Condições para à Segurança da Informação. Principios básicos da Segurança da Informação
Segurança da Informação 4.1.1. É vedado o tratamento em ambiente de nuvem de informações não autorizadas pela CONTRATANTE. 4.1.2. A CONTRATANTE e CONTRATADA deverão seguir todas as orientações da NC14/IN01/DSIC/SCS/GSIPR, homologada por meio da Portaria nº 9, de 15 de março de 2018. 4.1.3. Os serviços objeto deste Contrato deverão ser executados observando as diretrizes estabelecidas na Política de Segurança da Informação do Órgão aprovada pela Portaria nº 372, de 13 de novembro de 2017 publicada do Diário Oficial da União em 16 de novembro de 2017, e dos órgãos participantes. 4.1.4. A CONTRATADA deverá adotar todas as medidas necessárias para assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações a serem tratadas na nuvem. A Solução ofertada pela CONTRATADA deverá dispor de plano de comunicação de incidentes, devendo a CONTRATADA informar imediatamente à CONTRATANTE todos os incidentes de segurança da informação ou existência de vulnerabilidades do objeto da contratação, assim considerados os eventos não previstos ou não desejados, bem como qualquer violação das regras de sigilo estabelecidas que tenham ocorrido por sua ação ou omissão, independentemente de dolo, que acarretem dano à confidencialidade, disponibilidade, integridade ou autenticidade dos dados da CONTRATANTE. 4.1.5. A solução deverá dispor de análise e gestão de riscos de segurança de informação, conforme dispõe a Norma Complementar 04/IN01/DSIC/GSI/PR, de 15 de fevereiro de 2013. A análise deve ter periodicidade no mínimo mensal e deve ser apresentado um plano de gestão de riscos contendo: metodologia utilizada, riscos identificados, inventário e mapeamento dos ativos de informação, estimativa dos riscos levantados, avaliação, tratamento e monitoramento dos riscos, assunção ou não dos riscos e outras informações pertinentes. 4.1.6. O provedor que integra a solução deve possuir, plano de continuidade, recuperação de desastres e contingência de negócio, que possa ser testado regularmente, objetivando a disponibilidade dos dados e serviços em caso de interrupção, bem como desenvolver e colocar em prática procedimentos de respostas a incidentes relacionados com os serviços. 4.1.7. A Solução deverá dispor de sistema de hardware e dados para missão crítica com política de “Disaster Recovery”, balanceamento, conectividade e backup/restore durante toda a vigência do contrato a garantia de Recovery Time Objective (RTO) em até 3 horas e de Recovery Point Objective (RPO) de 1 hora. 4.1.8. A CONTRATANTE a qualquer tempo poderá solicitar a realização de simulação de portabilidade das aplicações hospedadas na Nuvem para a rede interna do Órgão e este serviço será contratado por meio de USTs previstos neste Contrato, em prazo acordado entre as partes; 4.1.9. A Solução deverá dispor de medidas para garantir a proteção dos dados, antecipando ameaças à privacidade, à segurança e à integridade, prevenindo acesso não autorizado às informações. 4.1.10. A Solução deve ser compatível com a ferramenta de gestão de incidentes do MP; 4.1.11. É vedada a CONTRATADA ou ao provedor acesso aos dados hospedados na infraestrutura de nuvem, sem prévia e formal autorização por parte da CONTRATANTE; 4.1.12. A Solução deverá dispor de mecanismos para realizar regularmente testes de segurança da informação (incluindo análise e tratamento de riscos, verificação de vulnerabilidades, avaliação de segurança dos serviços e testes de penetração) podendo a CONTRATANTE realizar auditorias, inclusive com apoio de terceira parte, para comprovar que a CONTRATADA mantém esse requisito. 4.1.13. A Solução deverá prover mecanismo de acesso protegido aos dados, por meio de chave de criptografia, garantindo que apenas aplicações e usuários autorizados tenham acesso. 4.1.14. A Solução deverá permitir a criptografia automática de dados e objetos armazenados usando AES (Advanced Encryption Standard) de, no mínimo, 256 bits ou outro algoritmo com força de chave equivalente ou superior, neste último caso desde que aprovado pela CONTRATANTE. 4.1.15. A solução deverá possibilitar comunicação criptografada e protegida para transferência de dados. 4.1.16. O provedor que integra a solução deve possuir, no mínimo, as certificações: ABNT NBR ISO/IEC 27001:2013; ABNT NBR ISO/IEC 27017:2016 ou CSA STAR Certification LEVEL TWO ou superior; e ISO/IEC 27018:2014, com validade vigente na data de assinatura do contrato, referentes à infraestrutura de datacenter no Brasil onde os serviços em nuvem estarão hospedados. 4.1.16.1. As certificações ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27017:2016 poderão ser apresentadas nas suas versões originais em inglês: ISO/IEC 27001:2013 e ISO/IEC 27017:2015; 4.1.16.2. Alternativamente e especificamente para a certificação ISO/IEC 27018:2014, a CONTRATADA poderá demonstrar que o provedor atende a todos os objetivos e controles dos itens 5 a 18 da referida norma, mediante apresentação de políticas, procedimentos e outros documentos. A CONTRATADA deve ainda, apresentar documentação auxiliar com a sinalização, ponto a ponto, da seção e página da documentação técnica que comprova o atendimento de cada requisito; 4.1.16.3. Qualquer documento deverá ser apresentado em nome do provedor, sendo facultado à CONTRATANTE promover diligência destinada a esclarecer ou complementar informações. 4.1.17. A CONTRATADA deverá fornecer, sempre que solicitado pela CONTRATANTE, cópias dos logs de segurança de todas as atividades de todos os usuários dentro da conta, além de histórico de chamadas de APIs para análise de segurança e auditorias. 4.1.18. A solução deverá dispor de recursos que garantam a segurança da informação dos dados da CONTRATANTE, incluindo os seguintes itens: solução de controle de tráfego de borda do tipo firewall (norte-sul, leste/oeste, e de aplicações), solução de prevenção e detecção de intrusão (IDS/IPS) e Solução anti-DDoS. 4.1.19. A CONTRATADA deve implementar controles para isolamento e segurança de sistema operacional; 4.1.20. A CONTRATADA deve utilizar soluções de virtualização que sejam padrões ou referências de mercado; 4.1.21. A CONTRATADA deverá criar uma política de atualização de versão de software, indicando sua criticidade e acordar junto à CONTRATANTE qual a melhor data para ser aplicada; 4.1.22. A CONTRATADA deverá assinar Termo de Confidencialidade, resguardando que os recursos, dados e informações de propriedade da CONTRATANTE, e quaisquer outros, repassados por força do objeto deste Contrato, constituem informação privilegiada e possuem caráter de confidencialidade. 4.1.23. A CONTRATADA comprometer-se-á a preservar os dados da CONTRATANTE contra acessos indevidos e abster-se-á de replicar ou realizar cópias de segurança (backups) destes dados fora do território brasileiro, devendo informar imediatamente e formalmente à CONTRATANTE qualquer tentativa, inclusive por meios judiciais, de acesso por parte de outra nação a estes dados. 4.1.24. A partir do ponto de entrada/saída da internet nos datacenters do provedor ofertado deverão observar as seguintes disposições: 4.1.24.1. Inviolabilidade e sigilo do fluxo de suas comunicações pela rede, salvo por ordem judicial, na forma da lei; 4.1.24.2. Inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; 4.1.24.3. Não fornecimento a terceiros de dados da CONTRATANTE, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; 4.1.24.4. Fornecer à CONTRATANTE, sempre que solicitado, informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de dados da CONTRATANTE. 4.1.24.5. O provedor deve utilizar soluções de virtualização que sejam padrões ou referências de mercado; 4.1.24.6. O provedor deve implementar política de atualização de versão de software e aplicação de correções. 4.1.25. Os dados, metadados, informações e conhecimento, tratados pelo provedor, não poderão ser fornecidos a terceiros e/ou usados por este provedor para fins diversos do previsto neste Contrato, sob nenhuma hipótese, sem autorização formal CONTRATANTE.
DA INFORMAÇÃO SIGILOSA Serão consideradas como informação sigilosa, toda e qualquer informação classificada ou não nos graus de sigilo ultrassecreto, secreto e reservado. O TERMO abrangerá toda informação escrita, verbal, ou em linguagem computacional em qualquer nível, ou de qualquer outro modo apresentada, tangível ou intangível, podendo incluir, mas não se limitando a: know-how, técnicas, especificações, relatórios, compilações, código fonte de programas de computador na íntegra ou em partes, fórmulas, desenhos, cópias, modelos, amostras de ideias, aspectos financeiros e econômicos, definições, informações sobre as atividades da CONTRATANTE e/ou quaisquer informações técnicas/comerciais relacionadas/resultantes ou não ao CONTRATO PRINCIPAL, doravante denominados INFORMAÇÕES, a que diretamente ou pelos seus empregados, a CONTRATADA venha a ter acesso, conhecimento ou que venha a lhe ser confiada durante e em razão das atuações de execução do CONTRATO PRINCIPAL celebrado entre as partes.
Requisitos de Segurança da Informação 7.1 Os serviços contratados deverão ser prestados em conformidade com leis, normas e diretrizes vigentes no âmbito da Administração Pública Federal relacionadas à Segurança da Informação e Comunicações (SIC) – em especial atenção à Lei Federal n° 13.709/2018 (LGPD); ao Decreto Federal n° 3.505, de 13 de junho de 2000, à Instrução Normativa GSI/PR n° 01, de 13 de junho de 2008 (e suas normas complementares); à Política de Segurança da Informação e Comunicações do CONTRATANTE e suas normas complementares 7.2 A CONTRATADA deverá credenciar junto ao CONTRATANTE todos os seus profissionais que venham a ser designados para prestar serviços, independentemente do formato de execução (presencial, remoto e/ou híbrido), bem como aqueles autorizados a retirar e/ou entregar documentos junto ao CONTRATANTE. Assim como deverá identificar qualquer equipamento de sua propriedade que venha a ser instalado nas dependências do CONTRATANTE, utilizando placas de controle patrimonial, selos de segurança etc. 7.3 A CONTRATADA deverá comprometer-se, por si e por seus funcionários diretamente envolvidos na execução dos serviços contratados, em documento formal, a aceitar e aplicar rigorosamente todas as normas e procedimentos de segurança implementados no ambiente do CONTRATANTE – inclusive com a assinatura de TERMO DE COMPROMISSO. 7.4 A CONTRATADA deverá adotar critérios adequados para o processo seletivo dos profissionais que irão atuar diretamente na execução do OBJETO, com o propósito de evitar a incorporação de perfis que possam comprometer a segurança ou credibilidade do CONTRATANTE 7.5 A CONTRATADA deverá comunicar ao CONTRATANTE, com a antecedência mínima necessária, qualquer ocorrência de transferência, remanejamento ou demissão de funcionários envolvidos diretamente na execução do CONTRATO para que seja providenciada a imediata revogação de todos os privilégios de acesso aos sistemas, informações e recursos do CONTRATANTE porventura colocados à disposição para realização dos serviços contratados 7.6 Conforme aplicável para a característica dos serviços contratados, a CONTRATADA deve garantir que sua equipe profissional seja treinada, qualificada e esteja disponível para executar os serviços atribuídos.
INFORMAÇÕES RELEVANTES PARA O DIMENSIONAMENTO DA PROPOSTA A demanda do órgão tem como base as seguintes características: .......; .......; etc.
DAS INFORMAÇÕES SIGILOSAS Serão consideradas como informações sigilosas, toda e qualquer informação escrita ou oral, revelada a outra parte, contendo ou não a expressão confidencial e/ou reservada. O termo informação abrangerá toda informação escrita, verbal, ou em linguagem computacional em qualquer nível, ou de qualquer outro modo apresentada, tangível ou intangível, podendo incluir, mas não se limitando a: know-how, técnicas, especificações, relatórios, compilações, código fonte de programas de computador na íntegra ou em partes, fórmulas, desenhos, cópias, modelos, amostras de ideias, aspectos financeiros e econômicos, definições, informações sobre as atividades da CONTRATANTE e/ou quaisquer informações técnicas/comerciais relacionadas/resultantes ou não ao Contrato Principal, doravante denominados Informações, a que diretamente ou pelos seus empregados, a CONTRATADA venha a ter acesso, conhecimento ou que venha a lhe ser confiada durante e em razão das atuações de execução do Contrato Principal celebrado entre as partes.
Do Sigilo de Informações Art.8° O servidor ou gestor que, por força de seu cargo ou de suas responsabilidades, tiverem acesso a informações do órgão em que atuam ainda não divulgadas publicamente deverão manter sigilo sobre seu conteúdo. Art. 9° Ao servidor ou gestor do Conselho e da Justiça Federal de primeiro e segundo graus é vedado aceitar presentes, privilégios, empréstimos, doações, serviços ou qualquer outra forma de benefício em seu nome ou no de familiares, quando originários de partes, ou dos respectivos advogados e estagiários, bem como de terceiros que sejam ou pretendam ser fornecedores de produtos ou serviços para essas instituições.
DAS CONDIÇÕES PARA PARTICIPAÇÃO NA LICITAÇÃO 3.1. Poderão participar desta concorrência as empresas interessadas pertencentes ao ramo de atividade relacionado ao objeto da licitação, conforme disposto nos respectivos atos constitutivos, que atenderem a todas as exigências, especialmente a parte de habilitação e o disposto no Termo de Referência, constante neste Edital e seus anexos e estiverem devidamente cadastradas junto ao Órgão Provedor do Sistema, por meio do site xxx.xxx.xxx.xx. 3.1.1. Será concedido tratamento favorecido para as microempresas e empresas de pequeno porte, para as sociedades cooperativas mencionadas no artigo 34 da Lei nº 11.488, de 2007, e para o microempreendedor individual - MEI, nos limites previstos da Lei Complementar nº 123, de 2006. 3.1.1.1. A declaração falsa relativa ao cumprimento dos requisitos de habilitação, proposta comercial e enquadramento como Microempresa ou Empresa de Pequeno Porte, sujeitará o proponente às sanções previstas neste edital, sem prejuízo de possíveis sanções penais cabíveis. 3.1.2. A participação no certame se dará por meio da digitação da senha pessoal e intransferível do representante credenciado, e subsequente encaminhamento da proposta de preços, exclusivamente, por meio do sistema eletrônico através do site xxx.xxx.xxx.xx, opção “Acesso Identificado”, observando a data e o horário limite estabelecido no Edital. 3.2. Não poderão participar desta licitação pessoas físicas ou jurídicas que: 3.2.1. tenham sido declaradas inidôneas no âmbito da União, Estados, Distrito Federal e Municípios, em qualquer esfera da Administração Pública; 3.2.2. constituíram as pessoas jurídicas que foram apenadas conforme item 3.2.1, enquanto perdurarem as causas das penalidades, independentemente de nova pessoa jurídica que vierem a constituir ou de outra em que figurarem como sócios; 3.2.3. tenham sócios comuns com as pessoas jurídicas referidas no item 3.2.2; 3.2.4. não funcionem no País, se encontrem sob falência, dissolução ou liquidação, bem como as pessoas físicas sob insolvência; 3.2.5. mantenha vínculo de natureza técnica, comercial, econômica, financeira, trabalhista ou civil com dirigente do órgão ou entidade contratante ou com agente público que desempenhe função na licitação ou atue na fiscalização ou na gestão do contrato, ou que deles seja cônjuge, companheiro ou parente em linha reta, colateral ou por afinidade, até o terceiro grau; 3.2.6. o servidor ou dirigente de órgão ou entidade estadual, bem como a empresa da qual figurem como sócios, dirigentes ou da qual participem indiretamente. 3.2.6.1. Considera-se participação indireta a existência de qualquer vínculo de natureza técnica, comercial, econômica, financeira ou trabalhista. 3.2.7. As pessoas físicas e jurídicas de que trata o art. 14 da Lei Federal nº 14.133, de 2021. 3.3. A participação nesta licitação implica aceitação das condições estabelecidas no edital e na legislação aplicável. 3.4. Além destas condições gerais, deverão ser obedecidas as exigências específicas de participação fixadas no edital.
DA ABERTURA DA PROPOSTA E DA ETAPA COMPETITIVA 12.1. A abertura da sessão pública ocorrerá na data e na hora indicadas no item 5. 12.2. Durante a sessão pública, a comunicação entre o pregoeiro e os licitantes ocorrerá exclusivamente pelo sistema eletrônico. 12.2.1. Não será aceito nenhum outro tipo de contato, como meio telefônico ou e-mail. 12.3. O pregoeiro verificará as propostas apresentadas e desclassificará, motivadamente, aquelas que não estejam em conformidade com os requisitos estabelecidos neste Edital. 12.4. A desclassificação da proposta será sempre fundamentada e registrada no sistema, com acompanhamento em tempo real pelos licitantes, anexando-se cópia das propostas desclassificadas aos autos do processo licitatório. 12.5. O sistema ordenará, automaticamente, as propostas classificadas pelo pregoeiro. 12.6. Somente os licitantes com propostas classificadas participarão da fase de lances. 12.7. Os licitantes classificados poderão encaminhar lances sucessivos, exclusivamente por meio do sistema eletrônico, sendo imediatamente informados do horário e do valor consignados no registro de cada lance. 12.8. Os licitantes poderão oferecer lances sucessivos, observados o horário fixado para abertura da sessão pública e as regras estabelecidas no edital. 12.9. O licitante somente poderá oferecer valor inferior ou maior percentual de desconto ao último lance por ele ofertado e registrado pelo sistema, observado, quando houver, o intervalo mínimo de diferença de valores ou de percentuais entre os lances, que incidirá tanto em relação aos lances intermediários quanto em relação ao lance que cobrir a melhor oferta. 12.9.1. Não serão aceitos dois ou mais lances iguais e prevalecerá aquele que for recebido e registrado primeiro. 12.10. Durante o transcurso da sessão, os licitantes terão informações, em tempo real, do valor do menor lance registrado, mantendo-se em sigilo a identificação do ofertante. 12.11. Não poderá haver desistência dos lances ofertados após a abertura da sessão, sujeitando- se os licitantes desistentes às sanções previstas neste Edital, salvo as decorrentes de caso fortuito ou imprevisível com a devida justificativa aceita pelo pregoeiro. 12.12. Caso o licitante não apresente lances, concorrerá com o valor de sua proposta. 12.13. Durante a fase de lances, o pregoeiro poderá excluir, justificadamente, lance cujo valor seja manifestamente inexequível. 12.14. A disputa ocorrerá pelo modo aberto. 12.15. A etapa de envio de lances na sessão pública durará dez minutos e, após isso, será prorrogada automaticamente pelo sistema quando houver lance ofertado nos últimos dois minutos do período de duração da sessão pública. 12.16. A prorrogação automática da etapa de envio de lances será de dois minutos e ocorrerá sucessivamente sempre que houver lances enviados nesse período de prorrogação, inclusive quando se tratar de lances intermediários. 12.17. Na hipótese de não haver novos lances na forma estabelecida nos itens 12.15 e 12.16 a sessão pública será encerrada automaticamente. 12.18. No caso da sessão encerrar sem prorrogação automática, o pregoeiro poderá admitir o reinício da etapa de envio de lances, mediante justificativa, aplicando-se os subitens 12.15 e 12.16. 12.19. Definida a proposta vencedora, para fins de empate ficto, aplica-se o disposto no item 7.3, se for o caso.
INFORMAÇÕES BÁSICAS Número do processo: 23067.046739/2021-21
INSTRUÇÕES PARA ELABORAÇÃO E ENVIO DAS PROPOSTAS Os proponentes deverão elaborar, de forma distinta, uma proposta técnica detalhada e uma proposta comercial para o presente processo seletivo, que, conjuntamente, serão consideradas como sendo suas propostas. Para elaboração das propostas, deverão os proponentes observar todos os elementos contidos nesta RFP, em especial no Termo de Referência anexo a este documento (Anexo I). As propostas deverão estar datadas, rubricadas em todas as folhas e, ao final assinadas, sendo aceitas propostas assinadas eletronicamente com certificação digital. As propostas deverão ser enviadas, junto com todos os documentos exigidos nesta RFP, de forma digitalizada, para o seguinte endereço eletrônico:
