Superintendencia de Puertos y Transporte
Resolución 00000191 de 2013
(Enero 25 de 2013)
Por
la cual se expide el anexo técnico para la homologación de los sistemas de
Control y Vigilancia ordenado a través de la Resolución 7034 del 17 de octubre de 2012 y
se modifica el término para su exigibilidad.
Derogada
Por
la Resolución
9699 de 2014, art. 9
El Superintendente de Puertos
y Transporte, en ejercicio de las facultades legales y en especial las que le
confieren los artículos 41, 42 y 44 del Decreto 101 del 2000, los numerales 11, 12 y
16 del artículo 12 del Decreto 1016 de 2000, modificados por el
artículo 8° del Decreto 2741 de 2001, Ley
1ª de 1991, Ley 105 de 1993, Ley 336 de 1996, parágrafo del artículo 89
de la Ley 1450 de 2011 y considerando,
CONSIDERANDO:
De conformidad con el
artículo 41 del Decreto 101 de
2000, modificado por el Decreto
2741 de 2001 se delega en la
Superintendencia de Puertos y Transporte “Supertransporte”,
la función de inspeccionar, vigilar y controlar la aplicación y el
cumplimiento de las normas que rigen el sistema de tránsito y transporte.
Acorde con lo preceptuado en el parágrafo 3° del artículo 3° de la
Ley
769 de 2002 la
Superintendencia de Puertos y Transporte tiene la función de vigilar y
controlar a “Las autoridades, los
organismos de tránsito, las entidades públicas o privadas que constituyan
organismos de apoyo”.
La Ley 769 de 2002 establece como principios rectores del Tránsito Terrestre a nivel
nacional “la seguridad de los
usuarios, la calidad, la oportunidad, el cubrimiento, la libertad de acceso, la
plena identificación, la libre circulación, la educación y la
descentralización”, preceptos conforme a los cuales se identifican las
actividades que deben desarrollarse en los Centros de Reconocimiento de
Conductores.
De acuerdo a los requisitos establecidos en el artículo 19 de la Ley
769 de 2002 (modificado por el
artículo 5° de la Ley 1383 de 2010, modificado por el artículo 3° de la Ley 1397 de 2010 y por el artículo 196 del Decreto-ley 019
de 2012) para la obtención de la
licencia de conducción para vehículos automotores se requiere:
“e) Presentar certificado de aptitud
física, mental y de coordinación motriz para conducir expedido por una
Institución Prestadora de Salud o por un Centro de Reconocimiento de
Conductores, de conformidad con la reglamentación que expida el Ministerio”.
En concordancia con el parágrafo de la norma en cita, se establece
como uno de los requisitos para obtener la licencia de conducción por primera
vez, la recategorización, o la renovación de la
misma, el demostrar ante las autoridades de tránsito la aptitud física,
mental y de coordinación motriz, valiéndose para su valoración de los
medios tecnológicos sistematizados y digitalizados requeridos, que permitan
medir y evaluar dentro de los rangos establecidos por el Ministerio de
Transporte según los parámetros y límites internacionales, entre otros: la
capacidad de visión y orientación auditiva, la agudeza visual y campimetría,
los tiempos de reacción y recuperación al encandilamiento, la capacidad de
coordinación entre la aceleración y el frenado, la coordinación integral motriz
de la persona, la discriminación de colores y la phoria
horizontal y vertical.”.
De acuerdo a las facultades conferidas en el parágrafo del
artículo 89 de la Ley 1450 de 2011 mediante la cual se expide el Plan Nacional de Desarrollo
2010-2014, la Superintendencia de Puertos y Transporte está en la obligación
de reglamentar las características técnicas de los sistemas de seguridad que
deberán implementar cada uno de los vigilados, para que se garantice la
legitimidad de esos certificados y se proteja al usuario de la falsificación.
Por lo enunciado se hace necesario expedir dicha reglamentación
determinando qué condiciones técnicas mínimas deben implementar aquellos
vigilados que emiten certificados, para que de esta manera se garantice la
legitimidad y la autenticidad de los mismos.
Con el fin de garantizar una mayor calidad y transparencia en el
proceso de expedición de los certificados por parte de los Centros de
Reconocimiento de Conductores, es necesario, que los mismos adopten las
disposiciones técnicas mínimas requeridas por esta Superintendencia.
Que de acuerdo a lo allí preceptuado y en aplicación a los
principios contenidos en el artículo 209 de la Constitución
Política, el artículo 3° de la Ley
1437 de 2011 (Código de Procedimiento
Administrativo y de lo Contencioso Administrativo) y los contenidos en el
artículo 3° de la Ley 489 de 1998, especialmente los de coordinación, celeridad, economía, eficacia
y eficiencia, la reglamentación técnica que deben adoptar los vigilados que
emitan certificados conforme se solicita en el parágrafo del artículo 89 de la Ley
1450 de 2011, debe tener en cuenta
lineamientos que les faciliten adaptarse a sus nuevas obligaciones legales, las
cuales se orientan a dar efectividad y seguridad al proceso del registro y
expedición del Certificado de Aptitud física, mental y de coordinación motriz.
En virtud de lo anterior, la Superintendencia de Puertos y
Transporte expidió la Resolución
7034 del 17 de octubre de 2012 donde se reglamentan las medidas tecnológicas que deben
implementar cada uno de los Centros de Reconocimiento a Conductores, CRC,
además del Sistema de Control y Vigilancia contemplado en el Capítulo II del
referido acto administrativo.
En cumplimiento de la Ley 1450 de 2011 y la Resolución
7034 del 17 de octubre de 2012 y de conformidad con la Ley 80 de 1993 modificada por la Ley 1150 de 2007, su Decreto
Reglamentario número 734 de 2012 y previo a la expedición por parte de la Entidad de la Resolución
9299 del 24 de diciembre de 2012, “por medio de la cual
se justifica una contratación directa” la Superintendencia de Puertos y
Transportes celebró el Contrato interadministrativo número 230 del 24 de
diciembre de 2012 con la Universidad Pedagógica y Tecnológica de Colombia
identificada con NIT 891.800.330.1, en la modalidad de contratación directa,
por un término de tres (3) meses, cuyo objeto consiste en “prestación de servicios profesionales para
la elaboración del anexo técnico para la homologación de los Sistemas de
Control y Vigilancia ordenados mediante la Resolución 7034 de 2012 expedida por
la Supertransporte, anexo técnico para la
implementación del Centro de Monitoreo de la Superintendencia de Puertos y
Transporte y hasta diez (10) procesos de evaluación a los sistemas de Control y
Vigilancia a homologar”.
En el artículo 8° de la Resolución
7034 del 17 de octubre de 2012 al precisar el término para la exigibilidad de las disposiciones
contenidas en dicho acto administrativo, precisó que se dispondrá de un periodo
de dos (2) meses para la implementación y aplicación de los Sistemas de Control
y Vigilancia por parte de todos los Centros de Reconocimiento de Conductores
contados a partir de la fecha en que se fijen los requisitos técnicos de homologación
por parte de la Superintendencia de Puertos y Transporte y, un periodo de
cuatro (4) meses para la implementación y aplicación del Sistema de Captura de
Video, según las disposiciones técnicas contenidas en esta resolución.
Debido a la trascendencia y el impacto que tiene para los usuarios
contar con un sistema confiable y con el ánimo de garantizar la legitimidad del
procedimiento, la Superintendencia de Puertos y Transporte considera
conveniente reducir el término de los dos (2) meses que inicialmente se
estableció en el artículo 8° de la Resolución
7034 del 17 de octubre de 2012.
Se hace necesario ampliar
el término de los cuatro (4) meses para la implementación y aplicación del
Sistema de Captura de Video de que trata la Resolución
7034 del 17 de octubre de 2012 por el término de un (1)
mes más, teniendo en cuenta que el término de los 4 meses empezó a contar a
partir de la publicación de la Resolución
7034 del 17 de octubre de 2012, que fue publicada en el
Diario Oficial bajo el número 48594 del 25 de octubre de 2012.
Mediante Radicado 2013-560-00017982 del 15/01/2013 la Universidad
Pedagógica y Tecnológica de Colombia hizo la primera entrega, a la
Superintendencia de Puertos y Transporte del objeto del Contrato 230 del 24 de
diciembre de 2012, esto es del “anexo
técnico para la homologación de los sistemas de Control y Vigilancia” y de igual manera el 25 de enero de
2013 efectuó una segunda entrega.
En mérito de lo expuesto el Superintendente de Puertos y
Transporte,
RESUELVE:
Artículo 1°. Expedir el anexo técnico para la homologación de los
Sistemas de Control y Vigilancia ordenado a través de la Resolución
7034 del 17 de octubre de 2012 proferida por la superintendencia de puertos y transporte.
Artículo 2°. Modificar el término inicial de dos (2) meses de que trata
el artículo 8° de la Resolución
7034 de 17 de octubre de 2012, en sentido de reducir a un (1) mes el término para la
implementación y aplicación del Sistema de Control y Vigilancia por
parte de todos los centros de Centros de Reconocimiento de Conductores, el cual
empezará a contar a partir de la fecha de publicación de la presente resolución
mediante la cual se expide el anexo técnico para la homologación de los
sistemas de Control y Vigilancia ordenado a través de la Resolución
7034 del 17 de octubre de 2012.
Artículo 3°. Ampliar por un (1) mes más el término de los cuatro (4)
meses para la implementación y aplicación del Sistema de Captura de Video de
que trata la Resolución
7034 del 17 de octubre de 2012 en su artículo 8°, de manera que este plazo vencerá el 25 de
marzo de 2013.
Artículo 4°. La presente resolución rige a partir de la fecha de su
publicación.
Publíquese y cúmplase.
El
Superintendente de Puertos y Transporte,
Juan Miguel Durán Prieto.
DOCUMENTO DE REQUISITOS DE LOS ASPIRANTES A
PROVEEDORES DEL SISTEMA DE CONTROL Y VIGILANCIA
CONSULTORÍA PARA LA ELABORACIÓN DE ANEXOS
TÉCNICOS PARA LA HOMOLOGACIÓN DE LOS SISTEMAS DE CONTROL Y VIGILANCIA
DESTINATARIO:
SUPERINTENDENCIA DE PUERTOS Y TRANSPORTE
Contrato Interadministrativo 230 del 24 de diciembre de 2012
14 de enero del 2013
CONTROL DE VERSIONES
FECHA |
DESCRIPCIÓN |
RESPONSABLE |
12/01/2013
|
Versión
1.0 Documento de Requisitos de los aspirantes a proveedores del Sistema de
Control y Vigilancia |
Jorge Otálora |
A continuación se establecen los procedimientos y requisitos que
deberán cumplir los aspirantes a homologación para recibir la evaluación,
informe de evaluación y acto administrativo de homologación en caso de cumplir
con los requisitos.
1. Solicitud de aclaraciones: A partir del día de
publicación y durante un periodo de cinco (5) días calendario, los aspirantes
podrán enviar solicitudes de aclaración sobre los requisitos de homologación.
En este caso la UPTC tendrá un plazo máximo de cinco (5) días calendario para
dar respuesta a las solicitudes de aclaración.
2. Radicación de carta de interés: El aspirante deberá
radicar ante la Superintendencia de Puertos y Transporte en la oficina del
Superintendente delegado de tránsito, una carta de intención de participar en
el proceso de evaluación y homologación como proveedor del Sistema de Control y
Vigilancia. Esta carta deberá estar firmada por el representante legal de la
sociedad y tendrán hasta quince (15) días calendario después de radicada la
carta para entregar los requisitos documentales. En el caso de no radicar los
documentos en el periodo establecido se procederá a anular el proceso de
evaluación y homologación del aspirante.
3. Radicación de requisitos documentales: El aspirante
deberá dentro del plazo posterior a la radicación de carta de interés los
siguientes documentos:
REQUISITOS DOCUMENTALES
a) Carta remisoria de radicación de requisitos con referencia
“Requisitos documentales para el proceso de evaluación de aspirantes a
proveedores del sistema de control y vigilancia”, razón social, NIT, número de
folios de documentación entregada y datos de contacto (teléfono, dirección,
correo electrónico). Esta carta deberá estar firmada por el Representante legal
de la sociedad aspirante.
b) Documento foliado y en sobre sellado junto con una copia que
contenga los siguientes capítulos:
Documentos generales de la sociedad:
1. Certificado de Cámara de Comercio no mayor a 30 días.
2. Registro único Tributario RUT.
3. Carta de Presentación de la Sociedad.
4. Copia de la Cédula de Ciudadanía del representante legal.
5. Certificado de Antecedentes Judiciales del representante legal.
6. Certificado emitido por revisor fiscal o el representante legal
según quien lo deba emitir basado en el tipo de sociedad, en el cual se
certifique el cumplimiento del pago de los aportes parafiscales.
7. Las sociedades a participar deberán contar
con alguna de las siguientes actividades económicas con base en el nuevo CIIU:
Procesamiento de datos, consultoría informática y actividades de
administración de instalaciones informáticas, actividades de desarrollo de
sistemas informáticos.
8. Las sociedades aspirantes deben tener una antigüedad mínima de
5 años a partir de su constitución.
9. En caso de participar en unión temporal cada sociedad deberá
presentar los documentos anteriores, presentar documento de conformación de la
unión temporal con porcentaje de participación y responsabilidades de cada
sociedad.
Requisitos financieros:
El aspirante a proveedor deberá presentar los siguientes
documentos.
1. Estados Financieros dictaminados de la Sociedad incluyendo como
mínimo estado de resultados y Balance General.
2. Hoja de resumen de
indicadores financieros que se detalla en el siguiente cuadro:
INDICADORES |
CONCEPTO |
REQUISITO |
VALOR DEL ASPIRANTE |
||
CAPITAL REAL |
CAPITAL SOCIAL RESERVAS CONSTITUIDAS UTILIDADES RETENIDAS UTILIDADES DEL EJERCICIO |
Mayor a $1.000.000.000 |
|||
LIQUIDEZ |
ACTIVO CORRIENTE / PASIVO CORRIENTE |
Mayor a 1 |
|||
NIVEL DE ENDEUDAMIENTO |
PASIVO TOTAL ACTIVO TOTAL |
Menor a 60% |
|||
CAPITAL DE TRABAJO |
ACTIVO CORRIENTE - PASIVO CORRIENTE |
Mayor a 0 |
|||
EBITDA |
UTILIDAD OPERACIONAL DEPRECIACIONES Y AMORTIZACIONES |
Mayor a 0 |
|||
DE RIESGO |
ACTIVO FIJO / PATRIMONIO NETO |
Menor a 0,8 |
|||
INDICADOR DE CRECIMIENTO DEL EBITDA |
EBITDA ÚLTIMO AÑO/ EBITDA AÑO ANTERIOR |
Mayor a 0,8 |
|||
3. En caso de que el aspirante a proveedor sea evaluado antes del
30 de marzo de 2013 y no cuente con los estados financieros dictaminados a
corte de 31 de diciembre de 2012 podrá presentar los estados financieros a
corte de 31 de diciembre del 2011.
4. En caso de participar en unión temporal o consorcio, cada una
de las sociedades deberá cumplir con los indicadores financieros.
Requisitos administrativos:
Experiencia de la Compañía
• Acreditar experiencia mediante certificación firmada por los
clientes en proyectos de sistemas informáticos en máximo 4 certificaciones cuya
sumatoria sea superior a ($5.000.000.000) cinco mil millones de pesos, en los
últimos cuatro (4) años.
• Acreditar experiencia mediante certificación firmada por los
clientes en por lo menos dos proyectos relacionados con sistemas que incluyan
alguna de las siguientes funcionalidades: manejo de riesgo, protección de
datos, cifrado de información, auditoría de bases de datos, correlación de
eventos en proyectos en los últimos 4 años.
• Acreditar experiencia mediante certificación firmada por los
clientes en por lo menos un proyecto donde se haya efectuado integración con
los sistemas transaccionales de una entidad financiera vigilada por la
Superintendencia Financiera de Colombia en proyectos en los últimos 4 años.
• El aspirante a proveedor del SCV deberá contar con por lo menos
una de las siguientes certificaciones: CMMI, IT MARK, ISO 27001 o ISO 20000.
Las certificaciones deberán estar vigentes a la fecha de evaluación. En el caso
de unión temporal o consorcio cada sociedad deberá contar con por lo menos una
de las certificaciones solicitadas.
Experiencia del equipo de trabajo
Equipo de dirección:
• Gerente de Proyectos. 1 profesional en ingeniería
de sistemas, industrial, electrónica o afines, con especialización en
gerencia de proyectos o maestría en ingeniería de sistemas, con certificación
de PMP.
• Con el fin de asegurar la idoneidad y estabilidad del equipo de
trabajo se deberá adjuntar copia de título profesional, título de postgrado,
certificaciones y contrato laboral directo con el aspirante a proveedor y copia
de la planilla del último mes en donde se evidencie el pago de los parafiscales
de todos los profesionales.
Equipo de trabajo de seguridad:
• Gerente de SOC. 1 profesional en ingeniería de sistemas,
industrial, electrónica o afines, con especialización en gerencia de proyectos
o maestría en ingeniería de sistemas, con certificación de PMP, certificación
ITIL y certificación como auditor interno de ISO-27001.
• Oficial de Seguridad. 1 profesional en ingeniería de sistemas,
electrónico, de redes o afines con posgrado en gerencia de proyectos, gerencia
de proyectos en teleinformática, seguridad de la información o maestría en
seguridad informática, certificado como CISSP o CISM.
• Especialista en Hacking. 1 profesional en ingeniería de
sistemas, electrónico, de redes o afines, certificado como CEH.
• Especialistas DAM. 1 profesional en ingeniería de sistemas,
electrónica, de redes o afines con certificación técnica emitida por el
fabricante de la solución DAM utilizada en la solución presentada por el
aspirante.
• Especialista de IPS. 1 profesional en
ingeniería de sistemas, electrónico, de redes o afines con certificación
técnica emitida por el fabricante de la solución de IPS utilizada en la
solución presentada por el aspirante.
Especialista ENDPOINT. 1 profesional en ingeniería de sistemas,
electrónico, de redes o afines con certificación técnica emitida por el
fabricante de la solución de protección ENDPOINT utilizada en los servidores de
la solución presentada por el aspirante.
• Auditor interno. 1 profesional en ingeniería de sistemas, industrial,
electrónica, de redes o afines con certificación como auditor interno de ISO
27001.
• Con el fin de asegurar la idoneidad y estabilidad del equipo de
trabajo se deberá adjuntar copia de título profesional, certificaciones y
contrato laboral directo con el aspirante a proveedor y copia de la planilla
del último mes en donde se evidencie el pago de los parafiscales de todos los
profesionales.
Equipo de trabajo de desarrollo:
• Ingenieros de desarrollo. 2 profesionales en ingeniería de
sistemas, certificados en lenguajes de programación en los cuales se encuentra
construida la aplicación presentada por el aspirante para la solución de SCV.
• Con el fin de asegurar la idoneidad y estabilidad del equipo de
trabajo se deberá adjuntar copia de título profesional, título de posgrado
cuando aplique, certificaciones y contrato laboral directo con el aspirante a
proveedor y copia de la planilla del último mes en donde se evidencie el pago
de los parafiscales de todos los profesionales.
Equipo de trabajo de soporte:
• Ingenieros de soporte. 2 profesionales en ingeniería de
sistemas, electrónica o redes.
• Técnicos de soporte. 4 técnicos, tecnólogos o ingenieros de
sistemas, electrónica, redes, telecomunicaciones o afines.
• Con el fin de asegurar la idoneidad y estabilidad del equipo de
trabajo se deberá adjuntar copia de título profesional o técnico,
certificaciones y contrato laboral directo con el aspirante a proveedor y copia
de la planilla del último mes en donde se evidencie el pago de los parafiscales
de todos los profesionales.
• El aspirante a homologación podrá tener subcontratado el
servicio de centro de operaciones de seguridad SOC. En este caso deberá
presentar el contrato firmado con el proveedor que le preste el servicio de SOC
y las hojas de vida del equipo de seguridad podrán ser funcionarios del
proveedor de SOC y cumpliendo con la totalidad de requisitos administrativos
exigidos para el equipo de trabajo.
• El aspirante debe generar una carta de compromiso firmada por el
representante legal, en la cual establezca que una vez reciba la homologación
se comprometerá a realizar las siguientes actividades:
– Establecer un canal dedicado con el sistema RUNT.
– Establecer las siguientes integraciones requeridas con el
sistema RUNT:
- Solicitud de certificado médico.
- Solicitud de Cargue de certificado médico.
- Apertura de interfaces para validación de candidato y médico o
especialista.
- Recepción de certificados médicos.
- Recepción de licencias de conducción.
- Recepción de FUPAS.
– Realizar los procedimientos de conexión y validación de
identidad en línea con la Registraduría Nacional del Estado Civil una vez la
requiera la Superintendencia de Puertos y Transporte.
– Establecer un canal dedicado con el centro de monitoreo de la
Superintendencia de Puertos y Transporte.
– Establecer las siguientes integraciones requeridas con el centro
de monitoreo de la Superintendencia de Puertos y Transporte:
- Envío de archivo de recaudo.
- Envío de archivo de eventos.
- Acceso a software de Posicionamiento Centros de Reconocimiento
de Conductores.
- Generación y envío de archivo de conciliación de actores del
proceso.
La Superintendencia de Puertos y Transporte se encargara de
gestionar las autorizaciones con la Registraduría Nacional del Estado Civil y
con el RUNT para establecer los procesos de conexión.
Requisitos técnicos:
1. Adjuntar copia del certificado de registro de soporte lógico de
la Dirección Nacional de Derechos de Autor. En el caso de que el aspirante
utilice una licencia de software de una solución fabricada por otra compañía,
el aspirante deberá adjuntar copia de la licencia de uso y copia del
certificado de registro de soporte lógico de la Dirección Nacional de Derechos
de Autor de la compañía fabricante.
2. Adjuntar copia de la solicitud presentada ante la
Superintendencia de Industria y Comercio del registro de invención o de modelo
de utilidad de un sistema, estructura o dispositivo que tenga relación con el
objeto de sistemas de transmisión segura, sistemas de validación de identidad o
sistemas de validación de sitios remotos. La solicitud presentada podrá estar
en estado de trámite o en estado de concedido el derecho.
En caso de no contar con la
solicitud anterior el aspirante deberá presentar un documento técnico que
permita garantizar la idoneidad del aspirante. El documento técnico deberá
contar con los siguientes capítulos: Descripción General del Sistema, Descripción
General de Subsistemas, Diagrama de red, arquitectura de servidores,
arquitectura general de la aplicación, arquitectura de seguridad en sitios
remotos y geoposicionamiento satelital, esquema de
correlación de eventos, esquema para el control de ataques informáticos,
esquema de auditoría de bases de datos, esquema de verificación de código
fuente, esquema de protección de datos sensibles y de transmisión segura de
datos, esquema de intercambio transaccional para el recaudo, diagrama E-R
Entidad Relación) de las principales entidades, documento modelo de
arquitectura de software, esquema de alta disponibilidad y continuidad de
negocio, en el caso en que el representante legal de la compañía no sea
ingeniero de sistemas o electrónico deberá una carta de aval de un ingeniero de
sistemas o electrónico.
3. Adjuntar copia de contrato de centro de cómputo en caso de que
el centro de cómputo se encuentre subcontratado. Los contratos deberán tener
una duración mínima de veinticuatro meses.
4. Adjuntar copia de manifiesto de importación de las soluciones
de servidores, IPS, Firewall, Herramienta DAM, Herramienta SIEM, SAN, Escáner
de Vulnerabilidades, Application Delivery
Controller.
5. Adjuntar copia de las facturas de compra de las soluciones de
servidores, IPS, Firewall, Herramienta DAM, Herramienta SIEM, SAN, Escáner de
Vulnerabilidades, Application Delivery
Controller, licencias de bases de datos, licencias de
sistemas operativos. En el caso en el que el Centro de operaciones SOC se
encuentre subcontratado, la copia de las facturas presentadas podrán ser del proveedor contratado.
6. Adjuntar copia de certificación o indicaciones de como
verificar que la herramienta de mesa de ayuda a utilizar cuente con por lo
menos 5 procesos de ITIL certificados.
7. Diligenciar el siguiente cuadro de requisitos
tecnológicos:
SOLUCIÓN
|
REQUISITO
MÍNIMO |
NOMBRE
DEL FABRICANTE |
PRODUCTO,
MODELO O
VERSIÓN |
IPS
|
Solución de propósito
específico basado en hardware (appliance) diferente
a soluciones UTM, debe tener como mínimo 1 Gbps de throughput y fuente redundante. La solución utilizada
deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Intrusion Prevention Systems de Gartner más
reciente. |
||
DAM
|
Solución basada en
hardware o software para la protección, auditoría, monitoreo de la base de
datos del sistema de información que contenga el SCV. La solución utilizada
deberá encontrarse en el nivel de Strong Performers o Leaders del Forrester Wave-Database Auditing and realtime protection más reciente. |
||
SIEM
|
Solución basada en
hardware o software para la administración de logs
y la correlación de eventos de la plataforma tecnológica del SCV. La solución utilizada
deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant Security Information
and Event Management de Gartner
más reciente. |
||
Protección
de ENDPOINT |
Solución basada en
software para protección antimalware de los servidores utilizados del SCV. La solución utilizada
deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Endpoint Protection Platforms de Gartner más
reciente. |
||
FIREWALL/UTM
PERIMETRAL |
Solución basada en
hardware de propósito específico, debe tener como mínimo 1 Gbps de throughput y fuente
redundante. La solución utilizada
deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Unified Thread Management de Gartner o en el cuadrante de Leaders
o Visionaries del Magic Quadrant for Enterprise Network
Firewalls más reciente. |
||
Application Delivery
Controller |
Solución basada en
hardware de propósito específico, debe tener como mínimo funcionalidad de
balanceo de cargas y de web application firewall, 1
Gbps de throughput y
fuente redundante. La solución utilizada
deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Application Delivery Controller de Gartner más
reciente. |
||
Escaner de Vulnerabilidades de
Red |
Solución basada en
hardware de propósito específico. La solución utilizada
deberá consultar la base de datos del CVE (Common Vulnerabilities and Exposures).
|
||
Dynamic Application
Security Testing |
Solución basada en
software que permita realizar pruebas de seguridad a la aplicación. La solución utilizada
deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Dynamic Application Security Testing de Gartner más
reciente. |
||
Static Application
Security Testing |
Solución basada en
software que permita realizar pruebas de seguridad al código fuente de la
aplicación. La solución utilizada
deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Static Application Security Testing de Gartner más
reciente. |
||
Servidor
de Comunicaciones seguras y de validación de geoposicionamiento
|
Solución basada en
hardware y software que permita: • Registrar ubicaciones
geofísicas de los centros de reconcomiendo de conductores. • Validar la ubicación de
origen de la información que se transmita al SCV. • Establecer conexiones
seguras entre cada uno de los PC de los centros de reconocimiento de
conductores; estas conexiones se podrán establecer a través de protocolos
seguros (SSH o IPSec). • Visualizar un mapa de
Colombia con las ubicaciones de los CRC y el estado de conexión de los PC con
el SCV. |
4. La UPTC Universidad Pedagógica y Tecnológica de Colombia,
delegada por la Superintendencia de Puertos y Transporte, evaluará los
documentos presentados en un periodo no mayor a cinco días calendario.
Posterior a la validación de la documentación radicada se entregará al
aspirante el informe del resultado de la evaluación documental indicando si
requiere aclaraciones o complemento de documentos, en este caso el aspirante a
proveedor tendrá máximo tres días hábiles para dar respuesta a la solicitud.
En el caso que el aspirante a proveedor no
responda las aclaraciones en el plazo de los tres días, la UPTC procederá a
anular el proceso de evaluación y homologación del aspirante.
En el caso que un aspirante, haya recibido anulación del proceso
de evaluación en esta etapa, deberá reiniciar el proceso de evaluación desde el
punto 2 (Radicación de carta de interés). Un aspirante a proveedor podrá máximo
dos intentos de proceso de evaluación.
En el caso que el informe de evaluación concluya que el aspirante
a homologación cumple con todos los requisitos documentales se entregará un
oficio por parte de la UPTC indicando las fechas programadas de visita de
verificación establecidas en el siguiente numeral (no serán superior a tres (3)
días, posterior a la entrega del informe de resultado de la evaluación
documental).
5. Se realizarán las siguientes visitas en
máximo dos (2) días hábiles. En estas visitas el evaluador tomará evidencia,
fotográfica y fílmica para verificar el cumplimiento de los requerimientos:
Visita
a la mesa de ayuda. Se verificarán los siguientes aspectos: 1.
La herramienta presentada en la etapa documental para mesa de ayuda deberá
estar instalada y se debe mostrar la radicación de una solicitud de soporte. 2.
Se debe mostrar la evidencia de los requerimientos que se encuentran en la
lista de chequeo en el ítem de “solución de soporte de aspirante a
proveedor”. 3.
La mesa de ayuda deberá estar conformada por el equipo de trabajo presentado
en la etapa documental. 4.
La mesa de ayuda deberá estar ubicada en territorio nacional. |
Visita
al Centro de Operaciones de Seguridad. 1.
El centro de operaciones de seguridad deberá contar con un control de acceso
biométrico. 2.
El centro de operaciones de seguridad deberá contar con un sistema de
circuito cerrado de televisión. 3.
El centro de operaciones de seguridad deberá estar ubicada en territorio
nacional. 4.
El centro de operaciones de seguridad deberá contar con un video Wall con
mínimo cuatro pantallas. 5.
Se deberá tener a disposición de los recursos necesarios para poder realizar
las verificaciones: a)
Prueba de ataque perimetral. El especialista de hacking presentado en el
equipo de trabajo del SOC, deberá ejecutar un escaneo de puertos a una de las
direcciones de red utilizadas por el sistema presentado a homologar. Posterior
a esto el IPS deberá identificar, registrar y reaccionar ante este escaneo
procediendo a interrumpir la comunicación entre el escáner atacante y el
sistema. Posterior a esto el evento deberá quedar registrado en la
herramienta de SIEM. b)
Prueba de auditoría de base de datos. Se deberá disponer de un cliente del
motor de base de datos que permita realizar la modificación en un registro en
la tabla en la cual se almacene información biométrica. El evaluador
procederá a alterar un registro en la base de datos. Posterior a esto la
solución DAM deberá notificará la modificación del registro enviando una
alerta al sistema SIEM con la información detallada del incidente. c)
Verificación de información biométrica cifrada. El aspirante deberá mostrar
la ubicación en la cual almacene la información biométrica con el fin de
verificar que esta se encuentre cifrada. d)
Verificación de Endpoint. Se deberá demostrar que
se encuentran instaladas en los servidores la solución de antimalware. e)
Verificación de herramientas de pruebas de seguridad. Se deberá demostrar que
están instaladas las herramientas de pruebas de seguridad de aplicación
dinámica y estática. f)
Verificación de mapa de ubicaciones de Centros y máquinas. Se deberá mostrar
la ubicación de por lo menos dos centros de reconocimiento en la cual se
muestre el estado de su conexión. Nota:
Los PC de los CRC que intervendrán en la conexión con los Sistemas de Control
y Vigilancia homologados y con el sistema del RUNT, deberán contar como
mínimo con los requerimientos técnicos actuales de Hardware, Software y
Comunicaciones solicitados por el RUNT y los que requieran los Sistemas de
Control y Vigilancia. Se
recomienda como mínimo: 1.
Sistema Operativo: Windows XP, Windows Vista, Windows 7 con la última actualización
o parche de seguridad. 2.
Memoria RAM: 1 GB o superior. 3.
Disco Duro: 20 GB con espacio disponible como mínimo de 5GB. 4.
Canal de Internet: Banda ancha óptimo 2 Mbps o superior, con una IP pública
fija. |
Visita
al Centro de Cómputo. 1.
El centro de operaciones de seguridad deberá estar ubicada en territorio
nacional. 2.
Se verificará que en el centro de cómputo se encuentren ubicados todos los
equipos de hardware solicitados. 3.
En el caso de que los equipos se encuentren en más de un datacenter,
se coordinará la visita a todos los datacenter para
verificar la totalidad de los equipos solicitados. |
Visita
a un centro de reconocimiento de conductores en el cual se muestre el
funcionamiento del sistema de control y vigilancia. Se procederá a realizar
visita a un CRC en el cual se encuentre instalada la solución y se permita
verificar los siguientes escenarios: a)
Verificación del proceso de pago. Se deberá demostrar el pago del valor del
examen de aptitud directamente sobre la red de recaudo del actor del sector
financiero. Esto deberá cumplir con todos los requerimientos exigidos en la
lista de chequeo del anexo técnico. En el caso de requerirse participación de
la entidad financiera para realizar esta verificación, el aspirante será el
encargado de coordinar todos los requisitos para poder realizar la prueba. b)
Verificación del proceso de enrolamiento de candidato. Se deberá demostrar
que una aplicación integrada con todo el sistema, realice el registro y toma
de información con los dispositivos de captura de información del candidato
(lector biométrico de huellas homologado por el RUNT, cámara digital, pistola
o escáner de lectura de código bidimensional, pad
de firmas). c)
Verificación de validación de identidad. Se deberá demostrar que una
aplicación integrada con todo el sistema, realice la validación con el
procedimiento alternativo temporal de validación de identidad definido. d)
Aseguramiento de la presencia del candidato y médico o especialista en todo
el proceso de evaluación. Se deberá demostrar que el usuario se valide a
través de la huella, al principio y final de cada evaluación en el sistema a
homologar. e)
Los Centros de Reconocimiento de Conductores por protocolo de seguridad, solo
se conectarán a través de red física LAN con el Sistema de Control y
Vigilancia, no se permitirán conexiones inalámbricas o WIFI. Se verificará
técnicamente que el sistema a homologar cumpla con estas validaciones. f)
Verificación de validación de equipos. Se deberá demostrar que una aplicación
integrada con todo el sistema, realice la validación de los PCS registrados.
Se realizarán pruebas con otros PC no registrados para verificar la
validación. g)
Verificación de validación de posición geofísica. Se deberá demostrar que una
aplicación integrada con todo el sistema, realice la validación de la geoposición satelital de dos CRC. Se realizarán pruebas
técnicas para verificar la validación. |
6. La UPTC tendrá un (1) día hábil para entregar el informe de
evaluación final en el cual se indicará si el aspirante a homologación cumple
con los requisitos exigidos.
7. En el caso que el
aspirante haya recibido en la evaluación el concepto de que cumple con los
requisitos exigidos, la Superintendencia de Puertos y Transporte en un plazo
máximo de cinco (5) días hábiles procederá a emitir un acto administrativo en
el cual se autoriza al aspirante como proveedor homologado del sistema de
control y vigilancia.