somos el grupo transaccional lÍder en el sector
TRANSCRIPT
SOMOS EL GRUPO TRANSACCIONAL
LÍDER EN EL SECTOR MULTISERVICIOS DE LA REGIÓN CÁPITAL
CONVOCATORIA No. 374
PRUEBAS ETHICAL HACKING
CONVOCATORIA
Fecha de apertura: 19/07/2021
Fecha de cierre: 26/07/2021
Hora de cierre: 03:00 pm
El Grupo Empresarial en Línea S.A. – Gelsa, es una compañía que, gracias a sus más de 17 años de experiencia, es
líder en redes transaccionales. Actualmente cuenta con la adjudicación, por parte de la Lotería de Bogotá, de la
concesión para la explotación y operación de las apuestas permanentes en la región capital y el Departamento de
Cundinamarca
PAGA TODO es la marca comercial mediante la cual opera Gelsa como red multiservicios, ofreciendo su portafolio de
servicios transaccionales (que incluye giros, pines, recargas, corresponsalía bancaria, Soat digital, pagos y recaudos,
entre otros) y de juegos de suerte y azar (Chance, Súper Astro, Paga Millonario, Baloto, BetPlay y las diferentes loterías
del nivel nacional en la modalidad tradicional y en línea), llegando a todas las localidades de Bogotá y a los 116
municipios de Cundinamarca.
Los invita a participar para cotizar Pruebas Ethical Hacking de acuerdo a las especificaciones relacionadas a
continuación:
REQUERIMIENTO
PROCESO: DATACENTER – Seguridad Informática Prueba Ethical Hacking Interna.
SOLICITUD: Realizar la prueba de Ethical Hacking a la infraestructura Core Transaccional
CANTIDAD: 1 Prueba de Ethical Hacking a la infraestructura Core Transaccional de acuerdo al detalle
de los servidores y aplicaciones expuestos.
Tiempo de Ejecución: 1 Mes
OBJETIVOS ESPECIFICOS
• Identificar riesgos, vulnerabilidades o fallas de seguridad sobre los servicios de la organización desde
una perspectiva externa sin privilegios o acceso a las aplicaciones o tecnologías que soportan los
servicios.
• Identificar riesgos, vulnerabilidades o fallas de seguridad sobre los servicios de la organización desde
una perspectiva externa e interna con un usuario válido, de bajos privilegios, de las aplicaciones web.
• Generar recomendaciones para mitigar los fallos o vulnerabilidades encontrados acorde con los
lineamientos del negocio y con base en más altos estándares de seguridad y generar un plan de
trabajo para la mitigación de los riesgos encontrados.
OBJETIVOS DE ATAQUE
• El proveedor deber realizar prueba de Etchical Hacking a la infraestructura que se detalla a continuación teniendo
en cuenta el tipo de prueba.
ESPECIFIQUE EL OBJETIVO CANTIDAD TIPO OBSERVACION
Servidor (SIVEM) 4 Caja Gris
Aplicación Web (SIVEM) 4 Caja Gris
Servidor (SIACH) 4 Caja Gris
Aplicación Cliente/servidor (SIACH) 4 Caja Gris
Servidor (PAGA MILLONARIO) 4 Caja Gris
Servidor WEB (PAGA MILLONARIO) 4 Caja Gris
Firewall Perimetral 2 Caja Gris
Servidores Base de Datos 2 Caja Gris
Visita Física en Caja 1 Caja Gris
Visita Física en Punto de Venta 1 Caja Gris
Servidor (Billetera) 1 Caja Gris
Aplicación Web (Billetera) 1 Caja Gris Primero se debe ejecutar el Caja
Negra y luego Caja Gris
sucursalvirtual.pagatodo.com.coAplicación Web (Billetera)1
Caja Negra
Aplicación Móvil (App móvil)
1
Caja Gris
Primero se debe ejecutar el Caja
Negra y luego Caja Gris
sucursalvirtual.pagatodo.com.co
Aplicación Móvil (App móvil)1
Caja Negra
CARACTERISTICAS TECNICAS
• Identificar y enumerar los servicios y aplicaciones que soportan o están involucrado en las aplicaciones.
• Identificar malas prácticas en cuanto a la configuración y despliegue del servicio (Fuerza bruta, uso de servicios
sin autenticación, descubrimiento de parámetros y servicios, permisos de archivos, canales de comunicación, etc).
• Analizar fallas o vulnerabilidades sobre la aplicación o los servicios que la soportan (SQL injection, RFI,
DataFuzzing, Buffer overflows, authentication bypass, Integer overflow, hCOLOMBIA overflow, corrupción de
memoria, descarga ilegítica de archivos, inyección de comandos, etc.).
• Verificar los mecanismos de seguridad horizontales y verticales (suplantación de identidad y elevación de
privilegios)
• Envenenamiento de protocolos o malformación de consultas orientadas a la explotación de la aplicación u otros
servicios explotables por medio de la aplicación.
• Realizar ataques a nivel de red sobre los cuales estén presentes uno o más activos e involucren uno o más
servicios (DNS Poisson, APR, ICMP rerouting, etc).
• Pruebas de denegación de servicio (a nivel de Red, aplicación, servicio)
• El proveedor una vez realizada la prueba de Ethical Hacking deberá realizar la respectiva prueba de Re-test
• Las pruebas realizadas deberán cumplir con las metodologías y guías.
• OSSTMM Versión 4
• PTES - PENETRATIOS TESTING Versión 2
• OWASP Versión 4 - Open Web Application Security Project
CARACTERISTICAS TECNICAS
Transferencia de conocimiento
A medida que se realicen las pruebas de seguridad, se debe realizar un proceso de transferencia de conocimiento
con los encargados de las aplicaciones tanto a nivel operativo como administrativo en cuanto a las metodologías de
análisis de vulnerabilidades utilizadas, detalles de funcionamiento de las vulnerabilidades encontradas y metodologías
de mitigación de riesgos tanto enmarcados en políticas de seguridad como en configuraciones, aspectos técnicos y
modelos de desarrollo seguro.
Experiencia
El proveedor deberá demostrar experiencia en prueba de Ethical Hacking para esto deberá adjuntar a la propuesta
tres certificaciones de contratos realizados con entidades privadas o publicas que tengan por objeto realización de
pruebas de Ethical Hacking.
Equipo Humano
• El proveedor en su equipo de trabajo deberá contar mínimo con dos (2) ingenieros los cuales deben contar con la
siguiente experiencia y formación profesional:
• Deben tener como mínimo 8 años de experiencia certificada en Pestest
• Deben ser Especialistas en Seguridad Informática o de la Informacion
• Entre los dos Ingenieros deberán demostrar las siguientes certificaciones CEH, Auditor Interno ISO
27001:2013, CISM, CCNA.
Herramientas y Metodologías
• Se requiere conocer cuales serán las herramientas y metodologías para la ejecución de las pruebas.
ENTREGABLES
• Administrativos
• Acta de inicio del proyecto
• Acta de finalización del proyecto
• Acuerdos de confidencialidad debidamente firmados
• Informes
• Informe de Ethical Hacking: El informe deberá contar como mínimo con la siguiente información:
• Metodología de desarrollo de pruebas
• Problemas de seguridad encontrados priorizados por nivel de impacto
• Informe alineado con los requerimientos.
• Cuadro técnico con información recopilada de cada uno de los objetivos descritos.
• Evidencias de las intrusiones o ataques realizadas satisfactoriamente
• Evidencias de las intrusiones o ataques fallidas realizadas a los equipos estipulados en el alcance
del proyecto
• Hallazgos importantes de las intrusiones realizadas satisfactoriamente
• Métricas y Soporte de CVE
• Anexos de las pruebas
• Recomendaciones para cada una de las fallas encontradas alineados con estándares
internacionales
• Conclusiones
ENTREGABLES
• Informe Ejecutivo
• Sistemas evaluados durante el proyecto
• Resumen ejecutivo del nivel de riesgo al que está expuesto la compañía
• Recomendaciones generales y conclusiones
• Memorias y herramientas visuales utilizadas.
CONDICIONES DE CONVOCATORIA
1. La propuesta debe ser radicada en físico y en sobre sellado en la Av. Calle 26 No 69D-91, Torre1, Recepción primer piso, horario de
atención de 8:00 am a 12:00 pm y de 2:00 pm a 4:30 pm.
2. El sobre debe venir marcado, dirigido al proceso de Compras, especificando únicamente el numero de la convocatoria y nombre
del proveedor, de la siguiente forma:
3. Diligenciar el formulario y adjuntar los documentos solicitados como proveedor en el slide numero 11 y/o 12.
4. Las propuestas que no cumplan con las condiciones de la convocatoria, que lleguen por fuera de la fecha y horario estipulado no se
tendrán en cuenta para la selección del proveedor.
5. Se debe indicar en la propuesta cantidades, características técnicas, entregables, tiempo de entrega, valor antes de impuestos,
impuestos, forma de pago.
6. Se suscribirá contrato y el proveedor deberá expedir y asumir las garantías necesarias para el desarrollo del objeto
contractual.
7. La radicación de su propuesta no se entenderá como una obligación para contratar el producto y/o servicio solicitado en la
presente convocatoria.
8. En caso de no ser seleccionado será notificado en un tiempo aproximado de 30 días después de cerrada la convocatoria.
DOCUMENTOS PROVEEDORES
ANTIGUOS
ACTUALIZACIÓN DE DOCUMENTOS PROVEEDORES ANTIGUOS
Persona Natural Persona Jurídica
Formulario conocimiento del cliente externo –
proveedor (adjunto por correo).
Formulario conocimiento del cliente externo –
proveedor (adjunto por correo).
Fotocopia cédula de ciudadanía de
representante.
Fotocopia de cédula de ciudadanía de
representante legal.
Rut con fecha 2021 o fecha generación
documento 2021
Rut con fecha 2021 o fecha generación
documento 2021
Pago de seguridad Social . Certificado de existencia y representación legal
(no superior a 30 días de su fecha de expedición).
Referencia Bancaria 2021
Si ya actualizo documentos en el presente año o los envió para participaren otra convocatoria del 2021, no es necesario radicarlos nuevamente.
DOCUMENTOS VINCULACIÓN DE PROVEEDORES
NUEVOS
DOCUMENTOS PARA VINCULACIÓN DE PROVEEDORES NUEVOS
Persona Natural Persona Jurídica
Formulario conocimiento del cliente externo –
proveedor (ver adjunto)
Formulario conocimiento del cliente externo –
proveedor (ver adjunto)
Fotocopia cédula de ciudadanía de representante Fotocopia de cédula de ciudadanía de
representante legal.
Rut con fecha 2021 o fecha generación
documento 2021
Rut con fecha 2021 o fecha generación
documento 2021
2 Referencias Comerciales como proveedor de
pruebas Ethical Hacking.
Certificado de existencia y representación legal
(no superior a 30 días).
Pago de seguridad Social 2 Referencias Comerciales como proveedor de
pruebas Ethical Hacking.
Referencia Bancaria 2021
Estados Financieros último año
Si ya actualizo documentos en el presente año o los envió para participar en otra convocatoriadel 2021, no es necesario radicarlos nuevamente.
¡MUCHAS GRACIAS!