somos el grupo transaccional lÍder en el sector

SOMOS EL GRUPO TRANSACCIONAL

LÍDER EN EL SECTOR MULTISERVICIOS DE LA REGIÓN CÁPITAL

CONVOCATORIA No. 374

PRUEBAS ETHICAL HACKING

CONVOCATORIA

Fecha de apertura: 19/07/2021

Fecha de cierre: 26/07/2021

Hora de cierre: 03:00 pm

El Grupo Empresarial en Línea S.A. – Gelsa, es una compañía que, gracias a sus más de 17 años de experiencia, es

líder en redes transaccionales. Actualmente cuenta con la adjudicación, por parte de la Lotería de Bogotá, de la

concesión para la explotación y operación de las apuestas permanentes en la región capital y el Departamento de

Cundinamarca

PAGA TODO es la marca comercial mediante la cual opera Gelsa como red multiservicios, ofreciendo su portafolio de

servicios transaccionales (que incluye giros, pines, recargas, corresponsalía bancaria, Soat digital, pagos y recaudos,

entre otros) y de juegos de suerte y azar (Chance, Súper Astro, Paga Millonario, Baloto, BetPlay y las diferentes loterías

del nivel nacional en la modalidad tradicional y en línea), llegando a todas las localidades de Bogotá y a los 116

municipios de Cundinamarca.

Los invita a participar para cotizar Pruebas Ethical Hacking de acuerdo a las especificaciones relacionadas a

continuación:

REQUERIMIENTO

PROCESO: DATACENTER – Seguridad Informática Prueba Ethical Hacking Interna.

SOLICITUD: Realizar la prueba de Ethical Hacking a la infraestructura Core Transaccional

CANTIDAD: 1 Prueba de Ethical Hacking a la infraestructura Core Transaccional de acuerdo al detalle

de los servidores y aplicaciones expuestos.

Tiempo de Ejecución: 1 Mes

OBJETIVOS ESPECIFICOS

• Identificar riesgos, vulnerabilidades o fallas de seguridad sobre los servicios de la organización desde

una perspectiva externa sin privilegios o acceso a las aplicaciones o tecnologías que soportan los

servicios.

• Identificar riesgos, vulnerabilidades o fallas de seguridad sobre los servicios de la organización desde

una perspectiva externa e interna con un usuario válido, de bajos privilegios, de las aplicaciones web.

• Generar recomendaciones para mitigar los fallos o vulnerabilidades encontrados acorde con los

lineamientos del negocio y con base en más altos estándares de seguridad y generar un plan de

trabajo para la mitigación de los riesgos encontrados.

OBJETIVOS DE ATAQUE

• El proveedor deber realizar prueba de Etchical Hacking a la infraestructura que se detalla a continuación teniendo

en cuenta el tipo de prueba.

ESPECIFIQUE EL OBJETIVO CANTIDAD TIPO OBSERVACION

Servidor (SIVEM) 4 Caja Gris

Aplicación Web (SIVEM) 4 Caja Gris

Servidor (SIACH) 4 Caja Gris

Aplicación Cliente/servidor (SIACH) 4 Caja Gris

Servidor (PAGA MILLONARIO) 4 Caja Gris

Servidor WEB (PAGA MILLONARIO) 4 Caja Gris

Firewall Perimetral 2 Caja Gris

Servidores Base de Datos 2 Caja Gris

Visita Física en Caja 1 Caja Gris

Visita Física en Punto de Venta 1 Caja Gris

Servidor (Billetera) 1 Caja Gris

Aplicación Web (Billetera) 1 Caja Gris Primero se debe ejecutar el Caja

Negra y luego Caja Gris

sucursalvirtual.pagatodo.com.coAplicación Web (Billetera)1

Caja Negra

Aplicación Móvil (App móvil)

1

Caja Gris

Primero se debe ejecutar el Caja

Negra y luego Caja Gris

sucursalvirtual.pagatodo.com.co

Aplicación Móvil (App móvil)1

Caja Negra

CARACTERISTICAS TECNICAS

• Identificar y enumerar los servicios y aplicaciones que soportan o están involucrado en las aplicaciones.

• Identificar malas prácticas en cuanto a la configuración y despliegue del servicio (Fuerza bruta, uso de servicios

sin autenticación, descubrimiento de parámetros y servicios, permisos de archivos, canales de comunicación, etc).

• Analizar fallas o vulnerabilidades sobre la aplicación o los servicios que la soportan (SQL injection, RFI,

DataFuzzing, Buffer overflows, authentication bypass, Integer overflow, hCOLOMBIA overflow, corrupción de

memoria, descarga ilegítica de archivos, inyección de comandos, etc.).

• Verificar los mecanismos de seguridad horizontales y verticales (suplantación de identidad y elevación de

privilegios)

• Envenenamiento de protocolos o malformación de consultas orientadas a la explotación de la aplicación u otros

servicios explotables por medio de la aplicación.

• Realizar ataques a nivel de red sobre los cuales estén presentes uno o más activos e involucren uno o más

servicios (DNS Poisson, APR, ICMP rerouting, etc).

• Pruebas de denegación de servicio (a nivel de Red, aplicación, servicio)

• El proveedor una vez realizada la prueba de Ethical Hacking deberá realizar la respectiva prueba de Re-test

• Las pruebas realizadas deberán cumplir con las metodologías y guías.

• OSSTMM Versión 4

• PTES - PENETRATIOS TESTING Versión 2

• OWASP Versión 4 - Open Web Application Security Project

CARACTERISTICAS TECNICAS

Transferencia de conocimiento

A medida que se realicen las pruebas de seguridad, se debe realizar un proceso de transferencia de conocimiento

con los encargados de las aplicaciones tanto a nivel operativo como administrativo en cuanto a las metodologías de

análisis de vulnerabilidades utilizadas, detalles de funcionamiento de las vulnerabilidades encontradas y metodologías

de mitigación de riesgos tanto enmarcados en políticas de seguridad como en configuraciones, aspectos técnicos y

modelos de desarrollo seguro.

Experiencia

El proveedor deberá demostrar experiencia en prueba de Ethical Hacking para esto deberá adjuntar a la propuesta

tres certificaciones de contratos realizados con entidades privadas o publicas que tengan por objeto realización de

pruebas de Ethical Hacking.

Equipo Humano

• El proveedor en su equipo de trabajo deberá contar mínimo con dos (2) ingenieros los cuales deben contar con la

siguiente experiencia y formación profesional:

• Deben tener como mínimo 8 años de experiencia certificada en Pestest

• Deben ser Especialistas en Seguridad Informática o de la Informacion

• Entre los dos Ingenieros deberán demostrar las siguientes certificaciones CEH, Auditor Interno ISO

27001:2013, CISM, CCNA.

Herramientas y Metodologías

• Se requiere conocer cuales serán las herramientas y metodologías para la ejecución de las pruebas.

ENTREGABLES

• Administrativos

• Acta de inicio del proyecto

• Acta de finalización del proyecto

• Acuerdos de confidencialidad debidamente firmados

• Informes

• Informe de Ethical Hacking: El informe deberá contar como mínimo con la siguiente información:

• Metodología de desarrollo de pruebas

• Problemas de seguridad encontrados priorizados por nivel de impacto

• Informe alineado con los requerimientos.

• Cuadro técnico con información recopilada de cada uno de los objetivos descritos.

• Evidencias de las intrusiones o ataques realizadas satisfactoriamente

• Evidencias de las intrusiones o ataques fallidas realizadas a los equipos estipulados en el alcance

del proyecto

• Hallazgos importantes de las intrusiones realizadas satisfactoriamente

• Métricas y Soporte de CVE

• Anexos de las pruebas

• Recomendaciones para cada una de las fallas encontradas alineados con estándares

internacionales

• Conclusiones

ENTREGABLES

• Informe Ejecutivo

• Sistemas evaluados durante el proyecto

• Resumen ejecutivo del nivel de riesgo al que está expuesto la compañía

• Recomendaciones generales y conclusiones

• Memorias y herramientas visuales utilizadas.

CONDICIONES DE CONVOCATORIA

1. La propuesta debe ser radicada en físico y en sobre sellado en la Av. Calle 26 No 69D-91, Torre1, Recepción primer piso, horario de

atención de 8:00 am a 12:00 pm y de 2:00 pm a 4:30 pm.

2. El sobre debe venir marcado, dirigido al proceso de Compras, especificando únicamente el numero de la convocatoria y nombre

del proveedor, de la siguiente forma:

3. Diligenciar el formulario y adjuntar los documentos solicitados como proveedor en el slide numero 11 y/o 12.

4. Las propuestas que no cumplan con las condiciones de la convocatoria, que lleguen por fuera de la fecha y horario estipulado no se

tendrán en cuenta para la selección del proveedor.

5. Se debe indicar en la propuesta cantidades, características técnicas, entregables, tiempo de entrega, valor antes de impuestos,

impuestos, forma de pago.

6. Se suscribirá contrato y el proveedor deberá expedir y asumir las garantías necesarias para el desarrollo del objeto

contractual.

7. La radicación de su propuesta no se entenderá como una obligación para contratar el producto y/o servicio solicitado en la

presente convocatoria.

8. En caso de no ser seleccionado será notificado en un tiempo aproximado de 30 días después de cerrada la convocatoria.

DOCUMENTOS PROVEEDORES

ANTIGUOS

ACTUALIZACIÓN DE DOCUMENTOS PROVEEDORES ANTIGUOS

Persona Natural Persona Jurídica

Formulario conocimiento del cliente externo –

proveedor (adjunto por correo).


proveedor (adjunto por correo).

Fotocopia cédula de ciudadanía de

representante.

Fotocopia de cédula de ciudadanía de

representante legal.

Rut con fecha 2021 o fecha generación

documento 2021


documento 2021

Pago de seguridad Social . Certificado de existencia y representación legal

(no superior a 30 días de su fecha de expedición).

Referencia Bancaria 2021

Si ya actualizo documentos en el presente año o los envió para participaren otra convocatoria del 2021, no es necesario radicarlos nuevamente.

DOCUMENTOS VINCULACIÓN DE PROVEEDORES

NUEVOS

DOCUMENTOS PARA VINCULACIÓN DE PROVEEDORES NUEVOS

Persona Natural Persona Jurídica


proveedor (ver adjunto)


proveedor (ver adjunto)

Fotocopia cédula de ciudadanía de representante Fotocopia de cédula de ciudadanía de

representante legal.


documento 2021


documento 2021

2 Referencias Comerciales como proveedor de

pruebas Ethical Hacking.

Certificado de existencia y representación legal

(no superior a 30 días).

Pago de seguridad Social 2 Referencias Comerciales como proveedor de

pruebas Ethical Hacking.

Referencia Bancaria 2021

Estados Financieros último año

Si ya actualizo documentos en el presente año o los envió para participar en otra convocatoriadel 2021, no es necesario radicarlos nuevamente.

¡MUCHAS GRACIAS!

somos el grupo transaccional lÍder en el sector

Documents