Fecha de creación
23/12/2021 17:24
Próxima fecha de evaluación
27/01/2022 17:00
Expresión de Interés - Mecanismos Autenticación
PRÓRROGA
NUEVA FECHA DE CIERRE PARA EVALUACIÓN DE PROPUESTAS : 11 DE FEBRERO DE 2022
LLAMDO A EXPRESIÓN DE INTERÉS
OBJETO
Centro Ceibal llama a interesados en realizar pruebas de concepto de soluciones tecnológicas,
con foco en mecanismos de autenticación, que podrían ser aplicables a Plan Ceibal.
El interesado se obliga en los términos de la política de confidencialidad y protección de datos
de Centro Ceibal, especificadas en el Anexo I: Confidencialidad y protección de datos.
La fecha de cierre prevista para la evaluación de las propuestas es la siguiente: 27 de Enero de 2022, 17:00 hs.
Al momento se están realizando pruebas gratuitas con los siguiente proveedores:
Idatha-Biometrish
ITC SA
VU Security
Bases Particulares Expr. De InterésLeer más
Estimados Ceibal,
queria saber si ya han evaluado Yubikey y/o Nitrokey como herramientas para proteccion de las claves y como metodos de MFA .
Especificamente apunto al NitroKey (origen Alwmania) cual esta basado a los principes de Open Hardware y Open Software - Open Source y cual permitia lograr el objetivo del llamado.
Un cordial saludo y en espera de su respuesta.
16
Estimado proveedor, no se han evaluado particularmente Yubikey o Nitroke y, dado que el foco de este llamado es conocer tecnologías y soluciones relacionadas a la autenticación de usuarios, sería de interés para Plan Ceibal poder evaluarlas. saluda att. Dpto Compras
Respuesta realizada el 14/02/2022 12:19
Hola. Solicitamos por esta vía, la extensión (de ser posible dos semanas más) del plazo para la presentación de la oferta. Muchas gracias desde ya. Saludos
15
Estimados, notificamos a ustedes fecha de prórroga para evaluación de propuestas: 11 de Febrero de 2022, 17:00 horas
Respuesta realizada el 24/01/2022 11:39
Comunicaciones: La solución deberá ser enteramente compatible con los certificados usados por Centro Ceibal (ver Documento) y en caso de usar certificados generados internamente deberán ser validados por las autoridades de certificación que Centro Ceibal establezca.
Pregunta 14 : ¿ Podrían compartir la especificación de los certificados en el documento citado (ver Documento) ?
11
Ver respuesta a esta consulta en los archivos publicados del proceso.
Respuesta realizada el 20/01/2022 14:47
Pregunta 18 : Si el servicio es de modo PaaS ¿ Es necesario poseer todas las herramientas comúnmente utilizadas en el desarrollo de aplicaciones personalizadas (Custom) ? Igualmente contamos con herramientas en la nube utilizada en los modelo DevSecOps
14
Para los requisitos de seguridad solo hay que indicar Si cumple/cumple parcialmente/no cumple. La misma está basada en las buenas prácticas y el estándar OWASP ASVS. En alguna arquitectura de implementación puede ser que no aplique el requisito en cuestión y se puede aclarar. La documentación comprobante de lo declarado podrá ser requerida en una etapa posterior.
https://raw.githubusercontent.com/OWASP/ASVS/v4.0.3/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-en.pd
Respuesta realizada el 20/01/2022 14:44
Pregunta 17 : ¿ Cual es la necesidad de tener una plataforma para dar soporte a una capa de negocio en el contexto de este documento ? ¿ Se esta haciendo referencia a un BPMS para el desarrollo de procesos con actividad humana en donde los usuarios que participan en los procesos de negocio acceden autenticándose para iniciar o continuar un proceso ?
13
¿ Cual es la necesidad de tener una plataforma para dar soporte a una capa de negocio en el contexto de este documento ? ¿ Se está haciendo referencia a un BPMS para el desarrollo de procesos con actividad humana en donde los usuarios que participan en los procesos de negocio acceden autenticándose para iniciar o continuar un proceso ?
Para los requisitos de seguridad solo hay que indicar Si cumple/cumple parcialmente/no cumple. La misma está basada en las buenas prácticas y el estándar OWASP ASVS. En alguna arquitectura de implementación puede ser que no aplique el requisito en cuestión y se puede aclarar. La documentación comprobante de lo declarado podrá ser requerida en una etapa posterior.
https://raw.githubusercontent.com/OWASP/ASVS/v4.0.3/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-en.pdf
Respuesta realizada el 20/01/2022 14:43
Pregunta 15 : Como el modo de servicio que vamos a proponer es el modo PaaS (donde se abstrae el tema de las capas de la arquitectura que lo soporta). ¿ Alcanza con responde Cumple ?
Pregunta 16 : Como el modo de servicio es modo PaaS (NO SaaS como se indica en el documento) se asume que cumplimos con los requisitos anteriores . ¿ Alcanza con responde Cumple acompañado con un link a documento público en donde se indique la disponibilidad ?
12
Para los requisitos de seguridad solo hay que indicar Si cumple/cumple parcialmente/no cumple. La misma está basada en las buenas prácticas y el estándar OWASP ASVS. En alguna arquitectura de implementación puede ser que no aplique el requisito en cuestión y se puede aclarar. La documentación comprobante de lo declarado podrá ser requerida en una etapa posterior.
https://raw.githubusercontent.com/OWASP/ASVS/v4.0.3/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-en.pd
Respuesta realizada el 20/01/2022 14:43
Pregunta 12 : ¿ En el caso de nuestra solución que es PaaS alcanzaría con indicar documentación que garamtize un determinada disponibilidad (SLA) ?
Pregunta 13 : ¿ El manejo de errores y verificación esta ACOTADA únicamente al tema de la plataforma de identidades ?
10
Para los requisitos de seguridad solo hay que indicar Si cumple/cumple parcialmente/no cumple. La misma está basada en las buenas prácticas y el estándar OWASP ASVS. En alguna arquitectura de implementación puede ser que no aplique el requisito en cuestión y se puede aclarar. La documentación comprobante de lo declarado podrá ser requerida en una etapa posterior.
https://raw.githubusercontent.com/OWASP/ASVS/v4.0.3/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-en.pd
Respuesta realizada el 20/01/2022 14:41
Pregunta 09: ¿ Podrían indicarnos cuales son las versiones de los productos de los actuales proveedores y a modo de ejemplo que atributos (nombre, email, sector,etc) están definidos en los mismos ?
Pregunta 10: ¿ Podrían indicarnos si en el caso de MS Active Directory usan Federation (AD FS) ?
Pregunta 11: Si la solución que proponemos tiene modalidad de servicio PaaS ¿Es necesario visibilizar como esta diseñado el servicio PaaS sobre la nube de Oracle (OCI) ?
9
El servicio de Login Único usa el protocolo CAS versión 6.2.2
Se utiliza Windows Azures Active Directory para la autenticación de los dispositivos que brinda Ceibal con sistema operativo Windows. El Azure AD sincroniza sus contraseñas contra el SSO de Ceibal para beneficiarios, login único. No se usa federación.
Detalles adicionales de la arquitectura serán brindados a los oferentes que participen en el llamado.
Para la solución PaaS los detalles que se precisen serán solicitados luego, no siendo necesarios en esta etapa.
Respuesta realizada el 20/01/2022 14:41
Pregunta 06: ¿Cual es el tipo de DEMOS al cual se refiere el documento ?
Pregunta 07: ¿ La plataforma sugerida podría residir en países como Brasil y/o Chile ?
Pregunta 08: ¿ Podrían indicarnos cuales son esas politicas de seguridad? Compatibilidad para autenticación con alguno de los siguientes proveedores de identidades (Google, Active Directory) detallando protocolos y configuraciones usados.
8
Las demostraciones (“demos”) refieren a pruebas con los mecanismos presentados, en un entorno controlado, llevadas a cabo por el proveedor, el equipo técnico de Ceibal y/o usuarios finales en piloto.
Brasil y Chile no están en el listado de países habilitados para alojar datos personales. La resolución de la URCDP con los territorios habilitados está disponible en:
https://www.gub.uy/unidad-reguladora-control-datos-personales/institucional/normativa/resolucion-n-23021
La solución debe poder integrarse al SSO para beneficiarios de Centro Ceibal. https://ingreso.ceibal.edu.uy/loginunico/username.xhtml
El mismo está basado en el protocolo CAS https://apereo.github.io/cas/6.2.x/protocol/CAS-Protocol.html
Detalles técnicos específicos de la arquitectura serán entregados a los oferentes que participen en el llamado.
Las políticas de complejidad de contraseñas de Ceibal estarán disponibles a los oferentes que participen en el llamado. Incluyen las reglas habituales de largo, tipos de caracteres/números/símbolos, etc.
El Manual de Políticas de Seguridad de la Información de Centro Ceibal está disponible en:
https://www.ceibal.edu.uy/storage/app/media/manual-de-politicas-de-seguridad-de-la-informacion-wiki-ceibal.pdf
Respuesta realizada el 20/01/2022 14:40
de la preg. 5: Necesitamos mas datos para calcular ese esfuerzo. Datos a informar deberían ser :cantidad de ambientes para activar y configurar (Por ejemplo Desarrollo, Test, Producción), cantidad de aplicaciones a las cuales van a acceder luego de autenticarse, definición de roles , grupos y permisos de acceso para c/u de las aplicaciones consideradas, cantidad de personas del organismo a entrenar, tipo de capacitación, soporte por una determinada cantidad de meses Post producción, etc,
7
Soporte: El soporte que se pretende en esta etapa es el necesario para poder implementar los pilotos de manera exitosa por el equipo de proyecto.
Respuesta realizada el 20/01/2022 14:39
Cantidad de ambientes: 3 (Testing, Preproducción y Producción).
Cantidad de aplicaciones: 22.
Definición de roles, grupos y permisos: El sistema sólo realiza autenticación y es el caso que interesa estudiar en este piloto. Los perfiles y roles son manejados luego por las distintas plataformas.
Cantidad de personas a entrenar: No se prevé entrenamiento de equipos en esta etapa.
Tipo de capacitación: No se prevé capacitación en esta etapa, más allá de las consultas técnicas del equipo que lleva adelante el proyecto, frente a dudas en la implementación de los casos de uso de los pilotos.
Respuesta realizada el 20/01/2022 14:39
Preg. 05:
¿ Cuando se enuncia “costo de servicios” se refiere a servicios consultivos para entrenamiento a equipos de Ceibal (Administradores, equipos de Seguridad, etc) para el uso de la plataforma de seguridad, soporte por una determinada cantidad de meses ?.
6
Los costos de servicios hacen referencia a cualquier costo que pudiera estar asociado a los sistemas o servicios presentados. En este sentido, pueden incluir servicios consultivos. Se recomienda cotizar por separado todos los costos que se entiendan pertinentes.
Respuesta realizada el 20/01/2022 14:38
Preg. 04:
Dado que la evalución de la solución propuesta será evaluada en un laboratorio o en determinados centros educativos a modo de piloto, de forma de emular en contexto real el uso de los mecanismos.
Si la solución propuesta es PaaS (Plataform as a Service) se deberá configurar una VPN a dicho laboratorio y/o centros educativos
¿ Esa evaluación es una inversión de Conatel o será un Piloto que el organismo público considerara como parte inicial de un proyecto e invertirá en el mismo ?
5
Ceibal cuenta con fondos limitados para la etapa de pruebas de concepto. Si bien puede hacerse cargo de costos asociados, los mismos no deberían ser elevados para que la evaluación sea viable de realizar
Respuesta realizada el 20/01/2022 14:38
Pregunta 03:
¿ Pueden enunciar un par de alternativas novedosas a la autenticación
tradicional realizada con credenciales del tipo usuario - contraseña.?
4
ver Respuesta a Consulta 3
Respuesta realizada el 20/01/2022 14:37
Pregunta 02:
¿ Pueden enunciar un par de alternativas novedosas a la autenticación
tradicional realizada con credenciales del tipo usuario - contraseña.?
¿Estarían interesados en autenticación bajo el concepto de Facial Recognition u otra ?
Si estubieran interesados en este tipo de autenticación ¿ en donde residen las distintas imágenes de rostro con las cuales el algoritmo de reconocimiento facial debe compara los +40 puntos que se utilizan para comparar ?
3
Para ver ejemplos de alternativas novedosas a la autenticación con usuario - contraseña, referirse al siguiente enlace: https://id4d.worldbank.org/guide/authentication-mechanisms.
Ceibal está interesado en evaluar mecanismos que incluyan reconocimiento facial, entre otras técnicas y/o tecnologías.
Se disponibilizarán los datos biométricos para la plataforma que hace reconocimiento facial, en esta etapa no tenemos definido aún la ubicación final de estos datos.
Respuesta realizada el 20/01/2022 14:37
Buenos días, agradezco tengan la amabilidad de responder las siguientes consultas.
Sección:
2.1. Mecanismos de Autenticación para Beneficiarios
Pregunta 01:
¿ Existe un orden de magnitud sobre la cantidad de los beneficiarios del Plan Ceibal (estudiantes, docentes, entre otros actores).?
2
Se estiman unos 800.000 beneficiarios activos de Plan Ceibal (fuente: usuarios de CREA al 31 de agosto de 2021 - Ceibal en Cifras).
Respuesta realizada el 20/01/2022 14:36
Hola estimado,
¿Cómo estás? Soy Manu y trabajo cómo VP, machine learning para IDATHA. Desarrollamos una solución que puede verificar la identidad de usuarios basado en biométricas digitales e.g. movimientos del cursor.
En la oferta, quieren obtener claridad sobre el costo unitario / de servicios para el producto finalizado sino la prueba de concepto? Este costo, puede incluir costos de desarrollo para partes de la solución o quieren trabajar únicamente con licenciamiento?
Manu
1
Ceibal está interesado en conocer las distintas modalidades en que tienen disponibles los mecanismos a presentar y todos los costos asociados de los mismos, si se fueran a poner en producción.
Asimismo, es importante conocer los costos (si tienen) en la etapa de pruebas de concepto, donde el presupuesto con que se cuenta es ajustado.
Respuesta realizada el 20/01/2022 14:35
Realizar consulta/oferta
(todos los campos son obligatorios)- La presente herramienta solo podrá ser utilizada como medio válido de comunicación entre las partes, en el marco de un proceso de adquisición/contratación. A través de la misma el interesado podrá formular consultas, solicitar prórroga y presentar la oferta. Las consultas y respuestas serán publicadas aquí manteniendo en reserva los datos de quien haya formulado las mismas.
- Está prohibida la utilización para transmitir información y/o documentación ajena al proceso de adquisición/contratación; se prohíbe cualquier material con contenido obsceno, ofensivo, insultante, amenazante, discriminatorio, etc. pudiendo el Centro Ceibal eliminar dicho contenido, sin perjuicio de iniciar las acciones pertinentes.
- El interesado es responsable de la veracidad y uniformidad de los datos aportados, los cuales serán los datos de contacto considerados como válidos en el marco del proceso de adquisición/contratación.
