TERMO DE REFERÊNCIA
TERMO DE REFERÊNCIA
1. OBJETO
Contratação de empresa gestora de meios de pagamento por meio da utilização de TAGs, com atuação nas praças de pedágio da EGR, para prestação de serviços de informática com o fim de realizar o gerenciamento de TAGs para veículos isentos.
2. JUSTIFICATIVA
A contratação dos serviços se faz necessária para melhorar a integridade e segurança das infor- mações de isenções pela eliminação da intervenção manual dos arrecadadores na maioria das passagens de veículos isentos e também agilizar as passagens desses veículos já que poderão utilizar as pistas expressas “AVI” sem necessidade de parar nas praças de pedágio.
Atualmente a EGR possui em torno de 100.000 veículos isentos de pagamento de pedágio. Grande parte destes veículos estão localizados na praça de pedágio de Viamão, pois todos os veículos emplacados naquele município não pagam pedágio devido a decisão judicial. Nas de- mais praças, moradores lindeiros em que a praça se localiza entre a sua residência e o centro do município também possuem isenção. Para otimizar o atendimento e dispender menos re- cursos para o atendimento destes veículos, a EGR está implementando confeccionando TAGs próprios, no padrão utilizado pela ARTESP, para que esses veículos isentos possam passar pela praça de pedágio sem liberação manual da passagem.
Para tanto, necessita-se de sistema que faça a gestão das isenções e da atribuição de TAGs para esses veículos. Este mesmo modelo será utilizado pelos veículos oficiais e outros locados pelos Órgão Públicos.
3. DETALHAMENTO DO SERVIÇO
O Sistema deverá ser disponibilizada como serviço (Software as a Service – SaaS) em infraestru- tura de nuvem, para uso exclusivo da EGR, garantindo os serviços necessários para sua dispo- nibilidade, nos termos e condições constantes neste documento.
3.1. REQUISITOS FUNCIONAIS:
3.1.1 O serviço deve disponibilizar um Portal específico, hospedado em nuvem, com as seguintes funcionalidades:
a) Solicitação de isenção (lindeiro)
b) Solicitação de isenção (órgão público)
c) Conferência e aprovação de documentos
d) Autorização da isenção
e) Cancelamento de isenção
f) Expiração do prazo de isenção
g) Atribuição de TAG
h) Geração de lista de placas isentas (integração com Sistema de Arrecadação)
i) Bloqueio de isenção
j) Reativação de isenção
k) Inclusão, alteração, desativação, reativação, consulta tabela de Motivos de Isenção
l) Inclusão, alteração, desativação, reativação, consulta tabela de Praças de Pedágio
m) Inclusão, alteração, desativação, reativação, consulta tabela de Órgãos Pú- blicos (para isenções de veículos oficiais)
n) Funções relativas a Administração dos Usuários
3.1.2 Cadastro dos interessados para a solicitação de isenções devendo constar as se- guintes informações:
a) CPF / CNPJ
b) Nome ou Razão Social:
c) Endereço completo: rua, número, complemento, bairro, cidades, UF e CEP.
d) Coordenadas do endereço (informação opcional)
e) Praça de Pedágio
f) Motivo da Isenção: O sistema deve prever um cadastro de motivos (Atuali- zados pela EGR) e permitir que o interessado selecione o motivo na hora em que faz seu pedido.
g) Para cada solicitação o usuário deverá anexar cópia do CRLV
h) Placa
i) Número do Chassi
j) RENAVAM
k) Marca, modelo, versão
l) Cor
m) Número de eixos
3.1.3 Concessão da isenção, ou não - campo preenchido pela EGR, refere-se à decisão do Diretor Presidente justificadamente;
3.1.4 Registro da instalação e/ou desinstalação do TAG – preenchidos pelos assisten- tes administrativos nas praças de pedágio ao realizar a instalação ou desinstala- ção do TAG, sendo preenchidos os seguintes campos:
a) Placa do veículo
b) Tipo de operação (Instalação ou Desinstalação)
c) Sendo instalação do TAG informar também a categoria do veículo e o código de barras da etiqueta onde se encontra o TAG por meio de leitor próprio de código de barras, APP QR CODE READER ou por digitação dos números;
3.1.5 Feita a instalação ou desinstalação do TAG, o sistema deve atualizar seu controle interno de TAGs ativos e inativos, bem como informar as alterações ocorridas para o sistema de arrecadação da EGR a fim de manter a integridade das listas de TAGs;
3.1.6 Deverá disponibilizar o histórico de passagens do(s) veículo(s), permitindo filtrar, por praça, placa e/ou por período, de forma individual ou por composição de xxxxxxx, retornando as seguintes informações: placa, TAG, praça, pista, data e hora da passagem, categoria do TAG e categoria validada.
3.1.7 O portal deverá ser acessível por meio de computadores e dispositivos móveis.
3.1.8 O sistema deverá manter integração com o sistema de arrecadação da EGR tam- bém para captura das passagens isentas que estiverem utilizando TAGs cadas- trados em seus controles internos.
3.1.9 O sistema deverá funcionar 24 horas por dia durante os 7 dias da semana inin- terruptamente.
3.2 REQUISITOS TÉCNICOS:
3.2.1 O Projeto de Interface, contemplando todas as funcionalidades, deverá ser apro- vado pela CONTRATANTE.
3.2.2 A CONTRATADA deverá hospedar o sistema em serviço de hospedagem próprio ou contratado com provedor de ambiente de hospedagem e serviço de compu- tação em nuvem, atendendo aos requisitos constantes no ANEXO 01.
3.2.3 Todos os equipamentos, software, infraestrutura e sustentação, necessários à entrega do serviço, são de inteira responsabilidade da CONTRATADA, que deverá realizar de forma continuada tarefas e rotinas que garantam o pleno funciona- mento de todo ambiente, de forma íntegra, mantendo em pleno funcionamento todo objeto da contratação, incluindo o serviço de hospedagem (hosting) e ope- ração de toda a plataforma e todos os servidores.
3.2.4 Uma vez que a disponibilização do sistema deve ser feita como serviço, é de res- ponsabilidade da CONTRATADA, a instalação e configuração de todos os módulos de software que compõem a sistema, incluindo software básico, sistema geren- ciador de banco de dados (SGBD), plug-ins e demais softwares adicionais neces- sários (backups, monitorias, etc.).
3.2.5 O sistema deve ser fácil entendimento ou a CONTRATADA deverá prestar treina- mento para os usuários.
3.2.6 A CONTRATADA deverá disponibilizar manual de funcionamento do sistema.
3.2.7 O sistema deve ser multiusuário permitindo o acesso simultâneo e concorrente para a quantidade de usuários contratada.
3.2.8 A CONTRATADA, deverá implementar políticas de segurança e backup de dados a fim de garantir o Acordo de Nível de Serviço constante no ANEXO 02 - ACORDO DE NÍVEL DE SERVIÇO.
3.2.9 A CONTRATADA terá o prazo máximo de 90 (noventa) dias após o recebimento da Ordem de Serviço para disponibilizar o sistema plenamente funcional.
3.2.10 Em até 10 (dez) dias após rescisão ou término do contrato, a CONTRATADA de- verá disponibilizar para a EGR, cópia da base de dados e todos os documentos correspondentes. Os procedimentos adotados para realização da exportação da base de dados e os resultados oriundos dos procedimentos (dados e informa- ções) devem seguir os princípios norteadores da Segurança da Informação e per- tinentes, tais como: confidencialidade, Integridade, disponibilidade, autentici- dade, reutilização, portabilidade e confiabilidade.
3.2.11 Os dados entregues à EGR devem estar dispostos de forma íntegra, em formato reconhecido, tabulados e aninhados, permitindo a sua utilização em outros mo- delos/fabricantes de banco de dados e sistemas jurídicos similares, evitando er- ros de importação e utilização de base de dados, que refletem no aproveita- mento das informações da parte dos sistemas informatizados.
3.2.12 A CONTRATADA é responsável por toda a infraestrutura necessária para que a EGR utilize o sistema. É de responsabilidade da EGR, apenas, as estações de tra- balho com acesso à internet.
3.2.13 A CONTRATADA fará a administração do sistema, incluindo a administração da Base de Dados e do Sistema Operacional. Por exemplo, a criação de pastas, con- figuração de serviços, parar serviço, ativar serviços, monitorar recursos, criar ín- dices no banco de dados, controlar as permissões de acesso das tabelas, etc. En- tendemos que a CONTRATADA fará monitoria dos recursos do servidor e provi- dencie o acréscimo de memória, disco, etc. necessários para atender aos requi- sitos de qualidade e performance do sistema.
3.2.14 É de responsabilidade da CONTRATADA a manutenção preventiva, corretiva e operação integral do sistema, em todas as camadas, incluindo banco de dados, backup, monitoria, etc.
3.2.15 É de responsabilidade da CONTRATADA a administração do ambiente como um todo, tanto do servidor de aplicação, servidor web e sistema de banco de dados, incluindo o sistema operacional.
3.2.16 É dever da CONTRATADA, o monitoramento e acompanhamento da execução do sistema, identificando e registrando falhas e desvios, de modo que possa preve- nir problemas e corrigir erros, antes que aconteçam.
3.2.17 A CONTRATADA deve manter o ambiente atualizado através da incorporação de correções e versões, desenvolvidas pela CONTRATADA ou fornecidas pelos fabri- cantes dos softwares que compõem o ambiente do sistema.
3.2.18 A CONTRATADA deve executar soluções de aperfeiçoamento de performance, disponibilidade e configuração do sistema.
3.2.19 A CONTRATADA poderá executar intervenção remota em estação de trabalho de usuários da CONTRATANTE, mediante autorização, para realização de configura- ções do sistema ou acompanhamento de tarefas, com vistas a identificação de problemas.
3.2.20 A CONTRATADA garante o funcionamento do sistema, aplicando correção de eventuais erros apresentados.
3.2.21 A CONTRATADA deverá monitorar o ambiente operacional visando garantir se- gurança, disponibilidade e performance do sistema, realizando todas as ações necessárias para tal e diminuindo a probabilidade de que um problema mais sé- rio ocorra.
3.2.22 A CONTRATADA deverá monitorar o sistema de banco de dados, realizando as atividades inerentes à administração da base de dados e das informações ali con- tidas de modo que garanta a consistência, integridade, segurança, disponibili- dade, performance e capacidade da base de dados.
3.2.23 A CONTRATADA deverá manter o sistema disponível para acesso 24 (vinte e qua- tro) horas por dia, inclusive sábados, domingos e feriados, exceção aos períodos de manutenção, que serão comunicados previamente à EGR, tendo especial atenção às obrigações referentes aos “Horário de Serviço” e “Horário Crítico”, constantes no Acordo de Nível de Serviço. Não é de responsabilidade da CON- TRATADA, a indisponibilidade em que não tiver participação na causa. A CON- TRATADA é solidária quando a responsabilidade for de sua contratação ou seu provedor de serviço.
3.2.24 É responsabilidade da CONTRATADA manter o banco de dados íntegro e, em caso de falha, realizar a recuperação do mesmo até a última atualização realizada.
3.2.25 É responsabilidade da CONTRATADA implementar políticas de salvamento e re- tenção do banco de dados.
3.2.26 Os serviços de suporte técnico têm por finalidade garantir a sustentação e a plena utilização do sistema durante a vigência do contrato. Inclui o atendimento para sanar dúvidas relacionadas com instalação, configuração e uso do software ou para correção de problemas, falhas, erros, defeitos ou vícios identificados.
3.2.27 A CONTRATADA prestará Suporte Técnico, efetuando atendimento aos chama- dos, apoiando e orientando os usuários na utilização do sistema, dirimindo dúvi- das e mitigando erros, esclarecendo funcionalidades e apontando soluções aos problemas apresentados.
3.2.28 É de responsabilidade da CONTRATADA a execução de manutenção preventiva, corretiva e operação do sistema, incluindo backup e monitoria de base de dados.
3.2.29 Executar a monitoração preventiva do ambiente sem necessidade de solicitação prévia por parte da EGR.
3.2.30 Realizar o acompanhamento do consumo dos recursos disponíveis para o sis- tema (CPU, Memória e Área de Armazenamento).
3.2.31 Realizar a garantia de funcionamento, aplicando correção de eventuais erros apresentados.
3.2.32 Gerenciar, monitorar, sustentar e operar de forma proativa todos os recursos disponibilizados para a EGR, de forma a garantir o correto funcionamento de to- das as funcionalidades especificadas neste documento.
3.2.33 Monitorar o ambiente do sistema ofertado, através da captura de informações de logs, auditorias, estatísticas do sistema operacional, verificação de erros e so- luções de problemas.
4. PRAZOS
4.1. A CONTRATADA deverá dar início às atividades em até 5 (cinco) dias úteis após o rece- bimento da Ordem de Serviço.
5. PROPOSTA
5.1. Os preços ofertados devem incluir materiais fornecidos, mão de obra, encargos sociais, encargos fiscais, garantias, ferramentas, equipamentos, transporte, administração, lu- cros, licenciamento de software e quaisquer outras despesas necessárias para a entrega e execução do serviço licitado, na forma descrita nesse termo de referência.
5.2. A LICITANTE deverá apresentar sua PROPOSTA conforme “ANEXO 04 - MODELO DE PROPOSTA FINANCEIRA”, discriminando os valores para cada um dos serviços: "Instala- ção do Sistema", "Suporte e manutenção mensal" e "Banco de horas". Os valores pro- postos para cada um dos serviços NÃO poderão ultrapassar o limite máximo atribuído para cada serviço, conforme consta na coluna “Percentual (perante ao valor total) má- ximo aceitável”.
a) Entende-se como “Instalação do Sistema” a disponibilização do sistema total- mente funcional e em produção.
b) Entende-se como “Suporte e manutenção” a prestação dos serviços de operação, hospedagem, suporte, atendimento e manutenção do sistema, sendo executado pela CONTRATADA conforme descrito neste Termo de Referência e atendendo ao SLA constante no “ANEXO 02 - ACORDO DE NÍVEL DE SERVIÇO”.
c) Entende-se como “Banco de Horas” a reserva técnica de esforço de trabalho da CONTRATADA para modificações evolutivas de pequeno porte no sistema.
6. DA GARANTIA DE EXECUÇÃO
6.1. Com o objetivo de assegurar a plena execução desta contratação, evitando, por conse- quência, prejuízos ao patrimônio público, a empresa CONTRATADA deverá prestar ga- rantia por uma das modalidades de que trata o art. 70 da Lei 13.303/2016, correspon- dente a 5% do valor total do contratado, que será liberada após a completa execução do objeto.
7. OBRIGAÇÕES DA CONTRATADA
7.1. Prestar os serviços contratados que atendam integralmente aos requisitos técnicos es- tabelecidos neste Termo de Referência e seus anexos.
7.2. Providenciar a imediata correção das deficiências apontadas pela EGR quando à execu- ção dos serviços contratados.
7.3. Realizar testes e corrigir defeitos no sistema, sem ônus para a CONTRATANTE, durante o período de contratação.
7.4. Possuir todos os requisitos legais e autorizações necessárias para a execução dos servi- ços na forma proposta neste Termo de Referência.
7.5. Manter sigilo absoluto sobre informações, dados e documentos integrantes dos serviços a serem executados, obrigando-se a tratar como "segredos comerciais e confidenciais" quaisquer informações, dados, processos, fórmulas, códigos, etc., utilizando-os apenas para as finalidades previstas no contrato, não podendo revelá-los ou facilitar sua reve- lação a terceiros.
7.6. Manter a confidencialidade das informações da EGR, assegurando que as pessoas não tomem conhecimento, de forma acidental ou proposital, sem que possuam autorização para tal procedimento.
7.7. Não permitir que dados ou informações da CONTRATANTE, aos quais tenha acesso a CONTRATADA ou seus colaboradores, sejam retirados do ambiente, físico ou virtual, ex- clusivo da CONTRATANTE, não importando o veículo em que estes se encontrem, nota- damente base de dados, arquivos de backup, relatórios, páginas web, documentos, mensagens eletrônicas e outros.
7.8. A CONTRATADA deverá seguir as normas de condições de confidencialidade e sigilo constantes no Termo de Confidencialidade (ANEXO 03) que será assinado e entregue após o recebimento da Ordem de Serviço.
7.9. Efetuar o atendimento, remoto ou presencial, nos prazos estabelecidos no Acordo de Nível de Serviço ANEXO 02 - ACORDO DE NÍVEL DE SERVIÇO.
7.10. Operar como uma organização completa e independente, isto é, fornecendo todos os instrumentos, ferramentas e mão de obra necessários a execução dos serviços contra- tados, sem nenhum ônus para a CONTRATANTE.
7.11. Comunicar à EGR qualquer anormalidade constatada referente a execução do presente contrato e prestar os esclarecimentos solicitados.
7.12. Realizar o licenciamento de todos os softwares que compõem o ambiente de prestação do serviço.
7.13. Efetuar backup da base de dados, garantindo o pleno restabelecimento em caso de fa- lhas ou incidentes.
7.14. Manter os bancos de dados íntegros e, em caso de falha, realizar a recuperação do mesmo até a última atualização realizada.
7.15. O fornecimento fora das especificações e características descritas neste Termo de Refe- rência importará na sua não aceitação. O objeto será devolvido, devendo ser corrigido, no prazo de 5 (cinco) dias úteis, sem prejuízo da aplicação de penalidade.
7.16. A emissão do Termo de Recebimento Definitivo não exclui a responsabilidade civil da CONTRATADA por vícios de qualidade ou quantidade, ou disparidade com as especifica- ções emitidas pela CONTRATANTE, e posteriormente comprovadas.
8. PAGAMENTO
8.1. Somente serão pagos os serviços efetivamente executados.
8.2. O serviço de “Instalação do Sistema” será pago uma única vez, em até 30 (trinta) dias, após a emissão do Termo de Recebimento Definitivo decorrente da entrega do sistema em funcionamento. A CONTRATADA somente terá direito à cobrança deste serviço após o aceite definitivo de recebimento da solução instalada e configurada.
8.3. O serviço de “Suporte e manutenção” será pago mensalmente em até 30 (trinta) dias após o protocolo da nota fiscal mensal de realização do serviço. Este serviço somente será faturado a partir do mês subsequente à entrega do sistema em funcionamento.
8.4. O serviço de “Banco de horas” somente será utilizado para desenvolvimento de novas funcionalidades ou modificações de caráter evolutivo do sistema, sempre requerido pela EGR. A CONTRATANTE emitirá Ordem de Fornecimento descrevendo as adaptações e/ou customizações necessárias e a CONTRATADA apresentará o esforço necessário para atendimento (em horas) que poderá ou não ser aprovado pela EGR. Para cada Or- dem de Fornecimento, somente serão pagas as horas orçadas, após a entrega da nova funcionalidade ou modificação no sistema.
8.5. A CONTRATADA somente emitirá a Nota Fiscal de Serviços após a autorização para fatu- ramento concedida pelo Fiscal do Contrato.
8.6. Ao emitir a Nota Fiscal de Serviços eletrônica, a CONTRATADA informará pagamen- xx@xxx.xx.xxx.xx no campo e-mail do Tomador do Serviço com vistas a permitir o moni- toramento dos documentos fiscais emitidos. Deverá constar no campo Discriminação do Serviço, o serviço executado, o Nº do Contrato e os dados bancários para depósito.
8.7. A Nota Fiscal de Serviços e as certidões de regularidade serão apresentadas sempre em formato eletrônico (PDF) através do envio para o endereço de e-mail pagamen- xx@xxx.xx.xxx.xx e do fiscal do contrato.
8.8. O pagamento será efetuado no xxxxx xxxxxx xx 00 (xxxxxx) dias contados da apresen- tação da Nota Fiscal de Serviços eletrônica (NFS-e) acompanhada dos documentos de regularidade discriminados no contrato.
9. FISCAL DO CONTRATO
9.1. A fiscalização do contrato ficará a cargo da Gerência de Tecnologia da Informação.
10. VIGÊNCIA E EFICÁCIA
10.1. O presente contrato terá prazo de vigência de 60 meses, a partir da emissão da Ordem de Serviço, e somente terá eficácia após publicada a respectiva súmula no Diário Oficial do Estado, podendo ser prorrogado nos termos da Lei 13.303/2016.
11. REAJUSTAMENTO
11.1. Será permitido, desde que observado o interregno mínimo de um ano, a contar da pro- posta, ou do último reajuste, sendo que no primeiro período de reajustamento será feita a adequação ao mês civil, se for o caso.
11.2. Caberá à parte interessada a iniciativa e os encargos dos cálculos.
12. DISPOSIÇÕES GERAIS
12.1. As características apresentadas neste Termo de Referência visam demonstrar as funci- onalidades mínimas desejadas. A CONTRATADA poderá definir características superio- res às mínimas estabelecidas, visando o melhor atendimento, desde que aceitas pela CONTRATANTE.
12.2. O licitante vencedor terá o prazo de 05 (cinco) dias úteis contados a partir da convocação para assinatura do Contrato.
ANEXO 01
REQUISITOS PARA CONTRATAÇÃO DE SERVIÇO DE
“COMPUTAÇÃO EM NUVEM” E SOFTWARE COMO SERVIÇO (SaaS)
Este documento contém as informações e requisitos para que a Empresa Gaúcha de Rodovias (EGR), na contra- tação de serviços de Tecnologia da Informação, esteja de acordo com os padrões definidos para contratação de fornecedor privado, da arquitetura e-PING – Padrões de Interoperabilidade de Governo Eletrônico – versão 2018, Portaria Interministerial MP/MC/MD Nº 141 DE 02/05/2014, Norma complementar 19/IN01/DSIC/GSIPR, de 15 de julho de 2014, Norma complementar 14/IN01/DSIC/GSIPR, de 30 de janeiro de 2012 e ABNT NBR ISO/IEC 27001:2013.
1. DEFINIÇÕES
PROVEDOR: Empresa que disponibiliza a infraestrutura de TI (tecnologia da informação) para hospe- dagem em servidores, disponibilizando a “hospedagem na nuvem” uma arquitetura de serviços da “computação em nuvem”, traduzindo para o inglês: cloud computing.
PRESTADOR DE SERVIÇO: Empresa que assina o contrato com a EGR para a prestação de serviço de disponibilização de sistema (software) em computação em nuvem.
CONTRATANTE: Empresa Gaúcha de Rodovias (EGR).
2. OBSERVAÇÃO:
A prestadora de serviço deve assumir a responsabilidade por estabelecer e manter a relação entre os envolvidos na contratação conforme estabelecido em contrato baseado neste documento.
A formatação do documento objetiva explicitar de forma clara e concisa a divisão dos papéis e res- ponsabilidades dos envolvidos na contratação e prestação de serviço. É de responsabilidade da CON- TRATADA a observância de todos os itens, incluindo aqueles relativos aos seus prestadores de ser- viço.
3. REGRAS GERAIS
3.1. O PRESTADOR DE SERVIÇO poderá contratar a infraestrutura de “hospedagem na nuvem” ou disponi- bilizar dos recursos computacionais em infraestrutura própria de “computação em nuvem”.
3.2. O PRESTADOR DE SERVIÇO deverá ter garantidos em contrato, o atendimento dos requisitos elencados neste documento, exigidos do fornecedor de “computação em nuvem”.
3.3. A EGR, antes da assinatura do contrato com o PRESTADOR DE SERVIÇO, executará análise da infraes- trutura proposta, e quando couber, do contrato entre PRESTADOR DE SERVIÇO e PROVEDOR, bem como os planos de sustentação, especialmente o plano de continuidade de negócio do PROVEDOR, com vistas a se certificar de que estejam em conformidade com os requisitos deste documento, aten- dendo-os razoavelmente, incluindo garantias providas pelo contrato do PRESTADOR DE SERVIÇO com o PROVEDOR.
3.4. A CONTRATANTE poderá quando solicitado ter acesso ao projeto básico, e ao respectivo contrato ce- lebrado entre o PRESTADOR DE SERVIÇO e o PROVEDOR, onde devem estar detalhados os critérios e condições de segurança, bem como das respectivas obrigações a serem exigidas na prestação do ser- viço. A CONTRATANTE poderá realizar auditoria na documentação e estrutura da “computação em nuvem” para certificação de conformidade com os requisitos expostos neste documento.
4. DO PROVEDOR
4.1. O PROVEDOR deverá possuir plano de continuidade de negócio.
4.2. O PROVEDOR deve possuir capacidade de trabalhar com múltiplas regiões geográficas, podendo trans- ferir serviços de uma região para outra.
4.3. O PROVEDOR deverá assegurar a disponibilidade de no mínimo, 99,741% para os data centers onde os serviços estarão hospedados, mediante a comprovação por meio de certificação TIA 942 TIER II.
4.4. O PROVEDOR deverá implementar controle de acesso lógico apropriado ao grau de confidencialidade dos dados armazenados na nuvem.
4.5. O PROVEDOR deverá implementar controles para transferência de dados e armazenamento de dados para a nuvem, como criptografia e uso de VPN adequada.
4.6. O PROVEDOR deverá dispor de políticas e procedimentos para o uso de criptografia, incluindo geren- ciamento de chaves criptográficas. As chaves criptográficas não devem ser armazenadas na nuvem.
4.7. O Acordo de Nível de Serviço (Service-Level Agreement – SLA) de responsabilidade do PROVEDOR de nuvem deve incluir penalidades em caso de não cumprimento de parâmetros de disponibilidade e desempenho de serviço.
4.8. O PROVEDOR deve assegurar que dados sujeitos a limites geográficos não sejam migrados para além de fronteiras definidas em contrato.
4.9. O PROVEDOR deve garantir e demonstrar isolamento de recursos e de dados de seus clientes.
4.10. O PROVEDOR deve garantir controles eficazes para gerenciamento de identidades de usuários e con- trole de acessos.
4.11. O PROVEDOR deve garantir política para gestão de mudanças, estando acordado entre PROVEDOR e PRESTADOR DE SERVIÇO, esta última deve ser comunicada com antecedência sobre mudanças a serem realizadas.
4.12. O PROVEDOR deve ter definido políticas e procedimentos a serem adotados para triagem dos eventos relacionados à segurança de modo a garantir o gerenciamento de incidentes completo e ágil.
4.13. O PROVEDOR deverá comunicador todos os eventos relativos à segurança da informação através de canais predefinidos de comunicação, de maneira rápida e eficiente, e de acordo com os requisitos legais, regulatórios e contratuais. Logs de auditoria do PROVEDOR, que registram atividades de acesso de usuários privilegiados, tentativas de acesso autorizados e não autorizados, exceções do sistema, e outros eventos que colocam em risco a segurança da informação devem ser gerados e salvaguardados em conformidade com sua política de segurança e regulamentos aplicáveis, que devem estar de acordo com as políticas de segurança do cliente (PRESTADOR DE SERVIÇO).
4.14. O PROVEDOR deverá disponibilizar mecanismo para acesso, filtragem, e cópia dos logs e eventos ge- rados pela infraestrutura de nuvem para uma área indicada pelo PRESTADOR DE SERVIÇO, de acordo com a política de segurança e guarda das informações do cliente (PRESTADOR DE SERVIÇO).
4.15. O acesso e uso de ferramentas de auditoria no PROVEDOR que interajam com os sistemas de informa- ção do PRESTADOR DE SERVIÇO e PROVEDOR deverão estar devidamente segmentados e restritos a fim de evitar comprometimentos e uso indevido de dados de log.
4.16. O PROVEDOR deve estabelecer e implementar políticas, procedimentos e mecanismos para gerencia- mento de vulnerabilidades conhecidas e atualizações de software, garantindo que aplicações, siste- mas e vulnerabilidades de dispositivos de rede sejam avaliadas, e que atualizações de segurança for- necidas sejam aplicadas em tempo hábil, priorizando as correções mais críticas.
4.17. Os serviços relacionados às redes de telecomunicações deverão utilizar de ferramenta de monitora- mento do tráfego e de prevenção à intrusão no acesso do serviço.
4.18. O PROVEDOR adotará políticas e ferramentas de prevenção do envio de mensagens em massa e de detecção de códigos maliciosos, no fornecimento de correio eletrônico e mensageria instantânea. Em caso de fornecimento de serviços de compartilhamento e sincronização de arquivos, será exigido no mínimo a utilização de ferramenta de detecção de códigos maliciosos.
4.19. O processo de gestão de vulnerabilidades do PROVEDOR deverá ser conhecido pelo PRESTADOR DE SERVIÇO.
4.20. O PROVEDOR deve garantir que os mecanismos de monitoração das redes consigam distinguir entre problemas internos, na rede do(s) provedor(es), ou fora do seu escopo.
4.21. O provedor deve garantir total conformidade da prestação de seus serviços com a ABNT NBR ISO/IEC 27001:2013.
4.22. A prestação de serviço de “computação em nuvem” deverá ter características que permitam auditoria, pelo PROVEDOR ou por instituição previamente autorizada, para fins de garantia da disponibilidade, integridade, confidencialidade e autenticidade das informações.
4.23. Todas as taxas, tarifas e impostos incidentes sobre o serviço de provimento da infraestrutura de hos- pedagem serão arcados pelo PRESTADOR DE SERVIÇO, devendo ser considerados na composição de valor ofertado pelo serviço.
4.24. O custo para a saída do PROVEDOR, ou seja, a substituição do fornecedor do serviço de “computação em nuvem”, não poderá ser repassado à CONTRATANTE, sendo de única e exclusiva obrigação da re- lação entre o PRESTADOR DE SERVIÇOS e o PROVEDOR.
5. DO CONTRATO ENTRE PRESTADOR DE SERVIÇO E PROVEDOR
5.1. O contrato com o PROVEDOR deve definir, em caso de indisponibilidade dos serviços contratados, as prioridades para recuperação e período máximo tolerável para a indisponibilidade definidos.
5.2. O contrato entre PRESTADOR DO SERVIÇO e o PROVEDOR deve estabelecer direitos claros e exclusivos de propriedade e acesso aos dados, inclusive referentes a logs.
5.3. O contrato com o PROVEDOR deve possuir cláusula especificando que os direitos de propriedade sobre os dados armazenados na nuvem pela organização são exclusivos da organização.
5.4. O contrato deve detalhar definições específicas de incidentes, eventos, ações a serem tomadas e res- ponsabilidades do PROVEDOR e do cliente.
5.5. O contrato deve definir requisitos de interoperabilidade entre as ferramentas de gestão de incidentes do PROVEDOR e do cliente.
5.6. Deverá estar definido no contrato as obrigações do PROVEDOR quanto a requisitos mínimos de con- tratação de pessoal e de monitoramento de suas atividades, bem como a respeito da necessidade de divulgação ao PRESTADOR DE SERVIÇO de suas políticas e orientações de segurança e acesso.
5.7. O contrato deverá especificar claramente o nível esperado dos serviços (SLA) e mecanismos clássicos de gestão contratual de serviços terceirizados, como as comunicações formais, multas, rescisão e ou- tros. O contrato deve assegurar garantias dos níveis de serviço no caso de interrupções de serviço planejadas ou não planejadas.
5.8. O contrato deverá garantir total conformidade dos requisitos de prestação de serviço com a ABNT NBR ISO/IEC 27001:2013.
5.9. O contrato deverá prever a aplicação de sanções em caso de incidente de segurança, intencionalmente ou por omissão da parte do PROVEDOR.
6. DO PRESTADOR DE SERVIÇO
6.1. Os controles de acesso, físicos e lógicos, relativos à segurança da informação e comunicação devem ser adequados ao modelo de serviço e de implementação de computação em nuvem adotados.
6.2. O PRESTADOR DE SERVIÇO deve oferecer a possibilidade de selecionar mais de um PROVEDOR de serviços em nuvem, integração com outro serviço de hospedagem, de forma a ter solução de contin- gência.
a. No caso de que o serviço de hospedagem seja contratado como recurso, o PRESTADOR DE SERVIÇO deve garantir processos, procedimentos e recursos, de maneira a viabilizar a trans- ferência de operação de um PROVEDOR de computação em nuvem para outro PROVEDOR alternativo (pode ser próprio).
b. No caso de que o PRESTADOR DE SERVIÇO disponibilize HOSPEDAGEM própria, deve garantir processos, procedimentos e recursos, de maneira a viabilizar a transferência de operação para outro provedor de computação em nuvem.
6.3. O PRESTADOR DE SERVIÇO deverá dispor de processos ágeis para migração dos serviços de “hospeda-
gem na nuvem” para provedores alternativos.
6.4. O PRESTADOR DE SERVIÇO é responsável pela implementação de controles para isolamento e segu- rança de sistema operacional, uso de soluções de virtualização que sejam padrões ou referências de mercado, e política de atualização de versão de software e aplicação de correções.
6.5. O PRESTADOR DE SERVIÇO deve estabelecer e implementar políticas, procedimentos e mecanismos para gerenciamento de vulnerabilidades conhecidas e atualizações de software, garantindo que apli- cações, sistemas e vulnerabilidades de dispositivos de rede sejam avaliadas, e que atualizações de segurança fornecidas sejam aplicadas em tempo hábil, priorizando as correções mais críticas.
6.6. O PRESTADOR DE SERVIÇO deve garantir política para gestão de mudanças, estando acordado entre PROVEDOR e PRESTADOR DE SERVIÇO, devendo comunicar a CONTRATADA com antecedência sobre mudanças a serem realizadas.
6.7. Sempre que for necessário, o PRESTADOR DE SERVIÇO permitirá a realização de avaliações periódicas, com a finalidade de verificar a adequação dos controles internos, incluindo do PROVEDOR, aos requi- sitos aqui dispostos.
6.8. O PRESTADOR DE SERVIÇO deve apresentar política de segurança de dados e detalhamento das ações de segurança da informação e comunicações a serem implementadas nos serviços contratados pela CONTRATANTE.
6.9. O PRESTADOR DE SERVIÇO deverá garantir deverá garantir total conformidade da prestação de servi- ços com a ABNT NBR ISO/IEC 27001:2013.
6.10. O PRESTADOR DE SERVIÇO deverá, quando solicitado, fornecer informações acerca do monitoramento e acesso a instrumentos e procedimentos de prevenção e reação a incidentes de segurança.
6.11. O PRESTADOR DE SERVIÇO deverá zelar pela manutenção de confidencialidade das informações e do- cumentos aos quais venha a ter acesso em decorrência da prestação dos serviços contratados, sendo esta obrigação extensiva a seus sócios, diretores, mandatários, assim como todos os empregados (co- laboradores) envolvidos na contratação.
6.12. O PRESTADOR DE SERVIÇO deverá garantir a comunicação à CONTRATANTE da ocorrência de inciden- tes de segurança e a existência de vulnerabilidades relativas ao objeto da contratação, em periodici- dade definida, em capítulo específico, da arquitetura e-PING - Padrões de Interoperabilidade de Go- verno Eletrônico, assim como tomar as ações imediatas de contenção.
6.13. O PRESTADOR DE SERVIÇO deverá, quando solicitado, fornecer informações gerenciais sobre o de- sempenho dos serviços objeto do contrato, de maneira agregada e individualizada.
6.14. O PRESTADOR DE SERVIÇO deve adotar critérios mínimos de segurança da informação e comunica- ções, implementado o uso de criptografia para informações sigilosas, de ferramenta de controle de acesso e de gerenciamento de identidades.
6.15. O PRESTADOR DE SERVIÇO executará plano de backup, duplicando de dados em intervalos periódicos, aplicando tais rotinas às informações críticas para o negócio, indicadas pela CONTRATANTE. A política de backup deve incluir a cópia dos logs, tanto de segurança da informação como de qualquer outro tipo de logs de serviços.
6.16. O PRESTADOR DE SERVIÇO adotará políticas e ferramentas de prevenção do envio de mensagens em massa e de detecção de códigos maliciosos, no fornecimento de correio eletrônico e mensageria ins- tantânea. Em caso de fornecimento de serviços de compartilhamento e sincronização de arquivos, será exigido no mínimo a utilização de ferramenta de detecção de códigos maliciosos.
6.17. O PRESTADOR DE SERVIÇO deverá manter controle e fiscalização no Acordo de Nível de Serviço de responsabilidade do PROVEDOR de nuvem, devendo aplicar as penalidades em caso de não cumpri- mento de parâmetros de disponibilidade e desempenho dos serviços descritos em contrato.
6.18. A prestação de serviço deverá ter características que permitam auditoria, pela CONTRATANTE ou por instituição previamente autorizada, para fins de garantia da disponibilidade, integridade, confidencia- lidade e autenticidade das informações.
6.19. Os serviços relacionados às redes de telecomunicações deverão utilizar de ferramenta de monitora- mento do tráfego e de prevenção à intrusão no acesso do serviço.
6.20. Os dados armazenados devem obedecer ao esquema criptográfico adequado à classificação das infor- mações.
6.21. Os dados classificados como não públicos armazenados devem ser criptografados.
6.22. O PRESTADOR DE SERVIÇO obedecerá a limites de acesso aos dados de acordo com as exigências da CONTRATANTE.
7. DA RELAÇÃO ENTRE CONTRATANTE E PRESTADOR DE SERVIÇO
7.1. Nas condições previstas no contrato de prestação de serviços de “computação em nuvem”, tanto en- tre CONTRANTE e PRESTADOR DE SERVIÇO como entre o PRESTADOR DE SERVIÇO e o PROVEDOR, a legislação brasileira deve prevalecer sobre qualquer outra, de modo a ter todas as garantias legais enquanto tomadora do serviço e proprietária das informações hospedadas na nuvem.
7.2. O contrato de prestação de serviço, deve conter cláusulas que garantam a disponibilidade, a integri- dade, a confidencialidade e a autenticidade das informações hospedadas na nuvem, em especial aque- las sob custódia e gerenciamento do prestador de serviço.
7.3. O contrato deve prever cláusulas para a comprovação da disponibilidade, integridade, confidenciali- dade e autenticidade das informações trafegadas por meio de softwares ou equipamentos para a co- municação de dados.
7.4. Definição de cláusulas contratuais especificando mecanismos de segurança e proteção de propriedade intelectual, e quaisquer requisitos legais ou regulatórios.
7.5. O contrato deverá prever a aplicação de sanções em caso de incidente de segurança, intencionalmente ou por omissão da parte do PRESTADOR DE SERVIÇO.
7.6. O contrato de prestação de serviço deverá conter dispositivos para assegurar os níveis de serviço (SLA) no caso de interrupções de serviço planejadas ou não planejadas, contendo sanções no caso de des- cumprimento reiterado de parâmetros mínimos de níveis de serviço estabelecidos.
7.7. O contrato deve definir modelo de remuneração vinculada aos níveis de serviço estabelecidos, pre- vendo glosas no caso de descumprimento de parâmetros mínimos.
7.8. O contrato deve prever soluções de contingência independentes de PROVEDOR específico, podendo realizar a portabilidade do serviço para outro fornecedor, contrato de contingência em caso de falha do fornecedor principal, espelhamento do serviço em infraestrutura própria, e outros.
7.9. O contrato deverá assegurar que todas as vulnerabilidades sejam priorizadas e corrigidas dentro de SLAs acordados contratualmente entre PRESTADOR DE SERVIÇO e CONTRATANTE.
7.10. Devem estar estabelecidos no contrato a definição de indicadores claros e precisos tanto de ambientes como de segurança, com responsáveis pelo seu monitoramento e disponibilização.
7.11. Deve ser definido e utilizados dispositivos contratuais para prever verificações intermediárias do nível de uso da capacidade PRESTADOR DE SERVIÇO e alertas quando atingidos patamares de recursos e tetos de recursos máximos utilizáveis em função do orçamento disponível.
7.12. O contrato deve prever, da parte do PRESTADOR DE SERVIÇO, o atendimento total aos requisitos para portabilidade e interoperabilidade da organização (contratante), a fim de mitigar relações e depen- dência com provedor.
7.13. O contrato deverá garantir total conformidade dos requisitos para prestação de serviços com a ABNT NBR ISO/IEC 27001:2013.
7.14. O contrato deve estabelecer direitos claros e exclusivos de propriedade e acesso aos dados, inclusive referentes a logs.
7.15. O contrato deve definir em quais países os dados do cliente poderão ser armazenados.
7.16. O contrato deve prever que o PROVEDOR atenda à política de exclusão de dados do cliente.
7.17. O contrato deve prever que provedor utilize de criptografia para proteger os dados de acesso indevido.
7.18. O contrato deve prever que o PRESTADOR DE SERVIÇO utilize de marca d’água para identificar origens
de vazamento de informações sigilosas.
ANEXO 02
ACORDO DE NÍVEL DE SERVIÇO
(Service-Level Agreement) – SLA
Este acordo de nível de serviço tem por objetivo assegurar a disponibilidade e a qualidade dos serviços entregues, incluindo aspectos de segurança, performance, completude e adequação.
A CONTRATADA deverá possuir metodologias, baseadas e alinhadas com as melhores práticas do mercado tais como ITILv3, COBIT 5 (Control Objectives for Information and related Technology 5) e de Gerenciamento de Pro- jetos baseado no PMI (Project Management Institute), para gerenciar de maneira eficiente os serviços prestados, executando-os de maneira otimizada e eficaz.
A metodologia (ou o conjunto delas) a ser aplicada, deverá prover as melhores práticas para gerir todo o ciclo de operações dos serviços de TI, objetivando cumprir metas de níveis de serviços fixadas neste Acordo de Nível de Serviço.
Todas as medições referentes ao cumprimento deste Acordo de Nível de Serviço e metas serão realizadas e ar- mazenadas pela CONTRATADA. Quando solicitado, a CONTRATADA deverá apresentar os indicadores do período requisitado, com vistas a análise da CONTRATANTE. Os indicadores devem ser apurados mensalmente.
1. DISPONIBILIDADE
1.1. O Gerenciamento de Disponibilidade é o processo que visa otimizar a capacidade da infraestrutura de TI ajudando à CONTRATADA a entregar um nível sustentado de disponibilidade ao custo empregado, garantindo que os serviços estarão à disposição da CONTRATANTE sempre que for preciso.
1.2. A disponibilidade deve ser definida, medida, monitorada e entregue de acordo com o requerido pelos processos do negócio e as necessidades dos usuários. O planejamento deve cobrir também detalhes como tempos de resposta, direitos de acesso, análise das possíveis paradas a que os sistemas podem estar sujeitos.
1.3. Elementos a serem considerados:
• Disponibilidade: a probabilidade de o serviço estar disponível em um dado momento ou durante determinado período de tempo. Este é o indicador chave para a qualidade de serviço.
• Confiabilidade: a habilidade de manter serviços e componentes em operação e livres de falhas. É determinada pela confiança nos componentes da infraestrutura de TI e serviços entregues e os níveis de manutenção preventiva para prevenir a ocorrência de falhas.
• Sustentabilidade: a capacidade de restaurar a operação normal de serviços ou componentes.
• Capacidade de serviço: os suportes com fornecedores terceirizados que podem ser contratados para realização de serviços em determinadas áreas da infraestrutura de TI.
• Segurança: implementação de controles que visa garantir a continuidade do serviço de TI dentro de parâmetros como confidencialidade, integridade e disponibilidade.
1.4. A disponibilidade é percebida pelos usuários do serviço em função de três fatores básicos que devem ser considerados na medição da disponibilidade dos serviços:
• A quantidade de indisponibilidade (frequência);
• A duração de cada indisponibilidade (duração);
• A quantidade de usuários afetados por uma indisponibilidade (escopo).
1.5. Desta forma, o processo de Gerenciamento de Disponibilidade da CONTRATADA precisa prover pontos de controle que permitam a avaliação de sua eficiência, eficácia e efetividade, que são conhecidos como Indicadores de Desempenho.
1.6. Horário de Serviço
1.7. É período compreendido das 8h às 18h, fuso horário oficial da cidade de Porto Alegre, em dias úteis, de segunda-feira a sexta-feira, exceto feriados em Porto Alegre.
1.8. A definição deste período considera o horário de trabalho da maioria dos colaboradores da CONTRA- TANTE.
1.9. Horário Crítico
1.10. É período compreendido das 10h às 16h, fuso horário oficial da cidade de Porto Alegre, em dias úteis, de segunda-feira a sexta-feira, exceto feriados em Porto Alegre.
1.11. A definição deste período considera a probabilidade de maior necessidade de uso do sistema e da realização de transações de negócio com criticidade.
1.12. Horário de manutenção
1.13. Entenda-se por “manutenção” qualquer procedimento planejado para ser realizado no ambiente da
solução (sistema, software básico, banco de dados, hardware, etc).
1.14. Toda manutenção deve ser planejada e executada fora do Horário de Serviço.
1.15. O planejamento de Período de Inatividade do sistema em Horário de Serviço da CONTRATANTE deve ser utilizado apenas em caráter de excepcionalidade e com aprovação da CONTRATANTE.
1.16. Métrica e Indicadores
1.16.1. Disponibilidade (excluindo o tempo de inatividade planejado)
• Porcentagem do Tempo Real de Funcionamento (em horas) em relação ao número total de horas de funcionamento previstas (em horas).
• Tempo Real de Funcionamento é o tempo medido de disponibilidade do sistema durante o Horário de Serviço, no mês.
• Tempo de Funcionamento Planejado é a quantidade de horas de serviço no mês.
Fórmula: [Tempo Real de Funcionamento] porcentagem de [Tempo de Funcionamento Planejado]
Unidade: Percentual Direção: Maximizar Meta: 95 %
Este indicador será apurado mensalmente.
1.16.2. Chamados fora do SLA
• Porcentagem de chamados cujo nível de serviço acordado não foi cumprido.
Fórmula: [Número de Chamados com SLA descumprido] porcentagem de [Número de Chamados no Mês]
Unidade: Percentual Direção: Minimizar Meta: 0 %
1.16.3. Chamados Reabertos
• Porcentagem de chamados concluídos pela CONTRATADA e reabertos no Tempo de Garantia. Fórmula: [Número de Chamados Reabertos] porcentagem de [Número de Chamados no Mês] Unidade: Percentual
Direção: Minimizar
Meta: 5 %
2. ATENDIMENTO
2.1. A CONTRATADA deverá realizar atendimento sempre que houver o chamado com o registro do inci- dente. O atendimento deve buscar a identificação do problema, aplicando de imediato resoluções de contorno para o restabelecimento do serviço, mas não se abstendo de identificar as causas e da reso- lução do erro causador do incidente. O desleixo na identificação dos erros ocasionará a repetição dos incidentes e o aumento da gravidade dos danos e a majoração da severidade dos chamados.
2.2. O serviço de suporte técnico deverá ser prestado em língua portuguesa e estar disponível durante o Horário de Serviço. Para tanto, a contratada deve comunicar, formalmente à contratante, os meios de acionamento do serviço, como número de telefone para ligação gratuita (tipo 0800), endereço de sítio na Internet, sistema informatizado de service desk, entre outros.
2.3. Os serviços de suporte técnico deverão atender aos níveis de serviço estabelecidos para a resolução de problemas reportados pela CONTRATANTE. Os problemas serão categorizados por nível de severi- dade, considerando o impacto na condição operacional do sistema e expectativa de prazo máximo de atendimento, conforme quadro abaixo.
Nível de se- veridade | Descrição | Prazo máximo para início de atendimento | Prazo para resolu- ção do problema |
1 CRÍTICO | • Sistema sem condições de funcionamento, apresen- tando indisponibilidade de funcionalidades essenciais de uso. • Incidentes que paralisem ou impossibilitem o trabalho de um grupo de usuários ou que causem impacto signi- ficativo nos serviços da CONTRATANTE. | 2 horas após abertura do chamado | 24 horas após aber- tura do chamado. |
2 ALTO | • Problema grave, prejudicando funcionamento do sis- tema. • Incidentes que dificultem muito o trabalho de um grupo de usuários ou a utilização de uma funcionali- dade. | 4 horas após abertura do chamado | 48 horas após aber- tura do chamado. |
3 MODE- RADO | • Problema que não afeta o funcionamento do sistema, bem como dúvida ou questionamento sobre funciona- lidade do sistema. • Incidentes que dificultem o trabalho de um usuário ou utilização de uma funcionalidade, mas que não causam impacto significativo. | 2 dias após abertura do chamado | 10 dias após aber- tura do chamado. |
4 PLANE- JADO | • Instalação de novas versões e/ou aplicação de corre- ções programadas. • Incidente que não dificulte o usuário a realizar a ativi- dade desejada, não prejudique a utilização de uma fun- cionalidade, monitoração de serviços, execução ou acompanhamento de rotinas relacionadas ao trabalho do usuário ou dos serviços de TI da CONTRATANTE e para problemas que requeiram conhecimento de espe- cialista e que não se enquadre nos itens anteriores por não serem considerados rotineiros. | 2 dias após abertura do chamado | 10 dias após a data agendada para esse fim. |
2.4. O incidente deverá ser registrado em sistema informatizado de gestão de atendimento (service desk), gerando e emitindo um número de protocolo. Os requisitos para atendimento de cada tipo de cha- mado, assim como eventuais sanções por descumprimento estão detalhadas adiante. Para cada cha- mado, o sistema deverá atribuir número de protocolo único para fins de registro, controle e acompa- nhamento, bem como para registro do histórico de ações e atividades realizadas, soluções aplicadas e identificação de erros.
2.5. Os prazos para início de atendimento e para resolução final serão contados em horas ou dias a partir da comunicação do incidente e consequente os respectivos registros.
2.6. O prazo para a resolução será considerado como o intervalo desde o momento em que o chamado foi registrado até a resolução do problema, descontando o tempo de avaliação da garantia ou impossibi- lidade de atendimento por parte do usuário.
2.7. O chamado somente poderá ser fechado após aprovação pela CONTRATANTE. O tempo compreendido entre a entrega da resolução por parte da CONTRATADA até a aprovação pela CONTRATANTE é deno- minado de tempo de avaliação da garantia. Caso a resolução aplicada não repare o defeito, nem surta o efeito paliativo a que se propôs, a CONTRATANTE comunicará a recusa de recebimento da resolução (não aprovação da garantia) e a contagem do tempo é retomada com a mesma severidade em que foi interrompida.
2.8. O nível de severidade dos chamados será informado no momento de abertura. A severidade do cha- mado poderá ser reclassificada. Nesse caso, será iniciada nova contagem de prazo, conforme o novo nível estabelecido, e os prazos serão iniciados a contar do evento da reclassificação.
2.9. O atendimento aos chamados deverá contar com esforço concentrado da CONTRATADA com vistas a aplicar a resolução definitiva, ou de contorno, no menor prazo possível.
2.10. Escalação de severidade
2.10.1. Os chamados classificados com severidade 2 a 4, quando não solucionados no prazo definido, serão automaticamente escalados para nível de severidade imediatamente superior. Nesse caso, os prazos de atendimento e de resolução do problema serão ajustados para o novo nível de severidade.
2.11. Monitoramento do atendimento dos chamados
2.11.1. Para cada incidente reportado deverá ser aberto um chamado. Todos os chamados deverão ser regis- trados em sistema definido para esse fim e receber código de identificação para fins de controle, acompanhamento e formação de histórico por chamado. O registro pode ser feito pelo próprio usuá- rio, pela equipe de TI ou pelo Serviço de Atendimento e Suporte Técnico de 1º Nível, quando a solici- tação for realizada via e-mail, telefone ou outro meio de comunicação.
2.11.2. Antes do fechamento de cada chamado, a CONTRATANTE deverá aprovar a resolução do problema, mesmo que de contorno. Se o chamado for fechado sem aprovação da CONTRATANTE deverá ser re- aberto e os prazos serão contados a partir da data original de abertura do chamado, inclusive para efeito de aplicação das sanções previstas.
2.11.3. A CONTRATADA manterá cadastro das pessoas indicadas pela CONTRATANTE para abertura e aprova- ção para fechamento de chamado. Cada pessoa cadastrada deverá receber identificação e senha que permitam acesso exclusivo ao sistema informatizado, de maneira a evitar uso indevido por pessoa não autorizada.
2.12. A CONTRATADA deverá entregar mensalmente, ou disponibilizar on-line, relatório contendo a relação de atendimentos efetuados no período, indicando as ações executadas, as soluções aplicadas e as lições aprendidas. O relatório deverá conter, entre outras, para cada chamado: número de controle (protocolo), nível de severidade, descrição resumida do incidente, data e hora de abertura, data e hora de resolução, data e hora de aprovação da garantia e data e hora de fechamento, identificação e nome do responsável pela abertura, identificação e nome do responsável pelo atendimento, identificação e nome do aprovador da garantia, forma de atendimento conclusivo (remoto e/ou presencial), descrição resumida da resolução adotada, classificação da resolução (contorno/definitiva).
3. GESTÃO DE SLA
3.1. A CONTRATADA deverá implementar normas para o uso sistemático de processos, visando a gestão dos serviços prestados ao longo do contrato para todas as atividades no escopo deste Termo de Refe- rência, devendo observar com especial atenção os seguintes itens:
3.1.1. Service Desk;
3.1.2. Gerenciamento de problemas e incidentes;
3.1.3. Gerenciamento de configurações, mudanças e liberações;
3.1.4. Controle dos níveis de serviço;
3.1.5. Planejamento da capacidade de recursos;
3.1.6. Gerenciamento da continuidade e disponibilidade dos recursos.
3.2. Os documentos e procedimentos, a serem adotados para a gestão e o gerenciamento do SLA, devem ser propostos pela CONTRATADA e aceitos pela CONTRATANTE.
TERMO DE CONFIDENCIALIDADE
A empresa [RAZÃO SOCIAL DA LICITANTE], com sede [endereço completo], inscrita no CNPJ-MF sob nº [. ] e Inscrição
Estadual nº [.....], neste ato representada pelo seu/sua representante legal, Sr(a) [..........], CPF nº [. ], responsável pela
execução do Contrato EGR nº [Nº CONTRATO/ANO], doravante denominado(a) simplesmente signatária, por tomar conheci- mento de informações sobre o ambiente computacional da Empresa Gaúcha de Rodovias - EGR, aceita as regras, condições e obrigações constantes do presente Termo.
1. O objetivo deste Termo de Confidencialidade é prover a necessária e adequada proteção às informações restritas, de propriedade exclusiva da EGR, reveladas à signatária em função da prestação dos serviços objeto do contrato supramen- cionado.
2. A expressão “informação restrita” abrangerá toda informação escrita, oral ou digital, tangível ou intangível, podendo incluir, mas não se limitando a: técnicas, projetos, especificações, desenhos, cópias, diagramas, fórmulas, modelos, amostras, fluxogramas, croquis, fotografias, plantas, programas de computador, discos, disquetes, pen drives, fitas, con- tratos, planos de negócios, processos, projetos, conceitos de produto, especificações, amostras de ideia, clientes, nomes de revendedores e/ou distribuidores, marcas e modelos utilizados, preços e custos, definições e informações mercado- lógicas, invenções e ideias, bem como outras informações técnicas, financeiras ou comerciais, dentre outras.
3. A signatária se compromete a não reproduzir nem dar conhecimento a terceiros, sem a anuência formal e expressa da EGR, das informações restritas reveladas.
4. A signatária compromete-se a não utilizar as informações restritas reveladas, de forma diversa da prevista no contrato.
5. A signatária deverá cuidar para que as informações reveladas fiquem limitadas ao conhecimento próprio.
6. A signatária obriga-se a informar imediatamente à EGR qualquer violação das regras de sigilo estabelecidas neste Termo que tenha tomado conhecimento ou ocorrido por sua ação ou omissão, independentemente da existência de dolo.
7. A quebra do sigilo das informações restritas reveladas, devidamente comprovada, sem autorização expressa da EGR, possibilitará a imediata rescisão de qualquer contrato firmado entre a EGR e a signatária, ou com empresa que tiver vínculo, sem qualquer ônus para a EGR. Nesse caso, a signatária, estará sujeita, por ação ou omissão, além das eventuais multas definidas no contrato, ao pagamento ou recomposição de todas as perdas e danos sofridos pela EGR, inclusive os de ordem moral, bem como as de responsabilidades civil e criminal respectivas, as quais serão apuradas em regular processo judicial ou administrativo.
8. O presente Termo tem natureza irrevogável e irretratável, permanecendo em vigor desde a data de acesso às informa- ções restritas da EGR.
9. A signatária se compromete a dar publicidade a todos os seus colaboradores do teor deste Termo de Confidencialidade e da responsabilidade estendida quanto ao sigilo e tratamento das informações da EGR a que tiver acesso.
E, por aceitar todas as condições e as obrigações constantes do presente Xxxxx, a signatária DECLARA, sob as penalidades da lei, que está ciente das normas de segurança e se compromete a não divulgar quaisquer informações a que tenha acesso em virtude dos trabalhos a serem executados ou de que tenha tomado conhecimento em decorrência da execução do objeto contratual, bem como se compromete a não fazer uso indevido das informações sigilosas ou de uso restrito, estando ciente de que a não observância destas obrigações poderá implicar em sanções conforme o Direito Administrativo, Penal e Civil, e por seu representante legal, assina o presente termo.
Porto Alegre, de de .
Nome: [NOME DO RESPONSÁVEL LEGAL] CPF: [Nº DO CPF]
MODELO DE PROPOSTA FINANCEIRA
À EMPRESA GAÚCHA DE RODOVIAS – N° DA LICITAÇÃO
Proposta comercial que faz a empresa [RAZÃO SOCIAL DA LICITANTE], com sede [endereço completo], inscrita no CNPJ-MF sob nº [........] e Inscrição Estadual nº [ ], neste ato representada pelo seu/sua representante le-
xxx, Xx(a) [..........], CPF nº [ ] conforme abaixo.
Informamos, abaixo, proposta de preço, conforme especificações e quantitativos estabelecidos nos anexos do edital nº [ ] para a Contratação de SISTEMA DE INFORMÁTICA PARA GERENCIAMENTO DE TAGS PARA VEÍCU-
Serviço | Valor Unitário | Duração do Contrato | Valor | Percentual (perante ao valor total) máximo aceitável |
1. Instalação do Sistema | R$ | 25,00 % | ||
2. Suporte e manutenção mensal | R$ | 60 meses | R$ | 55,00 % |
3. Banco de horas | R$ | 1.200 horas | R$ | 25,00 % |
VALOR TOTAL DO CONTRATO | R$ | |||
LOS ISENTOS COMO SERVIÇO, sendo: PLANILHA ORÇAMENTÁRIA:
PRAZO DE ENTREGA: CONFORME EDITAL VALIDADE: 60 dias
PAGAMENTO: CONFORME EDITAL LOCAL DE ENTREGA: CONFORME EDITAL
[Nome do Representante Legal]
Dados Bancários: Banco: Agência: C/C: Responsável pela assinatura do Contrato: Telefone(s): E-mail: Data: