Superintendencia de Puertos y Transporte

RESOLUCIÓN 191 DE 2013 

(Enero 25)

“Por la cual se expide el anexo técnico para la homologación de los sistemas de Control y Vigilancia ordenado a través de la Resolución 7034 del 17 de octubre de 2012 y se modifica el término para su exigibilidad”.

(Nota: Derogada por la Resolución 9699 de 2014 artículo 9° de la Superintendencia de Puertos y Transporte)

(Nota: Modificado en lo pertinente el anexo técnico por la Resolución 2193 de 2014 artículo 1° y artículo 2° de la Superintendencia de Puertos y Transporte)

El Superintendente de Puertos y Transporte,

en ejercicio de las facultades legales y en especial las que le confieren los artículos 41, 42 y 44 del Decreto 101 del 2000, los numerales 11, 12 y 16 del artículo 12 del Decreto 1016 de 2000, modificados por el artículo 8º del Decreto 2741 de 2001, Ley 1ª de 1991, Ley 105 de 1993, Ley 336 de 1996, parágrafo del artículo 89 de la Ley 1450 de 2011 y considerando,

CONSIDERANDO:

De conformidad con el artículo 41 del Decreto 101 de 2000, modificado por el Decreto 2741 de 2001 se delega en la Superintendencia de Puertos y Transporte “Supertransporte”, la función de inspeccionar, vigilar y controlar la aplicación y el cumplimiento de las normas que rigen el sistema de tránsito y transporte.

Acorde con lo preceptuado en el parágrafo 3º del artículo 3º de la Ley 769 de 2002 la Superintendencia de Puertos y Transporte tiene la función de vigilar y controlar a “Las autoridades, los organismos de tránsito, las entidades públicas o privadas que constituyan organismos de apoyo”.

La Ley 769 de 2002 establece como principios rectores del Tránsito Terrestre a nivel nacional “la seguridad de los usuarios, la calidad, la oportunidad, el cubrimiento, la libertad de acceso, la plena identificación, la libre circulación, la educación y la descentralización”, preceptos conforme a los cuales se identifican las actividades que deben desarrollarse en los centros de reconocimiento de conductores.

De acuerdo a los requisitos establecidos en el artículo 19 de la Ley 769 de 2002 (modificado por el art. 5º de la L. 1383/ 2010, modificado por el artículo 3º de la L. 1397/2010 y por el art. 196 del D.L. 19/2012) para la obtención de la licencia de conducción para vehículos automotores se requiere:

“e) Presentar certificado de aptitud física, mental y de coordinación motriz para conducir expedido por una institución prestadora de salud o por un centro de reconocimiento de conductores, de conformidad con la reglamentación que expida el ministerio”.

En concordancia con el parágrafo de la norma en cita, se establece como uno de los requisitos para obtener la licencia de conducción por primera vez, la recategorización, o la renovación de la misma, el demostrar ante las autoridades de tránsito la aptitud física, mental y de coordinación motriz, valiéndose para su valoración de los medios tecnológicos sistematizados y digitalizados requeridos, que permitan medir y evaluar dentro de los rangos establecidos por el Ministerio de Transporte según los parámetros y límites internacionales, entre otros: la capacidad de visión y orientación auditiva, la agudeza visual y campimetría, los tiempos de reacción y recuperación al encandilamiento, la capacidad de coordinación entre la aceleración y el frenado, la coordinación integral motriz de la persona, la discriminación de colores y la phoria horizontal y vertical”.

De acuerdo a las facultades conferidas en el parágrafo del artículo 89 de la Ley 1450 de 2011 mediante la cual se expide el Plan Nacional de Desarrollo 2010-2014, la Superintendencia de Puertos y Transporte está en la obligación de reglamentar las características técnicas de los sistemas de seguridad que deberán implementar cada uno de los vigilados, para que se garantice la legitimidad de esos certificados y se proteja al usuario de la falsificación.

Por lo enunciado se hace necesario expedir dicha reglamentación determinando qué condiciones técnicas mínimas deben implementar aquellos vigilados que emiten certificados, para que de esta manera se garantice la legitimidad y la autenticidad de los mismos.

Con el fin de garantizar una mayor calidad y transparencia en el proceso de expedición de los certificados por parte de los Centros de Reconocimiento de Conductores, es necesario, que los mismos adopten las disposiciones técnicas mínimas requeridas por esta Superintendencia.

Que de acuerdo a lo allí preceptuado y en aplicación a los principios contenidos en el artículo 209 de la Constitución Política, el artículo 3º de la Ley 1437 de 2011 (Código de Procedimiento Administrativo y de lo Contencioso Administrativo) y los contenidos en el artículo 3º de la Ley 489 de 1998, especialmente los de coordinación, celeridad, economía, eficacia y eficiencia, la reglamentación técnica que deben adoptar los vigilados que emitan certificados conforme se solicita en el parágrafo del artículo 89 de la Ley 1450 de 2011, debe tener en cuenta lineamientos que les faciliten adaptarse a sus nuevas obligaciones legales, las cuales se orientan a dar efectividad y seguridad al proceso del registro y expedición del Certificado de Aptitud física, mental y de coordinación motriz.

En virtud de lo anterior, la Superintendencia de Puertos y Transporte expidió la Resolución 7034 del 17 de octubre de 2012 donde se reglamentan las medidas tecnológicas que deben implementar cada uno de los Centros de Reconocimiento a Conductores, CRC, además del sistema de control y vigilancia contemplado en el capítulo II del referido acto administrativo.

En cumplimiento de la Ley 1450 de 2011 y la Resolución 7034 del 17 de octubre de 2012 y de conformidad con la Ley 80 de 1993 modificada por la Ley 1150 de 2007, su Decreto Reglamentario 734 de 2012 y previo a la expedición por parte de la entidad de la Resolución 9299 del 24 de diciembre de 2012, “por medio de la cual se justifica una contratación directa” la Superintendencia de Puertos y Transportes celebró el Contrato interadministrativo 230 del 24 de diciembre de 2012 con la Universidad Pedagógica y Tecnológica de Colombia identificada con NIT 891.800.330.1, en la modalidad de contratación directa, por un término de tres (3) meses, cuyo objeto consiste en “prestación de servicios profesionales para la elaboración del anexo técnico para la homologación de los sistemas de control y vigilancia ordenados mediante la Resolución 7034 de 2012 expedida por la Supertransporte, anexo técnico para la implementación del centro de monitoreo de la Superintendencia de Puertos y Transporte y hasta diez (10) procesos de evaluación a los sistemas de control y vigilancia a homologar”.

En el artículo 8º de la Resolución 7034 del 17 de octubre de 2012 al precisar el término para la exigibilidad de las disposiciones contenidas en dicho acto administrativo, precisó que se dispondrá de un periodo de dos (2) meses para la implementación y aplicación de los sistemas de control y vigilancia por parte de todos los centros de reconocimiento de conductores contados a partir de la fecha en que se fijen los requisitos técnicos de homologación por parte de la Superintendencia de Puertos y Transporte y, un periodo de cuatro (4) meses para la implementación y aplicación del sistema de captura de video, según las disposiciones técnicas contenidas en esta resolución.

Debido a la trascendencia y el impacto que tiene para los usuarios contar con un sistema confiable y con el ánimo de garantizar la legitimidad del procedimiento, la Superintendencia de Puertos y Transporte considera conveniente reducir el término de los dos (2) meses que inicialmente se estableció en el artículo 8º de la Resolución 7034 del 17 de octubre de 2012.

Se hace necesario ampliar el término de los cuatro (4) meses para la implementación y aplicación del sistema de captura de video de que trata la Resolución 7034 del 17 de octubre de 2012 por el término de un (1) mes más, teniendo en cuenta que el término de los 4 meses empezó a contar a partir de la publicación de la Resolución 7034 del 17 de octubre de 2012, que fue publicada en el Diario Oficial bajo el número 48594 del 25 de octubre de 2012.

Mediante Radicado 2013-560-00017982 del 15/01/2013 la Universidad Pedagógica y Tecnológica de Colombia hizo la primera entrega, a la Superintendencia de Puertos y Transporte del objeto del Contrato 230 del 24 de diciembre de 2012, esto es del “anexo técnico para la homologación de los sistemas de control y vigilancia” y de igual manera el 25 de enero de 2013 efectuó una segunda entrega.

En mérito de lo expuesto el Superintendente de Puertos y Transporte,

RESUELVE:

ART. 1º—Expedir el anexo técnico para la homologación de los Sistemas de Control y Vigilancia ordenado a través de la Resolución 7034 del 17 de octubre de 2012 proferida por la superintendencia de puertos y transporte.

(Nota: Modificado en lo pertinente el anexo técnico por la Resolución 2193 de 2014 artículo 1° y artículo 2° de la Superintendencia de Puertos y Transporte)

(Nota: Derogado por la Resolución 9699 de 2014 artículo 9° de la Superintendencia de Puertos y Transporte)

ART. 2º—Modificar el término inicial de dos (2) meses de que trata el artículo 8º de la Resolución 7034 de 17 de octubre de 2012, en sentido de reducir a un (1) mes el término para la implementación y aplicación del sistema de control y vigilancia por parte de todos los centros de centros de reconocimiento de conductores, el cual empezará a contar a partir de la fecha de publicación de la presente resolución mediante la cual se expide el anexo técnico para la homologación de los sistemas de control y vigilancia ordenado a través de la Resolución 7034 del 17 de octubre de 2012.

(Nota: Derogado por la Resolución 9699 de 2014 artículo 9° de la Superintendencia de Puertos y Transporte)

ART. 3º—Ampliar por un (1) mes más el término de los cuatro (4) meses para la implementación y aplicación del sistema de captura de video de que trata la Resolución 7034 del 17 de octubre de 2012 en su artículo 8º, de manera que este plazo vencerá el 25 de marzo de 2013.

(Nota: Derogado por la Resolución 9699 de 2014 artículo 9° de la Superintendencia de Puertos y Transporte)

ART. 4º—La presente resolución rige a partir de la fecha de su publicación.

Publíquese y cúmplase.

(Nota: Modificado en lo pertinente el anexo técnico por la Resolución 2193 de 2014 artículo 1° y artículo 2° de la Superintendencia de Puertos y Transporte)

(Nota: Derogada por la Resolución 9699 de 2014 artículo 9° de la Superintendencia de Puertos y Transporte)

Documento de requisitos de los aspirantes a proveedores del sistema de control y vigilancia

Consultoría para la elaboración de anexos técnicos para la homologación de los sistemas de control y vigilancia

Destinatario:

Superintendencia de Puertos y Transporte

Contrato Interadministrativo 230 del 24 de diciembre de 2012

14 de enero del 2013

Control de versiones

Fecha Descripción Responsable
12/01/2013 Versión 1.0 documento de requisitos de los aspirantes a proveedores del sistema de control y vigilanciaJorge Otálora

 

A continuación se establecen los procedimientos y requisitos que deberán cumplir los aspirantes a homologación para recibir la evaluación, informe de evaluación y acto administrativo de homologación en caso de cumplir con los requisitos.

1. Solicitud de aclaraciones: A partir del día de publicación y durante un periodo de cinco (5) días calendario, los aspirantes podrán enviar solicitudes de aclaración sobre los requisitos de homologación. En este caso la UPTC tendrá un plazo máximo de cinco (5) días calendario para dar respuesta a las solicitudes de aclaración.

2. Radicación de carta de interés: El aspirante deberá radicar ante la Superintendencia de Puertos y Transporte en la oficina del Superintendente delegado de tránsito, una carta de intención de participar en el proceso de evaluación y homologación como proveedor del sistema de control y vigilancia. Esta carta deberá estar firmada por el representante legal de la sociedad y tendrán hasta quince (15) días calendario después de radicada la carta para entregar los requisitos documentales. En el caso de no radicar los documentos en el periodo establecido se procederá a anular el proceso de evaluación y homologación del aspirante.

3. Radicación de requisitos documentales: El aspirante deberá dentro del plazo posterior a la radicación de carta de interés los siguientes documentos:

Requisitos documentales

a) Carta remisoria de radicación de requisitos con referencia “Requisitos documentales para el proceso de evaluación de aspirantes a proveedores del sistema de control y vigilancia”, razón social, NIT, número de folios de documentación entregada y datos de contacto (teléfono, dirección, correo electrónico). Esta carta deberá estar firmada por el representante legal de la sociedad aspirante.

b) Documento foliado y en sobre sellado junto con una copia que contenga los siguientes capítulos:

Documentos generales de la sociedad:

1. Certificado de cámara de comercio no mayor a 30 días.

2. Registro Único Tributario RUT.

3. Carta de presentación de la sociedad.

4. Copia de la cédula de ciudadanía del representante legal.

5. Certificado de antecedentes judiciales del representante legal.

6. Certificado emitido por revisor fiscal o el representante legal según quien lo deba emitir basado en el tipo de sociedad, en el cual se certifique el cumplimiento del pago de los aportes parafiscales.

7. Las sociedades a participar deberán contar con alguna de las siguientes actividades económicas con base en el nuevo CIIU:

Procesamiento de datos, consultoría informática y actividades de administración de instalaciones informáticas, actividades de desarrollo de sistemas informáticos.

8. Las sociedades aspirantes deben tener una antigüedad mínima de 5 años a partir de su constitución.

9. En caso de participar en unión temporal cada sociedad deberá presentar los documentos anteriores, presentar documento de conformación de la unión temporal con porcentaje de participación y responsabilidades de cada sociedad.

Requisitos financieros:

El aspirante a proveedor deberá presentar los siguientes documentos.

1. Estados financieros dictaminados de la sociedad incluyendo como mínimo estado de resultados y balance general.

2. Hoja de resumen de indicadores financieros que se detalla en el siguiente cuadro:

IndicadoresConceptoRequisitoValor del aspirante
Capital real Capital social
Reservas constituidas
Utilidades retenidas
Utilidades del ejercicio
Mayor a $1.000.000.000 
Liquidez Activo corriente /
Pasivo corriente
Mayor a 1 
Nivel de endeudamiento Pasivo total
Activo total
Menor a 60% 
Capital de trabajo Activo corriente -
Pasivo corriente
Mayor a 0 
Ebitda Utilidad operacional
Depreciaciones y amortizaciones
Mayor a 0 
De riesgo Activo fijo /
Patrimonio neto
Menor a 0,8 
Indicador de crecimiento del ebitda Ebitda último año/
Ebitda año anterior
Mayor a 0,8 

 

3. En caso de que el aspirante a proveedor sea evaluado antes del 30 de marzo de 2013 y no cuente con los estados financieros dictaminados a corte de 31 de diciembre de 2012 podrá presentar los estados financieros a corte de 31 de diciembre del 2011.

4. En caso de participar en unión temporal o consorcio, cada una de las sociedades deberá cumplir con los indicadores financieros.

Requisitos administrativos:

Experiencia de la compañía

• Acreditar experiencia mediante certificación firmada por los clientes en proyectos de sistemas informáticos en máximo 4 certificaciones cuya sumatoria sea superior a ($5.000.000.000) cinco mil millones de pesos, en los últimos cuatro (4) años.

• Acreditar experiencia mediante certificación firmada por los clientes en por lo menos dos proyectos relacionados con sistemas que incluyan alguna de las siguientes funcionalidades: manejo de riesgo, protección de datos, cifrado de información, auditoría de bases de datos, correlación de eventos en proyectos en los últimos 4 años.

• Acreditar experiencia mediante certificación firmada por los clientes en por lo menos un proyecto donde se haya efectuado integración con los sistemas transaccionales de una entidad financiera vigilada por la Superintendencia Financiera de Colombia en proyectos en los últimos 4 años.

• El aspirante a proveedor del SCV deberá contar con por lo menos una de las siguientes certificaciones: CMMI, IT MARK, ISO 27001 o ISO 20000. Las certificaciones deberán estar vigentes a la fecha de evaluación. En el caso de unión temporal o consorcio cada sociedad deberá contar con por lo menos una de las certificaciones solicitadas.

Experiencia del equipo de trabajo

Equipo de dirección:

• Gerente de proyectos. 1 profesional en ingeniería de sistemas, industrial, electrónica o afines, con especialización en gerencia de proyectos o maestría en ingeniería de sistemas, con certificación de PMP.

• Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, título de postgrado, certificaciones y contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales.

Equipo de trabajo de seguridad:

• Gerente de SOC. 1 profesional en ingeniería de sistemas, industrial, electrónica o afines, con especialización en gerencia de proyectos o maestría en ingeniería de sistemas, con certificación de PMP, certificación ITIL y certificación como auditor interno de ISO-27001.

• Oficial de seguridad. 1 profesional en ingeniería de sistemas, electrónico, de redes o afines con posgrado en gerencia de proyectos, gerencia de proyectos en teleinformática, seguridad de la información o maestría en seguridad informática, certificado como CISSP o CISM.

• Especialista en hacking. 1 profesional en ingeniería de sistemas, electrónico, de redes o afines, certificado como CEH.

• Especialistas DAM. 1 profesional en ingeniería de sistemas, electrónica, de redes o afines con certificación técnica emitida por el fabricante de la solución DAM utilizada en la solución presentada por el aspirante.

• Especialista de IPS. 1 profesional en ingeniería de sistemas, electrónico, de redes o afines con certificación técnica emitida por el fabricante de la solución de IPS utilizada en la solución presentada por el aspirante.

• Especialista Endpoint. 1 profesional en ingeniería de sistemas, electrónico, de redes o afines con certificación técnica emitida por el fabricante de la solución de protección Endpoint utilizada en los servidores de la solución presentada por el aspirante.

• Auditor interno. 1 profesional en ingeniería de sistemas, industrial, electrónica, de redes o afines con certificación como auditor interno de ISO 27001.

• Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, certificaciones y contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales.

Equipo de trabajo de desarrollo:

• Ingenieros de desarrollo. 2 profesionales en ingeniería de sistemas, certificados en lenguajes de programación en los cuales se encuentra construida la aplicación presentada por el aspirante para la solución de SCV.

• Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, título de posgrado cuando aplique, certificaciones y contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales.

Equipo de trabajo de soporte:

• Ingenieros de soporte. 2 profesionales en ingeniería de sistemas, electrónica o redes.

• Técnicos de soporte. 4 técnicos, tecnólogos o ingenieros de sistemas, electrónica, redes, telecomunicaciones o afines.

• Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional o técnico, certificaciones y contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales.

• El aspirante a homologación podrá tener subcontratado el servicio de centro de operaciones de seguridad SOC. En este caso deberá presentar el contrato firmado con el proveedor que le preste el servicio de SOC y las hojas de vida del equipo de seguridad podrán ser funcionarios del proveedor de SOC y cumpliendo con la totalidad de requisitos administrativos exigidos para el equipo de trabajo.

• El aspirante debe generar una carta de compromiso firmada por el representante legal, en la cual establezca que una vez reciba la homologación se comprometerá a realizar las siguientes actividades:

— Establecer un canal dedicado con el sistema RUNT.

— Establecer las siguientes integraciones requeridas con el sistema RUNT:

— Solicitud de certificado médico.

— Solicitud de cargue de certificado médico.

— Apertura de interfaces para validación de candidato y médico o especialista.

— Recepción de certificados médicos.

— Recepción de licencias de conducción.

— Recepción de FUPAS.

— Realizar los procedimientos de conexión y validación de identidad en línea con la Registraduría Nacional del Estado Civil una vez la requiera la Superintendencia de Puertos y Transporte.

— Establecer un canal dedicado con el centro de monitoreo de la Superintendencia de Puertos y Transporte.

— Establecer las siguientes integraciones requeridas con el centro de monitoreo de la Superintendencia de Puertos y Transporte:

— Envío de archivo de recaudo.

— Envío de archivo de eventos.

— Acceso a software de posicionamiento centros de reconocimiento de conductores.

— Generación y envío de archivo de conciliación de actores del proceso.

La Superintendencia de Puertos y Transporte se encargara de gestionar las autorizaciones con la Registraduría Nacional del Estado Civil y con el RUNT para establecer los procesos de conexión.

Requisitos técnicos:

1. Adjuntar copia del certificado de registro de soporte lógico de la Dirección Nacional de Derechos de Autor. En el caso de que el aspirante utilice una licencia de software de una solución fabricada por otra compañía, el aspirante deberá adjuntar copia de la licencia de uso y copia del certificado de registro de soporte lógico de la Dirección Nacional de Derechos de Autor de la compañía fabricante.

2. Adjuntar copia de la solicitud presentada ante la Superintendencia de Industria y Comercio del registro de invención o de modelo de utilidad de un sistema, estructura o dispositivo que tenga relación con el objeto de sistemas de transmisión segura, sistemas de validación de identidad o sistemas de validación de sitios remotos. La solicitud presentada podrá estar en estado de trámite o en estado de concedido el derecho.

En caso de no contar con la solicitud anterior el aspirante deberá presentar un documento técnico que permita garantizar la idoneidad del aspirante. El documento técnico deberá contar con los siguientes capítulos: Descripción general del sistema, descripción general de subsistemas, diagrama de red, arquitectura de servidores, arquitectura general de la aplicación, arquitectura de seguridad en sitios remotos y geoposicionamiento satelital, esquema de correlación de eventos, esquema para el control de ataques informáticos, esquema de auditoría de bases de datos, esquema de verificación de código fuente, esquema de protección de datos sensibles y de transmisión segura de datos, esquema de intercambio transaccional para el recaudo, diagrama E-R (Entidad Relación) de las principales entidades, documento modelo de arquitectura de software, esquema de alta disponibilidad y continuidad de negocio, en el caso en que el representante legal de la compañía no sea ingeniero de sistemas o electrónico deberá una carta de aval de un ingeniero de sistemas o electrónico.

3. Adjuntar copia de contrato de centro de cómputo en caso de que el centro de cómputo se encuentre subcontratado. Los contratos deberán tener una duración mínima de veinticuatro meses.

4. Adjuntar copia de manifiesto de importación de las soluciones de servidores, IPS, firewall, herramienta DAM, herramienta SIEM, SAN, escáner de vulnerabilidades, application delivery controller.

5. Adjuntar copia de las facturas de compra de las soluciones de servidores, IPS, firewall, herramienta DAM, herramienta SIEM, SAN, escáner de vulnerabilidades, application delivery controller, licencias de bases de datos, licencias de sistemas operativos. En el caso en el que el centro de operaciones SOC se encuentre subcontratado, la copia de las facturas presentadas podrán ser del proveedor contratado.

6. Adjuntar copia de certificación o indicaciones de como verificar que la herramienta de mesa de ayuda a utilizar cuente con por lo menos 5 procesos de ITIL certificados.

7. Diligenciar el siguiente cuadro de requisitos tecnológicos:

SoluciónRequisito mínimoNombre del fabricanteProducto, modelo o versión
IPSSolución de propósito específico basado en hardware (appliance) diferente a soluciones UTM, debe tener como mínimo 1 Gbps de throughput y fuente redundante.
La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Intrusion Prevention Systems de Gartner más reciente.
  
DAMSolución basada en hardware o software para la protección, auditoría, monitoreo de la base de datos del sistema de información que contenga el SCV.
La solución utilizada deberá encontrarse en el nivel de Strong Performers o Leaders del Forrester Wave-Database Auditing and realtime protection más reciente.
  
SIEMSolución basada en hardware o software para la administración de logs y la correlación de eventos de la plataforma tecnológica del SCV.
La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant Security Information and Event Management de Gartner más reciente.
  
Protección de endpointSolución basada en software para protección antimalware de los servidores utilizados del SCV.
La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Endpoint Protection Platforms de Gartner más reciente.
  
Firewall/UTM perimetralSolución basada en hardware de propósito específico, debe tener como mínimo 1 Gbps de throughput y fuente redundante.
La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Unified Thread Management de Gartner o en el cuadrante de Leaders o Visionaries del Magic Quadrant for Enterprise Network Firewalls más reciente.
  
Application delivery controllerSolución basada en hardware de propósito específico, debe tener como mínimo funcionalidad de balanceo de cargas y de web application firewall, 1 Gbps de throughput y fuente redundante.
La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Application Delivery Controller de Gartner más reciente.
  
Escaner de vulnerabilidades de redSolución basada en hardware de propósito específico.
La solución utilizada deberá consultar la base de datos del CVE (Common Vulnerabilities and Exposures).
  
Dynamic application security testingSolución basada en software que permita realizar pruebas de seguridad a la aplicación.
La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Dynamic Application Security Testing de Gartner más reciente.
  
Static application security testingSolución basada en software que permita realizar pruebas de seguridad al código fuente de la aplicación.
La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Static Application Security Testing de Gartner más reciente.
  
Servidor de comunicaciones seguras y de validación de geoposicionamientoSolución basada en hardware y software que permita:
• Registrar ubicaciones geofísicas de los centros de reconcomiendo de conductores.
• Validar la ubicación de origen de la información que se transmita al SCV.
• Establecer conexiones seguras entre cada uno de los PC de los centros de reconocimiento de conductores; estas conexiones se podrán establecer a través de protocolos seguros (SSH o IPSec).
• Visualizar un mapa de Colombia con las ubicaciones de los CRC y el estado de conexión de los PC con el SCV.
  

 

4. La UPTC Universidad Pedagógica y Tecnológica de Colombia, delegada por la Superintendencia de Puertos y Transporte, evaluará los documentos presentados en un periodo no mayor a cinco días calendario. Posterior a la validación de la documentación radicada se entregará al aspirante el informe del resultado de la evaluación documental indicando si requiere aclaraciones o complemento de documentos, en este caso el aspirante a proveedor tendrá máximo tres días hábiles para dar respuesta a la solicitud.

En el caso que el aspirante a proveedor no responda las aclaraciones en el plazo de los tres días, la UPTC procederá a anular el proceso de evaluación y homologación del aspirante.

En el caso que un aspirante, haya recibido anulación del proceso de evaluación en esta etapa, deberá reiniciar el proceso de evaluación desde el punto 2 (Radicación de carta de interés). Un aspirante a proveedor podrá máximo dos intentos de proceso de evaluación.

En el caso que el informe de evaluación concluya que el aspirante a homologación cumple con todos los requisitos documentales se entregará un oficio por parte de la UPTC indicando las fechas programadas de visita de verificación establecidas en el siguiente numeral (no serán superior a tres (3) días, posterior a la entrega del informe de resultado de la evaluación documental).

5. Se realizarán las siguientes visitas en máximo dos (2) días hábiles. En estas visitas el evaluador tomará evidencia, fotográfica y fílmica para verificar el cumplimiento de los requerimientos:

Visita a la mesa de ayuda. Se verificarán los siguientes aspectos:
1. La herramienta presentada en la etapa documental para mesa de ayuda deberá estar instalada y se debe mostrar la radicación de una solicitud de soporte.
2. Se debe mostrar la evidencia de los requerimientos que se encuentran en la lista de chequeo en el ítem de “solución de soporte de aspirante a proveedor”.
3. La mesa de ayuda deberá estar conformada por el equipo de trabajo presentado en la etapa documental.
4. La mesa de ayuda deberá estar ubicada en territorio nacional.
Visita al centro de operaciones de seguridad.
1. El centro de operaciones de seguridad deberá contar con un control de acceso biométrico.
2. El centro de operaciones de seguridad deberá contar con un sistema de circuito cerrado de televisión.
3. El centro de operaciones de seguridad deberá estar ubicada en territorio nacional.
4. El centro de operaciones de seguridad deberá contar con un video Wall con mínimo cuatro pantallas.
5. Se deberá tener a disposición de los recursos necesarios para poder realizar las verificaciones:
a) Prueba de ataque perimetral. El especialista de hacking presentado en el equipo de trabajo del SOC, deberá ejecutar un escaneo de puertos a una de las direcciones de red utilizadas por el sistema presentado a homologar. Posterior a esto el IPS deberá identificar, registrar y reaccionar ante este escaneo procediendo a interrumpir la comunicación entre el escáner atacante y el sistema. Posterior a esto el evento deberá quedar registrado en la herramienta de SIEM.
b) Prueba de auditoría de base de datos. Se deberá disponer de un cliente del motor de base de datos que permita realizar la modificación en un registro en la tabla en la cual se almacene información biométrica. El evaluador procederá a alterar un registro en la base de datos. Posterior a esto la solución DAM deberá notificará la modificación del registro enviando una alerta al sistema SIEM con la información detallada del incidente.
c) Verificación de información biométrica cifrada. El aspirante deberá mostrar la ubicación en la cual almacene la información biométrica con el fin de verificar que esta se encuentre cifrada.
d) Verificación de Endpoint. Se deberá demostrar que se encuentran instaladas en los servidores la solución de antimalware.
e) Verificación de herramientas de pruebas de seguridad. Se deberá demostrar que están instaladas las herramientas de pruebas de seguridad de aplicación dinámica y estática.
f) Verificación de mapa de ubicaciones de centros y máquinas. Se deberá mostrar la ubicación de por lo menos dos centros de reconocimiento en la cual se muestre el estado de su conexión.
NOTA: Los PC de los CRC que intervendrán en la conexión con los Sistemas de Control y Vigilancia homologados y con el sistema del RUNT, deberán contar como mínimo con los requerimientos técnicos actuales de Hardware, Software y Comunicaciones solicitados por el RUNT y los que requieran los Sistemas de Control y Vigilancia.
Se recomienda como mínimo:
1. Sistema operativo: Windows XP, Windows Vista, Windows 7 con la última actualización o parche de seguridad.
2. Memoria RAM: 1 GB o superior.
3. Disco duro: 20 GB con espacio disponible como mínimo de 5GB.
4. Canal de internet: Banda ancha óptimo 2 Mbps o superior, con una IP pública fija.
Visita al centro de cómputo.
1. El centro de operaciones de seguridad deberá estar ubicada en territorio nacional.
2. Se verificará que en el centro de cómputo se encuentren ubicados todos los equipos de hardware solicitados.
3. En el caso de que los equipos se encuentren en más de un datacenter, se coordinará la visita a todos los datacenter para verificar la totalidad de los equipos solicitados.
Visita a un centro de reconocimiento de conductores en el cual se muestre el funcionamiento del sistema de control y vigilancia. Se procederá a realizar visita a un CRC en el cual se encuentre instalada la solución y se permita verificar los siguientes escenarios:
a) Verificación del proceso de pago. Se deberá demostrar el pago del valor del examen de aptitud directamente sobre la red de recaudo del actor del sector financiero. Esto deberá cumplir con todos los requerimientos exigidos en la lista de chequeo del anexo técnico. En el caso de requerirse participación de la entidad financiera para realizar esta verificación, el aspirante será el encargado de coordinar todos los requisitos para poder realizar la prueba.
b) Verificación del proceso de enrolamiento de candidato. Se deberá demostrar que una aplicación integrada con todo el sistema, realice el registro y toma de información con los dispositivos de captura de información del candidato (lector biométrico de huellas homologado por el RUNT, cámara digital, pistola o escáner de lectura de código bidimensional, pad de firmas).
c) Verificación de validación de identidad. Se deberá demostrar que una aplicación integrada con todo el sistema, realice la validación con el procedimiento alternativo temporal de validación de identidad definido.
d) Aseguramiento de la presencia del candidato y médico o especialista en todo el proceso de evaluación. Se deberá demostrar que el usuario se valide a través de la huella, al principio y final de cada evaluación en el sistema a homologar.
e) Los centros de reconocimiento de conductores por protocolo de seguridad, solo se conectarán a través de red física LAN con el sistema de control y vigilancia, no se permitirán conexiones inalámbricas o Wifi. Se verificará técnicamente que el sistema a homologar cumpla con estas validaciones.
f) Verificación de validación de equipos. Se deberá demostrar que una aplicación integrada con todo el sistema, realice la validación de los PCS registrados. Se realizarán pruebas con otros PC no registrados para verificar la validación.
g) Verificación de validación de posición geofísica. Se deberá demostrar que una aplicación integrada con todo el sistema, realice la validación de la geoposición satelital de dos CRC. Se realizarán pruebas técnicas para verificar la validación.

 

6. La UPTC tendrá un (1) día hábil para entregar el informe de evaluación final en el cual se indicará si el aspirante a homologación cumple con los requisitos exigidos.

7. En el caso que el aspirante haya recibido en la evaluación el concepto de que cumple con los requisitos exigidos, la Superintendencia de Puertos y Transporte en un plazo máximo de cinco (5) días hábiles procederá a emitir un acto administrativo en el cual se autoriza al aspirante como proveedor homologado del sistema de control y vigilancia.

Anexo técnico de requisitos de los aspirantes a proveedores del sistema de control y vigilancia para los centros de reconocimiento de conductores

r191spt 1.JPG
r191spt 1.JPG

r191spt 2.JPG
r191spt 2.JPG

r191spt 3.JPG
r191spt 3.JPG

Ciudad, XX de mes de 2013

Doctor

Daniel Ortega Dávila

Superintendente Delegado de Tránsito y Transporte Terrestre Automotor

Superintendencia de Puertos y Transporte

Calle 63 Nº 9A-45

Ciudad

Ref.: Carta de solicitud de aclaraciones a la invitación a participar en el proceso de evaluación y homologación como proveedor del Sistema de Control y Vigilancia.

Respetado doctor:

Mediante el presente oficio deseo obtener aclaración de los siguientes puntos del “Anexo Técnico de requisitos de los aspirantes a proveedores del Sistema de Control y Vigilancia”, para los Centros de Reconocimiento de Conductores.

1. En el numeral o literal del documento (describir documento)

(Detallar pregunta)

Quedamos atentos a la recepción de las respuestas a las preguntas enviadas. Agradezco la atención prestada.

Cordialmente,

XXXXXX XXXXXX XXXXXXXXXXX

Representante legal

Razón social de la compañía

* * *

Ciudad, DD mes de 2013

Doctor

Daniel Ortega Dávila

Superintendente Delegado de Tránsito y Transporte Terrestre Automotor

Superintendencia de Puertos y Transporte

Calle 63 Nº 9A-45

Ciudad

Ref.: Carta de interés en participar en el proceso de evaluación y homologación como proveedor del Sistema de Control y Vigilancia

Respetado doctor:

Mediante el presente oficio deseo manifestar nuestra intención de participar en el proceso de evaluación y homologación como proveedor del Sistema de Control y Vigilancia.

El presente documento tiene como objetivo el cumplimiento de uno de los requisitos que se expresan en la invitación a participar en el proceso que adelanta la Superintendencia de Puertos y Transporte para prestar el servicio a los centros de reconocimiento de conductores como proveedores del sistema de control y vigilancia.

Como se expresa en la invitación, la respuesta de recepción de este oficio junto con los contactos autorizados para iniciar el proceso de evaluación, se debe hacer llegar en físico a la (dirección) y al correo electrónico (e-mail contacto). Agradezco la atención prestada al presente oficio.

Cordialmente,

XXXXX XXXXXX XXXXXXX

Representante legal

Empresa xxx

* * *

Ciudad, DD mes de 2013

Doctor

Daniel Ortega Dávila

Superintendente Delegado de Tránsito y Transporte Terrestre Automotor

Superintendencia de Puertos yTransporte

Calle 63 Nº 9A-45

Ciudad

Ref.: Requisitos documentales para el proceso de evaluación de aspirantes a proveedores del Sistema de Control Vigilancia

Respetado doctor:

Mediante el presente oficio remito a ustedes los documentos solicitados en la invitación a participar en el proceso que adelanta la Superintendencia de Puertos y Transporte para prestar el servicio a los Centros de Reconocimiento de Conductores como proveedores del Sistema de Control y Vigilancia.

El presente documento tiene como objetivo el cumplimiento de uno de los requisitos que se expresan en la invitación para ser uno de los aspirantes a proveedores, para tal fin procedo a nombrar los datos básicos solicitados:

Razón social:

NIT:

Folios entregados: XX (Especificar en números y letras)

Datos del contacto: Nombre completo.

Dirección.

correo electrónico.

Teléfono fijo.

Teléfono móvil.

Se adjuntan los siguientes documentos de (razón social de la compañía):

1. Documentos generales de la sociedad:

a) Certificado de cámara de comercio.

b) Registro Único Tributario (RUT).

c) Carta de presentación de la sociedad.

d) Copia de la cédula de ciudadanía del representante legal.

e) Certificado de antecedentes judiciales del representante legal.

f) Certificado de no inclusión en el boletín de no responsables fiscales.

g) Las actividades económicas que realiza (nombre o razón social de la compañía), según el nuevo CIIU.

h) La antigüedad de constitución de (nombre o razón social de la compañía) se puede observar en el Certificado de Cámara de Comercio.

i) (nombre o razón social de la compañía) se presenta como (se detalla la forma jurídica como se presenta) como aspirante a proveedor del Sistema de Control y Vigilancia, es decir, con un 100% de responsabilidad.

2. Documentos financieros de la sociedad:

a) Estados de resultados.

b) Balance general.

c) Indicadores financieros solicitados:

Indicador financieroConceptoValor
Capital realCapital social 
Reservas constituidas 
Utilidades retenidas 
Utilidades del ejercicio 
LiquidezActivo corriente / pasivo corriente 
Nivel de endeudamientoPasivo total / activo total 
Capital de trabajoActivo corriente - pasivo corriente 
EbitdaUtilidad operacional 
Depreciaciones y amortizaciones 
De riesgoActivo fijo / patrimonio neto 
Indicador de crecimiento del ebitdaEbitda último año/ ebitda año anterior 
De riesgoActivo fijo / patrimonio neto 

 

3. Documentos de requisitos administrativos:

a) Experiencia de la compañía:

• Acreditación de experiencia mediante XXXXX (XX) certificaciones firmadas por los clientes de (razón social de la compañía) en proyectos de sistemas informáticos en donde la sumatoria supera los XXXX mil millones de pesos colombianos ($XX.000.000.000) y en los últimos XXXX (X) años.

• Acreditación de experiencia mediante XXXXX (XX) certificaciones firmadas por los clientes de razón social de la compañía en proyectos relacionados con sistemas que incluyen funcionalidades, tales como XXXXX, XXXXX. Estas certificaciones son de proyectos ejecutados en los últimos XXXXX (XX) años como lo solicita la invitación.

• Acreditación de experiencia mediante XXXX (XX) certificación firmada por un cliente de razón social de la compañía en XXXXX (XX) proyectos en donde se realizó XXXXXX XXXXX XXXX (describir el alcance de cada proyecto), proyecto ejecutado en los últimos XXXXX (XX) años como lo solicita la invitación.

Razón social de la compañía adjunta certificación vigente en CMMI, IT MARK, ISO 270010 ISO 20000 (describir solo las que va a adjuntar).

b) Experiencia del equipo de trabajo:

• Equipo de Dirección:

— Se adjunta hoja de vida, copia del contrato laboral y copia de las respectivas certificaciones de XXXXX XXXXXXXXXX como gerente de proyectos.

• Equipo de trabajo de seguridad:

— Se adjunta hoja de vida, copia del contrato laboral y copia de las respectivas certificaciones del XXXXX XXXXXXXXXX como oficial de seguridad.

— Se adjunta hoja de vida, copia del contrato laboral y copia de las respectivas certificaciones del XXXXX XXXXXXXXXX como especialista en Hacking.

— Se adjunta hoja de vida, copia del contrato laboral y copia de las respectivas certificaciones de los XXXXX XXXXXXXXXX como especialistas DAM.

— Se adjunta hoja de vida, copia del contrato laboral y copia de las respectivas certificaciones de los XXXXX XXXXXXXXXX como especialistas de IPS y Endpoint.

— Se adjunta hoja de vida, copia del contrato laboral y copia de las respectivas certificaciones de XXXXX XXXXXXXXXX

• Equipo de trabajo de desarrollo:

— Se adjunta hoja de vida, copia del contrato laboral y copia de las respectivas certificaciones de los Ingenieros XXXXX XXXXXXXXXX y XXXXX XXXXXXXXXX como Ingenieros de desarrollo.

• Equipo de trabajo de soporte:

— Se adjunta hoja de vida, copia del contrato laboral y copia de las respectivas certificaciones de los Ingenieros XXXXX XXXXXXXXXX y XXXXX XXXXXXXXXX como Ingenieros de soporte.

— Se adjunta hoja de vida, copia del contrato laboral y copia de las respectivas certificaciones de los técnicos XXXXX XXXXXXXXXX y XXXXX XXXXXXXXXX como técnicos de soporte.

4. Documentos de requisitos técnicos:

a) Se adjunta copia del certificado de registro de soporte lógico de la Dirección Nacional de Derechos de Autor.

b) Se adjunta copia del licenciamiento del software utilizado por la aplicación y fabricado por terceros.

c) Se adjunta copia de la solicitud presentada ante la Superintendencia de Industria y Comercio del modelo de utilidad del sistema, estructura y dispositivo que tiene relación con sistemas de transmisión segura, sistemas de validación de identidad y sistemas de verificación de ubicaciones seguras del emisor de la información. (o documento técnico de idoneidad).

d) Se adjunta copia de contrato del data center con una duración de XXXXX (XX) meses según lo estipulado en la invitación.

e) Se adjunta copia de manifiesto de importación de las soluciones de servidores, IPS, Firewall, Herramienta DAM, Herramienta SIEM, SAN, Escáner de Vulnerabilidades, Application Delivery Controller.

f) Se adjunta copia de las facturas de compra de las soluciones de servidores, IPS, Firewall, Herramienta DAM, Herramienta SIEM, SAN, Escáner de Vulnerabilidades, Application Delivery Controller, licencias de bases de datos, licencias de sistemas operativos.

g) Se adjunta copia de certificación de que la herramienta de soporte o mesa de ayuda a utilizar cuenta con XXXXX (XX) procesos de ITIL certificados.

h) Se adjunta la tabla de requisitos tecnológicos diligenciada como lo exige la invitación.

Cordialmente,

XXXXXX XXXXXXX XXXXXX

Representante legal

Razón social de la compañía

* * *

Ciudad, XX, de mes de 2013

Doctor

Daniel Ortega Dávila

Superintendente Delegado de Tránsito y Transporte Terrestre Automotor

Superintendencia de Puertos y Transporte

Calle 63 Nº 9A-45

Ciudad

Ref.: Carta de compromisos posteriores a la homologación como proveedor del Sistema de Control y Vigilancia

Respetado doctor,

Mediante el presente oficio me comprometo a realizar las siguientes actividades una vez se me reconozca por acto administrativo la homologación como proveedor del Sistema de Control y Vigilancia para los Centros de Reconocimiento de Conductores:

1. Establecer un canal dedicado con el sistema RUNT.

2. Establecer las siguientes integraciones requeridas con el sistema RUNT:

a) Solicitud de cargue de certificado médico.

b) Solicitud de Cargue de certificado médico.

c) Apertura de interfaces para validación de candidato y médico o especialista.

d) Recepción de certificados médicos.

e) Recepción de licencias de conducción.

f) Recepción de FUPAS.

3. Realizar los procedimientos de conexión y validación de identidad en línea con la Registraduría Nacional del Estado Civil una vez la requiera la Superintendencia de Puertos y Transporte.

4. Establecer un canal dedicado con el centro de monitoreo de la Superintendencia de Puertos y Transporte.

5. Establecer las siguientes integraciones requeridas con el centro de monitoreo de la Superintendencia de Puertos y Transporte:

a) Envío de archivo de recaudo.

b) Envío de archivo de eventos.

c) Acceso a software de Posicionamiento Centros de Reconocimiento de Conductores.

d) Generación y envío de archivo de conciliación de actores del proceso (actor financiero, Sistema de Control y Vigilancia y Sistema RUNT).

Cordialmente,

XXXXXX XXXXXX

Representante legal

Razón social de la compañía

(Nota: Modificado en lo pertinente el anexo técnico por la Resolución 2193 de 2014 artículo 1° y artículo 2° de la Superintendencia de Puertos y Transporte)

(Nota: Derogado por la Resolución 9699 de 2014 artículo 9° de la Superintendencia de Puertos y Transporte)