Superintendencia de Puertos y Transporte

Resolución 00000191 de 2013

(Enero 25 de 2013)

 

Por la cual se expide el anexo técnico para la homologación de los sistemas de Control y Vigilancia ordenado a través de la Resolución 7034 del 17 de octubre de 2012 y se modifica el término para su exigibilidad.

 

Derogada

Por la Resolución 9699 de 2014, art. 9

 

El Superintendente de Puertos y Transporte, en ejercicio de las facultades legales y en especial las que le confieren los artículos 41, 42 y 44 del Decreto 101 del 2000, los nume­rales 11, 12 y 16 del artículo 12 del Decreto 1016 de 2000, modificados por el artículo 8° del Decreto 2741 de 2001, Ley 1ª de 1991, Ley 105 de 1993, Ley 336 de 1996, parágrafo del artículo 89 de la Ley 1450 de 2011 y considerando,

 

CONSIDERANDO:

 

De conformidad con el artículo 41 del Decreto 101 de 2000, modificado por el Decreto 2741 de 2001 se delega en la Superintendencia de Puertos y Transporte “Supertransporte”, la función de inspeccionar, vigilar y controlar la aplicación y el cumplimiento de las normas que rigen el sistema de tránsito y transporte.

 

Acorde con lo preceptuado en el parágrafo 3° del artículo 3° de la Ley 769 de 2002 la Superintendencia de Puertos y Transporte tiene la función de vigilar y controlar a “Las autoridades, los organismos de tránsito, las entidades públicas o privadas que constituyan organismos de apoyo”.

 

La Ley 769 de 2002 establece como principios rectores del Tránsito Terrestre a nivel nacional “la seguridad de los usuarios, la calidad, la oportunidad, el cubrimiento, la libertad de acceso, la plena identificación, la libre circulación, la educación y la descentralización”, preceptos conforme a los cuales se identifican las actividades que deben desarrollarse en los Centros de Reconocimiento de Conductores.

 

De acuerdo a los requisitos establecidos en el artículo 19 de la Ley 769 de 2002 (mo­dificado por el artículo 5° de la Ley 1383 de 2010, modificado por el artículo 3° de la Ley 1397 de 2010 y por el artículo 196 del Decreto-ley 019 de 2012) para la obtención de la licencia de conducción para vehículos automotores se requiere:

 

“e) Presentar certificado de aptitud física, mental y de coordinación motriz para conducir expedido por una Institución Prestadora de Salud o por un Centro de Reconocimiento de Conductores, de conformidad con la reglamentación que expida el Ministerio”.

 

En concordancia con el parágrafo de la norma en cita, se establece como uno de los requisitos para obtener la licencia de conducción por primera vez, la recategorización, o la renovación de la misma, el demostrar ante las autoridades de tránsito la aptitud física, mental y de coordinación motriz, valiéndose para su valoración de los medios tecnológicos sistematizados y digitalizados requeridos, que permitan medir y evaluar dentro de los rangos establecidos por el Ministerio de Transporte según los parámetros y límites internacionales, entre otros: la capacidad de visión y orientación auditiva, la agudeza visual y campimetría, los tiempos de reacción y recuperación al encandilamiento, la capacidad de coordinación entre la aceleración y el frenado, la coordinación integral motriz de la persona, la discrimi­nación de colores y la phoria horizontal y vertical.”.

 

De acuerdo a las facultades conferidas en el parágrafo del artículo 89 de la Ley 1450 de 2011 mediante la cual se expide el Plan Nacional de Desarrollo 2010-2014, la Superintenden­cia de Puertos y Transporte está en la obligación de reglamentar las características técnicas de los sistemas de seguridad que deberán implementar cada uno de los vigilados, para que se garantice la legitimidad de esos certificados y se proteja al usuario de la falsificación.

 

Por lo enunciado se hace necesario expedir dicha reglamentación determinando qué condiciones técnicas mínimas deben implementar aquellos vigilados que emiten certifica­dos, para que de esta manera se garantice la legitimidad y la autenticidad de los mismos.

 

Con el fin de garantizar una mayor calidad y transparencia en el proceso de expedi­ción de los certificados por parte de los Centros de Reconocimiento de Conductores, es necesario, que los mismos adopten las disposiciones técnicas mínimas requeridas por esta Superintendencia.

 

Que de acuerdo a lo allí preceptuado y en aplicación a los principios contenidos en el artículo 209 de la Constitución Política, el artículo 3° de la Ley 1437 de 2011 (Código de Procedimiento Administrativo y de lo Contencioso Administrativo) y los contenidos en el artículo 3° de la Ley 489 de 1998, especialmente los de coordinación, celeridad, economía, eficacia y eficiencia, la reglamentación técnica que deben adoptar los vigilados que emitan certificados conforme se solicita en el parágrafo del artículo 89 de la Ley 1450 de 2011, debe tener en cuenta lineamientos que les faciliten adaptarse a sus nuevas obligaciones legales, las cuales se orientan a dar efectividad y seguridad al proceso del registro y expedición del Certificado de Aptitud física, mental y de coordinación motriz.

 

En virtud de lo anterior, la Superintendencia de Puertos y Transporte expidió la Resolución 7034 del 17 de octubre de 2012 donde se reglamentan las medidas tecnológicas que deben implementar cada uno de los Centros de Reconocimiento a Conductores, CRC, además del Sistema de Control y Vigilancia contemplado en el Capítulo II del referido acto administrativo.

 

En cumplimiento de la Ley 1450 de 2011 y la Resolución 7034 del 17 de octubre de 2012 y de conformidad con la Ley 80 de 1993 modificada por la Ley 1150 de 2007, su De­creto Reglamentario número 734 de 2012 y previo a la expedición por parte de la Entidad de la Resolución 9299 del 24 de diciembre de 2012, “por medio de la cual se justifica una contratación directa” la Superintendencia de Puertos y Transportes celebró el Contrato interadministrativo número 230 del 24 de diciembre de 2012 con la Universidad Pedagó­gica y Tecnológica de Colombia identificada con NIT 891.800.330.1, en la modalidad de contratación directa, por un término de tres (3) meses, cuyo objeto consiste en “prestación de servicios profesionales para la elaboración del anexo técnico para la homologación de los Sistemas de Control y Vigilancia ordenados mediante la Resolución 7034 de 2012 expedida por la Supertransporte, anexo técnico para la implementación del Centro de Monitoreo de la Superintendencia de Puertos y Transporte y hasta diez (10) procesos de evaluación a los sistemas de Control y Vigilancia a homologar”.

 

En el artículo 8° de la Resolución 7034 del 17 de octubre de 2012 al precisar el término para la exigibilidad de las disposiciones contenidas en dicho acto administrativo, precisó que se dispondrá de un periodo de dos (2) meses para la implementación y aplicación de los Sistemas de Control y Vigilancia por parte de todos los Centros de Reconocimiento de Conductores contados a partir de la fecha en que se fijen los requisitos técnicos de homo­logación por parte de la Superintendencia de Puertos y Transporte y, un periodo de cuatro (4) meses para la implementación y aplicación del Sistema de Captura de Video, según las disposiciones técnicas contenidas en esta resolución.

 

Debido a la trascendencia y el impacto que tiene para los usuarios contar con un sistema confiable y con el ánimo de garantizar la legitimidad del procedimiento, la Superintendencia de Puertos y Transporte considera conveniente reducir el término de los dos (2) meses que inicialmente se estableció en el artículo 8° de la Resolución 7034 del 17 de octubre de 2012.

 

 

Se hace necesario ampliar el término de los cuatro (4) meses para la implementación y aplicación del Sistema de Captura de Video de que trata la Resolución 7034 del 17 de octubre de 2012 por el término de un (1) mes más, teniendo en cuenta que el término de los 4 meses empezó a contar a partir de la publicación de la Resolución 7034 del 17 de octubre de 2012, que fue publicada en el Diario Oficial bajo el número 48594 del 25 de octubre de 2012.

 

Mediante Radicado 2013-560-00017982 del 15/01/2013 la Universidad Pedagógica y Tecnológica de Colombia hizo la primera entrega, a la Superintendencia de Puertos y Transporte del objeto del Contrato 230 del 24 de diciembre de 2012, esto es del “anexo técnico para la homologación de los sistemas de Control y Vigilanciay de igual manera el 25 de enero de 2013 efectuó una segunda entrega.

 

En mérito de lo expuesto el Superintendente de Puertos y Transporte,

 

RESUELVE:

 

Artículo 1°. Expedir el anexo técnico para la homologación de los Sistemas de Control y Vigilancia ordenado a través de la Resolución 7034 del 17 de octubre de 2012 proferida por la superintendencia de puertos y transporte.

 

Artículo 2°. Modificar el término inicial de dos (2) meses de que trata el artículo 8° de la Resolución 7034 de 17 de octubre de 2012, en sentido de reducir a un (1) mes el término para la implementación y aplicación del Sistema de Control y Vigilancia por parte de todos los centros de Centros de Reconocimiento de Conductores, el cual empezará a contar a partir de la fecha de publicación de la presente resolución mediante la cual se expide el anexo técnico para la homologación de los sistemas de Control y Vigilancia ordenado a través de la Resolución 7034 del 17 de octubre de 2012.

 

Artículo 3°. Ampliar por un (1) mes más el término de los cuatro (4) meses para la implementación y aplicación del Sistema de Captura de Video de que trata la Resolución 7034 del 17 de octubre de 2012 en su artículo 8°, de manera que este plazo vencerá el 25 de marzo de 2013.

 

Artículo 4°. La presente resolución rige a partir de la fecha de su publicación.

Publíquese y cúmplase.

 

El Superintendente de Puertos y Transporte,

Juan Miguel Durán Prieto.

 

DOCUMENTO DE REQUISITOS DE LOS ASPIRANTES A PROVEEDORES DEL SISTEMA DE CONTROL Y VIGILANCIA

 

CONSULTORÍA PARA LA ELABORACIÓN DE ANEXOS TÉCNICOS PARA LA HOMOLOGACIÓN DE LOS SISTEMAS DE CONTROL Y VIGILANCIA

 

DESTINATARIO:

 

SUPERINTENDENCIA DE PUERTOS Y TRANSPORTE

 

Contrato Interadministrativo 230 del 24 de diciembre de 2012

 

14 de enero del 2013

 

CONTROL DE VERSIONES

 

FECHA

DESCRIPCIÓN

RESPONSABLE

12/01/2013

Versión 1.0 Documento de Requisitos de los aspirantes a proveedores del Sistema de Control y Vigilancia

Jorge Otálora

 

A continuación se establecen los procedimientos y requisitos que deberán cumplir los aspirantes a homologación para recibir la evaluación, informe de evaluación y acto admi­nistrativo de homologación en caso de cumplir con los requisitos.

 

1. Solicitud de aclaraciones: A partir del día de publicación y durante un periodo de cinco (5) días calendario, los aspirantes podrán enviar solicitudes de aclaración sobre los requisitos de homologación. En este caso la UPTC tendrá un plazo máximo de cinco (5) días calendario para dar respuesta a las solicitudes de aclaración.

 

2. Radicación de carta de interés: El aspirante deberá radicar ante la Superintendencia de Puertos y Transporte en la oficina del Superintendente delegado de tránsito, una carta de intención de participar en el proceso de evaluación y homologación como proveedor del Sistema de Control y Vigilancia. Esta carta deberá estar firmada por el representante legal de la sociedad y tendrán hasta quince (15) días calendario después de radicada la carta para entregar los requisitos documentales. En el caso de no radicar los documentos en el periodo establecido se procederá a anular el proceso de evaluación y homologación del aspirante.

 

3. Radicación de requisitos documentales: El aspirante deberá dentro del plazo pos­terior a la radicación de carta de interés los siguientes documentos:

REQUISITOS DOCUMENTALES

 

a) Carta remisoria de radicación de requisitos con referencia “Requisitos documentales para el proceso de evaluación de aspirantes a proveedores del sistema de control y vigilan­cia”, razón social, NIT, número de folios de documentación entregada y datos de contacto (teléfono, dirección, correo electrónico). Esta carta deberá estar firmada por el Representante legal de la sociedad aspirante.

 

b) Documento foliado y en sobre sellado junto con una copia que contenga los siguientes capítulos:

 

Documentos generales de la sociedad:

 

1. Certificado de Cámara de Comercio no mayor a 30 días.

 

2. Registro único Tributario RUT.

 

3. Carta de Presentación de la Sociedad.

 

4. Copia de la Cédula de Ciudadanía del representante legal.

 

5. Certificado de Antecedentes Judiciales del representante legal.

 

6. Certificado emitido por revisor fiscal o el representante legal según quien lo deba emitir basado en el tipo de sociedad, en el cual se certifique el cumplimiento del pago de los aportes parafiscales.

 

7. Las sociedades a participar deberán contar con alguna de las siguientes actividades económicas con base en el nuevo CIIU:

 

Procesamiento de datos, consultoría informática y actividades de administración de instalaciones informáticas, actividades de desarrollo de sistemas informáticos.

 

8. Las sociedades aspirantes deben tener una antigüedad mínima de 5 años a partir de su constitución.

 

9. En caso de participar en unión temporal cada sociedad deberá presentar los documentos anteriores, presentar documento de conformación de la unión temporal con porcentaje de participación y responsabilidades de cada sociedad.

 

Requisitos financieros:

 

El aspirante a proveedor deberá presentar los siguientes documentos.

 

1. Estados Financieros dictaminados de la Sociedad incluyendo como mínimo estado de resultados y Balance General.

 

2. Hoja de resumen de indicadores financieros que se detalla en el siguiente cuadro:

 

INDICADORES

CONCEPTO

REQUISITO

VALOR DEL ASPIRANTE

CAPITAL REAL

CAPITAL SOCIAL

RESERVAS CONSTITUIDAS

UTILIDADES RETENIDAS

UTILIDADES DEL EJERCICIO

Mayor a $1.000.000.000

LIQUIDEZ

ACTIVO CORRIENTE /

PASIVO CORRIENTE

Mayor a 1

NIVEL DE ENDEUDAMIENTO

PASIVO TOTAL

ACTIVO TOTAL

Menor a 60%

CAPITAL DE TRABAJO

ACTIVO CORRIENTE -

PASIVO CORRIENTE

Mayor a 0

EBITDA

UTILIDAD OPERACIONAL

DEPRECIACIONES Y AMORTIZACIONES

Mayor a 0

DE RIESGO

ACTIVO FIJO /

PATRIMONIO NETO

Menor a 0,8

INDICADOR DE CRECIMIENTO DEL EBITDA

EBITDA ÚLTIMO AÑO/

EBITDA AÑO ANTERIOR

Mayor a 0,8

 

3. En caso de que el aspirante a proveedor sea evaluado antes del 30 de marzo de 2013 y no cuente con los estados financieros dictaminados a corte de 31 de diciembre de 2012 podrá presentar los estados financieros a corte de 31 de diciembre del 2011.

 

4. En caso de participar en unión temporal o consorcio, cada una de las sociedades deberá cumplir con los indicadores financieros.

 

Requisitos administrativos:

 

Experiencia de la Compañía

 

• Acreditar experiencia mediante certificación firmada por los clientes en proyectos de sistemas informáticos en máximo 4 certificaciones cuya sumatoria sea superior a ($5.000.000.000) cinco mil millones de pesos, en los últimos cuatro (4) años.

 

• Acreditar experiencia mediante certificación firmada por los clientes en por lo menos dos proyectos relacionados con sistemas que incluyan alguna de las siguientes funciona­lidades: manejo de riesgo, protección de datos, cifrado de información, auditoría de bases de datos, correlación de eventos en proyectos en los últimos 4 años.

 

• Acreditar experiencia mediante certificación firmada por los clientes en por lo menos un proyecto donde se haya efectuado integración con los sistemas transaccionales de una entidad financiera vigilada por la Superintendencia Financiera de Colombia en proyectos en los últimos 4 años.

 

• El aspirante a proveedor del SCV deberá contar con por lo menos una de las siguientes certificaciones: CMMI, IT MARK, ISO 27001 o ISO 20000. Las certificaciones deberán estar vigentes a la fecha de evaluación. En el caso de unión temporal o consorcio cada sociedad deberá contar con por lo menos una de las certificaciones solicitadas.

 

Experiencia del equipo de trabajo

 

Equipo de dirección:

 

 

 

• Gerente de Proyectos. 1 profesional en ingeniería de sistemas, industrial, electrónica o afines, con especialización en gerencia de proyectos o maestría en ingeniería de sistemas, con certificación de PMP.

 

• Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, título de postgrado, certificaciones y contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales.

 

Equipo de trabajo de seguridad:

 

• Gerente de SOC. 1 profesional en ingeniería de sistemas, industrial, electrónica o afi­nes, con especialización en gerencia de proyectos o maestría en ingeniería de sistemas, con certificación de PMP, certificación ITIL y certificación como auditor interno de ISO-27001.

 

• Oficial de Seguridad. 1 profesional en ingeniería de sistemas, electrónico, de redes o afines con posgrado en gerencia de proyectos, gerencia de proyectos en teleinformática, seguridad de la información o maestría en seguridad informática, certificado como CISSP o CISM.

 

• Especialista en Hacking. 1 profesional en ingeniería de sistemas, electrónico, de redes o afines, certificado como CEH.

 

• Especialistas DAM. 1 profesional en ingeniería de sistemas, electrónica, de redes o afines con certificación técnica emitida por el fabricante de la solución DAM utilizada en la solución presentada por el aspirante.

 

• Especialista de IPS. 1 profesional en ingeniería de sistemas, electrónico, de redes o afines con certificación técnica emitida por el fabricante de la solución de IPS utilizada en la solución presentada por el aspirante.

 

Especialista ENDPOINT. 1 profesional en ingeniería de sistemas, electrónico, de re­des o afines con certificación técnica emitida por el fabricante de la solución de protección ENDPOINT utilizada en los servidores de la solución presentada por el aspirante.

 

• Auditor interno. 1 profesional en ingeniería de sistemas, industrial, electrónica, de redes o afines con certificación como auditor interno de ISO 27001.

 

• Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá ad­juntar copia de título profesional, certificaciones y contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales.

 

Equipo de trabajo de desarrollo:

 

• Ingenieros de desarrollo. 2 profesionales en ingeniería de sistemas, certificados en lenguajes de programación en los cuales se encuentra construida la aplicación presentada por el aspirante para la solución de SCV.

 

• Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, título de posgrado cuando aplique, certificaciones y contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales.

 

Equipo de trabajo de soporte:

 

 

• Ingenieros de soporte. 2 profesionales en ingeniería de sistemas, electrónica o redes.

 

• Técnicos de soporte. 4 técnicos, tecnólogos o ingenieros de sistemas, electrónica, redes, telecomunicaciones o afines.

 

• Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá ad­juntar copia de título profesional o técnico, certificaciones y contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales.

 

• El aspirante a homologación podrá tener subcontratado el servicio de centro de operaciones de seguridad SOC. En este caso deberá presentar el contrato firmado con el proveedor que le preste el servicio de SOC y las hojas de vida del equipo de seguridad podrán ser funcionarios del proveedor de SOC y cumpliendo con la totalidad de requisitos administrativos exigidos para el equipo de trabajo.

 

• El aspirante debe generar una carta de compromiso firmada por el representante legal, en la cual establezca que una vez reciba la homologación se comprometerá a realizar las siguientes actividades:

 

– Establecer un canal dedicado con el sistema RUNT.

 

– Establecer las siguientes integraciones requeridas con el sistema RUNT:

 

- Solicitud de certificado médico.

 

- Solicitud de Cargue de certificado médico.

 

- Apertura de interfaces para validación de candidato y médico o especialista.

 

- Recepción de certificados médicos.

 

- Recepción de licencias de conducción.

 

- Recepción de FUPAS.

 

– Realizar los procedimientos de conexión y validación de identidad en línea con la Registraduría Nacional del Estado Civil una vez la requiera la Superintendencia de Puertos y Transporte.

 

– Establecer un canal dedicado con el centro de monitoreo de la Superintendencia de Puertos y Transporte.

 

– Establecer las siguientes integraciones requeridas con el centro de monitoreo de la Superintendencia de Puertos y Transporte:

 

- Envío de archivo de recaudo.

 

- Envío de archivo de eventos.

 

- Acceso a software de Posicionamiento Centros de Reconocimiento de Conductores.

 

- Generación y envío de archivo de conciliación de actores del proceso.

 

La Superintendencia de Puertos y Transporte se encargara de gestionar las autoriza­ciones con la Registraduría Nacional del Estado Civil y con el RUNT para establecer los procesos de conexión.

 

Requisitos técnicos:

 

1. Adjuntar copia del certificado de registro de soporte lógico de la Dirección Nacional de Derechos de Autor. En el caso de que el aspirante utilice una licencia de software de una solución fabricada por otra compañía, el aspirante deberá adjuntar copia de la licencia de uso y copia del certificado de registro de soporte lógico de la Dirección Nacional de Derechos de Autor de la compañía fabricante.

 

2. Adjuntar copia de la solicitud presentada ante la Superintendencia de Industria y Comercio del registro de invención o de modelo de utilidad de un sistema, estructura o dispositivo que tenga relación con el objeto de sistemas de transmisión segura, sistemas de validación de identidad o sistemas de validación de sitios remotos. La solicitud presentada podrá estar en estado de trámite o en estado de concedido el derecho.

 

En caso de no contar con la solicitud anterior el aspirante deberá presentar un documento técnico que permita garantizar la idoneidad del aspirante. El documento técnico deberá contar con los siguientes capítulos: Descripción General del Sistema, Descripción General de Subsistemas, Diagrama de red, arquitectura de servidores, arquitectura general de la aplicación, arquitectura de seguridad en sitios remotos y geoposicionamiento satelital, esquema de correlación de eventos, esquema para el control de ataques informáticos, esquema de auditoría de bases de datos, esquema de verificación de código fuente, esquema de protección de datos sensibles y de transmisión segura de datos, esquema de intercambio transaccional para el recaudo, diagrama E-R Entidad Relación) de las principales entidades, documento modelo de arquitectura de software, esquema de alta disponibilidad y continuidad de negocio, en el caso en que el representante legal de la compañía no sea ingeniero de sistemas o electrónico deberá una carta de aval de un ingeniero de sistemas o electrónico.

 

 

 

3. Adjuntar copia de contrato de centro de cómputo en caso de que el centro de cóm­puto se encuentre subcontratado. Los contratos deberán tener una duración mínima de veinticuatro meses.

 

4. Adjuntar copia de manifiesto de importación de las soluciones de servidores, IPS, Firewall, Herramienta DAM, Herramienta SIEM, SAN, Escáner de Vulnerabilidades, Application Delivery Controller.

 

5. Adjuntar copia de las facturas de compra de las soluciones de servidores, IPS, Firewall, Herramienta DAM, Herramienta SIEM, SAN, Escáner de Vulnerabilidades, Application Delivery Controller, licencias de bases de datos, licencias de sistemas operativos. En el caso en el que el Centro de operaciones SOC se encuentre subcontratado, la copia de las facturas presentadas podrán ser del proveedor contratado.

 

6. Adjuntar copia de certificación o indicaciones de como verificar que la herramienta de mesa de ayuda a utilizar cuente con por lo menos 5 procesos de ITIL certificados.

 

7. Diligenciar el siguiente cuadro de requisitos tecnológicos:

 

SOLUCIÓN

REQUISITO MÍNIMO

NOMBRE DEL FABRICANTE

PRODUCTO, MODELO

O VERSIÓN

IPS

Solución de propósito específico basado en hardware (appliance) diferente a soluciones UTM, debe tener como mínimo 1 Gbps de throughput y fuente redundante.

La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Intrusion Prevention Systems de Gartner más reciente.

DAM

Solución basada en hardware o software para la protección, auditoría, monitoreo de la base de datos del sistema de información que contenga el SCV.

La solución utilizada deberá encontrarse en el nivel de Strong Performers o Leaders del Forrester Wave-Database Auditing and realtime protection más reciente.

SIEM

Solución basada en hardware o software para la administración de logs y la correlación de eventos de la plataforma tecnológica del SCV.

La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant Security Information and Event Management de Gartner más reciente.

Protección de ENDPOINT

Solución basada en software para protección antimalware de los servidores utilizados del SCV.

La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Endpoint Protection Platforms de Gartner más reciente.

FIREWALL/UTM PERIMETRAL

Solución basada en hardware de propósito específico, debe tener como mínimo 1 Gbps de throughput y fuente redundante.

La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Unified Thread Management de Gartner o en el cuadrante de Leaders o Visionaries del Magic Quadrant for Enterprise Network Firewalls más reciente.

Application Delivery Controller

Solución basada en hardware de propósito específico, debe tener como mínimo funcionalidad de balanceo de cargas y de web application firewall, 1 Gbps de throughput y fuente redundante.

La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Application Delivery Controller de Gartner más reciente.

Escaner de Vulnerabilidades de Red

Solución basada en hardware de propósito específico.

La solución utilizada deberá consultar la base de datos del CVE (Common Vulnerabilities and Exposures).

Dynamic Application Security Testing

Solución basada en software que permita realizar pruebas de seguridad a la aplicación.

La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Dynamic Application Security Testing de Gartner más reciente.

Static Application Security Testing

Solución basada en software que permita realizar pruebas de seguridad al código fuente de la aplicación.

La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Static Application Security Testing de Gartner más reciente.

Servidor de Comunicaciones seguras y de validación de geoposicionamiento

Solución basada en hardware y software que permita:

• Registrar ubicaciones geofísicas de los centros de reconcomien­do de conductores.

• Validar la ubicación de origen de la información que se trans­mita al SCV.

• Establecer conexiones seguras entre cada uno de los PC de los centros de reconocimiento de conductores; estas conexiones se podrán establecer a través de protocolos seguros (SSH o IPSec).

• Visualizar un mapa de Colombia con las ubicaciones de los CRC y el estado de conexión de los PC con el SCV.

 

4. La UPTC Universidad Pedagógica y Tecnológica de Colombia, delegada por la Su­perintendencia de Puertos y Transporte, evaluará los documentos presentados en un periodo no mayor a cinco días calendario. Posterior a la validación de la documentación radicada se entregará al aspirante el informe del resultado de la evaluación documental indicando si requiere aclaraciones o complemento de documentos, en este caso el aspirante a proveedor tendrá máximo tres días hábiles para dar respuesta a la solicitud.

 

En el caso que el aspirante a proveedor no responda las aclaraciones en el plazo de los tres días, la UPTC procederá a anular el proceso de evaluación y homologación del aspirante.

 

En el caso que un aspirante, haya recibido anulación del proceso de evaluación en esta etapa, deberá reiniciar el proceso de evaluación desde el punto 2 (Radicación de carta de interés). Un aspirante a proveedor podrá máximo dos intentos de proceso de evaluación.

 

En el caso que el informe de evaluación concluya que el aspirante a homologación cumple con todos los requisitos documentales se entregará un oficio por parte de la UPTC indicando las fechas programadas de visita de verificación establecidas en el siguiente numeral (no serán superior a tres (3) días, posterior a la entrega del informe de resultado de la evaluación documental).

 

5. Se realizarán las siguientes visitas en máximo dos (2) días hábiles. En estas visitas el evaluador tomará evidencia, fotográfica y fílmica para verificar el cumplimiento de los requerimientos:

 

Visita a la mesa de ayuda. Se verificarán los siguientes aspectos:

1. La herramienta presentada en la etapa documental para mesa de ayuda deberá estar instalada y se debe mostrar la radicación de una solicitud de soporte.

2. Se debe mostrar la evidencia de los requerimientos que se encuentran en la lista de chequeo en el ítem de “solución de soporte de aspirante a proveedor”.

3. La mesa de ayuda deberá estar conformada por el equipo de trabajo presentado en la etapa documental.

4. La mesa de ayuda deberá estar ubicada en territorio nacional.

Visita al Centro de Operaciones de Seguridad.

1. El centro de operaciones de seguridad deberá contar con un control de acceso biométrico.

2. El centro de operaciones de seguridad deberá contar con un sistema de circuito cerrado de televisión.

3. El centro de operaciones de seguridad deberá estar ubicada en territorio nacional.

4. El centro de operaciones de seguridad deberá contar con un video Wall con mínimo cuatro pantallas.

5. Se deberá tener a disposición de los recursos necesarios para poder realizar las verificaciones:

a) Prueba de ataque perimetral. El especialista de hacking presentado en el equipo de trabajo del SOC, deberá ejecutar un escaneo de puertos a una de las direcciones de red utilizadas por el sistema presentado a homologar. Posterior a esto el IPS deberá identificar, registrar y reaccionar ante este escaneo procedien­do a interrumpir la comunicación entre el escáner atacante y el sistema. Posterior a esto el evento deberá quedar registrado en la herramienta de SIEM.

b) Prueba de auditoría de base de datos. Se deberá disponer de un cliente del motor de base de datos que permita realizar la modificación en un registro en la tabla en la cual se almacene información biométrica. El evaluador procederá a alterar un registro en la base de datos. Posterior a esto la solución DAM deberá notificará la modificación del registro enviando una alerta al sistema SIEM con la información detallada del incidente.

c) Verificación de información biométrica cifrada. El aspirante deberá mostrar la ubicación en la cual almacene la información biométrica con el fin de verificar que esta se encuentre cifrada.

d) Verificación de Endpoint. Se deberá demostrar que se encuentran instaladas en los servidores la solu­ción de antimalware.

e) Verificación de herramientas de pruebas de seguridad. Se deberá demostrar que están instaladas las herramientas de pruebas de seguridad de aplicación dinámica y estática.

f) Verificación de mapa de ubicaciones de Centros y máquinas. Se deberá mostrar la ubicación de por lo menos dos centros de reconocimiento en la cual se muestre el estado de su conexión.

Nota: Los PC de los CRC que intervendrán en la conexión con los Sistemas de Control y Vigilancia homologados y con el sistema del RUNT, deberán contar como mínimo con los requerimientos técnicos actuales de Hardware, Software y Comunicaciones solicitados por el RUNT y los que requieran los Sistemas de Control y Vigilancia.

Se recomienda como mínimo:

1. Sistema Operativo: Windows XP, Windows Vista, Windows 7 con la última actualización o parche de seguridad.

2. Memoria RAM: 1 GB o superior.

3. Disco Duro: 20 GB con espacio disponible como mínimo de 5GB.

4. Canal de Internet: Banda ancha óptimo 2 Mbps o superior, con una IP pública fija.

Visita al Centro de Cómputo.

1. El centro de operaciones de seguridad deberá estar ubicada en territorio nacional.

2. Se verificará que en el centro de cómputo se encuentren ubicados todos los equipos de hardware so­licitados.

3. En el caso de que los equipos se encuentren en más de un datacenter, se coordinará la visita a todos los datacenter para verificar la totalidad de los equipos solicitados.

Visita a un centro de reconocimiento de conductores en el cual se muestre el funcionamiento del sistema de control y vigilancia. Se procederá a realizar visita a un CRC en el cual se encuentre instalada la solución y se permita verificar los siguientes escenarios:

a) Verificación del proceso de pago. Se deberá demostrar el pago del valor del examen de aptitud di­rectamente sobre la red de recaudo del actor del sector financiero. Esto deberá cumplir con todos los requerimientos exigidos en la lista de chequeo del anexo técnico. En el caso de requerirse participación de la entidad financiera para realizar esta verificación, el aspirante será el encargado de coordinar todos los requisitos para poder realizar la prueba.

b) Verificación del proceso de enrolamiento de candidato. Se deberá demostrar que una aplicación inte­grada con todo el sistema, realice el registro y toma de información con los dispositivos de captura de información del candidato (lector biométrico de huellas homologado por el RUNT, cámara digital, pistola o escáner de lectura de código bidimensional, pad de firmas).

c) Verificación de validación de identidad. Se deberá demostrar que una aplicación integrada con todo el sistema, realice la validación con el procedimiento alternativo temporal de validación de identidad definido.

d) Aseguramiento de la presencia del candidato y médico o especialista en todo el proceso de evaluación. Se deberá demostrar que el usuario se valide a través de la huella, al principio y final de cada evaluación en el sistema a homologar.

e) Los Centros de Reconocimiento de Conductores por protocolo de seguridad, solo se conectarán a tra­vés de red física LAN con el Sistema de Control y Vigilancia, no se permitirán conexiones inalámbricas o WIFI. Se verificará técnicamente que el sistema a homologar cumpla con estas validaciones.

f) Verificación de validación de equipos. Se deberá demostrar que una aplicación integrada con todo el sistema, realice la validación de los PCS registrados. Se realizarán pruebas con otros PC no registrados para verificar la validación.

g) Verificación de validación de posición geofísica. Se deberá demostrar que una aplicación integrada con todo el sistema, realice la validación de la geoposición satelital de dos CRC. Se realizarán pruebas técnicas para verificar la validación.

 

6. La UPTC tendrá un (1) día hábil para entregar el informe de evaluación final en el cual se indicará si el aspirante a homologación cumple con los requisitos exigidos.

 

7. En el caso que el aspirante haya recibido en la evaluación el concepto de que cumple con los requisitos exigidos, la Superintendencia de Puertos y Transporte en un plazo máximo de cinco (5) días hábiles procederá a emitir un acto administrativo en el cual se autoriza al aspirante como proveedor homologado del sistema de control y vigilancia.

 

Ver Anexo en el Diario Oficial 48701, pág. 12