CONTRATO Nº 00009/2022

CONTRATO DE PRESTAÇÃO DO SERVIÇO QUE ENTRE SI CELEBRAM A EMPRESA GESTORA DE ATIVOS S.A – EMGEA E A EMPRESA 1 ACCESS SECURITY CONSULTORIA E TECNOLOGIA LTDA.

A EMPRESA GESTORA DE ATIVOS S.A. – EMGEA, empresa pública, vinculada ao Ministério da Economia, criada pelo Decreto nº 3.848, de 26 de junho de 2001, conforme autorização prevista no art. 7º da Medida Provisória nº 2.155, de 22 de junho de 2001, atual Medida Provisória nº 2.196-3, de 24 de agosto de 2001, regendo-se pelo Estatuto Social aprovado pela Ata da 16ª Assembleia Geral Extraordinária, de 19 de abril de 2022, publicado no Diário Oficial da União de 03 de maio de 2022, com sede no Setor Bancário Sul - SBS, Quadra 02, bloco “B”, em Brasília/DF, CEP.: 70.070-902, cadastrada no CNPJ/MF sob o nº 04.527.335/0001-13 e Inscrição Estadual nº 07.423.948/001-92, representada por seu Diretor-Presidente, o Sr. XXXXXXX XXXXXXX XX XXXXXXX, brasileiro, casado, engenheiro, com registro no Conselho Regional de Engenharia e Agronomia do Rio de Janeiro CREA/RJ nº 2003107877, inscrito no CPF sob o nº 000.000.000-00, residente no Rio de Janeiro/RJ, e domiciliado em Brasília/DF, designado pelo Conselho de Administração da EMGEA, conforme Ata nº 100 da Reunião Extraordinária realizada em

22 de agosto de 2022, e pela Diretora de Administração, a Sra. XXXXX XXXXXXX XXXXXXXXX XXXXXX, brasileira, casada, bacharel em estatística, portadora da Carteira de Identidade n° 984.534, expedida pela Secretaria de Segurança Pública do Distrito Federal, inscrita no CPF sob o nº 000.000.000-00, residente e domiciliada em Brasília/DF, designada pelo Conselho de Administração da EMGEA, conforme Ata nº 97 da reunião extraordinária realizada em 2 de junho de 2022, doravante denominada de CONTRATANTE, e de outro lado, a 1 ACCESS SECURITY CONSULTORIA E TECNOLOGIA LTDA., cadastrada no CNPJ/MF sob o nº 29.612.419/0001-86, estabelecida na Xxxxxxx Xxx Xxxxx, 000, 00x xxxxx, xxxx 0000, Xxxxxxxxxx, Xxxxxxx/XX, CEP 06.454-000, representada pelo Sr. XXXXXX XXXXX XXXXX, brasileiro, solteiro, empresário, portador da Carteira de Identidade nº 27.655.773-6 SSP/SP, inscrito no CPF sob o nº 000.000.000-00, residente e domiciliado em São Paulo/SP, daqui por diante denominada CONTRATADA, resolvem celebrar o presente Contrato, em conformidade com o que consta do Processo Administrativo nº 00052/2022, referente ao Dispensa de Licitação nº 00014/2022, sendo a contratação amparada pelo inciso II do artigo 29 da Lei nº 13.303, de 30 de junho de 2016, conforme condições previstas no Contrato e seus anexos, passando a proposta da CONTRATADA, independentemente de sua transcrição, a fazer parte integrante e complementar deste Contrato, que se regerá pelas cláusulas e condições seguintes:

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxx Xxxxx Xxxxxxxx e Xxxxxxxx Xxxxxxx Xx Xxxx. Este documento foi assinado eletronicamente por Xxxxxxx Xxxxxxx Xx Xxxxxxx, XXXXXX XXXXXX XXX XXXXXX, XXXXXX XXXXX XXXXX e Xxxxx Xxxxxxx Xxxxxxx.

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

CLÁUSULA PRIMEIRA – DO OBJETO

1.1. Contratação de empresa especializada na prestação de serviços técnicos em segurança da informação, compreendendo os serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da Empresa Gestora de Ativos S.A. - EMGEA, emissão de relatórios e apresentação dos resultados, conforme condições, quantidades e exigências estabelecidas neste Contrato e seus anexos.

CLÁUSULA SEGUNDA – DA DESCRIÇÃO DO OBJETO

2.1. O detalhamento das especificações relacionada aos serviços discriminados estão descritos no Anexo I deste Contrato:

Item

Objeto

Unidade

de Medida

Qtd.

- EMGEA, emissão de relatórios e apresentação dos resultados, conforme condições, quantidades e exigências

estabelecidas no Contrato e seus anexos.

Serviço

Tabela 1: Descrição do objeto – Prestação de serviços técnicos especializados.

2.2. Pelas características do objeto, foi proposta a contratação dos serviços por item, pois os serviços contratados são interdependentes e devem ser prestados pela mesma empresa.

2.3. Os serviços relacionados estão detalhados como:

2.3.1. 1ª FASE – PREPARAÇÃO PARA EXECUÇÃO DOS SERVIÇOS:

2.3.1.1. Realização da reunião de kick-off entre a CONTRATANTE e a CONTRATADA para apresentação das equipes, definição do planejamento, realização da preparação necessária para as atividades de execução e detalhamento técnico para execução do cronograma e os seus respectivos marcos de realização;

2.3.1.2. Emissão do Plano de Ação para execução dos serviços contratados.

2.3.2. 2ª FASE – ANÁLIDE DE VULNERABILIDADES:

2.3.2.1. Prestação dos serviços de ANÁLISE DE VULNERABILIDADES do ambiente externo de tecnologia da informação da CONTRATANTE, podendo ser realizado de forma presencial ou remota, através da varredura de vulnerabilidades nos ativos e serviços de TI contidos no escopo de trabalho, conforme descrito no Anexo I deste Contrato;

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

2.3.2.2. Emissão do RELATÓRIO DE VULNERABILIDADES contendo os resultados da prestação dos serviços da análise de vulnerabilidades realizada no ambiente externo de TI da CONTRATANTE, com indicação de soluções de contorno e/ou passo a passo para correções das vulnerabilidades detectadas.

2.3.3. 3ª FASE – AÇÕES DE CORREÇÃO E MITIGAÇÃO:

2.3.3.1. A execução dos serviços desta fase será de responsabilidade da equipe técnica da CONTRATANTE, que compreenderá a execução das ações de correção das vulnerabilidades e mitigação de riscos que foram apontados no Relatório de Vulnerabilidades.

2.3.4. 4ª FASE – TESTE DE INVASÃO (PENTEST):

2.3.4.1. Prestação do serviço de teste de invasão (pentest) externo, que deverá ser realizado de forma remota, fora das dependências da Contratante;

2.3.4.2. Emissão do RELATÓRIO DE PENTEST contendo os resultados da prestação do serviço de teste de invasão (pentest), que deverá conter as vulnerabilidades exploradas e as soluções de contorno, como forma a corrigir ou mitigar as vulnerabilidades exploradas com sucesso.

2.3.5. 5ª FASE – APRESENTAÇÃO DOS RESULTADOS:

2.3.5.1. Emissão do RELATÓRIO FINAL estruturado contendo a análise dos resultados obtidos através dos serviços executados, incluindo as indicações para correção das vulnerabilidades, mitigação dos riscos e sugestões de melhoria no processo de segurança das informações;

2.3.5.2. Apresentação técnica dos resultados para a equipe de tecnologia da CONTRATANTE;

2.3.5.3. Apresentação executiva dos resultados para a diretoria executiva da CONTRATANTE.

2.4. O escopo detalhado e a especificação dos serviços técnicos estão descritos no Anexo I deste Contrato.

2.4.1. Caso necessário e em comum acordo entre a CONTRATANTE e a CONTRATADA, o escopo poderá ser ajustado com o acréscimo de atividades que não estão listadas no Anexo I deste Contrato, sem ônus adicional para a CONTRATANTE.

2.5. Para prestação dos serviços contratados, a CONTRATADA deverá observar as seguintes etapas:

2.5.1. Planejamento da execução dos serviços;

2.5.2. Reconhecimento e escaneamento de vulnerabilidades;

2.5.3. Teste de invasão e exploração das vulnerabilidades;

2.5.4. Análise de riscos e recomendações para correção das vulnerabilidades.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

2.6. A CONTRATADA deve garantir a disponibilidade e a operacionalidade de todos os serviços e ativos de tecnologia da informação da CONTRATANTE durante e após a execução dos serviços contratados.

CLÁUSULA TERCEIRA – DO LOCAL DE PRESTAÇÃO DOS SERVIÇOS

3.1. Os serviços contratados devem ser prestados, preferencialmente, de forma remota, externamente às instalações da CONTRATANTE, que está localizada no Setor Bancário Sul (SBS), Xxxxxx 0, Xxxxx X, Xxxx 00, Xxxxxxxx Xxx Xxxxxx, XXX 00000-000, Xxxxxxxx-XX.

3.2. A execução dos serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da CONTRATANTE deverá ocorrer, preferencialmente, de forma remota.

3.3. Em comum acordo entre a CONTRATANTE e a CONTRATADA, os serviços de análise de vulnerabilidades e apresentação dos resultados poderão ser prestados presencialmente, nas dependências da CONTRATANTE, respeitando-se a disponibilidade e os interesses de ambos e sempre com o devido agendamento prévio.

3.4. Nestes casos, todas as despesas relacionadas à prestação dos serviços são de inteira responsabilidade da CONTRATADA e correrão sem ônus para a CONTRATANTE.

CLÁUSULA QUARTA – DO PRAZO DE EXECUÇÃO DOS SERVIÇOS

4.1. A execução dos serviços deverá obedecer aos seguintes marcos:

Fase	Marco	Evento	Responsável
-----	AC	Assinatura do Contrato (AC)	CONTRATADA / CONTRATANTE
1	AC + 5 (cinco) dias úteis, no máximo.	REUNIÃO DE KICK-OFF (RK) entre a CONTRATANTE e a empresa contratadada para apresentação das equipes, definição do plano de ação e definição do cronograma detalhado de execução dos serviços contratados.	CONTRATADA / CONTRATANTE
1	RK + 5 (cinco) dias úteis, no máximo	Entrega e apresentação do PLANO DE AÇÃO (PA) para execução dos serviços.	CONTRATADA
2	PA + 10 (dez) dias úteis, no máximo.	Execução dos serviços de ANÁLISE DE VULNERABILIDADES (AV) do ambiente externo de tecnologia da CONTRATANTE e entrega do RELATÓRIO DE VULNERABILIDADES relacionado à esta fase.	CONTRATADA

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

AV + 20 (vinte) dias úteis, no máximo.

Análise do relatório de vulnerabilidades relacionado à fase anterior e adoção de medidas de correção ou mitigação (MC) para as vulnerabilidades apontadas.

CONTRATANTE

MC + 10 (dez) dias úteis, no máximo.

Execução do serviço de TESTE DE INVASÃO (PENTEST) (EX) no ambiente externo de tecnologia da CONTRATANTE e entrega do RELATÓRIO DE PENTEST relacionado à esta fase.

CONTRATADA

EX + 5 (cinco) dias úteis, no máximo

Execução do serviço de APRESENTAÇÃO DOS RESULTADOS (AR) – Emissão do

RELATÓRIO FINAL e apresentação dos resultados para a equipe de tecnologia e a diretoria executiva da CONTRATANTE.

CONTRATADA

-----

AR + 3 (três) dias úteis, no máximo.

Emissão do Termo de Aceite dos serviços contratados (TA).

CONTRATANTE

-----

TA + 5 (cinco) dias úteis, no máximo

Encaminhamento da Nota Fiscal (NF).

CONTRATADA

-----

NF + 8 (oito) dias úteis após o recebimento da Nota Fiscal, no máximo.

Pagamento dos serviços contratados.

CONTRATANTE

Tabela 2: Cronograma contendo os marcos para execução dos serviços.

4.2. O prazo total estimado para conclusão dos serviços pela CONTRATADA é de até 55 (cinquenta e cinco) dias úteis (Fases 1 a 5), contados a partir da data de assinatura deste Contrato.

4.3. Os serviços deverão ser iniciados em, no máximo, 5 (cinco) dias úteis após a assinatura do Contrato, através da reunião de kick-off entre as equipes da CONTRATANTE e da CONTRATADA.

4.4. A CONTRATADA deverá apresentar o cronograma detalhado de execução de cada uma das fases, observando os marcos contidos no Item 4 do Termo de Referência, que deve ser aprovado previamente pela CONTRATANTE antes do início de sua execução.

4.5. O cronograma detalhado de execução e entrega dos serviços deverá observar os prazos máximos definidos para cada um dos marcos estabelecidos.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

4.6. Após a conclusão de cada um dos marcos, a CONTRATANTE terá um prazo de até 2 (dois) dias úteis para validação, ou para solicitar complementação ou esclarecimento sobre os trabalhos realizados, sendo que eventuais ajustes deverão ser realizados em até 3 (três) dias úteis.

4.7. Caso ocorra alguma indisponibilidade dos serviços de tecnologia da informação da CONTRATANTE, em decorrência da execução dos serviços constantes no objeto deste Contrato pela CONTRATADA, esta deverá prestar todo o suporte necessário para retorno dos serviços de tecnologia da CONTRATANTE à sua normalidade, incluindo o auxílio e o suporte nas ações a serem realizadas para mitigar o incidente, como uma ação de contorno ou atividade que resolva de forma definitiva o problema causado.

4.7.1. Para esse tipo de ocorrência a CONTRATADA deverá realizar o atendimento em até 1 (uma) hora após o seu acionamento ou detecção do incidente, e a resolução do problema não deve exceder 4 (quatro) horas após o início de execução da solução de contorno.

CLÁUSULA QUINTA – DOS SERVIÇOS A SEREM PRESTADOS

5.1. A prestação dos serviços deverá abranger as seguintes fases:

FASE	DESCRIÇÃO DOS SERVIÇOS
Fase 1	PREPARAÇÃO PARA EXECUÇÃO DOS SERVIÇOS
Fase 2	EXECUÇÃO DO SERVIÇO DE ANÁLISE DE VULNERABILIDADES
Fase 3	EXECUÇÃO DAS AÇÕES DE CORREÇÃO DE VULNERABILIDADES E MITIGAÇÃO DE RISCOS
Fase 4	EXECUÇÃO DO SERVIÇO DE TESTE DE INVASÃO (PENTEST)
Fase 5	APRESENTAÇÃO DOS RESULTADOS

Tabela 3: Fases compreendidas na prestação dos serviços.

5.2. A especificação técnica das atividades e dos serviços a serem prestados em cada fase está detalhada no Anexo I deste Contrato.

5.3. Todas as atividades de responsabilidade da CONTRATADA terão supervisão do Fiscal do Contrato e acompanhamento da equipe técnica especializada da Contratante, sempre que necessário.

CLÁUSULA SEXTA – DA MEDIÇÃO E RECEBIMENTO DOS SERVIÇOS

6.1. Os serviços serão medidos por entrega em cada uma das fases.

6.2. É facultado à CONTRATADA adiantar os serviços estipulados em cada fase.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

6.3. Se os serviços forem totalmente concluídos antes do prazo final estabelecido em cada fase, e desde que não haja pendências de qualquer serviço e/ou entrega, a CONTRATANTE poderá antecipar a avaliação dos entregáveis da respectiva fase.

6.4. Não será aceita medição parcial dos entregáveis de qualquer fase, devendo haver o atendimento integral dos serviços conforme Termo de Referência.

6.5. A CONTRATADA deverá observar o Acordo de Nível de Serviço (ANS) descrito no Item 8 deste Contrato, que são critérios objetivos e mensuráveis estabelecidos pela CONTRATANTE, com a finalidade de aferir e avaliar diversos fatores relacionados à prestação dos serviços.

6.5.1. Para mensurar esses fatores serão utilizados indicadores relacionados com a natureza e característica dos serviços contratados, para os quais são estabelecidas metas quantificáveis a serem cumpridas pela CONTRATADA.

6.5.2. Caso haja descumprimento deste Acordo de Nível de Serviço (ANS), a CONTRATADA arcará com glosas na fatura.

6.6. Os serviços objeto deste Contrato poderão ser rejeitados no todo ou em parte quando em desacordo com as especificações constantes neste Contrato, devendo ser corrigidos ou refeitos, no prazo fixado pela CONTRATANTE por meio de sua fiscalização, às custas da CONTRATADA, sem prejuízo da aplicação de penalidades.

6.7. Uma vez atendidas as pendências eventualmente apontadas, o recebimento definitivo se dará no prazo máximo de 3 (três) dias úteis.

6.8. O recebimento definitivo do objeto não exclui a responsabilidade da CONTRATADA pelos prejuízos resultantes da incorreta execução do contrato, ou, em qualquer época, das garantias concedidas e das responsabilidades assumidas em contrato e por força das disposições legais em vigor.

CLÁUSULA SÉTIMA – DA GARANTIA DOS SERVIÇOS

7.1. Todos os serviços prestados pela CONTRATADA terão garantia durante o período de vigência deste Contrato.

7.2. A CONTRATADA deverá prestar todo o suporte de garantia dos serviços durante a vigência do Contrato, devendo prestar todo e qualquer esclarecimento pertinente aos serviços, que deverão estar inclusos no valor global do contrato, não podendo a CONTRATADA realizar novas cobranças em virtude dos serviços de garantia.

7.3. A garantia deve cobrir todos os serviços a serem prestados pela CONTRATADA e tem o intuito de solucionar problemas resultantes das atividades prestadas durante a vigência deste Contrato.

7.4. A CONTRATADA deverá prestar garantia para todos os serviços prestados durante a vigência do Contrato, inclusive dos serviços a serem corrigidos de maneira parcial ou total das entregas realizadas em cada fase, os quais não deverão ser cobrados para a CONTRATANTE, devendo a CONTRATADA absorver seus custos.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

7.5. Os serviços de garantia deverão ser prestados de segunda-feira a sexta-feira, nos dias úteis, das 8 (oito) horas às 19 (dezenove) horas, podendo ser programado para horário fora desse período por apresentar risco ao ambiente de TI da CONTRATANTE.

7.6. Os serviços de garantia poderão ser realizados remotamente, caso a CONTRATADA justifique o motivo. Contudo, se não for resolvido dentro do prazo acordado, a CONTRATADA deverá realizar os trabalhos presencialmente, nas dependências e sem custo adicional para a CONTRATANTE.

CLÁUSULA OITAVA – DO ACORDO DE NÍVEL DE SERVIÇO (ANS)

8.1. Disposições Gerais

8.1.1. O Acordo de Nível de Serviço (ANS) tem como objetivo medir a qualidade e a eficácia dos serviços prestados pela CONTRATADA.

8.1.2. O Acordo de Nível de Serviço (ANS) é composto por itens relacionados aos produtos a serem entregues e aos serviços que serão prestados pela CONTRATADA em atendimento ao objeto do Contrato.

8.1.3. Os itens/serviços componentes do ANS são:

8.1.3.1. Fiscalização do Contrato.

8.1.4. A medição da qualidade dos serviços prestados pela CONTRATADA será realizada por meio de sistema de pontuação, cujo resultado definirá o valor a ser pago ao final de cada fase.

8.1.5. As situações abrangidas pelo Acordo de Nível de Serviço (ANS) se referem a fatos cotidianos da execução do contrato, não isentando a CONTRATADA das demais responsabilidades ou sanções legalmente previstas.

8.1.6. A CONTRATANTE poderá alterar os procedimentos e a metodologia de avaliação durante a execução contratual, em comum acordo com a prestadora, sempre que o novo sistema se mostrar mais eficiente que o anterior e não houver prejuízos para a CONTRATADA.

8.1.7. O principal elemento para medir a qualidade e a eficácia dos serviços prestados será o Acordo de Nível de Serviço (ANS). Com relação a esse item, devem ser considerados os seguintes aspectos:

8.1.7.1. Os ANS serão aplicados para medir a qualidade e a eficácia de todos os serviços abrangidos pelo Contrato e essenciais para o cumprimento do objeto pela CONTRATADA;

8.1.7.2. Objetivando a qualidade, a CONTRATADA deverá estabelecer procedimentos e condições que permitam a correta medição dos serviços prestados;

8.1.7.3. O não cumprimento de indicadores do ANS poderá ocasionar na aplicação de glosa no pagamento dos serviços à CONTRATADA, conforme descrito no item 8.4 deste Contrato.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

8.1.8. Os relatórios apresentados devem conter todas as informações necessárias para subsidiar a CONTRATANTE na averiguação dos acordos de nível de serviço.

8.2. Dos Procedimentos

8.2.1. O Fiscal do Contrato designado pela CONTRATANTE acompanhará a execução dos serviços prestados, atuando junto ao(s) preposto(s) indicado(s) pela CONTRATADA.

8.2.2. Do referido acompanhamento, o Fiscal do Contrato deverá apontar as irregularidades encontradas e classificá-las, conforme tabela abaixo:

Tipo	Nível
01	Leve
02	Média
03	Grave

8.2.3. Verificando a existência de irregularidades na prestação dos serviços, o Fiscal do Contrato notificará o preposto da CONTRATADA para que este tome conhecimento do fato e informe sobre as devidas justificativas e tratativas para a(s) ocorrência(s).

8.2.4. A notificação quanto à existência de irregularidades na execução no Contrato deverá ser por escrito, através de registro em e-mail ou Ofício, independente da gravidade da situação ou da reincidência do fato.

8.2.5. Constatando irregularidade passível de notificação, o Fiscal do Contrato relatará a ocorrência, descrevendo o tipo, o nível, o valor da pontuação, o dia e a hora da ocorrência e demais dados julgados relevantes para o perfeito entendimento e avaliação da irregularidade.

8.2.6. A notificação de irregularidade deve ser encaminhada ao preposto da CONTRATADA ou a outro representante designado pelo mesmo, o qual deverá manifestar o seu recebimento.

8.2.7. A CONTRATANTE considerará entregue a notificação que, voluntariamente, não for confirmado o recebimento pela CONTRATADA em até 3 (três) dias úteis da data da notificação.

8.2.8. Após o recebimento, o preposto da CONTRATADA deverá apresentar as devidas justificativas e tratativas para a(s) ocorrência(s) apontada(s), respeitando a tabela de prazos a seguir:

Tipo	Nível de Graduação	Prazo para a apresentação das justificativas e tratativas
01	Leve	48 horas corridos
02	Média	36 horas corridos
03	Grave	24 horas corridos

8.2.9. As notificações que não tiverem resposta da CONTRATADA dentro dos prazos estabelecidos no item 8.2.8 serão consideradas finalizadas.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

8.2.10. A CONTRATADA deverá informar ao Fiscal do Contrato a data de emissão da fatura relacionada ao Contrato.

8.2.11. Em até 03 (três) dias úteis anteriores à data de encaminhamento da fatura pela CONTRATADA, o Fiscal do Contrato deverá informar a CONTRATADA por escrito, através de e-mail ou Ofício, sobre o resultado da apuração dos serviços prestados em cada uma das fases e, quando couber, as glosas que porventura deverão ser aplicadas na fatura.

8.2.12. A CONTRATADA, de posse das informações repassadas pelo Fiscal do Contrato, emitirá fatura relativa aos serviços prestados, abatendo do valor devido pela CONTRATANTE os descontos relativos à aplicação do Acordo de Nível de Serviços.

8.2.13. O Fiscal do Contato, ao receber da CONTRATADA a fatura para ateste, somente o fará quando verificada a dedução dos descontos acima mencionados.

8.2.14. Verificada a regularidade da fatura, o Fiscal do Contrato juntará a esta as notificações produzidas no período, juntamente com os documentos especificados no item 19.7 deste Contrato, e os encaminhará para pagamento.

8.3. Do sistema de pontuação

8.3.1. O sistema de pontuação destina-se a definir os graus de pontuação para cada tipo de ocorrência.

8.3.2. As ocorrências são dispostas em 3 (três) níveis de graduação, atribuindo-se a cada nível uma sequência de pontuação determinada, conforme tabela abaixo.

Tipo de irregularidade	Peso	Pontuação da irregularidade/ocorrência
Tipo 01 (Leve)	1	1ª	2ª	3ª	4ª	5ª	6ª
Tipo 01 (Leve)	1	Emissão de Notificação	0,60	0,70	0,80	0,90	1,00
Tipo 02 (Média)	1	Emissão de Notificação	1,30	1,40	1,50	1,60	1,70
Tipo 03 (Grave)	1	2,00	2,10	2,20	2,30	2,40	2,50
Quando o número de ocorrências para o mesmo Tipo ultrapassar o número de 6 (seis) será atribuída a este a classificação para o Tipo imediatamente superior. Em já sendo a ocorrência do Tipo 03, deverá ser iniciada pela CONTRATANTE a avaliação da suspensão do pagamento à CONTRATADA até que todas as irregularidades sejam sanadas.

8.4. Da faixa de ajuste no pagamento

8.4.1. A faixa de ajuste no pagamento será definida pela Nota Geral da Avaliação de Desempenho dos Serviços - NGADS, cuja fórmula segue abaixo:

NGADS = 100 - ∑ 𝑝𝑜𝑛𝑡𝑜𝑠, sendo pontos = Peso x Pontuação da irregularidade/ocorrência

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

8.4.2. Onde ∑ 𝑝𝑜𝑛𝑡𝑜𝑠 é a soma dos pontos anotados, relativos às irregularidades registradas nos Termos de Notificação e informadas à CONTRATADA.

8.4.3. O preço pactuado para o atendimento ao objeto do Contrato refere-se ao Desempenho Técnico correspondente à NGADTS igual ou superior a 98, após a avaliação. Caso o nível de desempenho técnico não seja atingido, será aplicada a seguinte tabela de compensação:

Pontuação	Considerações/Ajustes no pagamento
NGADTS entre 98 a 100	Serviço Adequado
NGADTS entre 95 e 97	Desconto de 2% sobre o valor total da fatura
NGADTS entre 90 e 94	Desconto de 4% sobre o valor total da fatura
NGADTS entre 80 e 89	Desconto de 6% sobre o valor total da fatura
NGADTS inferior a 80	Desconto de 10% sobre o valor total da fatura e avaliação quanto à rescisão contratual

8.5. Indicadores de Nível de Serviço

8.5.1. A CONTRATADA deve garantir que todos os serviços e entregáveis referentes ao cumprimento das cláusulas contratuais sejam prestados dentro dos prazos acordados.

8.5.2. A qualidade e a eficácia dos serviços prestados serão medidas pelos indicadores descritos nas tabelas abaixo.

Indicador 01	Prazo para realizar as entregas da Fase 1
Tipo	Apresentação de documentação
Serviço	Fiscalização do Contrato
Definição	A CONTRATADA deve gerar e entregar a Ata de Xxxxxxx e o Plano de Ação como entregas da Fase 1 do Contrato.
Periodicidade da avaliação	Por ocorrência
Forma de avaliação	Cumprimento de prazo
Classificação do indicador	Tipo 01 (Leve)
Unidade de medida	Por ocorrência
Meta	Realizar as entregas da Fase 1 em até 10 (dez) dias úteis, contados a partir da data de assinatura do contrato.
Observação	A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda a vigência do Contrato, independentemente do momento em que ocorreu.
Considerações gerais	Se houver glosa no pagamento, esta será aplicada na fatura a ser paga após a execução de todos os serviços.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

Indicador 02	Prazo para realizar as entregas da Fase 2
Tipo	Apresentação de documentação
Serviço	Fiscalização do Contrato
Definição	A CONTRATADA deve gerar e entregar o Relatório da Análise de Vulnerabilidades, como entrega da Fase 2 do Contrato.
Periodicidade da avaliação	Por ocorrência
Forma de avaliação	Cumprimento de prazo
Classificação do indicador	Tipo 02 (Média)
Unidade de medida	Por ocorrência
Meta	Realizar a entrega da Fase 2 em até 10 (dez) dias úteis, contados a partir da data de início de execução da Fase 2.
Observação	A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda a vigência do Contrato, independentemente do momento em que ocorreu.
Considerações gerais	Se houver glosa no pagamento, esta será aplicada na fatura a ser paga após a execução de todos os serviços.

Indicador 03	Prazo para realizar as entregas da Fase 4
Tipo	Apresentação de documentação
Serviço	Fiscalização do Contrato
Definição	A CONTRATADA deve gerar e entregar o Relatório do Teste de Invasão (Pentest), como entrega da Fase 4 do Contrato.
Periodicidade da avaliação	Por ocorrência
Forma de avaliação	Cumprimento de prazo
Classificação do indicador	Tipo 03 (Grave)
Unidade de medida	Por ocorrência
Meta	Realizar a entrega da Fase 4 em até 10 (dez) dias úteis, contados a partir da data de início de execução da Fase 4.
Observação	A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda a vigência do Contrato, independentemente do momento em que ocorreu.
Considerações gerais	Se houver glosa no pagamento, esta será aplicada na fatura a ser paga após a execução de todos os serviços.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

Indicador 04	Prazo para realizar as entregas da Fase 5
Tipo	Apresentação de documentação
Serviço	Fiscalização do Contrato
Definição	A CONTRATADA deve gerar e entregar o Relatório Final consolidado, bem como realizar as apresentações dos resultados para a equipe técnica e para a diretoria executiva, como entregas da Fase 5 do Contrato.
Periodicidade da avaliação	Por ocorrência
Forma de avaliação	Cumprimento de prazo
Classificação do indicador	Tipo 03 (Grave)
Unidade de medida	Por ocorrência
Meta	Realizar as entregas da Fase 5 em até 5 (cinco) dias úteis, contados a partir da data de início de execução da Fase 5.
Observação	A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda a vigência do Contrato, independentemente do momento em que ocorreu.
Considerações gerais	Se houver glosa no pagamento, esta será aplicada na fatura a ser paga após a execução de todos os serviços.

Indicador 05	Prazo para concluir o serviço de correção ou garantia dos serviços
Tipo	Apresentação de documentação
Serviço	Fiscalização do Contrato
Definição	A CONTRATADA deve prestar o serviço de correção ou garantia para os serviços prestados no contrato.
Periodicidade da avaliação	Por ocorrência
Forma de avaliação	Cumprimento de prazo
Classificação do indicador	Tipo 03 (Grave)
Unidade de medida	Por ocorrência
Meta	Concluir o serviço de correção ou garantia dos serviços prestados no contrato em até 4 (quatro) horas após a notificação da CONTRATANTE ou detecção do incidente.
Observação	A pontuação por ocorrência será aplicada para as reincidências de descumprimento observadas durante toda

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

a vigência do Contrato, independentemente do momento

em que ocorreu.

Considerações gerais

Se houver glosa no pagamento, esta será aplicada na fatura

a ser paga após a execução de todos os serviços.

CLÁUSULA NONA – DAS OBRIGAÇÕES DA CONTRATANTE

9.1. Acompanhar e fiscalizar a execução do Contrato por intermédio de empregados especialmente designados.

9.2. Fornecer à CONTRATADA relação com nome dos fiscais do contrato designados pela CONTRATANTE.

9.3. Fornecer à CONTRATADA relação com nome dos empregados da Superintendência de Tecnologia – SUTEC, credenciados a acompanhar a prestação dos serviços contratados.

9.4. Permitir acesso dos profissionais da CONTRATADA, quando necessário, desde que devidamente identificados, aos locais da CONTRATANTE em que devam executar atividades relacionadas à prestação dos serviços contratados, sendo vedada, salvo se por autorização expressa da CONTRATANTE, o trânsito em áreas estranhas às suas atividades.

9.5. Prestar informações e esclarecimentos que venham a ser solicitados pelos empregados e/ou prepostos da CONTRATADA, necessários à execução do objeto descrito neste Contrato.

9.6. Efetuar o pagamento das faturas nos prazos e condições pactuados, quando estes estiverem de acordo com o exigido.

9.7. Impugnar o pagamento de valores relativos a eventuais divergências entre as faturas e os serviços entregues pela CONTRATADA.

9.8. Informar à CONTRATADA os atos que possam interferir direta ou indiretamente na execução dos serviços a serem prestados.

9.9. Comunicar formalmente qualquer anormalidade ocorrida na execução do Contrato.

9.10. Receber as entregas previstas neste Contrato nos prazos e condições estabelecidas.

9.11. Aprovar ou rejeitar, no todo ou em parte, os serviços entregues em desacordo com as obrigações assumidas pela CONTRATADA.

9.12. Xxxxxx pessoal técnico para prestar esclarecimentos sobre o ambiente tecnológico da CONTRATANTE, bem como esclarecimentos referentes aos serviços a serem executados pela CONTRATADA.

9.13. Não permitir que terceiros realizem os serviços especificados neste Contrato, durante a vigência do Contrato.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

9.14. Exigir a substituição de qualquer profissional, cujo comportamento ou capacidade sejam julgados impróprios ao desempenho dos serviços a serem executados.

9.15. Efetuar vistoria nos serviços realizados e aplicar as penalidades previstas no futuro Contrato, caso seja constatada a prática de serviços à margem do contrato.

9.16. Aplicar as sanções, conforme previsto neste Contrato e na legislação vigente.

9.17. Anotar em registro próprio e notificar à CONTRATADA, por escrito, a ocorrência de eventuais imperfeições no curso de execução dos serviços, fixando prazo para a sua correção.

9.18. Cada uma das partes concorda e garante que é individualmente responsável pelo cumprimento de suas obrigações decorrentes da LGPD e de eventuais regulamentações emitidas posteriormente pela ANPD.

9.19. A CONTRATANTE reconhece que, para a prestação do serviço contratado ou prestação de serviços correlatos, deverá prover à CONTRATADA acesso às informações, ao ambiente computacional e às dependências de suas instalações.

9.20. A CONTRATANTE garante que:

9.20.1. Os dados pessoais compartilhados, transferidos ou de qualquer forma disponibilizados para acesso e utilização pela CONTRATADA, de acordo com o contrato, foram coletados, transferidos e de qualquer forma tratados de acordo com as leis de privacidade e proteção de dados aplicáveis no Brasil.

9.20.2. É capaz de cumprir com os direitos dos titulares garantidos pela LGPD.

9.20.3. Cumpre com todos os princípios para tratamento de dados pessoais estabelecidos pela LGPD, o que significa que a CONTRATANTE apenas compartilha, transfere ou disponibiliza para acesso da CONTRATADA aos dados pessoais que são pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento.

9.20.4. Comunicará a ANPD conforme os requisitos da LGPD em caso de incidente.

CLÁUSULA DÉCIMA – DAS OBRIGAÇÕES DA CONTRATADA

10.1. Indicar um representante responsável pelo Contrato, que realizará seu acompanhamento, atuando como interlocutor principal perante a CONTRATANTE.

10.2. Disponibilizar à CONTRATANTE, obrigatoriamente, canal de comunicação através de telefone gratuito 0800 ou telefone com ligação de custo local de Brasília-DF, disponível no horário de funcionamento da CONTRATANTE, de 8 às 19hs, nos dias úteis.

10.3. Fornecer à CONTRATANTE relação com nome do responsável técnico e da equipe encarregada da prestação dos serviços, relacionando o nome, endereço, telefones, fax e endereço eletrônico (e-mail) pessoal corporativo e da empresa.

10.4. Comunicar ao fiscal de contrato da CONTRATANTE, por escrito, a existência de anormalidades, condições inadequadas de execução dos serviços ou a iminência de fatos que possam prejudicar a perfeita execução do Contrato.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

10.5. Proceder a todos os levantamentos que se fizerem necessários para o planejamento das atividades a serem executadas.

10.6. Xxxxxxx prontamente e prestar todos os esclarecimentos que forem solicitados pela CONTRATANTE.

10.7. Responsabilizar-se pelo comportamento dos seus empregados e por quaisquer danos que estes ou seus prepostos causarem à CONTRATANTE ou a terceiros, decorrentes de culpa ou dolo durante a execução dos serviços.

10.8. Ressarcir qualquer dano causado aos bens de propriedade da CONTRATANTE, desde que, comprovadamente, sejam ocasionados por empregados da CONTRATADA ou prepostos.

10.8.1. No caso de ressarcimento à CONTRATANTE, será indicada por esta uma conta bancária ou outro meio para que a CONTRATADA efetue o ressarcimento, quando for o caso.

10.9. Respeitar durante a execução dos serviços, todas as normas, políticas e legislação federais, estaduais e municipais pertinentes e vigentes.

10.10. Ser responsável pelos ônus decorrentes de todas as reclamações, ações judiciais ou extrajudiciais, por culpa ou dolo, que possam ser alegadas por terceiros contra a CONTRATANTE, decorrentes da prestação dos serviços objeto deste Contrato.

10.11. Arcar com todas as despesas, diretas ou indiretas, decorrentes do cumprimento das obrigações assumidas, inclusive daquelas com deslocamentos dos empregados da CONTRATADA, seja dentro ou fora do Distrito Federal.

10.12. Executar os serviços por intermédio de profissionais qualificados e certificados, com experiência e conhecimento compatíveis com os serviços destinados ao cumprimento do objeto, de acordo com o Termo de Referência.

10.13. Submeter à aprovação da CONTRATANTE as intervenções que possam causar impacto no ambiente tecnológico da CONTRATANTE.

10.14. A paralisação da prestação dos serviços durante a fase da execução equivale ao descumprimento total das obrigações assumidas na respectiva fase, ficando a CONTRATADA obrigada a finalizar as demandas pendentes e concluir os serviços previstos para a respectiva fase, podendo a CONTRATANTE aplicar as sanções previstas no Contrato e na legislação pertinente.

10.15. Executar os serviços de acordo com as políticas, normas e procedimentos de segurança existentes na CONTRATANTE, e manter a integridade do ambiente tecnológico da CONTRATANTE durante a vigência do Contrato.

10.16. Executar os serviços em conformidade com as melhores práticas e os procedimentos relacionados ao processo de hacker ético (ethical hacking).

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

10.17. Responsabilizar-se pelos recursos materiais e humanos necessários à execução dos serviços, devendo providenciar os meios adequados para execução dos serviços contratados.

10.18. Arcar com prejuízos causados à CONTRATANTE e/ou terceiros, provocados por ineficiência ou irregularidades cometidas por seus funcionários na execução dos serviços contratados.

10.19. Reparar, corrigir ou refazer, às suas expensas, no total ou em parte, os serviços prestados, objeto deste Contrato, em que se verifiquem vícios ou incorreções resultantes da execução.

10.20. Respeitar as normas e procedimentos de controle e acesso às dependências da CONTRATANTE, devendo os técnicos apresentar-se identificados por crachá ou devidamente uniformizados.

10.21. Adotar as providências necessárias para que seus funcionários e/ou prepostos observem a Política de Segurança da Informação, o Código de Ética, Integridade e Conduta (xxxxx://xxx.xxxxx.xxx.xx/Xxxx/Xxxx/0x000000-0000-00x0-xx00- dd23adaf46db), as normas e os procedimentos adotados pela CONTRATANTE.

10.22. Manter sigilo, garantir a integridade e a disponibilidade dos documentos e informações que, em decorrência do Contrato, estiverem sob a sua guarda, sob pena de responder por perdas e/ou danos causados à CONTRATANTE e a terceiros.

10.23. Para a perfeita execução dos serviços, a CONTRATADA deve cumprir os prazos estabelecidos em cada uma das fases e demais avenças pactuadas no Contrato a ser assinado, conforme as responsabilidades legais vigentes.

10.24. Arcar com todos os encargos sociais trabalhistas, tributos de qualquer espécie que venham a ser devidos em decorrência da execução do Contrato, bem como custos relativos ao deslocamento e estada de seus profissionais, caso exista.

10.25. Manter profissionais necessários para execução das atividades, com vista ao cumprimento dos prazos, níveis de serviço e em atendimento aos requisitos estabelecidos.

10.26. Substituir, sempre que exigido pelo Fiscal de Contrato da CONTRATANTE, o representante ou profissional cuja qualificação, atuação, permanência ou comportamento forem julgados prejudiciais, inconvenientes ou insatisfatórios à disciplina da CONTRATANTE ou ao interesse do serviço público.

10.27. Responsabilizar-se por quaisquer acidentes de trabalho sofridos pelos seus empregados quando em serviço.

10.28. Observar rigorosamente as normas regulamentadoras de segurança do trabalho.

10.29. Cumprir todas as obrigações constantes neste Contrato e sua proposta comercial, assumindo como exclusivamente seus os riscos e as despesas decorrentes da boa e perfeita execução do objeto.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

10.30. Realizar os serviços em perfeitas condições, conforme especificações, prazos e local constantes no Contrato.

10.31. Prestar todos os esclarecimentos necessários à CONTRATANTE oriundos da execução dos serviços contratados e sujeitar-se às orientações do Fiscal do Contrato.

10.32. Corrigir quaisquer danos causados ao ambiente tecnológico, serviços de TI, redes de dados e servidores da CONTRATANTE, que sejam decorrentes dos serviços prestados, no prazo de até 4 (quatro) horas após o acionamento da CONTRATADA ou detecção do incidente.

10.33. Relatar à CONTRATANTE, no prazo máximo de 24 (vinte e quatro) horas, irregularidades ocorridas que impeçam, alterem ou retardem a execução do contrato/objeto, efetuando o registro da ocorrência com todos os dados e circunstâncias necessárias a seu esclarecimento, sem prejuízo da análise da administração e das sanções previstas.

10.34. Manter, durante toda a execução do Contrato, em compatibilidade com as obrigações assumidas, todas as condições de habilitação e qualificação exigidas no processo licitatório.

10.35. Atender aos requisitos de sustentabilidade sócio ambiental, previstos nas legislações vigentes.

10.36. É vedado à CONTRATADA utilizar o nome da CONTRATANTE, ou sua qualidade de CONTRATADA, em quaisquer atividades de divulgação empresarial, como, por exemplo, em cartões de visita, anúncios e impressos.

10.37. É vedado à CONTRATADA reproduzir, divulgar ou utilizar, em benefício próprio ou de terceiros, quaisquer informações de que tenha tomado ciência em razão da execução dos serviços sem o consentimento prévio e por escrito da CONTRATANTE.

10.38. Executar os serviços em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei nº 13.709, de 14 de agosto de 2018.

10.39. Cada uma das partes concorda e garante que é individualmente responsável pelo cumprimento de suas obrigações decorrentes da LGPD e de eventuais regulamentações emitidas posteriormente pela ANPD.

10.40. A contar da data do efetivo conhecimento e/ou recebimento da informação disponibilizada pela CONTRATANTE, a CONTRATADA obriga-se:

10.40.1. Por si, por seus colaboradores e quaisquer outros que venham a obter informações em função do contrato estabelecido, manter o sigilo absoluto das informações, não devendo, de qualquer forma, utilizá-las para fim diverso daquele pelo qual lhe foram disponibilizadas;

10.40.2. A instruir devidamente os seus colaboradores quanto às melhores práticas aplicáveis em segurança da informação, bem como treinamento quanto às condutas a serem adotadas para a manutenção do sigilo da informação;

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

10.40.3. A não transportar informações para fora da CONTRATANTE sem ser expressamente autorizado por esta, ou quando permitido por força de contrato;

10.40.4. A não reproduzir, sem anuência da CONTRATANTE, parte ou a totalidade da informação classificada, exceto quando autorizado formalmente ou quando for necessário para o desenvolvimento de suas atribuições na CONTRATANTE;

10.40.5. A devolver, assim que solicitado pela CONTRATANTE ou quando concluído o prazo do contrato firmado, qualquer documento que contenha informação classificada que esteja sob a sua tutela, inclusive notas pessoais envolvendo informação classificada pela empresa, registros e documentos de qualquer natureza que tenham sido utilizados, criados ou estado sob seu controle.

10.41. A CONTRATADA garante que:

10.41.1. Realiza tratamento dos dados pessoais nos limites e para as finalidades permitidas pelo contrato;

10.41.2. Notifica a CONTRATANTE, no prazo máximo de 48 (quarenta e oito) horas, por escrito, sobre:

10.41.2.1. Quaisquer pedidos de um titular em relação aos seus dados pessoais, incluindo, mas não se limitando a pedidos de acesso e/ou retificação, solicitações de exclusão, e outros pedidos semelhantes, sendo que a CONTRATADA não responderá a tais pedidos, a menos que expressamente autorizado pela CONTRATANTE.

10.41.2.2. Qualquer reclamação relacionada ao tratamento de dados pessoais, incluindo alegações de que o tratamento viola os direitos de titular.

10.41.2.3. Qualquer Incidente relacionado aos dados pessoais tratados em decorrência do contrato.

10.41.2.4. Qualquer ordem, emitida por autoridade judicial ou administrativa (incluindo a ANPD), que tenha por objetivo obter quaisquer informações relativas ao tratamento de dados pessoais em decorrência do contrato.

10.41.3. Xxxxxxx com a CONTRATANTE com relação às ações tomadas a partir da notificação descrita no item 10.41.2, e atende, dentro dos limites técnicos razoáveis, às solicitações da CONTRATANTE com relação ao atendimento a referidas reinvindicações, fornecendo as informações solicitadas no menor prazo possível.

10.41.4. Mantém os dados pessoais no mais absoluto sigilo e exige dos seus colaboradores que tratem os dados pessoais com observância dessas obrigações.

10.41.5. Limita o acesso aos dados pessoais ao número mínimo de colaboradores que tenham necessidade de acessar referidas informações para fins de cumprir com suas obrigações junto à CONTRATANTE.

10.41.6. Compromete-se com a segurança dos dados, incluindo medidas técnicas e de governança, que tenham por objetivo proteger os dados pessoais contra incidentes, bem como garantir que essas medidas assegurem um nível de segurança condizente com os

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

riscos apresentados pelo tratamento, a natureza dos dados pessoais e as tecnologias de segurança disponíveis e razoavelmente aplicadas no setor de atuação das partes.

10.41.7. Xxxxxxx com a CONTRATANTE em caso de qualquer incidente, devendo:

10.41.8. Adotar todas as medidas necessárias a fim de mitigar qualquer incidente envolvendo os dados pessoais e minimizar possíveis efeitos negativos aos titulares.

10.41.9. Prover a CONTRATANTE com todas as informações necessárias à apuração do ocorrido.

10.41.10. Abster-se de realizar qualquer comunicação a ANPD, autoridades públicas brasileiras, aos titulares ou terceiros, sem a prévia e expressa concordância da CONTRATANTE, que deve controlar a redação final dessas comunicações e quem deve realizá-las, observadas as disposições da LGPD.

10.41.11. Compromete-se a cumprir com os requisitos da LGPD sempre que for realizar a transferência de dados pessoais para o exterior e/ou para qualquer terceiro.

10.41.12. Mediante solicitação da CONTRATANTE, se compromete a conceder acesso a documentos e registros necessários para fins de verificação das obrigações previstas no contrato.

CLÁUSULA DÉCIMA PRIMEIRA - DO CONTROLE E FISCALIZAÇÃO DA EXECUÇÃO

11.1. O acompanhamento e a fiscalização da execução do contrato consistem na verificação da conformidade da prestação dos serviços, da alocação dos recursos necessários e dos produtos entregues em conformidade com o esperado e dentro do estabelecido neste Contrato.

11.2. A EMGEA reserva-se o direito de acompanhar e fiscalizar a conformidade da prestação dos serviços e da alocação dos recursos necessários de forma a assegurar o perfeito cumprimento do contrato, por meio de representante designado para esse fim, com fundamento na forma do artigo 40, inciso VII da Lei nº 13.303/2016, e no Normativo da EMGEA, LG.NOR.008.

11.3. A fiscalização de que trata o subitem 11.1. não exclui nem reduz a responsabilidade da CONTRATADA pelos danos causados diretamente à CONTRATANTE ou a terceiros, decorrentes de sua culpa ou dolo na execução do futuro contrato, em conformidade com o art. 76 da Lei nº 13.303, de 2016.

11.4. A fiscalização do presente instrumento será exercida por representantes da CONTRATANTE, ao qual competirá dirimir as dúvidas que surgirem no curso da prestação dos serviços e dar ciência à Administração.

11.5. O representante da EMGEA será designado por seus critérios técnicos para o acompanhamento e controle da execução dos serviços e do contrato.

11.6. A verificação da adequação da prestação do serviço deverá ser realizada com base nos critérios previstos neste Contrato, anexos e termos integrantes.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

11.7. A fiscalização será realizada por representantes da área de tecnologia da CONTRATANTE, cujas responsabilidades comuns estão descritas a seguir:

11.7.1. Acompanhar as atividades desempenhadas pelos técnicos e representantes da CONTRATADA durante a prestação dos serviços, bem como, avaliar e assinar os documentos, cujas atividades estejam relacionadas aos serviços objeto desta contratação;

11.7.2. Atestar a nota fiscal faturável, de acordo com a respectiva demanda, verificando os indicadores de glosa.

11.8. A apuração dos níveis de serviço não considerará os períodos de indisponibilidades justificadas, que podem decorrer de:

11.8.1. Períodos de interrupção previamente acordados;

11.8.2. Interrupção de serviços públicos essenciais à plena execução das atividades (exemplo: suprimento de energia);

11.8.3. Motivos de força maior.

CLÁUSULA DÉCIMA SEGUNDA – DAS SANÇÕES ADMINISTRATIVAS

12.1. A inexecução total ou parcial dos serviços, assim como a execução irregular, ou com atraso injustificado, com fundamento no artigo 83 da Lei nº 13.303, de 30 de junho de 2016, sujeitará a CONTRATADA, sem prejuízo das responsabilidades civil e criminal e assegurada à prévia e ampla defesa, à aplicação das seguintes sanções:

12.1.1. Advertência;

12.1.2. Multa;

12.1.3. Suspensão temporária de participação em licitação e impedimento de contratar com a CONTRATANTE, por prazo não superior a 2 (dois) anos; e

12.2. Na aplicação das multas serão observados os seguintes percentuais:

12.2.1. 0,5% (cinco décimos por cento) ao dia sobre o valor total do contrato em caso de atraso injustificado no início da execução dos serviços, para cada uma das fases estabelecidas no cronograma.

12.2.1.1. Após o 15º (décimo quinto) dia e a critério da CONTRATANTE, no caso de execução com atraso, poderá ocorrer a não aceitação do objeto, de forma a configurar, nessa hipótese, inexecução total da obrigação assumida, sem prejuízo da rescisão unilateral da avença.

12.2.2. 10% (dez por cento) sobre o valor total do contrato, em caso de inexecução total das obrigações assumidas em qualquer das fases de execução do contrato.

12.2.3. 15% (quinze por cento) sobre o valor total do contrato, em caso de inexecução dos serviços de correção ou garantia previstos no contrato.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

12.2.4. Além das multas especificadas no item anterior, serão aplicadas multas, conforme as infrações cometidas e o grau respectivo, indicados nos quadros 1 e 2 abaixo, limitadas a 30% (trinta por cento) do valor mensal do Contrato:

QUADRO 1: Percentual de multas de acordo com as infrações cometidas.

GRAU	CORRESPONDÊNCIA
1	0,2% do valor mensal do Contrato
2	0,4% do valor mensal do Contrato
3	0,8% do valor mensal do Contrato
4	1% do valor mensal do Contrato
5	1,5% do valor mensal do Contrato
6	3% do valor mensal do Contrato

QUADRO 2: Infração e grau correspondente.

ITEM	DESCRIÇÃO	GRAU	INCIDÊNCIA
1	Permitir situação que crie a possibilidade de causar dano físico, lesão corporal ou consequências letais.	6	Por ocorrência
2	Suspender ou interromper, total ou parcialmente, salvo motivo de força maior ou caso fortuito, os serviços contratuais.	6	Por dia
3	Manter funcionário sem qualificação para executar os serviços contratados.	4	Por ocorrência
4	Acumular 2 (duas) advertências em um período de 6 (seis) meses.	2	Por ocorrência
5	Na hipótese de rescisão contratual por inexecução total ou parcial do Contrato.	5	-
6	Não apresentar relatórios ou documentação exigida da empresa ou dos profissionais prevista no Edital.	2	Por ocorrência

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

7	Deixar de prestar quaisquer informações solicitadas no prazo estipulado.	1	Por ocorrência
8	Manter a documentação de habilitação atualizada.	1	Por item e por ocorrência
9	Deixar de cumprir as cláusulas estabelecidas no Contrato e seus anexos não previstos nesta tabela de multas.	2	Por item e por ocorrência
10	Deixar de cumprir as cláusulas estabelecidas no Contrato e seus anexos não previstos nesta tabela de multas após reincidência formalmente notificada pela fiscalização.	3	Por item e por ocorrência

12.3. As sanções são autônomas e a aplicação de uma não exclui a outra.

12.4. Caso a CONTRATADA não possa cumprir os prazos estipulados para a prestação total ou parcial do(s) serviço(s), deverá apresentar justificativa por escrito, devidamente comprovada, nos casos de ocorrência de fato superveniente, excepcional ou imprevisível, estranho à vontade das partes, que altere fundamentalmente as condições do Contrato.

12.5. Nos casos mencionados no item acima a CONTRATANTE oficiará à CONTRATADA, comunicando-lhe a data-limite para a regularização da prestação dos serviços, sob pena da aplicação das sanções cabíveis.

12.6. A aplicação das multas não impede que a CONTRATANTE rescinda unilateralmente o Contrato.

12.7. Aplica-se à CONTRATADA as sanções dispostas no artigo 6º, da Lei nº 12.846, de 1º de agosto de 2013, no caso de cometer as seguintes condutas:

12.7.1. Fraudar o Contrato;

12.7.2. Obter vantagem ou benefício indevido, de modo fraudulento, de modificações ou prorrogações do Contrato, sem autorização em Lei; e

12.7.3. Manipular ou fraudar o equilíbrio econômico-financeiro do Contrato.

12.7.4. As sanções deverão ser aplicadas de forma gradativa, obedecidos aos princípios da razoabilidade e da proporcionalidade.

CLÁUSULA DÉCIMA TERCEIRA – DO SIGILO DAS INFORMAÇÕES

13.1. A CONTRATADA deverá manter sigilo, sob pena de responsabilidade civil, penal e administrativa, sobre todo e qualquer assunto de interesse da CONTRATANTE, ou de terceiros de que tomar conhecimento em razão da execução dos serviços, respeitando

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

todos os critérios estabelecidos, aplicáveis aos dados, informações, regras de negócios, documentos, entre outros pertinentes.

13.2. A CONTRATADA deverá manter sigilo absoluto sobre quaisquer dados, informações, configurações, contidos em quaisquer documentos e mídias, incluindo meios de armazenamento, de que venha a ter conhecimento durante a execução dos serviços, não podendo, sob qualquer pretexto divulgar, reproduzir ou utilizar, sob pena de lei, independentemente da classificação de sigilo conferida pela CONTRATANTE a tais documentos.

13.3. A CONTRATADA deverá tratar todas as informações a que tenha acesso, em caráter de estrita confidencialidade, não podendo, sob qualquer pretexto, divulgar, revelar, reproduzir, ou deles dar conhecimento a terceiros, estranhos a esta contratação, bem como utilizá-las para fins diferentes dos previstos na presente contratação.

13.4. Toda informação confidencial disponível em razão desta contratação, seja ela armazenada em meio físico, magnético ou eletrônico, deverá ser devolvida nas seguintes hipóteses:

13.4.1. Término ou rompimento do Contrato;

13.4.2. Solicitação da CONTRATANTE.

CLÁUSULA DÉCIMA QUARTA – DO TRATAMENTO DE DADOS PESSOAIS (LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – LGPD)

14.1. DEFINIÇÕES:

14.1.1. Para efeito do contrato, são consideradas as seguintes definições:

14.1.1.1. “ANPD” - Autoridade Nacional de Proteção de Dados - responsável por zelar, implementar e fiscalizar o cumprimento da LGPD e demais leis de proteção de dados no Brasil.

14.1.1.2. “Controlador” - pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao Tratamento de Xxxxx Xxxxxxxx.

14.1.1.3. “Operador” - pessoa física ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.

14.1.1.4. “Titular” - pessoa física a quem se refere os Dados Pessoais que são objeto de tratamento.

14.1.1.5. “Dados Pessoais” - dados ou informações relacionadas a uma pessoa física identificada ou identificável, assim como dados pessoais sensíveis, conforme definidos na LGPD.

14.1.1.6. “Tratamento” - operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

14.1.1.7. “Incidente” - acesso não autorizado e situação acidental ou ilícita de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

14.2. TRATAMENTO DE DADOS PESSOAIS:

14.2.1. As partes reconhecem que a CONTRATADA, na prestação de serviços do contrato, eventualmente pode realizar o tratamento de dados pessoais. Nessas atividades de tratamento, as partes reconhecem e acordam que a CONTRATANTE é o Controlador dos dados pessoais, enquanto a CONTRATADA é operadora dos dados pessoais.

14.2.2. A CONTRATADA trata os dados pessoais exclusivamente em nome e sob as instruções da CONTRATANTE, nos termos do contrato ou para cumprir com a legislação aplicável.

14.2.2.1. A CONTRATANTE garante que o tratamento dos dados pessoais pela CONTRATADA, uma vez que esteja em consonância com as suas instruções, não faz com que a CONTRATADA viole qualquer lei ou regulamento, especialmente a LGPD.

14.2.2.2. A CONTRATADA deve suspender imediatamente o tratamento dos dados pessoais e notificar imediatamente a CONTRATANTE, por escrito, se tomar conhecimento que qualquer instrução ou dado pessoal tratado viole a LGPD ou qualquer outra lei ou regulamento aplicável.

14.2.3. A CONTRATADA trata os dados pessoais necessários para a prestação dos serviços, nos termos do contrato.

14.3. RESPONSABILIDADES:

14.3.1. As partes concordam que o titular dos dados que sofra um dano decorrente do descumprimento das obrigações previstas no contrato pode ter o direito de receber uma indenização pelos danos sofridos.

14.3.2. A CONTRATADA será responsável perante a CONTRATANTE por quaisquer danos causados em decorrência de:

i. violação de suas obrigações no âmbito do contrato; ou

ii. violação de qualquer direito dos titulares de dados, devendo ressarcir a CONTRATANTE por todo e qualquer gasto, custo, despesas, honorários advocatícios, custas processuais e/ou indenização/multa paga em decorrência de tal violação.

14.3.3. Para fins do disposto nesta cláusula, caso a CONTRATANTE receba qualquer reinvindicação que deva ser indenizada pela CONTRATADA, deve notificar a CONTRATADA, no prazo máximo de 48 (quarenta e oito) horas, por escrito.

14.3.4. Fica certo e ajustado que nenhuma cláusula de limitação de responsabilidade que tenha sido pactuada entre as partes pode ser invocada, no sentido de limitar o dever de indenização previsto no contrato.

14.4. DILIGÊNCIA DE CONFORMIDADE:

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

14.4.1. A CONTRATADA se compromete a fornecer à CONTRATANTE todas as informações necessárias para demonstrar conformidade com o contrato.

14.4.2. A CONTRATADA permite que a CONTRATANTE realize diligências para verificar a conformidade com o contrato, mediante prévia notificação.

14.4.3. A CONTRATADA se compromete a tomar todas as medidas para garantir que quaisquer vulnerabilidades de sistema, processos, governança e outros apontados no relatório de diligência sejam tratados adequadamente.

14.5. PRAZO E RESCISÃO:

14.5.1. Após o término do contrato, a CONTRATANTE pode requerer cópia dos dados pessoais que estejam nos sistemas e em posse da CONTRATADA, pelo prazo de 30 (trinta) dias.

14.5.2. Após esse período, caso a CONTRATANTE não se manifeste, a CONTRATADA realizará a eliminação, em definitivo de seu sistema, de qualquer registro dos dados pessoais (seja em formato digital ou físico), exceto na medida em que o seu armazenamento pela CONTRATADA seja exigido pela legislação aplicável. Nos casos de dados pessoais arquivados em sistemas de backup que são mantidos de forma isolada e inalterável para garantia da segurança do sistema, a CONTRATADA excluirá os dados pessoais de acordo com as políticas de exclusão e gestão de backup.

14.5.3. Caso a CONTRATANTE requeira a cópia dos dados pessoais, no momento que a CONTRATADA concluir a disponibilização, a CONTRATANTE deve assinar um termo de aceite reconhecendo que a devolução ocorreu de acordo com o contrato e que a CONTRATADA não possui qualquer obrigação adicional.

14.6. DISPOSIÇÕES GERAIS:

14.6.1. As partes reconhecem que, na vigência e execução do contrato, existem determinadas responsabilidades da CONTRATADA que implicam no tratamento de dados pessoais, a fim de adequá-lo às disposições da Lei Geral de Proteção de Dados - LGPD e da Política de Segurança de Informação.

14.6.2. O contrato constitui o meio apropriado para regular o tratamento de dados pessoais e substitui todos previamente celebrados entre a CONTRATANTE e a CONTRATADA para esta finalidade, se houver.

14.6.3. Sem prejuízo do disposto, a CONTRATADA pode coletar, utilizar e compartilhar os dados pessoais objeto do contrato para propósitos legítimos como:

I. fornecer, desenvolver, aperfeiçoar e manter os serviços prestados;

II. investigar fraudes, atividades ilícitas, spam, uso ilegal dos serviços; e/ou

III. conforme determinado por lei ou regulação aplicável.

14.6.4. Nesses casos, a CONTRATADA é responsável pelo tratamento dos dados pessoais e os trata em conformidade com a Política de Privacidade e a Política de Segurança de Informação da CONTRATANTE e com a legislação aplicável.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

14.6.5. A violação de segredo da CONTRATANTE implicará a responsabilidade civil e criminal dos que estiverem envolvidos e, sendo o caso, o cancelamento do contrato de prestação de serviços celebrado entre as empresas.

14.6.6. As obrigações a que alude este instrumento perdurarão inclusive após a cessação de vínculo entre a CONTRATADA e a CONTRATANTE, e abrangem, além das informações de que a CONTRATADA venha a tomar conhecimento, aquelas que já possui na presente data.

CLÁUSULA DÉCIMA QUINTA – DA ALTERAÇÃO SUBJETIVA

15.1. É admissível a fusão, cisão ou incorporação da CONTRATADA com/em outra pessoa jurídica, desde que sejam observados pela nova pessoa jurídica:

15.1.1. Todos os requisitos de habilitação exigidos na licitação original;

15.1.2. Sejam mantidas as demais cláusulas e condições do Contrato;

15.1.3. Não haja prejuízo à execução do objeto pactuado; e

15.1.4. Haja a anuência expressa da Administração à continuidade do Contrato.

CLÁUSULA DÉCIMA SEXTA – DA SUBCONTRATAÇÃO

16.1. Não será admitida a subcontratação do objeto.

CLÁUSULA DÉCIMA SÉTIMA – DA VIGÊNCIA

17.1. O contrato terá vigência de 6 (seis) meses, contados a partir da data de sua assinatura, conforme art. 71 da Lei nº 13.303, de 30 de junho de 2016, podendo ser rescindido antes do término da vigência, em virtude da CONTRATANTE ter sido incluída no Programa Nacional de Desestatização – PND.

17.2. Não será admitida a possibilidade de prorrogação contratual.

CLÁUSULA DÉCIMA OITAVA – DA INEXECUÇÃO E DA RESCISÃO CONTRATUAL

18.1. A rescisão do contrato se dá:

I. De forma unilateral, assegurada a prévia defesa;

II. Por acordo entre as partes, reduzida a termo no processo, desde que haja conveniência para a CONTRATANTE e a CONTRATADA;

III. Por determinação judicial.

18.2. Constituem motivo para a rescisão unilateral do contrato:

I. O não cumprimento de cláusulas contratuais, especificações, projetos ou prazos;

II. A decretação de extinção, falência ou a instauração de insolvência civil;

III. O descumprimento do disposto no inciso XXXIII do artigo 7º da Constituição Federal, que proíbe o trabalho noturno, perigoso ou insalubre a menores de 18 (dezoito)

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

anos e qualquer trabalho a menores de 16 (dezesseis) anos, salvo na condição de aprendiz, a partir de 14 (quatorze) anos;

IV. A prática de atos lesivos à Administração Pública previstos na Lei 12.846/2013;

V. Inobservância da vedação ao nepotismo;

VI. Prática de atos que prejudiquem ou comprometam à imagem ou reputação da CONTRATANTE, direta ou indiretamente.

18.2.1. A rescisão decorrente dos motivos elencados nos incisos iii, iv, v e vi será efetivada após o regular processo administrativo.

18.2.2. Os efeitos da rescisão do Contrato serão operados a partir da comunicação escrita sobre o seu julgamento, ou, na impossibilidade de notificação do interessado, por meio de publicação oficial.

18.2.3. Havendo a rescisão do Contrato, cessarão todas as atividades da CONTRATADA, relativamente ao serviço contratado.

CLÁUSULA DÉCIMA NONA – DO PAGAMENTO

19.1. Os serviços serão medidos durante o seu período de execução conforme condições estabelecidas no Acordo de Nível de Serviço, no Contrato e seus anexos.

19.2. Após a conclusão dos serviços, o Fiscal do Contrato deverá apurar eventuais irregularidades observadas no Acordo de Nível de Serviço e/ou sanções administrativas previstas neste Contrato e na legislação vigente.

19.2.1. O resultado da apuração será comunicado à CONTRATADA em até 2 (dois) dias úteis após a data de conclusão dos serviços, para fins de emissão da Nota Fiscal relacionada à sua prestação.

19.2.2. Caso não permaneçam irregularidades, o Fiscal do Contrato emitirá Termo de Aceite dos serviços prestados.

19.2.3. Caso contrário, eventuais irregularidades deverão ser sanadas. Neste caso, o ambiente de tecnologia da CONTRATANTE deverá estar totalmente operacional após a conclusão dos serviços para o Termo de Aceite seja emitido pelo Fiscal do Contrato.

19.3. O pagamento dos serviços será realizado após a emissão do Termo de Aceite, mediante apresentação da Nota Fiscal/Fatura correspondente, devidamente atestada pelo Fiscal do Contrato.

19.4. O prazo de pagamento padrão é de 8 (oito) dias úteis, a contar do ateste da Nota Fiscal pelo Fiscal do Contrato.

19.4.1. A CONTRATADA deverá discriminar na nota fiscal/fatura todas as entregas que foram realizadas.

19.4.2. O documento de cobrança não aprovado pelo CONTRATANTE será devolvido à CONTRATADA, acompanhado das informações que motivaram sua rejeição. A

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

devolução do documento de cobrança em hipótese alguma poderá ser pretexto para que a CONTRATADA suspenda a execução dos serviços objeto da licitação, não respondendo a CONTRATANTE por quaisquer encargos resultantes de atrasos na liquidação dos pagamentos correspondentes.

19.4.3. A CONTRATADA deverá encaminhar novo documento de cobrança em até 7 (sete) dias úteis após a entrega dos serviços correspondentes a cada fase.

19.5. Após o recebimento de todos os entregáveis do projeto a CONTRATANTE emitirá o Termo de Aceite, cuja data de assinatura contará para contagem do prazo de garantia dos serviços executados.

19.6. Os pagamentos serão creditados em favor da CONTRATADA, através de ordem bancária contra qualquer entidade bancária indicada na Nota Fiscal/Fatura, devendo para isto, ficar explicitado o nome do banco, agência, localidade e número da conta corrente em que deverá ser efetivado o crédito.

19.7. A Nota Fiscal deverá ser obrigatoriamente acompanhada dos seguintes documentos, referentes ao período de prestação dos serviços:

19.7.1. Documentos referentes às entregas realizadas pela CONTRATADA; e

19.7.2. Apuração dos níveis de serviço previstos no Acordo de Nível de Serviço (ANS).

19.8. No caso de fatura emitida com erro, esta será devolvida à CONTRATADA para as necessárias correções, com as informações que motivaram sua rejeição, contando-se o prazo para pagamento da data de sua reapresentação.

19.9. Nenhum pagamento será realizado pela CONTRATANTE sem que antes seja procedida prévia e necessária consulta ao Sistema de Cadastro de Fornecedores – SICAF, para comprovação de regularidade fiscal da CONTRATADA.

19.10. Constatada a situação de irregularidade da CONTRATADA junto ao SICAF, a CONTRATANTE deverá advertir, por escrito, a CONTRATADA para que no prazo de 5 (cinco) dias úteis, regularize sua situação ou, no mesmo prazo, apresente sua defesa. (Instrução Normativa nº 3, de 26 de abril de 2018 e suas alterações).

19.10.1. O prazo disposto no subitem anterior poderá ser prorrogado uma vez, por igual período, a critério da CONTRATANTE.

19.11. Na contagem dos prazos estabelecidos neste Contrato para efeito de pagamento excluir-se-á o dia do início e incluir-se-á o dia do vencimento, só se iniciando e se vencendo os prazos em dia de expediente na CONTRATANTE e considerar-se-ão os dias consecutivos, exceto quando for explicitamente disposto em contrário.

19.12. A CONTRATANTE reserva-se ao direito de suspender o pagamento se os serviços prestados estiverem em desacordo com as especificações constantes neste Contrato.

19.13. Caso a CONTRATADA seja optante pelo Sistema Integrado de Pagamento de Impostos e Contribuições das Microempresas e Empresas de Pequeno Porte – SIMPLES

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

NACIONAL, deverá apresentar junto com a Nota Fiscal a devida declaração, de acordo com a SRF nº 1.540, de 05 de janeiro de 2015, publicada no Diário Oficial de 06, de janeiro de 2015, a fim de evitar a retenção na fonte dos tributos e contribuições, conforme legislação em vigor.

CLÁUSULA VIGÉSIMA – DO VALOR DO CONTRATO

20.1. O valor do presente Termo de Contrato é de R$ 32.807,00 (trinta e dois mil, oitocentos e sete reais), inclusos todos os impostos, encargos, taxas, seguros e demais despesas necessárias à prestação de serviços.

CLÁUSULA VIGÉSIMA PRIMEIRA – DA DOTAÇÃO ORÇAMENTÁRIA

21.1. Os recursos orçamentários estão previstos no Programa de Dispêndios Globais – PDG da CONTRATANTE para 2022, aprovado pelo Decreto nº 10.892, de 13.12.2021, e estão distribuídos da seguinte forma:

Conta Contábil

Rubrica Orçamentária

Item Orçamentário

452.06.06 – Despesas Serv. Terc. Equipamento

2.205.010.000 –

Tecnologia da informação

1080 – Manutenção de Equipamentos e Sistemas TI

CLÁUSULA VIGÉSIMA SEGUNDA – DOS CASOS OMISSOS

22.1. Os casos omissos ou situações não explicitadas nas cláusulas deste Contrato serão decididos pela CONTRATANTE, segundo as disposições contidas na Lei nº 13.303, de 30 de junho de 2016, demais regulamentos e normas administrativas federais, que fazem parte integrante deste Contrato, independentemente de suas transcrições.

CLÁUSULA VIGÉSIMA TERCEIRA – DAS VEDAÇÕES

23.1. Caucionar ou utilizar este Termo de Contrato para qualquer operação financeira;

23.2. Interromper a execução contratual sob alegação de inadimplemento por parte da CONTRATANTE, salvo nos casos previstos em lei.

CLÁUSULA VIGÉSIMA QUARTA – DA MATRIZ DE RISCO

24.1. Tendo como premissa a obtenção do melhor custo contratual, mediante a alocação de riscos à parte com maior capacidade para geri-los e absorvê-los, a CONTRATANTE e a CONTRATADA identificam os riscos decorrentes desta relação e, sem prejuízo de outras previsões contratuais, estabelecem os respectivos responsáveis na Matriz constante do Anexo II deste Contrato.

CLÁUSULA VIGÉSIMA QUINTA – DA PUBLICAÇÃO

25.1. Incumbirá à CONTRATANTE a publicação do extrato deste Contrato no Diário Oficial, conforme dispõe o §2º, do artigo 51, da Lei nº 13.303, de 30 de junho de 2016.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

CLÁUSULA VIGÉSIMA SEXTA – DO FORO

26.1. Fica eleito o Foro da Justiça Federal, Seção Judiciária do Distrito Federal, com exclusão de qualquer outro, por mais privilegiado que seja, para dirimir quaisquer questões oriundas deste Contrato.

E assim, por estarem de acordo, ajustados e contratados, após lido e achado conforme, as partes a seguir firmam o presente Contrato na presença de 2 (duas) testemunhas abaixo assinadas.

Brasília, na data de sua assinatura eletrônica.

XXXXXXX XXXXXXX XXXXXXX

CONTRATANTE

XXXXX XXXXXXX XXXXXXXXX XXXXXX

CONTRATANTE

Testemunhas:

XXXXXX XXXXX XXXXX

CONTRATADA

Nome: CPF:

Nome:

CPF:

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

ANEXO I DO CONTRATO Nº 00009/2022 ESPECIFICAÇÃO DOS SERVIÇOS TÉCNICOS

Item

Objeto

Unidade de Medida

Qtd.

Contratação de empresa especializada na prestação de serviços técnicos em segurança da informação, compreendendo os serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de tecnologia da informação da Empresa Gestora de Ativos S.A. - EMGEA, emissão de relatórios e apresentação dos resultados, conforme condições, quantidades e exigências estabelecidas neste Contrato e

seus anexos.

Serviço

1. DAS FASES DE EXECUÇÃO DO OBJETO

1.1. A execução do objeto deverá obedecer às seguintes fases:

FASE	DESCRIÇÃO DOS SERVIÇOS
Fase 1	PREPARAÇÃO PARA EXECUÇÃO DOS SERVIÇOS
Fase 2	EXECUÇÃO DO SERVIÇO DE ANÁLISE DE VULNERABILIDADES
Fase 3	EXECUÇÃO DAS AÇÕES DE CORREÇÃO DE VULNERABILIDADES E MITIGAÇÃO DE RISCOS
Fase 4	EXECUÇÃO DO SERVIÇO DE TESTE DE INVASÃO (PENTEST)
Fase 5	APRESENTAÇÃO DOS RESULTADOS

2. FASE 1 – PREPARAÇÃO PARA EXECUÇÃO DOS SERVIÇOS

2.1. Características Gerais

2.1.1. A Fase 1 do projeto será iniciada mediante a realização de uma reunião de kick off entre a EMGEA e a CONTRATADA, em até 5 (cinco) dias úteis após a data de assinatura do Contrato, com no mínimo as seguintes pautas:

2.1.1.1. Apresentação do Fiscal do Contrato pela EMGEA e do preposto da CONTRATADA;

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

2.1.1.2. Apresentação e nomeação dos membros de ambas as equipes que participarão das atividades;

2.1.1.3. Apresentação e ajustes no escopo de atuação;

2.1.1.4. Definição dos papéis de cada um dos participantes;

2.1.1.5. Definição do Plano de Comunicação para as partes envolvidas, bem como para os fornecedores que possuem contratos de prestação de serviço de suporte técnico e manutenção em ativos e serviços de TI com a EMGEA;

2.1.1.6. Definição do cronograma detalhado de execução das atividades;

2.1.1.7. Planejamento, levantamento de requisitos e orquestração das atividades das Fases 1, 2, 4 e 5;

2.1.1.8. Definição da data de apresentação do Plano de Ação elaborado pela CONTRATADA para a Fase 1;

2.1.1.9. Definição do modelo de divulgação dos resultados para a Fase 5.

2.1.2. O preposto da CONTRATADA será responsável pela supervisão permanente dos serviços prestados, e atuar como interlocutor principal junto a EMGEA durante todo o período de vigência do contrato, para tratar de todos os assuntos relacionados aos serviços, sem ônus adicional para a EMGEA, além de indicar um substituto em caso de impedimento deste.

2.1.3. A CONTRATADA deve, em conjunto com a EMGEA, alinhar as atividades a serem executadas em todo o projeto e planejar os devidos cronogramas de execução e prazos de entrega de acordo com o Item 0 do Termo de Referência, referente ao objeto desta contratação.

2.1.4. A CONTRATADA deve, após compreender as necessidades da EMGEA e dirimir as dúvidas pertinentes a execução desse Contrato, propor Plano de Ação e cronograma detalhado para execução da análise de vulnerabilidades e teste de invasão (pentest) da infraestrutura de rede, bancos de dados, aplicações web e serviços de TI, assim como os seus respectivos prazos de realização e entrega para avaliação da EMGEA.

2.1.5. O Plano de Ação das atividades, em conformidade com este Contrato, deve contemplar a delimitação das atividades a serem realizadas em cada fase, a data de entrega, a identificação dos responsáveis para realizar a homologação dos produtos a serem entregues, a descrição detalhada das entregas de cada fase, com a estimativa de duração de cada fase e apontar possíveis riscos que podem atrasar os serviços a serem realizados.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

2.1.6. A CONTRATADA deverá apresentar todos os artefatos, documentação, relatórios, manuais, pareceres técnicos, atas de reunião e todos os insumos que comprovem a realização dos trabalhos realizados nesta fase.

2.1.7. Após a conclusão das atividades previstas nesta fase, a CONTRATADA disponibilizará Termo de Aceite para a EMGEA validar se os trabalhos realizados atendem as necessidades registradas nesta fase.

2.1.8. O Termo de Aceite deve ter como anexos os documentos comprobatórios das entregas previstas e o detalhamento das atividades que foram desenvolvidas nesta fase.

2.2. Escopo previsto

2.2.1. O escopo dos serviços de análise de vulnerabilidades e teste de invasão

(pentest) abrangem aproximadamente os seguintes ativos e serviços:

2.2.1.1. Ambiente Externo

2.2.1.1.1. 2 (dois) firewalls com VPN;

2.2.1.1.2. 1 (um) serviço de antispam;

2.2.1.1.3. 1 (um) serviço de FTP;

2.2.1.1.4. 2 (dois) links de Internet;

2.2.1.1.5. 4 (quatro) páginas web;

2.2.1.1.6. 1 (uma) página web/serviços de empresas terceiras;

2.2.1.1.7. 21 (vinte e um) servidores físicos/virtuais.

2.3. Entregas da Fase 1

Item

Detalhamento do Item

Ata da reunião de kick-off.

Plano de Ação (escopo e atividades de cada uma das fases, cronograma, equipes, recursos necessários, etc).

2.3.1. A CONTRATADA deverá realizar as entregas da Fase 1 em até 5 (cinco) dias úteis após a data da reunião de kick-off.

3. FASE 2 – EXECUÇÃO DO SERVIÇO DE ANÁLISE DE VULNERABILIDADES

3.1. A prestação dos serviços referentes à Fase 2 terá como escopo o ambiente externo de tecnologia da informação da EMGEA, podendo ocorrer de forma presencial ou remota.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

3.2. O serviço de análise de vulnerabilidades poderá ser executado presencialmente, dentro das dependências da EMGEA, ou remotamente. Neste caso, o tipo de conexão remota será acordado entre a EMGEA e a CONTRATADA.

3.3. Para execução dos serviços, a CONTRATADA poderá instalar, no ambiente externo de tecnologia da EMGEA, ferramentas especializadas em análise de vulnerabilidades, observados os dispostos em relação à segurança e sigilo das informações contidos no Contrato.

3.4. Para fins de dimensionamento da proposta, a CONTRATADA deverá utilizar os parâmetros elencados abaixo a fim de sanar possíveis dúvidas para o dimensionamento dos serviços a serem executados nesta fase.

3.5. Deverão ser avaliados serviços externos de TI, servidores, firewalls e outros elementos integrantes de esquemas de proteção, aplicações web (portais, site e sistemas web), além da infraestrutura de roteamento.

3.6. Deverá realizar sondagem e mapeamento de rede, varredura de portas e serviços em execução, identificação de rotas, equipamentos e sistemas operacionais.

3.7. Deverão ser incluídos no relatório todos os endereços IPs analisados e os respectivos serviços encontrados com seus fingerprints (se identificados, caso contrário informar a não identificação).

3.8. Deverão ser efetuadas operações automáticas e manuais de varredura e sondagem, de forma a coletar informação que forneçam subsídios para uma eventual exploração das vulnerabilidades encontradas.

3.9. Deverão ser alvos desta fase:

I. Eventuais elementos ativos expostos à rede pública que sejam integrantes de esquemas de proteção (firewalls, roteadores, IPS, filtros, proxies e autenticadores);

II. Procura de serviços privilegiados desprotegidos e existência de backdoors;

III. Implantação de coletores de pacotes (packet sniffers), controles remotos e outras ferramentas de monitoração, quando e onde couber;

IV. Busca por vulnerabilidades quanto à personificação de máquinas confiadas

(trusted hosts) e eventuais anomalias de roteamento;

V. Vulnerabilidades quanto à adulteração do DNS (DNS spoofing);

VI. Vulnerabilidades associadas a diversos serviços como Web Servers, FTP Servers, MailServers, DNS servers;

VII. Vulnerabilidades associadas a aplicações web expostas ao público;

VIII. Análise do comportamento da aplicação para averiguar se a partir de falhas de segurança na aplicação é possível interagir com recursos do sistema operacional e banco de dados que suporta a mesma;

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

IX. Análise do comportamento da aplicação em relação aos sistemas operacionais que as abrigam procurando identificar falhas que possam ser exploradas por usuários com acesso aos sistemas, mas não autenticados pelas aplicações;

X. Os serviços executados nesta etapa não devem se resumir ao uso de ferramentas, devendo incluir procedimentos e técnicas não oferecidas por nenhuma ferramenta conhecida.

3.10. A CONTRATADA não deverá alterar a integridade das informações, ou seja, não deve alterar as informações de servidores e sistemas que possam comprometer os serviços prestados pela EMGEA.

3.11. Deverão ser identificadas todas as aplicações existentes em cada host a ser analisado. Uma vez descoberta e identificada uma aplicação, todas as etapas de análise e exploração deverão ser feitas em todas estas aplicações.

3.12. A CONTRATADA deverá apresentar todos os artefatos, documentação, relatórios, manuais e todos os insumos que comprovem a realização dos trabalhos realizados nesta fase. Após a conclusão do trabalho desta fase, a CONTRATADA disponibilizará Termo de Aceite para a EMGEA validar se os serviços prestados atendem às necessidades registradas nesta fase.

3.13. A EMGEA deverá informar a CONTRATADA a correção dos devidos trabalhos realizados, caso compreenda que os serviços prestados e os artefatos apresentados não atendem as necessidades contidas nesta fase.

3.14. A correção dos serviços poderá ser realizada de forma parcial ou total, podendo a EMGEA indicar quais produtos/ativos ou serviços apresentados devem ser ajustados.

3.15. Caso a correção realizada pela CONTRATADA apresente novamente falhas, a EMGEA não poderá realizar a assinatura do Termo de Aceite, até que as devidas correções sejam realizadas.

3.16. Os serviços de análise de vulnerabilidades deverão ser realizados no ambiente externo de tecnologia da EMGEA, deverão ser executados uma única vez e tem por objetivo identificar, de forma proativa, possíveis falhas e vulnerabilidades de segurança da informação em ativos de rede, bancos de dados, aplicações web, servidores e serviços de TIC da EMGEA, a fim de mitigar a probabilidade de ataques cibernéticos direcionados à EMGEA através da exploração das vulnerabilidades encontradas.

3.16.1. Especificação: serviço de verificação e identificação de falhas e vulnerabilidades externas de segurança da informação já conhecidas, baseadas em CVE (Common Vulnerabilities and Exposures) - lista pública de falhas de segurança da informação que tem como resultado a notificação e a orientação quanto aos procedimentos necessários para mitigação, com intuito de sanar brechas de segurança.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

3.17. Para a análise e varredura dos ativos e serviços de tecnologia a CONTRATADA deverá atender aos requisitos abaixo:

3.17.1. Identificar e analisar os sistemas operacionais Windows Server 2012 ou superiores;

3.17.2. Efetuar varredura por endereço IP, sistema operacional, nome DNS, nome NetBIOS ou nome do domínio.

3.18. A CONTRATADA deverá gerar um relatório para um determinado ativo ou serviço, no mínimo, no formato PDF, contendo, no mínimo, para cada vulnerabilidade encontrada:

3.18.1. Descrição;

3.18.2. Nível de severidade;

3.18.3. Exploits disponíveis;

3.18.4. Referências e links para fontes de informações sobre a vulnerabilidade;

3.18.5. Remediação;

3.18.6. Detalhes e evidências da vulnerabilidade.

3.19. Para a Fase 2 a CONTRATADA deve encaminhar o RELATÓRIO DE VULNERABILIDADES ao Fiscal do Contrato da EMGEA em até 10 (dez) dias úteis após a data de início da execução dos serviços desta fase.

3.19.1. Caso sejam necessárias correções nas informações contidas no relatório, o Fiscal do Contrato deve comunicar a CONTRATADA e encaminhar, por escrito, as inconsistências observadas.

3.20. Neste caso, a CONTRATADA deve corrigir as inconsistências observadas e encaminhar o relatório corrigido em até 3 (três) dias úteis, contados a partir da data de recebimento da comunicação por escrito realizada pelo Fiscal do Contrato.

3.21. O período para correção do relatório não deve impactar o início de execução das atividades da fase subsequente.

3.22. Deverão ser utilizadas ferramentas de análise de vulnerabilidades e técnicas manuais de análise de vulnerabilidades. As ferramentas deverão ser apresentadas para ciência e prévia aprovação, antes de sua efetiva utilização, assim como a metodologia para análise manual de vulnerabilidades.

3.23. Deverão ser atendidos os seguintes quesitos, os quais deverão ser apresentados juntamente no relatório da respectiva fase:

3.23.1. Coleta passiva, na qual deverão ser utilizadas - no mínimo - as seguintes técnicas:

a) Whois e nslookup (consultas DNS);

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

b) Sites de busca;

c) Listas de discussão;

d) Blogs de colaboradores;

e) Dumpster diving ou trashing;

f) Informações livres;

g) Packet sniffing “passive eavesdropping”;

h) Captura de banner.

3.23.2. Coleta ativa, na qual deverão ser utilizadas - no mínimo - as seguintes técnicas:

3.23.2.1. Port scanning (Mapeamento de rede);

3.23.2.2. Varredura de vulnerabilidade.

3.23.2.2.1. A varredura de vulnerabilidade deverá verificar/identificar, entre outros:

a) Hosts ativos na rede;

b) Portas e serviços em execução;

c) Serviços ativos e vulneráveis nos hosts;

d) Sistemas operacionais;

e) Vulnerabilidades associadas com sistemas operacionais e aplicações descobertas; configurações feitas nos hosts sem observância de boas práticas em segurança computacional;

f) Identificação de rotas e estimativa de impacto, caso estas sejam modificadas/desconfiguradas;

g) Identificação de vetores de ataque e cenários para exploração;

h) Vulnerabilidades Detectadas (CVE);

i) Vulnerabilidades de Alto Risco;

j) Vulnerabilidades de Xxxxx Xxxxx;

k) Vulnerabilidades de Baixo Risco;

l) Informações a serem aplicadas na fase de ataques.

3.23.3. Dos serviços e aplicações web:

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

3.23.3.1. Uso indevido de sistema de arquivos e arquivos temporários;

3.23.3.2. Evasão de informação por configurações default de tratamento de erros;

3.23.3.3. Tratamento indevido de entrada;

3.23.3.4. Problemas relacionados a má configuração dos serviços;

3.23.3.5. Gerenciamento inseguro de sessões web.

3.24. Entregas da Fase 2

Item

Detalhamento do Item

Relatório da análise de vulnerabilidades realizada no ambiente externo de tecnologia da informação da EMGEA.

3.24.1. A CONTRATADA deverá realizar a entrega da Fase 2 em até 10 (dez) dias úteis após o início da Fase 2.

4. FASE 3 – EXECUÇÃO DAS AÇÕES DE CORREÇÃO DE VULNERABILIDADES E MITIGAÇÃO DE RISCOS

4.1. A execução dos serviços desta fase será de responsabilidade da equipe técnica da EMGEA, que compreenderá a execução das ações de correção das vulnerabilidades e mitigação de riscos que foram apontados no Relatório de Vulnerabilidades entregue na Fase 2.

5. FASE 4 – EXECUÇÃO DO SERVIÇO DE TESTE DE INVASÃO (PENTEST)

5.1. A prestação dos serviços referentes à Fase 4 terá como escopo o ambiente externo de tecnologia da informação da EMGEA, devendo ocorrer de forma remota.

5.2. A CONTRATADA deverá executar os serviços externamente, fora das dependências da EMGEA, simulando, desta forma, ataques oriundos da Internet.

5.3. Os serviços de teste de invasão (pentest) terão como base o Relatório de Vulnerabilidades produzido na Fase 2. No entanto, a CONTRATADA poderá explorar outras vulnerabilidades e executar outros testes que não foram realizados na Fase 2.

5.4. Os serviços de teste de invasão (pentest) deverão ser realizados na modalidade Teste de Caixa Cinza (Grey Box), e tem como objetivo principal identificar, mapear, documentar, controlar e corrigir possíveis vulnerabilidades no ambiente

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

de TIC da EMGEA que possam ser explorados pela Internet e/ou fora da rede corporativa da EMGEA.

5.5. As atividades terão como objetivo principal identificar, mapear, documentar, controlar e corrigir possíveis vulnerabilidades. Estes testes envolvem, necessariamente, o uso de técnicas e ferramentas específicas para tentar obter acesso não autorizado e privilegiado.

5.6. O teste de invasão (pentest) será executado uma única vez, conforme escopo definido neste Contrato e cronograma definido na Fase 1 da contratação.

5.7. O teste de invasão (pentest) deve envolver, necessariamente, o uso de técnicas e ferramentas específicas para tentar obter acesso não autorizado e privilegiado às informações.

5.7.1. Especificação: serviço de teste de invasão (pentest) para identificar vulnerabilidades não conhecidas no ambiente de TIC da EMGEA e que possam ser exploradas.

5.8. Deverão ser efetuadas operações automáticas e manuais de varredura e sondagem, de forma a coletar informação que forneçam subsídios para uma eventual exploração das vulnerabilidades encontradas. Se encontradas vulnerabilidades exploráveis, deverão ser efetuadas tentativas sistemáticas de intrusões em profundidade, de forma a avaliar a extensão prática de um ataque bem-sucedido.

5.9. As atividades aqui descritas não devem se resumir ao uso de ferramentas automatizadas, devendo obrigatoriamente ter a atuação de equipes especializadas na realização dos testes.

5.10. O resultado do teste de invasão deve conter pelo menos:

5.10.1. Identificação da vulnerabilidade;

5.10.2. Análise detalhada da vulnerabilidade;

5.10.3. Classificação da vulnerabilidade;

5.10.3.1.Deverá ser atribuído um grau de risco quantitativo (nota numérica) e qualitativo (baixo, alto, dentre outros) com base, preferencialmente, no padrão CVSS 3.0

(xxxxx://xxx.xxxxx.xxx/xxxx).

5.10.4. Explicação detalhada, passo a passo, contendo todos os comandos e procedimentos a serem executados para fins de correção ou mitigação da vulnerabilidade.

5.11. Inicialmente, deverão ser efetuadas operações automáticas e manuais de varredura, de forma a coletar informações que forneçam subsídios para uma eventual exploração das vulnerabilidades encontradas.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

5.11.1. Se encontradas vulnerabilidades exploráveis, deverão ser efetuadas tentativas sistemáticas de intrusões em profundidade, de forma a avaliar a extensão prática de um ataque bem-sucedido. Todas as evidências devem ser documentadas.

5.12. Para os casos de testes reativos, aqueles realizados após a ocorrência de um incidente de segurança, deve ser realizada uma análise forense, para identificar as ações externas que comprometeram os ativos de tecnologias, sistemas e aplicações.

5.13. Para toda vulnerabilidade encontrada, a CONTRATADA deverá descrever de forma detalhada as ações para correção.

5.13.1. Caso precise ter acesso às configurações dos ativos ou serviços de tecnologia para propor as soluções de correção, a CONTRATADA deverá justificar a necessidade, ficando a cargo da EMGEA decidir pela liberação.

5.14. O tempo estimado para realização do teste deve considerar as atividades entre varreduras, mapeamentos, testes e análise.

5.15. O prazo para conclusão da Fase 4 será de até 10 (dez) dias úteis após o início desta fase.

5.16. Os testes citados abaixo não são exaustivos. Outros testes não citados poderão e deverão ser realizados caso seja entendimento da equipe técnica da CONTRATADA a importância destes para correta identificação da segurança do objeto a ser testado.

5.17. Todos os testes a serem realizados deverão ser precedidos de caderno de testes, contendo todo o detalhamento das ações a serem executadas, possíveis comprometimentos, possíveis ações de contorno, dentre outras informações que se julguem necessárias para garantia da segurança e do sigilo das informações da EMGEA.

5.18. A aprovação do caderno de testes, condição essencial para início das atividades, deverá ser realizada pela SUTEC - Superintendência de Tecnologia da Informação.

5.19. Quaisquer atividades com suspeita de comprometimento de algum ambiente ou ativo deverá ser imediatamente reportada - antes de sua execução - haja vista a necessidade de manter a disponibilidade dos ambientes e serviços de tecnologia da EMGEA.

5.20. As atividades do “Testes de Invasão (Pentest)” serão acompanhadas e

supervisionadas pela EMGEA.

5.21. Quaisquer atividades que possam comprometer ou prejudicar algum ambiente ou ativo, deverá ser imediatamente reportada pela CONTRATADA, antes de sua

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

execução, haja vista a necessidade de manter a disponibilidade dos ambientes e serviços ativos.

5.22. A CONTRATADA deverá realizar testes de vulnerabilidades e invasão em endereços IP's, URL’s, aplicações, ou outro ativo definido no escopo, composto por servidores, bancos de dados, ativos de rede, ativos de segurança e links de Internet, dentre outros.

5.23. Para a realização das atividades, deverão ser observadas as orientações e técnicas emanadas pelos padrões internacionais, além de outros apresentados pela CONTRATADA, caso haja em seu portfólio normativos que, comprovadamente, complementem os demonstrados abaixo:

5.23.1. OSSTMM 3 (The Open Source Security Testing Methodology Manual);

5.23.2. ISSAF/PTF (Information Systems Security Assessment Framework);

5.23.3. NIST Special Publication 800-115 (Technical Guide to Information Security Testing and Assessment);

5.23.4. NIST Special Publication 800-42 (Guideline on Network Security Testing);

5.23.5. OWASP TESTING GUIDE 3.0 - The Open Web Application Security Project.

5.24. Deverão ser aplicados - no mínimo - os seguintes tipos de ataques:

5.24.1. Violações do protocolo HTTP;

5.24.2. SQL Injection;

5.24.3. LDAP Injection;

5.24.4. Cookie Tampering;

5.24.5. Directory Transversal;

5.24.6. OS Command Execution;

5.24.7. Command Injection;

5.24.8. Remote Code Inclusion;

5.24.9. Server Side Includes (SSI) Injection;

5.24.10. File disclosure;

5.24.11. Information Leak;

5.24.12. Zero day attacks;

5.24.13. Ataques de ramsonware;

5.24.14. Botnet;

5.24.15. DDoS (Distribuited Denial of Service);

5.24.16. Dos (Denial of Service);

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

5.24.17. Contra protocolo TCP;

5.24.18. Testes remotos de quebra de senhas via dicionário, força bruta ou

man-in-the-middle;

5.24.19. Resistência a spoofers;

5.24.20. Ataques contra a aplicação.

5.25. Os testes de segurança que possam levar a negações de serviço (Denial of Service

– DoS e Distributed Denial of Service - DDoS) deverão ser realizados após autorização da EMGEA, que definirá os dias e horários de execução dos testes.

5.25.1. Ao ser detectado sucesso na realização de DoS e DDoS, a CONTRATADA deverá cessar imediatamente este ataque de forma que o ambiente possa responder normalmente aos seus usuários;

5.26. Encontradas vulnerabilidades exploráveis ou potencialmente exploráveis, inclusive em aplicações web disponíveis aos usuários via Internet, deverão ser efetuados testes de intrusão em profundidade, de forma a determinar até onde (e em que condições) as eventuais vulnerabilidades podem ser utilizadas por um eventual atacante, e a extensão prática de um ataque.

5.27. A CONTRATADA não deverá alterar a integridade das informações, ou seja, não deve alterar as informações de servidores e sistemas que possam comprometer os serviços prestados pela EMGEA.

5.28. Deverão ser identificadas todas as aplicações existentes em cada host a ser analisado. Uma vez descoberta e identificada uma aplicação, todas as etapas de análise e exploração deverão ser feitas em todas estas aplicações.

5.29. Caso seja possível invadir o ambiente da EMGEA, o atacante deverá criar evidencias do seu ataque, para possível analise, e comprovação do serviço, sem que ocorra prejuízo para o devido ativo atacado ou negócio da empresa.

5.30. Testes de Invasão em Redes

5.30.1. Devem ser identificadas ameaças e vulnerabilidades através de simulações de testes de invasão nos ativos de tecnologia, como roteadores, servidores Windows, switches, firewall e demais elementos da infraestrutura da EMGEA.

5.30.2. Deverão ser realizados mapeamentos e sondagens da infraestrutura, com o objetivo de realizar a varredura por hosts, regras de firewall e detecção de serviços em execução.

5.30.3. Deverão ser realizados, sob autorização da EMGEA, testes remotos de quebra de senhas via dicionário, força bruta ou man-in-the-middle.

5.30.4. Deverão ser realizadas, análises do tráfego da rede, com o intuito de obter informações sensíveis.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

5.30.5. Deverão ser realizados o lançamento de códigos maliciosos com o objetivo de explorar as vulnerabilidades encontradas. Essa ação deve ter a autorização da EMGEA.

5.30.6. Devem ser realizados testes de negação de serviços com diversas origens de tráfego simulando um ataque do tipo DDoS real, de forma que os testes possam ser realizados gradativamente, sinalizando à equipe de infraestrutura e produção da EMGEA como a infraestrutura atacada está reagindo durante a execução do ataque. Essa ação deve ter a autorização da EMGEA.

5.30.7. Os ataques de negação de serviços contra protocolo TCP e em nível da aplicação, deverão, cada qual, explorar/demonstrar/utilizar técnicas como:

a) Bugs em serviços, aplicativos e sistemas operacionais;

b) SYN flooding;

c) Fragmentação de pacotes de IP;

d) Xxxxx e fraggle;

e) Teardrop, nuke e land.

f) Para ataques contra o protocolo TCP:

g) Sequestro de conexões;

h) Prognóstico de número de sequência do protocolo TCP.

i) Ataque de Xxxxxxx;

j) Source routing.

k) Para ataques em nível da aplicação:

i. Buffer Overflow;

ii. Problemas com o SNMP;

iii. Vírus, worms, trojans, botnets, ransomwares.

l) Injeção de Código:

i. Ataques XSS (Cross-site Scripting);

ii. Comprometimento do acesso remoto;

iii. Manutenção de acesso;

iv. Encobrimento de rastros da invasão.

5.30.8. Deverão ser analisadas vulnerabilidades associadas a diversos serviços como servidores web, servidores de aplicação, servidores FTP, servidores de correio eletrônico, servidores DNS, dentre outros.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

5.30.9. A CONTRATADA deverá entregar à EMGEA todo detalhamento dos testes de invasão a serem realizados, desde os ativos que foram testados, qual procedimento adotado, ferramentas utilizadas, entre outras informações que possam ser solicitadas.

5.30.10. O teste de invasão só poderá acontecer mediante autorização da EMGEA.

5.30.11. Deverá ser comunicado a todo o momento à equipe técnica da EMGEA o andamento da análise, inclusive, se durante o teste de invasão encontrar alguma questão crítica.

5.30.12. Toda e qualquer modificação/alteração da configuração de um ativo no andamento do teste deve ser documentada e comunicada imediatamente, para aprovação pela equipe técnica da EMGEA.

5.31. Testes de Invasão em Aplicações

5.31.1. Deverão ser realizados testes de invasão do tipo “Cross Site Scripting (XSS)”.

5.31.2. Deverão ser realizados testes de invasão do tipo “Injeção de Código

(Code Injection)”.

5.31.3. Deverão ser realizados testes de invasão do tipo “Inclusão Remota de

Arquivos (Remote File Inclusion - RFI)”.

5.31.4. Deverão ser realizados mapeamentos e sondagens, com o objetivo de identificar possíveis vetores de entradas de ataques.

5.31.5. Deverão ser realizados testes de invasão do tipo “Referência Direta a Objetos”.

5.31.6. Deverão ser realizados testes de invasão do tipo “Vazamento de informações”, onde deve ser verificada a exposição inadvertida de informações sobre a aplicação e o servidor que a hospeda.

5.31.7. Deverá ser realizado testes de invasão baseado em “Gerenciamento de Sessões”.

5.31.8. Deverão ser analisadas, pelo menos, as vulnerabilidades dos últimos 2 (dois) relatórios OWASP Top 10.

5.31.9. Caso necessário, devem ser criados ataques customizados baseados na arquitetura das aplicações.

5.31.10. Para testes de invasão direcionados, especificamente, aos serviços prestados via web na Internet, deverão ser observados e aplicado, testes baseados na publicação OWASP TESTING GUIDE 3.0 (The Open Web Application Security Project), podendo ser utilizados:

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

a) Para testes de coleta de informações: OWASP-IG-001, OWASP-IG-002, OWASPIG-003, OWASP-IG- 004, OWASP-IG-005 e OWASP-IG-006;

b) Para testes de gerenciamento de configuração: OWASP-CM001,

OWASP-CM-002,	OWASP-CM-003,	OWASP-CM-004,
OWASP-CM005,	OWASP-CM-006,	OWASP-CM-007,
OWASPCM-008;

c) Para testes de autenticação: OWASP-AT-001, OWASP-AT002, OWASP-AT-003, OWASP-AT-004, OWASP-AT-005, OWASP-AT-006, OWASP-AT-007, OWASP-AT-008, OWASP-AT-009 e OWASP-AT-010;

d) Para testes de gerenciamento de sessão: OWASP-SM-001, OWASP-SM-001, OWASP-SM-002, OWASP-SM-003, OWASP-SM-004, OWASPSM-005;

e) Para testes de autorização: OWASP-AZ-001, OWASP-AZ-002 e OWASP-AZ-003;

f) Para testes de negócio lógico: OWASP-BL-001;

g) Para testes de validação de dados: OWASP-DV-001; OWASPDV-002, OWASPDV-003, OWASP-DV- 004, OWASP-DV-005, OWASP-DV-006, OWASP-DV-007, OWASP-DV-008, OWASPDV-009, OWASP-DV-010, OWASP-DV-011, OWASP-DV-012, OWASP-DV-013, OWASP-DV-014, OWASPDV-015 e OWASP-DV-016;

h) Para testes de negação de serviços: OWASP-DS-001, OWASPDS-002, OWASPDS-003, OWASP-DS- 004, OWASP-DS-005, OWASP-DS006, OWASP-DS-007 e OWASP-DS-008;

i) Para testes de serviços web: OWASP-WS-001, OWASP-WS002, OWASP-WS-003, OWASP-WS-004, OWASP-WS-005, OWASP-WS006 e OWASP-WS-007.

5.32. Relatório de Teste de Invasão (Pentest)

5.32.1. Após a execução das atividades desta fase, a CONTRATADA deverá elaborar e entregar o “RELATÓRIO DE TESTE DE INVASÃO (PENTEST)”, contemplando, no mínimo, as seguintes informações:

5.32.1.1. Objetivos;

5.32.1.2. Premissas e escopo do teste;

5.32.1.3. Datas e horas dos testes;

5.32.1.4. Metodologia de análise de vulnerabilidades;

5.32.1.5. Descrição das ações realizadas;

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

5.32.1.6. Metodologias;

5.32.1.7. Vulnerabilidades encontradas;

5.32.1.8. Categorização e severidade das vulnerabilidades;

5.32.1.9. Possíveis problemas aplicáveis;

5.32.1.10. Recomendações e controles de segurança necessários para correção das vulnerabilidades;

5.32.1.11. Apresentação das evidências apuradas;

5.32.1.12. Fontes de pesquisa;

5.32.1.13. Referências e ferramentas utilizadas;

5.32.1.14. Informações acessadas; e

5.32.1.15. Demais evidências do sucesso da invasão.

5.32.2. Após a fase de ataque, deverá ser apresentado relatório contendo, no mínimo, as seguintes informações detalhadas:

5.32.2.1. Detalhes da infraestrutura descoberta, alvo dos testes de invasão; equipamentos e recursos demandados para este teste;

5.32.2.2. Tipos de ataque;

5.32.2.3. Prazos (janelas de tempo para execução dos testes);

5.32.2.4. Pontos de contato da contratada (responsáveis para tratamento de questões abordadas nos testes);

5.32.2.5. Tipos de testes realizados pelos especialistas em segurança da informação;

5.32.2.6. Confirmação ou refutação da existência de vulnerabilidades;

5.32.2.7. Documentação sobre o caminho utilizado para exploração, avaliação do impacto, e prova da existência da vulnerabilidade;

5.32.2.8. Obtenção de acesso e possível escalada de privilégio;

5.32.2.9. Detalhamento da metodologia do ataque;

5.32.2.10. Recomendações para sanar riscos e vulnerabilidades.

5.33. Entregas da Fase 4

Item

Detalhamento do Item

Relatório de teste de invasão (pentest) realizado no ambiente de tecnologia da EMGEA.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

5.33.1. A CONTRATADA deverá realizar a entrega da Fase 4 em até 10 (dez) dias úteis após o início da Fase 4.

5.33.2. Além das informações especificadas anteriormente, os relatórios deverão conter, também, as seguintes informações:

5.33.2.1. Descrição das atividades executadas durante o teste;

5.33.2.2. Referência base (Whitepaper);

5.33.2.3. Ameaças encontradas;

5.33.2.4. Riscos levantados ao ambiente computacional;

5.33.2.5. Contramedidas para mitigar as ameaças encontradas.

6. FASE 5 – APRESENTAÇÃO DOS RESULTADOS

6.1. A CONTRATADA deve consolidar os dados encontrados e apresentar os resultados obtidos nas Fases 2 e 4.

6.2. A CONTRATADA deverá promover 2 (duas) apresentações, mediante realização de 2 (duas) reuniões, sendo uma com a equipe técnica e outra com a diretoria executiva da EMGEA, com duração de até 1 (uma) hora cada, e deve conter os principais pontos referentes ao trabalho desenvolvido.

6.3. As reuniões devem ser realizadas, preferencialmente, no formato presencial, nas dependências da EMGEA, em data e horário a serem definidos em comum acordo entre a CONTRATADA e a EMGEA.

6.4. Deverão ser produzidos, no mínimo, os seguintes relatórios:

6.4.1. Relatório Executivo: deve conter o resumo gerencial da análise de vulnerabilidades, do teste de invasão (pentest) e seus resultados. Este deve também fornecer informações resumidas dos serviços realizados, para fins de apresentação à diretoria executiva da EMGEA; e

6.4.2. Relatório Técnico: deve conter o resumo técnico da análise de vulnerabilidades, do teste de invasão (pentest) e seus resultados, com o detalhamento completo das atividades executadas, para fins de apresentação para a equipe técnica da EMGEA.

6.5. Para composição do Relatório Técnico, a CONTRATADA deve consolidar todos os dados encontrados nas atividades. As atividades manuais devem ser gravadas em vídeo e os resultados dos testes automatizados devem ser anexados aos relatórios.

6.6. Entende-se por consolidação dos dados encontrados e a apresentação dos resultados a apresentação de toda a documentação gerada ao longo do teste, tanto de forma analítica quanto sintética, a fim de manter registros de todas as

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

atividades de forma transparente, informações como escopo do projeto, ferramentas utilizadas, datas e horários do teste, lista de todas as vulnerabilidades identificadas e exploradas, assim como recomendações para execução de melhorias, realizando a transferência do conhecimento pertinente aos serviços prestados.

6.7. Deve-se esclarecer a metodologia, detalhes técnicos, tecnologia utilizada ao longo dos serviços prestados, informando no mínimo as seguintes informações:

I. Prover a documentação que atenda a todos os benefícios esperados registrados neste Contrato;

II. Entrega de relatório executivo, com conteúdo resumido das análises, testes e resultados, evidenciando os itens mais ofensivos, que deverão ser entregues obrigatoriamente em meio eletrônico;

III. Identificação e registro dos ataques de cada vulnerabilidade, com sua respectiva observação a fim de notificar a EMGEA para tomar as devidas medidas necessárias para propor a mitigação da fragilidade descoberta;

IV. Descrição dos cenários e ambientes de análises;

V. Mapeamento de redes, equipamentos e sistemas;

VI. Descrição das ferramentas e técnicas utilizadas na análise de vulnerabilidades e no teste de invasão (pentest);

VII. Revisão da capacidade e eficiência das regras atuais em manter a segurança dos ativos existentes na EMGEA.;

VIII. Pontos positivos e negativos encontrados na infraestrutura de rede e aplicação web;

IX. Descrição das vulnerabilidades encontradas (inclusive as detectadas, mas que não obtiveram sucesso de exploração), avaliação dos riscos associados, bem como procedimentos para saná-las ou limitá-las (plano de ação com priorização);

X. Classificação das vulnerabilidades e problemas encontrados, de acordo com a seguinte classificação, padrão de mercado para testes de intrusão: Info (Information), Baixa (Low), Média (Medium), Alta (High), Crítico (Critical).

6.8. As vulnerabilidades encontradas devem informar no mínimo os seguintes detalhes:

I. IP do recurso computacional;

II. Nome do recurso computacional;

III. Software ou serviço analisado;

IV. Nível de criticidade (alta, média ou baixa);

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

V. Origem da ação realizada internamente/externamente (I/E);

VI. Data da execução da atividade;

VII. Descrição das vulnerabilidades;

VIII. Descrição de ameaças;

IX. Evidências;

X. Análise de impacto – categorização e ponderação de ameaças;

XI. Procedimentos de correção ou contramedidas recomendadas pela equipe especializada da CONTRATADA;

XII. Resultados efetivos da análise/testes/ataques;

XIII. Propor melhorias de capacidade e recursos a serviços existentes;

XIV. Recomendação para a manutenção, incremento da proteção ou sugestão da remediação;

XV. Recomendações de correções, minimização de riscos, melhores práticas de mercado, e procedimentos operacionais;

6.9. A CONTRATADA deverá alinhar os riscos e vulnerabilidades encontradas, verificando as respectivas prioridades referentes ao impacto que possam causar ao negócio.

6.10. A CONTRATADA deverá informar os pontos positivos encontrados na infraestrutura de segurança/aplicação da EMGEA.

6.11. A CONTRATADA deverá apresentar todos os artefatos, documentação, relatórios, manuais, pareceres técnicos, atas de reunião e todos os insumos que comprovem a realização dos trabalhos realizados nesta fase.

6.12. Após a conclusão do trabalho desta fase, a CONTRATADA disponibilizará Termo de Aceite para a EMGEA validar se os trabalhos realizados atendem as necessidades registradas nessa fase.

6.13. A EMGEA deverá informar a CONTRATADA a correção dos devidos trabalhos realizados. Esse cenário poderá ocorrer quando a EMGEA compreender que os serviços prestados e os artefatos apresentados não atendem as necessidades contidas nesta fase.

6.14. A correção dos serviços poderá ser realizada de forma parcial ou total, podendo a EMGEA indicar quais serviços apresentados devem ser ajustados.

6.15. Caso a correção realizada pela CONTRATADA apresente novamente falhas, a EMGEA não poderá realizar a assinatura do Termo de Aceite, até que as devidas correções sejam realizadas.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

6.16. Entregas da Fase 5

Item	Detalhamento do Item
1	Apresentação dos resultados para a equipe técnica.
2	Apresentação dos resultados para a diretoria executiva.
3	Relatório técnico, em meio eletrônico, contendo todos os documentos e arquivos produzidos durante a análise de vulnerabilidades e o teste de invasão (pentest).
4	Relatório executivo, em meio eletrônico.
5	Relatório de recomendações.

6.16.1 A CONTRATADA deverá realizar as entregas da Fase 5 em até 5 (cinco) dias úteis pós o início da Fase 5.

Este documento foi assinado digitalmente por Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx, Xxxxxxxx Xxxxxxx Xxxx, Xxxxxxxx Xxxxxxx Xxxx,

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

ANEXO II DO CONTRATO Nº 00009/2022 ANÁLISE DE RISCOS

EVENTO DE RISCO	RISCO	CONSEQUÊNCIA	CONTROLE	PROBABILIDADE	IMPACTO
Inobservância de normas externas	Risco de conformidade	▪ Prestação de serviços em desconformidade com normas externas. ▪ Penalidades e sanções administrativas. ▪ Suspensão ou cancelamento de procedimentos licitatórios	▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Monitoramento do ambiente regulatório. ▪ Aplicação das recomendações observadas em normas externas.	BAIXA	BAIXO
Inobservância de normas internas	Risco de conformidade	▪ Prestação de serviços em desconformidade com normas internas. ▪ Penalidades e sanções administrativas.	▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Políticas e normas e procedimentos internos.	BAIXA	BAIXO
Descontinuidade de prestação de serviços	Risco de terceiro	▪ Realização de um novo procedimento licitatório. ▪ Prestação de serviços interrompida ou não conclusão de serviços.	▪ Instrumentos contratuais a aplicação de penalidade, multa e/ou rescisão. ▪ Fiscais de contratos.	MÉDIA	MÉDIO

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

EVENTO DE RISCO

RISCO

CONSEQUÊNCIA

CONTROLE

PROBABILIDADE

IMPACTO

Falha na prestação de serviços

Risco de terceiro

▪ Penalidades e sanções

▪ Roubo ou sequestro de dados pessoais.

▪ Vazamento de informações estratégicas ou sigilosas.

▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão.

▪ Prestação dos serviços por empresa especializada.

▪ Prestação dos serviços por técnicos treinados e qualificados para a prestação

dos serviços contratados.

BAIXA

BAIXO

Interrupção temporária de prestação de serviços

Risco de terceiro

▪ Indisponibilidade parcial ou total da prestação dos serviços.

▪ Vazamento de informações estratégicas ou sigilosas.

▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão.

▪ Fiscais de contratos.

BAIXA

BAIXO

Prestação de serviço em desacordo com o contratado

Risco de terceiro

▪ Penalidades e sanções.

▪ Vazamento de informações estratégicas ou sigilosas.

▪ Indisponibilidade parcial ou total de sistemas.

▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão.

▪ Fiscais de contratos.

BAIXA

MÉDIO

Falha de tratamento de dados pessoais

Risco de terceiro

▪ Risco de imagem à EMGEA, seus colaboradores e/ou terceiros.

▪ Vazamento de informações

estratégicas ou sigilosas.

▪ Instrumentos contratuais com cláusulas relativas à LGPD.

▪ Fiscais de contratos.

BAIXA

BAIXO

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

EVENTO DE RISCO	RISCO	CONSEQUÊNCIA	CONTROLE	PROBABILIDADE	IMPACTO
pelo prestador de serviços		▪ Roubo, perda ou alteração de dados pessoais.
Perda ou danos em ativos físicos	Risco de terceiro	▪ Indisponibilidade parcial ou total de sistemas.	▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Fiscais de contratos.	BAIXA	BAIXO
Não atendimento de demandas ou atendimento intempestivo e/ou com baixa qualidade	Risco de terceiro	▪ Falta de prestação dos serviços contratados. ▪ Indisponibilidade parcial ou total de sistemas.	▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Prestação dos serviços por empresa especializada. ▪ Prestação dos serviços por técnicos treinados e qualificados para a prestação dos serviços contratados.	BAIXA	MÉDIO
Furto/roubo de bens ou valores	Risco de terceiro	▪ Furto/roubo ou bens de propriedade da EMGEA ou de seus colaboradores. ▪ Vazamento de informações estratégicas ou sigilosas	▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Supervisão da EMGEA sobre os técnicos da Contratada.	BAIXA	MÉDIO

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

EVENTO DE RISCO	RISCO	CONSEQUÊNCIA	CONTROLE	PROBABILIDADE	IMPACTO
			▪ Verificação das condições e infraestrutura do ambiente da Contratada. ▪ Monitoramento CFTV.
Uso indevido da informação	Risco de terceiro	▪ Risco de imagem à EMGEA, seus colaboradores e/ou terceiros. ▪ Constrangimento. ▪ Vazamento de informações estratégicas ou sigilosas.	▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Trilhas de auditoria nos serviços e servidores de TI.	MÉDIA	MÉDIO
Apropriação indébita	Risco de terceiro	▪ Apropriação de equipamentos ou bens de propriedade da EMGEA ou de seus colaboradores. ▪ Penalidades e sanções administrativas. ▪ Inobservância de normas.	▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Supervisão da EMGEA sobre os técnicos da Contratada. ▪ Monitoramento CFTV.	BAIXA	MÉDIO
Vazamento de informações estratégicas ou sigilosas	Risco de terceiro	▪ Risco de imagem à EMGEA, seus colaboradores e/ou terceiros. ▪ Constrangimento. ▪ Penalidades e sanções administrativas. ▪ Inobservância de normas internas.	▪ Instrumentos contratuais prevendo a aplicação de penalidade, multa e/ou rescisão. ▪ Trilhas de auditoria nos serviços e servidores de TI.	BAIXA	MÉDIO

Para verificar as assinaturas vá ao site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código D9D8-65AA-357E-4CDC.

PROTOCOLO DE ASSINATURA(S)

O documento acima foi proposto para assinatura digital na plataforma Portal de Assinaturas EMGEA. Para verificar as assinaturas clique no link: xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx/Xxxxxxxxx/X0X0-00XX- 357E-4CDC ou vá até o site xxxxx://xxxxx.xxxxxxxxxxxxxxxxxxx.xxx.xx:000 e utilize o código abaixo para verificar se este documento é válido.

Código para verificação: D9D8-65AA-357E-4CDC

Hash do Documento

B6F76598B138DA4D668E0181FE7C19A58F7E04FA3B994F03E9654E5328C4220F

O(s) nome(s) indicado(s) para assinatura, bem como seu(s) status em 20/09/2022 é(são) :

XXXXXXX XXXXXXX XX XXXXXXX - 074.***.***-52 em 20/09/2022 12:18 UTC-03:00

Tipo: Assinatura Eletrônica

Identificaçao: Autenticação de conta

Evidências

Client Timestamp Tue Sep 20 2022 12:18:31 GMT-0300 (Horário Padrão de Brasília)

Geolocation Latitude: -15.8072832 Longitude: -47.890432 Accuracy: 898.671240651784

IP 189.73.194.225

Hash Evidências:

7C0693CBFD53B07C1A4D74B4954C78775C69149F7044430624E4491F5B2ADAAE

XXXXXX XXXXXX XXX XXXXXX (Testemunha) - 333.***.***-26 em 20/09/2022 10:50 UTC- 03:00

Tipo: Assinatura Eletrônica

Identificaçao: Por email: x****x@xxxxxxxxxxxxxx.xxx.xx

Evidências

Client Timestamp Tue Sep 20 2022 10:50:05 GMT-0300 (Horário Padrão de Brasília)

Geolocation Latitude: -23.5065065 Longitude: -46.8737504 Accuracy: 5347.883033993868

IP 191.13.225.98

Hash Evidências:

51B41AD7C16BE36EBF63A69F6BFB9C962191E2437F434FC8869AC3271351ADCD

XXXXXX XXXXX XXXXX (Parte) - 177.***.***-90 em 20/09/2022 09:07 UTC-03:00

Tipo: Assinatura Eletrônica

Identificaçao: Por email: x****x@xxxxxxxxxxxxxx.xxx.xx

Evidências

Client Timestamp Tue Sep 20 2022 09:07:10 GMT-0300 (Horário Padrão de Brasília)

Geolocation Latitude: -23.5058752 Longitude: -46.8695899 Accuracy: 12.743

IP 191.13.225.98

Hash Evidências:

0CCEA1D5FA8DEC1D8AA6E71868C9FE3A2C52CD3F3B2143A05B3EA43ACC0B5964

XXXXX XXXXXXX XXXXXXXXX XXXXXX (Parte) - 392.***.***-00 em 19/09/2022 09:00 UTC- 03:00

Nome no certificado: Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx

Tipo: Certificado Digital

XXXXXXXX XXXXXXX XXXX (Chancela Jurídica) - 091.***.***-97 em 16/09/2022 18:07 UTC- 03:00

Tipo: Certificado Digital

NUBIANE BRAGA LOURENCO (Chancela Administrativa) - 004.***.***-62 em 16/09/2022 17:56 UTC-03:00

Tipo: Certificado Digital

XXXXXXXX XXXXXXX XX XXXX (Xxxxxxxx Xxxxxxxx) - 722.***.***-04 em 16/09/2022 14:55 UTC-03:00

Tipo: Certificado Digital

XXXXX XXXXXXX XXXXXXX (Testemunha) - 058.***.***-23 em 16/09/2022 14:32 UTC-03:00

Tipo: Assinatura Eletrônica

Identificaçao: Autenticação de conta

Evidências

Client Timestamp Fri Sep 16 2022 14:32:05 GMT-0300 (Horário Padrão de Brasília)

Geolocation Latitude: -15.8072832 Longitude: -47.8871552 Accuracy: 1011.2943466245916

IP 189.73.194.225

Hash Evidências:

0AAB92DE6FBF4C0B70E8957D3440799007C617778D03CC699AC4A4F158B143DF

EXTRATO DE CONTRATO Nº 9/2022

Seção 3

ISSN 1677-7069

Nº 182, sexta-feira, 23 de setembro de 2022

EXTRATO DE CONTRATO Nº 9/2022

Contrato nº 00009/2022. Contratante: EMPRESA GESTORA DE ATIVOS S.A. - EMGEA, CNPJ nº 04.527.335/0001-13. Contratada: 1 ACCESS SECURITY CONSULTORIA E TECNOLOGIA

LTDA., CNPJ nº 29.612.419/0001-86. Objeto: Contratação de empresa especializada na prestação de serviços técnicos em segurança da informação, compreendendo os serviços de análise de vulnerabilidades e teste de invasão (pentest) no ambiente externo de

de relatórios e apresentação dos resultados. Valor Contratado: R$ 32.807,00. Vigência:

la Contratante: Xxxxxxx Xxxxxxx xx Xxxxxxx e Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx e pela Contratada: Xxxxxx Xxxxx Xxxxx.

20.09.2022 a 19.03.2023 Data da assinatura: 20.09.2022. Assinaturas: pe

tecnologia da informação da Empresa Gestora de Ativos S.A. - EMGEA, emissão

relatórios e apresentação dos resultados. Valor Contratado: R$ 32.807,00

EXTRATO DE CONTRATO Nº 8/2022

Contrato nº 00008/2022. Contratante: EMPRESA GESTORA DE ATIVOS S.A. - EMGEA. CNPJ

nº 04.527.335/0001-13. Contratada: Casa de Ismael - Lar da Criança. CNPJ nº 00.077.255/0001-52. Objeto: Contratação de empresa especializada na prestação de serviços de Programa de Aprendizagem para atender as necessidades da Empresa Gestora de Ativos S.A - EMGEA. Valor Contratado: R$ 265.375,80. Vigência: 26.09.2022 a 25.09.2023. Data da assinatura: 21.09.2022. Assinaturas: pela Contratante: Xxxxxxx Xxxxxxx xx Xxxxxxx e Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx e pela Contratada: Xxxxxxxx Xxxxxxx xx Xxxxx.

EXTRATO DE TERMO ADITIVO

Quarto Termo Aditivo ao Contrato nº 00016/2019. Contratante: Empresa Gestora de Ativos

S.A - EMGEA. CNPJ nº 04.527.335/0001-13. Contratada: Xxxxxxx xx Xxxxx Advogados Associados. CNPJ nº 05.939.274/0001-64. Objeto: Prorrogação da vigência do Contrato nº 00016/2019, pelo período de 1 (um) ano, em comum acordo entre as partes. Vigência: 27.12.2022 a 26.12.2023. Data da assinatura: 21.09.2022. Assinaturas pela Contratante: Xxxxxxx Xxxxxxx xx Xxxxxxx e Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx e pela Contratada: Xxxxxxx Xxxxxxxx Xxxxxxx xx Xxxxx.

EXTRATO DE TERMO ADITIVO

Quarto Termo Aditivo ao Contrato nº 00026/2019. Contratante: Empresa Gestora de Ativos

S.A - EMGEA. CNPJ nº 04.527.335/0001-13. Contratada: Cerrado Viagens Eireli - EPP. CNPJ nº 26.722.189/0001-10. Objeto: Prorrogação da vigência do Contrato nº 00026/2019, pelo período de 1 (um) ano, em comum acordo entre as partes. Vigência: 01.10.2022 a 30.09.2023. Data da assinatura: 22.09.2022. Assinaturas pela Contratante: Xxxxxxx Xxxxxxx xx Xxxxxxx e Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxx e pela Contratada: Xxxx Xxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxx.

EMPRESA DE TECNOLOGIA E INFORMAÇÕES DA PREVIDÊNCIA

EXTRATO DE TERMO ADITIVO - UASG 238014

Processo 44103.003215/2019-18, contrato nº 18.091893.2019, contratada: DIAMANTES TERCEIRIZAÇÃO EM SERVIÇOS DE LIMPEZA EIRELI, CNPJ: 18.452.125/0001-18. Objeto:

Quinto Termo Aditivo ao Contrato de Prestação de Serviços de Recepção, para incluir a cláusula de rescisão antecipada na Cláusula Segunda, devendo constar a seguinte redação:

2.1.1. Este Instrumento poderá ser rescindido pela DATAPREV, mediante

simples aviso por escrito, com antecedência mínima de 30 (trinta) dias. Data da assinatura 21/09/2022. Fundamentado no art. 72 da Lei nº 13.303/2016, em estrita observância ao que preceitua o aludido Diploma Legal e demais legislação pertinente.

AVISO DE LICITAÇÃO

PREGÃO ELETRÔNICO Nº 69/2022 - UASG 238014

Nº Processo: 44103.000303/2022. Objeto: Contratação especializada na prestação de serviços de recepção, pelo período de 60 (sessenta) meses, podendo ser rescindido pela DATAPREV a qualquer tempo mediante aviso prévio de 30 (trinta) dias em conformidade com o Termo de referência e seus anexos . Total de Itens Licitados: 1. Edital: 23/09/2022 das 08h00 às 12h00 e das 13h00 às 17h59. Endereço: Rua Prof. Xxxxxx Xxxxxxxxx,460, Botafogo - Rio de Janeiro/RJ ou xxxxx://xxx.xxx.xx/xxxxxxx/xxxxxx/000000-0-00000-0000. Entrega das Propostas: a partir de 23/09/2022 às 08h00 no site xxx.xxx.xx/xxxxxxx. Abertura das Propostas: 05/10/2022 às 10h00 no site xxx.xxx.xx/xxxxxxx. Informações Gerais: A presente licitação é destinada exclusivamente à participação de microempresas e empresas de pequeno porte (Art. 48, Inciso I, da Lei Complementar nº 123/2006). .

XXXX XXXXXXXXX XX XXXXX

Pregoeiro

(SIASGnet - 21/09/2022) 238014-07048-2022NE021772

SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS

EXTRATO DE TERMO ADITIVO Nº 132.273/2022 - UASG 806030

Contrato RG Nº 103213/2021. Processo Nº: 01102/2021. Preagão. Nº: 01102/2021. Contratante: SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO). CNPJ da Contratada: 09.033.066/0001-52 - HEILIGER TECNOLOGIA E SOFTWARE LTDA. Objeto:

Prorrogação da vigência e reajuste do contrato. Vigência: 20/10/2022 a 19/10/2023. Data da Assinatura: 22/09/2022. Valor total: R$ 6.887.625,60.

EXTRATO DE TERMO ADITIVO Nº 132286/2022 - UASG 806030

Contrato RG Nº 72238/2019. Inexigibilidade Nº: 02050/2019. Processo Nº: 02050/2019. Contratante: SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO). CNPJ da Contratada: 08.469.511/0001-69 - CA PROGRAMAS DE COMPUTADOR, PARTICIPAÇÕES E

SERVIÇOS LTDA. Objeto: Alterações de cláusulas contratuais. Vigência: 21/09/2022 a 20/12/2023. Data da Assinatura: 21/09/2022.

AVISO DE LICITAÇÃO

PREGÃO ELETRÔNICO Nº 830/2022 - UASG 806030

Nº Processo: 00830-2022. Objeto: Serviços técnicos especializados, sob demanda, para plataforma Tableau.. Total de Itens Licitados: 1. Edital: 23/09/2022 das 08h00 às 12h00 e das 14h00 às 17h00. Endereço: Sgan 601 Modulo v, - BRASÍLIA/DF ou xxxxx://xxx.xxx.xx/xxxxxxx/xxxxxx/000000-0-00000-0000. Entrega das Propostas: a partir de 23/09/2022 às 08h00 no site xxx.xxx.xx/xxxxxxx. Abertura das Propostas: 05/10/2022 às 10h00 no site xxx.xxx.xx/xxxxxxx. Informações Gerais: Serviços técnicos especializados, sob demanda, para plataforma Tableau, conforme especificações constante no PB 00449/2022.

XXXXXXX XXXXX XX XXXX XXXXXXX

Pregoeiro

REGIONAL SÃO PAULO

AVISO DE LICITAÇÃO

PREGÃO ELETRÔNICO Nº 888/2022 - UASG 803080

Nº Processo: 888/2022. Objeto: Manutenção da Solução de Armazenamento. Total de Itens Licitados: 1. Edital: 23/09/2022 das 08h00 às 12h00 e das 13h00 às 17h00. Endereço: Xxxxx://xxx.xxx.xx/xxxxxxx/xx-xx/xxxxxxxx/xxxxxxxxxx-xxxxx, - São Paulo/SP ou xxxxx://xxx.xxx.xx/xxxxxxx/xxxxxx/000000-0-00000-0000. Entrega das Propostas: a partir de 23/09/2022 às 08h00 no site xxx.xxx.xx/xxxxxxx. Abertura das Propostas: 07/10/2022 às 09h30 no site xxx.xxx.xx/xxxxxxx. Informações Gerais: .

XXXXXXX XXXXXXXX XXXXXXXX XXXXX

Pregoeiro

(SIASGnet - 22/09/2022) 803080-17205-2022NE000128

BANCO DA AMAZÔNIA S.A.

RESULTADO DE JULGAMENTO PREGÃO ELETRÔNICO Nº 2022/33

O Banco da Amazônia SA torna público que a empresa L8 GROUP SA, CNPJ: 19.952.299/0001-02, foi a vencedora da licitação sob referência.

XXXXXXX XXXX XXXXXX

Pregoeiro

AVISO DE LICITAÇÃO

PREGÃO ELETRÔNICO Nº 8/2022 - UASG 179007

Nº Processo: 420. Objeto: Contratação de empresa, através de procedimento licitatório, na modalidade Pregão Eletrônico, pelo sistema de registro de preço, do tipo menor preço global, por Lote, para fornecimento e instalação de aparelhos de climatização, conforme especificações técnicas contidas no Edital nº 2022/008 e ANEXOS para atender a Matriz e Agências do Banco da Amazônia.. Total de Itens Licitados: 74. Edital: 23/09/2022 das 08h00 às 12h00 e das 14h00 às 17h59. Endereço: Xx.xxxxxxxxxx Xxxxxx 000, 00.xxxxx

- Centro, - Belém/PA ou xxxxx://xxx.xxx.xx/xxxxxxx/xxxxxx/000000-0-00000-0000. Entrega das Propostas: a partir de 23/09/2022 às 08h00 no site xxx.xxx.xx/xxxxxxx. Abertura das Propostas: 05/10/2022 às 09h00 no site xxx.xxx.xx/xxxxxxx. Informações Gerais: Solicitamos aos licitantes atenção quanto aos locais de entrega dos aparelhos de climatização, cuja descrição consta no Anexo-IA-RELAÇÃO DAS DEPENDÊNCIAS POR LOTE do Edital nº 2022/008;.

XXXXXXXX XXXXX XXXXX XXXXX

Pregoeira

(SIASGnet - 22/09/2022) 179007-11111-2022NE999999

BANCO DO BRASIL S.A.

DIRETORIA DE LOGÍSTICA

EXTRATO DE TERMO ADITIVO

Inexigibilidade de Licitação 2012/23456 (9600); GERENCIA DE COMPRAS CONTRATOS E PAGAMENTOS, Segundo Termo Aditivo ao Contrato 2012.9600.0322; CONTRATADA: Marinoni Advocacia; Objeto: Acréscimo, alteração das cláusulas primeira e terceira e inclusão da clausula vigésima segunda. Assinatura em 20.09.2022.

AVISOS DE LICITAÇÃO ELETRÔNICA

LICITAÇÃO ELETRÔNICA 2022/03614 - 7421 - Cesup Compras e Contratações - São Paulo - SP, realizado por meio da Internet; OBJETO: Fornecimento, instalação, e manutenção de 08 equipamentos de sistema de elevação, elevadores e plataformas elevatórias para diversas dependências do Banco do Brasil no estado de Rio Grande do Sul; RECEBIMENTO DAS PROPOSTAS: no endereço xxxxx://xxxxxxxxxx-x.xxx.xx, até 17/10/2022 às 10:00h; OBTENÇÃO DO EDITAL: no endereço eletrônico acima por meio do número da licitação 963546; Informações: xxxxxxxxxxxx.xxx@xx.xxx.xx.

XXXXX XXXXX XXXXX

Responsável

LICITAÇÃO ELETRÔNICA 2022/03607 (7421) - Cesup Compras e Contratações - São Paulo - SP, realizado por meio da Internet; OBJETO: Contratação de serviços de controle de vetores e pragas urbanas, assim compreendidos: desinsetização, desratização e descupinização, com fornecimento de toda a mão de obra e materiais necessários, em áreas internas e externas das dependências do Banco do Brasil, dividido em 2 lotes; RECEBIMENTO DAS PROPOSTAS: no endereço xxxxx://xxxxxxxxxx-x.xxx.xx, até 17.10.2022 às 09h00; OBTENÇÃO DO EDITAL: no endereço eletrônico acima por meio do número da licitação 963712. Informações: xxxxxxxxxxxx.xxxxxxx@xx.xxx.xx.

XXXXXX XXXXXXXXX XXXXXXXX XXXXXXXX

Responsável

LICITAÇÃO ELETRÔNICA 2022/03537 - 7421 - Cesup Compras e Contratações - São Paulo - SP, realizado por meio da Internet; OBJETO: Contratação de empresa especializada para prestação de serviços de operação e manutenção preventiva e corretiva, de conservação e recuperação, dos equipamentos e instalações do Banco do Brasil relacionados no ANEXO I do edital, com Equipe Residente, incluindo ferramental e instrumental técnico adequado, uniformes, mão-de-obra, encargos sociais, seguros, administração, cessão técnica, licenças inerentes às especialidades e tributos, enfim, tudo o necessário para a prestação dos serviços Lote Único: ED. AG JACOBINA (BA), ED. AG JUAZEIRO (BA), ED. AG. XXXXX XXXXXX (BA), ED. RIO SÃO FRANCISCO (BA), ED. SERET ARACAJU / AG. SÃO JOSÉ (SE); RECEBIMENTO

DAS PROPOSTAS: no endereço xxxxx://xxxxxxxxxx-x.xxx.xx, até 17/10/2022 às 15:00h; OBTENÇÃO DO EDITAL: no endereço eletrônico acima por meio do número da licitação 963036; Informações: xxxxxxxxxxxx.xxx@xx.xxx.xx.

XXXXXX XXXXXXXXX XXXXX

Responsável

LICITAÇÃO ELETRÔNICA 2022/03516 - 7421 - Cesup Compras e Contratações - São Paulo - SP, realizado por meio da Internet; OBJETO: Contratação de empresa especializada para prestação de serviços de operação e manutenção preventiva e corretiva, de conservação e recuperação, dos equipamentos e instalações do Banco do Brasil relacionados no ANEXO I do edital, com Equipe Residente, incluindo ferramental e instrumental técnico adequado, uniformes, mão-de-obra, encargos sociais, seguros, administração, cessão técnica, licenças inerentes às especialidades e tributos, enfim, tudo o necessário para a prestação dos serviços Lote Único: ED. AG. BARREIRAS (BA) - ED. AG. BOM JESUS DA LAPA (BA) - ED. AG. EUNÁPOLIS (BA) - ED. AG. GUANAMBI (BA) - ED. AG. JEQUIÉ (BA); RECEBIMENTO DAS

PROPOSTAS: no endereço xxxxx://xxxxxxxxxx-x.xxx.xx, até 17/10/2022 às 13:30h; OBTENÇÃO DO EDITAL: no endereço eletrônico acima por meio do número da licitação 963034; Informações: xxxxxxxxxxxx.xxx@xx.xxx.xx.

(SIASGnet - 22/09/2022) 806030-17205-2022NE000525

XXXXXX XXXXXXXXX XXXXX

Este documento pode ser verificado no endereço eletrônico

xxxx://xxx.xx.xxx.xx/xxxxxxxxxxxxx.xxxx, pelo código 05302022092300048

Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,

que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.

Responsável

Document Metadata

Table of Contents

CONTRATO Nº 00009/2022

Document Metadata