberá permitir la generación de informes de cumplimiento detallados y proporcionar paneles de control para facilitar la supervisión y la toma de decisiones estratégicas en el ámbito de ciberseguridad.

La plataforma deberá implementarse como Software as a Service (SaaS), proporcionando desde el origen el envío seguro, la compresión y el cifrado de datos. La CMF no aceptará soluciones basadas en software libre que carezcan de respaldo y soporte por parte de un fabricante reconocido en el mercado. Además, las soluciones ofertadas deberán encontrarse posicionadas como líderes en el Cuadrante Mágico de Gartner para SIEM durante al menos 4 años consecutivos.

La plataforma debe proveer capacidades de análisis de comportamiento de usuarios y entidades (User and Entity Behavior Analytics - UEBA); debe generar automáticamente líneas de tiempo inteligentes para comportamiento normal y anormal, utilizando aprendizaje automático y debe permitir la aplicación de calificaciones de riesgo, manteniendo un historial que servirá de base para futuras investigaciones.

La plataforma debe ofrecer asistencia personalizada, sugiriendo pasos para la resolución de incidentes; deberá facilitar la documentación de incidentes, recreando de manera automática cadenas de ataques completas y reconstruyendo el comportamiento de usuarios y dispositivos. Además, deberá utilizar marcos de trabajo internacionalmente reconocido (cómo MITRE ATT&CK) para identificar de forma proactiva tanto las amenazas como las Técnicas, Tácticas y Procedimientos (TTP’s) utilizadas.

La plataforma deberá, a lo menos, incorporar casos de uso mediante el uso de analítica de seguridad UEBA, los cuales deben incluir, sin limitarse a: malware, phishing, ataques de fuerza bruta, ransomware, cryptomining, credenciales comprometidas, movimiento lateral, escalación de privilegios, actividad privilegiada, manipulación de cuentas, exfiltración de datos, evasión de medidas de protección tecnológica, fuga de datos, abuso de acceso privilegiado, manipulación de información de auditoría, destrucción de datos, seguridad física, comportamiento riesgoso de la fuerza laboral, autenticación y acceso anormal. Estos casos de uso deberán estar preconfigurados y disponibles en la plataforma sin necesidad de desarrollo adicional.

La plataforma debe incorporar capacidades de apoyo a la respuesta automatizada de incidentes de seguridad y ciberseguridad, capacidades que debe incluir 'playbooks' llave en mano que permitan la automatización de incidentes relacionados con phishing, malware, indicadores de compromiso (IoC) y desvinculación de empleados. Adicionalmente, la plataforma debe poder integrarse con productos líderes en seguridad y poseer una biblioteca de acciones de respuesta automáticas o semiautomáticas. Esto permitirá a los analistas qué operen la plataforma emplear acciones repetibles, reduciendo así el tiempo de respuesta y mejorando la eficiencia.

El proveedor deberá entregar acceso, en modalidad solo lectura, a personal de CMF a la plataforma SIEM provista, para visualizar sus funcionalidades y extraer información de contexto, de manera independiente al equipo de analistas que el oferente considere para la prestación del servicio, no significando esto administración compartida.

La solución deberá considerar como cobertura: Todas las instalaciones, redes, infraestructura tecnológica y aplicaciones de la CMF.

Por último, CMF espera que la plataforma ofertada cumpla, a lo menos, con las siguientes características particulares:

1. La plataforma propuesta deberá poseer certificaciones del tipo: SOC 2, ISO 27001, 27017, 27018 y GDPR para asegurar que los controles de seguridad mantendrán la información almacenada de forma segura y privada.
2. La plataforma propuesta debe garantizar por lo menos un nivel de servicio de 99.9% en carga de datos a la nube y 99.5% en disponibilidad de acceso al producto. El proveedor deberá incorporar dentro de los documentos a presentar un informe técnico reciente que dé cuenta de los niveles de cumplimiento posee la plataforma respecto de los niveles de servicio solicitados.
3. La plataforma propuesta debe disponer de una consola, la cual deberá desplegarse de manera segura mediante protocolo HTTPS y deberá tener un acceso centralizado a todos los componentes de la plataforma, además de integrarse con Autenticación Multifactor (Multi-Factor Authentication – MFA).
4. La plataforma propuesta deberá tener la capacidad de mostrar el estado de salud y licenciamiento de la plataforma dentro de la misma interfaz web.
5. La plataforma propuesta deberá contar con actualizaciones por parte del fabricante, con la finalidad de mantener el contenido, las capacidades y la infraestructura de soporte en la última versión estable y libre de vulnerabilidades. Este proceso de actualización no debe requerir involucramiento del equipo de CMF.
6. La plataforma propuesta deberá permitir crear alertas sobre el estado de salud en el que se encuentran sus componentes siendo capaz de enviarlas por correo electrónico.
7. La plataforma propuesta deberá permitir la creación de usuarios locales y externos utilizando una solución de SSO a través de SAML 2.0 y deberá soportar control de acceso basado en roles (Role-Based Access Control - RBAC).
8. La plataforma propuesta deberá contar con la función de restringir datos a usuarios y roles específicos para mantener el control de la información que cada uno de ellos puede visualizar y acceder.
9. La plataforma propuesta deberá disponer protecciones para el control de acceso basado en roles (RBAC), previniendo la materialización de ataques del tipo Man-In-The-Middle.
10. La plataforma propuesta deberá contar con controles de seguridad que permitan, a lo menos, el cifrado AES-256 para los datos en reposo y forzar cifrado TLS versión 1.2 o 1.3 para datos en tránsito.
11. La plataforma propuesta deberá mantenerse actualizada en cuanto a contenido, incluyendo la normalización de eventos, acciones, integraciones, reportes, entre otros elementos.
12. La plataforma propuesta deberá contar, a lo menos, con la capacidad de generar los siguientes registros de auditoría (logs) sobre las acciones realizadas en la plataforma:

• Creación y/o modificación de alertas y casos
• Creación, modificación y/o eliminación de APIs.
• Autenticación en la plataforma
• Creación, habilitación, modificación y/o eliminación de una nueva fuente de datos.
• Creación, modificación y/o eliminación de tablas de contexto.
• Creación, habilitación, deshabilitación, modificación y/o eliminación de reglas.
• Creación, modificación y/o eliminación de roles de usuario.
• Ejecución, descargas y/o exportación de búsquedas.
• Creación, activación, desactivación, modificación, eliminación y/o reinicio de contraseñas de usuarios.

13. La plataforma propuesta deberá almacenar los registros de auditoría generados en la misma base de datos provista por la plataforma para poder ser utilizados en búsquedas, visualizaciones, reportes, entre otras búsquedas.
14. El fabricante de la plataforma propuesta deberá contar con un portal que permita gestionar casos de soporte asociados a la plataforma.
15. El fabricante de la plataforma propuesta deberá contar con una comunidad web que permita discutir y compartir temas de interés, tener acceso a documentación de la plataforma, webinars y material educativo.
16. La plataforma propuesta deberá permitir la colección de eventos utilizando una máquina virtual o física de forma centralizada o distribuida geográficamente sin costo adicional y que utilice sistemas operativos preferentemente basados en Linux.
17. La plataforma propuesta deberá contar con opciones para filtrar los eventos que son enviados y procesados con la finalidad de reducir la ingesta y evitar la superación del licenciamiento.
18. La plataforma propuesta deberá colectar datos por medio de diferentes métodos, a lo menos deberá poder colectar datos por la ingesta de archivos, conexión a bases de datos (JDBC/OBDC), integración con APIs, eStreamer y syslog.
19. La plataforma propuesta deberá, en el supuesto de que los dispositivos no tengan la capacidad de enviar eventos de forma directa, contar con agentes para Windows y Linux que, ejecutándose de manera local, puedan recopilar datos operativos y métricas del sistema.
20. La plataforma propuesta deberá contar con la capacidad de recolectar logs de soluciones IaaS, PaaS y SaaS de nube a nube, mediante colectores basados en APIs.
21. La plataforma propuesta deberá ofrecer integración para fuentes de datos predefinidas, tales como: controladores de dominio, directorio activo, VPNs, DLP, SIEMs existentes, IaaS, PaaS y SaaS, EDR/XDR, Firewall, NPS, MFA, MDM, Antispam, WAF, DNS seguro, Balanceadores de carga, Servicios de Mensajería y Comunicaciones (Correo electrónico, Teams, Zoom, etc.), Bases de datos, dispositivos de comunicaciones, entre otros.
22. La plataforma propuesta deberá contar con normalizaciones (parseo) predefinidos para los fabricantes más importantes del mercado, estos deberán de contar con soporte integrado para no depender de desarrollos de terceros. CMF privilegiará plataformas de SIEM que posean integración nativa con los sistemas y soluciones de protección tecnológica que posea la Comisión en operación dentro de su ecosistema digital.
23. La plataforma propuesta deberá contar con capacidad para la integración de nuevos dispositivos no soportados nativamente con procesos de normalización de bitácoras a través de una interfaz web fácil de utilizar y que cuente con un paso a paso del proceso para facilitar las tareas a los administradores.
24. La plataforma propuesta deberá proporcionar las herramientas necesarias para generar conexiones y desarrollar servicios personalizados que no estén disponibles por defecto, y el desarrollo deberá realizarse mediante un lenguaje de programación estándar como Python.
25. La plataforma propuesta deberá retener la información en la nube, evitando el crecimiento de la infraestructura que se encuentra en el centro de datos de CMF. Para la retención de información en la nube, el proveedor deberá considerar retención de logs en caliente, frio y congelado.
26. La plataforma propuesta deberá permitir la definición de los tiempos de retención desde la interfaz web.
27. La plataforma propuesta deberá contar con una lista de indicadores de compromiso (IoC) provenientes de un proveedor líder en la industria.
28. La plataforma propuesta deberá ser capaz de utilizar tablas de contexto personalizadas para identificar indicadores de compromiso (IoCs).
29. La plataforma propuesta deberá estar nativamente alineada con la matriz de ataque MITRE (MITRE ATT&CK), lo que permitirá a los investigadores ejecutar cazas de amenazas basadas en esas técnicas.
30. La plataforma propuesta debe permitir realizar búsquedas de los eventos identificados como anómalos, enriqueciéndolos con casos de uso, reglas que se activaron y las TTPs de MITRE ATT&CK.
31. La plataforma propuesta deberá proporcionar informes sobre el estado de cobertura para identificar la eficiencia de las reglas y fuentes integradas en relación con los casos de uso y las TTPs de MITRE ATT&CK.
32. La plataforma propuesta deberá contar con una interfaz web que permita la consulta de la información en tiempo real, con el fin de realizar investigaciones forenses, así como identificar patrones en los datos recolectados, permitiendo evidenciar tendencias.
33. La plataforma propuesta deberá permitir la ejecución de consultas simples mediante operadores lógicos, condicionales, comodines, rangos y términos negativos sin necesidad de utilizar lenguaje complejo.
34. La plataforma propuesta deberá permitir un método de búsqueda avanzado para usuarios con mayor manejo y conocimiento de la plataforma, incluyendo operadores de WildCards y Expresiones Regulares.
35. La plataforma propuesta deberá permitir la construcción de búsquedas complejas mediante el uso de lenguaje natural en castellano. Por ejemplo: “Muestra el top 10 de usuarios que más veces se autenticaron en el último día en Windows, o el top 10 de las páginas más visitadas en navegación internet o el top 10 de los usuarios que más han recibido correo basura”. Esto deberá permitir a los analistas construir búsquedas rápidas y enfocarse en posibles amenazas.
36. La plataforma propuesta deberá contar con la capacidad de llevar al usuario entre búsquedas, reglas de correlación o tableros de control para poder generar contenido utilizando la misma consulta.
37. La plataforma propuesta deberá contar, sumar, obtener mínimos, promedios y máximos de los eventos que se estén buscando sin necesidad de cambiar de pantalla o interfaz con la intención de hacer investigaciones numéricas y de volumen.
38. La plataforma propuesta deberá ser capaz de exportar los datos almacenados en formato crudo o seleccionando los campos deseados, en archivos CSV.
39. La plataforma propuesta deberá poder guardar búsquedas para su uso posterior y deberá permita acceder a los eventos (logs) originales, siempre que así se requiera. Adicionalmente, la plataforma propuesta deberá mantener disponible la información previamente interpretada como son: eventos, alertas e incidentes.
40. La plataforma propuesta deberá permitir mostrar u ocultar campos específicos cuando se estén realizando búsquedas para permitir la identificación de amenazas.
41. La plataforma propuesta deberá analizar y mostrar los errores en las consultas antes de ejecutarlas, para permitir a los analistas corregirlas fácilmente.
42. La plataforma propuesta deberá contar con un API que permita automatizar las búsquedas y la modificación de contexto.
43. La plataforma propuesta debe permitir configurar tableros o dashboards sin necesidad de conocer o tener un lenguaje o código especial.
44. La plataforma propuesta deberá permitir contenidos de visualización basados en filtros configurables, los cuales podrán ser exportados, almacenados y compartidos con cualquier usuario cuyo perfil lo permita.
45. La plataforma propuesta deberá permitir agregar filtros que apliquen a todas las visualizaciones del panel de control.
46. La plataforma propuesta deberá contar con paneles de control pre-construidos de: anomalías por caso de uso, conteo de anomalías por día, conteo de anomalías por regla, casos abiertos por severidad, equipo de trabajo y tipo de incidente, métricas de desempeño de gestión de los casos y cumplimiento de al menos las siguientes normativas: NIST, ISO 27001, HIPAA, PCI, SOX y GDPR.
47. La plataforma propuesta deberá tener la capacidad de agrupar los tableros o dashboards para que los usuarios puedan acceder de forma sencilla a los tableros o dashboards que ellos han generado y los que han marcado como favoritos.
48. La plataforma propuesta deberá permitir la asignación de permisos y roles a cada uno de los tableros o dashboards para restringir el acceso a la información almacenada.
49. La plataforma propuesta deberá presentar la información en los tableros o dashboards en gráficos, considerando gráficos del tipo barra, columna, línea, área, torta, burbujas, embudo, valores únicos, diagrama sankey, mapas de calor, MITRE, tablas, entre otros.
50. La plataforma propuesta deberá contar con la capacidad de combinar la información recolectada con información de contexto de los usuarios y entidades analizados, con el propósito de asignar una puntuación de riesgo, que permita priorizar e investigar de forma efectiva.
51. La plataforma propuesta deberá ser capaz de interpretar los comportamientos de usuarios con el fin de detectar amenazas modernas, avanzadas y/o complejas tales como incidencias basadas en credenciales comprometidas, ataques internos, movimientos laterales y ransomware; proporcionando una capa de análisis sobre estas.
52. La plataforma propuesta deberá tener capacidades de pre-construir una base de comportamiento para todos y cada uno de los usuarios y entidades integradas a la solución; basado en un modelo de inteligencia artificial y fundamentado en aprendizaje automático, vinculando y analizando la actividad en la red, así como las sesiones de usuario; organizándolo en líneas de tiempo.
53. La plataforma propuesta deberá tener capacidades para construir de forma automática líneas de tiempo para eventos relacionados con usuarios y entidades, lo que agilizará la investigación de casos y permitirá detectar usuarios comprometidos presentando una imagen integral de su comportamiento.
54. La plataforma propuesta deberá permitir otorgar una calificación basada en el análisis de todo el comportamiento o actividad anómala o inusual de usuarios o entidades dentro de la red, permitiendo la normalización y enriquecimiento de eventos, proporcionando un contexto claro y permitiendo una rápida investigación por parte de los analistas de ciberseguridad. Además, la plataforma propuesta deberá proporcionar información de contexto enriquecida sobre un usuario para su análisis, incluyendo comparaciones con otros miembros del equipo, horarios de actividad, uso de VPN e identificación de estación de trabajo utilizada.
55. La plataforma propuesta deberá poder identificar los siguientes eventos utilizando modelos de detección basados en UEBA: Manipulación de cuentas, protección de información en nube, credenciales comprometidas, robo de información, evasión de controles, movimientos laterales, escalamiento de privilegios, actividad privilegiada, autenticación y acceso anómalo, manipulación de auditoría, filtración de información, destrucción de información, seguridad física, abuso de privilegios, comportamiento riesgoso de la fuerza laboral, ataques de fuerza bruta, malware, criptominería, phishing y ransomware.
56. La plataforma propuesta deberá proporcionar acceso a los diferentes modelos de datos generados por la actividad de los usuarios y dispositivos.
57. La plataforma propuesta deberá ser capaz de crear reglas basadas en un histograma para determinar actividades anómalas.
58. La plataforma propuesta deberá ser capaz de modelar la información recibida en al menos 3 tipos de modelos de datos: categórico, número y “día de la semana” con el fin de crear una línea base de comportamiento tanto de usuarios como de entidades.
59. La plataforma propuesta deberá contar con la opción de crear listas de observación para monitorear usuarios y entidades específicos, como ejecutivos, cuentas de servicio o personal externo. Además, deberá tener la capacidad de exportar los registros (logs) a un archivo CSV cuando sea necesario.
60. La plataforma propuesta deberá incluir características de cacería de amenazas, la cual utilizará técnicas de aprendizaje automático para notificar a los analistas sobre riesgos emergentes. Esto permitirá a los analistas de seguridad buscar en múltiples dimensiones la actividad del usuario y encontrar sesiones que contengan comportamientos inusuales específicos, así como identificar usuarios que coincidan con ciertos criterios.
61. La plataforma propuesta deberá permitir que las búsquedas utilizadas en la caza de amenazas sean almacenadas en una librería para que otros usuarios de la plataforma puedan utilizarlas y compartirlas, lo que facilitará la respuesta ante amenazas.
62. La plataforma propuesta deberá incluir un conjunto de patrones maliciosos preconfigurados en la plataforma para que los analistas los puedan utilizar durante la ejecución de cacería de amenazas.
63. La plataforma propuesta, utilizando un copiloto de Security Operation Center (SOC) e inteligencia artificial generativa, deberá construir un resumen del evento anómalo identificado, señalando con claridad el impacto que pudiese generar en la organización de no ser detenido y generando indicaciones de las acciones específicas que deben ser ejecutadas, tales como recomendaciones de mejoras, creación de reglas, complemento de investigaciones, guía para resolución de problemas, entre otras.
64. La plataforma propuesta, utilizando un copiloto de SOC e inteligencia artificial generativa, deberá contestar toda pregunta adicional tras la generación del resumen, elaboradas en lenguaje natural y en castellano, que permita que el analista de seguridad indague y obtenga mayor cantidad de respuestas e información para llevar a cabo las actividades de prevención y respuesta necesarias.
65. La plataforma propuesta deberá permitir una respuesta rápida y eficiente a los incidentes, proporcionando una única consola para automatizar los flujos de trabajo.
66. La plataforma propuesta deberá contar con un componente que permita la identificación de alertas de seguridad de otros componentes en la organización y priorice estas alertas enriquecidas utilizando técnicas de inteligencia artificial y aprendizaje automático.
67. La plataforma propuesta deberá tener la capacidad de administrar incidentes e investigaciones de seguridad generados automáticamente o creados manualmente, proporcionando guías con acciones establecidas por los analistas de acuerdo con el caso de uso que se esté trabajando.
68. La plataforma propuesta deberá contar con un sistema de gestión de incidentes totalmente personalizable y una interfaz intuitiva y fácil de usar para los analistas de nivel básico.
69. La plataforma propuesta deberá permitir documentar las acciones ejecutadas durante el incidente, así como proporcionar recomendaciones posteriores.
70. La plataforma propuesta deberá incluir el manejo de casos para responder rápidamente a los incidentes, ya sea mediante acciones puntuales por parte del analista de seguridad y/o a través de la automatización y orquestación de procedimientos predefinidos o "playbooks".
71. La plataforma propuesta deberá contar con "playbooks" predefinidos para la automatización de los incidentes más comunes de la organización, como alertas de malware, incidentes de phishing, inteligencia de amenazas, enriquecimiento y clasificación automática de incidentes.
72. La plataforma propuesta deberá contar con plantillas prefabricadas las cuales puedan ser utilizadas para generar “playbooks”.
73. La plataforma propuesta deberá tener la capacidad de crear nuevos "playbooks" y flujos de trabajo, clonar o modificar los existentes, para que estos sean modificados según las necesidades específicas de CMF.
74. La plataforma propuesta deberá permitir la creación de acciones y "playbooks" con la capacidad de ejecutarse manual o automáticamente cuando ocurran eventos y/o condiciones específicas.
75. La plataforma propuesta deberá ser capaz de conectarse a herramientas de terceros mediante el uso de API’s, lo que permitirá la automatización de acciones en diferentes equipos de seguridad. Algunas de las herramientas de terceros a las que debe poder conectarse son: Email Management, Email Protection, Firewall, Identity and Access Management, ITSM, Malware Scanning, Sandbox y Threat Intelligence, habilitando capacidades de orquestación, automatización y respuesta a eventos de seguridad (Security Orchestration, Automation, and Response - SOAR).
76. La plataforma propuesta deberá tener la capacidad de crear y ejecutar un número ilimitado de “playbooks” y acciones.
77. La plataforma propuesta deberá permitir aplicar acciones sobre componentes en sitio (Centro de Datos) o directamente en la nube.
78. La plataforma propuesta deberá permitir centralizar todas las detecciones, alertas y casos en una única interfaz de usuario, permitiendo detectar, investigar y responder ante las amenazas (Threat Detection, Investigation, & Response - TDIR).
79. La plataforma propuesta deberá permitir la automatización de flujos de trabajo cuando se cumplan ciertas condiciones específicas, reduciendo los tiempos de respuesta al realizar acciones secuenciales, automatizando tareas complejas, repetitivas y manuales.
80. La plataforma propuesta deberá permitir agrupar todas las detecciones, alertas y casos de acuerdo con sus características, como, por ejemplo: IP, dispositivo, usuario, regla, caso de uso, MITRE TTPs o una etiqueta personalizada, facilitando el entendimiento de la amenaza.

3.2.   Servicio de monitoreo Ciberseguridad, Threat Hunting, Cibervigilancia, Ciberinteligencia (Requerimiento 02)

Para el servicio de monitoreo ciberseguridad, threat hunting, cibervigilancia, ciberinteligencia, el oferente debe considerar:

1. Proveer un servicio de caza de amenazas (Threat Hunting) a fin de descubrir tráfico anómalo o malicioso que pueda afectar a la CMF, implementando un mecanismo de seguridad preventivo realizando un análisis de amenazas basado en evidencias y la toma de decisiones ante eventos de Seguridad (Threat Intelligence). Para esto el oferente deberá contar con herramientas propietarias y/o externas para lograr este objetivo en donde se deben indicar cuales son las fuentes de las cuales se alimenta para el proceso de Threat Intelligence y Threat Hunting. El proveedor deberá ser capaz también de compartir información de Indicadores compromisos que afecten a otras entidades para poder tomar decisiones de manera proactiva y ágil, con el objetivo que CMF pueda implementar reglas en los dispositivos de seguridad en el caso de ser necesario y conocer el listado de alertas tempranas.

2. Proveer un servicio de investigaciones especiales para generar alertas cuando los atacantes interactúen maliciosamente con los activos de la red, empleados o sus datos, revisando las posibles interacciones relevantes del atacante.

3. Generar alertas tempranas sobre amenazas emergentes o inminentes, e informar ante los primeros signos de exposición potencial de datos o riesgos de terceros, a fin de detectar tráfico malicioso y/o detección de ataques informáticos desde Internet, tales como denegación de servicios (DoS y DDos) que provienen desde internet y que buscan la indisponibilidad de los servicios que actualmente posee la CMF. Sobre y bajo el perímetro, el oferente deberá mantener informado a CMF de los indicadores de compromiso, incluidas infecciones activas, credenciales comprometidas, etc., para fortalecer las defensas de manera preventiva.

4. Proveer un servicio de Cibervigilancia respecto de información que la CMF pueda tener expuesta en internet y que se transformen en un riesgo que busque afectar sus activos, procesos y reputación. Este servicio debe permitir la identificación, de manera temprana, de las ciberamenazas existentes respecto a posibles brechas que afecten lo anteriormente descrito. Para esto se requiere que el oferente realice la monitorización, notificación y respuesta en modalidad 24x7 (24 horas del día, los 7 días de la semana) de las amenazas existentes que escapen al perímetro y se encuentren dentro del ciberespacio, con el objeto de que CMF tome decisiones de manera rápida y eficiente, minimizando el impacto que las amenazas detectadas pueden producir sobre los procesos institucionales. Para esto, se requiere que el monitoreo incorporé los siguientes elementos:

-        Dominios sospechosos.

-        Uso no autorizado de marca.

-        Contenidos ofensivos.

-        Fugas de información.

-        Hacktivismo / activismo y DDoS.

-        Aplicaciones móviles sospechosas.

-        Phishing y Malware.

-        Seguimiento de perfiles sociales de VIPs pertenecientes asociadas a CMF

5. El servicio de Cibervigilancia provisto debe incorporar la desactivación (take-down) de sitios fraudulentos que suplanten a los sitios institucionales o que mal utilicen la marca CMF.

6. Proveer un servicio de monitoreo del tipo Security Operation Center (SOC), sustentado en la plataforma SIEM provista, que se alimente de todos los activos institucionales tecnológicos que posee la CMF para consolidar y correlacionar: datos, eventos, amenazas, alertas, firmas y riesgos de toda la plataforma CMF en tiempo real. Con la información recopilada se deberá realizar la correlación respectiva y generar alertas en función de anomalías o violaciones de seguridad detectadas, permitiendo a CMF visibilizar y atender en forma temprana posibles incidentes de seguridad, con la finalidad de prevenir impactos en los servicios e imagen de CMF. La información contenida en la plataforma SIEM será insumo para los respectivos análisis forenses en caso de materialización de algún evento de seguridad, los archivos de Logs, eventos y registros de servicios y plataformas correlacionadas se deberán mantener en un medio de almacenamiento online por parte del proveedor de forma segura. Para análisis particulares CMF podrá solicitar al proveedor exportación de logs, eventos o registros almacenados en SIEM y colector. CMF podrá solicitar al término del contrato el respaldo de todos sus registros o una fracción de ellos, si lo estima conveniente.

7. El oferente deberá implementar métodos de correlación y detección, utilizando distintas herramientas para integrar información, usando análisis de patrones de comportamiento y logs con la finalidad de detectar en forma temprana cualquier vulnerabilidad. Se debe comprender que durante todo el periodo del contrato se adicionarán fuentes de información asociados a eventos y como consecuencia el oferente deberá estar incorporando y/o ajustando los métodos de correlación que sean necesarios para dar cobertura sobre las amenazas emergentes.

8. Generar alertas en tiempo real, en aquellos casos que se detecte un ataque en ejecución, el servicio debe informar de manera inmediata a los contactos definidos en CMF con el detalle técnico de lo ocurrido y los mitigadores implementados para la resolución del incidente.

9. Se deberá entregar un informe técnico/ejecutivo de forma mensual con el resumen del Servicio de monitoreo ciberseguridad, threat hunting, cibervigilancia, ciberinteligencia, los primeros 5 días hábiles de cada mes. El informe deberá contener los hallazgos de los últimos 30 días con las acciones y recomendaciones a implementar para mitigarlos. La entrega del informe se complementará con la exposición de este mediante una reunión de presentación, en la cual deberá participar la contraparte técnica del oferente para explicar en detalle los hallazgos contenidos en el documento, esta reunión podrá realizarse de forma presencial o por videoconferencia y será acordado entre el oferente y CMF.

10. CMF podrá solicitar informes técnicos/ejecutivos relacionados a Ciberseguridad, Threat Hunting, Cibervigilancia, Ciberinteligencia referente a eventos importantes del ámbito nacional/internacional que puedan ser relevantes para la institución.

11. Se requiere que el servicio sea complementado con una recopilación de inteligencia humana y automatizada para activos protegidos de todos los OSINT relevantes, fuentes de datos que incluyen redes sociales (globales y regionales), web superficial, web profunda y obscura, canales de comunicación encubiertos, sitios de pegado, mercados electrónicos, tiendas de aplicaciones móviles, blogs, noticias, sitios y foros de trabajos y reseñas, código compartido, vulnerabilidad bases de dato, entre otros.

12. La protección debe incluir el monitoreo de amenazas organizacionales y de marca. Esto debe incluir suplantación de identidad de marca, menciones o evidencia de violación de activos/datos de la organización en canales que no pertenecen a OSINT (incluida la fuga de datos, el compromiso de credenciales, tarjetas de crédito y otra data propietaria).

13. Se necesita que exista una alerta de vulnerabilidades para los activos tecnológicos expuestos externamente, incluido un proceso de exploración externo de recursos tales como: servidores, sitios webs, instancias basadas en contenedores virtuales y aplicaciones relacionadas. Debe ejecutarse de manera constante en búsqueda de contraseñas predeterminadas, puertos abiertos, configuraciones incorrectas, certificados caducados y otras configuraciones no seguras. Algunos de los activos a verificar:

-        Servidores web externos/hosts web.

-        Buckets S3 que exponen la información al público.

-        Certificados SSL caducados o no válidos en el servidor web.

-        Infraestructura insegura (contraseña por defecto).

-        Cookies inseguras (vulneraciones por ataques XSS) sin configuración http-true.

-        Detección de tipos de servidores (servidores de archivos, servidores VMware/ESXi, servidores de bases de datos, dispositivos NAS/SAN).

-        Detección de puertos peligrosos (RDP 389/3389, FTP, SSH, SNMP, Telnet, Tor 9050).

14. Se requiere de una protección para dominios de nivel superior (TLD) primario para una marca o producto determinado. Cada activo protegido de dominio debe cubrir todos los subdominios derivados para el mismo TLD principal.

Que haya una eliminación universal de cualquier suplantación de identidad o cuenta/sitio/contenido malicioso y otros términos de infracciones de servicio de redes sociales, tiendas de aplicaciones móviles, sitios de pegado, dominios, código compartido y otros. Que esto se realice de forma rápida identificando y automatizando la eliminación de sitios, y contenidos maliciosos en la superficie de ataque pública con visibilidad durante todo el proceso. Esto debe incluir:

-        Cuenta de redes sociales y remediación de publicaciones.

-        Eliminación de contenido no autorizado o malicioso.

-        Eliminación de dominios y monitoreo continuo.

-        Informe de estado de eliminación.

La protección debe incluir gobernanza, control y seguridad de cuentas de redes sociales corporativas u organizacionales (las cuentas sociales corporativas son aquellas cuentas y páginas sociales de propiedad de la organización sobre las que tiene control administrativo). Adicionalmente las cuentas autenticadas dentro de la plataforma deben recibir moderación de contenido en línea para publicaciones de contenido ofensivo o inapropiado.

15. El oferente deberá contar con un equipo de expertos en inteligencia de amenazas que brinden contexto, análisis de amenazas en profundidad e inteligencia completa. Esto complementado con un análisis humano experto funcional donde se contextualicen las amenazas potenciales a la organización, activos y datos. También que exista una producción de inteligencia estratégica acabada (geopolítica, industria, amenazas globales), informes de inteligencia de amenazas diarias, semanales e informes de evaluación de amenazas mensuales.

3.3.   Servicios de Red Team (Requerimiento 03)

3.3.1. Ethical Hacking / Pentesting elementos digitales

1. Este servicio deberá tener la mayor cobertura comprobable para ser realizada sobre sistema de información, aplicaciones, API’s, infraestructura tecnológica, servidores, base de datos, redes alámbricas e inalámbricas, se requiere contar con un servicio de Ethical Hacking/Pentesting para la ejecución de los servicios descritos, los cuáles serán ejecutadas de manera programada.

2. El oferente deberá presentar en su propuesta las metodologías y estándares a utilizar, dentro de las que deberá considerar al menos:

-       OSSTMM (Open Source Security Testing Methodology Manual).

-       OWASP (Open Web Application Security Project).

-       PTES (Penetration Testing Execution Standard).

-       MITRE ATT&CK Framework.

-       Modelado de amenazas mediante STRIDE (Suplantación de identidad, Manipulación, Repudio, Divulgación de información, Denegación de servicio, Elevación de privilegios).

3. El oferente deberá presentar en su propuesta las herramientas a utilizar, que deberán ser a lo menos las siguientes o su equivalente técnico:

-       NMAP

-       Nessus

-       Metasploit

-       Burpsuite

-       Acunetix

-       Kali Linux

-       Otro tipo de herramientas que serán evaluadas por la Comisión si son o no aceptadas

4. El oferente deberá entregar un informe técnico/ejecutivo por cada escenario de evaluación ejecutado, en un plazo máximo de 5 días hábiles posteriores a su realización.

5. El oferente deberá considerar la realización de una presentación de resultados, la cual podrá o no ser solicitada por CMF.

6. El oferente debe considerar un ciclo de certificación de correcciones (retest) sobre las recomendaciones declaradas y aplicadas dentro de un periodo de 3 meses previa coordinación en conjunto con el equipo interno de CMF.

3.3.2. Red Team de Seguridad Física

1. El propósito del ejercicio es evaluar la capacidad de una instalación o lugar para prevenir, detectar y responder ante intrusiones físicas de adversarios simulados. Esto incluye medir la eficacia de los controles de acceso, vigilancia, alarmas, personal de seguridad y otros mecanismos implementados para garantizar la protección de activos críticos y la seguridad del personal.

2. El oferente deberá entregar un informe técnico/ejecutivo por cada escenario de evaluación ejecutado, en un plazo máximo de 10 días hábiles posteriores a su realización.

3. El oferente deberá considerar la realización de una presentación de resultados, la cual podrá o no ser solicitada por CMF.

3.3.3. Horas de especialista

El oferente deberá considerar una cantidad de 60 (sesenta) horas de especialista por cada mes de contrato, las horas podrán acumularse por un periodo máximo de 6 meses, el oferente no podrá poner límite mensual para el uso de las horas acumuladas. CMF podrá utilizar estas horas en los siguientes procesos:

1. Análisis Forenses
2. Investigaciones especiales relacionadas con Ciberseguridad
3. Asesorías en materias de ciberseguridad
4. Capacitación en materias de ciberseguridad
5. Test de carga/estrés
6. Elaboración de procedimientos de ciberseguridad
7. Otro tipo de asesoría relacionada con Ciberseguridad

Para estos servicios, los plazos y entregables serán acordados entre el oferente y CMF al momento de coordinar la solicitud de servicio.

3.4.   Servicios de Incident Response – IR (Requerimiento 04)

Se debe proveer de un servicio y herramientas que permitan dar respuestas ante incidentes de seguridad y ciberseguridad que se materialicen en CMF o eventos relacionados que sean informados por organismos externos (ANCI, Fiscalizados, Otros Organismos de Gobierno, entre otros).

El servicio propuesto por el oferente deberá considerar un equipo de respuesta ante la materialización de un incidente de seguridad de la información y/o ciberseguridad que esté capacitado para realizar un análisis e identificación de tráfico malicioso, revisión de patrones de ataque, análisis de firmas y características a nivel de tráfico y protocolos.

1. Apoyar a CMF en gestión de incidentes.
2. Asesorar en el tratamiento de vulnerabilidades asociadas a incidente.
3. Contar con personal para análisis de incidente e impacto.
4. Brindar asesoría de especialistas con conocimientos en plataformas de seguridad para apoyar a CMF en la mitigación y recuperación de servicios.
5. Realizar análisis forense de incidente materializado.
6. Conformar informes detallado y resumen ejecutivo de causas de incidente.
7. Proponer mejoras en niveles de seguridad post-incidente.
8. Conformar informes detallado y resumen ejecutivo de análisis forense de incidente.
9. Proponer mejoras al proceso de correlación de eventos para robustecer monitoreo de alertas y casos de uso generados.
10. Frente a la activación del servicio de IR, se deberá dar cumplimiento a los siguientes pasos y acciones:

-        Se debe tener un contacto inicial telefónico constante con CMF dentro de la primera hora de ser notificados.

-        Se debe entregar asistencia on-site mediante un consultor líder en las dependencias de CMF (Región Metropolitana) dentro de la siguiente hora del contacto inicial.

-        El consultor líder debe armar un equipo de especialistas necesarios en las dependencias de CMF, dentro de las 2 horas siguientes.

-        Este equipo acompañará al equipo interno de CMF durante toda la incidencia con un máximo aproximado de 3 semanas, garantizando al menos responder a lo siguiente: ¿Qué Pasó? y ¿Cómo se resuelve?

-        Posteriormente a las 3 semanas, se debe entregar la información respecto de la investigación y de los antecedentes recopilados, procediendo al cierre del incidente.

11. Dentro de las 48 horas posteriores a la solución de un incidente, el oferente deberá entregar un informe con el detalle de las acciones realizadas, participantes y efecto obtenido.
12. Dentro de los 5 días hábiles, el oferente deberá entregar un informe que indique las causas que provocaron el incidente, acciones realizadas para su solución y recomendaciones de mejora a implementar para que no se repita.

3.5.   PUESTA EN MARCHA (Requerimiento 05)

El oferente deberá adjuntar una Carta Gantt con la programación de las actividades que se realizarán para dejar en pleno funcionamiento los servicios solicitados en esta licitación, los servicios deberán estar operativos a más tardar el 07 de noviembre de 2025.

3.6.   PROFESIONALES QUE PRESTARAN EL SERVICIO (Requerimiento 06)

Debido a lo crítico del servicio, el oferente deberá acreditar que todos los profesionales considerados para este servicio cuentan con residencia en Chile y poseen contrato de trabajo vigente.

Adicionalmente, los integrantes del equipo de trabajo del oferente deberán, en su conjunto, contar con las siguientes certificaciones en productos de ciberseguridad:

1. Proofpoint
2. Palo Alto
3. Fortinet
4. Tenable

Sólo se aceptarán certificaciones obtenidas desde el 2015 a la fecha, certificaciones anteriores a esta fecha no serán consideradas.

Para acreditar que las personas contratadas cuentan con certificaciones y/o cursos deben presentar las certificaciones, certificados o diplomas que acrediten dicha condición.

Al momento de ofertar, los oferentes deberán acreditar mediante declaración jurada simple según formato de anexo N° 7, que dichas personas se encuentran con contrato vigente y residen en Chile.

Una vez adjudicado el contrato, el adjudicatario deberá enviar a CMF copia simple del contrato firmado por ambas partes de los profesionales que prestarán el servicio. Si no es acreditada esta información, la licitación será re adjudica