TERMO DE REFERÊNCIA
TERMO DE REFERÊNCIA
1. DO OBJETO
1.1. Contratação de empresa especializada na prestação de serviços técnicos em segurança da informação, compreendendo os serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da Empresa Gestora de Ativos S.A. - EMGEA, emissão de relatórios e apresentação dos resultados, conforme condições, quantidades e exigências estabelecidas neste Termo de Referência e seus anexos.
2. DA DESCRIÇÃO DO OBJETO
2.1. O detalhamento das especificações relacionadas aos serviços discriminados nos Lotes I e II estão descritas no Anexo I deste Termo de Referência
Item | Objeto | Unidade de Medida | Qtd. |
I | Contratação de empresa especializada na prestação de serviços técnicos em segurança da informação, compreendendo os serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da Empresa Gestora de Ativos S.A. - EMGEA, emissão de relatórios e apresentação dos resultados, conforme condições, quantidades e exigências estabelecidas neste Termo de Referência e seus anexos. | Serviço | 1 |
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
Tabela 1: Descrição do objeto – Prestação de serviços técnicos especializados.
2.2. Pelas características do objeto, foi proposta a contratação dos serviços por item, pois os serviços contratados são interdependentes e devem ser prestados pela mesma empresa.
2.3. Os serviços relacionados estão detalhados como:
2.3.1. 1ª FASE – PREPARAÇÃO PARA EXECUÇÃO DOS SERVIÇOS:
2.3.1.1. Realização da reunião de kick-off entre a EMGEA e a CONTRATADA para apresentação das equipes, definição do planejamento, realização da preparação necessária para as atividades de execução e detalhamento técnico para execução do cronograma e os seus respectivos marcos de realização;
2.3.1.2. Emissão do Plano de Ação para execução dos serviços contratados.
2.3.2. 2ª FASE – ANÁLIDE DE VULNERABILIDADES:
2.3.2.1. Prestação dos serviços de ANÁLISE DE VULNERABILIDADES do ambiente externo de tecnologia da informação da EMGEA, podendo ser realizado de forma presencial ou remota, através da varredura de vulnerabilidades nos ativos e serviços de TI contidos no escopo de trabalho, conforme descrito no Anexo I deste Termo de Referência;
2.3.2.2. Emissão do RELATÓRIO DE VULNERABILIDADES contendo os resultados da prestação dos serviços da análise de vulnerabilidades realizada no ambiente externo de TI da EMGEA, com indicação de soluções de contorno e/ou passo a passo para correções das vulnerabilidades detectadas.
2.3.3. 3ª FASE – AÇÕES DE CORREÇÃO E MITIGAÇÃO:
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
2.3.3.1. A execução dos serviços desta fase será de responsabilidade da equipe técnica da EMGEA, que compreenderá a execução das ações de correção das vulnerabilidades e mitigação de riscos que foram apontados no Relatório de Vulnerabilidades.
2.3.4. 4ª FASE – TESTE DE INVASÃO (PENTEST):
2.3.4.1. Prestação do serviço de teste de invasão (pentest) externo, que deverá ser realizado de forma remota, fora das dependências da EMGEA;
2.3.4.2. Emissão do RELATÓRIO DE PENTEST contendo os resultados da prestação do serviço de teste de invasão (pentest), que deverá conter as vulnerabilidades exploradas e as soluções de contorno, como forma a corrigir ou mitigar as vulnerabilidades exploradas com sucesso.
2.3.5. 5ª FASE – APRESENTAÇÃO DOS RESULTADOS:
2.3.5.1. Emissão do RELATÓRIO FINAL estruturado contendo a análise dos resultados obtidos através dos serviços executados, incluindo as indicações para correção das vulnerabilidades, mitigação dos riscos e sugestões de melhoria no processo de segurança das informações;
2.3.5.2. Apresentação técnica dos resultados para a equipe de tecnologia da EMGEA;
2.3.5.3. Apresentação executiva dos resultados para a diretoria executiva da EMGEA.
2.4. O escopo detalhado e a especificação dos serviços técnicos estão descritos no Anexo I deste Termo de Referência.
2.4.1. Caso necessário e em comum acordo entrea a EMGEA e a CONTRATADA, o escopo poderá ser ajustado com o acréscimo de atividades que não estão
listadas no Anexo I deste Termo de Referência, sem ônus adicional para a EMGEA.
2.5. Para prestação dos serviços contratados, a CONTRATADA deverá observar as seguintes etapas:
2.5.1. Planejamento da execução dos serviços
2.5.2. Reconhecimento e escaneamento de vulnerabilidades;
2.5.3. Teste de invasão e exploração das vulnerabilidades;
2.5.4. Análise de riscos e recomendações para correção das vulnerabilidades.
2.6. A CONTRATADA deve garantir a disponibilidade e a operacionalidade de todos os serviços e ativos de tecnologia da informação da EMGEA durante e após a execução dos serviços contratados.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
3. DA CLASSIFICAÇÃO DOS SERVIÇOS
3.1. Os serviços a serem contratados enquadram-se na classificação de serviços comuns, nos termos da Lei nº 10.520 de 2002, do Decreto nº 3.555 de 2000 e do Decreto nº 10.024 de 2019.
3.2. A prestação dos serviços não gera vínculo empregatício entre os empregados da CONTRATADA e a EMGEA, vedando-se qualquer relação entre estes que caracterize pessoalidade e subordinação direta.
4. DOS REQUISITOS LEGAIS
4.1. Aplicação do Decreto nº 7.174, de 12 de maio de 2010, que “Regulamenta a contratação de bens e serviços de informática e automação pela Administração Pública Federal, direta ou indireta, pelas fundações instituídas ou mantidas pelo Poder Público e pelas demais organizações sob o controle direto ou indireto da União”.
4.2. Aplicação da Lei nº 13.303, de 30 de junho de 2016, que “Dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios”.
4.3. Os processos operacionais, equipamentos e produtos utilizados pela CONTRATADA deverão estar em consonância com as melhores práticas de sustentabilidade, contribuindo para a redução do impacto ambiental, quando for o caso.
4.4. A CONTRATADA deverá, preferencialmente, e em conformidade com as normas legais e regulamentares, participar e se engajar nas iniciativas e ações da EMGEA, de caráter socioambiental, nas áreas vinculadas ao desenvolvimento sustentável, quando for o caso.
5. DA JUSTIFICATIVA
5.1. O Plano Diretor de Tecnologia da Informação – PDTI da Empresa Gestora de Ativos S.A. - EMGEA para o ano de 2022 prevê uma série de ações relacionadas à segurança da informação, das quais pode-se destacar a ação de “Promover análise de vulnerabilidades e testes de invasão no ambiente computacional da EMGEA”, a fim de assegurar níveis de serviços adequados ao negócio aumentando o controle e a gestão de riscos relacionados à segurança da informação aplicada à TI, através da execução de atividades de identificação, análise e avaliação de ameaças e suas fontes de vulnerabilidades em seu ambiente tecnológico.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
5.2. Para promover a execução dos serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da EMGEA, incluindo, diagnósticos, análises, avaliações e testes de invasão com fornecimento de relatórios específicos de avaliação de vulnerabilidades expostas em aplicações web, nos serviços de tecnologia, nos bancos de dados e na infraestrutura de rede, faz-se necessária a contratação de pessoa jurídica especializada em identificar possíveis ameaças e vulnerabilidades nos ativos computacionais da rede da EMGEA e realização de testes de segurança em aplicativos web.
5.3. Os serviços deverão ser prestados por empresa externa, pois de maneira independente poderá identificar, mapear, documentar e apontar possíveis vulnerabilidades nos sistemas, processos e ativos de infraestrutura de rede da EMGEA. Além disso, existe a vantagem da equipe da contratada que for executar os testes de invasão não ter, em princípio, pouca informação sobre o ambiente tecnológico da EMGEA, o que dará uma similaridade às tentativas de invasão oriundas de hackers externos ao ambiente.
5.4. O resultado dos serviços prestados pela empresa contratada ajudará a EMGEA realizar correções, ajustes e ações proativas a fim de tornar os processos, ativos e serviços de tecnologia mais seguros, realizando o controle interno sobre os riscos encontrados pela empresa contratada, permitindo a avaliação e a identificação de falhas de segurança da informação, possibilitando com essas ações a priorização e correção das vulnerabilidades mais críticas, de forma a aperfeiçoar os processos de segurança da informação.
5.5. Desta forma, faz-se necessária a contratação de empresa especializada na prestação de serviços técnicos especializados em segurança da informação, compreendendo serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da Empresa Gestora de Ativos S.A. - EMGEA.
6. RESULTADOS A SEREM ALCANÇADOS COM A CONTRATAÇÃO
6.1. Os principais resultados a serem alcançados com a presente contratação são:
6.1.1. Análise do ambiente externo de tecnologia da informação da EMGEA em relação à segurança das informações;
6.1.2. Identificar, conhecer, tratar e mitigar possíveis falhas e vulnerabilidades em segurança da informação relacionadas ao ambiente externo de tecnologia da EMGEA;
6.1.3. Propor os ajustes necessários em processos, sistemas e configurações com o objetivo de corrigir e/ou minimizar as vulnerabilidades encontradas;
6.1.4. Aprimorar os controles de segurança da informação do ambiente de tecnologia da EMGEA;
6.1.5. Transferir conhecimento técnico dos serviços prestados, mediante apresentação dos resultados obtidos; e
6.1.6. Indicar investimentos necessários para melhoria dos controles de segurança da informação.
7. DO LOCAL DE PRESTAÇÃO DOS SERVIÇOS
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
7.1. Os serviços contratados devem ser prestados, preferencialmente, de forma remota, externamente às instalações da EMGEA, que está localizada no Setor Bancário Sul (SBS), Xxxxxx 0, Xxxxx X, Xxxx 00, Xxxxxxxx Xxx Xxxxxx, XXX 00000-000, Brasília-DF.
7.2. A execução dos serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da EMGEA deverá ocorrer, preferencialmente, de forma remota.
7.3. Em comum acordo entre a EMGEA e a CONTRATADA, os serviços de análise de vulnerabilidades e apresentação dos resultados poderão ser prestados presencialmente, nas dependências da EMGEA, respeitando-se a disponibilidade e os interesses de ambos e sempre com o devido agendamento prévio.
7.3.1. Nestes casos, todas as despesas relacionadas à prestação dos serviços são de inteira responsabilidade da CONTRATADA e correrão sem ônus para a EMGEA.
8. DO PRAZO DE EXECUÇÃO DOS SERVIÇOS
8.1. A execução dos serviços deverá obedecer aos seguintes marcos:
Fase | Marco | Evento | Responsável |
----- | AC | Assinatura do Contrato (AC) | CONTRATADA / EMGEA |
1 | AC + 5 (cinco) dias úteis, no máximo. | REUNIÃO DE KICK-OFF (RK) entre a EMGEA e a empresa contratadada para apresentação das equipes, definição do plano de ação e definição do cronograma detalhado de execução dos serviços contratados. | CONTRATADA / EMGEA |
RK + 5 (cinco) dias úteis, no máximo | Entrega e apresentação do PLANO DE AÇÃO (PA) para execução dos serviços. | CONTRATADA |
2 | PA + 10 (dez) dias úteis, no máximo. | Execução dos serviços de ANÁLISE DE VULNERABILIDADES (AV) do ambiente externo de tecnologia da EMGEA e entrega do RELATÓRIO DE VULNERABILIDADES relacionado à esta fase. | CONTRATADA |
3 | AV + 20 (vinte) dias úteis, no máximo. | Análise do relatório de vulnerabilidades relacionado à fase anterior e adoção de medidas de correção ou mitigação (MC) para as vulnerabilidades apontadas. | EMGEA |
4 | MC + 10 (dez) dias úteis, no máximo. | Execução do serviço de TESTE DE INVASÃO (PENTEST) (EX) no ambiente externo de tecnologia da EMGEA e entrega do RELATÓRIO DE PENTEST relacionado à esta fase. | CONTRATADA |
5 | EX + 5 (cinco) dias úteis, no máximo | Execução do serviço de APRESENTAÇÃO DOS RESULTADOS (AR) – Emissão do RELATÓRIO FINAL e apresentação dos resultados para a equipe de tecnologia e a diretoria executiva da EMGEA. | CONTRATADA |
----- | AR + 3 (três) dias úteis, no máximo. | Emissão do Termo de Aceite dos serviços contratados (TA). | EMGEA |
----- | TA + 5 (cinco) dias úteis, no máximo | Encaminhamento da Nota Fiscal (NF). | CONTRATADA |
----- | NF + 8 (oito) dias úteis após o recebimento da Nota Fiscal, no máximo. | Pagamento dos serviços contratados. | EMGEA |
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
Tabela 2: Cronograma contendo os marcos para execução dos serviços.
8.2. O prazo total estimado para conclusão dos serviços pela CONTRATADA é de até 55 (cinquenta e cinco) dias úteis (Fases 1 a 5), contados a partir da data de assinatura do contrato.
8.3. Os serviços deverão ser iniciados em, no máximo, 5 (cinco) dias úteis após a assinatura do Contrato, através da reunião de kick-off entre as equipes da EMGEA e da CONTRATADA.
8.4. A CONTRATADA deverá apresentar o cronograma detalhado de execução de cada uma das fases, observando os marcos contidos no Item 8.1 do Termo de Referência, que deve ser aprovado previamente pela EMGEA antes do início de sua execução.
8.5. O cronograma detalhado de execução e entrega dos serviços deverá observar os prazos máximos definidos para cada um dos marcos estabelecidos.
8.6. Após a conclusão de cada um dos marcos, a EMGEA terá um prazo de até 2 (dois) dias úteis para validação, ou para solicitar complementação ou esclarecimento sobre os trabalhos realizados, sendo que eventuais ajustes deverão ser realizados em até 3 (três) dias úteis.
8.7. Caso ocorra alguma indisponibilidade dos serviços de tecnologia da informação da EMGEA, em decorrência da execução dos serviços constantes no objeto deste Termo de Referência pela CONTRATADA, esta deverá prestar todo o suporte necessário para retorno dos serviços de tecnologia da EMGEA à sua normalidade, incluindo o auxílio e o suporte nas ações a serem realizadas para mitigar o incidente, como uma ação de contorno ou atividade que resolva de forma definitiva o problema causado.
8.7.1. Para esse tipo de ocorrência a CONTRATADA deverá realizar o atendimento em até 1 (uma) hora após o seu acionamento ou detecção do incidente, e a resolução do problema não deve exceder 4 (quatro) horas após o início de execução da solução de contorno.
9. DOS SERVIÇOS A SEREM PRESTADOS
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
9.1. A prestação dos serviços deverá abranger as seguintes fases:
FASE | DESCRIÇÃO DOS SERVIÇOS |
Fase 1 | PREPARAÇÃO PARA EXECUÇÃO DOS SERVIÇOS |
Fase 2 | EXECUÇÃO DO SERVIÇO DE ANÁLISE DE VULNERABILIDADES |
Fase 3 | EXECUÇÃO DAS AÇÕES DE CORREÇÃO DE VULNERABILIDADES E MITIGAÇÃO DE RISCOS |
Fase 4 | EXECUÇÃO DO SERVIÇO DE TESTE DE INVASÃO (PENTEST) |
Fase 5 | APRESENTAÇÃO DOS RESULTADOS |
Tabela 3: Fases compreendidas na prestação dos serviços.
9.2. A especificação técnica das atividades e dos serviços a serem prestados em cada fase está detalhada no Anexo I deste Termo de Referência.
9.3. Todas as atividades de responsabilidade da CONTRATADA terão supervisão do Fiscal do Contrato e acompanhamento da equipe técnica especializada da EMGEA, sempre que necessário.
10. DA MEDIÇÃO E RECEBIMENTO DOS SERVIÇOS
10.1. Os serviços serão medidos por entrega em cada uma das fases.
10.2. É facultado à CONTRATADA adiantar os serviços estipulados em cada fase.
10.3. Se os serviços forem totalmente concluídos antes do prazo final estabelecido em cada fase, e desde que não haja pendências de qualquer serviço e/ou entrega, a EMGEA poderá antecipar a avaliação dos entregáveis da respectiva fase.
10.4. Não será aceita medição parcial dos entregáveis de qualquer fase, devendo haver o atendimento integral dos serviços conforme Termo de Referência.
10.5. A CONTRATADA deverá observar o Acordo de Nível de Serviço (ANS) descrito no Item 12 deste Termo de Referência, que são critérios objetivos e mensuráveis estabelecidos pela EMGEA, com a finalidade de aferir e avaliar diversos fatores relacionados à prestação dos serviços.
10.5.1. Para mensurar esses fatores serão utilizados indicadores relacionados com a natureza e característica dos serviços contratados, para os quais são estabelecidas metas quantificáveis a serem cumpridas pela CONTRATADA.
10.5.2. Caso haja descumprimento deste Acordo de Nível de Serviço (ANS), a CONTRATADA arcará com glosas na fatura.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
10.6. Os serviços objeto deste Termo de Referência poderão ser rejeitados no todo ou em parte quando em desacordo com as especificações constantes neste Termo de Referência, devendo ser corrigidos ou refeitos, no prazo fixado pela EMGEA por meio de sua fiscalização, às custas da CONTRATADA, sem prejuízo da aplicação de penalidades.
10.7. Uma vez atendidas as pendências eventualmente apontadas, o recebimento definitivo se dará no prazo máximo de 3 (três) dias úteis.
10.8. O recebimento definitivo do objeto não exclui a responsabilidade da CONTRATADA pelos prejuízos resultantes da incorreta execução do contrato, ou, em qualquer época, das garantias concedidas e das responsabilidades assumidas em contrato e por força das disposições legais em vigor.
11. DA GARANTIA DOS SERVIÇOS
11.1. Todos os serviços prestados pela CONTRATADA terão garantia durante o período de vigência do Contrato.
11.2. A CONTRATADA deverá prestar todo o suporte de garantia dos serviços durante a vigência do Contrato, devendo prestar todo e qualquer esclarecimento pertinente aos serviços, que deverão estar inclusos no valor global do contrato, não podendo a CONTRATADA realizar novas cobranças em virtude dos serviços de garantia.
11.3. A garantia deve cobrir todos os serviços a serem prestados pela CONTRATADA e tem o intuito de solucionar problemas resultantes das atividades prestadas durante a vigência do Contrato.
11.4. A CONTRATADA deverá prestar garantia para todos os serviços prestados durante a vigência do Contrato, inclusive dos serviços a serem corrigidos de maneira parcial ou total das entregas realizadas em cada fase, os quais não deverão ser cobrados para a EMGEA, devendo a CONTRATADA absorver seus custos.
11.5. Os serviços de garantia deverão ser prestados de segunda-feira a sexta-feira, nos dias úteis, das 8 (oito) horas às 19 (dezenove) horas, podendo ser programado para horário fora desse período por apresentar risco ao ambiente de TI da EMGEA.
11.6. Os serviços de garantia poderão ser realizados remotamente, caso a CONTRATADA justifique o motivo. Contudo, se não for resolvido dentro do prazo acordado, a CONTRATADA deverá realizar os trabalhos presencialmente, nas dependências e sem custo adicional para a EMGEA.
12. DO ACORDO DE NÍVEL DE SERVIÇO (ANS)
12.1. Disposições Gerais
12.1.1. O Acordo de Nível de Serviço (ANS) tem como objetivo medir a qualidade e a eficácia dos serviços prestados pela CONTRATADA.
12.1.2. O Acordo de Nível de Serviço (ANS) é composto por itens relacionados aos produtos a serem entregues e aos serviços que serão prestados pela CONTRATADA em atendimento ao objeto do Contrato.
12.1.3. Os itens/serviços componentes do ANS são:
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
12.1.3.1. Fiscalização do Contrato.
12.1.4. A medição da qualidade dos serviços prestados pela CONTRATADA será realizada por meio de sistema de pontuação, cujo resultado definirá o valor a ser pago ao final de cada fase.
12.1.5. As situações abrangidas pelo Acordo de Nível de Serviço (ANS) se referem a fatos cotidianos da execução do contrato, não isentando a CONTRATADA das demais responsabilidades ou sanções legalmente previstas.
12.1.6. A EMGEA poderá alterar os procedimentos e a metodologia de avaliação durante a execução contratual, em comum acordo com a prestadora, sempre que o novo sistema se mostrar mais eficiente que o anterior e não houver prejuízos para a CONTRATADA.
12.1.7. O principal elemento para medir a qualidade e a eficácia dos serviços prestados será o Acordo de Nível de Serviço (ANS). Com relação a esse item, devem ser considerados os seguintes aspectos:
12.1.7.1. Os ANS serão aplicados para medir a qualidade e a eficácia de todos os serviços abrangidos pelo Contrato e essenciais para o cumprimento do objeto pela CONTRATADA;
12.1.7.2. Objetivando a qualidade, a CONTRATADA deverá estabelecer procedimentos e condições que permitam a correta medição dos serviços prestados;
12.1.7.3. O não cumprimento de indicadores do ANS poderá ocasionar na aplicação de glosa no pagamento dos serviços à CONTRATADA, conforme descrito no item 12.4 deste Termo de Referência.
12.1.8. Os relatórios apresentados devem conter todas as informações necessárias para subsidiar a EMGEA na averiguação dos acordos de nível de serviço.
12.2. Dos Procedimentos
12.2.1. O Fiscal do Contrato designado pela EMGEA acompanhará a execução dos serviços prestados, atuando junto ao(s) preposto(s) indicado(s) pela CONTRATADA.
12.2.2. Do referido acompanhamento, o Fiscal do Contrato deverá apontar as irregularidades encontradas e classificá-las, conforme tabela abaixo:
Tipo | Nível |
01 | Leve |
02 | Média |
03 | Grave |
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
12.2.3. Verificando a existência de irregularidades na prestação dos serviços, o Fiscal do Contrato notificará o preposto da CONTRATADA para que este tome conhecimento do fato e informe sobre as devidas justificativas e tratativas para a(s) ocorrência(s).
12.2.4. A notificação quanto à existência de irregularidades na execução no Contrato deverá ser por escrito, através de registro em e-mail ou Ofício, independente da gravidade da situação ou da reincidência do fato.
12.2.5. Constatando irregularidade passível de notificação, o Fiscal do Contrato relatará a ocorrência, descrevendo o tipo, o nível, o valor da pontuação, o dia e a hora da ocorrência e demais dados julgados relevantes para o perfeito entendimento e avaliação da irregularidade.
12.2.6. A notificação de irregularidade deve ser encaminhada ao preposto da CONTRATADA ou a outro representante designado pelo mesmo, o qual deverá manifestar o seu recebimento.
12.2.7. A EMGEA considerará entregue a notificação que, voluntariamente, não for confirmado o recebimento pela CONTRATADA em até 3 (três) dias úteis da data da notificação.
Tipo | Nível de Graduação | Prazo para a apresentação das justificativas e tratativas |
01 | Leve | 48 horas corridos |
02 | Média | 36 horas corridos |
03 | Grave | 24 horas corridos |
12.2.9. As notificações que não tiverem resposta da CONTRATADA dentro dos prazos estabelecidos no item 12.2.8 serão consideradas finalizadas.
12.2.10. A CONTRATADA deverá informar ao Fiscal do Contrato a data de emissão da fatura relacionada ao Contrato.
12.2.11. Em até 03 (três) dias úteis anteriores à data de encaminhamento da fatura pela CONTRATADA, o Fiscal do Contrato deverá informar a CONTRATADA por escrito, através de e-mail ou Ofício, sobre o resultado da apuração dos serviços prestados em cada uma das fases e, quando couber, as glosas que porventura deverão ser aplicadas na fatura.
12.2.12. A CONTRATADA, de posse das informações repassadas pelo Fiscal do Contrato, emitirá fatura relativa aos serviços prestados, abatendo do valor devido pela EMGEA os descontos relativos à aplicação do Acordo de Nível de Serviços.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
12.2.13. O Fiscal do Contato, ao receber da CONTRATADA a fatura para ateste, somente o fará quando verificada a dedução dos descontos acima mencionados.
12.2.14. Verificada a regularidade da fatura, o Fiscal do Contrato juntará a esta as notificações produzidas no período, juntamente com os documentos especificados no item 9.7 deste Termo de Referência, e os encaminhará para pagamento.
12.3. Do sistema de pontuação
12.3.1. O sistema de pontuação destina-se a definir os graus de pontuação para cada tipo de ocorrência.
12.3.2. As ocorrências são dispostas em 3 (três) níveis de graduação, atribuindo-se a cada nível uma sequência de pontuação determinada, conforme tabela abaixo.
Tipo de irregularidade | Peso | Pontuação da irregularidade/ocorrência | |||||
Tipo 01 (Leve) | 1 | 1ª | 2ª | 3ª | 4ª | 5ª | 6ª |
Emissão de Notificação | 0,60 | 0,70 | 0,80 | 0,90 | 1,00 | ||
Tipo 02 (Média) | 1 | Emissão de Notificação | 1,30 | 1,40 | 1,50 | 1,60 | 1,70 |
Tipo 03 (Grave) | 1 | 2,00 | 2,10 | 2,20 | 2,30 | 2,40 | 2,50 |
Quando o número de ocorrências para o mesmo Tipo ultrapassar o número de 6 (seis) será atribuída a este a classificação para o Tipo imediatamente superior. Em já sendo a ocorrência do Tipo 03, deverá ser iniciada pela EMGEA a avaliação da suspensão do pagamento à CONTRATADA até que todas as irregularidades sejam sanadas. | |||||||
12.4. Da faixa de ajuste no pagamento
12.4.1. A faixa de ajuste no pagamento será definida pela Nota Geral da Avaliação de Desempenho dos Serviços - NGADS, cuja fórmula segue abaixo:
NGADS = 100 - ∑ 𝒑𝒐𝒏𝒕𝒐𝒔, sendo pontos = Peso x Pontuação da irregularidade/ocorrência
12.4.2. Onde ∑ 𝒑𝒐𝒏𝒕𝒐𝒔 é a soma dos pontos anotados, relativos às irregularidades registradas nos Termos de Notificação e informadas à CONTRATADA.
12.4.3. O preço pactuado para o atendimento ao objeto do Contrato refere-se ao Desempenho Técnico correspondente à NGADTS igual ou superior a 98, após a avaliação. Caso o nível de desempenho técnico não seja atingido, será aplicada a seguinte tabela de compensação:
Pontuação | Considerações/Ajustes no pagamento |
NGADTS entre 98 a 100 | Serviço Adequado |
NGADTS entre 95 e 97 | Desconto de 2% sobre o valor total da fatura |
NGADTS entre 90 e 94 | Desconto de 4% sobre o valor total da fatura |
NGADTS entre 80 e 89 | Desconto de 6% sobre o valor total da fatura |
NGADTS inferior a 80 | Desconto de 10% sobre o valor total da fatura e avaliação quanto à rescisão contratual |
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
12.5. Indicadores de Nível de Serviço
12.5.1. A CONTRATADA deve garantir que todos os serviços e entregáveis referentes ao cumprimento das cláusulas contratuais sejam prestados dentro dos prazos acordados.
12.5.2. A qualidade e a eficácia dos serviços prestados serão medidas pelos indicadores descritos nas tabelas abaixo.
Indicador 01 | Prazo para realizar as entregas da Fase 1 |
Tipo | Apresentação de documentação |
Serviço | Fiscalização do Contrato |
Definição | A CONTRATADA deve gerar e entregar a Ata de Xxxxxxx e o Plano de Ação como entregas da Fase 1 do Contrato. |
Periodicidade da avaliação | Por ocorrência |
Forma de avaliação | Cumprimento de prazo |
Classificação do indicador | Tipo 01 (Leve) |
Unidade de medida | Por ocorrência |
Meta | Realizar as entregas da Fase 1 em até 10 (dez) dias úteis, contados a partir da data de assinatura do contrato. |
Observação | A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda a vigência do Contrato, independentemente do momento em que ocorreu. |
Considerações gerais | Se houver glosa no pagamento, esta será aplicada na fatura a ser paga após a execução de todos os serviços. |
Indicador 02 | Prazo para realizar as entregas da Fase 2 |
Tipo | Apresentação de documentação |
Serviço | Fiscalização do Contrato |
Definição | A CONTRATADA deve gerar e entregar o Relatório da Análise de Vulnerabilidades, como entrega da Fase 2 do Contrato. |
Periodicidade da avaliação | Por ocorrência |
Forma de avaliação | Cumprimento de prazo |
Classificação do indicador | Tipo 02 (Média) |
Unidade de medida | Por ocorrência |
Meta | Realizar a entrega da Fase 2 em até 10 (dez) dias úteis, contados a partir da data de início de execução da Fase 2. |
Observação | A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda a vigência do Contrato, independentemente do momento em que ocorreu. |
Considerações gerais | Se houver glosa no pagamento, esta será aplicada na fatura a ser paga após a execução de todos os serviços. |
Indicador 03 | Prazo para realizar as entregas da Fase 4 |
Tipo | Apresentação de documentação |
Serviço | Fiscalização do Contrato |
Definição | A CONTRATADA deve gerar e entregar o Relatório do Teste de Invasão (Pentest), como entrega da Fase 4 do Contrato. |
Periodicidade da avaliação | Por ocorrência |
Forma de avaliação | Cumprimento de prazo |
Classificação do indicador | Tipo 03 (Grave) |
Unidade de medida | Por ocorrência |
Meta | Realizar a entrega da Fase 4 em até 10 (dez) dias úteis, contados a partir da data de início de execução da Fase 4. |
Observação | A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda a vigência do Contrato, independentemente do momento em que ocorreu. |
Considerações gerais | Se houver glosa no pagamento, esta será aplicada na fatura a ser paga após a execução de todos os serviços. |
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
Indicador 04 | Prazo para realizar as entregas da Fase 5 |
Tipo | Apresentação de documentação |
Serviço | Fiscalização do Contrato |
Definição | A CONTRATADA deve gerar e entregar o Relatório Final consolidado, bem como realizar as apresentações dos resultados para a equipe técnica e para a diretoria executiva, como entregas da Fase 5 do Contrato. |
Periodicidade da avaliação | Por ocorrência |
Forma de avaliação | Cumprimento de prazo |
Classificação do indicador | Tipo 03 (Grave) |
Unidade de medida | Por ocorrência |
Meta | Realizar as entregas da Fase 5 em até 5 (cinco) dias úteis, contados a partir da data de início de execução da Fase 5. |
Observação | A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda a vigência do Contrato, independentemente do momento em que ocorreu. |
Considerações gerais | Se houver glosa no pagamento, esta será aplicada na fatura a ser paga após a execução de todos os serviços. |
Indicador 05 | Prazo para concluir o serviço de correção ou garantia dos serviços |
Tipo | Apresentação de documentação |
Serviço | Fiscalização do Contrato |
Definição | A CONTRATADA deve prestar o serviço de correção ou garantia para os serviços prestados no contrato. |
Periodicidade da avaliação | Por ocorrência |
Forma de avaliação | Cumprimento de prazo |
Classificação do indicador | Tipo 03 (Grave) |
Unidade de medida | Por ocorrência |
Meta | Concluir o serviço de correção ou garantia dos serviços prestados no contrato em até 4 (quatro) horas após a notificação da EMGEA ou detecção do incidente. |
Observação | A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda a vigência do Contrato, independentemente do momento em que ocorreu. |
Considerações gerais | Se houver glosa no pagamento, esta será aplicada na fatura a ser paga após a execução de todos os serviços. |
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
13. DAS OBRIGAÇÕES DA EMGEA
13.1. Acompanhar e fiscalizar a execução do Contrato por intermédio de empregados especialmente designados.
13.2. Fornecer à CONTRATADA relação com nome dos fiscais do contrato designados pela EMGEA.
13.3. Fornecer à CONTRATADA relação com nome dos empregados da Superintendência de Tecnologia – SUTEC, credenciados a acompanhar a prestação dos serviços contratados.
13.4. Permitir acesso dos profissionais da CONTRATADA, quando necessário, desde que devidamente identificados, aos locais da EMGEA em que devam executar atividades relacionadas à prestação dos serviços contratados, sendo vedada, salvo se por autorização expressa da EMGEA, o trânsito em áreas estranhas às suas atividades.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
13.5. Prestar informações e esclarecimentos que venham a ser solicitados pelos empregados e/ou prepostos da CONTRATADA, necessários à execução do objeto descrito neste Termo de Referência.
13.6. Efetuar o pagamento das faturas nos prazos e condições pactuados, quando estes estiverem de acordo com o exigido.
13.7. Impugnar o pagamento de valores relativos a eventuais divergências entre as faturas e os serviços entregues pela CONTRATADA.
13.8. Informar à CONTRATADA os atos que possam interferir direta ou indiretamente na execução dos serviços a serem prestados.
13.9. Comunicar formalmente qualquer anormalidade ocorrida na execução do Contrato.
13.10. Receber as entregas previstas neste Termo de Referência nos prazos e condições estabelecidas.
13.11. Aprovar ou rejeitar, no todo ou em parte, os serviços entregues em desacordo com as obrigações assumidas pela CONTRATADA.
13.12. Xxxxxx pessoal técnico para prestar esclarecimentos sobre o ambiente tecnológico da EMGEA, bem como esclarecimentos referentes aos serviços a serem executados pela CONTRATADA.
13.13. Não permitir que terceiros realizem os serviços especificados neste Termo de Referência, durante a vigência do Contrato.
13.14. Exigir a substituição de qualquer profissional, cujo comportamento ou capacidade sejam julgados impróprios ao desempenho dos serviços a serem executados.
13.15. Efetuar vistoria nos serviços realizados e aplicar as penalidades previstas no futuro Contrato, caso seja constatada a prática de serviços à margem do contrato.
13.16. Aplicar as sanções, conforme previsto neste Termo de Referência e na legislação vigente.
13.17. Anotar em registro próprio e notificar à CONTRATADA, por escrito, a ocorrência de eventuais imperfeições no curso de execução dos serviços, fixando prazo para a sua correção.
13.18. Cada uma das partes concorda e garante que é individualmente responsável pelo cumprimento de suas obrigações decorrentes da LGPD e de eventuais regulamentações emitidas posteriormente pela ANPD.
13.19. A EMGEA reconhece que, para a prestação do serviço contratado ou prestação de serviços correlatos, deverá prover à CONTRATADA acesso às informações, ao ambiente computacional e às dependências de suas instalações.
13.20. A EMGEA garante que:
13.20.1. Os dados pessoais compartilhados, transferidos ou de qualquer forma disponibilizados para acesso e utilização pela CONTRATADA, de acordo com o contrato, foram coletados, transferidos e de qualquer forma tratados de acordo com as leis de privacidade e proteção de dados aplicáveis no Brasil.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
13.20.2. É capaz de cumprir com os direitos dos titulares garantidos pela LGPD.
13.20.3. Cumpre com todos os princípios para tratamento de dados pessoais estabelecidos pela LGPD, o que significa que a EMGEA apenas compartilha, transfere ou disponibiliza para acesso da CONTRATADA aos dados pessoais que são pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento.
13.20.4. Comunicará a ANPD conforme os requisitos da LGPD em caso de incidente.
14. DAS OBRIGAÇÕES DA CONTRATADA
14.1. Indicar um representante responsável pelo Contrato, que realizará seu acompanhamento, atuando como interlocutor principal perante a EMGEA.
14.2. Disponibilizar à EMGEA, obrigatoriamente, canal de comunicação através de telefone gratuito 0800 ou telefone com ligação de custo local de Brasília-DF, disponível no horário de funcionamento da EMGEA, de 8 às 19hs, nos dias úteis.
14.3. Fornecer à EMGEA relação com nome do responsável técnico e da equipe encarregada da prestação dos serviços, relacionando o nome, endereço, telefones, fax e endereço eletrônico (e-mail) pessoal corporativo e da empresa.
14.4. Comunicar ao fiscal de contrato da EMGEA, por escrito, a existência de anormalidades, condições inadequadas de execução dos serviços ou a iminência de fatos que possam prejudicar a perfeita execução do Contrato.
14.5. Proceder a todos os levantamentos que se fizerem necessários para o planejamento das atividades a serem executadas.
14.6. Xxxxxxx prontamente e prestar todos os esclarecimentos que forem solicitados pela EMGEA.
14.7. Responsabilizar-se pelo comportamento dos seus empregados e por quaisquer danos que estes ou seus prepostos causarem à EMGEA ou a terceiros, decorrentes de culpa ou dolo durante a execução dos serviços.
14.8. Ressarcir qualquer dano causado aos bens de propriedade da EMGEA, desde que, comprovadamente, sejam ocasionados por empregados da CONTRATADA ou prepostos.
14.8.1. No caso de ressarcimento à EMGEA, será indicada por esta uma conta bancária ou outro meio para que a CONTRATADA efetue o ressarcimento, quando for o caso.
14.9. Respeitar durante a execução dos serviços, todas as normas, políticas e legislação federais, estaduais e municipais pertinentes e vigentes.
14.10. Ser responsável pelos ônus decorrentes de todas as reclamações, ações judiciais ou extrajudiciais, por culpa ou dolo, que possam ser alegadas por terceiros contra a EMGEA, decorrentes da prestação dos serviços objeto deste Termo de Referência.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
14.11. Arcar com todas as despesas, diretas ou indiretas, decorrentes do cumprimento das obrigações assumidas, inclusive daquelas com deslocamentos dos empregados da CONTRATADA, seja dentro ou fora do Distrito Federal.
14.12. Executar os serviços por intermédio de profissionais qualificados e certificados, com experiência e conhecimento compatíveis com os serviços destinados ao cumprimento do objeto, de acordo com o Item 2.2 deste Termo de Referência.
14.13. Submeter à aprovação da EMGEA as intervenções que possam causar impacto no ambiente tecnológico da EMGEA.
14.14. A paralisação da prestação dos serviços durante a fase da execução equivale ao descumprimento total das obrigações assumidas na respectiva fase, ficando a CONTRATADA obrigada a finalizar as demandas pendentes e concluir os serviços previstos para a respectiva fase, podendo a EMGEA aplicar as sanções previstas no Contrato e na legislação pertinente.
14.15. Executar os serviços de acordo com as políticas, normas e procedimentos de segurança existentes na EMGEA, e manter a integridade do ambiente tecnológico da EMGEA durante a vigência do Contrato.
14.16. Executar os serviços em conformidade com as melhores práticas e os procedimentos relacionados ao processo de hacker ético (ethical hacking).
14.17. Responsabilizar-se pelos recursos materiais e humanos necessários à execução dos serviços, devendo providenciar os meios adequados para execução dos serviços contratados.
14.18. Arcar com prejuízos causados à EMGEA e/ou terceiros, provocados por ineficiência ou irregularidades cometidas por seus funcionários na execução dos serviços contratados.
14.19. Reparar, corrigir ou refazer, às suas expensas, no total ou em parte, os serviços prestados, objeto deste Termo de Referência, em que se verifiquem vícios ou incorreções resultantes da execução.
14.20. Respeitar as normas e procedimentos de controle e acesso às dependências da EMGEA, devendo os técnicos apresentar-se identificados por crachá ou devidamente uniformizados.
14.21. Adotar as providências necessárias para que seus funcionários e/ou prepostos observem a Política de Segurança da Informação, o Código de Ética, Integridade e Conduta (xxxxx://xxx.xxxxx.xxx.xx/Xxxx/Xxxx/0x000000-0000-00x0-xx00-xx00xxxx00xx), as normas e os procedimentos adotados pela EMGEA.
14.22. Manter sigilo, garantir a integridade e a disponibilidade dos documentos e informações que, em decorrência do Contrato, estiverem sob a sua guarda, sob pena de responder por perdas e/ou danos causados à EMGEA e a terceiros.
14.23. Para a perfeita execução dos serviços, a CONTRATADA deve cumprir os prazos estabelecidos em cada uma das fases e demais avenças pactuadas no Contrato a ser assinado, conforme as responsabilidades legais vigentes.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
14.24. Arcar com todos os encargos sociais trabalhistas, tributos de qualquer espécie que venham a ser devidos em decorrência da execução do Contrato, bem como custos relativos ao deslocamento e estada de seus profissionais, caso exista.
14.25. Manter profissionais necessários para execução das atividades, com vista ao cumprimento dos prazos, níveis de serviço e em atendimento aos requisitos estabelecidos.
14.26. Substituir, sempre que exigido pelo Fiscal de Contrato da EMGEA, o representante ou profissional cuja qualificação, atuação, permanência ou comportamento forem julgados prejudiciais, inconvenientes ou insatisfatórios à disciplina da EMGEA ou ao interesse do serviço público.
14.27. Responsabilizar-se por quaisquer acidentes de trabalho sofridos pelos seus empregados quando em serviço.
14.28. Observar rigorosamente as normas regulamentadoras de segurança do trabalho.
14.29. Cumprir todas as obrigações constantes neste Termo de Referência e sua proposta comercial, assumindo como exclusivamente seus os riscos e as despesas decorrentes da boa e perfeita execução do objeto.
14.30. Realizar os serviços em perfeitas condições, conforme especificações, prazos e local constantes no Termo de referência.
14.31. Prestar todos os esclarecimentos necessários à EMGEA oriundos da execução dos serviços contratados e sujeitar-se às orientações do Fiscal do Contrato.
14.32. Corrigir quaisquer danos causados ao ambiente tecnológico, serviços de TI, redes de dados e servidores da EMGEA, que sejam decorrentes dos serviços prestados, no prazo de até 4 (quatro) horas após o acionamento da CONTRATADA ou detecção do incidente.
14.33. Relatar à EMGEA, no prazo máximo de 24 (vinte e quatro) horas, irregularidades ocorridas que impeçam, alterem ou retardem a execução do contrato/objeto, efetuando o registro
da ocorrência com todos os dados e circunstâncias necessárias a seu esclarecimento, sem prejuízo da análise da administração e das sanções previstas.
14.34. Manter, durante toda a execução do Contrato, em compatibilidade com as obrigações assumidas, todas as condições de habilitação e qualificação exigidas no processo licitatório.
14.35. Atender aos requisitos de sustentabilidade sócio ambiental, previstos nas legislações vigentes.
14.36. É vedado à CONTRATADA utilizar o nome da EMGEA, ou sua qualidade de CONTRATADA, em quaisquer atividades de divulgação empresarial, como, por exemplo, em cartões de visita, anúncios e impressos.
14.37. É vedado à CONTRATADA reproduzir, divulgar ou utilizar, em benefício próprio ou de terceiros, quaisquer informações de que tenha tomado ciência em razão da execução dos serviços sem o consentimento prévio e por escrito da EMGEA.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
14.38. Executar os serviços em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei nº 13.709, de 14 de agosto de 2018.
14.39. Cada uma das partes concorda e garante que é individualmente responsável pelo cumprimento de suas obrigações decorrentes da LGPD e de eventuais regulamentações emitidas posteriormente pela ANPD.
14.40. A contar da data do efetivo conhecimento e/ou recebimento da informação disponibilizada pela EMGEA, a CONTRATADA obriga-se:
14.40.1. Por si, por seus colaboradores e quaisquer outros que venham a obter informações em função do contrato estabelecido, manter o sigilo absoluto das informações, não devendo, de qualquer forma, utilizá-las para fim diverso daquele pelo qual lhe foram disponibilizadas;
14.40.2. A instruir devidamente os seus colaboradores quanto às melhores práticas aplicáveis em segurança da informação, bem como treinamento quanto às condutas a serem adotadas para a manutenção do sigilo da informação;
14.40.3. A não transportar informações para fora da EMGEA sem ser expressamente autorizado por esta, ou quando permitido por força de contrato;
14.40.4. A não reproduzir, sem anuência da EMGEA, parte ou a totalidade da informação classificada, exceto quando autorizado formalmente ou quando for necessário para o desenvolvimento de suas atribuições na EMGEA;
14.40.5. A devolver, assim que solicitado pela EMGEA ou quando concluído o prazo do contrato firmado, qualquer documento que contenha informação classificada que esteja sob a sua tutela, inclusive notas pessoais envolvendo informação classificada pela empresa, registros e documentos de qualquer natureza que tenham sido utilizados, criados ou estado sob seu controle.
14.41. A CONTRATADA garante que:
14.41.1. Realiza tratamento dos dados pessoais nos limites e para as finalidades permitidas pelo contrato;
14.41.2. Notifica a EMGEA, no xxxxx xxxxxx xx 00 (xxxxxxxx x xxxx) horas, por escrito, sobre:
14.41.2.1. Quaisquer pedidos de um titular em relação aos seus dados pessoais, incluindo, mas não se limitando a pedidos de acesso e/ou retificação, solicitações de exclusão, e outros pedidos semelhantes, sendo que a CONTRATADA não responderá a tais pedidos, a menos que expressamente autorizado pela EMGEA.
14.41.2.2. Qualquer reclamação relacionada ao tratamento de dados pessoais, incluindo alegações de que o tratamento viola os direitos de titular.
14.41.2.3. Qualquer Incidente relacionado aos dados pessoais tratados em decorrência do contrato.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
14.41.2.4. Qualquer ordem, emitida por autoridade judicial ou administrativa (incluindo a ANPD), que tenha por objetivo obter quaisquer informações relativas ao tratamento de dados pessoais em decorrência do contrato.
14.41.3. Coopera com a EMGEA com relação às ações tomadas a partir da notificação descrita no item 14.41.2, e atende, dentro dos limites técnicos razoáveis, às solicitações da EMGEA com relação ao atendimento a referidas reinvindicações, fornecendo as informações solicitadas no menor prazo possível.
14.41.4. Mantém os dados pessoais no mais absoluto sigilo e exige dos seus colaboradores que tratem os dados pessoais com observância dessas obrigações.
14.41.5. Limita o acesso aos dados pessoais ao número mínimo de colaboradores que tenham necessidade de acessar referidas informações para fins de cumprir com suas obrigações junto à EMGEA.
14.41.6. Compromete-se com a segurança dos dados, incluindo medidas técnicas e de governança, que tenham por objetivo proteger os dados pessoais contra incidentes, bem como garantir que essas medidas assegurem um nível de segurança condizente com os riscos apresentados pelo tratamento, a natureza dos dados pessoais e as tecnologias de segurança disponíveis e razoavelmente aplicadas no setor de atuação das partes.
14.41.7. Xxxxxxx com a EMGEA em caso de qualquer incidente, devendo:
14.41.8. Adotar todas as medidas necessárias a fim de mitigar qualquer incidente envolvendo os dados pessoais e minimizar possíveis efeitos negativos aos titulares.
14.41.9. Prover a EMGEA com todas as informações necessárias à apuração do ocorrido.
14.41.10. Abster-se de realizar qualquer comunicação a ANPD, autoridades públicas brasileiras, aos titulares ou terceiros, sem a prévia e expressa concordância da EMGEA, que deve controlar a redação final dessas comunicações e quem deve realizá-las, observadas as disposições da LGPD.
14.41.11. Compromete-se a cumprir com os requisitos da LGPD sempre que for realizar a transferência de dados pessoais para o exterior e/ou para qualquer terceiro.
14.41.12. Mediante solicitação da EMGEA, se compromete a conceder acesso a documentos e registros necessários para fins de verificação das obrigações previstas no contrato.
15. DA FISCALIZAÇÃO
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
15.2. A fiscalização de que trata o subitem 15.1 não exclui nem reduz a responsabilidade da CONTRATADA pelos danos causados diretamente à EMGEA ou a terceiros, decorrentes de sua culpa ou dolo na execução do futuro contrato, em conformidade com o art. 76 da Lei nº 13.303, de 2016.
15.3. A fiscalização será realizada por representantes da área de tecnologia da EMGEA, cujas responsabilidades comuns estão descritas a seguir:
15.3.1. Acompanhar as atividades desempenhadas pelos técnicos e representantes da CONTRATADA durante a prestação dos serviços, bem como, avaliar e assinar os documentos, cujas atividades estejam relacionadas aos serviços objeto desta contratação;
15.3.2. Atestar a nota fiscal faturável, de acordo com a respectiva demanda, verificando os indicadores de glosa.
16. DAS SANÇÕES ADMINISTRATIVAS
16.1. A inexecução total ou parcial dos serviços, assim como a execução irregular, ou com atraso injustificado, com fundamento no artigo 83 da Lei nº 13.303, de 30 de junho de 2016, sujeitará a CONTRATADA, sem prejuízo das responsabilidades civil e criminal e assegurada à prévia e ampla defesa, à aplicação das seguintes sanções:
16.1.1. Advertência;
16.1.2. Multa, de forma prevista no instrumento convocatório ou no Contrato;
16.1.3. Suspensão temporária de participação em licitação e impedimento de contratar com a EMGEA, por prazo não superior a 2 (dois) anos; e
16.2. Na aplicação das multas serão observados os seguintes percentuais:
16.2.1. 0,5% (cinco décimos por cento) ao dia sobre o valor total do contrato em caso de atraso injustificado no início da execução dos serviços, para cada uma das fases estabelecidas no cronograma.
16.2.1.1. Após o 15º (décimo quinto) dia e a critério da EMGEA, no caso de execução com atraso, poderá ocorrer a não aceitação do objeto, de forma a configurar, nessa hipótese, inexecução total da obrigação assumida, sem prejuízo da rescisão unilateral da avença.
16.2.2. 10% (dez por cento) sobre o valor total do contrato, em caso de inexecução total das obrigações assumidas em qualquer das fases de execução do contrato.
16.2.3. 15% (quinze por cento) sobre o valor total do contrato, em caso de inexecução dos serviços de correção ou garantia previstos no contrato.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
16.2.4. Além das multas especificadas no item anterior, serão aplicadas multas, conforme as infrações cometidas e o grau respectivo, indicados nos quadros 1 e 2 abaixo, limitadas a 30% (trinta por cento) do valor mensal do Contrato:
QUADRO 1: Percentual de multas de acordo com as infrações cometidas.
GRAU | CORRESPONDÊNCIA |
1 | 0,2% do valor mensal do Contrato |
2 | 0,4% do valor mensal do Contrato |
3 | 0,8% do valor mensal do Contrato |
4 | 1% do valor mensal do Contrato |
5 | 1,5% do valor mensal do Contrato |
6 | 3% do valor mensal do Contrato |
QUADRO 2: Infração e grau correspondente.
ITEM | DESCRIÇÃO | GRAU | INCIDÊNCIA |
1 | Permitir situação que crie a possibilidade de causar dano físico, lesão corporal ou consequências letais. | 6 | Por ocorrência |
2 | Suspender ou interromper, total ou parcialmente, salvo motivo de força maior ou caso fortuito, os serviços contratuais. | 6 | Por dia |
3 | Manter funcionário sem qualificação para executar os serviços contratados. | 4 | Por ocorrência |
4 | Acumular 2 (duas) advertências em um período de 6 (seis) meses. | 2 | Por ocorrência |
5 | Na hipótese de rescisão contratual por inexecução total ou parcial do Contrato. | 5 | - |
6 | Não apresentar relatórios ou documentação exigida da empresa ou dos profissionais prevista no Edital. | 2 | Por ocorrência |
7 | Deixar de prestar quaisquer informações solicitadas no prazo estipulado. | 1 | Por ocorrência |
8 | Manter a documentação de habilitação atualizada. | 1 | Por item e por ocorrência |
9 | Deixar de cumprir as cláusulas estabelecidas no Contrato e seus anexos não previstos nesta tabela de multas. | 2 | Por item e por ocorrência |
10 | Deixar de cumprir as cláusulas estabelecidas no Contrato e seus anexos não previstos nesta tabela de multas após reincidência formalmente notificada pela fiscalização. | 3 | Por item e por ocorrência |
16.3. As sanções são autônomas e a aplicação de uma não exclui a outra.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
16.4. Caso a CONTRATADA não possa cumprir os prazos estipulados para a prestação total ou parcial do(s) serviço(s), deverá apresentar justificativa por escrito, devidamente comprovada, nos casos de ocorrência de fato superveniente, excepcional ou imprevisível, estranho à vontade das partes, que altere fundamentalmente as condições do Contrato.
16.5. Nos casos mencionados no item acima a EMGEA oficiará à CONTRATADA, comunicando- lhe a data-limite para a regularização da prestação dos serviços, sob pena da aplicação das sanções cabíveis.
16.6. A aplicação das multas não impede que a EMGEA rescinda unilateralmente o Contrato.
16.7. Aplica-se à CONTRATADA as sanções dispostas no artigo 6º, da Lei nº 12.846, de 1º de agosto de 2013, no caso de cometer as seguintes condutas:
16.7.1. Fraudar o Contrato;
16.7.2. Obter vantagem ou benefício indevido, de modo fraudulento, de modificações ou prorrogações do Contrato, sem autorização em Lei; e
16.7.3. Manipular ou fraudar o equilíbrio econômico-financeiro do Contrato.
16.8. As sanções deverão ser aplicadas de forma gradativa, obedecidos aos princípios da razoabilidade e da proporcionalidade.
17. DO SIGILO DAS INFORMAÇÕES
17.1. A CONTRATADA deverá manter sigilo, sob pena de responsabilidade civil, penal e administrativa, sobre todo e qualquer assunto de interesse da EMGEA, ou de terceiros de que tomar conhecimento em razão da execução dos serviços, respeitando todos os critérios estabelecidos, aplicáveis aos dados, informações, regras de negócios, documentos, entre outros pertinentes.
17.2. A CONTRATADA deverá manter sigilo absoluto sobre quaisquer dados, informações, configurações, contidos em quaisquer documentos e mídias, incluindo meios de armazenamento, de que venha a ter conhecimento durante a execução dos serviços, não
podendo, sob qualquer pretexto divulgar, reproduzir ou utilizar, sob pena de lei, independentemente da classificação de sigilo conferida pela EMGEA a tais documentos.
17.3. A CONTRATADA deverá tratar todas as informações a que tenha acesso, em caráter de estrita confidencialidade, não podendo, sob qualquer pretexto, divulgar, revelar, reproduzir, ou deles dar conhecimento a terceiros, estranhos a esta contratação, bem como utilizá-las para fins diferentes dos previstos na presente contratação.
17.4. Toda informação confidencial disponível em razão desta contratação, seja ela armazenada em meio físico, magnético ou eletrônico, deverá ser devolvida nas seguintes hipóteses:
17.4.1. Término ou rompimento do Contrato;
17.4.2. Solicitação da EMGEA.
18. DO TRATAMENTO DE DADOS PESSOAIS (LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
– LGPD)
18.1. DEFINIÇÕES:
18.1.1. Para efeito do contrato, são consideradas as seguintes definições:
18.1.1.1. “ANPD” - Autoridade Nacional de Proteção de Dados - responsável por zelar, implementar e fiscalizar o cumprimento da LGPD e demais leis de proteção de dados no Brasil.
18.1.1.2. “Controlador” - pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao Tratamento de Xxxxx Xxxxxxxx.
18.1.1.3. “Operador” - pessoa física ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.
18.1.1.4. “Titular” - pessoa física a quem se refere os Dados Pessoais que são objeto de tratamento.
18.1.1.5. “Dados Pessoais” - dados ou informações relacionadas a uma pessoa física identificada ou identificável, assim como dados pessoais sensíveis, conforme definidos na LGPD.
18.1.1.6. “Tratamento” - operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
18.1.1.7. “Incidente” - acesso não autorizado e situação acidental ou ilícita de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
18.2. TRATAMENTO DE DADOS PESSOAIS:
18.2.1. As partes reconhecem que a CONTRATADA, na prestação de serviços do contrato, eventualmente pode realizar o tratamento de dados pessoais. Nessas atividades de tratamento, as partes reconhecem e acordam que a CONTRATANTE é o Controlador dos dados pessoais, enquanto a CONTRATADA é operadora dos dados pessoais.
18.2.2. A CONTRATADA trata os dados pessoais exclusivamente em nome e sob as instruções da CONTRATANTE, nos termos do contrato ou para cumprir com a legislação aplicável.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
18.2.2.1. A CONTRATANTE garante que o tratamento dos dados pessoais pela CONTRATADA, uma vez que esteja em consonância com as suas instruções, não faz com que a CONTRATADA viole qualquer lei ou regulamento, especialmente a LGPD.
18.2.2.2. A CONTRATADA deve suspender imediatamente o tratamento dos dados pessoais e notificar imediatamente a CONTRATANTE, por escrito, se tomar conhecimento que qualquer instrução ou dado pessoal tratado viole a LGPD ou qualquer outra lei ou regulamento aplicável.
18.2.3. A CONTRATADA trata os dados pessoais necessários para a prestação dos serviços, nos termos do contrato.
18.3. RESPONSABILIDADES:
18.3.1. As partes concordam que o titular dos dados que sofra um dano decorrente do descumprimento das obrigações previstas no contrato pode ter o direito de receber uma indenização pelos danos sofridos.
18.3.2. A CONTRATADA será responsável perante a CONTRATANTE por quaisquer danos causados em decorrência de:
i. violação de suas obrigações no âmbito do contrato; ou
ii. violação de qualquer direito dos titulares de dados, devendo ressarcir a CONTRATANTE por todo e qualquer gasto, custo, despesas, honorários advocatícios, custas processuais e/ou indenização/multa paga em decorrência de tal violação.
18.3.3. Para fins do disposto nesta cláusula, caso a CONTRATANTE receba qualquer reinvindicação que deva ser indenizada pela CONTRATADA, deve notificar a CONTRATADA, no xxxxx xxxxxx xx 00 (xxxxxxxx x xxxx) horas, por escrito.
18.3.4. Fica certo e ajustado que nenhuma cláusula de limitação de responsabilidade que tenha sido pactuada entre as partes pode ser invocada, no sentido de limitar o dever de indenização previsto no contrato.
18.4. DILIGÊNCIA DE CONFORMIDADE:
18.4.1. A CONTRATADA se compromete a fornecer à CONTRATANTE todas as informações necessárias para demonstrar conformidade com o contrato.
18.4.2. A CONTRATADA permite que a CONTRATANTE realize diligências para verificar a conformidade com o contrato, mediante prévia notificação.
18.4.3. A CONTRATADA se compromete a tomar todas as medidas para garantir que quaisquer vulnerabilidades de sistema, processos, governança e outros apontados no relatório de diligência sejam tratados adequadamente.
18.5. PRAZO E RESCISÃO:
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
18.5.1. Após o término do contrato, a CONTRATANTE pode requerer cópia dos dados pessoais que estejam nos sistemas e em posse da CONTRATADA, pelo prazo de 30 (trinta) dias.
18.5.2. Após esse período, caso a CONTRATANTE não se manifeste, a CONTRATADA realizará a eliminação, em definitivo de seu sistema, de qualquer registro dos dados pessoais (seja em formato digital ou físico), exceto na medida em que o seu armazenamento pela CONTRATADA seja exigido pela legislação aplicável. Nos casos de dados pessoais arquivados em sistemas de backup que são mantidos de forma isolada e inalterável para garantia da segurança do sistema, a CONTRATADA excluirá os dados pessoais de acordo com as políticas de exclusão e gestão de backup.
18.5.3. Caso a CONTRATANTE requeira a cópia dos dados pessoais, no momento que a CONTRATADA concluir a disponibilização, a CONTRATANTE deve assinar um termo de aceite reconhecendo que a devolução ocorreu de acordo com o contrato e que a CONTRATADA não possui qualquer obrigação adicional.
18.6. DISPOSIÇÕES GERAIS:
18.6.1. As partes reconhecem que, na vigência e execução do contrato, existem determinadas responsabilidades da CONTRATADA que implicam no tratamento de dados pessoais, a fim de adequá-lo às disposições da Lei Geral de Proteção de Dados - LGPD e da Política de Segurança de Informação.
18.6.2. O contrato constitui o meio apropriado para regular o tratamento de dados pessoais e substitui todos previamente celebrados entre a CONTRATANTE e a CONTRATADA para esta finalidade, se houver.
18.6.3. Sem prejuízo do disposto, a CONTRATADA pode coletar, utilizar e compartilhar os dados pessoais objeto do contrato para propósitos legítimos como:
i. fornecer, desenvolver, aperfeiçoar e manter os serviços prestados;
ii. investigar fraudes, atividades ilícitas, spam, uso ilegal dos serviços; e/ou
iii. conforme determinado por lei ou regulação aplicável.
18.6.4. Nesses casos, a CONTRATADA é responsável pelo tratamento dos dados pessoais e os trata em conformidade com a Política de Privacidade e a Política de Segurança de Informação da EMGEA e com a legislação aplicável.
18.6.5. A violação de segredo da EMGEA implicará a responsabilidade civil e criminal dos que estiverem envolvidos e, sendo o caso, o cancelamento do contrato de prestação de serviços celebrado entre as empresas.
18.6.6. As obrigações a que alude este instrumento perdurarão inclusive após a cessação de vínculo entre a CONTRATADA e a EMGEA, e abrangem, além das informações de que a CONTRATADA venha a tomar conhecimento, aquelas que já possui na presente data.
19. DA HABILITAÇÃO
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
19.1. A licitante classificada deverá apresentar Atestado(s) de Capacidade Técnica, emitido(s) por pessoa jurídica de direito público ou privado, comprovando ter prestado de forma satisfatória serviços em características, quantidades e prazos compatíveis com o objeto deste documento, na forma do art. 58, inciso II, da Lei 13.303 de 30 de junho de 2016.
19.1.1. Os atestados deverão conter nome, endereço e telefone de contato do atestador, ou qualquer outro meio com o qual a EMGEA possa valer-se para manter contato com a pessoa declarante.
19.1.2. Não serão aceitos Atestados de Capacidade de Técnica que não comprovem a aptidão da licitante para a prestação dos serviços objeto deste Termo de Referência.
19.1.3. Os atestados referir-se-ão a contratos já concluídos ou já decorrido no mínimo 1 (um) ano do início de sua execução, exceto se houver sido firmado para ser executado em prazo inferior, apenas aceito mediante a apresentação do contrato.
19.1.4. Os atestados deverão referir-se a serviços prestados no âmbito de sua atividade econômica principal ou secundária especificadas no contrato social vigente.
19.1.5. Para fins de comprovação de capacidade técnica, os atestados deverão conter a descrição detalhada dos serviços realizados que comprove que a licitante possui capacitação técnica para executar os serviços previstos nesta contratação.
19.1.6. Poderá ser admitida, para fins de comprovação de quantitativo mínimo do serviço, a apresentação de diferentes atestados de serviços executados de forma concomitante, pois essa situação se equivale, para fins de comprovação de capacidade técnico operacional, a uma única contratação;
19.1.7. A soma dos atestados de capacidade técnica deve comprovar que a licitante prestou serviços compatíveis com as fases de execução descritas neste Termo de Referência.
19.2. A licitante disponibilizará todas as informações necessárias à comprovação da legitimidade dos atestados apresentados, apresentando, dentre outros documentos, cópia do contrato que deu suporte à contratação, endereço atual da EMGEA e local em que foram prestados os serviços.
19.3. Os atestados deverão ser emitidos em papel timbrado, devendo o(s) documento(s) conter a razão social, o CNPJ, o endereço, o responsável pelas informações e respectivo cargo, e-mail e telefone de contato - ou qualquer outra forma de que a CONTRATADA possa valer-se para manter contato com a(s) Atestante(s) - além do nome e assinatura do Representante Legal da Atestante.
19.4. A EMGEA poderá realizar diligência na empresa vencedora e na empresa ou órgão que fornecer o atestado de capacidade técnica para averiguar a veracidade das informações prestadas, podendo o(s) envolvido(s) responder administrativa, civil e penalmente pelas informações prestadas. Na diligência poderão ser solicitados documentos tais como contratos, ordens de serviços, notas fiscais e outros que comprovem os serviços prestados no atestado fornecido.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
19.5. Para execução dos serviços objeto deste Termo de Referência, a licitante vencedora deverá apresentar, para assinatura do Contrato, comprovação de que seus profissionais possuem, no mínimo, 2 (duas) das seguintes certificações:
19.5.1. CEH - Certified Ethical Hacker Versão 8 ou superior;
19.5.2. GWAPT - GIAC (Web Application Penetration Tester);
19.5.3. GCIA - GIAC (Certified Intrusion Analyst);
19.5.4. GPEN - GIAC (Penetration Tester);
19.5.5. CompTIA Security+;
19.5.6. CompTIA PenTest+;
19.5.7. CISM (Certified Information Security Manager);
19.5.8. CPT (Certified Penetration Tester).
1.1. A comprovação da qualificação de seus profissionais deverá ser mantida durante toda vigência do Contrato.
2. DA QUALIFICAÇÃO TÉCNICA
2.1. No momento da assinatura do contrato a CONTRATADA deverá apresentar a relação de profissionais que poderão atuar na execução do Contrato e suas respectivas certificações.
2.3. A EMGEA reserva-se o direito de solicitar as comprovações referentes à qualificação dos profissionais a qualquer momento durante a execução da prestação dos serviços.
2.4. A CONTRATADA é integralmente responsável pela gestão de seu pessoal em todos os aspectos, sendo vedado à equipe da EMGEA, formal ou informalmente, qualquer tipo de ingerência ou influência sobre a administração da mesma, ou comando direto sobre seus empregados.
2.5. A EMGEA pode exigir, a qualquer momento, a substituição de qualquer profissional cujo comportamento ou capacidade sejam julgados impróprios ao desempenho dos serviços a serem executados.
2.6. Eventuais substituições de pessoal motivados pela CONTRATADA deverão ser comunicadas e autorizadas pela EMGEA, cabendo à primeira providenciar novo profissional, com as mesmas qualificações, experiência e nível de conhecimento do profissional substituído, devidamente comprovadas.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
2.7. É garantido à EMGEA o direito de solicitar sem qualquer ônus adicional, a substituição de qualquer integrante da equipe, caso se constate ausência das qualificações mínimas necessárias ou mesmo quaisquer violações às regras do Edital para a execução dos serviços.
2.8. A EMGEA não determinará quantitativo mínimo para a equipe, uma vez que estará contratando por serviço, ficando facultado à CONTRATADA montar sua equipe conforme lhe for mais conveniente, cabendo-lhe, todavia, dispor de profissionais qualificados, segundo as regras constantes neste Termo de Referência para prestar os serviços demandados.
2.9. A CONTRATADA deverá dispor de Responsável Técnico que será responsável:
2.9.1. Pela execução da gestão geral do contrato por parte da CONTRATADA;
2.9.2. Por receber as correspondências e as intimações da EMGEA em nome da CONTRATADA;
2.9.3. Por informar a EMGEA, na assinatura do Contrato ou nas ocasiões de substituições, por meio de correspondência, nome, CPF e identidade dos profissionais que irão atuar no contrato;
2.9.4. Por informar a EMGEA, imediatamente, o nome dos profissionais que não necessitarem mais acessar as dependências da EMGEA, e devolver o respectivo crachá de acesso em até 3 (três) dias úteis;
2.9.5. Por assegurar de que as determinações da EMGEA sejam disseminadas junto aos profissionais alocados à execução dos serviços;
2.9.6. Por informar a EMGEA sobre problemas de qualquer natureza que possam impedir o andamento normal dos serviços; e
2.9.7. Por elaborar e apresentar relatórios dos serviços demandados, contendo detalhamento dos serviços executados e em andamento e demais informações necessárias ao acompanhamento dos trabalhos em execução.
3. DA VISTORIA
3.1. Será facultada às licitantes interessadas, por meio dos seus respectivos representantes, vistoria às instalações da EMGEA para tomar conhecimento das condições locais para fins de prestação dos serviços, oportunidade em que será fornecida a “Declaração de Vistoria”.
3.1.1. Caso a vistoria não seja realizada, a licitante assumirá todos os ônus decorrentes dos serviços a serem prestados.
3.2. A licitante poderá realizar vistoria e inspecionar todos os locais, em horário comercial, de segunda à sexta-feira, das 09:00h às 12:00h e das 14:00h às 17:00h, na sede da EMGEA, no Setor Bancário Sul, Quadra 2, Bloco B, Lote 18, Edifício São Marcus, Brasília/DF, CEP: 70.070-902, de modo a obter, para sua própria utilização e por sua exclusiva responsabilidade, toda a informação necessária à elaboração da proposta.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
3.3. A vistoria deverá, obrigatoriamente, ser realizada por representante da licitante em data e horário previamente agendado, que tenha condições técnicas suficientes para identificar com clareza os recursos necessários que deverão ser utilizados no objeto da contratação em comento, de forma a possibilitar a correta formulação da proposta comercial a ser apresentada.
3.4. O agendamento deverá ser realizado por meio do e-mail xxxxx@xxxxx.xxx.xx, ou ainda, pelo telefone (00) 0000-0000 para falar com a Superintendência de Tecnologia - SUTEC.
3.5. O representante da licitante designado para realizar a visita técnica de que trata este item, deverá apresentar à EMGEA, no momento da visita, documento oficial de identificação, bem como autorização emitida pelo licitante para a realização de vistoria técnica.
3.6. Para as licitantes que optarem pela não realização da vistoria, não serão aceitas alegações posteriores quanto ao detalhamento, especificações e obrigações que compõe a contratação, ficando a futura CONTRATADA obrigada a executar o contrato nos termos dispostos neste Termo de Referência e seus anexos.
3.7. É de responsabilidade da licitante o dimensionamento de sua proposta, de modo a não incorrer em omissões, as quais não poderão ser alegadas em favor de eventuais alterações no valor do objeto licitado.
3.8. Quando da vistoria ao local, a licitante deverá inteirar-se de todos os aspectos referentes à execução dos serviços.
3.9. Ao final da Visita Técnica acima mencionada o representante da licitante deverá assinar a “Declaração de Vistoria Técnica”, conforme modelo do Anexo II do Termo de Referência, a qual será juntado ao dossiê da contratação.
3.10. Não haverá visita sem prévio agendamento e em mesma data/horário por mais de uma licitante.
4. DA ALTERAÇÃO SUBJETIVA
4.1. É admissível a fusão, cisão ou incorporação da CONTRATADA com/em outra pessoa jurídica, desde que sejam observados pela nova pessoa jurídica:
4.1.1. Todos os requisitos de habilitação exigidos na licitação original;
4.1.2. Sejam mantidas as demais cláusulas e condições do Contrato;
4.1.3. Não haja prejuízo à execução do objeto pactuado; e
4.1.4. Haja a anuência expressa da Administração à continuidade do Contrato.
5. DO CONTROLE E FISCALIZAÇÃO DA EXECUÇÃO
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
5.1. O acompanhamento e a fiscalização da execução do contrato consistem na verificação da conformidade da prestação dos serviços, da alocação dos recursos necessários e dos produtos entregues em conformidade com o esperado e dentro do estabelecido neste Termo de Referência.
5.2. A EMGEA reserva-se o direito de acompanhar e fiscalizar a conformidade da prestação dos serviços e da alocação dos recursos necessários de forma a assegurar o perfeito cumprimento do contrato, por meio de representante designado para esse fim, com fundamento na forma do artigo 40, inciso VII da Lei nº 13.303/2016, e no Normativo da EMGEA, LG.NOR.008.
5.3. O representante da EMGEA será designado por seus critérios técnicos para o acompanhamento e controle da execução dos serviços e do contrato.
5.4. A fiscalização de que trata o subitem anterior não exclui nem reduz a responsabilidade da CONTRATADA pelos danos causados diretamente à EMGEA ou a terceiros, decorrentes de sua culpa ou dolo na execução do Contrato, em conformidade com o Normativo de Licitações e Fiscalização de Contratos Administrativos, de que trata o LG.NOR.008.
5.5. A verificação da adequação da prestação do serviço deverá ser realizada com base nos critérios previstos neste Termo de Referência, anexos e termos integrantes.
5.6. A apuração dos níveis de serviço não considerará os períodos de indisponibilidades justificadas, que podem decorrer de:
a) Períodos de interrupção previamente acordados;
b) Interrupção de serviços públicos essenciais à plena execução das atividades (exemplo: suprimento de energia);
c) Motivos de força maior.
6. DA SUBCONTRATAÇÃO
6.1. Não será admitida a subcontratação do objeto.
7. DA VIGÊNCIA DO CONTRATO
7.1. O contrato terá vigência de 6 (seis) meses, contados a partir da data de sua assinatura, conforme art. 71 da Lei nº 13.303, de 30 de junho de 2016, podendo ser rescindido antes do término da vigência, em virtude da EMGEA ter sido incluída no Programa Nacional de Desestatização – PND.
7.2. Não será admitida a possibilidade de prorrogação contratual.
8. DA INEXECUÇÃO E DA RESCISÃO DO CONTRATO
8.1. A rescisão do contrato se dá:
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
I. De forma unilateral, assegurada a prévia defesa;
II. Por acordo entre as partes, reduzida a termo no processo, desde que haja conveniência para a EMGEA e a CONTRATADA;
III. Por determinação judicial.
8.2. Constituem motivo para a rescisão unilateral do contrato:
I. O não cumprimento de cláusulas contratuais, especificações, projetos ou prazos;
II. A decretação de extinção, falência ou a instauração de insolvência civil;
III. O descumprimento do disposto no inciso XXXIII do artigo 7º da Constituição Federal, que proíbe o trabalho noturno, perigoso ou insalubre a menores de 18 (dezoito) anos e qualquer trabalho a menores de 16 (dezesseis) anos, salvo na condição de aprendiz, a partir de 14 (quatorze) anos;
IV. A prática de atos lesivos à Administração Pública previstos na Lei 12.846/2013;
V. Inobservância da vedação ao nepotismo;
VI. Prática de atos que prejudiquem ou comprometam à imagem ou reputação da EMGEA, direta ou indiretamente.
8.2.1. A rescisão decorrente dos motivos elencados nos incisos III, IV, V e VI será efetivada após o regular processo administrativo.
8.2.2. Os efeitos da rescisão do Contrato serão operados a partir da comunicação escrita sobre o seu julgamento, ou, na impossibilidade de notificação do interessado, por meio de publicação oficial.
8.2.3. Havendo a rescisão do Contrato, cessarão todas as atividades da CONTRATADA, relativamente ao serviço contratado.
9. DO PAGAMENTO
9.1. Os serviços serão medidos durante o seu período de execução conforme condições estabelecidas no Acordo de Nível de Serviço, no Termo de Referência e seus anexos.
9.2. Após a conclusão dos serviços, o Fiscal do Contrato deverá apurar eventuais irregularidades observadas no Acordo de Nível de Serviço e/ou sanções administrativas previstas neste Termo de Referência e na legislação vigente.
9.2.1. O resultado da apuração será comunicado à CONTRATADA em até 2 (dois) dias úteis após a data de conclusão dos serviços, para fins de emissão da Nota Fiscal relacionada à sua prestação.
9.2.2. Caso não permaneçam irregularidades, o Fiscal do Contrato emitirá Termo de Aceite dos serviços prestados.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
9.2.3. Caso contrário, eventuais irregularidades deverão ser sanadas. Neste caso, o ambiente de tecnologia da EMGEA deverá estar totalmente operacional após a conclusão dos serviços para o Termo de Aceite seja emitido pelo Fiscal do Contrato.
9.3. O pagamento dos serviços será realizado após a emissão do Termo de Aceite, mediante apresentação da Nota Fiscal/Fatura correspondente, devidamente atestada pelo Fiscal do Contrato.
9.4. O prazo de pagamento padrão é de 8 (oito) dias úteis, a contar do ateste da Nota Fiscal pelo Fiscal do Contrato.
9.4.1. A CONTRATADA deverá discriminar na nota fiscal/fatura todas as entregas que foram realizadas.
9.4.2. O documento de cobrança não aprovado pelo EMGEA será devolvido à CONTRATADA, acompanhado das informações que motivaram sua rejeição. A devolução do documento de cobrança em hipótese alguma poderá ser pretexto para que a CONTRATADA suspenda a execução dos serviços objeto da licitação, não respondendo a EMGEA por quaisquer encargos resultantes de atrasos na liquidação dos pagamentos correspondentes.
9.4.3. A CONTRATADA deverá encaminhar novo documento de cobrança em até 7 (sete) dias úteis após a entrega dos serviços correspondentes a cada fase.
9.5. Após o recebimento de todos os entregáveis do projeto a EMGEA emitirá o Termo de Aceite, cuja data de assinatura contará para contagem do prazo de garantia dos serviços executados.
9.6. Os pagamentos serão creditados em favor da CONTRATADA, através de ordem bancária contra qualquer entidade bancária indicada na Nota Fiscal/Fatura, devendo para isto, ficar explicitado o nome do banco, agência, localidade e número da conta corrente em que deverá ser efetivado o crédito.
9.7.1. Documentos referentes às entregas realizadas pela CONTRATADA; e
9.7.2. Apuração dos níveis de serviço previstos no Acordo de Nível de Serviço (ANS).
9.8. No caso de fatura emitida com erro, esta será devolvida à CONTRATADA para as necessárias correções, com as informações que motivaram sua rejeição, contando-se o prazo para pagamento da data de sua reapresentação.
9.9. Nenhum pagamento será realizado pela EMGEA sem que antes seja procedida prévia e necessária consulta ao Sistema de Cadastro de Fornecedores – SICAF, para comprovação de regularidade fiscal da CONTRATADA.
9.10. Constatada a situação de irregularidade da CONTRATADA junto ao SICAF, a EMGEA deverá advertir, por escrito, a CONTRATADA para que no prazo de 5 (cinco) dias úteis, regularize sua situação ou, no mesmo prazo, apresente sua defesa. (Instrução Normativa MP nº 2, de 11 de outubro de 2010 e alterações).
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
9.10.1. O prazo disposto no subitem anterior poderá ser prorrogado uma vez, por igual período, a critério da EMGEA.
9.11. Na contagem dos prazos estabelecidos neste Termo de Referência para efeito de pagamento excluir-se-á o dia do início e incluir-se-á o dia do vencimento, só se iniciando e se vencendo os prazos em dia de expediente na EMGEA e considerar-se-ão os dias consecutivos, exceto quando for explicitamente disposto em contrário.
9.12. A EMGEA reserva-se ao direito de suspender o pagamento se os serviços prestados estiverem em desacordo com as especificações constantes neste Termo de Referência.
9.13. Caso a CONTRATADA seja optante pelo Sistema Integrado de Pagamento de Impostos e Contribuições das Microempresas e Empresas de Pequeno Porte – SIMPLES NACIONAL, deverá apresentar junto com a Nota Fiscal a devida declaração, de acordo com a SRF nº 1.540, de 05 de janeiro de 2015, publicada no Diário Oficial de 06, de janeiro de 2015, a fim de evitar a retenção na fonte dos tributos e contribuições, conforme legislação em vigor.
10. DA ESTIMATIVA DE CUSTOS
10.1. O valor total estimado para contratação dos serviços é de R$ 32.807,00 (trinta e dois mil, oitocentos e sete reais), inclusos todos os impostos, encargos, taxas, seguros e demais despesas necessárias a prestação dos serviços, conforme tabela abaixo.
Item | Objeto | Unidade de Medida | Qtd. | Valor Total (R$) |
I | Contratação de empresa especializada na prestação de serviços técnicos em segurança da informação, compreendendo os serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente | Serviço | 1 | 32.807,00 |
externo de tecnologia da informação da Empresa Gestora de Ativos S.A. - EMGEA, emissão de relatórios e apresentação dos resultados, conforme condições, quantidades e exigências estabelecidas neste Termo de Referência e seus anexos. |
11. DA DOTAÇÃO ORÇAMENTÁRIA
11.1. Os recursos orçamentários estão previstos no Programa de Dispêndios Globais – PDG da EMGEA para 2022, aprovado pelo Decreto nº 10.892, de 13.12.2021, e estão distribuídos da seguinte forma:
Conta Contábil | Rubrica Orçamentária | Item Orçamentário |
452.06.06 – Despesas Serv. Terc. Equipamento TI | 2.205.010.000 – Tecnologia da informação | 1080 – Manutenção de Equipamentos e Sistemas TI |
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
Brasília, 24 de agosto de 2022
Xxxxxxx Xxxxxx Xxxxxxxx
Superintendente Executivo
Xxxxxxx Xxxxxx x Xxxxx
Gerente
ANEXO I DO TERMO DE REFERÊNCIA ESPECIFICAÇÃO DOS SERVIÇOS TÉCNICOS
Item | Objeto | Unidade de Medida | Qtd. |
I | Contratação de empresa especializada na prestação de serviços técnicos em segurança da informação, compreendendo os serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da Empresa Gestora de Ativos S.A. - EMGEA, emissão de relatórios e apresentação dos resultados, conforme condições, quantidades e exigências estabelecidas neste Termo de Referência e seus anexos. | Serviço | 1 |
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
1. DAS FASES DE EXECUÇÃO DO OBJETO
1.1. A execução do objeto deverá obedecer às seguintes fases:
FASE | DESCRIÇÃO DOS SERVIÇOS |
Fase 1 | PREPARAÇÃO PARA EXECUÇÃO DOS SERVIÇOS |
Fase 2 | EXECUÇÃO DO SERVIÇO DE ANÁLISE DE VULNERABILIDADES |
Fase 3 | EXECUÇÃO DAS AÇÕES DE CORREÇÃO DE VULNERABILIDADES E MITIGAÇÃO DE RISCOS |
Fase 4 | EXECUÇÃO DO SERVIÇO DE TESTE DE INVASÃO (PENTEST) |
Fase 5 | APRESENTAÇÃO DOS RESULTADOS |
2. FASE 1 – PREPARAÇÃO PARA EXECUÇÃO DOS SERVIÇOS
2.1. Características Gerais
2.1.1. A Fase 1 do projeto será iniciada mediante a realização de uma reunião de kick off entre a EMGEA e a CONTRATADA, em até 5 (cinco) dias úteis após a data de assinatura do Contrato, com no mínimo as seguintes pautas:
2.1.1.1. Apresentação do Fiscal do Contrato pela EMGEA e do preposto da CONTRATADA;
2.1.1.2. Apresentação e nomeação dos membros de ambas as equipes que participarão das atividades;
2.1.1.3. Apresentação e ajustes no escopo de atuação;
2.1.1.4. Definição dos papéis de cada um dos participantes;
2.1.1.5. Definição do Plano de Comunicação para as partes envolvidas, bem como para os fornecedores que possuem contratos de prestação de serviço de suporte técnico e manutenção em ativos e serviços de TI com a EMGEA;
2.1.1.6. Definição do cronograma detalhado de execução das atividades;
2.1.1.7. Planejamento, levantamento de requisitos e orquestração das atividades das Fases 1, 2, 4 e 5;
2.1.1.8. Definição da data de apresentação do Plano de Ação elaborado pela CONTRATADA para a Fase 1;
2.1.1.9. Definição do modelo de divulgação dos resultados para a Fase 5.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
2.1.2. O preposto da CONTRATADA será responsável pela supervisão permanente dos serviços prestados, e atuar como interlocutor principal junto a EMGEA durante todo o período de vigência do contrato, para tratar de todos os assuntos relacionados aos serviços, sem ônus adicional para a EMGEA, além de indicar um substituto em caso de impedimento deste.
2.1.3. A CONTRATADA deve, em conjunto com a EMGEA, alinhar as atividades a serem executadas em todo o projeto e planejar os devidos cronogramas de execução e prazos de entrega de acordo com o Item 8 do Termo de Referência, referente ao objeto desta contratação.
2.1.4. A CONTRATADA deve, após compreender as necessidades da EMGEA e dirimir as dúvidas pertinentes a execução desse Termo de Referência, propor Plano de Ação e cronograma detalhado para execução da análise de vulnerabilidades e teste de invasão (pentest) da infraestrutura de rede, bancos de dados, aplicações web e serviços de TI, assim como os seus respectivos prazos de realização e entrega para avaliação da EMGEA.
2.1.5. O Plano de Ação das atividades, em conformidade com este Termo de Referência, deve contemplar a delimitação das atividades a serem realizadas em cada fase, a data de entrega, a identificação dos responsáveis para realizar a homologação dos produtos a serem entregues, a descrição detalhada das entregas de cada fase, com a estimativa de duração de cada fase e apontar possíveis riscos que podem atrasar os serviços a serem realizados.
2.1.6. A CONTRATADA deverá apresentar todos os artefatos, documentação, relatórios, manuais, pareceres técnicos, atas de reunião e todos os insumos que comprovem a realização dos trabalhos realizados nesta fase.
2.1.7. Após a conclusão das atividades previstas nesta fase, a CONTRATADA disponibilizará Termo de Aceite para a EMGEA validar se os trabalhos realizados atendem as necessidades registradas nesta fase.
2.1.8. O Termo de Aceite deve ter como anexos os documentos comprobatórios das entregas previstas e o detalhamento das atividades que foram desenvolvidas nesta fase.
2.2. Escopo previsto
2.2.1. O escopo dos serviços de análise de vulnerabilidades e teste de invasão (pentest)
abrangem aproximadamente os seguintes ativos e serviços:
2.2.1.1. Ambiente Externo
2.2.1.1.1. 2 (dois) firewalls com VPN;
2.2.1.1.2. 1 (um) serviço de antispam;
2.2.1.1.3. 1 (um) serviço de FTP;
2.2.1.1.4. 2 (dois) links de Internet;
2.2.1.1.5. 4 (quatro) páginas web;
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
2.2.1.1.6. 1 (uma) página web/serviços de empresas terceiras;
2.2.1.1.7. 21 (vinte e um) servidores físicos/virtuais.
2.3. Entregas da Fase 1
Item | Detalhamento do Item |
1 | Ata da reunião de kick-off. |
2 | Plano de Ação (escopo e atividades de cada uma das fases, cronograma, equipes, recursos necessários, etc). |
2.3.1. A CONTRATADA deverá realizar as entregas da Fase 1 em até 5 (cinco) dias úteis
após a data da reunião de kick-off.
3. FASE 2 – EXECUÇÃO DO SERVIÇO DE ANÁLISE DE VULNERABILIDADES
3.1. A prestação dos serviços referentes à Fase 2 terá como escopo o ambiente externo de tecnologia da informação da EMGEA, podendo ocorrer de forma presencial ou remota.
3.2. O serviço de análise de vulnerabilidades poderá ser executado presencialmente, dentro das dependências da EMGEA, ou remotamente. Neste caso, o tipo de conexão remota será acordado entre a EMGEA e a CONTRATADA.
3.3. Para execução dos serviços, a CONTRATADA poderá instalar, no ambiente externo de tecnologia da EMGEA, ferramentas especializadas em análise de vulnerabilidades, observados os dispostos em relação à segurança e sigilo das informações contidos no Termo de Referência.
3.4. Para fins de dimensionamento da proposta, a CONTRATADA deverá utilizar os parâmetros elencados abaixo a fim de sanar possíveis dúvidas para o dimensionamento dos serviços a serem executados nesta fase.
3.5. Deverão ser avaliados serviços externos de TI, servidores, firewalls e outros elementos integrantes de esquemas de proteção, aplicações web (portais, site e sistemas web), além da infraestrutura de roteamento.
3.6. Deverá realizar sondagem e mapeamento de rede, varredura de portas e serviços em execução, identificação de rotas, equipamentos e sistemas operacionais.
3.7. Deverão ser incluídos no relatório todos os endereços IPs analisados e os respectivos serviços encontrados com seus fingerprints (se identificados, caso contrário informar a não identificação).
3.8. Deverão ser efetuadas operações automáticas e manuais de varredura e sondagem, de forma a coletar informação que forneçam subsídios para uma eventual exploração das vulnerabilidades encontradas.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
3.9. Deverão ser alvos desta fase:
I. Eventuais elementos ativos expostos à rede pública que sejam integrantes de esquemas de proteção (firewalls, roteadores, IPS, filtros, proxies e autenticadores);
II. Procura de serviços privilegiados desprotegidos e existência de backdoors;
III. Implantação de coletores de pacotes (packet sniffers), controles remotos e outras ferramentas de monitoração, quando e onde couber;
IV. Busca por vulnerabilidades quanto à personificação de máquinas confiadas (trusted hosts) e eventuais anomalias de roteamento;
V. Vulnerabilidades quanto à adulteração do DNS (DNS spoofing);
VI. Vulnerabilidades associadas a diversos serviços como Web Servers, FTP Servers, MailServers, DNS servers;
VII. Vulnerabilidades associadas a aplicações web expostas ao público;
VIII. Análise do comportamento da aplicação para averiguar se a partir de falhas de segurança na aplicação é possível interagir com recursos do sistema operacional e banco de dados que suporta a mesma;
IX. Análise do comportamento da aplicação em relação aos sistemas operacionais que as abrigam procurando identificar falhas que possam ser exploradas por usuários com acesso aos sistemas, mas não autenticados pelas aplicações;
X. Os serviços executados nesta etapa não devem se resumir ao uso de ferramentas, devendo incluir procedimentos e técnicas não oferecidas por nenhuma ferramenta conhecida.
3.10. A CONTRATADA não deverá alterar a integridade das informações, ou seja, não deve alterar as informações de servidores e sistemas que possam comprometer os serviços prestados pela EMGEA.
3.11. Deverão ser identificadas todas as aplicações existentes em cada host a ser analisado. Uma vez descoberta e identificada uma aplicação, todas as etapas de análise e exploração deverão ser feitas em todas estas aplicações.
3.12. A CONTRATADA deverá apresentar todos os artefatos, documentação, relatórios, manuais e todos os insumos que comprovem a realização dos trabalhos realizados nesta fase. Após a conclusão do trabalho desta fase, a CONTRATADA disponibilizará Termo de Aceite para a EMGEA validar se os serviços prestados atendem às necessidades registradas nesta fase.
3.13. A EMGEA deverá informar a CONTRATADA a correção dos devidos trabalhos realizados, caso compreenda que os serviços prestados e os artefatos apresentados não atendem as necessidades contidas nesta fase.
3.14. A correção dos serviços poderá ser realizada de forma parcial ou total, podendo a EMGEA indicar quais produtos/ativos ou serviços apresentados devem ser ajustados.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
3.15. Caso a correção realizada pela CONTRATADA apresente novamente falhas, a EMGEA não poderá realizar a assinatura do Termo de Aceite, até que as devidas correções sejam realizadas.
3.16. Os serviços de análise de vulnerabilidades deverão ser realizados no ambiente externo de tecnologia da EMGEA, deverão ser executados uma única vez e tem por objetivo identificar, de forma proativa, possíveis falhas e vulnerabilidades de segurança da informação em ativos de rede, bancos de dados, aplicações web, servidores e serviços de TIC da EMGEA, a fim de mitigar a probabilidade de ataques cibernéticos direcionados à EMGEA através da exploração das vulnerabilidades encontradas.
3.16.1. Especificação: serviço de verificação e identificação de falhas e vulnerabilidades externas de segurança da informação já conhecidas, baseadas em CVE (Common Vulnerabilities and Exposures) - lista pública de falhas de segurança da informação que tem como resultado a notificação e a orientação quanto aos procedimentos necessários para mitigação, com intuito de sanar brechas de segurança.
3.17. Para a análise e varredura dos ativos e serviços de tecnologia a CONTRATADA deverá atender aos requisitos abaixo:
3.17.1. Identificar e analisar os sistemas operacionais Windows Server 2012 ou superiores;
3.17.2. Efetuar varredura por endereço IP, sistema operacional, nome DNS, nome NetBIOS ou nome do domínio.
3.18. A CONTRATADA deverá gerar um relatório para um determinado ativo ou serviço, no mínimo, no formato PDF, contendo, no mínimo, para cada vulnerabilidade encontrada:
3.18.1. Descrição;
3.18.2. Nível de severidade;
3.18.3. Exploits disponíveis;
3.18.4. Referências e links para fontes de informações sobre a vulnerabilidade;
3.18.5. Remediação;
3.18.6. Detalhes e evidências da vulnerabilidade.
3.19. Para a Fase 2 a CONTRATADA deve encaminhar o RELATÓRIO DE VULNERABILIDADES ao Fiscal do Contrato da EMGEA em até 10 (dez) dias úteis após a data de início da execução dos serviços desta fase.
3.19.1. Caso sejam necessárias correções nas informações contidas no relatório, o Fiscal do Contrato deve comunicar a CONTRATADA e encaminhar, por escrito, as inconsistências observadas.
3.20. Neste caso, a CONTRATADA deve corrigir as inconsistências observadas e encaminhar o relatório corrigido em até 3 (três) dias úteis, contados a partir da data de recebimento da comunicação por escrito realizada pelo Fiscal do Contrato.
3.21. O período para correção do relatório não deve impactar o início de execução das atividades da fase subsequente.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
3.22. Deverão ser utilizadas ferramentas de análise de vulnerabilidades e técnicas manuais de análise de vulnerabilidades. As ferramentas deverão ser apresentadas para ciência e prévia aprovação, antes de sua efetiva utilização, assim como a metodologia para análise manual de vulnerabilidades.
3.23. Deverão ser atendidos os seguintes quesitos, os quais deverão ser apresentados juntamente no relatório da respectiva fase:
3.23.1. Coleta passiva, na qual deverão ser utilizadas - no mínimo - as seguintes técnicas:
a) Whois e nslookup (consultas DNS);
b) Sites de busca;
c) Listas de discussão;
d) Blogs de colaboradores;
e) Dumpster diving ou trashing;
f) Informações livres;
g) Packet sniffing “passive eavesdropping”;
h) Captura de banner.
3.23.2. Coleta ativa, na qual deverão ser utilizadas - no mínimo - as seguintes técnicas:
3.23.2.1. Port scanning (Mapeamento de rede);
3.23.2.2. Varredura de vulnerabilidade.
3.23.2.2.1. A varredura de vulnerabilidade deverá verificar/identificar, entre outros:
a) Hosts ativos na rede;
b) Portas e serviços em execução;
c) Serviços ativos e vulneráveis nos hosts;
d) Sistemas operacionais;
e) Vulnerabilidades associadas com sistemas operacionais e aplicações descobertas; configurações feitas nos hosts sem observância de boas práticas em segurança computacional;
f) Identificação de rotas e estimativa de impacto, caso estas sejam modificadas/desconfiguradas;
g) Identificação de vetores de ataque e cenários para exploração;
h) Vulnerabilidades Detectadas (CVE);
i) Vulnerabilidades de Alto Risco;
j) Vulnerabilidades de Xxxxx Xxxxx;
k) Vulnerabilidades de Baixo Risco;
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
l) Informações a serem aplicadas na fase de ataques.
3.23.3. Dos serviços e aplicações web:
3.23.3.1. Uso indevido de sistema de arquivos e arquivos temporários;
3.23.3.2. Evasão de informação por configurações default de tratamento de erros;
3.23.3.3. Tratamento indevido de entrada;
3.23.3.4. Problemas relacionados a má configuração dos serviços;
3.23.3.5. Gerenciamento inseguro de sessões web.
3.24. Entregas da Fase 2
Item | Detalhamento do Item |
1 | Relatório da análise de vulnerabilidades realizada no ambiente externo de tecnologia da informação da EMGEA. |
3.24.1. A CONTRATADA deverá realizar a entrega da Fase 2 em até 10 (dez) dias úteis após o início da Fase 2.
4. FASE 3 – EXECUÇÃO DAS AÇÕES DE CORREÇÃO DE VULNERABILIDADES E MITIGAÇÃO DE RISCOS
4.1. A execução dos serviços desta fase será de responsabilidade da equipe técnica da EMGEA, que compreenderá a execução das ações de correção das vulnerabilidades e mitigação de riscos que foram apontados no Relatório de Vulnerabilidades entregue na Fase 2.
5. FASE 4 – EXECUÇÃO DO SERVIÇO DE TESTE DE INVASÃO (PENTEST)
5.1. A prestação dos serviços referentes à Fase 4 terá como escopo o ambiente externo de tecnologia da informação da EMGEA, devendo ocorrer de forma remota.
5.2. A CONTRATADA deverá executar os serviços externamente, fora das dependências da EMGEA, simulando, desta forma, ataques oriundos da Internet.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
5.3. Os serviços de teste de invasão (pentest) terão como base o Relatório de Vulnerabilidades produzido na Fase 2. No entanto, a CONTRATADA poderá explorar outras vulnerabilidades e executar outros testes que não foram realizados na Fase 2.
5.4. Os serviços de teste de invasão (pentest) deverão ser realizados na modalidade Teste de Caixa Cinza (Grey Box), e tem como objetivo principal identificar, mapear, documentar, controlar e corrigir possíveis vulnerabilidades no ambiente de TIC da EMGEA que possam ser explorados pela Internet e/ou fora da rede corporativa da EMGEA.
5.5. As atividades terão como objetivo principal identificar, mapear, documentar, controlar e corrigir possíveis vulnerabilidades. Estes testes envolvem, necessariamente, o uso de técnicas e ferramentas específicas para tentar obter acesso não autorizado e privilegiado.
5.6. O teste de invasão (pentest) será executado uma única vez, conforme escopo definido neste Termo de Referência e cronograma definido na Fase 1 da contratação.
5.7. O teste de invasão (pentest) deve envolver, necessariamente, o uso de técnicas e ferramentas específicas para tentar obter acesso não autorizado e privilegiado às informações.
5.7.1. Especificação: serviço de teste de invasão (pentest) para identificar vulnerabilidades não conhecidas no ambiente de TIC da EMGEA e que possam ser exploradas.
5.8. Deverão ser efetuadas operações automáticas e manuais de varredura e sondagem, de forma a coletar informação que forneçam subsídios para uma eventual exploração das vulnerabilidades encontradas. Se encontradas vulnerabilidades exploráveis, deverão ser efetuadas tentativas sistemáticas de intrusões em profundidade, de forma a avaliar a extensão prática de um ataque bem-sucedido.
5.9. As atividades aqui descritas não devem se resumir ao uso de ferramentas automatizadas, devendo obrigatoriamente ter a atuação de equipes especializadas na realização dos testes.
5.10. O resultado do teste de invasão deve conter pelo menos:
5.10.1. Identificação da vulnerabilidade;
5.10.2. Análise detalhada da vulnerabilidade;
5.10.3. Classificação da vulnerabilidade;
5.10.4. Explicação detalhada, passo a passo, contendo todos os comandos e procedimentos a serem executados para fins de correção ou mitigação da vulnerabilidade.
5.11. Inicialmente, deverão ser efetuadas operações automáticas e manuais de varredura, de forma a coletar informações que forneçam subsídios para uma eventual exploração das vulnerabilidades encontradas.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
5.11.1. Se encontradas vulnerabilidades exploráveis, deverão ser efetuadas tentativas sistemáticas de intrusões em profundidade, de forma a avaliar a extensão prática de um ataque bem-sucedido. Todas as evidências devem ser documentadas.
5.12. Para os casos de testes reativos, aqueles realizados após a ocorrência de um incidente de segurança, deve ser realizada uma análise forense, para identificar as ações externas que comprometeram os ativos de tecnologias, sistemas e aplicações.
5.13. Para toda vulnerabilidade encontrada, a CONTRATADA deverá descrever de forma detalhada as ações para correção.
5.13.1. Caso precise ter acesso às configurações dos ativos ou serviços de tecnologia para propor as soluções de correção, a CONTRATADA deverá justificar a necessidade, ficando a cargo da EMGEA decidir pela liberação.
5.14. O tempo estimado para realização do teste deve considerar as atividades entre varreduras, mapeamentos, testes e análise.
5.15. O prazo para conclusão da Fase 4 será de até 10 (dez) dias úteis após o início desta fase.
5.16. Os testes citados abaixo não são exaustivos. Outros testes não citados poderão e deverão ser realizados caso seja entendimento da equipe técnica da CONTRATADA a importância destes para correta identificação da segurança do objeto a ser testado.
5.17. Todos os testes a serem realizados deverão ser precedidos de caderno de testes, contendo todo o detalhamento das ações a serem executadas, possíveis comprometimentos, possíveis ações de contorno, dentre outras informações que se julguem necessárias para garantia da segurança e do sigilo das informações da EMGEA.
5.18. A aprovação do caderno de testes, condição essencial para início das atividades, deverá ser realizada pela SUTEC - Superintendência de Tecnologia da Informação.
5.19. Quaisquer atividades com suspeita de comprometimento de algum ambiente ou ativo deverá ser imediatamente reportada - antes de sua execução - haja vista a necessidade de manter a disponibilidade dos ambientes e serviços de tecnologia da EMGEA.
5.20. As atividades do “Testes de Invasão (Pentest)” serão acompanhadas e supervisionadas pela EMGEA.
5.21. Quaisquer atividades que possam comprometer ou prejudicar algum ambiente ou ativo, deverá ser imediatamente reportada pela CONTRATADA, antes de sua execução, haja vista a necessidade de manter a disponibilidade dos ambientes e serviços ativos.
5.22. A CONTRATADA deverá realizar testes de vulnerabilidades e invasão em endereços IP's, URL’s, aplicações, ou outro ativo definido no escopo, composto por servidores, bancos de dados, ativos de rede, ativos de segurança e links de Internet, dentre outros.
5.23. Para a realização das atividades, deverão ser observadas as orientações e técnicas emanadas pelos padrões internacionais, além de outros apresentados pela CONTRATADA, caso haja em seu portfólio normativos que, comprovadamente, complementem os demonstrados abaixo:
5.23.1. OSSTMM 3 (The Open Source Security Testing Methodology Manual);
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
5.23.2. ISSAF/PTF (Information Systems Security Assessment Framework);
5.23.3. NIST Special Publication 800-115 (Technical Guide to Information Security Testing and Assessment);
5.23.4. NIST Special Publication 800-42 (Guideline on Network Security Testing);
5.23.5. OWASP TESTING GUIDE 3.0 - The Open Web Application Security Project.
5.24. Deverão ser aplicados - no mínimo - os seguintes tipos de ataques:
5.24.1. Violações do protocolo HTTP;
5.24.2. SQL Injection;
5.24.3. LDAP Injection;
5.24.4. Cookie Tampering;
5.24.5. Directory Transversal;
5.24.6. OS Command Execution;
5.24.7. Command Injection;
5.24.8. Remote Code Inclusion;
5.24.9. Server Side Includes (SSI) Injection;
5.24.10. File disclosure;
5.24.11. Information Leak;
5.24.12. Zero day attacks;
5.24.13. Ataques de ramsonware;
5.24.14. Botnet;
5.24.15. DDoS (Distribuited Denial of Service);
5.24.16. Dos (Denial of Service);
5.24.17. Contra protocolo TCP;
5.24.18. Testes remotos de quebra de senhas via dicionário, força bruta ou man-in-the- middle;
5.24.19. Resistência a spoofers;
5.24.20. Ataques contra a aplicação.
5.25. Os testes de segurança que possam levar a negações de serviço (Denial of Service – DoS e Distributed Denial of Service - DDoS) deverão ser realizados após autorização da EMGEA, que definirá os dias e horários de execução dos testes.
5.25.1. Ao ser detectado sucesso na realização de DoS e DDoS, a CONTRATADA deverá cessar imediatamente este ataque de forma que o ambiente possa responder normalmente aos seus usuários;
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
5.26. Encontradas vulnerabilidades exploráveis ou potencialmente exploráveis, inclusive em aplicações web disponíveis aos usuários via Internet, deverão ser efetuados testes de intrusão em profundidade, de forma a determinar até onde (e em que condições) as eventuais vulnerabilidades podem ser utilizadas por um eventual atacante, e a extensão prática de um ataque.
5.27. A CONTRATADA não deverá alterar a integridade das informações, ou seja, não deve alterar as informações de servidores e sistemas que possam comprometer os serviços prestados pela EMGEA.
5.28. Deverão ser identificadas todas as aplicações existentes em cada host a ser analisado. Uma vez descoberta e identificada uma aplicação, todas as etapas de análise e exploração deverão ser feitas em todas estas aplicações.
5.29. Caso seja possível invadir o ambiente da EMGEA, o atacante deverá criar evidencias do seu ataque, para possível analise, e comprovação do serviço, sem que ocorra prejuízo para o devido ativo atacado ou negócio da empresa.
5.30. Testes de Invasão em Redes
5.30.1. Devem ser identificadas ameaças e vulnerabilidades através de simulações de testes de invasão nos ativos de tecnologia, como roteadores, servidores Windows, switches, firewall e demais elementos da infraestrutura da EMGEA.
5.30.2. Deverão ser realizados mapeamentos e sondagens da infraestrutura, com o objetivo de realizar a varredura por hosts, regras de firewall e detecção de serviços em execução.
5.30.3. Deverão ser realizados, sob autorização da EMGEA, testes remotos de quebra de senhas via dicionário, força bruta ou man-in-the-middle.
5.30.4. Deverão ser realizadas, análises do tráfego da rede, com o intuito de obter informações sensíveis.
5.30.5. Deverão ser realizados o lançamento de códigos maliciosos com o objetivo de explorar as vulnerabilidades encontradas. Essa ação deve ter a autorização da EMGEA.
5.30.6. Devem ser realizados testes de negação de serviços com diversas origens de tráfego simulando um ataque do tipo DDoS real, de forma que os testes possam ser realizados gradativamente, sinalizando à equipe de infraestrutura e produção da EMGEA como a infraestrutura atacada está reagindo durante a execução do ataque. Essa ação deve ter a autorização da EMGEA.
5.30.7. Os ataques de negação de serviços contra protocolo TCP e em nível da aplicação, deverão, cada qual, explorar/demonstrar/utilizar técnicas como:
a) Bugs em serviços, aplicativos e sistemas operacionais;
b) SYN flooding;
c) Fragmentação de pacotes de IP;
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
d) Xxxxx e fraggle;
e) Teardrop, nuke e land.
f) Para ataques contra o protocolo TCP:
g) Sequestro de conexões;
h) Prognóstico de número de sequência do protocolo TCP.
i) Ataque de Xxxxxxx;
j) Source routing.
k) Para ataques em nível da aplicação:
i. Buffer Overflow;
ii. Problemas com o SNMP;
iii. Vírus, worms, trojans, botnets, ransomwares.
l) Injeção de Código:
i. Ataques XSS (Cross-site Scripting);
ii. Comprometimento do acesso remoto;
iii. Manutenção de acesso;
iv. Encobrimento de rastros da invasão.
5.30.8. Deverão ser analisadas vulnerabilidades associadas a diversos serviços como servidores web, servidores de aplicação, servidores FTP, servidores de correio eletrônico, servidores DNS, dentre outros.
5.30.9. A CONTRATADA deverá entregar à EMGEA todo detalhamento dos testes de invasão a serem realizados, desde os ativos que foram testados, qual procedimento
adotado, ferramentas utilizadas, entre outras informações que possam ser solicitadas.
5.30.10. O teste de invasão só poderá acontecer mediante autorização da EMGEA.
5.30.11. Deverá ser comunicado a todo o momento à equipe técnica da EMGEA o andamento da análise, inclusive, se durante o teste de invasão encontrar alguma questão crítica.
5.30.12. Toda e qualquer modificação/alteração da configuração de um ativo no andamento do teste deve ser documentada e comunicada imediatamente, para aprovação pela equipe técnica da EMGEA.
5.31. Testes de Invasão em Aplicações
5.31.1. Deverão ser realizados testes de invasão do tipo “Cross Site Scripting (XSS)”.
5.31.2. Deverão ser realizados testes de invasão do tipo “Injeção de Código (Code Injection)”.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
5.31.3. Deverão ser realizados testes de invasão do tipo “Inclusão Remota de Arquivos
(Remote File Inclusion - RFI)”.
5.31.4. Deverão ser realizados mapeamentos e sondagens, com o objetivo de identificar possíveis vetores de entradas de ataques.
5.31.5. Deverão ser realizados testes de invasão do tipo “Referência Direta a Objetos”.
5.31.6. Deverão ser realizados testes de invasão do tipo “Vazamento de informações”, onde deve ser verificada a exposição inadvertida de informações sobre a aplicação e o servidor que a hospeda.
5.31.7. Deverá ser realizado testes de invasão baseado em “Gerenciamento de Sessões”.
5.31.8. Deverão ser analisadas, pelo menos, as vulnerabilidades dos últimos 2 (dois) relatórios OWASP Top 10.
5.31.9. Caso necessário, devem ser criados ataques customizados baseados na arquitetura das aplicações.
5.31.10. Para testes de invasão direcionados, especificamente, aos serviços prestados via web na Internet, deverão ser observados e aplicado, testes baseados na publicação OWASP TESTING GUIDE 3.0 (The Open Web Application Security Project), podendo ser utilizados:
a) Para testes de coleta de informações: XXXXX-XX-000, XXXXX-XX-000, XXXXXXX-000, XXXXX-XX- 000, XXXXX-XX-000 x XXXXX-XX-000;
b) Para testes de gerenciamento de configuração: OWASP-CM001, OWASP-CM-002, OWASP-CM-003, OWASP-CM-004, OWASP-CM005, OWASP-CM-006, OWASP-CM-007, OWASPCM-008;
c) Para testes de autenticação: OWASP-AT-001, OWASP-AT002, OWASP-AT-003, OWASP-AT-004, OWASP-AT-005, OWASP-AT-006, OWASP-AT-007, OWASP-AT-008, OWASP-AT-009 e OWASP-AT-010;
d) Para testes de gerenciamento de sessão: XXXXX-XX-000, XXXXX-XX-000, XXXXX-XX-000, XXXXX-XX-000, XXXXX-XX-000, XXXXXXX-000;
e) Para testes de autorização: XXXXX-XX-000, XXXXX-XX-000 x XXXXX-XX-000;
f) Para testes de negócio lógico: OWASP-BL-001;
g) Para testes de validação de dados: OWASP-DV-001; OWASPDV-002, OWASPDV-003, OWASP-DV- 004, OWASP-DV-005, OWASP-DV-006,
OWASP-DV-007, | OWASP-DV-008, | OWASPDV-009, | OWASP-DV-010, |
OWASP-DV-011, | OWASP-DV-012, | OWASP-DV-013, | OWASP-DV-014, |
OWASPDV-015 e OWASP-DV-016;
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
h) Para testes de negação de serviços: XXXXX-XX-000, XXXXXXX-000, XXXXXXX-000, OWASP-DS- 004, OWASP-DS-005, OWASP-DS006, OWASP-DS-007 e OWASP-DS-008;
i) Para testes de serviços web: OWASP-WS-001, OWASP-WS002, OWASP-WS-003, OWASP-WS-004, OWASP-WS-005, OWASP-WS006 e OWASP-WS-007.
5.32. Relatório de Teste de Invasão (Pentest)
5.32.1. Após a execução das atividades desta fase, a CONTRATADA deverá elaborar e entregar o “RELATÓRIO DE TESTE DE INVASÃO (PENTEST)”, contemplando, no mínimo, as seguintes informações:
5.32.1.1. Objetivos;
5.32.1.2. Premissas e escopo do teste;
5.32.1.3. Datas e horas dos testes;
5.32.1.4. Metodologia de análise de vulnerabilidades;
5.32.1.5. Descrição das ações realizadas;
5.32.1.6. Metodologias;
5.32.1.7. Vulnerabilidades encontradas;
5.32.1.8. Categorização e severidade das vulnerabilidades;
5.32.1.9. Possíveis problemas aplicáveis;
5.32.1.10. Recomendações e controles de segurança necessários para correção das vulnerabilidades;
5.32.1.11. Apresentação das evidências apuradas;
5.32.1.12. Fontes de pesquisa;
5.32.1.13. Referências e ferramentas utilizadas;
49
5.32.1.14. Informações acessadas; e
5.32.1.15. Demais evidências do sucesso da invasão.
5.32.2. Após a fase de ataque, deverá ser apresentado relatório contendo, no mínimo, as seguintes informações detalhadas:
5.32.2.1. Detalhes da infraestrutura descoberta, alvo dos testes de invasão; equipamentos e recursos demandados para este teste;
5.32.2.2. Tipos de ataque;
5.32.2.3. Prazos (janelas de tempo para execução dos testes);
5.32.2.4. Pontos de contato da contratada (responsáveis para tratamento de questões abordadas nos testes);
5.32.2.5. Tipos de testes realizados pelos especialistas em segurança da informação;
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
5.32.2.6. Confirmação ou refutação da existência de vulnerabilidades;
5.32.2.7. Documentação sobre o caminho utilizado para exploração, avaliação do impacto, e prova da existência da vulnerabilidade;
5.32.2.8. Obtenção de acesso e possível escalada de privilégio;
5.32.2.9. Detalhamento da metodologia do ataque;
5.32.2.10. Recomendações para sanar riscos e vulnerabilidades.
5.33. Entregas da Fase 4
Item | Detalhamento do Item |
1 | Relatório de teste de invasão (pentest) realizado no ambiente de tecnologia da EMGEA. |
5.33.1. A CONTRATADA deverá realizar a entrega da Fase 4 em até 10 (dez) dias úteis após o início da Fase 4.
5.33.2. Além das informações especificadas anteriormente, os relatórios deverão conter, também, as seguintes informações:
5.33.2.1. Descrição das atividades executadas durante o teste;
5.33.2.2. Referência base (Whitepaper);
5.33.2.3. Ameaças encontradas;
5.33.2.4. Riscos levantados ao ambiente computacional;
5.33.2.5. Contramedidas para mitigar as ameaças encontradas.
6. FASE 5 – APRESENTAÇÃO DOS RESULTADOS
6.1. A CONTRATADA deve consolidar os dados encontrados e apresentar os resultados obtidos nas Fases 2 e 4.
6.2. A CONTRATADA deverá promover 2 (duas) apresentações, mediante realização de 2 (duas) reuniões, sendo uma com a equipe técnica e outra com a diretoria executiva da EMGEA, com duração de até 1 (uma) hora cada, e deve conter os principais pontos referentes ao trabalho desenvolvido.
6.3. As reuniões devem ser realizadas, preferencialmente, no formato presencial, nas dependências da EMGEA, em data e horário a serem definidos em comum acordo entre a CONTRATADA e a EMGEA.
6.4. Deverão ser produzidos, no mínimo, os seguintes relatórios:
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
6.4.1. Relatório Executivo: deve conter o resumo gerencial da análise de vulnerabilidades, do teste de invasão (pentest) e seus resultados. Este deve também fornecer informações resumidas dos serviços realizados, para fins de apresentação à diretoria executiva da EMGEA; e
6.4.2. Relatório Técnico: deve conter o resumo técnico da análise de vulnerabilidades, do teste de invasão (pentest) e seus resultados, com o detalhamento completo das atividades executadas, para fins de apresentação para a equipe técnica da EMGEA.
6.5. Para composição do Relatório Técnico, a CONTRATADA deve consolidar todos os dados encontrados nas atividades. As atividades manuais devem ser gravadas em vídeo e os resultados dos testes automatizados devem ser anexados aos relatórios.
6.6. Entende-se por consolidação dos dados encontrados e a apresentação dos resultados a apresentação de toda a documentação gerada ao longo do teste, tanto de forma analítica quanto sintética, a fim de manter registros de todas as atividades de forma transparente, informações como escopo do projeto, ferramentas utilizadas, datas e horários do teste, lista de todas as vulnerabilidades identificadas e exploradas, assim como recomendações para execução de melhorias, realizando a transferência do conhecimento pertinente aos serviços prestados.
6.7. Deve-se esclarecer a metodologia, detalhes técnicos, tecnologia utilizada ao longo dos serviços prestados, informando no mínimo as seguintes informações:
I. Prover a documentação que atenda a todos os benefícios esperados registrados neste Termo de Referência;
II. Entrega de relatório executivo, com conteúdo resumido das análises, testes e resultados, evidenciando os itens mais ofensivos, que deverão ser entregues obrigatoriamente em meio eletrônico;
III. Identificação e registro dos ataques de cada vulnerabilidade, com sua respectiva observação a fim de notificar a EMGEA para tomar as devidas medidas necessárias para propor a mitigação da fragilidade descoberta;
IV. Descrição dos cenários e ambientes de análises;
V. Mapeamento de redes, equipamentos e sistemas;
VI. Descrição das ferramentas e técnicas utilizadas na análise de vulnerabilidades e no teste de invasão (pentest);
VII. Revisão da capacidade e eficiência das regras atuais em manter a segurança dos ativos existentes na EMGEA.;
VIII. Pontos positivos e negativos encontrados na infraestrutura de rede e aplicação
web;
IX. Descrição das vulnerabilidades encontradas (inclusive as detectadas, mas que não obtiveram sucesso de exploração), avaliação dos riscos associados, bem como procedimentos para saná-las ou limitá-las (plano de ação com priorização);
X. Classificação das vulnerabilidades e problemas encontrados, de acordo com a seguinte classificação, padrão de mercado para testes de intrusão: Info (Information), Baixa (Low), Média (Medium), Alta (High), Crítico (Critical).
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
6.8. As vulnerabilidades encontradas devem informar no mínimo os seguintes detalhes:
I. IP do recurso computacional;
II. Nome do recurso computacional;
III. Software ou serviço analisado;
IV. Nível de criticidade (alta, média ou baixa);
V. Origem da ação realizada internamente/externamente (I/E);
VI. Data da execução da atividade;
VII. Descrição das vulnerabilidades;
VIII. Descrição de ameaças;
IX. Evidências;
X. Análise de impacto – categorização e ponderação de ameaças;
XI. Procedimentos de correção ou contramedidas recomendadas pela equipe especializada da CONTRATADA;
XII. Resultados efetivos da análise/testes/ataques;
XIII. Propor melhorias de capacidade e recursos a serviços existentes;
XIV. Recomendação para a manutenção, incremento da proteção ou sugestão da remediação;
XV. Recomendações de correções, minimização de riscos, melhores práticas de mercado, e procedimentos operacionais;
6.9. A CONTRATADA deverá alinhar os riscos e vulnerabilidades encontradas, verificando as respectivas prioridades referentes ao impacto que possam causar ao negócio.
6.10. A CONTRATADA deverá informar os pontos positivos encontrados na infraestrutura de segurança/aplicação da EMGEA.
6.11. A CONTRATADA deverá apresentar todos os artefatos, documentação, relatórios, manuais, pareceres técnicos, atas de reunião e todos os insumos que comprovem a realização dos trabalhos realizados nesta fase.
6.12. Após a conclusão do trabalho desta fase, a CONTRATADA disponibilizará Termo de Aceite para a EMGEA validar se os trabalhos realizados atendem as necessidades registradas nessa fase.
6.13. A EMGEA deverá informar a CONTRATADA a correção dos devidos trabalhos realizados. Esse cenário poderá ocorrer quando a EMGEA compreender que os serviços prestados e os artefatos apresentados não atendem as necessidades contidas nesta fase.
6.14. A correção dos serviços poderá ser realizada de forma parcial ou total, podendo a EMGEA indicar quais serviços apresentados devem ser ajustados.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
6.15. Caso a correção realizada pela CONTRATADA apresente novamente falhas, a EMGEA não poderá realizar a assinatura do Termo de Aceite, até que as devidas correções sejam realizadas.
6.16. Entregas da Fase 5
Item | Detalhamento do Item |
1 | Apresentação dos resultados para a equipe técnica. |
2 | Apresentação dos resultados para a diretoria executiva. |
3 | Relatório técnico, em meio eletrônico, contendo todos os documentos e arquivos produzidos durante a análise de vulnerabilidades e o teste de invasão (pentest). |
4 | Relatório executivo, em meio eletrônico. |
5 | Relatório de recomendações. |
6.16.1. A CONTRATADA deverá realizar as entregas da Fase 5 em até 5 (cinco) dias úteis
após o início da Fase 5.
ANEXO II DO TERMO DE REFERÊNCIA DECLARAÇÃO DE VISTORIA
Declaramos para fins de participação no Pregão Eletrônico nº xx/2022, que o Sr(a). xxxxxxxxxxxx, RG nº xxxxxxxx, representante indicado(a) pela empresa xxxxxxxxxxxx, inscrita no CNPJ sob nº xxxxxxxxxx, visitou nesta data as dependências da Empresa Gestora de Ativos – EMGEA, onde tomou conhecimento dos serviços a serem prestados no âmbito da EMGEA, e esclareceu todas as dúvidas sobre a execução do objeto licitado.
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
A empresa acima citada declara que não alegará posteriormente o desconhecimento de fatos evidentes à época da vistoria, para solicitar qualquer alteração no valor do Contrato que viermos a celebrar, caso seja a vencedora.
Brasília, xx de xxxxx de 2022.
ANEXO III DO TERMO DE REFERÊNCIA PLANILHA DE PREÇOS
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
Valores Estimados em Reais (R$)
Item | Objeto | Unidade de Medida | Qtd. | Valor Total (R$) |
I | Contratação de empresa especializada na prestação de serviços técnicos em segurança da informação, compreendendo os serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da Empresa Gestora de Ativos S.A. - EMGEA, assim como a emissão do Relatório Final de vulnerabilidades, conforme condições, quantidades e exigências estabelecidas neste Termo de Referência e seus anexos. | Serviço | 1 | 32.807,00 |
EMGEA
Fl.: DIRAD/SUTEC
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
ANEXO IV DO TERMO DE REFERÊNCIA ANÁLISE DE RISCOS
EVENTO DE RISCO | RISCO | CONSEQUÊNCIA | CONTROLE | PROBABILIDADE | IMPACTO |
Execução de serviços por colaborador com desvios éticos | Risco de compras e contratações | ▪ Fraude em compras e contratações; ▪ Vazamento de informações estratégicas ou sigilosas. | ▪ Treinamento, workshop e orientações sobre ética. ▪ Políticas, normas e procedimentos internos. ▪ Legislação vigente. ▪ Termo de Consentimento para Tratamento dos Dados Pessoais, Sigilo e Responsabilidade. | BAIXA | MÉDIO |
Suspensão ou cancelamento de procedimentos licitatórios | Risco de compras e contratações | ▪ Necessidade de novo processo licitatório. ▪ Não prestação dos serviços que seriam contratados. ▪ Penalidades e sanções administrativas | ▪ Equipe da Licitação. ▪ Análise do procedimento licitatório pelas unidades envolvidas da EMGEA. | BAIXA | MÉDIO |
Inobservância de normas externas | Risco de conformidade | ▪ Prestação de serviços em desconformidade com normas externas. ▪ Penalidades e sanções administrativas. ▪ Suspensão ou cancelamento de procedimentos licitatórios | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Monitoramento do ambiente regulatório. ▪ Aplicação das recomendações observadas em normas externas. | BAIXA | BAIXO |
Inobservância de normas internas | Risco de conformidade | ▪ Prestação de serviços em desconformidade com normas internas. ▪ Penalidades e sanções administrativas. | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Políticas e normas e procedimentos internos. | BAIXA | BAIXO |
Descontinuidade de prestação de serviços | Risco de terceiro | ▪ Realização de um novo procedimento licitatório. ▪ Prestação de serviços interrompida ou não conclusão de serviços. | ▪ Instrumentos contratuais a aplicação de penalidade, multa e/ou rescisão. ▪ Fiscais de contratos. | MÉDIA | MÉDIO |
Falha na prestação de serviços | Risco de terceiro | ▪ Penalidades e sanções ▪ Roubo ou sequestro de dados pessoais. ▪ Vazamento de informações estratégicas ou sigilosas. | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Prestação dos serviços por empresa especializada. ▪ Prestação dos serviços por técnicos treinados e qualificados para a prestação dos serviços contratados. | BAIXA | BAIXO |
Interrupção temporária de prestação de serviços | Risco de terceiro | ▪ Indisponibilidade parcial ou total da prestação dos serviços. ▪ Vazamento de informações estratégicas ou sigilosas. | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Fiscais de contratos. | BAIXA | BAIXO |
Prestação de serviço em desacordo com o contratado | Risco de terceiro | ▪ Penalidades e sanções. ▪ Vazamento de informações estratégicas ou sigilosas. ▪ Indisponibilidade parcial ou total de sistemas. | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Fiscais de contratos. | BAIXA | MÉDIO |
EMGEA
Fl.: DIRAD/SUTEC
EVENTO DE RISCO | RISCO | CONSEQUÊNCIA | CONTROLE | PROBABILIDADE | IMPACTO |
Falha de tratamento de dados pessoais pelo prestador de serviços | Risco de terceiro | ▪ Risco de imagem à EMGEA, seus colaboradores e/ou terceiros. ▪ Vazamento de informações estratégicas ou sigilosas. ▪ Roubo, perda ou alteração de dados pessoais. | ▪ Instrumentos contratuais com cláusulas relativas à LGPD. ▪ Fiscais de contratos. | BAIXA | BAIXO |
Perda ou danos em ativos físicos | Risco de terceiro | ▪ Indisponibilidade parcial ou total de sistemas. | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Fiscais de contratos. | BAIXA | BAIXO |
Não atendimento de demandas ou atendimento intempestivo e/ou com baixa qualidade | Risco de terceiro | ▪ Falta de prestação dos serviços contratados. ▪ Indisponibilidade parcial ou total de sistemas. | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Prestação dos serviços por empresa especializada. ▪ Prestação dos serviços por técnicos treinados e qualificados para a prestação dos serviços contratados. | BAIXA | MÉDIO |
Furto/roubo de bens ou valores | Risco de terceiro | ▪ Furto/roubo ou bens de propriedade da EMGEA ou de seus colaboradores. ▪ Vazamento de informações estratégicas ou sigilosas | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Supervisão da EMGEA sobre os técnicos da Contratada. ▪ Verificação das condições e infraestrutura do ambiente da Contratada. ▪ Monitoramento CFTV. | BAIXA | MÉDIO |
Uso indevido da informação | Risco de terceiro | ▪ Risco de imagem à EMGEA, seus colaboradores e/ou terceiros. ▪ Constrangimento. ▪ Vazamento de informações estratégicas ou sigilosas. | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Trilhas de auditoria nos serviços e servidores de TI. | MÉDIA | MÉDIO |
Apropriação indébita | Risco de terceiro | ▪ Apropriação de equipamentos ou bens de propriedade da EMGEA ou de seus colaboradores. ▪ Penalidades e sanções administrativas. ▪ Inobservância de normas. | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Supervisão da EMGEA sobre os técnicos da Contratada. ▪ Monitoramento CFTV. | BAIXA | MÉDIO |
Vazamento de informações estratégicas ou sigilosas | Risco de terceiro | ▪ Risco de imagem à EMGEA, seus colaboradores e/ou terceiros. ▪ Constrangimento. ▪ Penalidades e sanções administrativas. ▪ Inobservância de normas internas. | ▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Trilhas de auditoria nos serviços e servidores de TI. | BAIXA | MÉDIO |
Este documento foi assinado digitalmente por Xxxxxxx Xxxxxx X Xxxxx e Xxxxxxx Xxxxxx Xxxxxxxx.
Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código 04D1-2127-7AF8-4A61.
PROTOCOLO DE ASSINATURA(S)
O documento acima foi proposto para assinatura digital na plataforma Portal de Assinaturas EMGEA. Para verificar as assinaturas clique no link: xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx/Xxxxxxxxx/00X0-0000-0XX0- 4A61 ou vá até o site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx e utilize o código abaixo para verificar se este documento é válido.
Código para verificação: 04D1-2127-7AF8-4A61
Hash do Documento
7CCC325BB77753537B318135B5E146A1922F165E974395BE86267E67B3219E3C
O(s) nome(s) indicado(s) para assinatura, bem como seu(s) status em 25/08/2022 é(são) :
Xxxxxxx Xxxxxx x Xxxxx - 000.000.000-00 em 24/08/2022 18:17 UTC-03:00
Nome no certificado: Xxxxxxx Xxxxxx X Xxxxx
Tipo: Certificado Digital
Xxxxxxx Xxxxxx Xxxxxxxx - 000.000.000-00 em 24/08/2022 16:48 UTC-03:00
Nome no certificado: Xxxxxxx Xxxxxx Xxxxxxxx
Tipo: Certificado Digital