TERMO DE REFERÊNCIA FOR-DILOG-001-0 9 (v.01)
-
TERMO DE REFERÊNCIA
FOR-DILOG-001-0
9 (v.01)
OBJETO
Contratação de empresa especializada para fornecimento de links dedicados de acesso à internet e links IP/MPLS, por fibra óptica, interligando as unidades remotas no interior com a sede administrativa, dispondo também de solução integrada de proteção de rede com características de Next Generation Firewall (NGFW), conectividade WIFI, firewall de aplicação, gerenciamento de logs, oferecendo serviço de segurança multicamada, atendendo assim às necessidades do Tribunal de Justiça do Estado do Acre (TJAC), conforme disposições deste Termo de Referência.
JUSTIFICATIVA DA NECESSIDADE DA CONTRAÇÃO
MOTIVAÇÃO
A contratação desse serviço visa a continuidade da disponibilidade de acesso à rede mundial de computadores, por meio da Internet, de forma ininterrupta. Se justifica pela necessidade deste Tribunal de Justiça demandar acesso à internet com velocidade e eficiência adequadas para as mais diversas funções das unidades do interior do estado, tais como: acesso à rede e aos sistemas SAJ, SEI, Malote Digital, E-mail, Videoconferências, dentre outros.
Tendo em vista que as soluções de TIC estão sendo cada vez mais utilizadas na gestão deste órgão, onde cada vez mais os sistemas dependem de conexão online, como o SAJ, SEI, Malote Digital, Ponto Digital, Videomonitoramento, E-mail, dentre outros, é de extrema importância a contratação de link de internet por este Tribunal.
A contratação de links de internet deverá suportar um conjunto de aplicações e sistemas, visto que atenderá a sede e as unidades no interior.
De igual modo, o TJAC precisa garantir a segurança de seus sistemas computacionais. O advento de novas ameaças tecnológicas requer a adoção de novas soluções de segurança para garantir a integridade dos dados armazenados dentro da nossa infraestrutura de tecnologia da informação. A solução deverá conter atualização constante para garantir a excelência da tecnologia empregada, visando se antecipar a possíveis falhas, brechas e problemas.
Vale ressaltar que as soluções de firewall, gerenciamento de logs e o serviço de segurança multicamada irão auxiliar na proteção dos dados e na prevenção de vazamentos, favorecendo para que este
Assineadnoteeleftirqonuiceamementce oponrfAoMrmILAidRaSdAeLcEoSmALaVELSe, Ti éGcneircaolJdudeicPiárroiot,eeçmão19d/0e4/D20a24do11s:1(0L:3G1 PD), que foi sancionada em agosto
de 2018, bem como a aplicação da Resolução 396/2021 do CNJ - Estratégia Nacional de Segurança Cibernética.
FUNDAMENTAÇÃO
O objeto da contratação está previsto no Plano de Contratações Anual, conforme detalhamento a seguir: I) ID PCA no PNCP: 04034872000121-0-000003/2024;
Data de publicação no PNCP: 10/04/2024;
Id do item no PCA: 162;
Classe/Grupo: 491 - SERVIÇOS DE PROCESSAMENTOS DE DADOS - PESSOA JURÍDICA
JUSTIFICATIVA PARA O AGRUPAMENTO DE ITENS
O objeto da presente licitação foi agrupado por XXXXX, à luz do art. 40, da Lei Geral de Licitações, 14.133/21, de maneira que a fragmentação em itens acarretaria a perda do conjunto; perda da economia de escala; redundaria em prejuízo à celeridade da licitação; ocasionaria a excessiva pulverização de contratos ou resultaria em contratos de pequena expressão econômica.
Do agrupamento por lote de itens que guardem homogeneidade entre si.
Nas licitações de objetos divisíveis o Tribunal de Contas da União entende que o julgamento seja feito por item, e não por preço global. Contudo, há situações em que se faz necessário aglutinar os itens com o intento de casar aquisições, visto que poderá haver um vínculo entre eles, ou se comprados separadamente prejudicarão o resultado esperado pela Administração.
Nesse caso, apesar dos objetos serem divisíveis, eles guardam estrita identidade de natureza e características semelhantes, além de guardar correspondência com sua composição, podendo cada lote ser fornecido por um mesmo fornecedor, por se tratarem de objetos comuns ao ramo de empresa de comercialização de Serviços de Telecomunicação e Serviços de Transmissão de dados, concretizando, assim, os princípios da competitividade.
Da fragmentação em itens acarretar a perda do conjunto.
O parcelamento do objeto somente se justifica e fundamenta quando houver viabilidade técnica e, principalmente, ganho econômico para a Administração Pública. No presente caso não há viabilidade técnica, uma vez que a falta de um componente prejudicaria todo o conjunto, de nada adiantaria ter a Internet Dedicada, sem ter o sistema de transmissão, como por exemplo. Há necessidade que todos os itens estejam disponíveis para o funcionamento do Sistema.
Assinado eletronicamente por AMILcA)R DSAaLEpSerAdLVaEdS,aTéeccnoicnooJmudiiaciádrieo,eesmca19la/0.4/2024 11:10:31
O § 3°, inciso I do art. 40, da Lei n. 14.133/2021 determina que as compras efetuadas pela Administração sejam divididas em tantas parcelas quantas se comprovarem técnica e economicamente viáveis, procedendo-se a licitação com vistas ao melhor aproveitamento dos recursos disponíveis no mercado e a ampliação da competitividade sem perda da economia de escala.
Quanto maior a quantidade a ser comprada, maior poderá ser o desconto na compra de bens e serviços. Esse ganho está relacionado com o aumento da quantidade adquirida sem um aumento proporcional no custo e está intrinsecamente relacionado ao princípio da economicidade insculpido no art. 70 de nossa Carta Magna.
A economia de escala é definida como aquela que ocorre a partir de determinado patamar de quantidade de itens comercializados e pode acarretar relevante desconto na aquisição dos bens e serviços.
De tal modo, que no caso em tela a adoção critério de julgamento menor preço por lote permite o melhor aproveitamento dos recursos disponíveis no mercado e a ampliação da competitividade, sem perda da economia de escala, como por exemplo, a empresa que ganhar o lote fornecerá todos os itens, acarretando, consequentemente, uma diminuição nos custos e economia de escala.
Do prejuízo à celeridade da licitação.
Um dos fatores que pode ser levado em conta na elaboração de um edital por lote é o interesse na celeridade do processo, que busca simplificar procedimentos de rigorismos excessivos e de formalidades desnecessárias. As decisões, sempre que possível, devem ser tomadas no momento da sessão.
Da pulverização de contratos.
A licitação por itens corresponde, na verdade, a uma multiplicidade de licitações, cada qual com existência própria e dotada de autonomia jurídica, mas todas desenvolvidas conjugadamente em um único procedimento, documentado nos mesmos autos. Esta exagerada divisão de objeto pode ocasionar uma excessiva pulverização dos contratos, tornando mais dispendiosa a contratação.
Por outro lado, neste caso a adoção do critério de julgamento menor preço por lote para a Contratação de empresa de Telecomunicações especializadas para prestação de Serviços Continuado de: Comunicação dedicada para acesso à rede mundial de computadores- Internet- na modalidade terrestre suportando aplicações TCP/IP, resultaria na contratação da quantidade necessária de empresas fornecedora/licitante, não ocorrendo a pulverização de contratos. Ainda há, com base no interesse público, maior segurança ao cumprimento do contrato.
Por fim, há que se observar o caso concreto, avaliando a conveniência e oportunidade, de modo a satisfazer da melhor forma o interesse público, pois cada contratação tem suas especificidades, in casu a aquisição por lote é mais vantajosa para a
Administração, em decorrência dos riscos inerentes à própria execução, pois, não restam dúvidas, o objeto pretendido, quando executado por inúmeros contratados, poderá não ser integralmente entregue, tendo em vista problemas na relações jurídicas mantidas com diversos contratados.
Dos contratos de pequena expressão econômica.
Em razão da adoção do critério de menor preço por lote, não será celebrado contrato de pequena expressão econômica. Em caso contrário, a licitação por itens similares geraria a situação de celebrar vários contratos de pequena expressão econômica.
DA PADRONIZAÇÃO – SOLUÇÃO DE SEGURANÇA DE BORDA
Atualmente, o Tribunal de Justiça do Estado do Acre possui 19 (dezenove) firewalls corporativos de nova geração (NGFW), 53 (cinquenta e três) pontos de acesso WIFI, 02 (dois) firewalls de aplicação (em cluster), um gerenciador de logs e um concentrador de gerenciamento centralizado que foram oriundos do Contrato nº 02/2022 e suas alterações, sem indicação de fabricante, mas que fossem capazes de operar em ambientes corporativos com fluxo massivo de dados.
Observa-se também que a totalidade, ou seja, 100% (cem por cento) das soluções de firewall administrado por esta GESEG, que se encontram atualmente em produção, são do fabricante FORTINET, sendo o modelo Fortigate 501E na Sede, bem como os modelos Fortigate 30E e Fortigate 100D nas unidades do interior. As boas práticas na área de TI recomendam, visando garantir desempenho homogêneo, adoção de padronização dos ativos e equipamentos de segurança de rede.
Ademais, a legislação vigente permite fazer tal procedimento, como nos ensina o Art. 40, Inciso V, da Lei 14.133/2021, in verbis:
“Art. 40. As compras, sempre que possível, deverão:
V - atender ao princípio da padronização, que imponha compatibilidade de especificações técnicas e de desempenho, observadas, quando for o caso, as condições de manutenção, assistência técnica e garantia oferecidas;”
Sobre o tema, importante destacar a doutrina jurídica de Xxxxxx Xxxxxx Xxxxx (2000, p. 143), que diz que a cláusula “sempre que possível” não remete à discricionariedade da Administração. Não é equivalente a “quando a Administração Pública quiser”. A fórmula verbal torna impositiva e obrigatória a adoção das providências constantes do elenco, ressalvadas as hipóteses em que tal for “impossível”.
Nota-se claramente que a atenção à padronização com base em nível de desempenho e qualidade vem elevada a caráter de princípio lógico, portanto, tido como regra geral a ser adotada nas compras governamentais.
Uma das principais vantagens que a padronização pode proporcionar, sob os aspectos técnico e
econômico, é o aproveitamento do know-how utilizado na manutenção e conservação dos novos produtos – tendo por paradigma as experiências anteriores – bem como o uso dos mesmos insumos que passarão a atender não só aos antigos equipamentos como a todos os novos, padronizados.
Deve-se, neste sentido, seguir o padrão de fabricante das soluções de segurança, levando em consideração ainda, que a equipe de Gerência de Segurança da Informação deste TJAC, já realizou ao longo do tempo, várias capacitações e treinamentos em soluções do fabricante FORTINET, possuindo grande expertise nesse tipo de solução, com mais de 5 anos de utilização, sendo necessário portanto, para manutenção da continuidade do negócio, atendendo a padrões mínimos de segurança, a padronização das soluções ora existentes.
DETALHAMENTO DO OBJETO
A CONTRATADA deverá fornecer links urbanos e interurbanos para interligação das unidades do Poder Judiciário do Estado do Acre na capital e interior, localizadas nos endereços indicados a seguir, utilizando tecnologia MPLS ou semelhante superior e de acesso à internet com disposições e características, conforme abaixo:
-
LOTE 01 – LINK PRINCIPAL CAPITAL E COMARCAS DO INTERIOR
ITEM
DESCRIÇÃO
VELOCIDADE
QUANTIDADE
1
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /27, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo e solução de segurança de borda para o Anexo I da Sede do Tribunal de Justiça DC 1 e/ou no DC 2 localizado na Cidade da Justiça. (O licitante vencedor deste LOTE não poderá ser o vencedor do LOTE
II).
1Gb
1
2
Concentrador MPLS com suporte a banda total dos links remotos. No Anexo I da Sede do Tribunal de Justiça DC 1
e/ou no DC 2 localizado na Cidade da Justiça.
1,2Gb
1
3
Link Interurbano do tipo MPLS para o Fórum de Senador Xxxxxxxx.
Avenida Castelo Branco, S/N – CEP 69.925-000.
Senador Xxxxxxxx.
50Mb
1
4
Link Interurbano do tipo MPLS para o Fórum de Xxxxxxx xx Xxxxxx. Xxx Xxxxxxx Xxxxxxx, 0000 – XXX 00.000-
000. Xxxxxxx xx Xxxxxx.
50Mb
1
5
Link Interurbano do tipo MPLS para o Fórum de
Acrelândia. Xxxxxxx Xxxxxxxxxx Xxxxxxx Xxxxx, 000 –
XXX 00.000-000. Acrelândia.
50Mb
1
6
Link Interurbano do tipo MPLS para o Fórum de Capixaba.
Xxx Xxxxxxxxx Xxxxxxxx xx Xxxxxxx, X/X – XXX 00.000-000. Capixaba.
50Mb
1
7
Link Interurbano do tipo MPLS para o Fórum de Xapuri. Xxx Xxxxxxxx Xxxxxxx, 00 – XXX 00.000-000.
Xapuri.
50Mb
1
8
Link Interurbano do tipo MPLS para o Fórum de Sena Madureira. Xxx Xxxxx Xxxxxxxxxxx, 000 – XXX 00.000-000. Sena Madureira.
50Mb
1
9
Link Interurbano do tipo MPLS para o Fórum de Manoel Urbano. Xxx Xxxxxx xx Xxxxxx, 0.000 – CEP
69.950-000. Xxxxxx Xxxxxx.
50Mb
1
10
Link Interurbano do tipo MPLS para o Fórum de Feijó. Xxxxxxxx Xxxxxxxx Xxxxxxx, 000 – XXX 00.000-000.
Feijó.
50Mb
1
11
Link Interurbano do tipo MPLS para o Fórum de Tarauacá. Avenida Xxxxxxx Xxxxx, S/N – CEP 69.970-000.
Tarauacá.
50Mb
1
12
Link Interurbano do tipo MPLS para Cidade da Justiça de Cruzeiro do Sul. BR 307, KM 09, nº 4090 – CEP
69.980-000. Cruzeiro do Sul.
100Mb
1
13
Link Interurbano do tipo MPLS para o Fórum de Xxxxxx Xxxx. Xxx Xxxxxxx X. xx Xxxxxxxx, 000 – XXX
00.000-000. Xxxxxx Xxxx.
50Mb
1
14
Link Interurbano do tipo MPLS para o Fórum de Brasiléia.
Avenida Xxxx Xxxxx, S/N – CEP 69.932-000. Brasiléia.
50Mb
1
-
15
Link Interurbano do tipo MPLS para o Fórum de Epitaciolândia. BR 317, KM 01 – CEP
69.934-000 - Epitaciolândia.
50Mb
1
-
16
Link Interurbano do tipo MPLS para o Fórum de Assis Brasil. Xxx Xxx Xxxxxxxx Xxxxx Xxxxxx, 000 – XXX
00.000-000. Assis Brasil.
50Mb
1
17
Link Interurbano do tipo MPLS para o CIC – Centro Integrado de Cidadania. Xxx xx Xxxxxxxx, X/X –
XXX 00.000-000. Porto Acre
50Mb
1
18
Link Interurbano do tipo MPLS para o CIC – Centro
Integrado de Cidadania. Avenida Presidente Xxxxxx, S/N – CEP: 69.985-000. Xxxxxxxxx Xxxxx.
50Mb
1
19
Link Interurbano do tipo MPLS para o Fórum de Bujari. BR 364, KM 28, Nº 390, Bujarí - Acre – CEP 69.923-
000
50Mb
1
20
Link Interurbano do tipo MPLS para Centro Cultural do
Juruá, Xxxxx Xxxx Xxxxxx, x.° 300, Centro. CEP: 69.980-000
50Mb
1
21
Link Interurbano do tipo MPLS para o Palácio da Justiça,
Xxx Xxxxxxxx Xxxxxxxx, 000, Xxxxxx, Xxx Xxxxxx - Xxxx - 00000-000
50Mb
1
-
LOTE 02 – LINK REDUNDANTE CAPITAL/INTERIOR
ITEM
DESCRIÇÃO
VELOCIDADE
QUANTIDADE
1
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /27, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Anexo I da Sede do Tribunal de Justiça e/ou no DATACENTER localizado na Cidade da Justiça. (O vencedor deste LOTE não poderá ser o mesmo
vencedor do LOTE I)
1Gb
1
2
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Senador Xxxxxxxx.
Avenida Castelo Branco, S/N – CEP 69.925-000.
Senador Xxxxxxxx.
(O vencedor deste LOTE não poderá ser o mesmo vencedor do LOTE I)
50Mb
1
3
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Xxxxxxx xx Xxxxxx. Xxx Xxxxxxx Xxxxxxx, 0000 – XXX 00.000-
000. Xxxxxxx xx Xxxxxx.
50Mb
1
4
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de
Acrelândia. Xxxxxxx Xxxxxxxxxx Xxxxxxx Xxxxx, 000 –
XXX 00.000-000. Acrelândia.
50Mb
1
5
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Capixaba. Xxx Xxxxxxxxx Xxxxxxxx xx Xxxxxxx, X/X – XXX
00.000-000. Capixaba.
50Mb
1
6 |
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Xapuri. Xxx Xxxxxxxx Xxxxxxx, 00 – XXX 00.000-000. Xapuri. |
50Mb |
1 |
7 |
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Sena Madureira. Xxx Xxxxx Xxxxxxxxxxx, 000 – XXX 00.000-000. Sena Madureira. |
50Mb |
1 |
8 |
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Manoel Urbano. Xxx Xxxxxx xx Xxxxxx, 0.000 – CEP 69.950-000. Xxxxxx Xxxxxx. |
50Mb |
1 |
9 |
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Feijó. Xxxxxxxx Xxxxxxxx Xxxxxxx, 000 – XXX 00.000-000. Feijó. |
50Mb |
1 |
10
ado eletron |
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Tarauacá. Avenida Xxxxxxx Xxxxx, S/N – CEP 69.970-000. icaTmaernatue apcoráA. XXXXX XXXXX XXXXX, Técnico Judiciário, em 19/04/2024 11:10:31 |
50Mb |
1 |
Assin
-
11
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Cidade da Justiça de Cruzeiro do Sul. BR 307, KM 09, nº 4090 – CEP
69.980-000. Cruzeiro do Sul.
100Mb
1
12
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Xxxxxx Xxxx. Xxx Xxxxxxx X. xx Xxxxxxxx, 000 – XXX
00.000-000. Xxxxxx Xxxx.
50Mb
1
13
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Brasiléia. Avenida Xxxx Xxxxx, S/N – CEP 69.932-000. Brasiléia.
50Mb
1
14
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Epitaciolândia. BR 317, KM 01 – CEP 69.934-000.
Epitaciolândia.
50Mb
1
-
15
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Assis Brasil. Xxx Xxx Xxxxxxxx Xxxxx Xxxxxx, 000 – XXX
00.000-000. Assis Brasil.
50Mb
1
-
16
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o CIC – Centro Integrado de Cidadania. Xxx xx Xxxxxxxx, X/X
–
XXX 00.000-000. Porto Acre
50Mb
1
17
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o CIC – Centro Integrado de Cidadania. Avenida Presidente Xxxxxx,
S/N – CEP: 69.985-000. Xxxxxxxxx Xxxxx.
50Mb
1
18
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Fórum de Bujari. BR 364, KM 28, Nº 390, Bujarí - Acre – CEP 69.923-
000
50Mb
1
19
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Centro Cultural do Juruá,
Xxxxx Xxxx Xxxxxx, x.x 000, Xxxxxx. CEP: 69.980-000
50Mb
1
-
20
Serviço de acesso à Internet, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento /30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para o Palácio da Justiça, Xxx Xxxxxxxx Xxxxxxxx, 000, Xxxxxx, Xxx Xxxxxx - Xxxx - 00000-
000
50Mb
1
-
21
Serviço de acesso à Internet extra, tipo dedicado, com garantia de banda e entrega de endereço IP no barramento
/30, com proteção
em backbone contra ataques DDoS e Serviço de Monitoramento proativo para capital e interior do Estado do Acre, onde há disponibilidade de fibra óptica de alta velocidade.
50Mb
2
-
LOTE 03 – SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO
ITEM
DESCRIÇÃO
UNIDADE
QUANTIDADE
1
Serviço de Firewall Corporativo TIPO I, com funcionalidades de SDWAN, Firewall, IPS e Controle de Aplicação habilitadas simultaneamente em Alta Disponibilidade (HA)
CLUSTER
2
2
Serviço de Firewall Corporativo TIPO II, com funcionalidades de SDWAN, Firewall, IPS e Controle de Aplicação habilitadas
simultaneamente
UNIDADE
4
3
Serviço de Firewall Corporativo TIPO III, com funcionalidades de SDWAN, Firewall, IPS e Controle de Aplicação habilitadas
simultaneamente
UNIDADE
1
4
Serviço de Firewall Corporativo TIPO IV com funcionalidades de SDWAN, Firewall, IPS e Controle de Aplicação habilitadas simultaneamente
UNIDADE
28
5
Serviço de Gerenciamento Centralizado licenciado para pacotes
mínimos de 100 dispositivos
PACOTE
4
6
Serviço de Relatoria e de Análise de Logs em tempo real
UNIDADE
1
7
Serviço de Firewall de Aplicação Web capaz de prover proteção
aos servidores de aplicação
CLUSTER
2
8
Serviço de Segurança de Endpoint com recursos de EPP e ZTNA
LICENÇA
3000
9
Serviço de Gerenciamento de Identidade licenciado para pacotes mínimos de 1000 usuários locais ou remotos com autenticação multifator, incluindo token de usuário individual
PACOTE
3
10
Serviço de Loab Balance capaz de prover balanceamento de carga
de aplicações
CLUSTER
2
11
Serviço de conectividade de rede WIFI com pontos de acesso tipo
“indoor”
UNIDADE
150
DETALHAMENTO DOS OBJETOS GERAIS
A CONTRATADA deve estar devidamente autorizada pela Agência Nacional de Telecomunicações
ANATEL para prestação de serviço dos LOTES 01 e 02;
A CONTRATADA do LOTE 01, não poderá ser a CONTRATADA do LOTE 02 e vice-versa. Objetivando atender aos requisitos de saídas distintas de conectividade para promover a redundância do serviço;
Inclui-se, na execução dos serviços a serem contratados, o fornecimento de equipamentos necessários ao funcionamento do objeto deste Termo de Referência, bem como a instalação, garantia, suporte e assistência técnica, objetivando atender nossa necessidade atual de comunicação, com manutenção e reposição de partes e peças;
A solução proposta deverá contemplar todos os equipamentos necessários, tais como: modem, roteadores, sub-bastidor, fontes, softwares, numeração IP e serviços necessários para implantação e manutenção. O valor, tanto de instalação, quanto mensal do circuito de dados, bem como roteador e equipamentos necessários, deverão estar previstos na formação de preço dos itens;
As licitantes a serem contratadas aplicarão nos equipamentos, quando necessário, substituição de partes e peças originais, adequadas, novas ou, quando não, que mantenham as especificações técnicas do fabricante, ficando desde logo, autorizada pelo TJAC;
O Tribunal de Justiça do Estado do Acre não estará obrigado a adquirir os quantitativos dispostos neste Termo de Referência, devendo adquirir os serviços de acordo com a sua necessidade, mediante emissão de nota de empenho e ordem de serviço;
Os serviços que não forem adquiridos imediatamente ficarão contratados aguardando a emissão de ordem de serviço, mediante disponibilidade orçamentária e financeira, sendo ativados conforme necessidade e conveniência da CONTRATANTE;
Os itens do LOTE 03 devem possuir características de Next Generation Firewall (NGFW), com funcionalidades de SD-WAN (Software Defined WAN), além de outras funcionalidades inerentes a solução de segurança de rede;
Todos os itens citados são de serviço contínuo, que serão pagos de forma MENSAL, desde que devidamente formalizado a Autorização de Fornecimento.
Todos os itens citados são de serviço contínuo, que serão pagos de forma MENSAL, desde que devidamente formalizado a Autorização de Fornecimento.
ENDEREÇOS DE IP E VELOCIDADES
As velocidades estão de acordo com a resolução 211/2015 do CNJ Art. 24 Item VI, onde exige 2 (dois) links de comunicação do órgão com a internet, mas com operadoras distintas para o acesso à rede de dados, com o máximo de comprometimento de banda de 80%, como é demonstrado nos LOTE 1 e LOTE 2, do Termo de Referência. Visa ainda atender a Resolução CNJ 370/2021 que não anula as ações/iniciativas do TJAC para atender os requisitos mínimos do nivelamento tecnológico da infraestrutura de TIC, conforme recomendado na Resolução 211/2015 no Art. 24, item VI, conforme deliberado na reunião com CNJ, em 10/03/2021, constante no SEI 0000550-59.2021.0000 item 18 (0944980):
“Com A Revogação da Res. CNJ nº 211/2015 e a publicação da Res. CNJ nº 370/2021 novas estratégias foram traçadas. Entendemos que, pelo bem da Administração Pública, as estratégias passadas se tornaram boas práticas que merecem ser continuadas ou mesmo aperfeiçoadas.”
O serviço dedicado de acesso à internet deve ser entregue com no mínimo 16 (dezesseis) endereços IPs públicos fixos (rede /27) válidos para os links de 1 Gbps (ITEM 1 dos LOTES 01 e 02) e 02 (dois) IPs públicos fixos (rede /30) válidos para os demais itens do LOTE 02, livres para uso pela CONTRATANTE, sendo que esses IPs não deverão ser do mesmo bloco utilizado pelos usuários de IPs dinâmicos, ou terem sido anteriormente de blocos de endereços IP utilizados para este fim;
D5.3. xxxxx constar em sua proposta técnica de atendimento, quais os blocos livres em seu “AS” (Autonomous System) serão utilizados para atendimento no grupo de itens pretendidos, e os referidos IPs devem constar em consulta pública de prefixos na internet (Ex.: xxxxx://xxx.xx.xxx/);
A CONTRATADA deverá reservar estes endereços IP exclusivamente para o CONTRATANTE, independente de utilização;
Os endereços fornecidos não deverão constar em nenhum tipo de lista de bloqueio (RBL: Real-time Blackhole List ou DNSBL: DNS-based Blackhole List), seja qual for o motivo.
CARACTERÍSTICAS E ESPECIFICAÇÕES – LOTE 01 E LOTE 02
A CONTRATADA deverá disponibilizar meios de aferir a velocidade do link instalado. Caso esse requisito não seja atendido, a CONTRATADA não poderá refutar os meios utilizados pela CONTRATANTE para aferir as velocidades contratadas;
Os serviços de acesso deverão ficar disponíveis na modalidade 24h/dia, 7 (sete) dias/semana, sem a necessidade de procedimentos para conexão/desconexão;
O link de acesso à internet deverá possuir dimensionamento correto para garantir a transmissão de dados de acordo com as velocidades contratadas;
Não possuir nenhum tipo de restrição de uso, operando 24h/dia, 7 (sete) dias/semana, sem limite de quantidade de dados trafegados, nem restrição de tipo de dados trafegados, porta lógica ou serviço, devendo ser considerada a banda disponível em cada acesso;
Não será permitido acesso XDSL;
Não será permitido o fornecimento de enlaces via satélite, para os LOTES 01 e 02.
SERVIÇO DE PROTEÇÃO NO BACKBONE CONTRA ATAQUES DDOS – LOTE 01 – ITEM 01 E
TODOS ITENS LOTE 02.
A CONTRATADA deverá disponibilizar em seu backbone proteção contra ataques de negação de serviço, evitando assim a saturação da banda da internet e indisponibilidade dos serviços em momentos de ataques DOS (Denial of Service) e DDOS (Distributed Denial of Service);
A CONTRATADA deve disponibilizar pelo menos um Centro Operacional de Segurança (ou SOC – Security Operations Center) no Brasil, com equipe especializada em monitoramento, detecção e mitigação de ataques, com opção de atendimento em idioma português brasileiro através de telefone 0800, correio eletrônico, durante as 24 (vinte e quatro) horas do dia, nos 7 (sete) dias da semana, no período de vigência contratual;
O acesso à internet (circuito de dados) não poderá ser subcontratado de terceiros, devendo a CONTRATADA fornecer ambos os serviços, solução ANTI-DDOS e circuito de dados;
A técnica ANTI-DDOS utilizada deverá ser por métrica de volumetria, assim a CONTRATADA deverá enviar junto com a proposta técnica, qual a estratégia utilizada para mitigação de ataques DDOS sobre o circuito de dados;
A solução ANTI-DDOS deverá prover o serviço de mitigação de ataques de negação de serviço (DoS – Denial of Service) para o circuito de conectividade IP dedicada à internet, sejam eles distribuídos (DDoS – Distributed Denial of Service) ou não;
A CONTRATADA deve possuir e disponibilizar no mínimo 1 (um) centro de limpeza nacional cada um com capacidade de mitigação de no mínimo 20 Gbps e no mínimo 1 (um) centro de limpeza internacional com capacidade de mitigação de no mínimo 40 Gbps;
Não haverá taxa adicional por volume de mitigação de ataques DDoS (Distributed Denial of Service) nos IPs monitorados;
A alteração de capacidade de mitigação deverá ser implementada em um prazo máximo de 5 dias úteis, a contar da data de solicitação formal através de correio eletrônico encaminhado via chave oficial ou de autorizado pelo Tribunal de Justiça do Acre;
O ataque deve ser mitigado separando o tráfego legítimo do malicioso, de modo que os serviços de internet providos pelo CONTRATANTE continuem disponíveis;
A limpeza do tráfego deverá ser seletiva e atuar somente sobre os pacotes destinados ao IP atacado, todo tráfego restante não deverá sofrer nenhuma forma de limpeza ou desvio;
A solução deve possuir mecanismos para filtragem de pacotes anômalos, garantindo a validade
das conexões, sem efetuar qualquer limitação com base no número de sessões ou de pacotes por
endereço, de
modo a evitar o bloqueio de usuários legítimos;
A CONTRATADA deve tomar todas as providências necessárias para recompor a disponibilidade do link em caso de incidentes de ataques de DDoS, recuperando o pleno funcionamento deste;
Para a mitigação dos ataques o tráfego só deverá ser encaminhado para limpeza fora do território brasileiro nos casos em que os centros nacionais não suportarem a capacidade de mitigação e a demanda de ataques, no restante os ataques de origem nacional deverão ser tratados nos centros nacionais e os de origem internacional nos centros internacionais;
O envio de tráfego para mitigação em centros internacionais deverá ser justificado em relatório;
A solução deve implementar mecanismos capazes de detectar e mitigar todos e quaisquer ataques que façam o uso não autorizado de recursos de rede, para protocolo IPv4, incluindo, mas não se restringindo aos seguintes:
Ataques de inundação (Bandwidth Flood), incluindo Flood de UDP e ICMP;
Ataques à pilha TCP, incluindo mal-uso das Flags TCP, ataques de RST e FIN, SYN Flood e TCP Idle Resets;
Ataques que utilizam fragmentação de pacotes, incluindo pacotes IP, TCP e UDP;
Ataques de Botnets, Worms e ataques que utilizam falsificação de endereços IP origem (IP Spoofing).
Em nenhum caso será aceito bloqueio de ataques de DOS e DDOS por ACLs em roteadores de borda da CONTRATADA;
Caso o volume de tráfego do ataque ultrapasse as capacidades de mitigação especificadas ou sature as conexões do AS, devem ser tomadas contramedidas tais como aquelas que permitam o bloqueio seletivo por blocos de IP de origem no AS pelo qual o ataque esteja ocorrendo, utilizando técnicas como Remote Triggered Black Hole;
Realizar a comunicação da ocorrência do ataque à CONTRATANTE imediatamente após a detecção;
A solução deve permitir a proteção, no mínimo, do tráfego dos serviços web (HTTP/HTTPS), DNS, VPN, FTP e correio eletrônico;
Outras configurações deverão ser possíveis, como exemplo monitoração de um cliente por sub-interface no PE;
A CONTRATADA deverá disponibilizar relatórios mensais de mitigação de ataques, contendo no mínimo horário de início do ataque, horário de início de ação de mitigação, horário de sucesso da mitigação e horário de fim do ataque. Em conjunto com o relatório mensal relatórios dinâmicos deverão ser disponibilizados em até 48 horas após um ataque por solicitação da CONTRATANTE;
A CONTRATADA deverá comprovar por meio de Atestado de Capacidade Técnica, fornecido por pessoa jurídica de direito público ou privado, declarando ter a empresa licitante fornecido ou estarem fornecendo serviço de limpeza contra ataques DDOS (Distributed Denial of Service);
A CONTRATADA deverá apresentar relatório analítico, enviado mensalmente ao cliente;
A CONTRATADA terá no máximo 15 minutos para iniciar a mitigação de ataques de DOS e DDOS;
A interface digital a ser conectada no backbone do TRIBUNAL DE JUSTIÇA DO ACRE deverá seguir o padrão Gigabit Ethernet, ou superior quando necessário;
Os serviços ofertados deverão operar no regime 24x7 (vinte e quatro horas por dia, sete dias por semana);
O backbone IP do provedor deve ter saída com destino direto a outros provedores de backbone IP nacionais de nível Tier 1, 2 e 3, com banda de 100 Gbps no mínimo;
Nos períodos de ataque a latência do circuito deverá ser de no máximo 150 ms (milissegundos) quando a mitigação se originar do(s) centro(s) de limpeza nacional(is) e de no máximo 250 ms (milissegundos) quando se originar do(s) centro(s) internacional(is);
A solução deverá possuir funcionalidades de monitoramento, detecção e mitigação de ataques, mantidas em operação ininterrupta durante as 24 (vinte e quatro) horas do dia, nos 7 (sete) dias da semana, no período de vigência contratual;
A análise realizada para fins da solução deverá ser passiva sem utilização de elementos da rede da CONTRATANTE para coleta dos dados a serem analisados;
A mitigação de ataques deve ser baseada em arquitetura na qual há o desvio de tráfego suspeito comandado pelo equipamento de monitoramento, por meio de alterações do plano de roteamento;
A solução deve manter uma lista dinâmica de endereços IP bloqueados, retirando dessa lista os endereços que não enviarem mais requisições maliciosas após um período considerado seguro por um determinado cliente;
A solução deve suportar a mitigação automática de ataques, utilizando múltiplas técnicas como whitelists, blacklists, limitação de taxa, técnicas desafio-resposta, descarte de pacotes malformados, técnicas de mitigação de ataques aos protocolos HTTP/HTTPS, DNS, VPN, FTP, NTP, UDP, ICMP, correio eletrônico, bloqueio por localização geográfica de endereços IP, dentre outras;
A solução deve implementar mecanismos capazes de detectar e mitigar todos e quaisquer ataques que façam o uso não autorizado de recursos de rede, para protocolo IPv4 e IPv6, incluindo, mas não se restringindo aos seguintes:
Ataques de inundação (Bandwidth Flood), incluindo Flood de UDP e ICMP;
Ataques à pilha TCP, incluindo mal-uso das Flags TCP, ataques de RST e FIN, SYN Flood e TCP Idle Resets;
Ataques que utilizam Fragmentação de pacotes, incluindo pacotes IP, TCP e UDP;
Ataques de Botnets, Worms e ataques que utilizam falsificação de endereços IP origem (IP Spoofing).
DA ESPECIFICAÇÃO DO SERVIÇO DE FIREWALL CORPORATIVO – LOTE 03 – ITENS 01 a 04
Assin8ad.1o .elNetrãoonicsaemreãnoteapcoer iAtMasILsAoRluSAçLõEeSs AbLaVsEeSa,dTaéscneicmo JPuCdisciádreiou, esmo 1g9e/0r4a/2l.02T4o1d1o:1s0:o31s equipamentos a serem fornecidos
deverão ser do mesmo fabricante para assegurar a padronização e compatibilidade funcional de todos os recursos;
Os equipamentos devem ser novos, ou seja, de primeiro uso, de um mesmo fabricante. Na data da proposta, nenhum dos modelos ofertados poderão estar listados no site do fabricante em listas de end-of-life ou end-of-sale;
Quaisquer licenças e/ou softwares necessários para plena execução de todas as características descritas neste Termo de Referência deverão ser fornecidos e atualizados durante a vigência do contrato, seja ele utilizado de forma virtual ou física, local ou em nuvem;
O licenciamento das soluções de segurança devem estar ativos durante toda a vigência do contrato, sendo de responsabilidade da CONTRATADA realizar a ativação em tempo hábil para que as proteções de segurança e todas as funcionalidades das soluções estejam disponíveis. O atraso na ativação das licenças, deixando o ambiente da CONTRATADA vulnerável ou com funcionalidades limitadas, poderá acarretar responsabilização contratual;
O gerenciamento das soluções de segurança de primeiro nível, ficará a cargo da equipe da CONTRATANTE;
A CONTRATADA será responsável pelos serviços de suporte nível 2 (dois) e nível 3 (três), bem como, a instalação/implantação e a migração das soluções do LOTE;
Caso haja necessidade a CONTRATANTE poderá solicitar auxílio mediante solicitação para realizar quaisquer atividades inerentes às soluções de segurança ora especificadas à CONTRATADA.
DA GARANTIA DE BANDA – LOTE 01 E LOTE 02
Os serviços de acesso à internet e conectividade MPLS por meio dos links dedicados deverão possuir garantia mínima de 99,35% (noventa e nove vírgula trinta e cinco por cento) da banda contratada, para download e upload;
Os serviços de acesso à internet deverão possuir latência (A latência é o tempo que um pacote IP leva para ir e voltar (round-trip) de um ponto a outro da rede) menor que 80 (oitenta) milissegundos e no máximo 2% de perda de pacotes no circuito, comprovados através de relatórios estatísticos de acompanhamento. Os relatórios poderão ser solicitados pela CONTRATANTE à CONTRATADA a qualquer tempo;
Requisitos obrigatórios para os links urbanos e interurbanos:
-
ITEM
REFERÊNCIA
URBANO
(CAPITAL INTERNET)
INTERURBAN
O (INTERIOR INTERNET)
INTERURBANO
(INTERIOR MPLS)
Tipo de Acesso
Acesso por Fibra Óptica, que garantam o funcionamento de todas as especificações deste
Termo de Referência
Sim
Sim
Sim
-
Disponibilidade de Serviço
Relação entre o tempo de operação plena e prejudicada
no período de 30 dias
99,35%
99,35%
99,35%
Tempo Máximo de Retardo Admissível
O tempo máximo de retardo na comunicação unilateral entre o ponto de conexão e o roteador de borda da Proponente para um pacote de 32 bytes
Fibra Óptica
:
= ou < 80 MS
Fibra Óptica:
= ou < 100 MS
Fibra Óptica:
= ou < 50 MS
Banda Mínima Garantida
Banda mínima disponível para acesso à Internet para cada um dos pontos contemplados
Fibra Óptica
:
100% da banda
Fibra Óptica: 100% da banda
Fibra Óptica: 100% da banda
Ativação
Período entre a solicitação e ativação do Serviço
Até 60
(sessenta) dias
Até 60 (sessenta) dias
Até 60 (sessenta) dias
Prazo de Manutenção
Período máximo para o restabelecimento do serviço, contado a partir do momento da abertura do chamado até a
finalização do atendimento
12 (doze) horas
24 (vinte e quatro) horas
24 (vinte e quatro) horas
Prazo Mínimo de notificação de Manutenção Preventiva ou Atualização de
Recursos Técnicos
Período mínimo entre a notificação do cliente pela operadora até o início da interrupção programada
07 (sete) dias
07 (sete) dias
07 (sete) dias
-
Abertura de Chamado
Disponibilidade de atendimento para solicitações de reparos, HELPDESK da Operadora CONTRATADA e discagem sem cobrança (0800) em língua portuguesa
24 x 07
(00:00 às
24:00 de
Segunda a Domingo)
24 x 07
(00:00 às 24:00
de Segunda a Domingo)
24 x 07
(00:00 às 24:00
de Segunda a Domingo)
Horário de Reparo
Disponibilidade de atendimento técnico a partir da abertura da chamada
24 x 07
(00:00 às
24:00 de
Segunda a Domingo)
24 x 07
(00:00 às 24:00
de Segunda a Domingo)
24 x 07
(00:00 às 24:00
de Segunda a Domingo)
Casos de responsabilidade da CONTRATADA:
(Período máximo para o restabelecimento do serviço, contado a partir do momento da abertura do chamado até a finalização do atendimento)
Em
Rio Branco:
Máximo de 03 (três) horas
Até 300 km de Rio Branco:
Máximo de 06 (seis) horas
Acima de 300 km de Rio Branco:
Máximo de 12 (doze) horas
CARACTERÍSTICAS DOS SERVIÇOS – REDE XXXX.XXX
10.1 A rede TJAC será composta pelos links listados nos LOTE 1 e LOTE 2, deste Termo de Referência;
A LICITANTE deverá fornecer senha de acesso com permissão a acesso de leitura dos equipamentos, a fim de proporcionar ao TJAC ferramentas de avaliação técnica, proporcionando adoção de ações preventivas ou corretivas;
Os roteadores fornecidos pela LICITANTE deverão estar com SNMP, COMUNIDADE, RMON e TRAP habilitados para leitura, de sorte a proporcionar ao TJAC ferramentas de avaliação técnica, proporcionando adoção de ações preventivas ou corretivas;
O link concentrador deverá ser entregue pela CONTRATADA em um único meio físico, sem fracionar (Mux, modem óptico ou outro equipamento);
Seguir o padrão DSCP (DiffServ Code Point), conforme a RFC 2474;
Possuir suporte à tradução de endereços IP (NAT);
Possuir suporte a classe de serviço para fragmentação de pacotes;
Possuir suporte a classe de serviço para reserva de banda;
Possuir suporte a classe de serviço para listas de controle de acesso;
A topologia da rede TJAC deverá ser full-mesh ou hub-spoke, mediante solicitação da CONTRATANTE, sendo o padrão full-mesh;
Os serviços de intranet são os acessos à rede virtual privada (VPN), a ser criada pela CONTRATADA em seu backbone IP/MPLS, por onde fluirá o tráfego de dados entre as diversas unidades do CONTRATANTE;
Garantir o roteamento das conexões dedicadas utilizando protocolo MPLS – Multiprotocol Label Switching;
Cada acesso não poderá ser compartilhado com nenhum outro cliente da CONTRATADA e deverá ser capaz de absorver 100% (cem por cento) do tráfego referente à velocidade contratada;
Operar em conformidade com, no mínimo, as seguintes RFCs:
RFC 3031: “Multiprotocol Label Switching Architecture”;
RFC 3032: “MPLS Label Stack Encoding”;
RFC 3270: “Multi-Protocol Label Switching (MPLS) Support of Differentiated Services”;
RFC 2474: “Definition of the Differentiated Services Field in the IPv4 and IPv6 Headers”;
RFC 2475: “An Architecture for Differentiated Services”.
Permitir a classificação e marcação de diferentes níveis de tráfego (CoS e QoS), sendo implementadas as seguintes classes de serviço:
Tempo Real Voz e/ou Vídeo: Aplicações sensíveis ao retardo (delay) e variações de retardo da rede (jitter), que exigem a priorização de pacotes de dados e reserva de banda na rede;
Dados Prioritários: Aplicações interativas, que exigem entrega garantida e tratamento prioritário. São os dados envolvidos nas aplicações essenciais às atividades fins do CONTRATANTE;
Dados Comuns (mínimo 25% da banda total do acesso): Aplicações com mensagens de tamanho muito variado e não imprescindíveis às atividades fins do CONTRATANTE, aplicativos de dados que não necessitam de priorização, como páginas web, e-mails. Para esta classe a rede deverá permitir o fluxo do tráfego de dados por meio da técnica best effort e impedindo que esse tráfego afete negativamente as demais classes.
A banda a ser definida para cada classe de serviço em cada acesso da rede será acordada futuramente entre o CONTRATANTE e a CONTRATADA, quando da solicitação do serviço;
O serviço contratado deverá permitir modificações ou ampliações sem que estas impliquem na interrupção do restante das conexões da rede;
Poderão ser solicitados, durante a vigência do contrato, novos acessos, alterações de velocidade, de tipo, de classes de serviços ou mudanças de endereço;
Quaisquer alterações dos serviços serão solicitadas pelo CONTRATANTE, através de documento próprio a ser definido após a assinatura do contrato;
É de responsabilidade do CONTRATANTE definir o endereçamento IP da rede, bem como suas regras de roteamento;
Caso o CONTRATANTE necessite alterar o endereçamento IP e/ou as regras de roteamento, o prazo de atendimento será acordado entre as partes e a solicitação será mediante ofício entregue a CONTRATADA.
SUBSTITUIÇÃO OU TROCA DOS EQUIPAMENTOS
Todos os equipamentos entregues no âmbito deste Termo de Referência e da futura contratação, deverão ser substituídos sem ônus ao CONTRATANTE, a qualquer tempo, durante a vigência do contrato, nos seguintes casos:
Caso entre em end-of-support pelo fabricante do equipamento;
Caso esteja em end-of-sale no momento da entrega;
Caso deixe de receber atualizações de firmware ou sistema operacional do fabricante que contenham novas funcionalidades ou otimizações, sendo desconsiderado atualizações críticas de segurança;
Caso a utilização de memória ou processamento estejam afetando o desempenho do equipamento, após diagnóstico com a CONTRATADA ou fabricante;
11.1.5 Em outros casos, quando necessário, avaliados em conjunto com a CONTRATADA, sempre levando em consideração a disponibilidade dos serviços e a prestação jurisdicional.
A CONTRATADA terá 60 dias corridos para realizar a substituição ou troca, a contar da formalização do pedido pela CONTRATANTE ou a detecção proativa da necessidade por parte da CONTRATADA; 11.3.Os equipamentos substitutos, deverão ter a especificação igual ou superior a contida neste Termo de Referência;
11.4. No caso “11.1.4”, a especificação do equipamento substituto deverá ser suficiente para atender a demanda do CONTRATANTE, de modo a solucionar o problema de utilização de processamento ou memória.
CONDIÇÕES GERAIS
Para quaisquer itens a serem fornecidos, a CONTRATADA não poderá fornecer IP fixo PRIVADO, somente IPs PÚBLICOS e válidos para a rede pública de internet;
A CONTRATADA será responsável pelo fornecimento, de todos os insumos necessários (modens, roteadores, equipamentos para fibra óptica etc.) para o correto funcionamento de acesso à internet, conforme especificado neste Termo de Referência;
A CONTRATADA deve realizar a instalação do link no rack de telecomunicações da
CONTRATANTE em cada endereço fornecido na Ordem de Serviço ou em rack próprio, fornecido pela CONTRATADA, caso necessário;
O preparo da infraestrutura, os serviços de instalação e configuração de todos os equipamentos fornecidos será de responsabilidade da CONTRATADA;
A CONTRATADA deverá garantir o funcionamento de todos os equipamentos e acessórios instalados nas dependências da CONTRATANTE sem a necessidade de operadores locais;
A CONTRATADA será responsável pelos serviços de manutenção dos links de acesso internet e de todos os equipamentos fornecidos conforme definido neste Termo de Referência;
Caberá a CONTRATANTE a responsabilidade por toda infraestrutura elétrica (aterramento, DG etc.) interna às unidades dos órgãos necessária para o funcionamento adequado do serviço;
O serviço deverá ser prestado 24 horas por dia, 07 dias por semana, todos os dias do ano, durante todo o período de vigência do contrato, salvaguardados os casos de interrupções programadas, devidamente autorizadas pelo CONTRATANTE;
Qualquer interrupção programada pelo provedor para manutenção preventiva e/ou substituição dos equipamentos e meios utilizados, desde que possa causar interferência no desempenho do serviço prestado, deverá ser comunicada à CONTRATANTE com antecedência mínima de 5 (cinco) dias úteis, por meio de correio eletrônico ou WhatsApp, e somente será realizada com a concordância do CONTRATANTE;
As interrupções programadas deverão ser efetuadas no período compreendido entre 22h e 05h do horário do Acre;
A CONTRATADA deverá fornecer as conexões dedicadas à CONTRATANTE obrigatoriamente terrestres e implementadas por meio de fibra óptica;
O serviço deverá ser ofertado com velocidades simétricas, links full duplex;
A CONTRATADA deverá instalar os links de Internet, sendo que tal acesso não poderá ser compartilhado com nenhum outro cliente da CONTRATADA, com a garantia de qualidade de serviços mínima exigida;
A equipe técnica da CONTRATANTE definirá e repassará à CONTRATADA o “range” de endereçamento IP LAN utilizado na rede local tanto da Sede do TJAC quanto de suas unidades do interior, quando da instalação dos links de acesso à internet e configurações dos equipamentos. O endereçamento IP LAN a ser utilizado é privado;
O endereçamento IP WAN a ser utilizado pela(s) CONTRATADA(s) nas conexões dedicadas fornecidas deve ser restrito da respectiva operadora, ou seja, IP não divulgado e nem utilizado pelo público Internet;
Os equipamentos fornecidos, bem como os links de internet deverão suportar e implantar o roteamento de endereços IPv4 e IPv6 nativamente;
A CONTRATADA deverá respeitar integralmente os índices de SLA (Service Level Agreement ou Acordo de Nível de Serviço) definidos neste Termo de Referência;
A CONTRATADA deverá fornecer circuito com conectividade direta com a internet através de acessos dedicados em fibra óptica em anel redundante automaticamente, e portas IP exclusivas com o
fornecimento total de conectividade IP (Internet Protocol) com suporte a aplicações TCP/IP;
A CONTRATADA deverá prover o acesso direto à internet, de forma não compartilhada, devendo estar disponível 24 (vinte e quatro) horas por dia, durante os 07 (sete) dias da semana, e constituir-se de acessos permanentes, dedicados, e com total conectividade IP, interligando a CONTRATADA à internet através de canais privativos que possuam redundância de rota até ao backbone da CONTRATADA fora do Estado;
A CONTRATADA deverá prover gerência proativa da porta IP, a qual consiste em monitorar a porta do roteador instalado na CONTRATANTE, efetuando a verificação automática da disponibilidade do link no máximo a cada 05 (cinco) minutos. Caso o roteador da CONTRATANTE não responda após 03 (três) tentativas, deverá ser disparado procedimentos de correção e a CONTRATANTE deverá ser avisada em até 30 minutos;
A CONTRATANTE poderá solicitar, de acordo com sua necessidade, mudança de numeração de bloco de endereços IPs válidos, sem custo adicional;
O backbone oferecido deve possuir, em operação, canais próprios e dedicados, interligado diretamente a pelo menos 1 (um) outro sistema autônomo (AS Autonomous Systems) nacional com saída a partir do estado do Acre, e a pelo menos 1 (um) outro sistema autônomo (AS Autonomous Systems) internacional. Deverá o somatório das bandas de saída entre os AS (nacional e internacional) ser de pelo menos 1 Gigabit/s;
A CONTRATADA deverá disponibilizar sistema que permita aferir a qualidade do backbone de internet ao qual o CONTRATANTE está conectado, fornecendo, no mínimo: latência do backbone, perda de pacotes do backbone, se limitando ao serviço prestado pela CONTRATADA, o monitoramento entre o CPE (Customer Premises Equipment) e PE (Provider Edge) e disponibilidade do backbone.
ACORDO DO NÍVEL DE SERVIÇOS (SLA) – LOTE 01 E LOTE 02
Entende-se por disponibilidade média mensal do núcleo da rede o índice que mede o tempo que uma rede esteve operacional para transmissão e recepção de pacotes IP;
A CONTRATADA deverá garantir que todos os links tenham SLA (Service Level Agreement) estabelecido de, no mínimo, 99,35% (noventa e nove vírgula trinta e cinco por cento) de disponibilidade, a ser medida mensalmente através de ferramenta disponibilizada, sem custo, pela CONTRATADA;
O Índice de Disponibilidade Mensal será calculado através da seguinte fórmula:
Id = ((Tm - Ti) / Tm) * 100 Onde:
Id = Índice de Disponibilidade Mensal dos serviços
Ti = Somatório dos Períodos de Indisponibilidade, em minutos, no mês de faturamento Tm = Tempo Total Mensal de operação, em minutos, no mês de faturamento
Para o cálculo do índice de disponibilidade, o “Tempo Total Mensal” será calculado a partir do total de
dias da prestação do serviço vezes 1440 (mil quatrocentos e quarenta) minutos.
Com base no Id - Índice de Disponibilidade Mensal, será calculado a DIFANS - Diferença entre contratado (meta a cumprir) e o Id - Índice de Disponibilidade Mensal.
CÁLCULO DIFANS DESCRIÇÃO DIFANS = MC - ID
DIFANS - Diferença entre o ANS contratado (meta a cumprir) e o Índice de Disponibilidade Mensal calculado ID - Índice de Disponibilidade Mensal
MC - Meta a cumprir
MC - Meta a cumprir é o percentual mínimo de disponibilidade que o link deve estar operante durante o respectivo mês, considerando o ANS e o tipo de link, conforme a seguir:
TIPOS DE ACESSO MC
Links de acesso a Internet e MPLS, urbanos ou interurbanos. 99,35%
Com base no DIFANS - Diferença entre o ANS contratado (meta a cumprir) e Índice de Disponibilidade Mensal, será definido o desconto a ser aplicado sobre o valor mensal do respecitvo link, conforme a seguir:
FAIXA DE DIFERENÇA DESCONTO
-
0 < DIFANS ≤ 0,5
2%
0,5 < DIFANS ≤ 1,5
5%
1,5 < DIFANS ≤ 3,0
10%
3,0 < DIFANS ≤ 6,0
20%
DIFANS > 6,0
40%
A CONTRATADA deverá enviar, juntamente com o faturamento mensal, em relatório, o cálculo de DIFANS já com a glosa de acordo o resultado do Índice de Disponibilidade Mensal, já deduzido o valor no
faturamento mensal, quando houve. Sem prejuízo do ajuste do cálculo de acordo as medições do CONTRATANTE.
Quando houver incidência de desconto, será aplicado no mês seguinte à ocorrência.
Será aplicada multa de 1,0% sobre o valor mensal referente ao link, nos casos de não atendimento ao ANS contratado a cada período igual a 3 (três) meses, seguidos ou não (em qualquer tempo).
Não serão considerados os tempos de parada do(s) link(s) nos casos considerados como indisponibilidade justificada, ou seja, falta de energia nas dependências do CONTRATANTE, manutenções programadas e motivos de força maior.
Qualidade
Para cada link, a partir da data do respectivo aceite de instalação, serão monitorados mensalmente parâmetros de qualidade referentes à operação do link;
Para apuração da qualidade, serão considerados pelo CONTRATANTE os seguintes indicadores, a serem obtidos por meio de relatórios gerenciais do Sistema de Monitoramento do CONTRATANTE:
O tempo máximo de resposta dos pacotes TCP/IP e/ou ICMP/IP (tempo de latência) entre uma conexão dedicada e seu respectivo concentrador deverá ser de no máximo 50ms para links MPLS, no máximo 80ms para links de internet da capital e de 100ms para links de internet do interior.
A taxa máxima de erros permitida (relação entre a quantidade de bits recebidos com erro e o total de bits recebidos) deverá ser de até 2% ao mês.
Observada a primeira ocorrência de Latência acima do especificado e/ou taxa de erros acima de 2% no respectivo mês, inicialmente será aberto chamado junto à CONTRATADA para correção do problema. Em caso de reincidência, será aplicado desconto sobre o valor mensal do respectivo link, conforme a seguir:
OCORRÊNCIA DESCONTO
Latência > 80 ms e/ou Taxa de Erros acima de 2% ao mês para links de internet capital. 3% Latência > 100 ms e/ou Taxa de Erros acima de 2% ao mês para links de internet interior. 3% Latência > 50 ms e/ou Taxa de Erros acima de 2% ao mês para links MPLS do interior. 3%
Quando houver incidência de desconto, será aplicado no mês seguinte à ocorrência.
Será aplicada multa de 1,0% sobre o valor mensal referente ao link, nos casos de não atendimento ao ANS contratado a cada período igual a 3 (três) meses, seguidos ou não (em qualquer tempo).
Não serão considerados os tempos de parada do(s) link(s) nos casos considerados como
indisponibilidade justificada, ou seja, falta de energia nas dependências do CONTRATANTE, manutenções programadas e motivos de força maior.
USO DE TRUNKING
Será permitido, se for o caso, o uso de “trunking”, ou seja, o uso de mais de um enlace para atingir a
velocidade para cada link contratado;
Para utilização de “trunking” a CONTRATADA deve observar que o link somente será considerado ativo caso todos os enlaces que compõem o “trunking” estejam funcionando corretamente, ou seja, a falha em um dos enlaces que compõem o “trunking” significa que o link contratado não estará ativo corretamente, implicando em abertura de chamado de manutenção.
FORNECIMENTO DE EQUIPAMENTOS E ACESSÓRIOS
Os seguintes insumos devem ser fornecidos para o funcionamento dos links de acesso à internet dedicados:
Cabos e adaptadores;
Cabo de conexão do roteador com modem ou outro equipamento utilizado para acesso à internet;
Cabos de energia elétrica para todos os equipamentos fornecidos;
Adaptadores ópticos para conexões implementadas por meio de fibra óptica;
Para os LOTES 01 e 02, cordões e cartões GBIC compatível com as interfaces disponíveis, para conexão de LAN ou outros itens necessários.
Deve ser fornecido modem (convencional, óptico, rádio digital, dentre outros) ou outro equipamento para permitir a conexão do Roteador CPE ao ambiente WAN da CONTRATADA;
Deve ser fornecido roteador CPE (Customer Premise Equipment) ou poderá ser fornecido também equipamento híbrido que realize as duas funções (modem e roteador) ou ainda, desde que previamente acordado com a CONTRATADA, utilização dos equipamentos de segurança de borda como CPE;
Deve ser dimensionado para que tenham capacidade de encaminhamento de pacotes IP, em pacotes por segundo, compatíveis com as velocidades dos links conectados, limitado o uso de processador e memória a 60% do total disponível quando da carga máxima do link;
Caso seja identificado, durante a execução do contrato, um roteador com uso máximo de CPU e memória acima dos limites estabelecidos, o equipamento deverá ser substituído ou atualizado, em um prazo máximo de até 5 (cinco) dias úteis, sem ônus para a CONTRATANTE;
O equipamento roteador deverá ser fornecido pela empresa e acoplável a rack de 19”, atendendo às seguintes especificações para o ITEM 01 do LOTE 01 e do LOTE 02:
Possuir, no mínimo, 01 (uma) interface porta óptica de acordo com os Standarts ITU-G.984 GPON;
Possuir, no mínimo, 04 (quatro) interfaces Gigabit Ethernet 10/100/1000 de detecção automática que sejam compatíveis com os padrões ISSO 8802.3 e IEE 802.3;
A interface física da porta LAN deverá ser fornecida no padrão RJ-45 (10BASE-T), para cabos UTP, CAT 6 ou AUI;
Possuir opção de boot local via memória flash ou similar;
Permitir ser alimentado de forma automática por tensões de 110/220 VAC, frequência 60 Hz com
duas fontes redundantes inclusas;
Deverá suportar e implementar serviços de DHCP Server.
Possuírem todas as facilidades de gerenciamento que permitam o fornecimento adequado de todos os serviços especificados, destacando:
Gerenciamento SNMP compatível com as versões v2c e v3;
Protocolo SNMP habilitado, com acesso de leitura por parte da CONTRATANTE;
Permissão para a configuração de “traps” por parte da CONTRATADA, a pedido da CONTRATANTE, para monitoração de eventos específicos. Caso necessária, esta configuração será solicitada com pelo menos 15 (quinze) dias de antecedência da data real de monitoramento;
Suporte a MIB-II e RMON;
Suporte à classificação de tráfego.
A CONTRATADA deverá fornecer acesso à leitura de configuração por parte da
CONTRATANTE, através de “usuário” e “senha” específicos;
Deve manter a hora sincronizada através do protocolo NTP (Network Time Protocol) – RFC 1305 ou protocolo SNTP (Simple Network Time Protocol) versão 4 – RFC 2030;
Todos os equipamentos fornecidos devem ser capazes de operar em 110/220V.
DAS INSTALAÇÕES
A CONTRATADA realizará a instalação dos links de acesso à internet considerando as velocidades definidas pela CONTRATANTE para cada item e cada localidade de acordo com o Termo de Referência;
Todos os materiais e serviços de instalação dos links de acesso à internet até o rack da CONTRATANTE que acomoda os equipamentos de comunicação de dados, são de inteira responsabilidade da CONTRATADA, incluindo o acesso aos prédios por via aérea ou subterrânea, quando necessário, sem acarretar nenhum ônus adicional à CONTRATANTE;
Deve haver planejamento do horário de trabalho de instalação dos links de acesso à internet conjuntamente com a equipe da CONTRATANTE, de maneira a interferir o mínimo possível nos trabalhos normais de cada localidade;
A CONTRATADA deverá recompor obras civis e pintura eventualmente afetadas quando da passagem dos cabos, mantendo o padrão local, excetuando-se os casos em que estas ocorrências sejam consequência de adaptações na infraestrutura necessária para passagem dos cabos.
DOS TESTES PARA ACEITE DOS LINKS INSTALADOS
Realizar testes de funcionamento de cada link dedicado, emitindo relatórios de testes em duas vias, as quais deverão ser assinadas pelos executores e pelos servidores designados para acompanhar as
instalações;
Aferição da velocidade do link instalado, tanto para download como para upload;
Verificação da performance dos links instalados e perdas de pacotes;
Verificação da conformidade técnica dos insumos com o exigido no Termo de Referência;
Caso o resultado dos testes seja desfavorável, a CONTRATADA deverá solucionar os problemas no prazo máximo de 05 (cinco) dias úteis a partir do recebimento da notificação. 17.6. Caberá a CONTRATANTE dar o aceite ou não a solução dada para o problema;
17.7. Para fins de pagamento, o link só deverá começar a ser faturado após a aceitação dada com base na avaliação dos testes pela equipe técnica da CONTRATANTE.
ALTERAÇÃO QUALITATIVA
É facultado à CONTRATANTE solicitar alteração de velocidade dos links de acesso à internet contratados por meio de aditivo contratual qualitativo, nos limites estabelecidos na legislação, sempre com cotações prévias para constatação da vantajosidade do preço de mercado, desde que haja viabilidade prévia da CONTRATADA;
Após a alteração de velocidades, a CONTRATADA deverá realizar os testes de funcionamento, sempre acompanhados pelos técnicos do CONTRATANTE, e emitir os relatórios de testes em duas vias, os quais deverão ser assinados pelos executores e pelo responsável em cada local de instalação;
Sempre que necessário as partes poderão em comum acordo realizar melhorias qualitativas visando a adequação a uma ou várias tecnologias disponíveis para a correta execução do serviço. (Ex. infraestrutura de par metálico para fibra (GPON), ou de estrutura de endereçamento de IPV4 para IPV6).
MUDANÇA DE ENDEREÇO
Em caso de mudança de endereço da unidade da CONTRATANTE onde existir link de acesso à internet ou MPLS instalado, um novo link será solicitado para o novo endereço para não haver interrupção do serviço da CONTRATANTE;
O link instalado no endereço anterior será desativado assim que o novo enlace for instalado conforme solicitado. Portanto, não haverá solicitação de um novo link e sim, ativação de link existente em outra localidade, logo, não devendo haver ônus a CONTRATANTE;
A providência de equipamentos para suportar novos links, conforme especificados neste Termo de Referência, será de inteira responsabilidade da CONTRATADA, que deve manter a estrutura de equipamentos do link em uso até que seja solicitada sua desativação;
Até 45 dias corridos para realizar a mudança após o aceite na solicitação. As mudanças de endereço dentro dos limites do município da instalação dos links, serão de forma não onerosa à CONTRATANTE. Havendo a necessidade de desenvolvimento de projetos especiais para mudança de endereço e/ou adição de novas unidades, a CONTRATADA deverá apresentar uma planilha de valores referente à alteração/adição,
para prévia aprovação da CONTRATANTE, em até 15 dias corridos da solicitação de mudança.
DESATIVAÇÕES DOS LINKS DE ACESSO À INTERNET
Toda desativação deverá ocorrer somente após solicitação formal da equipe técnica do CONTRATANTE, obedecendo os limites de supressão impostos no § Art. 125 da Lei n. º 14.133/2021;
Todos os equipamentos inerentes ao link desativado deverão ser recolhidos pela CONTRATADA no prazo máximo de 30 (trinta) dias a partir da data da solicitação de desativação do link, mediante agendamento prévio.
MANUTENÇÃO
O serviço de manutenção deve ser prestado pela CONTRATADA, que deve atender obrigatoriamente às seguintes condições:
O serviço será considerado indisponível a partir do início de uma interrupção identificada pela CONTRATANTE, devidamente registrada através de abertura do chamado na central de atendimento da CONTRATADA, até o restabelecimento do circuito às condições normais de operação com a respectiva constatação do CONTRATANTE através da autorização para o encerramento do chamado;
Quando não for possível a CONTRATANTE realizar a abertura de chamado na central de atendimento da CONTRATADA, a indisponibilidade será considerada a partir da efetiva interrupção registrada pelos sistemas da CONTRATANTE e/ou CONTRATADA;
Entende-se como condições normais de operação a estabilidade dos serviços prestados, sem a ocorrência de novas interrupções no curto prazo, e a manutenção de todos os parâmetros de qualidade dentro dos níveis especificados;
Todos os serviços de manutenção dos links de acesso à internet e MPLS são de inteira responsabilidade da CONTRATADA e devem ser efetuados desde o início até o final do contrato, bem como devem estar totalmente cobertos pelo pagamento mensal relativo ao fornecimento de cada um dos links de acesso, sem quaisquer custos adicionais à CONTRATANTE;
Efetuar manutenção corretiva assim que for detectado algum mau funcionamento de enlaces e equipamentos, ou problemas em instalações feitas, de forma que voltem a funcionar perfeitamente;
Entende-se por manutenção corretiva os serviços prestados para recolocar os links de acesso à internet ou MPLS em modo operacional e na velocidade contratada, compreendendo, inclusive, substituições e configurações dos equipamentos fornecidos em comodato;
Entende-se por manutenção preventiva os serviços prestados para detectar possíveis falhas, perda de pacotes, instabilidades, sobrecarga nos equipamentos, ajustes de configurações etc., com objetivo de antecipar as devidas correções e evitar mau funcionamentos dos links nos períodos críticos;
Realizar o serviço de manutenção no local de instalação do equipamento sempre que possível. Caso
seja necessário remover o equipamento, a CONTRATADA deve providenciar a substituição do equipamento
por outro idêntico ou superior, em perfeito funcionamento, para então retirar o equipamento com defeito e encaminhá-lo para a manutenção;
Permitir efetuar a “Abertura de Chamado de Manutenção” junto a “Central de Atendimento” da CONTRATADA por meio de um telefone “0800” ou e-mail ou WhatsApp desde que seja gerado um número ou protocolo de atendimento;
Entende-se por “conclusão do atendimento” o pleno restabelecimento da funcionalidade e do desempenho dos serviços de acesso à internet, incluindo a troca de peças ou componentes e a execução de quaisquer procedimentos corretivos que se façam necessários;
A conclusão do atendimento será registrada. Essa informação será utilizada para averiguar o cumprimento dos acordos de nível de serviço previstos;
A conclusão de um atendimento requer a concordância, por parte de um membro da equipe técnica da CONTRATANTE;
O tempo para atendimento por atendente em sistemas de autoatendimento não poderá ser superior ao definido no Art. 27 da Resolução nº 632 de 07/03/2014, da ANATEL;
A CONTRATADA deve ser responsável por todos os técnicos que forem realizar manutenção dos enlaces em qualquer uma das localidades onde houver links de acesso à internet instalados;
Garantir que os técnicos de suporte tenham conhecimento completo sobre toda a arquitetura de rede utilizada, e de todos os equipamentos e softwares de responsabilidade da CONTRATADA que integram a modalidade de acesso à internet.
O término do PNF (Período de Não Funcionamento do Link) será computado a partir do aceite da manutenção (fechamento do chamado) feito pela equipe técnica do CONTRATANTE, sendo necessária a identificação do técnico responsável pelo fechamento do chamado;
O somatório de PNF em minutos, durante um mês, que exceder o tempo de parada permitido neste mesmo período, será tomado como base de desconto da parcela mensal de pagamento (do concentrador ou conexão dedicada remota que teve seu serviço interrompido) no mês subsequente. A consolidação dos “períodos de não funcionamento do enlace” será feita com base nas informações obtidas no Sistema de Monitoramento do CONTRATANTE.
MONITORAMENTO DO CONTRATANTE
A CONTRATADA deverá disponibilizar acesso via protocolo SNMP, com permissão de leitura nos equipamentos referentes aos links contratados no regime 24x7 (24 horas por dia, 7 dias por semana), durante a vigência do contrato;
A CONTRATADA deverá ter conhecimento e ciência do Sistema de Monitoramento do CONTRATANTE para fins de aferição dos serviços prestados;
Para o monitoramento a CONTRATANTE fará uso de ferramentas de coleta de dados como ZABBIX,
via protocolo SNMP, nos equipamentos da CONTRATADA;
22.4 Os dados coletados nos equipamentos da CONTRATADA, pelo Sistema de Monitoramento do CONTRATANTE, serão usados como mecanismo de aferição, contraprova, e terão validade administrativa na verificação do cumprimento da DISPONIBILIDADE dos serviços.
ESPECIFICAÇÕES MÍNIMAS PARA A SOLUÇÃO DE GERÊNCIA DE REDE
A CONTRATADA deverá prover Solução de Gerência da Rede que contemple os módulos de gerência de falhas, desempenho, disponibilidade, capacity planning, relatórios, tickets e de nível de serviço:
A Solução de Gerência da Rede deverá disponibilizar a visualização de informações on-line (de forma gráfica) da rede para o acompanhamento e monitoração do estado global e detalhado do ambiente;
Em caso de formação de consórcio deverá ser provida uma única Solução de Gerência de Rede;
A Solução de Gerência da Rede da CONTRATADA deverá atuar de forma proativa, antecipando-se aos problemas na rede e garantindo o cumprimento do Acordo de Nível de Serviço (ANS), realizando abertura, acompanhamento e fechamento de chamados de falhas relacionados com indisponibilidade, operando em regime 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano;
A Solução de Gerência da Rede fornecida deve permitir acesso a todos os recursos e módulos através de única autenticação, sem a necessidade de realizar outros logins para acessar qualquer outro recurso de gerenciamento;
A Solução de Gerência da Rede deverá ser operada e administrada através de uma console única, portanto, não serão aceitas soluções que possuem acessos segmentados aos módulos;
Deverá ser escalável, permitindo futuras ampliações no número de elementos de rede a serem gerenciados;
Deverá permitir acessos de usuários com perfis diferenciados com limitação de acesso a consoles, dispositivos, menus, alarmes, indicadores etc.;
Deverá permitir acesso de até 5 (cinco) usuários logados simultaneamente;
A Solução de Gerência da Rede deverá permitir a criação de grupos de perfis de acesso, que serão associados a tipos de usuários;
Os perfis deverão prever configurações em níveis de alertas, equipamentos, interfaces, aplicações, funcionalidades de monitoração, capacity planning, inventário etc.;
A Solução de Gerência da Rede deverá ser 100% web sem necessidade de instalação de clientes específicos, portanto, não serão aceitas soluções que não sejam nativas em web ou que requeiram a instalação de agentes ou plugins nos desktops dos colaboradores da CONTRATANTE;
O acesso deverá ser via web padrão HTTP e suportar HTTPS, e em português, portanto não serão aceitas soluções que não possuam toda a sua estrutura em português;
A Solução de Gerência da Rede deverá ser compatível para acesso através de smartphones e tablets,
portanto não serão aceitas soluções que não possuam essa compatibilidade;
A Solução de Gerência da Rede deverá ser escalável, mas transparente para a CONTRATANTE em termos de console única;
A Solução de Gerência da Rede deverá ser acessível através dos principais browsers do mercado, tais como: Internet Explorer, Firefox, Google Chrome e Safari;
Deverá permitir a exportação das informações para relatórios em formatos comerciais;
A Solução de Gerência da Rede deverá gerar alertas quando os thresholds “limites” configurados para um componente monitorado são excedidos, a exemplo de: utilização de CPU, memória, interfaces, volume de erros, tempo de resposta de serviços;
A Solução de Gerência da Rede deverá fornecer, através do portal, visualização de informações on line (em intervalos de 5 minutos e de forma gráfica) da rede que deverá apresentar, no mínimo, os seguintes itens para cada um dos elementos monitorados:
Topologia da rede, incluindo os roteadores CPE e seus enlaces, com visualização do estado operacional de todos os elementos da rede (enlaces e equipamentos). O estado operacional dos elementos da rede deverá ser atualizado automaticamente na Solução de Gerência da Rede, sempre que estes sofrerem alterações;
Alarmes e eventos ocorridos na rede com informações de data, hora e duração de ocorrência e identificação dos recursos gerenciados;
Consumo de banda dos enlaces (entrada e saída) separados por dia e mês;
Consumo de banda por classe de serviço separados por dia e mês;
Ocupação de memória e CPU dos roteadores CPE;
Retardo dos enlaces separados por dia e mês;
Perda de pacotes (descarte) no sentido IN e OUT em %;
Taxa de erros em erros por segundo;
Latência em milissegundos.
A Solução de Gerência de Rede de possuir gráficos de Capacity Planning que permita criar uma série de cenários para projeções de tendências de um determinado recurso;
A Solução de Gerência da Rede deverá permitir a apresentação de indicadores que reflitam o nível de SLA (Service Level Agreement) e SLM (Service Level Management) dos serviços contratados;
Backup de configuração dos elementos gerenciados, alarmes para alterações realizadas, relatório de mudanças;
Inventário dos equipamentos e enlaces da rede contendo, no mínimo, as seguintes informações:
Enlace: designação, tecnologia e nível de serviço;
Roteador CPE: fabricante, modelo e configuração física (interfaces, memória, slots, dentre outros);
. Endereçamento lógico: endereços IPs e máscaras.
A Solução de Gerência da Rede deverá permitir adicionar a nomenclatura conhecida pelo CONTRATANTE para os recursos gerenciados;
A Solução de Gerência da Rede deverá permitir a criação, no mínimo dos seguintes relatórios:
Relatórios de desempenho sumarizado por período específico;
Relatórios de desempenho classificados em uma visão TOP N. Ex.: Top N Roteadores % de utilização de CPU, Top N Interfaces % de utilização, Top N Interfaces com descartes, Top N Interfaces com eventos de Latência;
Relatórios de disponibilidade com períodos específicos;
Permitir exportar os relatórios conforme os principais métodos como: pdf, csv, pacote office.
Possuir dashboards relacionando falhas, desempenho, capacity e disponibilidade;
Possuir dashboards executivos com visão sumarizadas de indicadores operacionais (Pro atividade, Taxa de Reincidência, Reparos no Prazo e Taxa de Falha);
A Solução de Gerência da Rede deverá realizar registro de todas as ocorrências de alarmes/eventos em log de históricos e/ou em base de dados contendo informações de data e hora de ocorrência, identificando os recursos gerenciados;
A Solução de Gerência da Rede deverá armazenar os dados de acesso e aplicações de internet por um período de 6 (seis) meses, na forma do Art. 15 da Lei Federal nº 12.965/2014 (Lei do Marco Civil da Internet).
DA ENTREGA E DO RECEBIMENTO DO OBJETO
2241. A entrega do Lote 01 e 02, acompanhado dos acessórios e equipamentos será conforme especificado em cada item;
Os endereços informados poderão sofrer alterações até o momento da solicitação de instalação dos serviços pela CONTRATANTE, desde que se obedeça aos limites do município a qual o item foi contratado;
A entrega deverá contemplar as seguintes localidades:
-
-
-
LOCAL
ENDEREÇO
DITEC
Anexo I da Sede do Tribunal de Justiça DC 1 e/ou no DC 2 localizado na Cidade da Justiça.
Cidade da Justiça
Av. Paxxx Xxxxx xe Moura Leite, 878. Portal da Amazônia
69915-777 – Rio Branco-AC
Fórum de Senador Guiomard
Xxxxxxx Xxxxxxx Xxxxxx, X/X – XXX 00.000-000. Senador Guxxxxxx
Fórum de Plxxxxx xx Xxxxxx
Xxx Xxxxxxx Xxxxxxx, 0000 – XXX 00.000-
000. Plxxxxx xx Xxxxxx.
Fórum de Acrelândia
Avenida Governador Edmundo Pinto, 581 –
CEP 69.945-000. Acrelândia
Fórum de Capixaba
Rua Francisco Cordeiro de Andrade, S/N – CEP
69.922-000. Capixaba
Fórum de Xapuri
Rua Floriano Peixoto, 62 – CEP 69.930-000.
Xapuri
Fórum de Sena Madureira
Rua Cunha Vasconcelos, 689 – CEP
69.940-000. Sena Madureira
Fórum de Manoel
Urbano
Rua Mendes de Araujo, 1.267 – CEP
69.950-000. Manoel Urbano
Fórum de Feijó
Travessa Floriano Peixoto, 206 – CEP 69.960- 000.
Feijó
Fórum de Tarauacá
Avenida Antônio Frota, S/N – CEP 69.970-000.
Tarauacá
Cidade da Justiça de
Cruzeiro do Sul
BR 307, KM 09, nº 4090 – CEP
69.980-000. Cruzeiro do Sul
Fórum de Mâncio
Lima
Rua Joaquim G. de Oliveira, 160 – CEP
69.990-000. Mâncio Lima
Fórum de Brasiléia
Avenida Geny Assis, S/N – CEP 69.932-000. Brasiléia
Fórum de
Epitaciolândia
BR 317, KM 01 – CEP 69.934-000.
Epitaciolândia.
Fórum de Assis
Brasil
Rua Dom Giocondo Maria Grotti, 281 – CEP
69.935-000. Assis Brasil
CIC – Centro Integrado de Cidadania
Rua do Comércio, S/N –
CEP 69.921-000. Porto Acre
CIC – Centro
Integrado de Cidadania
Avenida Presidente Vargas,
S/N – CEP: 69.985-000. Rodrigues Alves
Fórum de Bujari
BR 364, KM 28, Nº 390, Bujarí - Acre – CEP 69.923-000
Centro Cultural do Juruá
Praça João Pessoa, n.° 300, Centro. CEP: 69.980- 000
Palácio da Justiça
Rua Benjamin Constant, 277, Centro, Rio Branco
- Acre - 69905-072
-
-
Havendo interesse e solicitação da CONTRATANTE, a CONTRATADA deverá instalar mais de um link em uma mesma localidade, para atendimento das demandas da CONTRATANTE, sendo esse um link adicional, obedecendo o saldo da quantidade de links para o município contratado;
Os serviços/equipamentos serão objeto de inspeção, que será realizada por técnico do setor responsável, e constará das seguintes fases:
Comprovação de que o serviço/equipamento atende às especificações mínimas exigidas e/ou aquelas superiores oferecidas pela CONTRATADA;
Instalação e configuração do equipamento para atendimento dos serviços ora contratado;
Teste de eficácia nos serviços/equipamentos contratados, se for o caso.
O período de inspeção será de até 10 (dez) dias úteis, contados a partir da data de emissão do TERMO DE RECEBIMENTO PROVISÓRIO;
Findo o prazo de inspeção e comprovada a conformidade dos serviços/equipamentos com as especificações técnicas exigidas no Edital e aquelas oferecidas pela CONTRATADA, o setor responsável emitirá o TERMO DE RECEBIMENTO DEFINITIVO do objeto contratado;
Nos casos de substituição do equipamento, iniciar-se-ão os prazos e procedimentos estabelecidos nestas CONDIÇÕES DE RECEBIMENTO.
Para o LOTE 03, temos que:
-
Evento
Descrição
Prazo
Responsável
01
Ordem de Serviço
Entrega em 60 dias
corridos
CONTRATANTE
02
Entrega
(Emissão do Termo de Recebimento Provisório)
T0
CONTRATADA
03
Instalação e Configuração (Emissão do Termo de
Recebimento Definitivo)
T0 + 10 dias
corridos
CONTRATADA
24.11. Todos os equipamentos deverão ser entregues nas dependências do Tribunal de Justiça do Estado do Acre, nos endereços especificados nste Termo de Referência.
DOS PRAZOS E DO TEMPO DE REPARO
Os seguintes prazos devem ser observados para entrega dos links de internet, MPLS e das soluções de segurança;
Prazo de Instalação:
DIA D: Solicitação formal de instalação de novo link de acesso à internet ou MPLS e instalação de solução de segurança de rede, encaminhada pela CONTRATANTE para a CONTRATADA;
D+60 dias: Conclusão da Instalação;
Caso a CONTRATADA vencedora seja atualmente fornecedora dos serviços de acesso à internet ou MPLS para a CONTRATANTE e considerando que o novo contrato substituirá os atualmente vigentes, a CONTRATADA poderá utilizar a mesma estrutura e equipamentos do link em uso (modem, roteador, cabeamento, cabos etc.), no entanto, o tempo de parada para substituição do link antigo pelo novo link não poderá ser superior a 04 (quatro) horas durante o expediente.
Prazo para Desativação:
DIA K: Solicitação formal de desinstalação/desativação do link de acesso à Internet ou MPLS encaminhada pela CONTRATANTE para a CONTRATADA;
K+30: Desinstalação/desativação do link de acesso à internet efetivada;
Para fins de pagamento/faturamento será considerado desativado o link de acesso à internet ou MPLS na data da solicitação formal (Dia K), data a partir da qual os usuários deixarão de utilizar os serviços.
-
1. Nível
1. Descrição
1. Tempo de atendiment o
1. Tempo de solução
1. 1
1. Problemas que tornem a solução inoperante
1. Até 01 (uma) hora para o
primeiro atendiment o
Até 6 horas para solução de chamados de hardware, exceto onde houver a
necessidade de reposição de peças
Até 4 horas para solução de contorno de problemas de
software.
1. 2
1. Problemas ou dúvidas que prejudiquem a operação do equipamento, mas que não interrompem o acesso aos
dados
1. Até 04 (quatro) horas para atendiment o
Até 12 horas para solução de chamados de hardware, exceto onde houver a necessidade de reposição de peças
Até 24 horas para solução de contorno de problemas
de software
Ass=inado eletronicamente por AMILAR SALES ALVES, Técnico Judiciário, em 19/04/2024 11:10:31
-
1. 3
1. Problemas ou dúvidas que criam algumas restrições à operação do equipamento
1. Até 01 (um) dia útil para atendiment o
Até o próximo dia útil para solução de chamados de hardware, exceto onde houver a necessidade de
reposição de peças,
Até 7 dias corridos para solução de contorno de problemas de software
TEMPO DE REPARO DOS LINKS
A CONTRATADA deve iniciar os procedimentos de reparo dos links de acesso à internet ou MPLS em até 1 (uma) hora após a identificação da falha, sendo prazo para solução do problema e restabelecimento do serviço de 6 (seis) horas para a Capital Rio Branco e de 12 (doze) horas para as localidades no interior do Estado;
Cabe à CONTRATADA a identificação proativa de falhas e abertura de chamados para correção;
Durante o procedimento de manutenção ou indisponibilidade do link deverá ser computado o PNF
Período de Não Funcionamento do Link;
O PNF será computado em minutos a partir da “abertura do chamado de manutenção” feito pela Central de Atendimento da CONTRATADA;
O término do PNF será computado a partir do aceite da manutenção (fechamento do chamado) feito pela equipe técnica do CONTRATANTE, sendo necessária a identificação do técnico responsável pelo fechamento do chamado;
O somatório de PNF em minutos, durante um mês, que exceder o tempo de parada permitido neste mesmo período, será tomado como base de desconto da parcela mensal de pagamento (do concentrador ou conexão dedicada remota que teve seu serviço interrompido) no mês subsequente. A consolidação dos “períodos de não funcionamento do enlace” será feita com base nas informações obtidas no Sistema de Monitoramento do CONTRATANTE;
Os serviços classificados como: Prioridade Normal, correspondem as implementações, ajustes e configurações que não afetam o funcionamento do serviço;
Os serviços classificados como: Prioridade Alta, correspondem às manutenções corretivas, ou seja, o funcionamento das soluções de segurança quando estiver inoperante ou quando precisar ser paralisado;
Se no atendimento ficar constatado que a única solução para normalizar o serviço é no caso de RMA (Troca de Equipamento), o prazo para a troca poderá ser negociado com a CONTRATANTE, não podendo ultrapassar 24 (vinte e quatro) horas, podendo ser prorrogado por igual período mediante justificativa, e aprovada pela CONTRATANTE;
O regime de atendimento será de 8h x 5 dias de segunda a sexta-feira, no horário do Acre. Poderá haver regime de plantão, fora do horário comercial para manutenções programadas de até 04 horas em dias úteis e/ou de até 06 horas aos sábados, domingos e feriados, que serão informados à CONTRATADA até o
AssinsaedogeulnetdroonicdaimaeúntteilpodreAcMaILdAaRmSAêLsEpSeAloLVTEJSA, TCéc;nico Judiciário, em 19/04/2024 11:10:31
A CONTRATADA deve permitir a “Abertura de Chamado” junto a “Central de Atendimento” da CONTRATADA por meio de um telefone “0800”, ou e-mail, ou WhatsApp, ou sistema próprio de
chamados, desde que seja gerado um número de atendimento ou protocolo de atendimento.
TEMPO DE REPARO DAS SOLUÇÕES DE SEGURANÇA
27.1.O atendimento deverá ser realizado na modalidade “24x7”, ou seja, 24 horas por dia, sete dias por semana, incluindo-se feriados. A CONTRATADA deverá entregar suporte técnico em conjunto a fabricante dos equipamentos presentes nesta contratação sob a mesma condição de níveis mínimos de serviço;
Deverá ser disponibilizada uma Central de Atendimento em português para abertura de chamado de Assistência Técnica disponível na modalidade “24x7”, indicando 0800, canal web para envio de tíquetes e e- mail de suporte;
Deve ser gerado, para cada chamado aberto, protocolo de início de atendimento;
A CONTRATANTE poderá, adicionalmente, solicitar que os chamados sejam registrados diretamente com o fabricante dos produtos, bem como seus respectivos atendimentos;
O atendimento de hardware ocorrerá mediante manutenção corretiva dos equipamentos e deverá cobrir todo e qualquer defeito apresentado, incluindo a substituição de peças, componentes, ajustes, reparos e correções necessárias;
A substituição de peças e/ou componentes mecânicos ou eletrônicos por outros de marcas e/ou modelos diferentes dos originais cotados pela CONTRATADA somente poderá ser efetuada em caso de descontinuidade do componente originalmente cotado na proposta e ainda mediante análise e autorização do CONTRATANTE;
Todas as peças e componentes mecânicos ou eletrônicos substituídos deverão apresentar padrões de qualidade e desempenho iguais ou superiores aos utilizados na fabricação do(s) equipamento(s), sendo sempre novos e de primeiro uso.
NÍVEIS DE SEVERIDADE
-
Nível
Descrição
Tempo de
atendimento
Tempo de solução
1
Problemas que tornem a solução inoperante
Até 01 (uma) hora para o primeiro atendimento
Até 6 horas para solução de chamados de hardware, exceto onde houver a necessidade de reposição de peças
Até 4 horas para solução de contorno de
problemas de software
2
Problemas ou dúvidas que prejudiquem a operação do equipamento, mas que não interrompem o acesso aos dados
Até 04 (quatro) horas para atendimento
Até 12 horas para solução de chamados de hardware, exceto onde houver a necessidade de reposição de peças
Até 24 horas para solução de contorno de problemas de software
3
Problemas ou dúvidas que criam algumas restrições à operação do equipamento
Até 01 (um) dia útil para atendimento
Até o próximo dia útil para solução de chamados de hardware, exceto onde houver a necessidade de reposição de peças,
Até 7 dias corridos para solução de
contorno de problemas de software
28.1 Considera-se tempo de atendimento o tempo entre o registro do chamado até o primeiro contato realizado por técnico especialista do produto (nesse momento ainda não há solução para o problema);
Considera-se tempo de solução o tempo gasto entre o registro do chamado até o momento em que é aplicada uma solução para restabelecer o serviço, eliminar prejuízos ou restrições de operação da solução ou que tenha a dúvida sanada;
A solução definitiva para chamados de software deverá ser de até 90 dias corridos, em casos que se faça necessária a criação de patches de update ou eventos similares;
A solução definitiva para a troca do equipamento deverá ser de até 1 dia útil do transporte do equipamento até o Tribunal de Justiça do Estado do Acre, onde ficará a encargo do TJAC transportar o equipamento até a localidade exata.
DA QUALIFICAÇÃO TÉCNICA
Atestado de capacidade técnica, expedido por pessoas jurídicas de direito público ou privado, que comprovem ter o licitante fornecido satisfatoriamente os materiais ou serviços pertinentes e compatíveis com o objeto desta licitação. Podendo ser exigido da proposta melhor classificada, em diligência, que apresente cópia autenticada do contrato da prestação do serviço ou da respectiva nota fiscal, que deram origem ao Atestado;
A LICITANTE também deverá apresentar a relação explícita ou a declaração formal da sua disponibilidade de equipamentos, ferramental, instalações físicas apropriadas e específicas, bem como pessoal técnico especializado para realização dos serviços que são objeto deste certame;
A CONTRATADA deverá apresentar declaração que se compromete a realizar toda a instalação de acordo com os termos deste edital;
A CONTRATADA deverá apresentar declaração que se compromete a disponibilizar equipe de suporte técnico de modo a atender os termos deste edital e de acordo com os níveis de SLA contemplados;
Deverá apresentar uma declaração expressa que utilizará equipamentos e componentes com certificação de qualidade e aprovado pelos órgãos competentes, sendo-lhe imputada total responsabilidade civil, administrativa e criminal em caso de uso de produtos e bens não atendendo à normatização existente;
Declaração expressa que as informações transmitidas serão tratadas com total sigilo, não havendo disponibilização a outrem, sob qualquer aspecto ou forma, sob pena de responsabilidade criminal, civil e administrativa;
Para os Lotes 01 e 02, a LICITANTE deverá, além dos itens de 27.1 a 27.7;
A LICITANTE deverá comprovar através de atestados, registros ou documentos que possui POPs em operação na Capital Rio Branco, este registro deverá constar a Razão Social e o CNPJ da CONTRATADA;
Possuir na sua equipe, 01 (um) profissional Engenheiro de Telecomunicações ou equivalente,
devidamente inscrito e regularizado no Conselho Regional de Engenharia, Arquitetura e Agronomia - CREA, cujo vínculo profissional deve ser comprovado da seguinte forma:
Mediante apresentação de cópia autenticada da CTPS – Carteira de Trabalho e Previdência Social acompanhada de cópia do Registro de Empregados, no caso de empregado da licitante, ou;
Contrato de prestação de serviço celebrado de acordo com a legislação civil, ou;
No caso de dirigente ou sócio, do Contrato Social.
A CONTRATADA deverá apresentar Termo de Autorização expedida pela ANATEL para prestação de Serviço de Comunicação Multimídia (SCM);
A CONTRATANTE deve comprovar a implantação da solução de Anti DDoS em seu Backbone através de declaração, certificado ou carta do fabricante da solução.
Para o LOTE 03, a LICITANTE deverá, além dos itens de 27.1 a 27.7;
Comprovar ser parceira do fabricante FORTINET das soluções de Firewall NGFW, através de carta de Parceria ou outro documento que comprove esta relação;
Possuir na sua equipe profissionais com as seguintes certificações obrigatórias e indispensáveis em face da complexidade da prestação dos serviços requeridos:
02 (dois) profissionais certificados na solução de segurança que compreende os ITENS 1, 2, 3 e 4 do respectivo lote;
01 (um) profissional certificados na solução de gerenciamento centralizado; 01 (um) profissional certificados na solução de relatoria e análise de logs;
01 (um) profissional com certificação de gerência de projetos nível PMP ou certificação equivalente;
01 (um) profissional com pelo menos umas das certificações listadas: CISSP, OSCE, CEH ou demais certificações na área de segurança da informação ou hacker ético.
As comprovações de vínculos profissionais deverão ser feitas da seguinte forma:
Mediante apresentação de cópia autenticada da CTPS – Carteira de Trabalho e Previdência Social acompanhada de cópia do Registro de Empregados, no caso de empregado da licitante, ou;
Contrato de prestação de serviço celebrado de acordo com a legislação civil, ou; No caso de dirigente ou sócio, do Contrato Social.
CATÁLOGOS, MANUAIS, FOLDERS E PROSPECTOS
Será necessária a apresentação de catálogo de cada um dos itens, para a verificação da compatibilidade com as especificações definidas neste Termo de Referência. Não havendo a informação completa no catálogo, poderá ser enviado uma declaração técnica complementar informando as características pendentes no catálogo.
É obrigatória a comprovação técnica das características exigidas para os equipamentos e softwares por meio da especificação, na proposta, dos part-numbers que compõem cada item;
Descrição de marca/fabricante, modelo ofertado e versões de softwares empregadas;
A comprovação dos itens deverá ser feita por meio de documentos que sejam de acesso público cuja origem seja exclusivamente do fabricante dos produtos, a exemplo de: catálogos, manuais, ficha de especificação técnica, ou informações obtidas em sites oficiais do fabricante através da Internet (devidamente referenciados);
Não será aceita a entrega de cartas/declarações comprobatórias para nenhum item técnico deste edital. Toda documentação apresentada deverá ter cunho público e oficial para corroborar a comprovação técnica;
Os documentos oficiais poderão ser entregues em língua portuguesa ou inglesa;
Todos os documentos comprobatórios deverão ter sido publicados pelo fabricante e com data de publicação anterior a do certame licitatório;
Não serão aceitos documentos emitidos em caráter adhoc, ou seja, apenas com a finalidade de atender às exigências deste instrumento;
A falta de documentos comprobatórios das exigências deste instrumento poderá implicar a desclassificação da licitante;
Formulário denominado “Planilha de Comprovação Técnica” para demonstrar o atendimento aos itens e subitens obrigatórios constantes deste Termo de Referência;
No formulário deverá ser informada a localização exata da informação que garanta o atendimento ao item, explicitando o documento/página;
Comprovação através de domínio público das fabricantes ofertadas, ou através de carta específica para este processo, indicando que as fabricantes autorizam a licitante a comercializar seu produto, bem como descrevem que ela tem aptidão para executar os serviços solicitados;
Durante a análise de propostas, os produtos ofertados deverão possuir todas as características técnicas obrigatórias exigidas no Termo de Referência. Não serão aceitos produtos cujas funcionalidades ainda estejam em desenvolvimento ou previstas em releases futuras.
Caso persistam dúvidas acerca da veracidade do(s) documento(s), poderá(ão) ser efetuado(s) pelo pregoeiro diligência(s) para sanar quaisquer eventuais dúvidas.
32. DA SUBCONTRATAÇÃO
É vedada a subcontratação total, cessão ou a transferência do objeto deste Edital a terceiros;
No caso de subcontratação da última milha de terceiros, a CONTRATADA deverá assumir inteira responsabilidade pelo funcionamento e disponibilidade deste recurso, com níveis de serviço compatíveis com o acordo de nível de serviço estabelecido no Termo de Referência;
33.4. Na hipótese de subcontratação, tendo em vista que a subcontratada não celebra avença com a Administração, permanece a responsabilidade integral da CONTRATADA pela perfeita execução contratual, cabendo à CONTRATADA realizar a supervisão e coordenação das atividades da subcontratada, bem como responder perante a CONTRATANTE pelo rigoroso cumprimento das obrigações contratuais correspondentes ao objeto da contratação.
DA FORMA E CONDIÇÕES DE PAGAMENTO
A CONTRATADA entregará a fatura referente ao objeto deste CONTRATO/EMPENHO, acompanhadas das certidões atualizadas conforme relação seguinte:
Certidão Conjunta de Débitos Relativos a Tributos Federais e Dívida Ativa da União, expedida pela Secretaria da Receita Federal do Brasil e Procuradoria Geral da Fazenda Nacional;
Certidão Negativa de Contribuições Previdenciárias, expedida pela Secretaria da Receita Federal do Brasil;
Certificado de Regularidade do Fundo de Garantia por tempo de serviço (FGTS), expedida pela Caixa Econômica Federal;
Certidão Negativa de Débitos (CND) - expedida pela Secretaria Municipal de Finanças;
Certidão de Quitação de Tributos Estaduais da Empresa e do(s) sócio(s), expedida pela Secretaria de Estado da Fazenda;
Certidão Negativa em relação à Dívida Ativa de Tributos Estaduais - expedida pela Procuradoria Geral do Estado - PGE;
Certidão Negativa de Débitos Trabalhistas.
O TJAC, nos termos da Lei nº 9.430, de 27 de dezembro de 1996, e IN SRF nº 1234/2012, fará retenção, na fonte, de Contribuição Social Sobre o Lucro Líquido – CSLL, Contribuição para a Seguridade Social – COFINS, Contribuição para o PIS e Imposto sobre a Renda de Pessoa Jurídica - IRPJ.
VIGÊNCIA CONTRATUAL
O prazo da vigência da Contratação é de 24 meses contados da data de sua assinatura, prorrogável por até 10 anos, na forma dos artigos 106 e 107 da Lei nº 14.133, de 2021.
No caso de alteração do valor do contrato, ou prorrogação de sua vigência, a garantia deverá ser readequada ou renovada nas mesmas condições.
OBRIGAÇÕES DA CONTRATADA
Fornecer material novo e de boa qualidade para assegurar a prestação dos serviços a serem contratados, em estrita conformidade com as especificações constantes neste Termo de Referência;
Cumprir as cláusulas contratuais e sempre que solicitado, deverá dirimir quaisquer esclarecimentos julgados necessários;
A CONTRATADA, no ato do pagamento tem que estar em dia com todas as obrigações legais e apresentar todas as certidões que comprovem tal regularidade;
Responder por qualquer prejuízo que seus empregados ou prepostos causarem ao Patrimônio do CONTRATANTE ou a terceiros, seja por ação ou omissão culposa ou dolosa, procedendo imediatamente aos reparos ou indenizações cabíveis e assumindo o ônus decorrente;
Comunicar ao CONTRATANTE toda e qualquer irregularidade ocorrida ou observada no cumprimento das obrigações assumidas;
Não transferir a outrem, no todo ou em parte, o objeto do presente contrato;
Responsabilizar-se pela garantia do Objeto, dentro dos padrões adequados de qualidade, segurança, eficiência e desempenho, conforme previsto na legislação em vigor e na forma exigida neste Termo de Referência;
Entregar o objeto contratado com manutenção em dia;
Responsabilizar-se única e exclusivamente pelo pagamento de todos os encargos e demais despesas, diretas ou indiretas, decorrente da execução do objeto do presente Termo de Referência, tais como impostos, taxas, contribuições fiscais, previdenciárias, trabalhistas, fundiárias; enfim, por todas as obrigações e responsabilidades, sem nenhum ônus ao CONTRATANTE;
Garantir a melhor eficiência dos objetos, atendidas as especificações exigidas neste Termo de Referência;
Não veicular em hipótese alguma, publicidade ou qualquer outra informação acerca das atividades referentes ao fornecimento do Objeto deste Termo de Referência, sem prévia autorização da CONTRATANTE, mantendo total sigilo das informações (escritas, faladas, áudio, vídeo, imagens e
Assinpadrooedluettroonsi)c;amente por AMILAR SALES ALVES, Técnico Judiciário, em 19/04/2024 11:10:31
Comunicar ao CONTRATANTE qualquer situação que caracterize descumprimento das obrigações
constantes deste Termo de Referência;
Manter durante a vigência do Contrato as condições de habilitação exigidas para fins de contratação pela Administração Pública, apresentando, sempre que exigido pelo CONTRATANTE, os respectivos comprovantes;
Indicar preposto, quando for o caso, aceito pelo CONTRATANTE, para representá-la sempre que for necessário;
Observar, no que couber, as disposições do Código de Defesa do Consumidor (Lei nº 8.078, de 11 de setembro de 1990), o Código Civil Brasileiro, as Normas Técnicas, as Leis e os regulamentos pertinentes;
O equipamento/serviço deverá ser entregue acompanhado respectivamente de nota fiscal ou instituto equivalente com o nome e a caracterização clara e precisa, contendo também o número da Nota de Empenho firmada com o CONTRATANTE;
Corrigir, às suas expensas, em no máximo 15 (quinze) dias consecutivos, a contar da recusa de recebimento, devolução, ou comunicação por escrito, os serviços que apresentarem erros e/ou defeitos, bem como incompatibilidade com a proposta.
OBRIGAÇÕES DA CONTRATANTE
Efetuar o pagamento de acordo com o previsto neste Termo de Referência;
Exercer, a seu critério e através de servidor ou de pessoas previamente designadas, ampla, irrestrita e permanente fiscalização da execução do contrato;
Prestar todas as informações e esclarecimentos pertinentes ao objeto deste Termo de Referência;
Não responder por quaisquer compromissos assumidos pela CONTRATADA com terceiros, ainda que vinculados à execução do presente, bem como, por qualquer dano causado a terceiros em decorrência de ato da CONTRATADA e de seus empregados, prepostos ou subordinados.
SANÇÕES ADMINISTRATIVAS (PENALIDADES)
Se a CONTRATADA incidir nas Condutas previstas na Lei Federal nº 14.133, de 1 de abril de 2021 ou no Decreto Estadual n° 5.965/2010, o CONTRATANTE poderá, garantida a prévia defesa, aplicar-lhe, observando a legislação citada e a gravidade das faltas cometidas, as seguintes sanções:
Advertência por escrito formal ao fornecedor, em decorrência de atos menos graves e que ocasionam prejuízos para a Administração (CONTRATANTE), desde que não caiba a aplicação de sanção mais grave e, se for o caso, conferindo prazo para a adoção de medidas corretivas cabíveis;
Multa de 2,0% (dois por cento) por dia sobre o valor da nota de empenho em caso de atraso na execução dos serviços, limitada a incidência a 15 (quinze) dias. Após o décimo quinto dia e a critério da Administração, no caso de execução com atraso, poderá ocorrer a não aceitação do objeto, de forma a configurar, nessa hipótese, inexecução total da obrigação assumida, sem prejuízo da rescisão unilateral da avença;
Multa de 30% (trinta por cento) sobre o valor da nota de empenho, em caso de inexecução total da obrigação assumida;
Multa de 10% (dez por cento) aplicado sobre o percentual de 20% (vinte por cento) do valor da proposta do licitante, por ilícitos administrativos no decorrer do certame;
Suspensão temporária de licitar e de contratar com o órgão, entidade ou unidade administrativa pela qual a Administração Pública opera e atua concretamente, pelo prazo não superior a 2 (dois) anos.
Declaração de inidoneidade para licitar ou contratar com Estado do Acre (Tribunal de Justiça do Estado
do Acre), enquanto perdurarem os motivos determinantes da punição ou até que seja promovida a reabilitação perante a própria autoridade que aplicou a penalidade, que será concedida sempre que a CONTRATADA ressarcir o CONTRATANTE pelos prejuízos causados e depois de decorrido o prazo não superior a 02 (dois) anos.
DA GARANTIA CONTRATUAL
No caso de alteração do valor do contrato, ou prorrogação de sua vigência, a garantia deverá ser readequada ou renovada nas mesmas condições. Se o valor da garantia for utilizado total ou parcialmente em pagamento de qualquer obrigação, a CONTRATADA obriga-se a fazer a respectiva reposição no prazo máximo de 10 (dez) dias úteis, contados da data em que for notificada.
DA FUNDAMENTAÇÃO LEGAL
A contratação prevista neste termo tem amparo legal na Lei nº 14.133, de 1 de abril de 2021; na Lei nº 8.078, de 11 de setembro de 1990; e nos Decretos Estaduais nº 5.965, nº 5.967 e nº 5.972, de 30 de dezembro de 2010.
ANEXO I
ESPECIFICAÇÃO DETALHADA DOS ITENS
CONDIÇÕES GERAIS PARA SOLUÇÕES DE SEGURANÇA
REQUISITOS GERAIS
Não serão aceitas soluções baseadas em PCs de uso geral. Todos os equipamentos a serem fornecidos deverão ser do mesmo fabricante para assegurar a padronização e compatibilidade funcional de todos os recursos;
Os equipamentos devem ser novos, ou seja, de primeiro uso, de um mesmo fabricante. Na data da proposta, nenhum dos modelos ofertados poderão estar listados no site do fabricante em listas de end-of-life ou end-of-sale.
A solução deve consistir em plataforma de proteção de rede baseada em appliance físico com funcionalidades de Next Generation Firewall (NGFW), não sendo permitido appliances virtuais ou solução open source (produto montado especificamente para este certame);
Por funcionalidades de NGFW entende-se: reconhecimento de aplicações, prevenção de ameaças, identificação de usuários e controle granular de permissões.
A plataforma deve ser otimizada para análise de conteúdo de aplicações em camada 7;
O gerenciamento da solução deve suportar acesso via SSH, cliente ou web via HTTPS e API;
Os equipamentos de proteção de rede devem possuir suporte a VLANs;
Os equipamentos de proteção de rede devem possuir suporte a roteamento multicast (PIM-SM e PIM- DM);
Deve suportar roteamento estático;
Deve suportar BGP, OSPF e RIP;
1.1.1. Os equipamentos de proteção de rede devem possuir suporte a DHCP Server;
1.1.12. Os equipamentos de proteção de rede devem possuir suporte a DHCP Relay;
Assin1ad.1o .e1le3tr.onOicsameeqnuteippaormAeMnILtoARs dSAeLpErSoAteLçVãEoS, dTeécrneicdoeJdudeivcieámrio,seump1o9r/t0a4r/2s0u24b1-i1n:1t0e:r3f1aces ethernet lógicas;
Deve suportar NAT dinâmico (Many-to-Many);
Deve suportar NAT estático (1-to-1);
Deve suportar NAT estático bidirecional 1-to-1;
Deve suportar Tradução de porta (PAT);
Deve suportar NAT de Origem;
Deve suportar NAT de Destino;
Deve suportar NAT de Origem e NAT de Destino simultaneamente;
Deve implementar Network Prefix Translation (NPTv6) ou NAT66, prevenindo problemas de roteamento assimétrico;
Deve suportar NAT64;
Deve permitir monitorar via SNMP o uso de CPU, memória, espaço em disco, VPN, situação do cluster e violações de segurança;
Enviar log para sistemas de monitoração externos;
Deve haver a opção de enviar logs para os sistemas de monitoração externos via protocolo SSL;
Proteção anti-spoofing;
Deve suportar Modo Camada 3 (Layer 3), para inspeção de dados em linha e visibilidade do tráfego;
Suporte a configuração de alta disponibilidade ativo/passivo e ativo/ativo;
A configuração em alta disponibilidade deve sincronizar: Sessões, Configurações, incluindo, mas não limitado a: Políticas de Firewall, NAT, QOS e objetos de rede, associações de segurança das VPNs e Tabelas FIB;
O modo de alta disponibilidade (HA) deve possibilitar monitoração de falha de link.
Suporte a controle, inspeção e decriptografia de SSL para tráfego de saída (Outbound);
Deve descriptografar tráfego outbound em conexões negociadas com TLS 1.2.
A solução deve suportar integração nativa com Let’s Encrypt, para obtenção de certificados válidos, de forma automática.
POLÍTICAS
Deverá suportar controles por zonas de segurança;
Deverá suportar controles de políticas por porta e protocolo;
Deverá suportar controles de políticas por aplicações, grupos estáticos de aplicações e grupos dinâmicos de aplicações;
Controle de políticas por usuários, grupos de usuários, IPs, redes e zonas de segurança;
Controle de políticas por código de País (Por exemplo: BR, US, UK, RU);
Deve permitir o bloqueio de arquivo por sua extensão e possibilitar a correta identificação do arquivo por seu tipo mesmo quando sua extensão for renomeada;
Suporte a objetos e regras IPV6;
Suporte a objetos e regras multicast;
Suportar a atribuição de agendamento das políticas com o objetivo de habilitar e desabilitar políticas em horários pré-definidos automaticamente.
CONTROLE DE APLICAÇÕES
Os equipamentos de proteção de rede deverão possuir a capacidade de reconhecer aplicações, independente de porta e protocolo;
Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos;
Reconhecer pelo menos 1700 aplicações diferentes, incluindo, mas não limitado: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail;
Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linkedin, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, onedrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google- docs;
Deve inspecionar o payload do pacote de dados com o objetivo de detectar assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocolo;
Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas;
Para tráfego criptografado SSL, deve descriptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante;
Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo. A decodificação de protocolo também deve identificar funcionalidades específicas dentro de uma aplicação;
Identificar o uso de táticas evasivas via comunicações criptografadas;
Atualizar a base de assinaturas de aplicações automaticamente;
Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários;
Deve ser possível adicionar controle de aplicações em múltiplas regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras;
Deve suportar vários métodos de identificação e classificação das aplicações, por pelo menos: checagem de assinaturas e decodificação de protocolos;
Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante;
O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações;
Deve alertar o usuário quando uma aplicação for bloqueada;
Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, etc) possuindo granularidade de controle/políticas para os mesmos;
Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos;
Deve possibilitar a diferenciação e controle de partes das aplicações como, por exemplo, permitir o Hangouts e bloquear a chamada de vídeo;
Deve possibilitar a diferenciação de aplicações Proxies, possuindo granularidade de controle/políticas para os mesmos;
Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: tecnologia utilizada nas aplicações (Client-Server, Browser Based, Network Protocol, etc);
Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: nível de risco da aplicação e categoria da aplicação;
Deve ser possível a criação de grupos estáticos de aplicações baseados em características das aplicações como: Categoria da aplicação.
PREVENÇÃO DE AMEAÇAS
Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware) integrados no próprio appliance;
Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade;
Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS: permitir, permitir e gerar log, bloquear e quarentenar o IP do atacante por um intervalo de tempo;
As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;
Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
A criação de exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura;
Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
Deve permitir o bloqueio de vulnerabilidades;
Deve permitir o bloqueio de exploits conhecidos;
Deve incluir proteção contra ataques de negação de serviços;
Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS.
Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc;
Detectar e bloquear a origem de portscans;
Bloquear ataques efetuados por worms conhecidos;
Possuir assinaturas para bloqueio de ataques de buffer overflow;
Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti spyware, permitindo a criação de exceções com granularidade nas configurações;
Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
Identificar e bloquear comunicação com botnets;
Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
Os eventos devem identificar o país de onde partiu a ameaça;
Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuários, grupos de usuários, origem, destino, zonas de segurança;
Deve ser capaz de mitigar ameaças avançadas persistentes (APT), através de análises dinâmicas para identificação de malwares desconhecidos;
A solução de sandbox deve ser capaz de criar assinaturas e ainda incluí-las na base de antivírus do firewall, prevenindo a reincidência do ataque;
A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (blacklist), impedindo que esses endereços sejam acessados pelos usuários de rede novamente;
Dentre as análises efetuadas, a solução deve suportar antivírus, query na nuvem, emulação de código, sandboxing e verificação de callback;
4.30. A solução deve analisar o comportamento de arquivos suspeitos em um ambiente controlado.
FILTRO DE URLs
Permitir especificar política por tempo, ou seja, a definição de regras para um determinado horário ou período (dia, mês, ano, dia da semana e hora);
Deve ser possível a criação de políticas por grupos de usuários, IPs, redes ou zonas de segurança;
Deve possuir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais URLs através da integração com Active Directory e base de dados local;
A identificação pela base do Active Directory deve permitir Single Sign On (SSO), de forma que os usuários não precisem logar novamente na rede para navegar pelo firewall;
Suportar a capacidade de criação de políticas baseadas no controle por URL e categoria de URL;
Suportar proxy explícito;
Suportar a criação de limites diários de tempo e banda consumida por categoria;
Possuir pelo menos 60 categorias de URLs;
Deve possuir a função de exclusão de URLs do bloqueio;
Permitir a customização de página de bloqueio;
Permitir a restrição de acesso a canais específicos do Youtube, possibilitando configurar uma lista de canais liberado ou uma lista de canais bloqueados;
Deve bloquear o acesso a conteúdo indevido ao utilizar a busca em sites como Google, Bing e Yahoo, independentemente de a opção Safe Search estar habilitada no navegador do usuário;
5.13. Os requisitos de filtro de URL descritos acima aplicam-se apenas ao firewall.
IDENTIFICAÇÃO DOS USUÁRIOS
Deve incluir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais aplicações através da integração com LDAP, Active Directory, E-directory e base de dados local;
Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários;
Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários, suportando Single Sign On (SSO). Essa funcionalidade não deve possuir limites licenciados de usuários;
Deve possuir integração com RADIUS para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários;
Deve possuir integração com LDAP para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em Usuários e grupos de usuários;
Deve permitir o controle, sem instalação de cliente de software, em equipamentos que solicitem saída a internet para que antes de iniciar a navegação, expanda-se um portal de autenticação residente no firewall (Captive Portal);
Deve possuir suporte a identificação de múltiplos usuários conectados em um mesmo endereço IP, permitindo visibilidade e controle granular por usuário sobre o uso das aplicações que estão nestes serviços;
Deve implementar a criação de grupos customizados de usuários no firewall, baseado em atributos do LDAP/AD.
FILTRO DE DADOS
Permitir identificar e opcionalmente prevenir a transferência de vários tipos de arquivos (MS Office, PDF, etc) identificados sobre aplicações;
Suportar identificação de arquivos compactados ou a aplicação de políticas sobre o conteúdo desses tipos de arquivos;
Suportar a identificação de arquivos criptografados e a aplicação de políticas sobre o conteúdo desses tipos de arquivos;
Permitir identificar e opcionalmente prevenir a transferência de informações sensíveis, incluindo, mas
não limitado a número de cartão de crédito, possibilitando a criação de novos tipos de dados via expressão regular.
GEOLOCALIZAÇÃO
Suportar a criação de políticas por geolocalização, permitindo o bloqueio do tráfego de determinado País/Países;
Deve possibilitar a visualização dos países de origem e destino nos logs dos acessos.
RECURSOS DE SD-WAN
A solução deve prover recursos de roteamento inteligente, definindo, mediante regras pré- estabelecidas, o melhor caminho a ser tomado para uma aplicação;
Deve ser possível criar políticas que definam os seguintes critérios para match:
Endereços de origem;
Grupos de usuários;
Endereços de destino;
DSCP;
Aplicação de camada 7 utilizada (O365 Exchange, AWS, Dropbox e etc).
A solução deverá ser capaz de monitorar e identificar falhas mediante a associação de health check, permitindo testes de resposta por ping, http, tcp/udp echo, dns, tcp-connect e twamp;
O SD-WAN deverá balancear o tráfego das aplicações entre múltiplos links simultaneamente, inclusive 4G;
O SD-WAN deverá analisar o tráfego em tempo real e realizar o balanceamento dos pacotes de um mesmo fluxo (sessão) entre múltiplos links simultaneamente;
Deverá ser permitida a criação de políticas de roteamento com base nos seguintes critérios: latência, jitter, perda de pacote, banda ocupada ou todos ao mesmo tempo;
A solução de SD-WAN deve possibilitar o uso de túneis VPN dinâmicos, entre localidades remotas, para aplicações sensíveis. Uma vez que seja realizada a troca das informações entre as localidades, é feito o bypass do hub;
Deve permitir a duplicação de pacotes entre dois ou mais links, de forma seletiva, objetivando uma melhor experiência de uso de aplicações de negócio;
A solução deve permitir a definição do roteamento para cada aplicação;
Diversas formas de escolha do link devem estar presentes, incluindo: melhor link, menor custo e definição de níveis máximos de qualidade a serem aceitos para que tais links possam ser utilizados em um determinado roteamento de aplicação;
Deve possibilitar a definição do link de saída para uma aplicação específica;
Deve implementar balanceamento de link por hash do IP de origem;
Deve implementar balanceamento de link por hash do IP de origem e destino;
Deve-se implementar balanceamento de link por peso. Nesta opção deve ser possível definir o
percentual de tráfego que será encaminhado por cada um dos links. Deve suportar o balanceamento de, no mínimo, três links;
Deve implementar balanceamento de links sem a necessidade de criação de zonas ou uso de instâncias virtuais;
A solução de SD-WAN deve possuir suporte a policy based routing ou policy based forwarding;
Para IPv4, deve suportar roteamento estático e dinâmico (BGP e OSPF);
Deve possuir recurso para correção de erro (FEC), possibilitando a redução das perdas de pacotes nas transmissões;
Deve permitir a customização dos timers para detecção de queda de link, bem como tempo necessário para retornar com o link para o balanceamento após restabelecido;
A solução de SD-WAN deve suportar nativamente conectores com pelo menos as seguintes clouds públicas: Azure, AWS e GCP;
Com a finalidade de controlar aplicações e tráfego cujo consumo possa ser excessivo, (como youtube, facebook, etc), impactando no bom uso das aplicações de negócio, se requer que a solução, além de poder permitir ou negar esse tipo de aplicações, tenha capacidade de controlá-las por políticas de shaping. Dentre as tratativas possíveis, a solução deve contemplar:
Suportar a criação de políticas de QoS e Traffic Shaping por endereço de origem, endereço de destino, usuário e grupo de usuários, aplicações e porta;
O QoS deve possibilitar a definição de tráfego com banda garantida;
O QoS deve possibilitar a definição de tráfego com banda máxima;
Além de possibilitar a definição de banda máxima e garantida por aplicação, deve também suportar o match em categorias de URL, IPs de origem e destino, logins e portas.
Deve ainda possibilitar a marcação de DSCP, a fim de que essa informação possa ser utilizada ao longo do backbone para fins de reserva de banda;
O QoS deve possibilitar a definição de fila de prioridade;
Permitir agendar intervalos de tempo para habilitar as políticas de QoS/Traffic Shaping;
Deve possibilitar a definição de bandas distintas para download e upload;
A solução de SD-WAN deve prover estatísticas em tempo real a respeito da ocupação de banda (upload e download) e performance do health check (packet loss, jitter e latência);
A solução de SD-WAN deve suportar IPv6;
Deve possibilitar roteamento distinto a depender do grupo de usuário selecionado na regra de SD- WAN;
Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo;
O SD-WAN deverá possuir serviço de Firewall Stateful;
A solução SD-WAN deverá fornecer criptografia AES de 128 bits ou AES de 256 bits em sua VPN;
A solução SD-WAN deverá simplificar a implantação de túneis criptografados de site para site;
Deve ser capaz de bloquear acesso às aplicações;
Deve suportar NAT dinâmico bem como NAT de saída;
Deve suportar balanceamento de tráfego por sessão e pacote;
Suportar VPN IPSec Site-to-Site;
A VPN IPSEC deve suportar criptografia 3DES, AES128, AES192 e AES256 (Advanced Encryption Standard);
A VPN IPSEc deve suportar Autenticação MD5, SHA1, SHA256, SHA384 e SHA512;
A VPN IPSEc deve suportar Diffie-Hellman Group 1, Group 2, Group 5 e Group 14, Group 15 até 21 e Group 27 até 32;
A VPN IPSEc deve suportar Algoritmo Internet Key Exchange (IKEv1 e v2);
A VPN IPSEc deve suportar Autenticação via certificado IKE PKI;
Deve suportar o uso de DDNS, para casos onde uma ou ambas as pontas possuam IPs dinâmicos;
Deve suportar VPN dial up, no caso da ponta remota não possui IP estático na WAN;
Deve possuir suporte e estar licenciamento para uso de VRFs.
CARACTERÍSTICAS GERAIS DO SUPORTE TÉCNICO
A implantação, configuração, gerenciamento, manutenção, suporte e monitoramento dos serviços ofertados deverão ser realizados pela CONTRATADA;
É de responsabilidade da CONTRATADA todas as despesas com materiais, mão-de-obra, transportes, hospedagem, equipamentos, máquinas, impostos, seguros, taxas, tributos, incidências fiscais, trabalhistas, previdenciárias, salários, custos diretos e indiretos, encargos sociais e contribuições de qualquer natureza ou espécie, necessários à perfeita execução do objeto;
Em situações que forem identificadas como origem do incidente falhas nos links de comunicação e estes serem causados por contratos da CONTRATANTE com outras empresas, a CONTRATANTE deverá realizar o acionamento e acompanhamento do suporte técnico da referida empresa fornecedora do link afetado, para que esta realize a normalização dos seus serviços;
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Todos os chamados, sejam abertos pela CONTRATANTE ou pela CONTRATADA de forma proativa e/ou reativa, deverão ser registrados em ferramenta para este fim, a qual deverá possibilitar a extração das informações de acordo com os relatórios exigidos mensalmente;
Os chamados abertos pelo CONTRATANTE serão referentes às atividades sob responsabilidade da CONTRATADA, englobando: instalação, configuração, recuperação, alteração e remoção de equipamentos, configurações nas soluções, endereçamento IP, SNMP, organização e atualização da gerência e todos os serviços contratados de maneira a assegurar a integridade, a qualidade e desempenho dos serviços dentro dos limites estabelecidos;
A CONTRATADA deverá manter atualizados no seu sistema de chamados as informações e status de andamento no atendimento dos incidentes/requisições;
Eventuais paradas nas soluções contratadas, em qualquer nível, ou qualquer outra parada de
responsabilidade da CONTRATADA, deverá ser comunicada tempestivamente a CONTRATANTE através de e-mail ou telefone(s) que possam garantir contato imediato a ser(em) informados pela CONTRATANTE;
Todas as interrupções programadas deverão ser comunicadas ao CONTRATANTE com antecedência mínima de 5 (cinco) dias úteis, e deverão ser realizadas preferencialmente aos domingos e feriados, ou em data e horário pré-definidos pelo CONTRATANTE, de acordo com o fuso horário da localidade onde ocorrerá a interrupção. As paradas programadas deverão ser autorizadas pelo CONTRATANTE antes de sua execução;
O CONTRATANTE poderá solicitar, a qualquer tempo, os dados e demais informações armazenadas pela CONTRATADA, relativos ao projeto do CONTRATANTE;
Os dados e informações armazenados poderão ser solicitados pelo CONTRATANTE, a qualquer tempo à CONTRATADA que deverá disponibilizá-los no prazo máximo de 5 (cinco) dias úteis, em meio a ser definido pela CONTRATANTE.
LOTE 03 – ITEM 01 – SERVIÇO DE FIREWALL CORPORATIVO TIPO 01
COMPONENTES DE HARDWARE
Cada unidade de CLUSTER deverá ser composta por 2 (dois) equipamentos;
O equipamento de referência adotado nesta especificação se baseia no modelo Fortigate 901G;
Throughput de, no mínimo, 22 Gbps com a funcionalidade de NGFW. Ou seja, com funcionalidades de Firewall, IPS e Controle de Aplicação habilitadas simultaneamente;
Throughput de, no mínimo, 74 Gbps para Controle de Aplicação;
Throughput de, no mínimo, 164 Gbps para Firewall, considerando pacotes UDP de 1518 bytes;
Suporte a, pelo menos, 16 milhões de sessões concorrentes TCP;
Suporte a, pelo menos, 720 mil novas sessões TCP por segundo;
Suportar no mínimo 16 Gbps de throughput de Inspeção SSL;
Throughput de, no mínimo, 26 Gbps de IPS;
Throughput de, no mínimo, 55 Gbps de VPN IPSec;
Throughput de, no mínimo, 10 Gbps de VPN SSL;
Suportar pelo menos 2.000 túneis IPSec Site-to-Site;
Suportar pelo menos 50.000 túneis IPSec Site-to-Client;
Possuir ao menos 16 interfaces RJ45 Gigabit Ethernet, 8 interfaces SFP Gigabit Ethernet, 4 interfaces SFP+ Gigabit Ethernet, 4 interfaces SFP28 Gigabit Ethernet de Baixa Latência, 1 interface RJ45 para gerenciamento e 1 interface RJ45 para alta disponibilidade (HA);
Cada equipamento deverá ser entregue com 4 Transceivers 25GBASE-SR e 4 Transceivers 10GBASE-SR;
Suportar a criação de, no mínimo, 10 instâncias virtuais;
Armazenamento interno de, no mínimo, 2 discos SSD de 480 GB;
Deve ser fornecido com fontes redundantes do tipo hot swap;
Deve suportar a instalação em rack padrão 19” ou ser entregue com bandeja para a instalação em rack;
Deve estar homologado na ANATEL até a data da licitação.
MONITORAMENTO ATRAVÉS DE CENTRO DE OPERAÇÃO DE SEGURANÇA
A CONTRATADA deverá realizar o monitoramento de toda a solução ofertada no LOTE 3, atuando de forma proativa e reativa a eventos que possam causar impactos ou indisponibilidade na prestação dos serviços contratados;
A CONTRATADA deverá fornecer a partir dos logs coletados dos dispositivos a correlação de eventos e detecção em tempo real de ameaças persistentes avançadas (APTs), vulnerabilidades e indicadores de comprometimento (IOC) para as soluções de segurança e prover visibilidade profunda e insights críticos da rede;
A CONTRATADA deverá fornecer notificações, relatórios e painéis em tempo real para visibilidade das soluções de segurança ofertadas;
A CONTRATADA deverá ter capacidade para detectar malwares, incluindo um relatório informativo com o resumo de como o malware funciona;
A CONTRATADA deverá ter capacidade para identificar uso suspeito e artefatos maliciosos observados na rede ou em um sistema operacional, determinados por meio de indicadores de comprometimento (IOC) como sendo infecções maliciosas ou intrusões;
A CONTRATADA deverá possuir automação para resposta a incidentes com fluxos de trabalho integrados de gerenciamento de incidentes e conectores nas soluções de segurança.
SUPORTE ESPECIALIZADO NA SOLUÇÃO DE SEGURANÇA
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Por suporte técnico de segundo nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Auxiliar na configuração de políticas de firewall;
Análise de problemas relacionados a SSL VPN;
Análise de problemas relacionados a VPN Site-to-Site;
Análise de problemas relacionados a bloqueios indevidos;
Ajustes de configurações iniciais (NTP Server, Hostname, Timezone);
Auxílio na criação de objetos no firewall;
Auxílio na reserva de IPv4 com base em DHCP/MAC Address;
Criação e/ou Alteração de perfis de segurança (AV, WEB, APP, DNS, IPS);
Criação e/ou Alteração de configuração de túneis VPN Site-to-Site, Dial-up e SSLVPN;
Criação e/ou Alteração de interfaces de rede;
Criação e/ou Alteração em políticas de roteamento;
Criação e/ou Alteração de configuração em integração com servidores LDAP e/ou RADIUS.
Por suporte técnico de terceiro nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Análise de disponibilidade;
Criação e configuração de VPN Site-to-Site em VXLAN;
Auxílio na reserva de IPv6 com base em DHCP/MAC Address;
Tratativas relacionadas a IPv6;
Problemas relativos a Certificado Digital;
Análise e resolução de problemas de comunicação com servidores LDAP;
Análise e resolução de problemas via CLI (VPN, SSO, RADIUS, dentre outros);
Configuração de VPN SSL com certificado próprio;
Auxílio na confecção de políticas com inspeção de pacotes;
Integrações com demais soluções de segurança presentes nesta contratação;
Configuração de alta disponibilidade;
Configuração do Single Sign On (SSO);
Restauração da solução a partir de backup;
Configuração de inspeção profunda de pacotes e SSL nas políticas de firewall;
Tratamento de incidentes junto ao fabricante da solução;
Tratamento de RMA junto ao fabricante da solução.
Demais solicitações da CONTRATANTE que se fizerem necessárias nas soluções contratadas devem ser previamente acordadas com a CONTRATADA.
LOTE 03 – ITEM 02 – SERVIÇO DE FIREWALL CORPORATIVO TIPO 02 3.1.COMPONENTES DE HARDWARE
O equipamento de referência adotado nesta especificação se baseia no modelo Fortigate 201F;
Throughput de, no mínimo, 3,5 Gbps com a funcionalidade de NGFW. Ou seja, com funcionalidades de Firewall, IPS e Controle de Aplicação habilitadas simultaneamente;
Throughput de, no mínimo, 13 Gbps para Controle de Aplicação;
Throughput de, no mínimo, 27 Gbps para Firewall, considerando pacotes UDP de 1518 bytes;
Suporte a, pelo menos, 3 Milhões de sessões concorrentes TCP;
Suporte a, pelo menos, 280 mil novas sessões TCP por segundo;
Suportar no mínimo 4 Gbps de throughput de Inspeção SSL;
Throughput de, no mínimo, 5 Gbps de IPS;
Throughput de, no mínimo, 13 Gbps de VPN IPSec;
Throughput de, no mínimo, 2 Gbps de VPN SSL;
Possuir ao menos 16 interfaces RJ45 Gigabit Ethernet, 8 interfaces SFP Gigabit Ethernet, 4 interfaces SFP+ Gigabit Ethernet, 1 interface RJ45 para gerenciamento e 1 interface RJ45 para alta disponibilidade (HA);
Armazenamento interno de, no mínimo, 1 disco SSD de 480 GB;
Possuir fontes redundantes;
Deve suportar a instalação em rack padrão 19” ou ser entregue com bandeja para a instalação em rack;
Deve estar homologado na ANATEL até a data da licitação.
.3.2. MONITORAMENTO ATRAVÉS DE CENTRO DE OPERAÇÃO DE SEGURANÇA
3.2.1. A CONTRATADA deverá realizar o monitoramento de toda a solução ofertada no LOTE 3, atuando de forma proativa e reativa a eventos que possam causar impactos ou indisponibilidade na prestação dos serviços contratados;
A CONTRATADA deverá fornecer a partir dos logs coletados dos dispositivos a correlação de eventos e detecção em tempo real de ameaças persistentes avançadas (APTs), vulnerabilidades e indicadores de comprometimento (IOC) para as soluções de segurança e prover visibilidade profunda e insights críticos da rede;
. A CONTRATADA deverá fornecer notificações, relatórios e painéis em tempo real para visibilidade das soluções de segurança ofertadas;
A CONTRATADA deverá ter capacidade para detectar malwares, incluindo um relatório informativo com o resumo de como o malware funciona;
A CONTRATADA deverá ter capacidade para identificar uso suspeito e artefatos maliciosos observados na rede ou em um sistema operacional, determinados por meio de indicadores de comprometimento (IOC) como sendo infecções maliciosas ou intrusões;
A CONTRATADA deverá possuir automação para resposta a incidentes com fluxos de trabalho integrados de gerenciamento de incidentes e conectores nas soluções de segurança.
SUPORTE ESPECIALIZADO NA SOLUÇÃO DE SEGURANÇA
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Por suporte técnico de segundo nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Auxiliar na configuração de políticas de firewall;
Análise de problemas relacionados a SSL VPN;
Análise de problemas relacionados a VPN Site-to-Site;
Análise de problemas relacionados a bloqueios indevidos;
Ajustes de configurações iniciais (NTP Server, Hostname, Timezone);
Auxílio na criação de objetos no firewall;
Auxílio na reserva de IPv4 com base em DHCP/MAC Address;
Criação e/ou Alteração de perfis de segurança (AV, WEB, APP, DNS, IPS);
Criação e/ou Alteração de configuração de túneis VPN Site-to-Site, Dial-up e SSLVPN;
Criação e/ou Alteração de interfaces de rede;
Criação e/ou Alteração em políticas de roteamento;
Criação e/ou Alteração de configuração em integração com servidores LDAP e/ou RADIUS.
Por suporte técnico de terceiro nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Análise de disponibilidade;
Criação e configuração de VPN Site-to-Site em VXLAN;
Auxílio na reserva de IPv6 com base em DHCP/MAC Address;
Tratativas relacionadas a IPv6;
Problemas relativos a Certificado Digital;
Análise e resolução de problemas de comunicação com servidores LDAP;
Análise e resolução de problemas via CLI (VPN, SSO, RADIUS, dentre outros);
Configuração de VPN SSL com certificado próprio;
Auxílio na confecção de políticas com inspeção de pacotes;
Integrações com demais soluções de segurança presentes nesta contratação;
Configuração de alta disponibilidade;
Configuração do Single Sign On (SSO);
Restauração da solução a partir de backup;
Configuração de inspeção profunda de pacotes e SSL nas políticas de firewall;
Tratamento de incidentes junto ao fabricante da solução;
Tratamento de RMA junto ao fabricante da solução.
Demais solicitações da CONTRATANTE que se fizerem necessárias nas soluções contratadas devem ser previamente acordadas com a CONTRATADA.
LOTE 03 – ITEM 03 – SERVIÇO DE FIREWALL CORPORATIVO TIPO 03
COMPONENTES DE HARDWARE
O equipamento de referência adotado nesta especificação se baseia no modelo Fortigate 101F;
Throughput de, no mínimo, 1.6 Gbps com a funcionalidade de NGFW. Ou seja, com funcionalidades de Firewall, IPS e Controle de Aplicação habilitadas simultaneamente;
Throughput de, no mínimo, 2,2 Gbps para Controle de Aplicação;
Throughput de, no mínimo, 20 Gbps para Firewall, considerando pacotes UDP de 1518 bytes;
Suporte a, pelo menos, 1,5 milhões sessões concorrentes TCP;
Suporte a, pelo menos, 56 mil novas sessões TCP por segundo;
Suportar no mínimo 1 Gbps de throughput de Inspeção SSL;
Throughput de, no mínimo, 2,6 Gbps de IPS;
Throughput de, no mínimo, 11,5 Gbps de VPN IPSec;
Throughput de, no mínimo, 1 Gbps de VPN SSL;
Possuir ao menos 12 interfaces RJ45 Gigabit Ethernet, 4 interfaces SFP Gigabit Ethernet, 2 interfaces SFP+ Gigabit Ethernet, 1 interface RJ45 para gerenciamento e 1 interface RJ45 para alta disponibilidade (HA);
Armazenamento interno de, no mínimo, 1 disco SSD de 480 GB;
Possuir fontes redundantes;
Deve suportar a instalação em rack padrão 19” ou ser entregue com bandeja para a instalação em rack;
Deve estar homologado na ANATEL até a data da licitação.
MONITORAMENTO ATRAVÉS DE CENTRO DE OPERAÇÃO DE SEGURANÇA
A CONTRATADA deverá realizar o monitoramento de toda a solução ofertada no LOTE 3, atuando de forma proativa e reativa a eventos que possam causar impactos ou indisponibilidade na prestação dos serviços contratados;
A CONTRATADA deverá fornecer a partir dos logs coletados dos dispositivos a correlação de eventos e detecção em tempo real de ameaças persistentes avançadas (APTs), vulnerabilidades e indicadores de comprometimento (IOC) para as soluções de segurança e prover visibilidade profunda e insights críticos da rede;
A CONTRATADA deverá fornecer notificações, relatórios e painéis em tempo real para visibilidade das soluções de segurança ofertadas;
A CONTRATADA deverá ter capacidade para detectar malwares, incluindo um relatório informativo com o resumo de como o malware funciona;
A CONTRATADA deverá ter capacidade para identificar uso suspeito e artefatos maliciosos observados na rede ou em um sistema operacional, determinados por meio de indicadores de comprometimento (IOC) como sendo infecções maliciosas ou intrusões;
A CONTRATADA deverá possuir automação para resposta a incidentes com fluxos de trabalho integrados de gerenciamento de incidentes e conectores nas soluções de segurança.
SUPORTE ESPECIALIZADO NA SOLUÇÃO DE SEGURANÇA
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Por suporte técnico de segundo nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Auxiliar na configuração de políticas de firewall;
Análise de problemas relacionados a SSL VPN;
Análise de problemas relacionados a VPN Site-to-Site;
Análise de problemas relacionados a bloqueios indevidos;
Ajustes de configurações iniciais (NTP Server, Hostname, Timezone);
Auxílio na criação de objetos no firewall;
Auxílio na reserva de IPv4 com base em DHCP/MAC Address;
Criação e/ou Alteração de perfis de segurança (AV, WEB, APP, DNS, IPS);
Criação e/ou Alteração de configuração de túneis VPN Site-to-Site, Dial-up e SSLVPN;
Criação e/ou Alteração de interfaces de rede;
Criação e/ou Alteração em políticas de roteamento;
Criação e/ou Alteração de configuração em integração com servidores LDAP e/ou RADIUS.
Por suporte técnico de terceiro nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Análise de disponibilidade;
Criação e configuração de VPN Site-to-Site em VXLAN;
Auxílio na reserva de IPv6 com base em DHCP/MAC Address;
Tratativas relacionadas a IPv6;
Problemas relativos a Certificado Digital;
Análise e resolução de problemas de comunicação com servidores LDAP;
Análise e resolução de problemas via CLI (VPN, SSO, RADIUS, dentre outros);
Configuração de VPN SSL com certificado próprio;
Auxílio na confecção de políticas com inspeção de pacotes;
Integrações com demais soluções de segurança presentes nesta contratação;
Configuração de alta disponibilidade;
Configuração do Single Sign On (SSO);
Restauração da solução a partir de backup;
Configuração de inspeção profunda de pacotes e SSL nas políticas de firewall;
Tratamento de incidentes junto ao fabricante da solução;
Tratamento de RMA junto ao fabricante da solução.
Demais solicitações da CONTRATANTE que se fizerem necessárias nas soluções contratadas devem ser previamente acordadas com a CONTRATADA.
LOTE 03 – ITEM 04 – SERVIÇO DE FIREWALL CORPORATIVO TIPO 04
COMPONENTES DE HARDWARE
O equipamento de referência adotado nesta especificação se baseia no modelo Fortigate 40F;
Throughput de, no mínimo, 800 Mbps com a funcionalidade de NGFW. Ou seja, com funcionalidades de Firewall, IPS e Controle de Aplicação habilitadas simultaneamente;
Throughput de, no mínimo, 990 Mbps para Controle de Aplicação;
Throughput de, no mínimo, 5 Gbps para Firewall, considerando pacotes UDP de 1518 bytes;
Suporte a, pelo menos, 700 mil sessões concorrentes TCP;
Suporte a, pelo menos, 35 mil novas sessões TCP por segundo;
Suportar no mínimo 310 Mbps de throughput de Inspeção SSL;
Throughput de, no mínimo, 1 Gbps de IPS;
Throughput de, no mínimo, 4,4 Gbps de VPN IPSec;
Throughput de, no mínimo, 490 Mbps de VPN SSL;
Possuir ao menos 3 interfaces RJ45 Gigabit Ethernet;
Deve suportar a instalação em rack padrão 19” ou ser entregue com bandeja para a instalação em rack;
Deve estar homologado na ANATEL até a data da licitação.
MONITORAMENTO ATRAVÉS DE CENTRO DE OPERAÇÃO DE SEGURANÇA
A CONTRATADA deverá realizar o monitoramento de toda a solução ofertada no LOTE 3, atuando de forma proativa e reativa a eventos que possam causar impactos ou indisponibilidade na prestação dos serviços contratados;
A CONTRATADA deverá fornecer a partir dos logs coletados dos dispositivos a correlação de eventos e detecção em tempo real de ameaças persistentes avançadas (APTs), vulnerabilidades e indicadores de comprometimento (IOC) para as soluções de segurança e prover visibilidade profunda e insights críticos da rede;
A CONTRATADA deverá fornecer notificações, relatórios e painéis em tempo real para visibilidade das soluções de segurança ofertadas;
A CONTRATADA deverá ter capacidade para detectar malwares, incluindo um relatório informativo com o resumo de como o malware funciona;
A CONTRATADA deverá ter capacidade para identificar uso suspeito e artefatos maliciosos observados na rede ou em um sistema operacional, determinados por meio de indicadores de comprometimento (IOC) como sendo infecções maliciosas ou intrusões;
A CONTRATADA deverá possuir automação para resposta a incidentes com fluxos de trabalho
integrados de gerenciamento de incidentes e conectores nas soluções de segurança.
SUPORTE ESPECIALIZADO NA SOLUÇÃO DE SEGURANÇA
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Por suporte técnico de segundo nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Auxiliar na configuração de políticas de firewall;
Análise de problemas relacionados a SSL VPN;
Análise de problemas relacionados a VPN Site-to-Site;
Análise de problemas relacionados a bloqueios indevidos;
Ajustes de configurações iniciais (NTP Server, Hostname, Timezone);
Auxílio na criação de objetos no firewall;
Auxílio na reserva de IPv4 com base em DHCP/MAC Address;
Criação e/ou Alteração de perfis de segurança (AV, WEB, APP, DNS, IPS);
Criação e/ou Alteração de configuração de túneis VPN Site-to-Site, Dial-up e SSLVPN;
Criação e/ou Alteração de interfaces de rede;
Criação e/ou Alteração em políticas de roteamento;
Criação e/ou Alteração de configuração em integração com servidores LDAP e/ou RADIUS.
Por suporte técnico de terceiro nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Análise de disponibilidade;
Criação e configuração de VPN Site-to-Site em VXLAN;
Auxílio na reserva de IPv6 com base em DHCP/MAC Address;
Tratativas relacionadas a IPv6;
Problemas relativos a Certificado Digital;
Análise e resolução de problemas de comunicação com servidores LDAP;
Análise e resolução de problemas via CLI (VPN, SSO, RADIUS, dentre outros);
Configuração de VPN SSL com certificado próprio;
Auxílio na confecção de políticas com inspeção de pacotes;
Integrações com demais soluções de segurança presentes nesta contratação;
Configuração de alta disponibilidade;
Configuração do Single Sign On (SSO);
Restauração da solução a partir de backup;
Configuração de inspeção profunda de pacotes e SSL nas políticas de firewall;
Tratamento de incidentes junto ao fabricante da solução;
Tratamento de RMA junto ao fabricante da solução.
Demais solicitações da CONTRATANTE que se fizerem necessárias nas soluções contratadas devem ser previamente acordadas com a CONTRATADA.
LOTE 03 – ITEM 05 – SERVIÇO DE GERENCIAMENTO CENTRALIZADO
CARACTERÍSTICAS GERAIS
A solução de referência adotada nesta especificação se baseia no modelo FortiManager-VM;
Considerando o volume de equipamentos e escala do projeto, faz-se necessária uma solução de gerenciamento centralizado dos equipamentos ofertados;
Devem ser do mesmo fornecedor das soluções ofertadas no LOTE 03, suportando nativamente todos os recursos listados;
Deve considerar o volume de equipamentos ofertados, considerando todo o licenciamento necessário para a correta gestão dos equipamentos de segurança de rede.
FUNCIONALIDADES GERAIS
O gerenciamento da solução deve suportar acesso via SSH, cliente ou web (HTTPS) e API;
Deverá suportar contas de usuário/senha estáticas;
Permitir acesso concorrente de administradores;
Definição de perfis de acesso à solução com permissões granulares como: acesso de escrita, acesso de leitura, criação de usuários, alteração de configurações;
O sistema deverá suportar o método de autenticação externo usuário/conta do servidor RADIUS;
Todo o provisionamento de serviços deverá ser feito via GUI no sistema de gerenciamento centralizado;
Todas as alterações de configuração deverão ser registradas e arquivadas para fins de auditoria;
A solução deverá informar o status UP/DOWN/SPEED das interfaces LAN e WAN;
Deverá permitir que todos os alarmes e eventos sejam registrados na solução de gerenciamento centralizado;
O gerenciamento deve possibilitar a criação e administração de políticas de firewall e controle de aplicação;
O gerenciamento deve possibilitar a criação e administração de políticas de IPS, Antivírus e Anti Spyware;
O gerenciamento deve possibilitar a criação e administração de políticas de Filtro de URL;
Permitir localizar em quais regras um objeto está sendo utilizado;
Permitir criação de regras que fiquem ativas em horário definido;
A solução deve possibilitar a distribuição e instalação remota, de maneira centralizada, de novas versões de firmware dos appliances;
Deve ser capaz de gerar relatórios ou exibir comparativos entre duas sessões diferentes, resumindo todas as alterações efetuadas;
Deve permitir criar fluxos de aprovação na solução de gerência, onde um administrador possa criar todas as regras, mas estas somente sejam aplicadas após aprovação de outro administrador;
Possuir “wizard” na solução de gerência para adicionar os dispositivos via interface gráfica utilizando IP, login e senha dos equipamentos;
Permitir que eventuais políticas e objetos já presentes nos dispositivos sejam importados quando este for adicionado à solução de gerência;
Permitir visualizar, a partir da estação de gerência centralizada, informações detalhadas dos dispositivos gerenciados, tais como hostname, serial, IP de gerência, licenças, horário do sistema e firmware;
Possuir “wizard” na solução de gerência para instalação de políticas e configurações dos dispositivos;
Permitir criar na solução de gerência de templates de configuração dos dispositivos com informações de DNS, SNMP, configurações de log e administração;
Permitir criar scripts personalizados, que sejam executados de forma centralizada em um ou mais dispositivos gerenciados, através dos comandos de CLI destes;
Possuir histórico dos scripts executados nos dispositivos gerenciados pela solução de gerência;
Permitir configurar e visualizar balanceamento de circuitos nos dispositivos gerenciados de forma centralizada;
Permitir criar vários pacotes de políticas que serão aplicados/associados à dispositivos ou grupos de dispositivos;
Deve permitir criar regras de NAT64 e NAT46 de forma centralizada;
Permitir criar regras anti DDoS de forma centralizada;
Permitir criar os objetos que serão utilizados nas políticas de forma centralizada;
Através da análise de tráfego de rede, web e DNS, deve suportar a verificação de máquinas potencialmente comprometidas ou usuários com uso de rede suspeito;
Suporte a definição de perfis de acesso a solução com permissão granular, como: acesso de gravação, acesso de leitura, criação de novos usuários e alterações nas configurações gerais;
Deve conter um assistente gráfico para adicionar novos dispositivos, usando seu endereço IP, usuário e senha.
SUPORTE ESPECIALIZADO NA SOLUÇÃO DE SEGURANÇA
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Por suporte técnico de segundo nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Criação e/ou Alteração de interfaces de rede;
Configuração das soluções de segurança através da ferramenta;
Atualização dos firmwares das soluções de segurança através da ferramenta;
Gerência do Task Monitor;
Análise dos eventos das soluções de segurança através da ferramenta;
Auxílio na gerência das soluções de segurança através da ferramenta.
Por suporte técnico de terceiro nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE;
Análise e resolução de problemas via CLI; 6.3.3.2.Configuração do servidor de autenticação remota; 6.3.3.3.Atualização do Single Sign On (SSO); 6.3.3.4.Atualização do SAML SSO;
6.3.3.5.Tratamento de incidentes junto ao fabricante da solução.
Demais solicitações da CONTRATANTE que se fizerem necessárias nas soluções contratadas devem ser previamente acordadas com a CONTRATADA.
LOTE 03 – ITEM 06 – SERVIÇO DE RELATORIA E DE ANÁLISE DE LOGS
CARACTERÍSTICAS GERAIS
O equipamento de referência adotado nesta especificação se baseia no modelo FAZ-810G;
Capacidade de receber e processar no mínimo 200 GB de logs por dia;
Sustentar taxa de análises de logs de 4.000 logs por segundo;
Deve possuir no mínimo 8TB para armazenamento de logs, após configuração do RAID;
Suportar no mínimo 800 dispositivos e VDOMS;
Tamanho máximo de 1U;
Deve possuir discos removíveis;
Deve ser fornecido com fontes redundantes do tipo hot swap.
FUNCIONALIDADES GERAIS
Deve permitir o encaminhamento de log no formato syslog;
Deve permitir o encaminhamento de log no formato CEF (Common Event Format);
Suporte a geração de relatórios de tráfego em tempo real, em formato de mapa geográfico;
Suporte a geração de relatórios de tráfego em tempo real, no formato de gráfico de bolhas;
Suporte a geração de relatórios de tráfego em tempo real, em formato de tabela gráfica;
Deve ser possível ver a quantidade de logs enviados de cada dispositivo monitorado;
Deve possuir mecanismos de remoção automática para logs antigos;
Permitir importação e exportação de relatórios;
Deve ter a capacidade de criar relatórios no formato HTML e CSV;
Deve permitir exportar os logs no formato CSV;
Deve permitir a geração de logs de auditoria, com detalhes da configuração efetuada, o administrador que efetuou a alteração e seu horário;
Os logs gerados pelos dispositivos gerenciados devem ser centralizados nos servidores da plataforma, mas a solução também deve oferecer a possibilidade de usar um servidor syslog externo ou similar;
A solução deve ter relatórios predefinidos;
Deve permitir o envio automático dos logs para um servidor FTP externo a solução;
Deve ter a capacidade de personalizar a capa dos relatórios obtidos;
Deve permitir centralmente a exibição de logs recebidos por um ou mais dispositivos, incluindo a capacidade de usar filtros para facilitar a pesquisa nos logs;
Os logs de auditoria das regras e alterações na configuração do objeto devem ser exibidos em uma lista diferente dos logs relacionados ao tráfego de dados;
Deve ter a capacidade de personalizar gráficos em relatórios, como barras, linhas e tabelas;
Deve ter um mecanismo de pesquisa detalhada ou “Drill-Down” para navegar pelos relatórios em tempo real;
Deve permitir que os arquivos de log sejam baixados da plataforma para uso externo;
Deve ter a capacidade de gerar e enviar relatórios periódicos automaticamente;
Permitir a personalização de qualquer relatório pré-estabelecido pela solução, exclusivamente pelo administrador, para adotá-lo de acordo com suas necessidades;
Permitir o envio de relatórios por e-mail automaticamente;
Deve permitir que o relatório seja enviado por e-mail para destinatário específico;
Permitir a programação da geração de relatórios, conforme calendário definido pelo administrador;
Permitir a exibição graficamente e em tempo real da taxa de geração de logs para cada dispositivo gerenciado;
Deve permitir o uso de filtros nos relatórios;
Deve permitir definir o design dos relatórios, incluir gráficos, adicionar texto e imagens, alinhamento, quebras de página, fontes, cores, entre outros;
Permitir especificar o idioma dos relatórios criados;
Gerar alertas automáticos via e-mail, SNMP e syslog, com base em eventos especiais em logs, gravidade do evento, entre outros;
Deve permitir o envio automático de relatórios para um servidor SFTP ou FTP externo;
Deve ser capaz de criar consultas SQL ou similares nos bancos de dados de logs, para uso em gráficos e tabelas em relatórios;
Possibilidade de exibir nos relatórios da GUI as informações do sistema, como licenças, memória, disco rígido, uso da CPU, taxa de log por segundo recebido, total de logs diários recebidos, alertas do sistema, entre outros;
Deve fornecer as informações da quantidade de logs armazenados e as estatísticas do tempo restante armazenado;
Deve permitir aplicar políticas para o uso de senhas para administradores de plataforma, como tamanho mínimo de caracteres permitidos;
Deve permitir visualizar em tempo real os logs recebidos;
Deve permitir gerar alertas de eventos a partir de logs recebidos.
SUPORTE ESPECIALIZADO NA SOLUÇÃO DE SEGURANÇA
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Por suporte técnico de segundo nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Utilização geral do monitoramento de eventos e incidentes na ferramenta;
Configuração de envio de relatórios padrão;
Análise de logs através da ferramenta.
Por suporte técnico de terceiro nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Configuração de perfil para envio de relatórios; 7.3.3.2.Criação de relatórios personalizados; 7.3.3.3.Gerência do banco de dados via CLI; 7.3.3.4.Configuração do servidor de autenticação remota; 7.3.3.5.Configuração de alta disponibilidade;
7.3.3.6.Integrações com demais soluções de segurança presentes nesta contratação; 7.3.3.7.Tratamento de incidentes junto ao fabricante da solução; 7.3.3.8.Tratamento de RMA junto ao fabricante da solução.
Demais solicitações da CONTRATANTE que se fizerem necessárias nas soluções contratadas devem ser previamente acordadas com a CONTRATADA.
LOTE 03 – ITEM 07 – SERVIÇO DE FIREWALL DE APLICAÇÃO WEB
ESPECIFICAÇÃO DO HARDWARE
O CLUSTER deverá ser composto por 2 (dois) equipamentos;
O equipamento de referência adotado nesta especificação se baseia no modelo FORTIWEB 1000F;
Throughput de, no mínimo, 2,5 Gbps. Com funcionalidade de proteção de aplicações web;
Possuir funcionalidades de alta disponibilidade, ativo/ativo e ativo/passivo;
Possuir ao menos 8 interfaces RJ45 Gigabit Ethernet com funcionalidade de bypass, 4 interfaces SFP Gigabit Ethernet sem bypass, 2 interfaces SFP+ Gigabit Ethernet;
Possuir processamento SSL/TLS por hardware;
Armazenamento interno de, no mínimo, 2 discos SSD de 480GB;
Possuir tamanho máximo de 2U;
Deve ser fornecido com fontes redundantes do tipo hot swap.
FUNCIONALIDADES GERAIS
A solução deverá ser do tipo appliance, destinada a finalidade de firewall de aplicação web (Web Application Firewall – WAF), bem como as licenças necessárias para o seu funcionamento e proteção de servidores e aplicações web;
A implantação da solução deverá ser planejada previamente em conjunto com a CONTRATANTE, onde deverão ser definidos todos os passos necessários para a instalação, incluindo o cronograma de implantação, planos de testes e homologação da solução.
FUNCIONALIDADES DE REDE
A solução deve ser capaz de ser implementada no modo Proxy (Transparente e Reverso), Passivo e Inline Transparente (Bridge);
A solução deve ser capaz de ser implementada com protocolo WCCP;
Suportar VLANs no padrão IEEE 802.1q;
Suportar endereçamento IPv4 e IPv6 nas interfaces físicas e virtuais (VLANs);
A solução deve suportar roteamento por política (policy route).
FUNCIONALIDADES DE GERÊNCIA
O sistema operacional/firmware deve suportar interface gráfica web para a configuração das funções do sistema operacional, utilizando protocolo HTTPS, e através de interface de linha de comando (CLI), acessando localmente, via porta de console, ou remotamente via SSH;
Deve possuir administração baseada em interface web;
Deve possuir administração baseada em interface de linha de comando via Telnet;
Possuir auto complementação de comandos na CLI;
Possuir ajuda contextual na CLI;
A solução deve possuir um Dashboard com informações sobre o sistema (Informações do Cluster, hostname, número de série, modo de operação, tempo em serviço, versão do firmware);
Deverá ser possível visualizar através da interface gráfica informações de licenças, assinaturas e contrato de suporte;
A solução ofertada deverá possuir acesso à linha de comando CLI via interface gráfica;
Deve prover, na interface gráfica, informações de consumo de CPU e estatísticas das conexões;
Deve ser possível visualizar na interface gráfica as informações de consumo de memória;
Deverá possuir dashboard que permita visualizar os últimos logs de ataque detectados/bloqueados;
Deve prover na interface de gráfica informações de: estatísticas de throughput HTTP em tempo real, estatísticas dos eventos de ataque detectados/bloqueados, estatísticas de requisições HTTP em tempo real e últimos logs de eventos do sistema;
Possuir na interface gráfica estatísticas de conexões concorrentes de conexões por segundo e de políticas de segurança do sistema;
Possuir um painel de visualização com informações das interfaces de rede do sistema;
A configuração de administração da solução deve possibilitar a utilização de perfis;
Deve ser possível executar e restaurar backup via interface web (GUI);
Deve ter a opção para criptografar o backup utilizando algoritmo AES 128-bit ou superior;
Deve ser possível executar e restaurar backup utilizando-se FTP;
Deve ser possível executar e restaurar backup utilizando-se SFTP e TFTP;
Deve ser possível antes de aplicar uma nova versão de firmware testar o mesmo em memória RAM sem instalação em disco;
Deve ser possível instalar um firmware alternativo em disco e inicializá-lo em caso de falha do firmware principal;
Deve ter suporte ao protocolo de monitoração SNMP v1, SNMP v2c e SNMP v3;
Deve ser capaz de realizar notificações de eventos de segurança através de e-mail, traps SNMP e syslog;
A solução deverá ter a capacidade de armazenar logs localmente em disco e em servidor externo via protocolo syslog;
Ter a capacidade de armazenar logs em appliance remoto;
A solução deve ter a capacidade de enviar alertas por e-mail de eventos baseados em severidades e/ou categorias;
A solução deve possuir dados analíticos contendo localização geográfica dos clientes web;
A solução deve possuir dados analíticos, sendo possível visualizar a contagem total de ataques e percentual de cada país de origem, o volume total de tráfego em bytes e percentual de cada país de origem e o total de acessos (hits) e percentual de cada país de origem;
Deverá ter a capacidade de gerar relatórios detalhados baseados em tráfego/acessos/atividades do usuário;
Deve ter suporte a RESTful API para gerenciamento de configurações.
FUNCIONALIDADES DE AUTENTICAÇÃO
Os usuários devem ser capazes de autenticar através do cabeçalho de autorização HTTP/HTTPS;
Os usuários devem ser capazes de autenticar através de formulários HTML embutidos;
A solução deverá ser capaz de autenticar usuários através de certificados digitais pessoais;
Deve possuir base local para armazenamento e autenticação de contas de usuários;
A solução deve ter a capacidade de autenticar usuários em bases externas/remotas LDAP e RADIUS;
Os usuários devem ser capazes de autenticar através de contas de usuários em base remota NTLM;
A solução deve ser capaz de criar grupos de usuários para acessos semelhantes na autenticação;
Deve suportar CAPTCHA e Real Browser Enforcement (RBE);
Deve suportar autenticação de duplo fator.
ITENS REGULATÓRIOS E CERTIFICAÇÕES
A solução deve suportar o modelo de segurança positiva definido pelo OWASP, pelo menos o que consta no TOP 10;
O equipamento deve possuir certificação FCC Class A part 15;
O equipamento deve possuir certificação C-Tick;
O equipamento deve possuir certificação VCCI;
O equipamento deve possuir certificação CE;
O equipamento deve possuir certificação UL/cUL;
O equipamento deve possuir certificação CB.
FUNCIONALIDADES DE WEB APPLICATION FIREWALL
Deve ter suporte nativo de HTTP/2;
Deve suportar tradução de HTTP/2 a HTTP 1.1;
Deve suportar interoperabilidade com OpenAPI 3.0;
Deverá ser capaz de identificar e bloquear ataques através de um banco de dados de assinaturas de vírus e IP reputation, atualizado de forma automática;
A solução deve permitir escolher entre usar o banco de dados completo ou apenas uma base de dados contendo ameaças mais recentes;
Deve ter algoritmos para detecção de ameaças avançadas baseados em aprendizagem de máquina com inteligência artificial (IA);
Deverá minimizar a ocorrência de falsos positivos e falsos negativos utilizando Inteligência Artificial;
Possuir mecanismo de aprendizado automático capaz de identificar todos os conteúdos das aplicações, incluindo URLs, parâmetros URLs, campos de formulários e o que se espera de cada campo;
8.7.9.10. O perfil aprendido de forma automatizada pode ser ajustado e editado;
Ter a capacidade de criação de assinaturas de ataque customizáveis;
Ter a capacidade de proteção para ataques do tipo Adobe Flash binary (AMF) protocol;
Ter a capacidade de proteção para ataques do tipo Botnet;
Ter a capacidade de proteção para ataques do tipo Browser Exploit Against SSL/TLS (BEAST);
A solução deverá possuir funcionalidade de proteção contra ataques de força bruta;
Deve suportar detecção a ataques de Clickjacking;
Deve suportar detecção a ataques de alteração de cookie;
Identificar e prevenir ataques do tipo Credit Cart Theft;
Identificar e prevenir ataques Cross Site Request Forgery (CSRF);
A solução deverá possuir funcionalidade de proteção contra ataques como cross site scripting (XSS);
Deve possuir proteção contra ataques de Denial of Service (DoS);
Ter a capacidade de proteção para ataques do tipo HTTP header overflow;
Ter a capacidade de proteção para ataques do tipo Local File inclusion (FLI);
Ter a capacidade de proteção para ataques do tipo Man-in-the Middle (MITM);
Ter a capacidade de proteção para ataques do tipo Remote File Inclusion (RFI);
Ter a capacidade de proteção para ataques do tipo Server Information Leakage;
Proteção contra envios de comandos SQL escondidos nas requisições enviadas a bases de dados (SQL Injection);
Ter a capacidade de proteção para ataques do tipo Malformed XML;
Identificar e prevenir ataques do tipo Low-rate DoS;
Prevenção contra Slow POST attack;
Proteger contra ataques Slowloris;
Ter a capacidade de proteção para ataques do tipo SYN flood;
Ter a capacidade de proteção para ataques do tipo Forms Tampering;
A solução deverá possuir funcionalidade de proteção contra ataques de manipulação de campo escondido;
Ter a capacidade de proteção para ataques do tipo Directory Traversal;
Ter a capacidade de proteção do tipo Access Rate Control;
Reconhecer e remediar Zero Day Attacks;
Ter a habilidade de configurar proteção do tipo TCP SYN flood-style para prevenção de DoS para qualquer política, através de Syn Cookie e Half Open Threshold;
Permitir configurar regras de bloqueio a métodos HTTP indesejados;
Permitir que sejam configuradas regras de limite de upload por tamanho de arquivo;
Deve permitir que o administrador bloqueie o tráfego de entrada e/ou tráfego de saída com base nos
países, sem a necessidade de gerir manualmente os ranges de endereços IP correspondentes a cada país;
Deve suportar a criação de políticas por geolocalização, permitindo que o tráfego de determinado país seja bloqueado;
Permitir configurar listas negras de bloqueio e listas brancas de confiança, baseadas em endereço IP de origem;
Permitir a liberação temporária ou definitiva (allow list) de endereços IP bloqueados por terem originados ataques detectados pela solução;
Deve permitir adicionar, automaticamente ou manualmente, em uma lista de bloqueio, os endereços IP de origem, de acordo com a base de IP Reputation;
Ter a capacidade de conectar-se a uma base de dados na Internet para validar que as credenciais que usam os usuários para acessar a algum sistema não sejam credenciais roubadas;
Ter a capacidade de Prevenção ao Vazamento de Informações (DLP), bloqueando o vazamento de informações de cabeçalho HTTP;
Ter a funcionalidade de proteger o website contra ações de desfiguração (defacement), com restauração automática e rápida do site caso ocorra à falha;
Ter a funcionalidade de antivírus integrada para inspeção de tráfego e arquivos, sem a necessidade de instalação de outro equipamento;
Ter a capacidade de investigar e analisar todo o tráfego HTTP para atestar se está em conformidade com a respectiva RFC, bloqueando ataques e tráfego em não-conformidade;
Deverá ser capaz de fazer aceleração de SSL, onde os certificados digitais são instalados na solução e as requisições HTTP são enviadas aos servidores sem criptografia;
A solução deve ser capaz de funcionar como terminador de sessões SSL para a aceleração de tráfego;
Para SSL/TLS offload suportar no mínimo SSL 3.0, TLS 1.0, 1.1 e 1.2;
A solução deve ter a capacidade de armazenar certificados digitais de CA’s;
A solução deve ser capaz de gerar CSR para ser assinado por uma CA;
A solução deve ser capaz de validar os certificados que são válidos e não foram revogados por uma lista de certificados revogados (CRL);
A solução deve conter as assinaturas de robôs conhecidos como link checkers, indexadores de web, search engines, spiders e web crawlers que podem ser colocados nos perfis de controle de acesso, bem como resetar tais conexões;
A solução deve ter um sistema de reputação de endereços IP públicos conhecidos como fontes de ataques DDoS, botnets, spammers etc. Tal sistema deve ser atualizado automaticamente;
A solução deverá ser capaz de limitar o total de conexões permitidas para cada servidor real de um pool de servidores;
A solução deve permitir a customização ou redirecionar solicitações e respostas HTTP no HTTP Host, Request URL HTTP, HTTP Referer, HTTP Body e HTTP Location;
A solução deve permitir criar regras definindo a ordem em que as páginas devem ser acessadas para prevenir ataques como cross-site request forgery (CSRF);
A solução deve ter a capacidade de definir restrições a métodos HTTP;
A solução deve ter a capacidade de proteger contra a detecção de campos ocultos;
Permitir que sejam criadas assinaturas customizadas de ataques e DLP, através de expressões regulares;
A solução deve incluir capacidade de atuar como um scanner de vulnerabilidades para diagnóstico e identificação de ameaças nos servidores web, software desatualizado e potenciais buffers overflows;
Deve gerar perfil de proteção automaticamente a partir de relatório em formato XML gerado por scanner de vulnerabilidade de terceiros;
Deve permitir agendar a verificação de vulnerabilidades;
A solução deve gerar um relatório da análise de vulnerabilidades no formato HTML;
Suportar redirecionamento e reescrita de requisições e respostas HTTP;
Permitir redirecionar requisições HTTP para HTTPS;
Permitir reescrever a linha URL no cabeçalho de uma requisição HTTP;
Permitir reescrever o campo “Host:” no cabeçalho de uma requisição HTTP;
Permitir reescrever o campo “Referer:” no cabeçalho de uma requisição HTTP;
Permitir redirecionar requisições para outro web site;
Permitir enviar resposta HTTP 403 Forbidden para requisições HTTP;
Permitir reescrever o parâmetro “Location:” no cabeçalho HTTP de uma resposta de redirecionamento HTTP de um servidor web;
Permitir reescrever o corpo (“body”) de uma resposta HTTP de um servidor web;
Permitir adicionar o campo X-Forwarded-For para identificação do endereço real do cliente quando no modo de proxy reverso;
A solução deve suportar regras para definir se as solicitações HTTP serão aceitas com base na URL e a origem do pedido e, se necessário, aplicar uma taxa específica de transferência (rate limit);
A solução deve suportar o mecanismo de combinação de controle de acesso e autenticação utilizando mecanismos como HTML Form, Basic e Suporte a Single Sign On, métodos como LDAP e RADIUS para consultas e integração dos usuários da aplicação;
Possuir capacidade de caching para aceleração web;
A solução deve ser capaz de submeter arquivos para solução de sandboxing do mesmo fabricante, através de uma política de restrição de carregamento de arquivo;
Deve permitir ao administrador a criação de novas assinaturas e/ou alteração de assinaturas já existentes.
SUPORTE ESPECIALIZADO NA SOLUÇÃO DE SEGURANÇA
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Por suporte técnico de segundo nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Configurações de Redes;
Configuração de Políticas;
Configuração de Objetos;
Configuração de Políticas de Entrega de Aplicação;
Gerência dos Certificados.
Por suporte técnico de terceiro nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Integrações com demais soluções de segurança presentes nesta contratação; 8.8.3.2.Gerência do ambiente Web Protection;
Gerência do ambiente DoS Protection;
Gerência do ambiente Auto Learn;
Análise e resolução de problemas via CLI;
Atualização de configuração de certificado próprio;
Tratamento de incidentes junto ao fabricante da solução;
Tratamento de RMA junto ao fabricante da solução.
Demais solicitações da CONTRATANTE que se fizerem necessárias nas soluções contratadas devem ser previamente acordadas com a CONTRATADA.
LOTE 03 – ITEM 08 – SERVIÇO DE SEGURANÇA DE ENDPOINT
CARACTERÍSTICAS GERAIS
A solução de referência adotada nesta especificação se baseia no modelo FortiClient EPP;
Deverá permitir a instalação, gerência e atualizações das funcionalidades para 3000 (três mil) endpoints, durante toda a vigência contratual;
Deverá permitir o gerenciamento dos endpoints remotamente, a partir de uma console de administração central do próprio fabricante;
A solução deve prover um método de controlar o acesso identificando o dispositivo do usuário, autenticação e postura com base em tags de Zero Trust;
A solução de ZTNA deve ser composta pelos agentes a serem instalados nas máquinas dos usuários finais, bem como por um proxy de acesso, o qual concentrará as requisições dos agentes para acesso às aplicações corporativas;
A solução de proxy de acesso deve prover suporte a um método de publicação de aplicações corporativas sem necessidade de agente, tal como mediante um portal web SSL a ser acessado por cada usuário;
O licenciamento deve se basear no número de agentes registrados na solução.
FUNCIONALIDADES GERAIS
Deve ser compatível com pelo menos os seguintes sistemas operacionais: 9.2.1.Microsoft Windows: 7 (32 e 64 bits), 8.1 (32 e 64 bits), 10 (32 e 64 bits) e 11 (64 bits); 9.2.1.Microsoft Windows Server: 2008 R2, 2012, 2012 R2, 2016, 2019 e 2022;
9.2.1.Mac OS X: versões 13, 12, 11 e 10.15;
9.2.1.Linux: Ubuntu 18.04 e posterior, Debian 11 e posterior, CentOS Stream 8, CentOS 7.4 e posterior, RedHat 7.4 e posterior, Fedora 36 e posterior.
9.2.1.Tanto mediante agente ou sem agente deve ser possível habilitar MFA (autenticação multifator) no processo de autenticação dos usuários;
9.2.1.A console central deve emitir, assinar, revogar e instalar automaticamente um certificado para os agentes contendo ID único de cada agente, número de série do certificado e número de série da console central. O certificado emitido deverá ser único por agente e deverá ainda ser compartilhado com o proxy de acesso;
9.2.1.O certificado emitido deve ser utilizado no processo de autenticação via ZTNA para identificar o dispositivo do usuário final junto ao proxy de acesso;
9.2.1.Deve suportar pelo menos os seguintes níveis de log: emergência, alerta, crítico, erro, aviso, informativo, debug;
9.2.1.Deve ser possível exportar os logs diretamente a nível de agente;
9.2.1.Deve ser possível exigir uma senha para desconectar o agente da console central;
9.2.1.Deve existir a possibilidade de restringir o usuário de realizar backup da configuração do agente;
9.2.1.Deve ser possível evitar que o usuário realize um shutdown do agente após estar registrado à console central;
9.2.1.Deve ser possível enviar os logs para uma ferramenta de consolidação de logs do mesmo fabricante, visando consolidar os logs do proxy de acesso ZTNA em conjunto com os logs dos agentes;
9.2.1.Deve ser possível configurar o agente para usar proxy;
9.2.1.Deve existir a possibilidade de criar um convite para que os usuários realizem o registro do agente à console central;
9.2.1.Deverá ser possível enviar uma notificação por e-mail contendo o código de registro para os usuários finais informados, bem como um link para download do instalador do agente;
9.2.1.A console central de agentes deve dispor de métodos para determinar se um usuário está on-net ou off- net, ou seja, dentro ou fora da rede corporativa. Deve ser possível ainda criar perfis de configurações distintos para os usuários on-net e off-net;
9.2.1.Deve ser possível atribuir grupos de agentes a perfis de políticas específicos;
9.2.1.Deve ser possível atribuir um nível de prioridade a um perfil de política visando priorizar qual política será utilizada caso um grupo de agentes esteja associado a mais de um perfil de política;
9.2.1.A console central deve apresentar um resumo das informações de cada endpoint, tais como: nome do dispositivo, sistema operacional, IP privado, endereço mac, IP público, estado da conexão com a console central, zero trust tags associadas, detalhes da conexão de rede cabeada e WIFI, detalhes do hardware como
modelo do dispositivo, fabricante, CPU, RAM, número de série e capacidade de armazenamento;
9.2.1.Deve permitir ainda facilmente ver detalhes de qual política está associada com cada agente, qual versão de agente está em uso em um respectivo endpoint, número de série do agente, identificador único e número de série do certificado emitido para o processo de ZTNA;
9.2.1.O proxy de acesso deve atuar como proxy reverso para aplicações baseadas em HTTP, HTTPS, RDP, SMB, CIFS, SSH, SMTP, SMTPS, IMAP, IMAPS, POP3 e POP3S;
9.2.1.Para regras de encaminhamento de tráfego TCP, deve ser possível vincular o servidor com um FQDN visando ofuscar o endereço IP privado do servidor. Deste modo, o agente deve manipular o host file do endpoint visando criar entradas DNS;
9.2.1.Deve ser possível definir um pool de IPs no proxy de acesso como IPs de origem para comunicação interna com as aplicações privadas;
9.2.1.A console central deve permitir mapear as regras de destinos de ZTNA a serem sincronizadas com os endpoints e permitir ainda definir para qual tráfego deve ser aplicada criptografia, tal como para tráfego HTTP sem criptografia nativa;
9.2.1.Deve permitir criação de regras de conformidade que avaliem à postura do dispositivo e auxiliem o administrador no controle de acesso à recursos da infraestrutura, impedindo que um cliente não conforme possa se conectar a redes críticas;
9.2.1.As regras de conformidade devem gerar tags que são sincronizadas entre os elementos da solução de ZTNA visando controlar a postura de um determinado endpoint diretamente no proxy de acesso;
9.2.1.A postura deve ser monitorada continuamente para que, caso ocorra uma alteração, o proxy de acesso termine e passe a bloquear a conexão em desacordo com as regras de compliance definidas;
9.2.1.Deve ser possível construir tags com verificações no endpoint, as quais podem variar de acordo com o suporte ao sistema operacional, tais como se o endpoint está logado no domínio, versão do sistema operacional, chave de registro, processo, nível de vulnerabilidade, CVEs, arquivos existentes em um caminho específico e até mesmo se o antivírus está instalado e sendo executado, além de ser possível validar se as assinaturas estão atualizadas;
9.2.1.A console central deve permitir exportar e importar tags entre sistemas diferentes por meio de um arquivo JSON;
9.2.1.Deve ser possível verificar quais endpoints estão associadas com cada tag;
9.2.1.Deve ser possível criar regras no proxy de acesso determinando se um dispositivo necessita estar de acordo com uma ou mais tags simultaneamente, caso a política possua vínculo com diversas tags;
9.2.1.Deve ser possível criar regras no proxy de acesso vinculando interface de origem, IP de origem, IP de destino, servidor ZTNA, tag ZTNA, grupo de usuários ou usuário;
9.2.1.Para validação da autenticação dos usuários em conjunto com as regras de proxy de acesso, a solução deve suportar SAML, LDAP, RADIUS ou base de dados local;
9.2.1.Deve possibilitar definir funções administrativas relacionadas às permissões dos endpoints, de políticas e de configurações gerais;
9.2.1.A console central deve possuir funcionalidade de rastreamento de vulnerabilidades a nível de endpoint, permitindo ainda definir o rastreamento no momento do registro, quando ocorrer uma atualização de uma assinatura vulnerável, bem como patches e atualizações de segurança a nível de sistema operacional;
9.2.1.Deverá ser possível agendar quando o rastreamento deve ocorrer ou vinculá-lo em conjunto com a janela de manutenção automática do Windows;
9.2.1.Deve permitir que o usuário inicie uma análise de vulnerabilidade sob demanda diretamente no agente;
9.2.1.Deve ser possível aplicar um patch automático com base no nível de criticidade definido, tal como atualizar automaticamente patches considerados críticos;
9.2.1.Caso não seja possível aplicar um patch automático para corrigir uma vulnerabilidade, requerendo assim um patch manual, deve ser possível excluir essa aplicação da verificação de compliance;
9.2.1.Deve ser possível excluir determinadas aplicações da verificação de compliance e até mesmo desabilitar o patch automático;
9.2.1.O agente deve dispor de um sistema de notificação do tipo popup visando alertar o usuário;
9.2.1.As vulnerabilidades encontradas devem ser exibidas diretamente no agente com um link para análise de mais detalhes, englobando nome da vulnerabilidade, severidade, produtos afetados, CVE IDs, descrição, informação do fabricante do software e, quando disponível, link para download do patch no site público do fabricante do software;
9.2.1.Os resultados da verificação de vulnerabilidades devem incluir pelo menos: lista de vulnerabilidades, número de vulnerabilidades classificadas como críticas, altas, médias e baixas, bem como disponibilizar ainda a possibilidade de aplicar a remediação imediatamente;
9.2.1.Deve possuir módulo para execução de filtro web a nível de endpoint mediante uso do agente local, realizando a filtragem diretamente no endpoint, podendo ainda ser possível bloquear, permitir, alertar ou monitorar o tráfego web com base na categoria de URL ou filtro de URL customizado;
9.2.1.O agente deve realizar consultas online ao centro de inteligência do próprio fabricante para determinar a categoria de uma determinada URL visando aplicar o controle de acesso à Internet;
9.2.1.Deve ser possível configurar o filtro de URL com base em expressões regulares (regex) com as opções de permitir, bloquear ou monitorar;
9.2.1.O agente para Windows deve permitir inspeção de tráfego HTTPS mediante instalação de plugin disponibilizado pelo mesmo fabricante do agente, o qual deve ser compatível com Google Chrome, Mozilla Firefox e Microsoft Edge;
9.2.1.Deve ser possível verificar as violações de filtro web diretamente no agente, especificando ainda a URL, categoria, quando a violação ocorreu e usuário;
9.2.1.Deve ser possível determinar quando o filtro web entrará em ação no agente, se deverá estar sempre ativo ou somente quando o usuário estiver fora da rede corporativa;
9.2.1.Deve ser possível configurar o proxy de acesso para atuar como CASB (Cloud Access Security Broker) em linha, inline do inglês, visando controlar o acesso a aplicações SaaS;
9.2.1.O proxy de acesso deve manter uma base de aplicações dinâmica, a qual deve ser compartilhada pelo centro de inteligência do fabricante da solução.
LOTE 03 – ITEM 09 – SERVIÇO DE GERENCIAMENTO DE IDENTIDADE
CARACTERÍSTICAS GERAIS
A solução de referência adotada nesta especificação se baseia no modelo FortiAuthenticator-VM com FortiToken;
A solução deverá ser instalada nas dependências do órgão, através de Appliance Virtual compatível com os seguintes Hypervisors: VMware, Hyper-V e NUTANIX.
FUNCIONALIDADES GERAIS
Deverá possuir um servidor LDAP interno que permite ser configurado de forma hierárquica, para a correta administração por grupos ou unidades organizacionais dos usuários locais;
Deverá permitir a geração em massa de usuários na base de dados local pelo administrador, possibilitando que uma lista de usuários seja importada a partir de um arquivo externo;
Deverá realizar backup automatizado (agendados por critérios pré-definidos), não somente sob demanda;
Deverá permitir o backup completo da solução, incluindo toda a configuração: interfaces, endereços IP, base de usuários, grupos e tokens. O arquivo de restauração deverá permitir recuperar o equipamento diretamente da interface gráfica;
Deverá suportar a opção de backup criptografado;
Deverá suportar Single Sign On (SSO) por estrutura RSSO (Radius Single Sign On);
Deverá permitir ordenação de logs de acordo com a necessidade do administrador: por usuário que realizou a mudança, por data, por forma ascendente e por forma descendente;
Deverá suportar filtragem dos usuários que irão utilizar recurso de SSO, separando-os de grupos que não necessitam;
Deverá suportar a validação de certificados de fontes externas;
Deverá funcionar como servidor LDAP (Lightweight Directory Access Protocol), proporcionando autenticação aos dispositivos compatíveis com tal protocolo;
Deverá suportar captura de pacotes através da interface gráfica para resolução de problemas (troubleshoot) avançado em wireshark ou outra ferramenta de análise de pacotes;
Deverá suportar a criação de usuários em base local independente, que poderão ser utilizados na autenticação dos dispositivos conforme necessidade, contudo em canal de comunicação seguro;
Deverá permitir definir uma lista de usuários de SSO que serão ignorados, evitando assim interferência de contas de serviços tais como antivírus ou scripts via GPO;
Deverá suportar SCEP (Simple Certificate Enrollment Protocol), assinando petições de certificados digitais assinados (CSR), automaticamente ou manualmente;
Deverá permitir a criação de grupos de usuários, que poderão ser utilizados na autenticação dos dispositivos conforme necessidade;
Deverá permitir que a geração dos usuários na base de dados local seja feita de forma que o equipamento gere uma senha aleatória e envie automaticamente ao usuário;
Deverá permitir enviar e-mails aos administradores relacionados a reinicialização de senha, aprovação de novos usuários e autenticação de segundo fator (token);
Deverá atuar como autoridade certificadora (CA);
Deverá permitir associar os tokens aos usuários criados localmente na base de dados;
Deverá possibilitar, a critério da CONTRATANTE, a autenticação de dispositivos conhecidos com o mínimo de interação dos usuários através de autenticação por endereço MAC, ou seja, MACs previamente conhecidos, cadastrados e autorizados são automaticamente autenticados pela solução sem necessidade de interação do usuário final (como redigitar usuário e senha);
Assin1ad0o.2el.e2tr1on. iDcamevenetreápopreArMmILitAiRr, SqAuLeESusAuLáVrEiSo,sTévcinsiictoanJutedsic,iáqruioe, enmão19/p0o4/s2s0u24am11:1u0m:31a conta local ou em mídias sociais,
também se autentiquem em uma rede sem fio apropriada, com cadastro rápido, que garanta o mínimo de rastreabilidade, através da validação de endereços de e-mail e/ou números de telefone;
A solução deve suportar a integração com servidor RADIUS remoto;
Deverá prover repositório para autenticação de VPN Site-to-Site através de certificados;
Deverá suportar a gerência centralizada de usuários, em todos os aspectos e recursos disponibilizados pela solução;
Deverá funcionar como servidor RADIUS (Remote Authentication Dial-In User Server), proporcionando autenticação aos dispositivos compatíveis com tal protocolo;
Deverá suportar designação automática de VLANs para usuários, com base em critérios pré- definidos pelo administrador;
Deverá prover um portal web, para o auto registro dos usuários, de forma que ele possa ingressar em um portal e registrar seus dados;
Deverá permitir que o usuário possa recuperar sua senha através de um correio eletrônico ou pergunta de segurança, que poderão ser configuráveis pelo usuário;
Deverá prover capacidade de serviço Single Sign On (SSO), com autenticação transparente (passiva) de usuários em sistemas compatíveis;
Deverá permitir que a solução garanta a geração dos usuários na base de dados local seja feita pelo administrador, que poderá definir uma senha no momento de geração do usuário;
Deverá permitir criar políticas de bloqueio automático de usuários após uma quantidade de falhas de autenticação, evitando assim ataques de força bruta contra o usuário;
Deve suportar o protocolo de verificação online de status de certificado OCSP (Online Certificate Status Protocol) para que se possa fornecer uma lista de certificados revogados (CRL);
Deverá permitir desabilitar um token quando este seja roubado ou extraviado, permitindo sua reativação posterior quando/se for recuperado;
Deverá suportar customização de mensagens padrão em páginas web, como páginas de erro, portais de autenticação, auto registro, reset de senha e outros. Suportar também a inclusão, alteração e remoção de imagens nas páginas sem a necessidade de recursos ou conectividade externa;
Deverá permitir e implementar a integração com servidor LDAP remoto (como Microsoft Active Directory);
Deve ser capaz de integrar-se a um diretório ativo (Windows AD) e poder oferecer a funcionalidade de SSO (Single Sign On), onde se utilizam as mesmas credenciais que o usuário utiliza ao autenticar-se no domínio em seu computador pessoal;
Deverá possuir indicador visual, centralizado, de informações críticas: versão de firmware, consumo de CPU/memória/disco, quantidade de usuários criados e licenciados;
Deverá permitir ao administrador do sistema gerar, assinar e revogar certificados digitais para os usuários;
Ser capaz de importar outros certificados de CA’s assim como a lista de certificados revogados;
Deverá permitir criar e assinar certificados X509 para utilização em servidores HTTPS e SSH, assim como para os clientes de serviços VPN e IPSEC;
Deverá permitir remoção de usuários inativos por bulk (remoção massiva), baseado em critérios definidos;
Deverá suportar a sincronização com dispositivo em hardware de geração de OTP (One Time Password);
Deverá suportar análise de arquivos syslog enviados de fonte remota, para uso pelo serviço de SSO (Single Sign On);
Deverá suportar bypass de autenticação 802.1x para dispositivos não compatíveis, e autenticá-los através de mac address (mac address authentication bypass);
Deverá suportar nativamente (sem redirecionamentos) a integração e autenticação de switches e outros dispositivos compatíveis com o padrão 802.1x;
Deve gerar o CN (Common Name) dos usuários, para a integração com serviços e/ou dispositivos que o requeiram;
Deverá suportar o envio de e-mails atuando como servidor próprio (localhost) ou integrar-se com servidor(es) externo(s) para envio das mensagens aos usuários ou administradores;
Deverá permitir a utilização de mecanismo de autenticação de dois fatores, utilizando aplicativo que gerem códigos a intervalos não superiores a 60 segundos, e com ao menos 6 dígitos (token mobile). O aplicativo deve ser compatível para IOS ou Android que fornece segurança de autenticação forte sem hardware adicional;
Deverá permitir que se configure um perfil de complexidade mínimo para as senhas de todos os usuários que sejam cadastrados na base de dados locais, possibilitando a definição de número mínimo de letras minúsculas, letras maiúsculas, caracteres numéricos e caracteres especiais;
Deverá permitir autenticação de usuários visitantes por método de validação com base em credenciais de mídias sociais: facebook, twitter, linkedin, google+, etc;
Deverá suportar NTP (Network Time Protocol), visando sincronismo com ativos existentes com base em fonte central para fornecimento de hora/data corretos;
Prover os seguintes métodos 802.1x eap: peap (mschapv2), eap-ttls, eap-tls, eap-gtc;
Deverá permitir definir perfis de administradores para a solução, de modo que possa segmentar a responsabilidade dos administradores por tarefas operativas.
SUPORTE ESPECIALIZADO NA SOLUÇÃO DE SEGURANÇA
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Por suporte técnico de segundo nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Configuração de “Reports/Messaging”;
Configuração e/ou atualização de Usuários;
Gerência de “User Account Policies”;
Configuração do “Self Service Portal”;
Configuração do Guest Portal;
Configuração de “Remote Authentication Servers”;
Configuração do Single Sign On (SSO);
Configuração do RADIUS SSO;
Gerência dos Certificados (CA e Local).
Por suporte técnico de terceiro nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Atualização do serviço do RADIUS;
Atualização do serviço do LDAP;
Atualização do serviço Oauth;
Atualização do SAML SSO;
Análise e resolução de problemas através da solução;
Tratamento de incidentes junto ao fabricante da solução.
Demais solicitações da CONTRATANTE que se fizerem necessárias nas soluções contratadas devem ser previamente acordadas com a CONTRATADA.
LOTE 03 – ITEM 10 – SERVIÇO DE BALANCEAMENTO DE CARGA DE APLICAÇÕES
REQUISITOS DO CLUSTER E LICENCIAMENTO
O CLUSTER deverá ser composto por 2 (dois) equipamentos;
O equipamento de referência adotado nesta especificação se baseia no modelo FortiADC 300F;
As licenças de uso de software serão adquiridas em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante ou seu representante;
Ao fim do contrato de garantia, a solução deverá estar completamente funcional, capaz de criar, customizar e gerenciar políticas e regras, gerar relatórios, manipular dashboard e entre outras funções necessárias ao manuseio da solução.
MÍNIMOS DE PERFORMANCE
Throughput de, no mínimo 8 (oito) Gbps para tráfego balanceado na camada 4 e na camada 7;
Deve possuir capacidade mínima de tratar 100.000 (cem mil) conexões por segundo em camada 7;
Deve possuir capacidade de realizar, no mínimo, 4.000 (quatro mil) transações SSL, por segundo, na camada 7, com chaves de 2048 bits;
Deve possuir taxa de transferência SSL mínima de 3 (três) Gbps;
Armazenamento interno de, no mínimo, 1 disco SSD de 120GB;
Deve possuir no mínimo 04 (quatro) interfaces 1GE RJ45;
Deve possuir no mínimo 04 (quatro) interfaces 1GE SFP;
Deve possuir fonte de alimentação bivolt (100/240V);
Capacidade mínima de compressão de tráfego de 6 (seis) Gbps;
Deve suportar, no mínimo 300.000 (trezentas mil) conexões simultâneas em camada 4.
REQUISITOS MÍNIMOS DE FUNCIONALIDADES
A solução deverá ser entregue em appliance, devendo o equipamento ser instalado em local a ser definido pela CONTRATANTE, devendo estar licenciado e ser compatível para atender os requisitos de performance da solução;
Todos os equipamentos que compõem a solução devem ser entregues com a última versão de software homologada e recomendada pelo fabricante;
11.33.3. Deve permitir a virtualização de serviços através da criação de instâncias virtuais (contextos) independentes de balanceamento de carga de aplicações;
Deve implementar, no mínimo, 10 (vinte) instâncias virtualizadas;
Deve possibilitar a alocação de recursos para cada instância, com base nos seguintes parâmetros:
L4 CPS;
L7 CPS e L7 RPS;
Quantidade de Interfaces de Rede;
Quantidade de largura de banda (Throughput);
SSL CPS e sessões concorrentes.
Deve permitir o gerenciamento completo, individual e independente das instâncias virtualizadas;
Nos casos de criação, edição, exclusão ou falhas de uma instância virtual, a disponibilidade e operação das demais instâncias virtualizadas, não devem ser afetadas;
Deve permitir a definição de níveis de garantia de recursos para as instâncias virtuais, possibilitando a dedicação de recursos para determinados contextos;
Deve permitir a redistribuição dos recursos do equipamento entre instâncias sem que isto afete a disponibilidade ou operação das demais instâncias;
Deve garantir o total isolamento de domínios de segurança, administração, recursos de hardware e de rede entre as instâncias;
Cada instância virtual de balanceamento de carga de aplicações deve possuir:
Tabelas de roteamento isoladas e independentes;
Segurança e isolamento do tráfego de gerenciamento.
Definição de índices e o envio de alertas baseados na taxa de utilização de, no mínimo, os seguintes recursos:
Uso de CPU;
Uso de Memória.
Deve permitir a conexão direta, em ambas as direções, a recursos de backend, ou endereços IPs que estejam em redes roteadas pelo balanceamento de carga de aplicações;
Deve permitir a utilização de endereços IPs duplicados, quando utilizados em instâncias diferentes;
Deve possibilitar a adição, edição ou supressão de mensagens HTTP de retorno aos clientes;
Deve efetuar o redirecionamento de portas e protocolo de comunicação, obrigando o cliente a utilizar um protocolo de comunicação seguro ou possibilitando encaminhamento de comunicação aos recursos de backend em porta TCP/UDP diferente da requisitada pelo cliente;
Deve possibilitar a priorização das transações de tráfego com base em parâmetros de camada 3 à camada 7;
Deve ter a capacidade de criação de automações, para que quando ocorra determinados eventos como de segurança, SLB e sistema possa ser criado uma ação com execução automática;
O equipamento deve possuir aceleradores ou processadores auxiliares específicos para o processamento de tarefas de criptografia;
Deve possuir interface de console para a acesso local à configuração dos equipamentos;
Deve permitir o gerenciamento de todas as suas funcionalidades via CLI (Command Line Interface) e GUI (Graphic User Interface), tanto dos equipamentos quanto das instâncias virtualizadas;
Deve implementar mecanismo de controle de acesso RBAC (Role Based Access Control);
Deve possibilitar a configuração de filtros e definição de protocolos seguros para o acesso às interfaces de gerenciamento físicas ou virtuais;
Deve permitir a definição de, no mínimo, 4 (quatro) diferentes níveis de acesso à interface de gerência, limitando o acesso às configurações, relatórios e logs da solução;
Deve implantar serviços de Autenticação, Autorização e Contabilização (AAA - Authentication, Authorization and Accounting), utilizando os métodos:
Usuário/Senha local;
RADIUS (Remote Authentication Dial-In User Service);
NTLM (NT LAN Manager);
Certificado de cliente.
Permitir integração com o serviço de diretório AD (Active Directory) para identificação de usuários e de grupos de usuários, permitindo maior granularidade por meio de controles e de políticas baseadas em usuários e grupos de usuários;
A integração deve permitir identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários.
Suportar SSO (Single-Sign-On) utilizando:
LDAP (Lightweight Directory Access Protocol);
Kerberos;
SAML 2.0 (Security Assertion Markup Language);
NTLM.
Deve suportar os protocolos SNMPv2c e SNMPv3 (Simple Network Management Protocol) para
coleta de dados de gerenciamento e estatísticas;
Deve estar disponível para download a MIB (Management Information Base) privada dos equipamentos que compõem a solução;
Deve possuir suporte a MIB II (RFC 1213).
Deve ser capaz de efetuar registro (logging) dos comandos executados por determinado usuário e eventuais tentativas não autorizadas de execução de comandos (accounting);
Deve efetuar os registros em log com a informação de data, hora e fuso horário;
Deve ser capaz de enviar logs do sistema através de syslog;
Deve possibilitar gerenciamento out-of-band, via interface de rede específica e independente;
Deve suportar transferência remota para atualização do sistema operacional;
Quando implementada em alta disponibilidade, a solução deve permitir a definição de endereço físico (Mac Address) virtual único para ambos os equipamentos operando em paridade;
Em ambientes de balanceamento ativo/passivo, deve possibilitar o gerenciamento da paridade de balanceamento de carga de aplicações através de endereço VIP (Virtual IP) onde somente o ativo deve responder;
Cada instância virtualizada deve possuir endereços de gerência e VIP específicos;
Deve possibilitar customização da página de autenticação (login page);
Deve implementar de forma nativa mecanismo de monitoramento e detecção de falhas em suas fontes de alimentação;
Deve suportar o protocolo SNTP (Simple Network Time Protocol) e/ou NTP;
Permitir consultas de DNS com resolução de nomes em endereços IPv4 e IPv6;
Dever prover NAT (Network Address Translation), pelo menos nos tipos one-to-one e many-to-one e PAT (Port Address Translation), em modo estático e dinâmico;
Deve prover NAT Bidirecional, de client e server;
Deve permitir a realização de NAT do IP do recurso de backend quando este iniciar uma conexão;
Deve prover tradução stateful de endereços de rede IPv6 para IPv4;
Deve prover tradução estática e stateless de endereços de rede IPv4 para IPv6;
Deve prover DNS64 (Domain Name System);
Deve prover DNSSEC (Domain Name System Security Extensions);
Deve prover DNS Autoritativo;
Deve prover DNS Signing;
Deve prover VRRPv2 (Vitual Router Redundancy Protocol) ou funcionalidade similar de FHRP (First Hop Redundancy Protocol);
Deve prover VXLAN (Virtual Extensible LAN) (RFC 7348).
Implementar Policy Route ou PBR (Policy Based Routing) ou PBF (Policy Based Forwarding);
Implementar listas de controle de acesso (ACLs) de camada 3 e camada 4, nos protocolos IPv4 e IPv6;
Suportar a definição de endereços IPv4 e IPv6 nas interfaces de comunicação;
Suportar, tanto em IPv4 quanto IPv6, a definição de rotas estáticas, rotas estáticas monitoradas e rotas estáticas com peso;
Suportar, OSPFv2 (Open Shortest Path First);
Suportar, BGP v4 (Border Gateway Protocol);
Suportar ICMP e ICMPv6 (Internet Control Message Protocol);
Suportar ARP (Address Resolution Protocol) e GARP (Gratuitous Address Resolution Protocol);
Dever prover Link Aggregation (802.3ad);
Dever prover VLAN (Vitual Local Area Network) (802.1q);
Deve permitir a configuração de ambientes de balanceamento ou alta disponibilidade nos modos ativo/ativo, ativo/passivo;
Permitir a configuração de grupo de balanceamento ou recurso de backend de backup, que deve ser ativado somente em caso de indisponibilidade do grupo ou recurso de backend ativo principal;
Deve ser capaz de balancear links de comunicação e servidores físicos ou virtuais com qualquer especificação de hardware, sistema operacional e tipo de aplicação;
Deve permitir a total flexibilização da quantidade de tráfego encaminhada para cada um dos recursos de backend pertencentes a um mesmo grupo de balanceamento, possibilitando que hardwares com performances diferentes cooperem;
Deve permitir que o VIP (Virtual IP) de um mesmo servidor virtual atenda às requisições em protocolos e portas específicas simultaneamente;
Nos casos de servidores virtuais que atendem simultaneamente diversos protocolos e portas, as requisições devem ser atendidas priorizando os parâmetros de protocolo e porta de comunicação TCP/UDP;
Deve permitir a criação de grupos de recursos de backend que devem compartilhar configurações e parâmetros definidos pelo usuário;
Deve permitir a operação e associação de um mesmo recurso de backend a mais de 1 (um) grupo de balanceamento simultaneamente;
Deve permitir que um mesmo recurso de backend atenda, simultaneamente, requisições em protocolos e portas de comunicação TCP/UDP diferentes;
Deve operar nos seguintes cenários:
Cliente em IPv4 e recurso de backend em IPv4;
Cliente em IPv4 e recurso de backend em IPv6;
Cliente em IPv6 e recurso de backend em IPv4;
Cliente em IPv6 e recurso de backend em IPv6.
Deve suportar os seguintes métodos de balanceamento de carga:
ROUND ROBIN: Deve encaminhar as requisições para os recursos de backend de maneira ordenada e rotacional;
MENOR NÚMERO DE CONEXÕES: Deve encaminhar a requisição para o recurso de backend que estiver atendendo ao menor número de requisições de clientes;
MENOR TEMPO DE RESPOSTA: Deve encaminhar a requisição para o recurso de backend com o tempo de resposta mais rápido;
HASH DE ENDEREÇO IP DE DESTINO: Deve encaminhar as requisições para o recurso de backend baseado no hash de IP de destino.
Deve efetuar técnicas de SSL Offloading, possibilitando os processos de criptografia e de- criptografia, ou vice-versa, do tráfego entre clientes e servidores;
Deve permitir a utilização de Certificados Digitais assinados por Autoridades Certificadoras distintas para servidores virtuais e seus recursos de backend;
Deve suportar MTLS (Mutual Transport Layer Security);
Deve suportar a especificação de protocolo e portas de comunicação, limitando a comunicação aceita para determinados servidores virtuais;
Deve suportar a criação de servidores virtuais que aceitem requisições de qualquer protocolo e/ou porta de comunicação na conexão do cliente;
Deve suportar as versões 1.0, 1.1 e 2.0 do protocolo HTTP (Hyper Text Transfer Protocol), com suas respectivas especificidades e funcionalidades, provendo características de content filter, caching, compression, redirecionamento de URL (Uniform Resource Locator);
Deve suportar a criação de políticas baseadas em valores especificados no corpo ou cabeçalho HTTP;
Deve possibilitar uso de Caching tanto para conteúdo estático quanto conteúdo dinâmino;
Deve ser capaz de manter e gerenciar todo o tráfego criptografado com os protocolos SSL 3.0, TLS 1.1, TLS 1.2 e TLS 1.3;
Deve suportar detalhes específicos do protocolo FTP;
Deve possibilitar a definição de persistência de sessão em comunicações de clientes com os recursos de backend, garantindo que, por determinado período, o mesmo servidor receba as requisições de determinado cliente;
Deve possibilitar a utilização da persistência de sessão mesmo para comunicações que utilizem criptografia;
Deve operar com, no mínimo, os protocolos HTTP, HTTPS, TCP, UDP;
Deve operar com os protocolos HTTP e HTTPS;
Deve permitir a customização e operação com, no mínimo, os protocolos HTTP, HTTPS e TCP;
Deve suportar funcionalidade de compressão de HTTP;
Deve possibilitar a compressão de requisições e respostas;
Deve implantar funcionalidades Content Routing, baseando-se, no mínimo, nos seguintes atributos dos pacotes recebidos:
Tipo de dispositivo: Deve identificar o tipo de agente utilizado pelo cliente para posterior definição de encaminhamento;
Linguagem do dispositivo: Deve identificar a língua utilizada pelo agente do cliente para posterior definição de encaminhamento;
Cookie: Deve encaminhar a requisição do cliente baseado em cookie presente no cabeçalho da requisição HTTP;
URL: Deve possibilitar a edição de filtros para bloqueio ou redirecionamento baseado de forma customizável em informações de URL.
Quando efetuado um bloqueio, a solução deve ser capaz de apresentar mensagem personalizável ao usuário;
Deve implantar módulos de controle de resposta (Responder), reescrita (Rewrite) e redirecionamentos (Redirect) personalizados;
Deve efetuar a reescrita do cabeçalho HTTP e elementos de payload baseado em políticas bidirecionais;
Deve possibilitar reescrita no corpo de URL;
Deve criar políticas de redirecionamento baseado nas requisições recebidas;
Deve encaminhar a requisição HTTP baseado no método utilizado;
Deve encaminhar as requisições baseado nos IPs de Origem ou Destino, Porta de Origem ou Destino, ou outras informações presentes nos cabeçalhos TCP ou UDP;
Deve implementar funcionalidade de GSLB (Global Server Load Balancing), levando em consideração:
Status de saúde do site;
Persistência;
Proximidade geográfica;
Número de conexões.
Deve considerar a disponibilidade de um site, utilizando métricas de carga de conexões, probes RTT e taxa de tráfego de pacotes;
Deve possibilitar a definição de 1 (um) ou mais endereços IPs específicos como origem na comunicação com determinados recursos de backend;
Deve suportar o encaminhamento do IP real do cliente ao recurso de backend, seja alterando o IP de ORIGEM do cabeçalho TCP/UDP ou encaminhando através de campo específico de cabeçalho de comunicação;
Deve ser compatível com as diretivas de utilização do cabeçalho X-ForwardedFor;
Deve suportar a utilização de Caching para aplicações com conteúdo estático e dinâmico;
Implementar checagem de métodos HTTP utilizados (GET, POST, HEAD, OPTIONS, PUT,
TRACE, DELETE, CONNECT e PURGE);
Implementar proteção contra técnicas de SQL Injection, bloqueando comandos SQL escondidos em requisições enviadas a base de dados;
Deve implementar proteção contra a lista de técnicas/ataques listados no OWASP TOP 10 (Open Web Application Security Project);
A solução deve ter um sistema de reputação de endereços IP públicos conhecidos como fontes de ataques DDoS, botnets, spammers etc. Tal sistema deve ser atualizado automaticamente;
Deve possibilitar a edição de cabeçalho HTTP, removendo ou alterando informações enviadas ao servidor ou ao cliente;
Deve implementar recursos embarcados de antivírus para análise de arquivos, detecção e bloqueio de malwares que possam comprometer os servidores possuindo integração com a nuvem do fabricante para obter atualizações, enviar e receber amostras de malware para análise/verificação;
Deve implementar recursos de Sandbox para análise de malware moderno;
Implementar proteção contra ataques de Cross-Site Scripting;
Implementar a funcionalidade de Cookie Proxy ou Cookie Encryption;
Deve suportar a criação de políticas por geolocalização, permitindo que o tráfego de determinado país seja bloqueado;
Deve implementar monitores ou mecanismos de health check que, baseado em parâmetros customizáveis, automaticamente, efetue a desativação e/ou reativação dos respectivos recursos de backend;
Os monitores devem ser customizáveis e permitir a utilização de diferentes scripts e protocolos, suportar tanto IPv4 quanto IPv6;
Deve suportar, no mínimo, os seguintes métodos de sondagem dos recursos de backend, seja de forma nativa ou através do uso de monitores personalizados:
Camada 3 – ICMP;
Camada 4 – Teste de porta de comunicação (TCP/UDP) utilizada pelo respectivo serviço/servidor;
Camada 7 – Verificação específica à aplicação, possibilitando a utilização de scripts personalizados e suportando, no mínimo, os protocolos: HTTP, HTTPS, FTP, SMTP, LDAP, POP3, SIP, SNMP;
Permitir a criação de regras e políticas de acesso, customizáveis, de camada 3 (três) e camada 4 (quatro), definidas por:
Protocolo de Transporte (UDP ou TCP);
11.3E.159. ndereço IP, Endereço de sub-rede ou rede de origem;
Porta TCP ou UDP de origem;
Endereço IP, Endereço de sub-rede ou rede de destino;
Porta TCP ou UDP de destino.
A solução deverá atuar diretamente na camada 7 (aplicação) do modelo OSI e ser capaz de interceptar todas as requisições do cliente e as respostas do servidor web;
Deve efetuar a filtragem de conteúdo, bloqueando requisições HTML (Hyper Text Markup Language) inapropriadas aos recursos de backend;
Deve prover funcionalidade que inspecione e monitore todo o tráfego de dados HTTP, até a camada de aplicação, incluindo cabeçalhos, campos de formulários e conteúdo, além de inspecionar os requests e responses;
A solução deve possuir políticas automáticas que bloqueiam endereços IP que realizem violações;
A solução deve permitir liberação (whitelist) de endereços IP que possam ser bloqueados devido violação detectada;
Deve permitir a utilização de modelo positivo e negativo de segurança para proteção contra ataques aos protocolos HTTP e HTTPS, e as aplicações web acessíveis através destes protocolos;
Deve prover modelo de segurança negativo com assinaturas atualizadas automaticamente para proteger contra vulnerabilidades de camada 7 (sete) e protocolo HTTP de aplicações;
Deve possibilitar a definição de expressões regulares para a criação de regras e políticas de segurança;
A solução deve prover as seguintes funcionalidades e capacidades relacionadas a proteção de Web Services XML:
. Firewall XML integrado, com suporte a filtros e validação de funções XML específicas da aplicação;
xDos (XML Denial of service); 11.3.171.3. XML SQL Injection; 11.3.171.4. Validação de mensagens XML;
Capacidade de definir e restringir métodos do WebService via definição em WSDL (Web Services Description Language).
Deve possibilitar a integração com ferramentas externas de escaneamento de outros fabricantes;
Deve prevenir a sobrecarga dos recursos de backend, monitorando rajadas e ajustando a taxa de encaminhamento das conexões e requisições para todos ou determinado recurso de backend;
Implementar proteção contra ataques DoS (Denial of Service) e SYN Flood;
Implementar SYN Cookie;
Deve possibilitar a utilização de limites e controle de resposta para requisições de ICMP e UDP;
proteger contra os ataques de força bruta que explorem:
Controles de acesso da aplicação;
11.3.178.1.2. Solicitações repetidas ao mesmo recurso, em qualquer parte/URL da aplicação;
11.3.178.3. Deve proteger contra os ataques de força bruta especificados acima, mantendo a continuidade do atendimento aos usuários legítimos;
Aplicações web que não retornam o erro 401 por meio da identificação de expressão regular no retorno/página de erro da aplicação;
Gerenciamento de sessão (muitas sessões de um único endereço IP ou a um range de IPs);
Clientes automatizados (robôs, requisições muito rápidas);
Deve possibilitar a criptografia fim-a-fim, entre cliente e recursos de backend;
Deve armazenar, de forma segura, arquivos de segurança como certificados digitais e chaves criptográficas;
Deve possibilitar a geração de chaves RSA (Rivest-Shamir-Adleman) e ECDSA (Elliptic Curve Digital Signature Algorithm);
Deve gerar chaves criptográficas RSA de, no mínimo, 2048 bits;
Deve implementar o algoritmo de hash SHA-256;
Deve permitir a importação e exportação de chaves, certificados de servidores, e checagem de lista de certificados revogados;
Deve possibilitar a criação de CSR (Certificate Signing Request) para a assinatura de Certificados Digitais;
Deve permitir a definição de CN (Commom Name);
Deve permitir a integração com solução de HSM (Hardware Security Module);
Permitir a identificação de usuários através de leitura do campo “X-ForwardedFor”, registrando nos logs do firewall o endereço IP, bem como o usuário de rede responsável pelo acesso;
Deve possuir serviço que entrega, continuamente, lista atualizada de endereços IPs maliciosos.
SUPORTE ESPECIALIZADO NA SOLUÇÃO DE SEGURANÇA
É de responsabilidade da CONTRATADA o fornecimento dos serviços de suporte técnico especializado de segundo e terceiro nível para o ambiente contratado, inclusive de forma presencial quando este for necessário para o atendimento dos chamados e/ou normalização do ambiente;
Por suporte técnico de segundo nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Gerência da solução;
Configuração de serviços associados a solução (Virtual Server, Real Server e Health Check);
Análise e resolução de problemas relacionados a solução.
Por suporte técnico de terceiro nível, mas não se limitando as seguintes ações a serem executadas pela CONTRATADA quando demandada pela CONTRATANTE:
Análise e resolução de problemas via CLI;
Aprovação de novas métricas para o Health Check;
Tratamento de incidentes junto ao fabricante da solução;
Tratamento de RMA junto ao fabricante da solução.
Demais solicitações da CONTRATANTE que se fizerem necessárias nas soluções contratadas devem ser previamente acordadas com a CONTRATADA.
LOTE 03 – ITEM 11 – SERVIÇO DE CONECTIVIDADE WIFI
CARACTERÍSTICAS GERAIS
O equipamento de referência adotado nesta especificação se baseia no modelo FortiAP 231F;
Deve permitir a conexão de dispositivos wireless que implementem os padrões IEEE 802.11a/b/g/n/ac/ax de forma simultânea;
Deve possuir capacidade dual-band com rádios 2.4GHz e 5GHz operando simultaneamente, além de permitir configurações independentes para cada rádio;
O ponto de acesso deve possuir rádio WIFI dedicado para executar funções de sensor com objetivo de identificar interferências e ameaças de segurança em tempo real e com operação 24x7;
Deve possuir rádio BLE (Bluetooth Low Energy) integrado e interno ao equipamento;
Deve permitir a conexão de 400 (quatrocentos) clientes wireless simultaneamente;
Deve possuir 2 (duas) interfaces Ethernet padrão 10/100/1000Base-T com conector RJ-45 para permitir a conexão com a rede LAN;
Deve implementar link aggregation de acordo com o padrão IEEE 802.3ad;
Deve possuir interface console para gerenciamento local com conexão serial padrão RS-232 e conector RJ45 ou USB;
Deve permitir sua alimentação através de Power Over Ethernet (PoE) conforme os padrões 802.3af ou 802.3at. Adicionalmente deve possuir entrada de alimentação 12VDC;
Deve permitir operação em modo Mesh;
Deve possuir potência de irradiação mínima de 21dBm em ambas as frequências;
Deve suportar, no mínimo, operação MIMO 2x2 com 2 fluxos espaciais permitindo data rates de até 1200 Mbps em um único rádio;
Deve suportar modulação de até 1024 QAM para os rádios que operam em 2.4 e 5GHz servindo clientes wireless 802.11ax;
Deve possuir sensibilidade mínima de -94dBm quando operando em 5GHz com MCS0 (HT20);
Deve possuir antenas internas ao equipamento com ganho mínimo de 4dBi em 2.4GHz e 5GHz;
Deve ser capaz de operar em ambientes com temperaturas entre 0 e 45º C;
Deve possuir sistema antifurto do tipo Kensington Security Lock ou similar;
Deve possuir indicadores luminosos (LED) para indicação de status;
Deve permitir a conexão de dispositivos wireless que implementem os padrões IEEE 802.11a/b/g/n/ac/ax e IEEE P80.11be;
Deve permitir a conexão de dispositivos wireless que transmitam tráfego IPv4 e IPv6;
A solução deve implementar recursos que possibilitem a identificação de interferências provenientes de equipamentos que operem nas frequências de 2.4GHz, 5GHz e 6GHz;
A solução deve implementar recursos de análise de espectro que possibilitem a identificação de interferências provenientes de equipamentos não WIFI e que operem nas frequências de
2.4GHz, 5GHz ou
6GHz. A solução deve ainda apresentar o resultado dessas análises de maneira gráfica na interface de gerência;
A solução deve permitir o balanceamento de carga dos usuários conectados à infraestrutura wireless de forma automática. A distribuição dos usuários entre os pontos de acesso próximos deve ocorrer sem intervenção humana e baseada em critérios como número de dispositivos associados em cada ponto de acesso;
A solução deve permitir o agrupamento de VLANs para que sejam distribuídas múltiplas sub redes em um determinado SSID, reduzindo assim o broadcast e aumentando a disponibilidade de endereços IP;
A solução deve permitir a criação de múltiplos domínios de mobilidade (SSID) com configurações distintas de segurança e rede. Deve ser possível especificar em quais pontos de acesso ou grupos de pontos de acesso que cada domínio será habilitado;
A solução deve permitir ao administrador da rede determinar os horários e dias da semana que as redes (SSIDs) estarão disponíveis aos usuários;
Deve permitir restringir o número máximo de dispositivos conectados por ponto de acesso e por rádio;
A solução deve implementar o padrão IEEE 802.11r para acelerar o processo de roaming dos dispositivos através do recurso conhecido como Fast Roaming;
A solução deve implementar o padrão IEEE 802.11k para permitir que um dispositivo conectado à rede wireless identifique rapidamente outros pontos de acesso disponíveis em sua área para que ele execute o roaming;
A solução deve implementar o padrão IEEE 802.11v para permitir que a rede influencie as decisões de roaming do cliente conectado através do fornecimento de informações complementares, tal como a carga de utilização dos pontos de acesso que estão próximos;
A solução deve implementar o padrão IEEE 802.11w para prevenir ataques à infraestrutura wireless;
A solução deve suportar priorização via WMM e permitir a tradução dos valores para DSCP quando os pacotes forem destinados à rede cabeada;
A solução deve apresentar informações sobre os dispositivos conectados à infraestrutura wireless e informar ao menos as seguintes informações: nome do usuário conectado ao dispositivo, fabricante e sistema operacional do dispositivo, Endereço IP, SSID ao qual está conectado, ponto de acesso ao qual está conectado, canal ao qual está conectado, banda transmitida e recebida (em Kbps), intensidade do sinal considerando o ruído em dB (SNR), capacidade MIMO e horário da associação;
Para garantir uma melhor distribuição de dispositivos entre as frequências disponíveis e resultar em melhorias na utilização da radiofrequência, a solução deve ser capaz de distribuir automaticamente os dispositivos dual-band para que conectem primariamente em 5GHz através do recurso conhecido como Band Steering;
A solução deve permitir a configuração de quais data rates estarão ativos na ferramenta e quais serão desabilitados;
A solução deve suportar recurso para automaticamente desconectar clientes wireless que estejam com sinal fraco ou distantes. Deve permitir definir o limiar de sinal para que os clientes sejam desconectados;
A solução deve registrar todos os logs de eventos com bloqueios e liberações das aplicações que foram acessadas na rede wireless;
A solução deve implementar mecanismos de proteção para identificar ataques à infraestrutura wireless. Ao menos os seguintes ataques devem ser identificados:
Ataques de flood contra o protocolo EAPOL (EAPOL Flooding);
Association Flood;
Authentication Flood;
Broadcast Deauthentication;
Spoofed Deauthentication;
ASLEAP;
Null Probe Response or Null SSID Probe Response;
Long Duration;
Ataques contra Wireless Bridges;
Weak WEP;
Invalid MAC OUI.
A solução deve implementar mecanismos de proteção para mitigar ataques à infraestrutura wireless. Ao menos ataques de negação de serviço devem ser mitigados pela infraestrutura através do envio de pacotes de deauthentication;
A solução deve implementar mecanismos de proteção contra ataques do tipo ARP Poisoning na rede wireless;
Permitir configurar o bloqueio na comunicação entre os clientes wireless conectados a um determinado SSID;
Em conjunto com os pontos de acesso, a solução deve implementar os seguintes métodos de autenticação: WPA (TKIP) e WPA2 (AES);
Em conjunto com os pontos de acesso, a solução deve ser compatível e implementar o método de autenticação WPA3;
A solução deve permitir a configuração de múltiplas chaves de autenticação PSK para utilização em um determinado SSID;
Quando usando o recurso de múltiplas chaves PSK, a solução deve permitir a definição de limite quanto ao número de conexões simultâneas para cada chave criada;
A solução deve implementar o protocolo IEEE 802.1X com associação dinâmica de VLANs para os usuários com base nos atributos fornecidos pelos servidores RADIUS;
A solução deve implementar o mecanismo de mudança de autorização dinâmica para 802.1X, conhecido como RADIUS CoA (Change of Authorization) para autenticações 802.1X;
Em conjunto com os pontos de acesso, a solução deve suportar os seguintes métodos de autenticação EAP: EAP-AKA, EAP-SIM, EAP-FAST, EAP-TLS, EAP-TTLS e PEAP;
A solução deve implementar recurso para autenticação dos usuários através de página web HTTPS, também conhecido como captive portal. A solução deve limitar o acesso dos usuários enquanto estes não informarem as credenciais válidas para acesso à rede;
A solução deve permitir a customização da página de autenticação, de forma que o administrador de rede seja capaz de alterar o código HTML da página web formatando texto e inserindo imagens;
A solução deve permitir a coleta de endereço de e-mail dos usuários como método de autorização para ingresso à rede;
A solução deve permitir que a página de autenticação seja hospedada em servidor externo;
A solução deve permitir a configuração do captive portal com endereço IPv6;
A solução deve permitir o cadastramento de contas para usuários visitantes na memória interna. A solução deve permitir ainda que seja definido um prazo de validade para a conta criada;
A solução deve possuir interface gráfica para administração e gerenciamento das contas de usuários visitantes, não permitindo acesso às demais funções de administração da solução;
Após a criação de um usuário visitante, a solução deve enviar as credenciais por e-mail para o usuário cadastrado;
A solução deve implementar recurso de DHCP Server (em IPv4 e IPv6) para facilitar a configuração de redes visitantes;
A solução deve identificar automaticamente o tipo de equipamento e sistema operacional utilizado pelo dispositivo conectado à rede wireless;
A solução deve permitir a configuração de redes mesh entre os pontos de acesso;
A solução deve possuir recurso para realizar testes de conectividade nos pontos de acesso a fim de validar se as VLAN estão apropriadamente configuradas no equipamento ao qual os pontos de acesso estejam fisicamente conectados;
A solução deve apresentar graficamente a topologia lógica da rede, representar os elementos da rede gerenciados, além de informações sobre os usuários conectados com a quantidade de dados transmitidos e recebidos por eles;
A solução deve permitir a identificação do firmware utilizado por cada ponto de acesso gerenciado e permitir a atualização via interface gráfica;
A solução deve permitir a atualização de firmware individualmente nos pontos de acesso, garantindo a gestão e operação simultânea de pontos de acesso com firmwares diferentes;
A solução deve enviar e-mail de notificação aos administradores da rede em caso de evento de indisponibilidade de um ponto de acesso;
A solução ofertada deve possuir recursos para onboard seguro de dispositivos wireless, baseando-se em atributos dos elementos, tais como: usuários, mac address, tipo, família, SO, hardware e fabricante, dentro outros;
Uma vez que seja um dispositivo reconhecido, ele deve ser colocado na respectiva VLAN. Do contrário, permanecerá em uma VLAN isolada.
Rio Branco-AC, 25 de janeiro de 2024.
Documento assinado eletronicamente por Elson Correia de Oliveira Neto , Gerente, em 05/02/2024, às 15:29, conforme art. 1º, III, "b", da Lei 11.419/2006.
Documento assinado eletronicamente por Amilar Sales Alves, Supervisor(a) Administrativo(a), em 05/02/2024, às 17:20, conforme art. 1º, III, "b", da Lei 11.419/2006.
Documento assinado eletronicamente por Raquel Cunha da Conceicao , Diretora, em 06/02/2024, às 07:13, conforme art. 1º, III, "b", da Lei 11.419/2006.
0009068-67.2023.8.01.0000 1687495v76
Assinado eletronicamente por ELSON CORREIA DE OLIVEIRA NETO, Gerente de Segurança da Informação, em 19/04/2024 11:09:14