Post on 18-Oct-2018
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 1 de 24
Términos de Referencia Solución Informática para la Gestión de Riesgo Crediticio
Contenido Marco Estratégico ................................................................................................................................................. 2
Producto Requerido ............................................................................................................................................. 2
I. Objeto ................................................................................................................................................................ 2
II. Alcance ............................................................................................................................................................ 3
III. Exclusiones del Proyecto ....................................................................................................................... 5
IV. Restricciones del Proyecto .................................................................................................................... 5
V. Supuestos del Proyecto ............................................................................................................................ 6
VI. Software ........................................................................................................................................................ 7
VII. Equipo de Trabajo ................................................................................................................................... 7
VIII. Capacitación para el uso del Software ............................................................................................ 8
IX. Documentación ........................................................................................................................................... 8
X. Transferencia Tecnológica ...................................................................................................................... 8
XI. Soporte Funcional y Técnico ................................................................................................................. 8
A. Primer Nivel de Soporte ...................................................................................................................... 9
B. Segundo Nivel de Soporte ................................................................................................................... 9
C. Soporte Virtual ........................................................................................................................................ 9
XII. Mantenimiento .......................................................................................................................................... 9
XIII. Garantía de los Bienes ........................................................................................................................ 10
XIV. Plazos y Entregables ............................................................................................................................ 11
XV. Criterios de Aceptación del Producto y de los Servicios ........................................................ 15
XVI. Esquema de Pagos ................................................................................................................................ 16
XVII. Anexo I: Especificaciones Funcionales y Tecnológicas ........................................................ 18
A. Especificaciones Funcionales .......................................................................................................... 18
B. Especificaciones Tecnológicas ........................................................................................................ 19
XVIII. Anexo II. Mejores Prácticas en Seguridad Informática / Requisitos de Seguridad
para el Desarrollo y/o adquisición de aplicaciones. ........................................................................ 21
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 2 de 24
Marco Estraté gico Durante los últimos años la administración de riesgos se ha caracterizado por una creciente
sofisticación. Los lineamientos regulatorios en Argentina, en línea con los principios de
Basilea II, III y las disposiciones de gestión adoptadas como buenas prácticas de mercado
en el ámbito internacional, proponen un marco de suficiencia de capital enfatizando la
gestión del riesgo y fomentando mejoras continuas en la capacidad de los Bancos para
evaluar riesgos crediticios.
Los directivos de las entidades, junto a los supervisores deben estar satisfechos de que los
bancos y los grupos bancarios tengan implementado un proceso de administración del
riesgo crediticio (incluida la vigilancia del directorio y la alta gerencia) para identificar,
medir, monitorear y controlar, gestionar o mitigar todos los riesgos materialmente
importantes.
El Banco de Inversión y Comercio Exterior (BICE) es una entidad financiera regulada por el
Banco Central de la República Argentina, la cual a través de la Gerencia de Riesgos realiza la
evaluación del riesgo crediticio y evaluación de entidades financieras.
En el marco de estos objetivos, la Gerencia de Riesgos está en busca e identificación de
potenciales proveedores de un sistema de evaluación de riesgo crediticio.
Las nuevas exigencias del Banco Central de la República Argentina en relación a la aplicación
y exigencia de cumplimiento de las normas de Gobierno Societario y de Gestión de Riesgos,
sumado al crecimiento institucional del BICE y, del incremento en la magnitud de las
operaciones de la Gerencia de Riesgos, han generado la necesidad de optimizar los procesos
empleando sistemas que permitan mitigar el riesgo operativo y asistan, no solo en el cálculo
y análisis de las distintas variables que influyan en la operatoria diaria de la gerencia, sino
también en la automatización de procesos y consolidación de la información generada por
dichas operaciones de tal manera de utilizar el tiempo ahorrado en análisis que agreguen
valor a los informes crediticios. Todo esto, en una sola solución informática que consolide e
interactúe con el sistema core del Banco, ayudando así a reducir el riesgo operativo y
mejorar la eficiencia del área.
Para lograr esto, es necesaria la adquisición de un servicio de asesoramiento integral que
incluya la provisión de una solución informática para gestionar la evaluación de riesgo
crediticio de las operaciones/solicitudes crediticias, que pueda operar interconectado con
el sistema core del Banco, BANTOTAL, el cual se encuentra funcionando con los módulos de
Clientes, Riesgos, Depósitos e Inversiones, Garantías y Finanzas, como así también con
sistemas externos (Veraz, Nosis, etc.).
Producto Réquérido
I. Objeto Se requiere la adquisición de un servicio de asesoramiento integral que incluya la provisión
de una solución informática (en adelante un software) para gestionar la evaluación de riesgo
crediticio que acompañe la administración, el análisis y seguimiento de operaciones en la
materia.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 3 de 24
Adicionalmente se requieren todos los servicios vinculados para la implementación,
personalización, puesta en marcha, puesta a punto, soporte funcional y técnico,
capacitación, provisión de documentación y mantenimiento.
II. Alcance
A continuación, se detalla el desglose mínimo requerido de la estructura de trabajo del
proyecto:
EDT1 Paquetes de Trabajo
Inicio del Proyecto
Actividades preparatorias
Capacitación orientada al análisis de brechas
Desarrollo del plan de trabajo utilizando metodologías ágiles
Diagnóstico, Análisis y Diseño
Documentación de los requerimientos de negocio, funcionales, no funcionales y técnicos de alto nivel.
Análisis de brechas funcionales y técnicas y diseño de los sprints
Planificación de los sprints
Definición del tipo de integración con BANTOTAL y otros sistemas
Plan de aceptación de pruebas (aseguramiento de la calidad)
Implementación
Desarrollo, configuración y parametrización en detalle de los requerimientos de negocio, funcionales, no funcionales y técnicos.
Desarrollo de la integración con BANTOTAL y sistemas externos2 (VERAZ, NOSIS, otros)
Ejecución del plan de aceptación de pruebas
Migración inicial de datos
Servicio de capacitación
Provisión de documentación
Provisión de las licencias de uso perpetuo del software de aplicación.
Pilotos
Planificación y ejecución de pilotos
Evaluación del funcionamiento de / de los piloto/s
Ajustes, refinamiento, readecuación, reconfiguración, recambio de parámetros, ajuste de la documentación y recapacitación fruto de los resultados de la ejecución de los pilotos.
Aseguramiento de la calidad
Puesta en Producción Actividades de cierre
Puesta en producción final
Soporte y Mantenimiento (Implementación y Post – Producción)
Help Desk para consultas
Primer y segundo nivel de soporte
Soporte virtual
Mantenimiento correctivo, preventivo y evolutivo.
Las características y necesidades mínimas que deberán ser cubiertas por el software son:
1 Estructura Desglosada de Trabajo 2 La lista de sistemas externos es referencial. Se podrán aumentar o sustituir sistemas de acuerdo a las necesidades del banco, lo cual será informado y acordado con la compañía consultora ganadora durante la creación del plan de trabajo para el proyecto. La compañía consultora ganadora deberá proponer al banco cual es la mejor forma de integración y conexión con estos sistemas externos.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 4 de 24
Impléméntación dé las funcionalidadés déscriptas én él anéxo “Espécificacionés
Funcionalés y Técnológicas”.
El software deberá contar con capacidades de gestión multiempresa en una misma instancia de datos, permitiendo configurar el acceso de roles de usuarios de cada empresa con perfiles de seguridad que permitan la gestión de las mismas en forma diferenciada. Estrategia de implementación multiempresa:
o Configuración de los entornos de gestión por diferentes unidades de negocios del BICE, por ejemplo, un entorno para operaciones propias del BICE como banco, otro entorno para operaciones de Fideicomisos, etc.
o Existencia de una entidad / usuario de nivel superior capaz de gestionar / visualizar la operación conjunta del BICE y sus diferentes unidades de negocio.
Cumplimiento de las mejores prácticas en lo relativo a los lineamientos de seguridad
informáticas, incluidas én él anéxo “Méjorés Prácticas én Séguridad Informática”
cuando sean aplicables por el tipo de solución propuesta.
Las características y necesidades mínimas que deberán ser cubiertas por el proyecto son:
Desarrollo de integración con BANTOTAL y otros sistemas internos:
o BANTOTAL (core banking del BICE). Esta integración deberá realizarse
preferentemente vía web services. El equipo del proyecto de la consultora
deberá trabajar con el equipo de desarrollo de la Gerencia de Informática
del BICE, que atiende los desarrollos e integraciones con BANTOTAL, para
que estos últimos puedan desarrollar y/o adecuar los servicios existentes, o
los protocolos de comunicación.
Integración y provisión o desarrollo de las siguientes interfaces con los siguientes
sistemas externos3, integrándose a través de Web Services, API´s u otras formas
estándares de integración:
o Bureau de créditos (online)
NOSIS
VERAZ
o Data Warehouse del BICE (herramientas de Microsoft SQL 2016)
o CRM Microsoft Dynamics 365
o Software de Riesgo Integral
o Software de otros sectores o unidades de negocio: Fideicomisos, Leasing y
Factoring.
Migración inicial de datos.
o Deberá contar con herramientas de importación de información que
permitan la carga automática de los datos actuales que contiene el aplicativo
3 La lista de sistemas externos es referencial. Se podrán aumentar o sustituir sistemas de acuerdo a las necesidades del banco, lo cual será informado y acordado con la compañía consultora ganadora durante la creación del plan de trabajo para el proyecto. La forma de conexión descripta para cada sistema externo también es referencial y la compañía consultora ganadora deberá proponer al banco cuál es la mejor forma de integración y conexión con estos sistemas externos.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 5 de 24
de Riesgo Crediticio que BICE utiliza actualmente (son datos de Balance,
ventas y deudas de cada cliente crediticio del BICE).
o También deberá disponer de la habilidad de importar/exportar de manera
online u offline a través de archivos de texto, hojas de cálculo, ODBC, API´s y
Web Services.
Soporte y Mantenimiento
o Proveer soporte durante el proyecto de implementación.
o Proveer los servicios de soporte y mantenimiento un año inmediatamente
posterior a la puesta en producción de la solución final.
III. Exclusiones del Proyecto No se requerirá la provisión de los siguientes bienes y servicios:
Provisión del hardware necesario para la implementación de los distintos entornos
tecnológicos de desarrollo, prueba, capacitación y producción.
Provisión de los sistemas operativos.
Provisión del software de BBDD.
Administración de los sistemas operativos.
Administración de la BBDD.
Storage para el almacenamiento de los datos.
Algoritmos y codificación de los programas de extracción de datos del sistema
BANTOTAL para la generación de los archivos de migración de datos.
Para las tareas de instalación de los servidores y administración de sistemas operativos
y de base, la consultora deberá colaborar, asesorar y/o especificar el tipo de hardware,
software y sus requerimientos para que la solución funcione adecuadamente.
Adicionalmente deberá colaborar, asesorar y/o especificar el tipo de datos a ser
extraídos de los sistemas para la generación de los archivos de migración de datos.
IV. Restricciones del Proyecto
El proyecto deberá dar cabal cumplimiento a los siguientes aspectos normativos
actualmente en vigencia o, los que eventualmente los reemplacen o complementen:
o Comunicación “A” 4609 dél BCRA
o Comunicación “A” 6354 dél BCRA
o Ley 25.326 de Protección de Datos Personales
La consultora y todo su personal involucrado, excepto previo consentimiento por
escrito del BICE, no podrán revelar en ningún momento a cualquier persona o
entidad ninguna información confidencial adquirida en el curso de la prestación de
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 6 de 24
los servicios; ni la consultora ni su personal podrán publicar las recomendaciones
formuladas en el curso de, o como resultado de la prestación de los servicios.
V. Supuestos del Proyecto
Los lugares de desarrollo del proyecto serán las instalaciones del BICE. No obstante,
si así lo requiriese, el BICE podrá solicitar que las reuniones que deban realizarse
para las distintas actividades previstas en el proyecto, sean realizadas en la/s
dependencia/s de la consultora, previo consenso.
El BICE pondrá a disposición del proyecto un Project Manager para el seguimiento,
el aseguramiento de la calidad y el cumplimiento de los plazos establecidos en el
proyecto, quien será el interlocutor con el Gerente de Proyecto por parte de la
consultora
El BICE pondrá a disposición personal como contraparte del proyecto.
Oportunamente, en la propuesta a presentar, la consultora deberá sugerir a su mejor
saber y entender, las necesidades de roles y perfiles de los miembros del equipo que
considere apropiado para el desarrollo del proyecto. De esta manera, junto con el
Project Manager del BICE, se configurará el equipo del proyecto más apropiado para
su ejecución.
Se configurará una estructura de PMO para este proyecto que será integrada y
liderada por el Project Manager del BICE.
En lo referido a los diferentes entornos tecnológicos donde será instalado el
software de aplicación provisto por la consultora (desarrollo, pruebas, capacitación
y producción), la instalación del software de base (servidores de aplicación y de base
de datos y otros componentes de software de ser necesarios) estará a cargo del
personal del BICE. No obstante, la consultora deberá participar activamente en
dicha tarea, asesorando y recomendando acerca de las características particulares
que podrían necesitar dichas tareas para el correcto funcionamiento del software de
aplicación provisto por ella.
En lo referido al aseguramiento de la calidad, el BICE cuenta con un sector dentro
de la Gerencia de Informática cuya función es homologar las configuraciones,
parametrizaciones y desarrollos técnicos que se realicen a todos los proyectos y
desarrollos de software de aplicación. El BICE aportará al proyecto dicha estructura
para realizar la homologación de las configuraciones, parametrizaciones y
desarrollos que se realizarán al software de aplicación que será provisto por la
consultora para la implementación de este proyecto. Será quién realice un informe
no vinculante sobre las pruebas de los entregables del proyecto en función de los
resultados de los planes de aceptación. No obstante, la consultora deberá realizar
las mismas actividades de aseguramiento de la calidad, previo a la entrega al
personal del BICE para la ejecución de las homologaciones, con el objetivo de
eliminar tempranamente los problemas de calidad que puedan presentarse en las distintas etapas de pruebas (unitarias, de integración, de usuarios).
La responsabilidad de los algoritmos y codificación de los programas de extracción
de datos del sistema BANTOTAL para la generación de los archivos de migración de
datos será responsabilidad del BICE. No obstante, la consultora deberá participar
activamente en dicha tarea y será su responsabilidad la definición técnica de los
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 7 de 24
formatos de los archivos de migración para el BICE pueda generar los archivos con
los datos para las migraciones. También tendrá como responsabilidad la ejecución
de la migración de datos en el software de aplicación todas las veces que sean
necesarias, sean las iniciales o las incrementales.
Será obligación de quién resulte adjudicatario de los productos y servicios
requeridos, la completa y total observancia de los Estándares Tecnológicos dictados
por la Oficina Nacional de Tecnologías de Información (ONTI)4 y cumplir con los
estándares definidos en la reglamentación del decreto 87/2017 del Ministerio de
Modernización y con la Disposición 02/2014 de ONTI para la aplicación de las
Pautas de Accesibilidad Web 2.05.
En el supuesto que se descontinúe la relación contractual entre el BICE y la
consultora, esta última deberá entregar la totalidad de archivos de datos, bases de
datos, u otros archivos que se hayan generado en el marco de la relación contractual.
Asimismo, la consultora no podrá usar, conservar, divulgar o reproducir ningún
dato del BICE ni cualquier otra información relacionada que se encuentren en sus
sistemas informáticos o medios de almacenamiento que haya utilizado para llevar a
cabo la implementación del proyecto.
VI. Software
Los oferentes deberán proveer las licencias perpetuas de uso para 32 (TREINTA Y DOS)
usuarios del software.
Las mismas se distribuyen en los siguientes tipos:
Administradores: 2 (DOS)
Usuarios finales: 30 (TREINTA)
El código fuente del software deberá ser provisto en modalidad ESCROW6.
VII. Equipo de Trabajo
La consultora deberá estar preparada para conformar un equipo de trabajo integrado por,
al menos, los siguientes roles técnico - operativos:
o Gerente de Proyecto.
o Analista Funcional
o Desarrolladores - Funcionales.
o Arquitecto de Sistemas.
o Desarrolladores - Técnicos.
o Capacitadores.
4 https://www.argentina.gob.ar/modernizacion/estandarestecnologicos 5 http://servicios.infoleg.gob.ar/infolegInternet/anexos/230000-234999/233667/norma.htm 6 Los códigos fuentes solicitados bajo esta modalidad son los que corresponden a las parametrizaciones y/o adaptaciones involucradas en la contratación y no los propios del software específico. El BICE cuenta con un servicio de ESCROW en AdeA, que utilizará para el alojamiento de dichos códigos fuentes.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 8 de 24
VIII. Capacitación para el uso del Software
La capacitación en el uso de Software que deberá proveer la firma consultora se realizará
en las oficinas del BICE, o aquellas que éste facilite y será destinada a:
A los usuarios clave. Orientada a que el BICE, a través del personal técnico y el área
dueña del producto/proceso, pueda analizar las brechas de funcionalidad existentes
entre el software propuesto y las funcionalidades requeridas detalladas en el anexo
“Espécificaciones Funcionales y Tecnológicas”.
A los administradores y usuarios finales. Capacitación funcional y técnica,
orientada a que el personal del BICE pueda operar, configurar, modificar y mantener
el software convenientemente.
Al personal técnico. Orientada a las personas a cargo de mantener las
integraciones entre los sistemas internos y externos.
Al personal de Mesa de Ayuda. Orientada a que el BICE brinde el soporte funcional
y técnico de primer nivel.
El número de personas a capacitar será de aproximadamente 30 (TREINTA) y la duración
no deberá superar los 15 (QUINCE) días.
IX. Documentación La consultora proveerá, al momento previsto en el Punto XIV Plazos y Entregables – Etapa
de Implementación del presente documento, lo siguiente:
Manuales de usuarios finales en formato electrónico (archivos informáticos).
Manuales de usuarios técnicos en formato electrónico (archivos informáticos),
incluyendo todos los detalles de las integraciones realizadas, el tipo de integración,
la seguridad informática y los protocolos de comunicaciones.
Adaptación de los manuales de usuarios finales y/o técnicos, como consecuencia de
las modificaciones, configuraciones y parametrizaciones realizadas durante el
proyecto de implementación.
X. Transferencia Tecnológica
Durante la ejecución de los trabajos de implementación del proyecto, la consultora deberá
facilitar al grupo informático del BICE designado para el seguimiento y conocimiento del
mismo, la información y documentación que estos soliciten para disponer del pleno
conocimiento de las circunstancias en que se desarrollan los trabajos, así como de
eventuales problemas que puedan plantearse.
XI. Soporte Funcional y Técnico
La consultora deberá brindar un sistema de help desk para la atención inmediata de
consultas (que podrán formularse por teléfono, web, correo electrónico o mensajería
instantánea) referidas a cualquiera de los módulos de la solución.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 9 de 24
Tipo de incidencias. Las incidencias que se reporten serán clasificadas por el
técnico que efectúe la comunicación al servicio de help desk en los siguientes niveles:
o Muy graves. Aquellas que afectan al funcionamiento de alguna parte de la
solución en producción, impidiendo su normal utilización y/o funcionalidad.
Tiempo de respuesta: 2 h.
o Graves. Aquellas que no paralizan el funcionamiento de la solución, pero
pueden derivar en muy graves a corto plazo. Tiempo de respuesta: 4 h.
o Leves. Afectan al uso de la solución en producción sin paralizar su
funcionamiento. Tiempo de respuesta: 8 h.
Cuando no sea posible la reproducción del problema en las oficinas del BICE o en
las ubicaciones de la consultora y sea requerido el desplazamiento del personal
técnico a las oficinas del BICE, dicho desplazamiento estará a cargo de aquella.
Tiempo de respuesta. Se entenderá por tiempo de respuesta el intervalo dentro
del cual el servicio de soporte técnico de la consultora comienza a trabajar con la
incidencia reportada por cualquiera de los canales disponibles de acceso.
Atención semanal: de 9:45 a 17:45 h días laborables.
Las consultas incluirán el reporte para la verificación y análisis de errores para
ayudar a determinar el origen de estos, así como la resolución de dudas de carácter
puntual relativas a funcionalidades y características propias de los módulos.
Todas las tareas y/o actividades tendientes a resolver un problema de soporte deberán ser
realizadas por la consultora, toda vez que la causa originaria fuese un problema claramente
atribuible únicamente al software y/o a los servicios provistos por la consultora. Caso
contrario, serán de resolución conjunta entre el personal de la consultora y el BICE.
A. Primer Nivel de Soporte
Servicio de asistencia funcional y técnica de las consultas más habituales del uso del
software.
B. Segundo Nivel de Soporte
Servicio de asistencia funcional y técnica de la solución implementada en el BICE, siempre
y cuando no pueda ser resuelta por el primer nivel de soporte.
C. Soporte Virtual
Plataforma en tiempo real disponible 24 h, 7 días a la semana, los 365 días del año accesible
vía web para el reporte de incidentes y consultas. Dicha plataforma entregará un número
de reclamo para el tratamiento de las incidencias según la clasificación anteriormente
explicitadas. Así mismo deberá contar con una base de conocimientos (Knowledge Base) en
donde existan casos de incidencias resueltos a fin de resolver las consultas y/o incidentes
de una manera ágil y eficiente, reduciendo así los tiempos de demora en la resolución de los
casos de soporte más comunes y frecuentes.
XII. Mantenimiento Las consultoras deberán contar con capacidad para proveer un servicio de mantenimiento
que cubra los siguientes aspectos:
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 10 de 24
Correctivo. Corrécción dé érrorés, (comúnménté dénominados “bugs”) que puedan
presentarse en la operatoria de la solución propuesta e impidan su funcionamiento
normal. El tratamiento para la solución de este tipo de mantenimiento será igual al
especificado para el soporte de segundo nivel y soporte virtual.
Preventivo. En este tipo de mantenimiento se englobarán todas aquellas tareas
tendientes a mitigar la aparición de problemas en el uso de la aplicación en
conocimiento de una alta probabilidad de aparición. Ejemplo de ello son las nuevas
tecnologías del software de base o los planes de migración programadas de software
vinculado a la solución provista.
Evolutivo. Corresponde a todas las mejoras funcionales y técnicas provistas por las
nuevas versiones, releases, actualizaciones, upgrades, parches, hot fixes, etc., como
así también los cambios devenidos de la legislación argentina en lo relacionado con
los aspectos regulatorios o de los organismos de control involucrados, en lo que
impacte al tratamiento de la funcionalidad del software provisto.
Todas las tareas y/o actividades de análisis, diseño y desarrollo o de actualización o de la
solución ofrecida tendientes a resolver un problema devenido de un mantenimiento
correctivo, preventivo o evolutivo, deberá ser realizada por la consultora.
La consultora deberá incluir un cronograma previsto de releases, parches, hot fixes,
actualizaciones o nuevas versiones, que pudieran aplicar al tiempo en que esté prevista la
implementación del proyecto y durante la post-implementación, junto con la metodología a
aplicar para estas actualizaciones durante dichos lapsos de tiempo.
XIII. Garantía de los Bienes
La firma adjudicataria garantizará que todos los bienes y servicios de parametrización,
configuración o personalización, suministrados en virtud del contrato que sea conformado
estarán libres de defectos atribuibles al diseño, los materiales, o la confección, o a cualquier
acto u omisión del oferente que pudiera manifestarse en ocasión del uso normal de los
bienes y servicios en las condiciones imperantes en el país.
Los bienes deberán poseer un período de garantía desde la fecha de recepción de los mismos
en el lugar de entrega estipulado.
El BICE notificará de inmediato y por escrito al proveedor cualquier reclamación a que
hubiere lugar con arreglo a la garantía y el proveedor reparará o reemplazará los bienes
defectuosos en todo o en parte, sin costo para el BICE, dentro del plazo máximo de 5 (CINCO)
días hábiles de notificada la reclamación.
Se entiende por período de garantía al espacio de tiempo que va desde la fecha de puesta en
producción del proyecto hasta 12 (DOCE) meses calendario inmediatos, consecutivos y
posteriores a la misma.
Durante dicho período, el oferente deberá corregir y enmendar todos los defectos y/o vicios
ocultos que pudieran aparecer fruto de la operación en producción de los productos y
servicios homologados, diligenciando rápidamente las acciones necesarias para garantizar
el correcto funcionamiento de las partes de la solución implementada que no funcionen
correctamente o conforme se hayan requerido.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 11 de 24
XIV. Plazos y Entregables
El plazo de tiempo propuesto para el proyecto de implementación no deberá superar los 9
(NUEVE) meses calendario.
El plazo de tiempo propuesto para el Mantenimiento Post-Producción deberá ser de 12
(DOCE) meses consecutivos, iniciando el mes de la puesta en producción final.
La fecha de inicio efectiva de las tareas del proyecto será como máximo hasta 2 (DOS)
semanas posteriores a la fecha de firma del contrato.
A continuación, se listan las tareas mínimas esperadas asociadas al proyecto:
Etapas / sub etapas Tareas Plazos
Estimados7
Inicio del Proyecto
Conformación del equipo y del Comité Directivo del proyecto
½ mes Disponer las licencias provisionales del software para el desarrollo del proyecto
Kick off del proyecto
Capacitación en detalle, orientada al análisis de brechas, de los aspectos funcionales y técnicos del software.
½ mes
Elaboración del documento global de especificaciones de software, que incluye:
Back log de todas las especificaciones de alto nivel de negocio, funcionales, no funcionales y técnicas que serán implementadas en el proyecto.
Funcionalidad y aspectos técnicos que serán impléméntados “as is” (talés como son provistas por él software de aplicación).
Diseño de las implementaciones y sus formas de resolución, parametrizaciones, configuraciones, otras formas.
Priorización de brechas funcionales y técnicas y las formas de resolución.
Diseño del plan de integración con BANTOTAL y otras aplicaciones externas (VERAZ, NOSIS, otras), indicando tipo, forma, estrategia de integración y demás especificaciones técnicas.
Determinación del número de incrementales (releases) para ser implementadas mediante metodología ágil
7 Días y meses calendarios
Inicio del Proyecto
1 mes
Implementación
(Metodología Ágil)
7,5 meses
Cierre del Proyecto
0,5 mes
Soporte y Mantenimiento
12 meses
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 12 de 24
Etapas / sub etapas Tareas Plazos
Estimados7
Elaboración del plan detallado de implementación del proyecto total
Imp
lem
en
taci
ón
Ág
il8 d
e l
os
incr
em
en
tale
s (r
elea
ses)
Análisis y diseño del incremental (release)
Selección de especificaciones de software para el incremental (release) en base al documento global de especificaciones de software.
7,5 meses
Planificación de los sprints del incremental (release)
Análisis de las brechas de los aspectos funcionales y técnicos del incremental (release)
Diseño de los sprints para ajustar las brechas
Elaboración del plan de aceptación de las pruebas del incremental (release) ATP9 (Acceptance Test Plan).
Implementación del incremental (release)
Ejecución de los sprints y tareas necesarias en un ambiente de desarrollo
Migración al ambiente de prueba
Ejecución del plan de aceptación de pruebas del incremental (release) (con regresión)
Elaboración de la documentación del incremental (release)
Capacitación del incremental (release)
Pilotos / Pre – Producción
Planificar el piloto (universo de datos, usuarios y cantidad de incrementales – releases involucrados)
Migración de datos al entorno de pre producción en función del piloto
Ejecución del piloto
En caso de necesidad y en función del resultado de la ejecución de los pilotos:
Readecuar, reconfigurar, reparametrizar, ajustar y/o refinar los incrementales (releases).
Ejecutar el plan de aceptación de pruebas (con regresión), homologar configuración, parametrización y desarrollos.
Readecuar la documentación
Recapacitar
Todo ello realizado en los respectivos entornos que correspondan.
Puesta en Producción del Piloto
Migración de datos total inherentes al piloto
Hito de puesta en producción
Cierre del Proyecto
Disponer las licencias definitivas de uso perpetuo del software de aplicación
½ mes Hito de puesta en producción final
Proveer el código fuente (modalidad ESCROW)
Hito de cierre del proyecto
8 La implementación ágil supone la entrega de módulos con capacidad de conformar una versión incremental del software con características funcionales útiles. 9 Documento que describe el alcance, una aproximación, recursos y agenda de las actividades de pruebas, considerando funcionalidades a ser probadas, las tareas de pruebas, el grado de independencia del que prueba, el entorno de pruebas, el diseño de las técnicas de prueba, los criterios de entradas y salidas que se usarán, la razón de las elecciones y el plan de contingencia para cualquier riesgo que lo requiera.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 13 de 24
Etapas / sub etapas Tareas Plazos
Estimados7
Soporte y Mantenimiento
Provisión del Soporte Funcional y Técnico, el mantenimiento correctivo, preventivo y evolutivo durante todo el proyecto de implementación.
De acuerdo a la
duración total del proyecto
Provisión del Soporte Funcional y Técnico, el mantenimiento correctivo, preventivo y evolutivo desde la puesta en producción final.
12 meses a partir del
hito de cierre del proyecto
A continuación, se listan los entregables mínimos esperados:
Inicio del Proyecto
o Documento con la conformación del equipo de proyecto y el Comité Ejecutivo
o Provisión de las licencias provisionales del software para el desarrollo del
proyecto
o Reunión de Kick Off del proyecto
o Usuarios clave capacitados en los aspectos funcionales y técnicos del
software de aplicación, con orientación al análisis de brechas.
o Documento global de especificaciones del software
o Informe con el plan detallado del proyecto de implementación total
Implementación Ágil de los Incrementales (releases)
o Análisis y Diseño del Incremental (release)
Documento con las especificaciones de software del incremental
(release)
Informe con el plan de trabajo del incremental (release) y
actividades de los sprints
Documento con el análisis, el diseño y la estrategia de
implementación de los aspectos funcionales y técnicos del
incremental (sprint) para cubrir las brechas identificadas en el
documento global de especificaciones del software
Documento ATP (Acceptance Test Plan) del incremental (release)
o Implementación del Incremental (release)
Incremental (release) disponible en los ambientes de desarrollo y
pruebas
Plan de pruebas ejecutado y homologado en base al documento ATP
(Acceptance Test Plan)
Documentación del incremental (release)
Recursos humanos capacitados en el incremental (release)
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 14 de 24
o Pilotos / Pre – Producción
Incrementales (releases) disponibles en el ambiente de pre –
producción
Datos migrados en el ambiente de pre – producción, aquellos
inherentes al piloto.
Los siguientes entregables sólo serán obligatorios en caso de que el
resultado de la ejecución de los pilotos no se ajuste a lo requerido y
serán requeridos por cada comportamiento que no se ajuste a las
necesidades prefijadas
Nuevos incrementales (releases) disponibles en los
ambientes de desarrollo y pruebas
Plan de pruebas ejecutado y homologado en base al
documento ATP (Acceptance Test Plan)
Documentación
Recursos humanos capacitados
Incrementales (releases) disponibles en el ambiente de
producción
Datos migrados en el ambiente de pre – producción, aquellos
inherentes al piloto.
Piloto homologado y aprobado
o Puesta en Producción del Piloto
Datos totales migrados en el ambiente de producción, aquellos
inherentes al piloto.
Cierre del Proyecto
o Entrega de las licencias definitivas de uso perpetuo del software de
aplicación
o Hito de puesta en producción final
o Depósito del código fuente en modalidad ESCROW
o Hito de cierre del proyecto
Otros entregables. Durante la implementación del proyecto se deberán cumplir con los
siguientes entregables los cuales serán solicitados mediante orden de servicio sin costo
adicional.
Se evaluará con el equipo de proyecto el momento oportuno para realizar estas
capacitaciones:
o Al personal de la Mesa de Ayuda del BICE para que el banco brinde el soporte
funcional y técnico de primer nivel.
o Al personal técnico y a los administradores del software de aplicación
provisto por la consultora. La capacitación técnica deberá incluir la forma en
la cual las integraciones con otros sistemas deben ser mantenidas por el
personal técnico del BICE.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 15 de 24
Información y documentación que sea requerida en el marco de la “Transferencia
Tecnológica del Proyecto”.
Todos los productos y/o artefactos de software parciales que sean puestos en producción
deberán contar con un período de aseguramiento de la estabilidad de su funcionamiento
durante al menos 10 (DIEZ) días a partir de la fecha en que son puestos en producción. En
este tiempo se realizarán correcciones de aquellas fallas que pudieran ocurrir fruto de la
interacción del nuevo producto en un ecosistema técnico diferente a la de las pruebas.
Durante este período se realizarán las modificaciones que sean pertinentes para estabilizar
el funcionamiento del nuevo producto.
XV. Criterios de Aceptación del Producto y de los Servicios
Para la aceptación de los entregables, la consultora deberá presentar en formato digital,
informes de avance, que contengan, según corresponda y aplique a las tareas realizadas,
como mínimo:
Una síntesis de los resultados alcanzados durante el período certificado de acuerdo
al plan de trabajo aprobado,
La metodología empleada, descripción de la forma en que el producto o servicio fue
desarrollado como ser la utilización de metodología de desarrollo rápido de
aplicaciones, tradicionales UML, RUP, prototipado u otras para el caso del desarrollo
de códigos de programación,
Una descripción de las tareas implementadas para la realización del entregable y de
tareas conexas necesarias para su implementación (ej. relevamientos de hardware,
software o procesos internos, entre otras)
La carga horaria utilizada,
El material empleado,
Para las configuraciones, parametrizaciones y desarrollo de sistemas informáticos,
la aceptación del plan de pruebas por BICE (ej. pruebas de usuario, pruebas técnicas
de integración entre otras),
Para las capacitaciones:
o los resultados de la misma, los asistentes, el temario y aquellos aspectos no
comprendidos por la audiencia que debieron ser tratados en posteriores
sesiones de capacitación y,
o en caso de haberse entregado material durante las capacitaciones, deberá
presentarse junto con el informe, ejemplar del mismo en formato digital,
Toda aquella información que se considere relevante.
Finalmente, la consultora deberá entregar un informe final detallado de cada actividad
realizada, que contenga los resultados obtenidos de cada uno de ellos.
La aceptación definitiva del (de los) producto(s) se hará efectiva luego del funcionamiento
continuo sin inconvenientes por el lapso de tiempo de 240 h.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 16 de 24
XVI. Esquema de Pagos Se prevé que los pagos se realizarán de la siguiente manera:
Las licencias se pagarán contra entrega de las licencias definitivas de uso perpetuo
del software de aplicación
El Soporte y Mantenimiento deberá brindarse sin costo durante el proyecto de
implementación sobre las licencias provisionales del software
El Soporte y Mantenimiento Post-Producción se comenzará a pagar a mes vencido,
luego del hito de cierre del proyecto.
El proyecto de implementación se pagará según el siguiente esquema:
Etapas / Sub etapas Entregables % de Pago
Inicio del Proyecto
Documento con la conformación del equipo de proyecto y el Comité Ejecutivo
15%
Provisión de licencias provisionales del software para el desarrollo del proyecto
Kick Off del proyecto
Usuarios clave capacitados en los aspectos funcionales y técnicos del software de aplicación, con orientación al análisis de brechas.
Documento global de especificaciones del software
Informe con el plan detallado del proyecto de implementación total
Imp
lem
en
taci
ón
Ág
il1
0 d
e l
os
incr
em
en
tale
s (r
elea
ses)
Análisis y Diseño del Incremental (release)
Documento con las especificaciones de software del incremental (release)
1° Release:
20%
2° Release:
20%
Informe con el plan de trabajo del incremental (release) y actividades de los sprints
Documento con el análisis, el diseño y la estrategia de implementación de los aspectos funcionales y técnicos del incremental (sprint) para cubrir las brechas identificadas en el documento global de especificaciones del software
Documento ATP (Acceptance Test Plan) del incremental (release).
10 La implementación ágil supone la entrega de módulos con capacidad de conformar una versión incremental del software con características funcionales útiles.
Inicio del Proyecto
15%
Implementación
(Metodología Ágil)
75%
Cierre
10%
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 17 de 24
Etapas / Sub etapas Entregables % de Pago
Implementación del Incremental (release)
Incremental (release) disponible en los ambientes de desarrollo y pruebas
3° Release:
15%
4° Release:
20%
Plan de pruebas ejecutado y homologado en base al documento ATP (Acceptance Test Plan)
Documentación del incremental (release)
Recursos humanos capacitados en el incremental (release)
Pilotos / Pre – Producción
Incrementales (releases) disponibles en el ambiente de pre – producción
Datos migrados en el ambiente de pre – producción, aquellos inherentes al piloto.
Piloto homologado y aprobado
Puesta en Producción del Piloto
Datos totales migrados en el ambiente de producción, aquellos inherentes al piloto.
Cierre del Proyecto
Entrega de las licencias definitivas de uso perpetuo del software de aplicación
10% Hito de puesta en producción final
Depósito del código fuente en modalidad ESCROW
Hito de cierre del proyecto
Soporte y Mantenimiento Certificación de la provisión del servicio de Soporte Funcional y Técnico, mantenimiento correctivo, preventivo y evolutivo.
12 pagos idénticos
El pago de cada Release tendrá al menos un mes de diferencia cada uno, no pudiendo
superponerse.
Para el pago de cada Release deberán estar todos los entregables aprobados. Cada etapa de
desarrollo debe documentarse con un informe detallado que contenga los productos
estipulados y su respectivo avance siguiendo los lineamientos incluidos en el apartado
“Critérios dé Acéptación dél Producto y dé los Sérvicios”. Los pagos estarán supeditados a
la aprobación por parte del BICE de los informes presentados por la consultora.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 18 de 24
XVII. Anexo I: Especificaciones Funcionales y Tecnológicas
A continuación, se detallan los requisitos técnicos (especificaciones funcionales y
tecnológicas) que las consultoras deberán garantizar su provisión en el software. Durante el
proceso de evaluación de las propuestas, el BICE podrá solicitar a las consultoras
documentos u otros medios de verificación que permitan comprobar el cumplimiento de
estos requisitos declarados como cubiertos.
A. Especificaciones Funcionales
Prestación Detalle de la Prestación
# Origen
1 Generales
Etapas: que permita definir diferentes procesos de crédito de acuerdo al tipo de requerimiento crediticio, contemplando en esto el tipo de operación, garantía, segmentos, industrias.
Que se pueda contemplar el uso de diferentes templates, sea para el análisis de entidades financieras como empresas corporativas y Pymes. Permita segmentar la cartera de clientes de acuerdo al tipo de cliente que se está calificando, ejemplo: pyme – no pyme. Que se puedan asociar garantías específicas y detalladas a una línea de crédito especifica.
2 Workflow
Permita emitir alertas o mensajes a todos los actores involucrados en el proceso: analistas y supervisores con perfil aprobador.
Se pueda asociar al correo electrónico de la empresa el envío de una solicitud de un actor a otro, así como también indicar el vencimiento de una línea de crédito a través de un aviso de mail o preavisar a través de un mensaje estándar cuando una calificación de crédito está por vencer en forma previa a su vencimiento efectivo vía un correo (mail) en forma de alerta.
3 Generales
Permita el control de facultades crediticias previamente establecidas, la coordinación entre actores (cadena de originación y aprobación).
En el caso de actores del sistema que tengan facultades crediticias otorgadas, estos no puedan aprobar en forma individual calificaciones de crédito por montos y condiciones que exceden las facultades crediticias otorgadas.
4
Informes, Reportes e
Indicadores Medición de tiempos del proceso en sus diversos estadios.
5
Informes, Reportes e
Indicadores Control de tareas pendientes / Control de covenants.
6
Informes, Reportes e
Indicadores
Automatización de reportes (reporte crediticio del cliente con su respectivo requerimiento de crédito, elaboración de las actas de comités de riesgo crediticio si correspondiere).
7 Generales Permita una visión integral de un cliente y su grupo económico si correspondiente (Dashboard que incluya facilidad crediticia, garantías, términos y condiciones del crédito Visión integral de clientes y de grupos económicos).
8 Generales
Conexión on-line con BBDD externas e internas: Sistema Core de BICE (Bantotal), Aplicaciones internas, Burós de Crédito (Nosis – Veraz), Burós de informes comerciales, otros (CRM Dynamics, Sistema de Riesgo Integral)
9
Informes, Reportes e
Indicadores
Elaboración automática del informe de un cliente: Integración con Word para la generación automática del reporte, uso de las plantillas del Banco y gestión autónoma.
10 Generales Información Cualitativa del Cliente: Captura de Información de Proveedores, Clientes y Competidores. Captura de información de Management y Accionariado. Visualización automática de empresas y personas relacionadas.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 19 de 24
Prestación Detalle de la Prestación
# Origen
11 Modelos Aspectos regulatorios: Cálculo automático de RPC, Elaboración automática de Com. BCRA “A” 2790
12 Generales Categorización del cliente por industria/actividad: agropecuario, transporte, construcción, etc.
13 Generales Resumen de Industria / Actividad: Incorporación de información clave de la industria, que podrá ser utilizada por los usuarios para el análisis de la propuesta y la generación del informe.
14 Modelos Peer Análisis: selección/ búsqueda de empresas con características similares, para comparación de ratios clave (mínimo de 5 comparables).
15 Balances
Vuelco de Balances y Proyecciones (Determinación de principales ratios e indicadores económicos-financieros (Ratio de Liquidez, ratio de endeudamiento, etc.). Ingreso y visualización de balances y proyecciones en plantillas de Excel definidas por la entidad (especializadas por segmentos), también volcado/llenado automático desde y hacia la base de datos asociada al software).
16 Balances Consolidación automática de Balances: generación automática de balance para grupos económicos de empresas, consolidando la información de los componentes del grupo.
17 Balances Comparación de periodos: visualización de periodos anteriores al cargar un balance, cargando la información de manera automática en la plantilla de Excel o provista por el software, para comparar la evolución de los rubros contables.
18 Balances Permitir la carga de valores de ventas post balance, generación de reportes de ventas para un período determinado, existiendo la posibilidad de cargar valores de precios y cantidades por separado.
19 Balances
Deuda Bancaria y Financiera. (Ofrecer la posibilidad de cargar, visualizar y comparar deudas asociadas a un cliente, vinculando e integrando la información al Core bancario del BICE y, a su vez, obtener información externa automáticamente de los bureaus de crédito).
20 Generales Disponer de un modelo de datos a efectos de contar con el aprovisionamiento y explotación de la información.
21 Modelos Permitir la integración de los modelos de rating y las políticas de crédito para el análisis de cada operación (tanto desde un punto de vista cuantitativo como cualitativo).
22 Modelos Permita correr motores de decisión asociados a la Gestión del Riesgo: Probabilidad de Default (PD), Calculo de la Perdida Esperada (LGD), EAD, etc.
23 Workflow Permita la gestión del proceso del análisis crediticio: tiempos por etapa, cuellos de botella, excepciones, informes para controlares, etc.
24 Generales Permita la evaluación y aprobación de límites de crédito para empresas y también grupos económicos, por productos y por tipo de garantías.
25
Informes, Reportes e
Indicadores
Permita Informes automáticos customizados /Templates: Elaboración automática de informes de propuesta de crédito, con campos preestablecidos seleccionables y caracterizados previamente.
26 Generales
El Sistema deberá contar con capacidades de gestión multi empresa en una misma instancia de base de datos, permitiendo configurar el acceso de roles de usuarios de cada empresa con perfiles de seguridad que permitan la gestión de las mismas en forma diferenciada.
B. Especificaciones Tecnológicas
Las consultoras deberán presentar sus propuestas teniendo en cuenta las siguientes
especificaciones técnicas requeridas o existentes en el BICE.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 20 de 24
Origen del Requisito Característica
Modalidad de Instalación ON – PREMISE
Tecnología de Procesadores X86 64 bits
Sistema Operativo Windows 2012 o superior
BBDD SQL Server 2016 o superior
Web Browsers Internet Explorer. Chrome.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 21 de 24
XVIII. Anexo II. Mejores Prácticas en Seguridad Informática /
Requisitos de Seguridad para el Desarrollo y/o adquisición de
aplicaciones.
El presente Anexo contiene los lineamientos a seguir al momento de desarrollar, mantener,
y/o adquirir aplicaciones para la gestión de información electrónica de Banco BICE.
Definiciones
A fin de acordar conceptos, a continuación, se presentan las definiciones correspondientes
a los términos y frases utilizadas en el presente documento:
Aplicaciones: Programas preparados para una utilización específica como por ejemplos,
administración y gestión del Negocio, o cliente de correo electrónico.
Software de Base: Programas que brindan soporte para la ejecución de aplicaciones.
Ejemplos son MS Windows en sus diferentes versiones, el motor de Base de Datos Oracle, y
el motor de Base de Datos Lotus Notes.
Objetivo
Asegurar que todas las aplicaciones y/o software de base a desarrollar y/o adquirir en
Banco BICE cuenten con las especificaciones necesarias para garantizar la seguridad de los
datos, permitiendo un correcto control y administración de la seguridad informática.
Responsables del cumplimiento
Todos los responsables que participan en el desarrollo, mantenimiento y/o adquisición de
aplicaciones y/o software de base deben cumplir esta norma.
Requerimientos
Participación del área de Seguridad Informática
El área de Seguridad Informática debe ser convocada en el inicio del proceso de Desarrollo
o evaluación para la adquisición de un aplicativo o Software de Base, a fin de participar de
dicho proceso, validando si se cumple con todos los requisitos mencionados en el presente
documento.
Autenticación de usuarios
Toda aplicación o software de base debe poseer un sistema de autenticación de usuarios.
Debe estar integrada con el sistema operativo o base de autenticación definido para el
Banco. Al moménto dé la rédacción, dicha basé és él “Activé Diréctory dé Windows 2008”,
donde están definidas las cuentas de usuarios y respectivos perfiles funcionales.
De ser esto imposible, deberá estar debidamente justificado, y se deberá proveer un
esquema de autenticación robusto que verifique el estándar de contraseñas vigente en
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 22 de 24
donde se contemple cómo mínimo los siguientes ítems, los cuales deben ser
parametrizables desde el módulo de Seguridad:
Cuenta de Usuario y respectiva contraseña únicas
Posibilidad de establecer una nueva contraseña a elección
Longitud mínima de contraseña para todas las cuentas
Solicitud de cambio de contraseña en el primer inicio de sesión
Expiración de contraseña, cada 30 días.
Bloqueo de usuario luego de reiterados intentos de ingreso fallidos, a razón de 3
intentos.
No repetición de las últimas contraseñas utilizadas, correspondiente a las 12 anteriores.
Antigüedad mínima contraseña ante cambios sucesivos, un periodo de 7 días.
Almacenamiento cifrado de contraseñas con algoritmos de robustez reconocida
internacionalmente
Desconexión de sesión luego de un período establecido de inactividad, 15 minutos.
Administración de accesos
Las aplicaciones y/o software de base deberán contar con un módulo de administración de
seguridad en los accesos, que mínimamente permita:
De no contar con Seguridad Integrada, debe permitir la creación, modificación,
inhabilitación y eliminación de usuarios individuales.
De no contar con Seguridad Integrada, debe permitir la creación, modificación y
eliminación de grupos/perfiles de usuario, para permitir la separación de las distintas
funcionalidades y transacciones.
Asignar y eliminar permisos a los grupos/perfiles de usuario según su perfil funcional.
Asignar y eliminar usuarios individuales a grupos/perfiles de usuario según su perfil
funcional.
Restringir a un único acceso concurrente por usuario.
Control de los accesos, parámetros y eventos de seguridad
Las aplicaciones y/o software de base deberán contar con un módulo de control de
seguridad en los accesos y las tareas realizadas, que mínimamente permita:
Identificación del usuario que ingresa o ingresó a la aplicación.
Ante un intento de ingreso fallido NO debe indicarle al usuario si el error se encuentra
én la idéntificación dél usuario o én su contraséña. Como sér por éjémplo “El nombré dé
usuario o contraseña no es correcto.”
Contar con un módulo de configuración de seguridad completamente separado del
resto, en especial de los módulos de parametrización.
Contar con reportes de control de acuerdo con las definiciones de seguridad
implementadas, como mínimo se deben poder ejecutar reportes en función de las pistas
de auditoria que se detallan en el próximo punto.
Incluir registros de pistas de auditoría sobre eventos de seguridad, entre los que se
encuentran los siguientes:
o Ingresos y egresos de usuarios
o Intentos de ingreso fallidos
o Fecha y hora del último ingreso por usuario
o Altas, bajas y modificaciones de perfiles
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 23 de 24
o Altas, bajas y modificaciones de usuarios
o Bloqueos y desbloqueo de usuarios
o Desconexiones de usuarios
o Blanqueos de contraseñas de usuario
o Cambios de permisos, conservando los valores anteriores y posteriores de cada
cambio
o Cambios de parámetros, conservando los valores anteriores y posteriores de
cada cambio
Cumplimiento de Normas y Regulaciones Vigentes
Toda aplicación debe cumplir con lo exigido por la legislación vigente y las normas emitidas
por el Banco Central de la República Argentina, en especial los requisitos mínimos de
gestión, implementación, y control de los riesgos relacionados con tecnología informática,
sistemas de información y recursos asociados para las entidades financieras establecidos
én la comunicación “A” 4609 actualménté én vigéncia o én las qué événtualménté la
reemplacen.
Mejores prácticas de seguridad (Security Best Practices)
En general, las herramientas de desarrollo de aplicaciones, las aplicaciones, y el software de
basé, disponén dé documéntación én dóndé él provéédor indica lo qué son las “méjorés
prácticas dé séguridad”. Sé débérán considérar én todo moménto la impléméntación dé
dichas prácticas.
Estructura de almacenamiento de la aplicación
Las contraseñas y claves de cifrado utilizadas por la aplicación se deben almacenar en
archivos de configuración cifradas con un algoritmo aprobado por Seguridad
Informática. Solamente los usuarios finales tendrán permiso de lectura sobre esos
archivos y solamente Seguridad informática podrá modificarlos.
La aplicación debe contemplar una separación lógica de sus componentes, de forma tal
que permita una correcta asignación de permisos sobre los mismos. o archivos de datos de solo lectura
o ejecutables
o archivos temporales
o archivos de lectura-escritura
o configuraciones de seguridad
o registros de eventos de seguridad
De no ser posible esta segregación, se deberá proveer la justificación correspondiente
y proveer el detalle de los permisos a aplicar para cada una de las carpetas de la
aplicación.
Recursos compartidos: en caso de accederse la aplicación o software de base a través de
una carpeta compartida, se deberá utilizar un único punto de entrada a la misma,
parametrizable en un archivo de configuración.
Bases de Datos: los usuarios deben acceder a los datos almacenados en las bases de
datos exclusivamente utilizando la aplicación correspondiente y nunca de forma directa.
Términos de Referencia – Solución Informática para la Gestión de Riesgo Crediticio
TDR RIESGO CREDITICIO VF.docx Página 24 de 24
Infraestructura Cloud
A continuación, se detallan los aspectos relevantes respecto de la seguridad ante la
arquitectura Cloud:
Rápida respuesta ante ataques de denegación de servicios (DoS). Bloqueo del ataque y
plan de continuidad de negocio definido.
El almacenamiento de los datos debe situarse en las localizaciones avaladas por el
contrato.
Persistencia de datos. Deben utilizarse técnicas para localizar de forma completa y
efectiva los datos en la nube, así como también borrar/destruir datos asegurando que
los datos han sido completamente eliminados, en el caso de una migración a servidores
locales o cambio de prestador de la infraestructura cloud.
Utilizar un canal cifrado, seguro, para la transmisión de los datos. Es importante
proteger la información sensible incluso cuando los datos se trasmiten dentro de la red
del proveedor de la nube.
No permitir la lectura de los datos a través de ataques con intermediarios (MITM). Se
deben implementar conocidas técnicas para evitar el ataque durante el proceso de
intercambio de claves, tal como lo establecen las mejores prácticas utilizando
autenticación mutua fuerte, clave pública, entre otros.
Hardening de los servidores físicos y/o virtuales. En el caso de ser virtual el proveedor
debe garantizar la correcta seguridad del entorno.
Respecto de la seguridad perimetral se deberá implementar un sistema de prevención
de intrusos (IPS) y evaluar si corresponde la contratación de un Firewall de aplicaciones
Web (WAF).
En el caso que el servicio incluya resguardo de información, el proveedor deberá
garantizar una adecuada frecuencia del mismo para asegurar la integridad de la
información y pruebas periódicas de restauración.
A fin de corroborar el cumplimiento de los puntos mencionados y de la utilización de las
mejores prácticas se recomienda realizar un análisis de vulnerabilidades (pentest) antes de
la puesta en producción y luego cada 6 o 12 meses, además de establecer procesos de
control y auditoría para que las áreas pertinentes del banco puedan corroborar lo
implementado.
Dicho análisis debe ser efectuado por una compañía especializada, diferente a quien está a
cargo del desarrollo o adquisición del nuevo software, y la contratación del mismo a cargo
del BICE con el fin de garantizar la imparcialidad de los resultados.
Documentación de Seguridad
Se deberá proveer al Sector de Seguridad Informática la documentación técnica y de
administración de seguridad de la aplicación y o software de base.
Entre estos, y como ejemplo se mencionan las configuraciones de seguridad de lo siguiente:
Servicios
Sistemas de archivos
Privilegios de usuarios
Políticas de Seguridad de la aplicación y/o software de base
Seguridad en las comunicaciones de red
ABM de usuarios/grupos