Contrato de Prestação de Serviços n.º 22/IFAP/020
NÍVEL DE SEGURANÇA: INFORMAÇÃO PÚBLICA
Contrato de Prestação de Serviços n.º 22/IFAP/020
Entre:
IFAP, IP – INSTITUTO DE FINANCIAMENTO DA AGRICULTURA E PESCAS, I.P., com sede
na Xxx Xxxxxxxx, x.x 00/00, 0000-000 Xxxxxx, pessoa coletiva n.º 508136644, neste ato representado pelo Presidente do Conselho Diretivo, Xxxx Xxxxxx Xxxxx Xxxxxx, cargo para o qual foi nomeado pelo Despacho n.º 446/2021, de 23 de dezembro, publicado no Diário da República (DR), 2ª série, n.º 8, de 13 de janeiro de 2021, como Primeiro outorgante;
E
ACCENTURE, CONSULTORES DE GESTÃO, S.A. com o número único de matrícula no Registo Comercial de Lisboa e de identificação de pessoa coletiva 502309440, com sede na Xx.x Xxx.x Xxxxxx Xxxxxxx, Xxxxxxxxx, Xxxxx 0, 00 Xxxx, 0000-000 Xxxxxx, neste ato representada por Xxx Xxxxx Xxxxxxx Xxxxx, na qualidade Procuradora, a qual tem poderes para outorgar o presente contrato, conforme documento comprovativo que exibiu, como Segunda outorgante;
E CONSIDERANDO QUE:
a) A decisão de contratar relativa ao objeto do presente contrato foi tomada pelo Conselho Diretivo do IFAP,IP, por Deliberação n.º 206/2022, de 06 de janeiro, nos termos dos artigos 1.º e 5.º da Portaria n.º 6-A/2022, de 29 de dezembro, publicada no DR, 2.ª série, n.º 3, de 05-01-2022, e ao abrigo da competência delegada no seu artigo 6.º e será suportada pela dotação orçamental inscrita no orçamento de funcionamento, para 2022, na atividade 254, na fonte de financiamento 483 e na rubrica de classificação económica 00.00.00.00.00, tendo sido objeto do cabimento n.º 241 e do compromisso n.º 1070;
b) O presente contrato foi precedido de um procedimento de concurso limitado por prévia qualificação (CLPQ) n.º 01/IFAP/2022, com publicação no Jornal Oficial da União Europeia (JOUE), nos termos da alínea a) do n.º 1 do artigo 20.º e dos artigos 162.º e seguintes do Código dos Contratos Públicos (CCP);
c) A prestação de serviços foi adjudicada pelo Conselho Diretivo do IFAP,IP, por Deliberação n.º 3205/2022, de 07 de julho, no uso da competência delegada no artigo 6.º da Portaria n.º 6-A/2022, de 29 de dezembro, publicada no DR, 2.ª série, n.º 3, de 05- 01-2022;
d) Foi prestada caução pela Segunda outorgante no valor de € 160.749,40 (cento e sessenta mil setecentos e quarenta e nove euros e quarenta cêntimos), correspondente a 5% do valor contratual; e,
e) A minuta do presente contrato foi aprovada pela Deliberação do Conselho Diretivo do IFAP,IP referida na alínea c) do presente considerando e no uso da competência nela referida.
É celebrado e reciprocamente aceite o presente contrato, o qual se rege pelas seguintes cláusulas:
Cláusula 1.ª
Objeto
O presente contrato tem por objeto a aquisição dos serviços de consultoria para a identificação e definição da Plataforma Tecnológica e projectos associados de Segurança e Cloud do Ministério da Agricultura no âmbito do Plano de Recuperação e Resiliência (PRR), que integram o LOTE 1 do CLPQ n.º 01/IFAP/2022, para os anos de 2022 e 2023, nos termos e de acordo com as características, as especificações e os requisitos técnicos definidos no ANEXO I ao contrato, do qual faz parte integrante.
Cláusula 2.ª
Local da prestação dos serviços
1. Os serviços objeto do presente contrato serão prestados nas instalações da Segunda outorgante, sem prejuizo de, alguns trabalhos, poderem ser executados nas instalações do Primeiro outorgante sitas em Lisboa, Xxx Xxxxxxxx Xxxxxx Xxxxxxx, 0 A e/ou na Xxx Xxxxxxxx 00/00 e nos termos do disposto no número 2 da presente clásula.
2. A prestação dos serviços, oderá, sempre que necessário, ter de ser efetuada através de deslocações da Segunda outorgante aos diferentes serviços dos organismos e entidades referidas nos pontos 1, 2 e 3 da alinea c) do número II e VII do Anexo I do presente contrato.
Cláusula 3.ª
Prazo da prestação dos serviços
1. O contrato inicia a respetiva produção de efeitos, materiais e financeiros, após a fiscalização prévia do Tribunal de Contas e cessa a sua vigência, sem prejuízo das obrigações acessórias que devam perdurar para além da cessação, a 31 de dezembro de 2023.
2. Sem prejuízo do disposto no número anterior, a Segunda outorgante deverá concluir o objeto do presente contrato no prazo máximo de 74 (setenta e quatro) semanas de calendário a contar da data de início de produção de efeitos.
3. Sem prejuízo do disposto no número anterior, todos os sub projectos que não tenham dependências, deverão iniciar-se no prazo máximo de 60 (sessenta) dias após o início da produção de efeitos do contrato.
4. O Cronograma da execução dos trabalhos detalhado por sub projetos apresentado pela Segunda outorgante poderá ser redefinido em sede de Kick-off.
Cláusula 4.ª
Partes integrantes do contrato
1. O presente contrato é constituído pelos seus anexos e integra ainda:
a) Os suprimentos dos erros e omissões do caderno de encargos, identificados pelos concorrentes e expressamente aceites pela entidade adjudicante, nos termos previstos no artigo 61.º do CPP;
b) Os esclarecimentos e as retificações das peças do procedimento;
c) O caderno de encargos;
d) A proposta adjudicada.
2. Em caso de divergência entre os documentos referidos no número anterior, a prevalência é determinada pela ordem pela qual estão indicados.
3. Em caso de divergência entre os documentos referidos no n.º 1 e o clausulado do contrato e seus anexos, prevalecem os primeiros, salvo quanto aos ajustamentos propostos de acordo com o artigo 99.º do CCP e aceites pelo adjudicatário nos termos do disposto no artigo 101.º do mesmo Código.
Clausula 5.ª
Preço
1. Pela prestação dos serviços objeto do presente contrato, o Primeiro outorgante pagará à Segunda outorgante o montante máximo de € 3 214 988,00 (três milhões, duzentos e catorze mil, novecentos e oitenta e oito euros), acrescido do imposto sobre o valor acrescentado (IVA) à taxa legal em vigor
2. O preço referido no número anterior inclui todos os custos, encargos e despesas cuja responsabilidade não esteja expressamente atribuída ao Primeiro outorgante.
Cláusula 6.ª
Condições de pagamento e faturação
1. O pagamento dos serviços prestados, é efetuado da seguinte forma:
a) Pagamento inicial correspondente a 10% (dez por cento) do valor do contrato, mediante a prestação de caução de valor igual ao adiantamento efetuado, nos termos da alínea b) do n.º 1 do artigo 292.º do CCP;
b) O restante valor do contrato será faturado na proporção de 90 % dos valores propostos no Anexo V do Programa de Procedimento e após aceitação pelo Primeiro outorgante dos respetivos entregáveis.
2. As faturas com valores apurados nos termos enunciados nos números anteriores devem ser emitidas de forma detalhada pela Segunda outorgante e enviadas ao IFAP, IP para a respetiva sede ou por via eletrónica, mediante o acesso à plataforma da Entidade de Serviços Partilhados da Administração Pública, IP (ESPAP,IP), disponível em xxx.xxxxx.xxx.xx
3. A forma e o processo de pagamento regem-se de acordo com as disposições legais que regulamentam a realização e o processamento de despesas da administração central, aplicando-se, em caso de atrasos nos pagamentos, as disposições previstas no CCP e na legislação conexa.
Cláusula 7.ª
Obrigações da Segunda outorgante
Sem prejuízo de outras obrigações previstas na legislação aplicável, constituem obrigações da Segunda outorgante:
a) Cumprir integralmente o contrato;
b) Prestar os serviços objeto do contrato nos termos e de acordo com as características, as especificações e os requisitos técnicos definidos no ANEXO I ao presente contrato;
c) Coordenar e implementar todo e qualquer procedimento tendo em vista a realização das ações necessárias a prestação de serviços objeto do contrato;
d) Assegurar que os recursos humanos que afeta à prestação dos serviços objeto do contrato, detêm a formação académica ou a experiência profissional, a capacidade, o perfil e integridade profissionais adequadas ao desempenho das tarefas que lhes serão atribuídos, de forma correta, isenta e responsável;
e) Assegurar a substituição, num período máximo 5 dias úteis, de qualquer dos recursos propostos, que detenham a mesma formação e experiência profissional e perfil do recurso substituído;
f) Assegurar a inexistência de situações de incompatibilidade ou de conflito de interesses;
g) Observar as normas e procedimentos em vigor no Primeiro outorgante no âmbito da segurança dos sistemas de informação (ISO 27001:2013), em especial no âmbito da implementação de boas práticas, metodologia e segurança no desenvolvimento, nos acessos à informação e na gestão da mudança, os quais estão disponíveis para consulta;
h) Assegurar os princípios da confidencialidade, integridade e disponibilidade da informação de acordo com as boas práticas de segurança da informação, preferencialmente em conformidade com a norma ISO/IEC 27002:2013, garantindo o alinhamento com a certificação ISO/IEC 27001 do IFAP, I.P.;
i) Cumprir, na qualidade de subcontratante na aceção e para efeitos do disposto no n.º 8 do artigo 4.º do Regulamento (UE) nº 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril (o Regulamento Geral de Proteção de Dados ou RGPD), as regras relativas à proteção das pessoas singulares nos termos do seu artigo 3º do ditado Regulamento e de acordo com as condições definidas no ANEXO II ao presente contrato, do qual faz parte integrante;
j) Observar a Norma de Procedimentos Externa do IFAP, de 25-06-2020, constante do
XXXXX XXX ao presente contrato, do qual faz parte integrante;
k) Nas situações aplicáveis, a solução a implementar tem de obrigatoriamente cumprir a Lei 36/2011 consubstanciada no RNID - REGULAMENTO NACIONAL DE INTEROPERABILIDADE DIGITAL;
l) Todas as interações entre a Segunda outorgante e qualquer entidade que seja necessário envolver na execução do seviço deve obrigatoriamente ser efetuada na língua portuguesa, falada e escrita, num nível correspondente ao português não marcado, produzido pelos falantes escolarizados, designado por português padrão.
Cláusula 8.ª
Fiscalização
1. O Primeiro outorgante dispõe de poderes de fiscalização ao modo de execução do contrato, sempre que o julgue necessário, nos termos do artigo 305.º do CCP.
2. Para os efeitos previstos no número anterior, a Segunda outorgante obriga-se a prestar ao Primeiro outorgante ou às entidades por este designadas para o indicado fim, todos os esclarecimentos e informações necessárias à conveniente fiscalização dos trabalhos e a facilitar o acesso aos seus registos informáticos e a outros documentos, às instalações e aos equipamentos utilizados na execução do contrato.
3. Se a verificação vier a revelar que a Segunda outorgante não tem procedido ao cumprimento das suas obrigações contratuais, o Primeiro outorgante pode comunicar-lhe as recomendações que considere necessárias à correção dos defeitos e/ou deficiências eventualmente detetados, estipulando um prazo para a sua implementação, sem prejuízo da aplicação das penalidades ou de outras consequências contratualmente previstas.
4. A Segunda outorgante deve comprometer-se a implementar as recomendações formuladas no prazo estabelecido pelo Primeiro outrogante.
5. Caso as recomendações comunicadas pelo Primeiro outorgante não sejam implementadas no prazo estipulado para o efeito, assiste-lhe a faculdade de resolver o contrato com fundamento em incumprimento, nos termos previstos na cláusula 14.ª.
Cláusula 9.ª
Conflito de interesses
Os técnicos afetos à execução dos contratos devem prestar os serviços objeto do mesmo em respeito pelas regras e procedimentos em vigor no IFAP, I.P. relativamente à disciplina dos conflitos de interesses e de acumulação de funções.
Cláusula 10.ª
Dever de sigilo
1. A Segunda outorgante encontra-se obrigada a garantir o sigilo relativamente a toda a informação e documentação, de que os seus técnicos, ou terceiros por sua conta, xxxxxx a tomar conhecimento, ao abrigo ou em relação com a execução do contrato, sob pena de incorrer em responsabilidade civil e penal.
2. A informação e a documentação cobertas pelo dever de sigilo não podem ser transmitidas a terceiros, nem objeto de qualquer uso ou modo de aproveitamento que não o destinado direta e exclusivamente à execução do contrato.
Cláusula 11.ª
Responsabilidades
1. A Segunda outorgante assume a responsabilidade, por si e pelos técnicos seus trabalhadores ou colaboradores, independentemente do vínculo que com ele possuam, pela perfeita adequação dos trabalhos a realizar aos fins a que se destinam.
2. A Segunda outorgante é responsável por todos os atos e omissões dos quais possam resultar prejuízos para o Primeiro outorgante ou para terceiros, incluindo os praticados por ação ou omissão dos seus trabalhadores ou colaboradores, independentemente do vínculo que com ele possuam, ainda que tais atos ou omissões sejam praticados contra ordens ou instruções que aquele lhes haja transmitido.
3. A Segunda outorgante é responsável perante o Primeiro outorgante por qualquer indemnização que esta tenha de pagar a terceiros e por quaisquer pedidos, processos, danos, custos, perdas e despesas em que este incorra, na medida em que tal resulte de dolo, negligência, incumprimento ou cumprimentos defeituoso por parte da Segunda outorgante de qualquer das obrigações assumidas no contrato.
4. Se o Primeiro outorgante tiver de indemnizar terceiros, ou proceder ao pagamento de custos ou despesas de qualquer natureza, com fundamento na violação das obrigações pela Segunda outorgante, goza de direito de regresso contra esta última por todas as quantias despendidas, incluindo as despesas e honorários de mandatários forenses.
Cláusula 12.ª
Casos fortuitos ou de força maior
1. Nenhuma das partes incorrerá em responsabilidade se, por caso fortuito ou de força maior, entendendo-se como tal as circunstâncias, alheias à vontade da parte afetada, que a mesma não pudesse conhecer ou prever à data da celebração do contrato e cujos efeitos, não lhe sendo razoavelmente exigível contornar ou evitar, a impeçam de cumprir as obrigações assumidas com aquele contrato.
2. Podem constituir casos fortuitos ou de força maior, se se verificarem os requisitos do número anterior, designadamente, tremores de terra, inundações, incêndios, epidemias, sabotagens, greves ou outros conflitos de trabalho, atos de guerra ou terrorismo, motins.
3. A ocorrência de situações que possam consubstanciar casos fortuitos ou de força maior, bem como a data previsível para o restabelecimento da normalidade, devem ser comunicadas à outra parte, no prazo máximo de 5 dias após a ocorrência das mesmas ou, se razões devidamente justificadas impedirem o cumprimento deste prazo, assim que seja possível.
Cláusula 13.ª
Execução da caução
1. As cauções prestadas podem ser executadas pelo Primeiro outorgante, sem necessidade de prévia decisão judicial ou arbitral, para satisfação de quaisquer créditos resultantes de mora, cumprimento defeituoso ou incumprimento definitivo, pela Segunda outorgante, das suas obrigações contratuais ou legais, incluindo o pagamento de penalidades ou, ainda, para quaisquer outros efeitos especificamente previstos no contrato ou na lei.
2. A resolução do contrato pelo Primeiro outorgante não impede a execução da caução, desde que para tal haja motivo.
3. A execução parcial ou total da caução referida no n.º 1 da presente cláusula constitui a Segunda outorgante na obrigação de renovar o respetivo valor, no prazo de 15 dias seguidos após notificação do Primeiro outorgante para esse efeito.
Cláusula 14.ª
Resolução do contrato
1. Sem prejuízo de outros fundamentos previstos na lei, nomeadamente nos artigos 333.º a 335.º do CCP, o Primeiro outorgante poderá também resolver o contrato nos casos a seguir indicados:
a) Incumprimento ou cumprimento defeituoso do contrato por facto imputável à Segunda outorgante;
b) Dissolução ou falência da Segunda outorgante;
c) Incumprimento dos prazos determinados, por facto imputável à Segunda outorgante;
d) Cessão da posição contratual ou subcontratações não previamente mencionadas na proposta adjudicada, sem prévia aprovação escrita por parte do Primeiro outorgante;
e) Incumprimento das políticas, práticas e procedimentos de segurança de informação do IFAP, IP, incluindo as relativas às situações de incompatibilidade e de conflitos de interesse;
f) A recusa da implementação das recomendações comunicadas pelo Primeiro outorgante na sequência de ações de verificação e de fiscalização ao cumprimento do contrato.
2. A resolução do contrato não prejudica a utilização plena pelo Primeiro outorgante do que à data se encontrar produzido e entregue.
3. O disposto no presente artigo não prejudica a aplicação de quaisquer penalidades que se mostrem devidas, nem a reclamação de indemnização por danos, nos termos gerais de direito.
Cláusula 15.º
Penalidades dos contratos
1. Em caso de incumprimento ou cumprimento defeituoso, pela Segunda outorgante, das obrigações previstas no contrato, por razões que lhe sejam imputáveis, e sem prejuízo da aplicação de outras sanções que ao caso couberem, será aplicada, dentro dos limites legalmente previstos, uma sanção pecuniária por dia, calculada de acordo com a seguinte fórmula:
P= V x A/518 (74 semanas)
em que:
P = montante da penalidade;
V = valor referente ao custo proposto, para a componente alvo de incumprimento;
A = número de dias em que se mantém o incumprimento ou cumprimento defeituoso.
2. A sanção pecuniária prevista no número anterior não obsta a que o Primeiro outorgante exija uma indemnização pelo dano excedente.
3. O Primeiro outorgante poderá deduzir nas quantias devidas à Segunda outorgante, a importância correspondente às penalidades aplicadas, nos termos do n.º 3 artigo 333.º do CCP.
Cláusula 16.ª
Cessão da posição contratual e subcontratações
A cessão da posição contratual ou a subcontratação está sujeita a autorização do Primeiro outorgante e à verificação das demais regras previstas nos artigos 316.º a 319.º do CCP.
Cláusula 17.ª
Modificação objetiva do contrato
A modificação objetiva do contrato, no decurso da sua vigência, está dependente da verificação dos respetivos pressupostos legais.
Cláusula 18.ª
Comunicações
1. Sem prejuízo do trabalho presencial, as comunicações entre o Primeiro outorgante e a Segunda outorgante devem ser redigidas em português e ser efetuadas, preferencialmente, através de correio eletrónico com aviso de entrega ou de outro meio de transmissão escrita e eletrónica de dados, por fax ou, ainda, por meio de carta registada com aviso de receção, para as moradas identificadas no contrato.
2. As notificações e as comunicações consideram-se recebidas:
a) Na data constante da respetiva comunicação de receção transmitida pelo recetor ao emissor, quando efetuadas através de correio eletrónico ou de outro meio de transmissão escrita e eletrónica de dados ou na data constante do relatório de transmissão, quando efetuado através de fax, salvo se efetuadas depois das 17:00 horas do local de receção ou em dia não útil, casos em que se presume que a comunicação foi recebida às 10 horas do dia útil seguinte;
b) Na data de assinatura do aviso de receção ou, na falta dessa assinatura, na data indicada pelos serviços postais, quando efetuadas por carta registada com ou sem aviso de receção.
Cláusula 19.ª
Fiscalização prévia e produção de efeitos
1. Os contratos estão sujeitos à fiscalização prévia do Tribunal de Contas, nos termos da alínea
c) do artigo 5.º e do artigo 46.º ambos da Lei de Organização e Processo do Tribunal de Contas, na sua última redação, e só produzirão efeitos materiais e financeiros, no dia
seguinte ao da notificação à Segunda outorgante, do visto ou da declaração de conformidade daquele Tribunal, nos termos do n.º 4 do artigo 45.º da mesma Lei.
2. Os encargos relativos aos emolumentos devidos ao Tribunal de Contas por conta do visto a que o contrato está sujeito são da responsabilidade da Segunda outorgante, não podendo ser feitos quaisquer pagamentos sem que se mostrem liquidados os referidos emolumentos.
Cláusula 20.ª
Gestor
Nos termos e para efeitos do disposto no artigo 290.º - A do CCP, o Primeiro outorgante designou como Gestor do contrato o Senhor Dr.º Fausto Portugal, Diretor do Departamento de Sistemas de Informação do IFAP,IP, com a função de acompanhar permanentemente a execução destes.
Cláusula 21.ª
Legislação aplicável
A tudo o que não esteja especialmente previsto no presente contrato aplica-se o disposto no CCP e na legislação conexa.
Cláusula 22.ª
Foro competente
Para a resolução de todos os litígios emergentes do cumprimento do contrato é competente o Tribunal Administrativo do Círculo de Lisboa com renúncia expressa a qualquer outro.
Lisboa, 28 de julho de 2022
O Primeiro outorgante A Segunda outorgante
XXXX XXXXXX
Assinado de forma digital por XXXX XXXXXX XXXXX XXXXXX
Assinado por: XXX XXXXX XXXXXXX XXXXX
Num. de Identificação: 11233958
+01'00'
XXXXX XXXXXX Xxxxx: 2022.07.29 09:31:05
Data: 2022.07.28 16:36:09+01'00'
ANEXO I
CARACTERÍSTICAS, ESPECIFICAÇÕES E REQUISITOS TÉCNICOS DA PRESTAÇÃO DE SERVIÇOS
I CONSIDERANDOS:
I. No final do ano de 2020, o Ministério da Agricultura aprovou um instrumento de orientação estratégica a 10 anos: a Agenda de Inovação para a Agricultura 20|30;
II. A Agenda de Inovação para a Agricultura 20|30 permite responder ao duplo desafio da transição climática e digital e ser a base para a transformação do setor agrícola em Portugal até 2030, apresentando 5 grandes metas, um total de 70 linhas de ação e 15 grandes iniciativas emblemáticas, entre as quais duas estritamente estruturantes para que o Ministério da Agricultura possa concretizar a sua transformação digital: as iniciativas i) Portal Único da Agricultura e ii) Reorganiza;
III. O Plano de Recuperação e Resiliência (PRR) da área Governativa da Agricultura, na sua Componente 5 – Investigação e Inovação – e na reforma “Agenda de investigação e inovação para a sustentabilidade da agricultura, alimentação e agroindústria”, consagra um programa de transformação digital suportado por 5 projetos estruturantes e 1 pólo de inovação digital (cloud), materializado nas seguintes metas:
a. Conclusão de projetos de inovação e investigação focalizados nos aspetos digitais da Agenda de Inovação para a Agricultura 2030 (isto é, 5 projetos estruturantes até ao 3º trimestre de 2025, referentes à dimensão da transição digital)
b. Renovação/requalificação de polos de inovação agrícola (isto é, 24 projetos, um dos quais o pólo de inovação digital, até ao 4º trimestre de 2025, referentes à dimensão da transição climática)
IV. O programa de transformação digital do Ministério da Agricultura, integra assim um total de 6 iniciativas ou projetos e respetivos sub projetos, a saber:
a. Plano de Ação para a Transformação Digital (projeto estruturante n.º 1/transição digital)
i. Visão 360º do agricultor
ii. Diagnóstico de maturidade digital
iii. Diagnóstico de cibersegurança
iv. Estratégia de transformação digital e plano de ação
v. Governance do programa de acompanhamento estratégico e melhoria continua para a transformação do Ministério da Agricultura
vi. Programa de acompanhamento estratégico e melhoria continua
b. Data Lake & Analytics (projeto estruturante n.º 2/transição digital)
i. Assessment às fontes de informação e dados existentes
ii. Programa de Governo de Dados
iii. Data Lake
iv. Políticas de acesso a dados
v. Modelo analítico de suporte ao negócio
vi. Quadro de Desempenho (Dashboard estratégico)
vii. STATSTAT
c. Portal Único (projeto estruturante n.º 3/transição digital)
i. Portal Único da Agricultura
ii. Plataforma de Interoperabilidade (interna e externa)
iii. Evolução dos Sistemas Mobile para suporte à operação (IFAP Mobile+)
iv. Sistema de Avisos Agrícolas
v. SAAF - Sistema de Aconselhamento Agrícola e Florestal
vi. LabAnálises - Sistema de recolha de análises
vii. Sistema de Ferramentas de Gestão Agrícola
viii. Sistema Nacional de Informação do Regadio
ix. SREA - Sistema de Registo de Equipamentos Agrícolas
x. FitoFarm - Desenho e implementação de sistema de gestão de aplicação de produtos fitofarmacêuticos
d. Reogarniza (projeto estruturante n.º 4/transição digital)
i. Modelo organizacional, de governo e competências do Ministério da Agricultura
ii. Definição da estratégia de cibersegurança
iii. Plano de ação para a digitalização e automação de processos
iv. Fábrica de processos - set up
v. Fábrica de processos - implementação de processos prioritários
vi. Programa de gestão da mudança
vii. Programa de formação para a gestão da mudança - capacitação do capital humano
viii. Programa de comunicação para a gestão da mudança
ix. Conceptualização e criação das peças de comunicação para a gestão da mudança
e. Fraude & Fiscalização (projeto estruturante n.º 5/transição digital)
i. Sistema de controlo de fraudes
ii. Sistema de fiscalização
f. Cloud (projeto referente ao pólo de inovação digital/transição climática)
i. Visão e estratégia da Jornada para a Cloud;
ii. Levantamento, avaliação e seleção do parque aplicacional a migrar para a Cloud;
iii. Modelo de governo, modelo operativo e plano de transição para a Cloud;
iv. Definição da arquitetura cloud, landing zone e plano de migração;
v. Set up da arquitura cloud e da landing zone;
vi. Apoio à transformação da cibersegurança;
vii. Infraestrutura Cloud;
viii. Migração Cloud.
V. O programa de transformação digital do Ministério da Agricultura procurará i) acelerar a transição digital e a transição climática do Ministério, fazendo evoluir o seu modelo operativo, modernizando tecnologicamente sistemas e processos, contribuindo para a melhoria da experiência dos utilizadores internos e externos e diminuindo a pegada carbónica; ii) atuar sobre a cultura interna do Ministério da Agricultura no sentido de atingir um desempenho organizacional de excelência e iii) aumentar a relevância dos diferentes serviços do Ministério da Agricultura junto de todos os seus públicos-alvo;
VI. O IFAP, I.P. – Instituto de Financiamento da Agricultura e das Pescas, enquanto instituto público de regime especial, assumiu o papel de beneficiário direto para as 6 iniciativas ou projetos ligados ao programa de transformação digital do Ministério da Agricultura;
VII. Uma vez que ao IFAP,IP cabem as seguintes atribuições:
a. Garantir o funcionamento dos sistemas de apoio e de ajudas diretas nacionais e comunitárias e a aplicação, a nível nacional, das regras comuns para os regimes de apoio direto no âmbito da política agrícola comum;
b. Garantir o cumprimento da função de organismo pagador do Fundo Europeu Agrícola de Garantia (FEAGA) e do Fundo Europeu Agrícola de Desenvolvimento Rural (FEADER);
c. Garantir o cumprimento da função de autoridade de certificação no âmbito do Fundo Europeu dos Assuntos Marítimos e das Pescas (FEAMP), bem como de organismo intermédio, na aceção do Reg. (UE) n.º 508/2014, do Parlamento Europeu e do Conselho, de 15 de maio, e do estabelecido no Decreto-Lei n.º 137/2014, de 12 de setembro, e no Despacho n.º 2650-B/2016, de 19 de fevereiro;
d. Executar a política estratégica na área das tecnologias de informação e comunicação, para o setor da agricultura e pescas, assegurando a construção, gestão e operação das infraestruturas na respetiva área de atuação;
e. Apoiar o desenvolvimento da agricultura e das pescas, bem como do setor agroalimentar, através de sistemas de financiamento direto e indireto.
VIII. O IFAP pretende, através do presente procedimento escolher o parceiro para analisar e desenhar uma solução tecnológica integrada, sob a forma de uma Plataforma Tecnológica para dar resposta а necessidades diversas de operação, а partir de um vasto conjunto de dados não agregados е não estruturados assim como de múltiplos processos de trabalho e de gestão de informação nos diversos organismos do Ministério da Agricultura;
IX. Esta Plataforma Tecnológica será concretizada pela junção dos três primeiros projetos referidos no ponto IV (a, b, c) e os três últimos projetos (d, e, f) que complementam o programa de transformação digital e destinam-se a reforçar as capacidades de cibersegurança dos diferentes organismos do Ministério da Agricultura, assim como a migração para a cloud das aplicações prioritárias e apoiar a transformação organizacional pela implementação de um programa de gestão de mudança e de uma fábrica de processos;
X. Esta Plataforma Tecnológica deve também, de forma inteligente, suportar modelos analíticos e preditivos para melhor apoiar a tomada de decisão no seio do Ministério da Agricultura e definir melhores opções de gestão;
XI. Esta Plataforma e serviços deverá ter em conta, as diversas diretrizes já emanadas pela Administração Pública Portuguesa, nomeadamente:
a. Integração com o serviço xxxxxxxxxxxx.xxx.xx para a autenticação segura de utilizadores e seus atributos;
b. Reutilização de dados disponíveis por outros serviços ou entidades através da AP implementando o princípio once-only;
c. Publicação dos metadados dos dados registados no contexto da realização do serviço no catálogo de dados associado à iAP e sua disponibilização a outros serviços através da iAP;
d. Publicação dos serviços disponíveis e seus metadados no CES-Catálogo de Entidades e Serviços;
e. Integração no portal nacional de serviços públicos xXxxxxxxx.xxx.xx;
f. Disponibilização dos serviços e conteúdos pelo menos nos idiomas português e inglês;
g. Adoção de linguagem clara conforme os guias de boas práticas;
h. Conformidade com as melhores práticas no que respeita a usabilidade e acessibilidade a um nível equivalente ou superior ao exigido pelo "selo de prata de usabilidade e acessibilidade digital";
i. Disponibilização de funcionalidade de avaliação da satisfação com os serviços de acordo com o referencial de avaliação transversal à AP;
j. Disponibilização de dados estatísticas relativos ao atendimento, incluindo volumes, tempos de espera e satisfação para efeitos de priorização de iniciativas estratégicas de melhoria da qualidade dos serviços;
k. Publicação automática, preferencialmente a tempo real, dos dados abertos associados ao serviço;
l. Reutilização dos serviços transversais à AP, nomeadamente: GAP-gateway de mensagens da AP, PPAP-Plataforma de pagamentos da AP: SPNE Serviço Público de Notificações Eletrónicas; LAE-Livro Amarelo Eletrónico; Plataforma de Gestão de Relacionamento da AP;
m. Utilização do framework de adoção de modelos de computação na nuvem nos processos de definição de arquitetura das soluções;
n. Conformidade com as políticas transversais de privacidade de dados da AP;
o. Conformidade com o DNRES-Quadro Nacional de Referência para a Cibersegurança.
Em conformidade com o exposto, são definidas as seguintes cláusulas técnicas:
II. CARACTERÍSTICAS, ESPECIFICAÇÕES E REQUISITOS TÉCNICOS DA PRESTAÇÃO DE SERVIÇOS PARA O LOTE 1
a) Âmbito dos Serviços a prestar pelo prestador de serviços:
1. O IFAP,IP pretende, através do presente procedimento, escolher o parceiro para analisar e desenhar uma solução integrada, sob a forma de uma Plataforma Tecnológica para dar resposta а necessidades diversas de operação, а partir de um vasto conjunto de dados não agregados е não estruturados assim como de múltiplos processos de trabalho e de gestão de informação nos diversos organismos do Ministério da Agricultura;
2. Para o presente procedimento pretende-se serviços que efetuem um levantamento, junto de todos os stakeholders relativamente aos diversos sub projetos que integram o objeto do procedimento e que proponham a Plataforma Tecnológica integrada. Estes serviços englobam alguns sub projetos de 4 (quatro) dos 6 (seis) projetos estruturantes, que devem ser vistos de forma integrada, a saber:
a. Plano de Ação para a Transformação Digital (projeto estruturante n.º 1/transição digital)
b. Data Lake & Analytics (projeto estruturante n.º 2/transição digital)
c. Reogarniza (projeto estruturante n.º 4/transição digital)
d. Cloud (projeto referente ao pólo de inovação digital/transição climática)
3. O âmbito dos serviços a prestar pelo adjudicatário prevê a conclusão de todos os serviços no prazo máximo de 74 semanas.
4. O projeto identificado nos números anteriores será dividido em sub projetos a serem apresentados e descritos nos capítulos seguintes do presente caderno de encargos.
5. Todos os documentos entregáveis elaborados pelo prestador de serviços, no âmbito do presente procedimento, têm que ser claros, seguir uma estrutura standard e serem suficientemente detalhados quanto ao seu conteúdo. Todos os documentos apresentados terão de ser formalmente aceites pelo contraente público.
b) Objetivos Gerais
Esta solução de plataforma tecnológica deve contribuir de forma inovadora e decisiva para melhorar a experiência do agricultor e dos stakeholders do setor agrícola em Portugal, garantir a
centralização da informação, apoiar a tomada de decisão e aumentar а eficiência interna dos próprios serviços.
Os serviços a propor na área da cibersegurança e da cloud devem permitir ao Ministério da Agricultura reforçar a segurança informática das suas aplicações e dos seus dados, para além de contribuir para a transformação organizacional e a melhoria da eficiência do modelo operativo dos seus diferentes serviços, permitindo assim contribuir de forma inovadora e decisiva para melhorar a experiência do agricultor e dos stakeholders do setor agrícola em Portugal ao aceder aos diferentes canais digitais para estabelecer contactos com o Ministério.
c) Identificação dos utilizadores da Plataforma Tecnológica)
1. São utilizadores técnicos-internos do Ministério da Agricultura, a ter em conta no âmbito da prestação dos serviços a contratar, os técnicos e dirigentes pertencentes a:
a. IFAP,IP
b. GPP - Gabinete de Planeamento e Políticas
c. DGADR
d. DGAV
e. INIAV
f. Direções Regionais de Agricultura e Pescas
g. Autoriade de Gestão do PDR
h. IVV
i. IVDP
j. Companhia das Lezírias
k. EDIA – Empresa de Desenvolvimento das Infraestruturas do Alqueva
l. Inspeção Geral
m. Gabinetes dos membros do Governo
2. São utilizadores técnicos-externos ao Ministério da Agricultura, a ter igualmente em conta no âmbito da prestação dos serviços a contratar:
a. Confederações do setor
b. Federações e associações do setor
c. Comissões de Coordenação e Desenvolvimento Regional
d. Comunidades Intermunicipais
e. Municípios
f. INE
e. Entidades do Sistema Científico e Tecnológico Nacional
3. São utilizadores externos ao Ministério da Agricultura, a ter também em conta no âmbito da prestação dos serviços a contratar:
a. Agricultores
b. Empresas agrícolas e agroindustriais
4. Estima-se que em termos de volumetria, a Plataforma Tecnológica deva suportar o seguinte número mínimo de utilizadores:
• 2.000 utilizadores internos registados com perfil “Técnicos e Dirigentes do Ministério da Agricultura” (utilizadores-técnicos internos)
• 2.000 utilizadores registados com perfil “Técnico – Externo” (utilizadores-técnicos externos)
• 500.000 utilizadores registados no perfil “Agricultor” (utilizadores externos)
5. Pela natureza da sua atividade, todas estas entidades geram e consomem quantidades elevadas de informação e conhecimento, lidam com múltiplos procedimentos, tanto específicos da sua unidade como articulados com outras unidades e com o exterior, sendo essencial o rigor, a rastreabilidade e a agilidade da execução para concretizar este projeto de transformação digital.
III. PROJETO ESTRUTURANTE N.º 1 – PLANO DE AÇÃO PARA A TRANSFORMAÇÃO DIGITAL
a) Sub-projetos que integram o projeto estruturante n.º 1 do presente procedimento
1. O “Plano de Ação para a Transformação Digital” assume-se como o primeiro projeto estruturante ligado ao programa de transformação digital do Ministério da Agricultura.
2. É integrado pelos seguintes sub projetos:
a. Visão 360º do agricultor
b. Diagnóstico de maturidade digital
c. Diagnóstico de cibersegurança
d. Estratégia de transformação digital e plano de ação
3. Para os diferentes sub projetos listados no ponto anterior, os proponentes deverão propor a melhor metodologia a desenvolver para cumprir com os objetivos definidos, as atividades a realizar, o planeamento detalhado das mesmas e os entregáveis a considerar.
b) Visão 360º do agricultor
1. Com este sub projeto pretende-se aprofundar, detalhar e conhecer os vários perfis de Agricultores e a sua relação com o Ministério de Agricultura de forma a construir uma visão 360º da sua relação no dia-a-dia identificando oportunidades e iniciativas para uma melhor gestão da relação e das suas necessidades de forma ágil e simples.
2. São objetivos deste sub projeto:
a. Contribuir para a caracterização e tipificação dos vários perfis dos Agricultores;
b. Criação da jornada dos vários perfis dos Agricultores para criar um entendimento aprofundado da sua relação e os vários momentos de interação;
c. Identificar e mapear os vários intervenientes ao longo da jornada do Agricultor, as suas necessidades, serviços com que interagem, os seus objetivos e maiores dificuldades;
d. Dar visibilidade e permitir a eficiente gestão do Ministério da Agricultura em toda a sua relação com os agricultores;
e. Identificar e mapear oportunidades de criação/melhoria de serviços e produtos para melhorar a relação e a experiência do Agricultor com o Ministério da Agricultura;
f. Identificar e mapear as várias fontes de informação e dados necessários à melhoria dos vários pontos de contacto e interações com os Agricultores;
g. Identificar oportunidades de segmentação e personalização das comunicações efetuadas entre o Ministério da Agricultura e os vários perfis dos Agricultores, bem como os canais e formatos através dos quais estas serão veiculadas;
3. São exemplos de atividades a considerar neste sub projeto:
a. Pesquisa etnográfica quantitativa com os vários perfis de Agricultores;
b. Pesquisa etnográfica qualitativa com os vários perfis de Agricultores;
c. Definir Arquétipos/Personas (Agricultores);
d. Definição da jornada atual dos Agricultores;
e. Identificar as fontes de informação, dados e vários intervenientes ao longo da jornada atual.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Relatório de definição da Visão 360º do Agricultor, incluindo a estruturação de Arquétipos/Personas e a jornada futura do Agricultor;
b. Lista de oportunidades acionáveis para a criação/melhoria de novos produtos e serviços alinhados às necessidades do Agricultor na sua relação com o Ministério da Agricultura;
c. Lista de oportunidades acionáveis para segmentação e personalização da comunicação entre os Agricultores e o Ministério da Agricultura, os seus vários formatos e canais pelas quais são veiculadas;
d. Relatório de definição de alto-nível das oportunidades identificadas na Visão 360º do Agricultor do ponto de vista funcional tecnológico e de dados.
c) Diagnóstico de maturidade digital
1. Com este sub projeto pretende-se desenvolver e levar a cabo um modelo de diagnóstico digital das entidades que formam o Ministério da Agricultura, nas suas diversas dimensões, com o objetivo último de estabelecer as bases e guias orientadoras para o caminho na jornada de transformação digital.
2. São objetivos deste sub projeto:
a. Analisar a maturidade digital dos diferentes serviços e organismos do Ministério da Agricultura establecendo as bases para a criação de um programa de iniciativas para a transformação digital nas suas diversas dimensões
3. São exemplos de atividades a considerar neste sub projeto:
a. Avaliar o atual grau de maturidade digital mediante um roadshow de reuniões de levantamento apoiadas por um questionário de diagnóstico, devidamente adaptado ao setor e realidade do Ministério da Agricultura;
b. Identificar as oportunidades e definir a visão em três grandes vertentes aplicadas às entidades e/ou funções do Ministério da Agricultura:
i. Foco relacional – transformação digital da relação com entidades e utilizadores externos, nomeadamente nos fluxos de fornecimento de serviços, informação e outras componentes relacionais;
ii. Foco operacional – transformação no sentido de proporcionar ganhos de eficiência e efetividade das operações e processos internos que compõem a cadeia de valor do Ministério da Agricultura;
iii. Foco habilitacional – transformação dos elementos que servem de base, habilitam ou dão precedência às iniciativas subjacentes nos focos relacional e habitacional ou, não cumprindo a condição anterior, consideram-se estratégicos para a sustentabilidade digital do Ministério da Agricultura.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Relatório de maturidade digital segundo o modelo utilizado, instanciado e aplicado às entidades do Ministério com o seu nível de maturidade e ambição.
d) Diagnóstico de cibersegurança)
1. Com este sub projeto pretende-se desenvolver o modelo de diagnóstico de capacidades de cibersegurança das entidades que formam o Ministério da Agricultura, com o objetivo de perceber o estado atual do nível de resiliência da cibersegurança que irá servir como a fonte principal na definição das iniciativas estratégicas de melhoria de capacidades de cibersegurança.
2. São objetivos deste sub projeto:
a. Envolver todos os stakeholders para validar o estado atual do nível de resiliência da cibersegurança dos diferentes serviços e organismos do Ministério da Agricultura;
b. Aumentar o entendimento relativo a importância dos temas de cibersegurança;
c. Definir a postura de cibersegurança baseada em standards de indústria e orientações nacionais e europeias (exemplo: o Quadro Nacional de Referência para a Cibersegurança)
3. São exemplos de atividades a considerar neste sub projeto:
a. Identificar os compromissos de cibersegurança com a transformação digital e a estratégia de evolução do Ministério da Agricultura;
b. Identificar e envolver os stakeholders (i.e., os proprietários de todas as infraestruturas e serviços críticos, departamentos e áreas);
c. Definir a visão, âmbito, objetivos e prioridades estratégicas para os próximos anos;
d. Realizar uma avaliação de risco e da maturidade de cibersegurança utilizando os frameworks de melhores práticas;
e. Identificar ativos e serviços críticos;
f. Avaliar os riscos que possam afetar os ativos críticos e avaliar as capacidades existentes para os proteger;
g. Identificar as capacidades mínimas de cibersegurança em falta;
h. Detetar as inconformidades para com o estado de maturidade desejável no futuro.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Relatório com a descrição do estado de situação atual da maturidade de cibersegurança em todos os organismos do Ministério da Agricultura, contendo:
i. Lista de ativos e serviços críticos;
ii. Lista de riscos que afetam os ativos críticos e as capacidades existentes;
iii. Lista de stakeholders críticos;
iv. Lista das inconformidades registadas e não alinhadas com as melhores práticas de segurança (de acordo com o Quadro Nacional de Referência para a Cibersegurança - QNRCS);
v. Identificação das capacidades mínimas de cibersegurança em falta.
e) Estratégia de transformação digital e plano de ação
1. Com este sub projeto pretende-se desenvolver um plano de ação que descreverá como o Ministério da Agricultura deverá elevar a sua maturidade digital nas 3 vertentes de análise (foco relacional; foco operacional; foco habilitacional) e posicionar-se estrategicamente na economia digital.
Pretende-se que o atual Portal Único da Agricultura (PUA) se assuma como o ponto central e, tendencionalmente, único para todos os contactos entre os Agricultores e o Ministério da Agricultura. Mais ainda, deve assumir-se como um canal capaz de centralizar as interações dos produtores agrícolas com as várias entidades com as quais se relacionam no contexto da sua atividade, bem como disponibilizar um conjunto de informação relevante para fomentar produtividade e sustentabilidade da produção agrícola e eficiência na gestão de recursos. Neste sentido, as iniciativas de desenvolvimento propostas resultantes do presente procedimento deverão sê-lo feito na perspetiva de integração com o Portal Único da Agricultura já que este irá disponibilizar uma plataforma base para um conjunto de Módulos de funcionalidades, que se deverão integrar entre si, proporcionando uma experiência de utilização fluida e assegurando uma arquitetura de dados estruturante. Conceptualmente, pretende-se que esta plataforma, inserida no PUA, seja a plataforma agregadora de todos os módulos/sistemas que venham a ser desenvolvidos de forma modular e flexível, altamente parametrizável e configurável. O PUA está construído de acordo com as melhores práticas do mercado, numa plataforma aberta e baseada em standards, permitindo que a integração com outros módulos/sistemas não esteja dependente de uma linguagem de programação específica.
2. São objetivos deste sub projeto:
a. Definir a visão para a transformação digital e os principais objetivos;
b. Definir as principais iniciativas a serem desenvolvidas e integradas no Portal Único da Agricultura, assim como o calendário de implementação.
3. São exemplos de atividades a considerar neste sub projeto:
a. Definir uma direção e realizar um exercício de benchmarking relativo a outras organizações pioneiras em países de referência;
b. Definir um portfólio de potenciais iniciativas estratégicas numa dinâmica de co- criação;
c. Identificar os fatores de priorização e as condicionantes de calendarização de iniciativas.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento de definição da Estratégia para a Transformação Digital e respectivos atributos e pilares estratégicos;
b. Relatório de potenciais iniciativas de Transformação Digital nas 3 vertentes de análise (foco relacional; foco operacional; foco habilitacional);
c. Relatório de portfolio de iniciativas priorizadas, de acordo com os critérios de priorização definidos e identificação das capacidades chave necessárias para apoiar a implementação;
d. Roadmap de implementação de alto-nível até final de 2025.
e. Documento de requisitos técnicos detalhados com as especificações aplicacionais e de infraestrutura de suporte para o desenvolvimento e implementação dos sub-projetos “Sistema de controlo de fraudes” e “Sistema de fiscalização”, considerando as especificações do capítulo III do Anexo IV do presente caderno de encargos;
f. Documento com as métricas de custeio que permita obter o esfroço financeiro para implementação dos subprojetos a partir dos requisitos definidos no ponto anterior.
IV. PROJETO ESTRUTURANTE N.º 2 – DATA LAKE & ANALYTICS
a) Sub projetos que integram o projeto estruturante n.º 2 do presente procedimento
1. O projeto de “Data Lake & Analytics” assume-se como o segundo projeto estruturante ligado ao programa de transformação digital do Ministério da Agricultura.
2. É integrado pelos seguintes sub projetos:
a. Assessment às fontes de informação e dados existentes
b. Programa de Governo de Dados
c. Políticas de acesso a dados
3. Para os diferentes sub projetos listados no ponto anterior, os proponentes deverão propor a melhor metodologia a desenvolver para cumprir com os objetivos definidos, as atividades a realizar, o planeamento detalhado das mesmas e os entregáveis a considerar.
b) Assessment às fontes de informação e dados existentes
1. Com este sub projeto pretende-se avaliar as fontes de informação e disponibilidade dos dados existentes para criação de visão unificada de informação alinhada com a visão 360 do agricultor.
2. São objetivos deste sub projeto:
a. Identificar e avaliar as fontes de dados existentes no Ministério da Agricultura, consideradas relevantes para a visão 360º do agricultor;
b. Analisar gaps entre requisitos da visão 360º do agricultor e informação existente e identificar (alto nível) as ações necessárias para a sua disponibilização;
c. Avaliar alto nível os processos necessários à criação do repositório central de informação, alinhado com a visão 360º do agricultor.
3. São exemplos de atividades a considerar neste sub projeto:
a. Realizar um diagnóstico às fontes de informação (tendo em conta as especificações definidas no sub projeto “Visão 360º do agricultor”);
b. Definir um roadmap de atividades para integrar informação no Data Lake (DL).
c. Identificar e priorizar as entregas previstas bem como os princípios orientadores a assegurar durante esta fase.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento de assessment às fontes de informação e dados existentes e análise de gaps;
b. Roadmap de atividades para integração da informação no repositório central de informação.
c) Programa de Governo de Dados
1. Com este sub projeto pretende-se definir o modelo operativo de governo de dados (data governance, políticas e processos de governos, definição de KPI de monitorização).
2. São objetivos deste sub projeto:
a. Definir um modelo operacional de dados eficiente (como orquestrar processos, tecnologia, pessoas e informação), através da definição de métodos de trabalho, roles e responsabilidades necessárias para a gestão e governo dos dados do Ministério da Agricultura;
b. Definir as capacidades de gestão de dados fundacionais, através da identificação e priorização dos domínios de dados/informação, disponibilização dos processos core para a sua gestão e alinhamento com as regras de compliance do Ministério da Agricultura;
c. Identificar e definir os KPI chave para avaliar a capacitação de governo de dados.
3. São exemplos de atividades a considerar neste sub projeto:
a. Definir um Modelo de Governo de Dados (MGD);
b. Construir as políticas e as normas que formalizam o modelo de Governo de Dados;
c. Criar um blueprint dos processos que suportarão o governo dos dados, enquadramento no catálogo de processos e identificação de impactos nos processos existentes;
d. Identificar e definir KPI de processo de governo e qualidade de dados;
e. Identificar e priorizar todos os domínios de dados;
f. Criar uma proposta de tooling adequado ao programa de governo de dados;
g. Identificar e descrever use cases a executar
h. Construir o roadmap de implementação.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento com definição do Modelo de Governo de Dados (MGD);
b. Documento com descrição de políticas e normas de dados;
c. Blueprint de processos de governo de dados e respetivos KPI de controlo e monitorização;
d. Benchmark de ferramentas mais adequadas ao Ministério da Agricultura para gestão de informação.
d) Políticas de acesso a dados
1. Com este sub projeto pretende-se definir as políticas de acesso a dados na organização. A política de acesso a dados deverá garantir a especificação de: i) Acesso a Dados; ii) Direitos de Acesso; iii) Auditoria e Compliance; iv) Gestão de Entidades.
2. São objetivos deste sub projeto:
a. Definir as políticas de governo que garantam o acesso a informação por parte de pessoas ou outros organismos do Ministério da Agricultura, desde que devidamente autorizadas para o efeito;
b. Identificar e classificar a informação de acordo com o seu grau de sensibilidade de modo a que se possa garantir a implementação das políticas e procedimentos de acesso mais adequados.
3. São exemplos de atividades a considerar neste sub projeto:
a. Desenhar as políticas e procedimentos de acesso à informação;
b. Catalogar informação e classificar de acordo com o seu grau de sensibilidade, domínio, entidade e/ou outros;
c. Identificar padrões de consumo, personas e hierarquias de acesso à informação;
d. Definir roles e responsabilidades de acordo com diferentes tipos de informação;
e. Desenhar processos de monitorização e auditoria.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento que materializa a definição de roles, responsabilidades, políticas e procedimentos de acesso a dados;
b. Documento com catalogação e classificação de informação de acordo com o seu grau de sensibilidade e correspondência com personas/hierarquias de acesso;
c. Documento com a definição do dos processos de monitorização e auditoria.
d. Documento de requisitos técnicos detalhados com as especificações aplicacionais e de infraestrutura de suporte para o desenvolvimento e implementação dos sub-projetos “Data Lake”, “Modelo analítico de suporte ao negócio, “Quadro de Desempenho - Dashboard estratégico”” e “STATSTAT”, considerando as especificações do capítulo I do Anexo IV do presente caderno de encargos;
e. Documento com as métricas de custeio que permita obter o esfroço financeiro para implementação dos subprojetos a partir dos requisitos definidos no ponto anterior.
V. PROJETO ESTRUTURANTE N.º 4 - REORGANIZA
a) Sub projetos que integram o projeto estruturante n.º 4 do presente procedimento
1. O “Reorganiza” assume-se como o quarto projeto estruturante ligado ao programa de transformação digital do Ministério da Agricultura.
2. É integrado pelos seguintes sub projetos:
a. Modelo organizacional, de governo e competências do Ministério da Agricultura
b. Definição da estratégia de cibersegurança
3. Para os diferentes sub projetos listados no ponto anterior, os proponentes deverão propor a melhor metodologia a desenvolver para cumprir com os objetivos definidos, as atividades a realizar, o planeamento detalhado das mesmas e os entregáveis a considerar.
b) Modelo organizacional, de governo e competências do Ministério da Agricultura
1. Com este sub projeto pretende-se aferir a adequabilidade e eficácia da organização atual do Ministério da Agricultura e das várias entidades que o compõem, no que concerne às suas estruturas, modelo de governo e competências para dar resposta aos desafios atuais e futuros e às diferentes solicitações ao longo da cadeia de valor da produção agrícola nacional, em linha com o programa de transformação digital a ser implementado.
2. São objetivos deste sub projeto:
a. Caracterizar as atuais estruturas organizativas e competências ao nível dos recursos humanos das entidades que compõem o Ministério da Agricultura;
b. Avaliar adequabilidade da organização e capacidades para dar resposta aos desafios atuais e resultantes do programa de transformação, tomando também em consideração casos de referência de organismos comparáveis;
c. Definir recomendações e respetivo plano de ação para a organização e capacitação futura do Ministério da Agricultura.
3. São exemplos de atividades a considerar neste sub projeto:
a. Caracterizar as estruturas organizativas das entidades que compõem o Ministério da Agricultura nas dimensões; i) responsabilidades, ii) delegações de competências, iii) modelos de relacionamento e de “serviço” com entidades pertencentes à instituição e entidades terceiras, iv) dimensão da força de trabalho, v) split de atividades, i.e. alocação full-time-equivalent;
b. Caracterizar as competências dos recursos humanos ao serviço das entidades do Ministério da Agricultura nas dimensões; i) família funcional e posicionamento na estrutura organizativa, ii) competências no exercício das funções, iii) níveis de proficiência (a existir), iv) avaliações (a existir), v) potencial de automação e necessidades de requalificação;
c. Levantar, sistematizar e analisar através de benchmark casos de referência de organizações com missões e objeto de atuação semelhante ou comparável relevante para a análise comparativa de diagnóstico;
d. Identificar e sistematizar necessidades de competências atuais por colmatar e necessidades futuras com base em iniciativas de transformação e seu potencial impacto no plano de capacitação e modelo organizativo atual – caracterizar níveis de impacto e respetivos requisitos ao modelo atual;
e. Realizar um diagnóstico ao modelo organizativo e de competências atual com base na caracterização do modelo atual versus o modelo futuro, tomando em linha de conta a análise benchmark e necessidades identificadas com base no nível de impacto do programa de transformação;
f. Produzir recomendações e elaborar um plano de ação para implementação do novo modelo organizativo e de governo e plano de capacitação, com identificação de iniciativas e responsáveis pela implementação.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Modelo organizativo atual - mapeamento e análise de organograma, matriz RACI, dimensionamento (FTE), split de atividades e respetiva alocação – caracterização de desafios e oportunidades (exemplo: redundâncias funcionais);
b. Modelo de governo atual - mapeamento e análise de delegações de competências, stakeholders e fóruns de decisão, mecanismos de controlo e aprovação – caracterização de desafios e oportunidades (exemplo: iniciativas de eficiência e agilização da decisão);
c. Mapa de competências atuais e necessidades atuais e futuras - mapeamento e análise de famílias funcionais, roles e responsabilidades atuais, competências, gaps de competências, matriz de impacto;
d. Benchmark de casos de referência e análise organizacional com funções e/ou âmbito semelhante;
e. Plano de ação para a implementação do novo modelo organizativo e de governo
- caracterização de iniciativas a implementar nas componentes âmbito e calendário da transformação.
c) Definição da estratégia de cibersegurança
1. Com este sub projeto pretende-se definir uma estratégia de cibersegurança que suporte todo o programa de transformação digital do Ministério da Agricultura e que permita aumentar a sua ciber-resiliência.
2. São objetivos deste sub projeto:
a. Definir a estratégia de cibersegurança para o Ministério da Agricultura tendo em conta a situação atual e os desafios, prioridades e objetivos futuros;
b. Desenvolver um roadmap de iniciativas de cibersegurança a implementar, com base na estratégia e no levantamento da situação atual;
c. Garantir o envolvimento de todos os stakeholders chave melhorando a visibilidade e conhecimento acerca dos temas de cibersegurança.
3. São exemplos de atividades a considerar neste sub projeto:
a. Desenvolver as iniciativas e as capacidades de segurança necessárias (pessoas, processos, tecnologia);
b. Estimar o custo e duração de cada iniciativa;
c. Organizar as iniciativas por prioridade e identificar quick-wins;
d. Estabelecer uma estrutura de governança clara (definir as funções, responsabilidades e responsabilização) de implementação de iniciativas;
e. Desenhar o roadmap de implementação de iniciativas.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Estrutura de governança de cibersegurança;
b. Lista de iniciativas e das capacidades de segurança a desenvolver;
c. Roadmap para a implementação das capacidades de cibersegurança.
d. Documento de requisitos técnicos detalhados com as especificações aplicacionais e de infraestrutura de suporte para o desenvolvimento e implementação dos sub-projetos “Plano de ação para a digitalização e automação de processos”, “Fábrica de processos - set up”, “Fábrica de processos - implementação de processos prioritários”, “Programa de gestão da mudança”, “Desenvolvimento do programa de formação para a gestão da mudança – capacitação do capital humano”; ” Programa de comunicação para a gestão da mudança” e “Conceptualização e criação das peças de comunicação para a gestão da mudança”, considerando as especificações do capítulo II do Anexo IV do presente caderno de encargos;
e. Documento com as métricas de custeio que permita obter o esfroço financeiro para implementação dos subprojetos a partir dos requisitos definidos no ponto anterior.
VI. PROJETO REFERENTE AO PÓLO DE INOVAÇÃO DIGITAL - CLOUD
a) Sub projetos que integram o projeto “Cloud” do presente procedimento
1. O projeto “Cloud” assume-se como o sexto projeto ligado ao programa de transformação digital do Ministério da Agricultura, e corresponde ao projeto do pólo de inovação digital.
2. É integrado pelos seguintes sub projetos:
a. Visão e estratégia da Jornada para a Cloud;
b. Levantamento, avaliação e seleção do parque aplicacional a migrar para a
Cloud;
c. Modelo de governo, modelo operativo e plano de transição para a Cloud;
3. Para os diferentes sub projetos listados no ponto anterior, os proponentes deverão propor a melhor metodologia a desenvolver para cumprir com os objetivos definidos, as atividades a realizar, o planeamento detalhado das mesmas e os entregáveis a considerar.
b) Visão e estratégia da Jornada para a Cloud
1. Com este sub projeto pretende-se elaborar a visão para a Cloud no Ministério da Agricultura e a estratégia alto-nível a adotar para a migração do parque de infraestrutura e aplicacional para Cloud.
2. São objetivos deste sub projeto:
a. Definir a visão e os princípios orientadores da futura Cloud do Ministério da Agricultura;
b. Definir a estratégia a seguir para a migração para a futura Cloud;
c. Minimizar os riscos de elaboração e execução do plano de transformação assegurando o compromisso, a aprovação e a concordância com a visão e estratégia por todos os stakeholders internos do Ministério da Agricultura cujo compromisso com a visão e estratégia é necessária.
3. São exemplos de atividades a considerar neste sub projeto:
a. Caracterizar a visão para a futura Cloud concretizando-a no alinhamento face aos objetivos de negócio do Ministério da Agricultura;
b. Definir os princípios orientadores da futura Cloud e que servirão para dar critério para as decisões a tomar em sede de desenho da sua arquitetura, modelos a considerar (IaaS, PaaS, SaaS, Cloud Híbrida), aplicações, custo, organização, recursos e operação;
c. Caracterizar a estratégia a seguir para a migração para a futura Cloud concretizando-a numa perspetiva de maximização do valor de Cloud, minimização de risco e de desvios de custo;
d. Definir os princípios de transformação para a futura Cloud e que servirão para dar critério para as decisões a tomar em sede de planificação e opções de transformação da infraestrutura, das aplicações, da organização DSI e das suas pessoas e modelo operacional;
e. Definir as dimensões de estruturação do Business Case em termos da sua “value tree” com benefícios e custos nas diversas dimensões associadas na perspetiva negócio e de IT;
f. Debater a estruturação do Business Case com os stakeholders do Ministério da Agricultura com vista a confirmar a estrutura a adotar;
g. Obter aprovação e compromisso dos sponsors do Ministério da Agricultura com a Visão e Estratégia.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Relatório de Visão e Estratégia que inclui:
i. Visão alto-nível da futura Cloud e princípios orientadores;
ii. Estratégia de migração e princípios de transformação para as vertentes infraestrutura, aplicações, organização e modelo operativo;
iii. Business Case.
c) Levantamento, avaliação e seleção do parque aplicacional a migrar para a Cloud
1. Com este sub projeto pretende-se identificar o parque aplicacional a migrar para a Cloud
incluindo a identificação do método de migração recomendado.
2. São objetivos deste sub projeto:
a. Obter um inventário do parque aplicacional do Ministério da Agricultura com a identificação do método recomendado de migração para Cloud;
b. Assegurar a aprovação formal dos stakeholders internos com o inventário produzido e as suas conclusões quanto aos métodos de migração recomendados.
3. São exemplos de atividades a considerar neste sub projeto:
a. Apresentar opções de construção aplicacional para Cloud que sirvam a visão de futura Cloud e os seus princípios orientadores;
b. Debater as opções com os stakeholders do Ministério da Agricultura com vista a confirmar os arquétipos de construção aplicacional considerando os vetores de maximização das capacidades Cloud, minimização de disrupções e independentização da infraestruturação Cloud futura;
c. Obter concordância dos stakeholders sobre os padrões de aplicações para
Cloud em contexto da futura Cloud;
d. Efetuar o levantamento do parque aplicacional atual (e.g., CMDB). Para efeitos de dimensionamento de esforço, considere-se que será necessário analisar:
i. Até 75 aplicações no total de organismos do Ministério da Agricultura;
ii. Cada aplicação tem entre um a dois ambientes não produtivos e um ambiente de produção;
iii. Um parque de cerca de 470 servidores, dos quais 50 a 60% são de produção;
iv. Um universo de cerca de 5300 utilizadores internos;
e. Elaborar o inventário de transformação para o portfolio aplicacional em âmbito tendo por base o inventário e padrões futuros aplicacionais definidos;
f. Apresentar e debater as opções de evolução de um conjunto de serviços base de IT para um modelo cloud-based, tais como correio eletrónico, armazenamento de ficheiros, ferramentas de trabalho colaborativo, serviço de mensagens instantâneas, suporte à realização de reuniões virtuais, entre outros;
g. Efetuar o levantamento da informação necessária ao apuramento da migração aplicacional com as rúbricas de base ao Business Case;
h. Proceder ao apuramento dos custos, investimentos e benefícios ao longo do plano de transformação até à conclusão da mesma, tendo por base o plano de migração aplicacional;
i. Obter concordância dos stakeholders sobre a abordagem de transformação do portfolio aplicacional para a futura Cloud.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Dossier do portfolio de aplicações com:
a. Relatório do modelo para aplicações na futura Cloud, incluindo as opções avaliadas, análise comparativa e racional da decisão;
b. Plano de migração detalhado das aplicações para a futura Cloud;
c. Apuramento de custos, investimentos e benefícios.
d) Modelo de governo, modelo operativo e plano de transição para a Cloud
1. Com este sub projeto pretende-se concretizar o futuro modelo de governo e operativo para Cloud e o plano para permitir a migração organizacional para a Cloud.
2. São objetivos deste sub projeto:
a. Definir a visão e princípios orientadores da futura Cloud do Ministério da Agricultura;
b. Definir a estratégia a seguir para a migração organizacional para a futura Cloud;
c. Definir linhas orientadoras de uma DSI para a futura Cloud;
d. Apresentar o modelo operativo da DSI para a futura Cloud;
e. Descrever as fases, etapas e tarefas do plano detalhado de transformação e migração do modelo operativo de IT, organização e pessoas para suportar a futura Cloud;
f. Confirmar e enquadrar os custos e benefícios associados às atividades de transformação e migração em plano;
g. Minimizar riscos de execução do plano de transformação assegurando o compromisso, aprovação e concordância com o plano, por todos os stakeholders internos Ministério da Agricultura com os quais exista uma dependência na execução do plano de transformação, assente na mobilização destes na contribuição e alinhamento nas atividades de preparação do plano.
3. São exemplos de atividades a considerar neste sub projeto:
a. Apresentar opções tipo de organização e modelo operacional de IT para a futura
Cloud e os padrões aplicacionais a implementar;
b. Debater as opções com os stakeholders do Ministério da Agricultura com vista a confirmar o modelo organizativo e operacional a adotar considerando vetores de reskilling, eficiência operacional, sourcing, gestão da procura, operação e serviço ao negócio;
c. Obter a concordância dos stakeholders sobre o modelo organizativo e operacional de suporte à futura Cloud;
d. Elaborar o desenho do modelo organizativo e operacional para suportar a futura Cloud considerando as vertentes de um modelo operativo completo, da gestão da procura à gestão de infraestrutura associada;
e. Efetuar o levantamento da estrutura organizativa e quadro de pessoal do IT do Ministério da Agricultura, incluindo as funções e skills dos diversos elementos do quadro;
f. Apresentar opções de evolução da atual organização e modelo operativo para o futuro, enquadradas na estratégia de transformação e seus princípios orientadores;
g. Debater as opções com os stakeholders do Ministério da Agricultura com vista a confirmar a abordagem de evolução a adotar considerando a minimização de interferências operacionais e maximização do capital humano;
h. Obter a concordância dos stakeholders sobre a abordagem de evolução organizativa e operacional;
i. Elaborar o desenho detalhado da evolução organizativa e modelo operativo incluindo a planificação de ações de capacitação / formação e comunicação;
j. Efetuar o levantamento da informação necessária ao apuramento da situação atual de acordo com as rúbricas de base ao Business Case;
k. Proceder ao apuramento dos custos, investimentos e benefícios ao longo do plano de transformação até à conclusão da mesma, tendo por base a evolução da organização e modelo operativo;
l. Obter aprovação e compromisso dos stakeholders do Ministério da Agricultura com a abordagem e plano de evolução da organização e modelo operativo.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Dossier da organização, operação e pessoas de IT com:
I. Modelo organizacional e operativo para a futura Cloud, incluindo as opções debatidas e os racionais de decisão considerados;
II. Plano detalhado de evolução do modelo organizativo e modelo operativo incluindo as opções debatidas, os racionais de decisão, o impacto de evolução no quadro humano e ações de capacitação e comunicação;
III. Apuramento de custos, investimentos e benefícios.
b. Documento de requisitos técnicos detalhados com as especificações aplicacionais e de infraestrutura de suporte para o desenvolvimento e implementação dos sub-projetos “Definição da arquitetura cloud, landing zone e plano de migração”, “Set up da arquitura cloud e da landing zone - set up”, “Apoio à transformação da cibersegurança”, “Infraestrutura Cloud”, e “Migração Cloud”, considerando as especificações do capítulo IV do Anexo IV do presente caderno de encargos;
c. Documento com as métricas de custeio que permita obter o esfroço financeiro para implementação dos subprojetos a partir dos requisitos definidos no ponto anterior.
ANEXO II
TRATAMENTO DE DADOS PESSOAIS
NOTAS PRÉVIAS
De acordo com o Regulamento (EU) N.º 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril (o Regulamento Geral de Proteção de Dados ou RGPD), entende-se por:
• Dados pessoais - toda a informação relativa a uma pessoa singular identificada ou identificável (titular dos dados). Inclui dados como nome, número de identificação, dados de localização ou outros elementos que permitam chegar à identificação dessa pessoa singular. Estes dados podem constar de qualquer suporte, seja ele físico, virtual, tecnológico, sonoro ou gráfico;
• Tratamento - uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
• Responsável pelo tratamento - a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;
Os destinatários das comunicações de dados poderão ainda simultaneamente assumir a categoria de:
• Terceiros - pessoa singular ou coletiva, autoridade pública, serviço ou organismo que, não sendo o titular dos dados, nem o responsável pelo tratamento, nem o subcontratante, nem as pessoas que tratam dados pessoais sob a autoridade direta do responsável pelo tratamento ou do subcontratante, esteja autorizada a tratar dados pessoais mediante uma base legal específica para o efeito).
• Subcontratante - pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento desses dados, para as finalidades e com os meios de tratamento por este definidos ou determinados pelo direito da União Europeia ou de um Estado-Membro.
TRATAMENTO DE DADOS PESSOAIS NO ÂMBITO DA PRESTAÇÃO DE SERVIÇOS OBJETO DO CONTRATO
1. O objeto do tratamento de dados pessoais, no âmbito da prestação de serviços objeto do contrato, é limitado:
a) Ao estabelecido no objeto do presente contrato.
2. A duração do tratamento de dados pessoais, no âmbito da prestação de serviços objeto do contrato, é limitada:
a) Ao estabelecido na duração/vigência do presente contrato, a menos que a conservação dos dados seja exigida ao abrigo do direito da União Europeia ou Nacional.
1. As categorias de dados pessoais sujeitos a tratamento, no âmbito da prestação de serviços objeto do contrato, são limitadas às seguintes:
a) DCF - Dados de identificação civil e fiscal
b) DDC - Dados de domicílio e contacto
c) DLG - Dados de Localização Geográfica
d) DIA - Dados de identificação de animais
e) DEC - Dados da exploração pecuária
f) DFI - Dados financeiros
g) DPR - Dados de património móvel
h) DGP - Dados de gestão processual
i) DPS - Dados profissionais
j) DCE - Dados de categorias especiais
2. Os grupos de titulares dos dados pessoais sujeitos a tratamento, no âmbito da prestação de serviços objeto do contrato, são limitados aos seguintes:
a) Beneficiários do IFAP;
b) Colaboradores externos;
c) Colaboradores internos;
d) Outros titulares:
• Fornecedores;
• Procurador/Representante legal;
• Corpos gerentes/Representantes de entidades coletivas;
• Administradores de insolvência;
• Administrador Judicial;
• Representante e cabeças de casal;
• Sócio;
• Candidatos a procedimentos concursais ou mobilidade interna.
5. O tratamento dos dados pessoais identificados no n.º 3 está, no âmbito da prestação de serviços objeto do contrato, é limitado à seguinte finalidade (F):
F01 - Gestão dos pagamentos diretos, investimento e medidas de mercado
F02 - Satisfação dos Stakeholders
F03 - Parcerias e aquisição de bens e serviços F04 - Manutenção de instrumentos de gestão F05 - Auditorias
F06 - Desenvolvimento de competências
F07 - Gestão de Recursos humanos
F08 - Gestão financeira e prestação de contas
e atividades (A) de tratamento:
A01 - Gerir Candidaturas, pedidos de pagamento e outros formulários A02 - Gerir os controlos administrativos, físico, documental e contabilístico A03 - Gerir o apuramento e a recuperação de verbas
A04 - Gerir a produção e divulgação de informação A05 - Gerir o sistema de identificação de beneficiários A06 - Gerir o sistema de identificação parcelar
A07 - Gerir os sistemas de identificação animal e REAP
A08 - Gerir os sistemas de gestão documental
A09 - Gerir os sistemas de informação
A10 - Gerir processos de contratação, protocolos e outros acordos
A11 - Prestar assessoria jurídica e patrocínio judiciário
A12 - Xxxxxx e credenciar colaboradores internos e externos
A13 - Gerir recursos financeiros
A14 - Contabilizar e prestar contas
A15 - Coordenar auditorias e gerir outras acções similares
A16 - Realizar auditorias
A17 - Gerir recursos humanos
A18 - Gerir outros ativos
6. No âmbito da prestação de serviços, objeto do contrato, o prestador de serviços fica sujeito às seguintes condições no tratamento de dados que efetuar:
a) tratará os dados pessoais de acordo com as instruções escritas do contraente público nos termos previstos na Norma de Procedimento Externa de 25/06/2020, constante do ANEXO III ao Caderno de Encargos, do qual faz parte integrante.
b) Trata dados pessoais e assegura que quem trata dados pessoais o faz apenas de acordo com as instruções escritas que lhe sejam comunicadas, incluindo a “Política de Privacidade do IFAP,IP” disponível no link xxx.xxxx.xx/xxxxxxxxxxx, a Norma de Procedimento Externa de 25/06/2020 (ANEXO III ao Caderno de Encargos), que estabelece os “Procedimentos a observar pelas entidades subcontratantes no âmbito do tratamento de dados pessoais por conta do IFAP, I.P.” ou outros que lhes sejam disponibilizadas para consulta, para o efeito, pelo IFAP;
§ Esta norma:
c) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;
d) Adota as medidas para garantir um nível de segurança adequado ao risco;
e) Presta apoio ao IFAP através de medidas técnicas e organizativas adequadas, de modo a permitir que o IFAP, enquanto responsável pelo tratamento, possa cumprir a sua obrigação de dar resposta aos pedidos dos titulares dos dados no exercício dos seus direitos previstos no capítulo III do RGPD, nomeadamente o direito de acesso, o direito à retificação ou o direito de portabilidade dos dados;
f) Presta apoio ao IFAP no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º, tendo em conta a natureza do tratamento e a informação que lhe foi disponibilizada;
g) Conserva os dados tratados nos termos e condições que lhe foram comunicadas pelo IFAP;
h) Informa o IFAP sobre o encarregado da proteção de dados que designou e os respetivos contactos;
i) Colabora na realização de auditorias ou outras investigações, conduzidas pelo IFAP, por outro auditor, inspetor, ou perito por este mandatado, pela autoridade de auditoria ou pela autoridade de controlo nacional, a Comissão Nacional de Proteção de Dados (CNPD);
j) Disponibiliza à CNPD as informações de que esta autoridade necessite no exercício das suas funções, bem como o acesso a todas as suas instalações, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União Europeia ou nacional;
l) Cumpre as recomendações que lhe forem feitas pelo IFAP ou pela CNPD e, se for caso disso, da forma e no prazo para o efeito determinado.
m) Conserva um registo escrito e em formato eletrónico com todas as categorias de tratamento realizadas em nome do IFAP do qual constará:
i. As categorias de tratamentos de dados pessoais efetuados;
ii. Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança adotadas nos termos do artigo 32.º do RGPD.
iii. Disponibiliza, a pedido, o registo referido na alínea anterior à CNPD.
iv. Notifica o IFAP sem demora injustificada, após ter conhecimento de uma violação de dados pessoais.
v. Disponibiliza ao IFAP todas as informações necessárias para demonstrar o cumprimento das obrigações previstas na presente cláusula.
7. No âmbito da execução do contrato, o Fornecedor/Subcontratante recorre a outros subcontratantes apenas mediante autorização específica e por escrito do IFAP, I.P. e no respeito pelas mesmas condições que lhe são exigidas e previstas no presente Anexo.
8. No âmbito da prestação de serviços, objeto do contrato, o adjudicatário assume o estatuto de responsável pelo tratamento dos dados pessoais, sempre que, diretamente ou por intermédio de um subcontratante a que tenha recorrido nos termos do número anterior, efetuar tratamentos:
a) para finalidades distintas das definidas pelo IFAP;
b) com recurso a meios de tratamento distintos dos definidos pelo IFAP;
c) contrário às instruções do IFAP, salvo se a tal for obrigado por força de legislação europeia ou nacional aplicável.
ANEXO III
Norma de Procedimentos Externa de 25-06-2020
PROCEDIMENTOS A OBSERVAR PELAS ENTIDADES SUBCONTRATANTES NO ÂMBITO DO TRATAMENTO DE DADOS PESSOAIS POR CONTA DO IFAP, I.P.
INDÍCE
1. ENQUADRAMENTO
1.1. CONSIDERAÇÕES GERAIS
1.2. ENQUADRAMENTO LEGISLATIVO/NORMATIVO
1.3. INTERVENIENTES
1.4. ENTRADA EM VIGOR
2. OBJECTO
3. FORMA
4. SEGURANÇA DO TRATAMENTO
4.1. CONSIDERAÇÕES PRÉVIAS
4.2. REQUISITOS PARA ASSEGURAR A SEGURANÇA DO TRATAMENTO
5. DEVERES DE ASSISTÊNCIA
5.1. ASSISTÊNCIA NA RESPOSTA AOS PEDIDOS DOS TITULARES
5.2. ASSISTÊNCIA EM CASO DE VIOLAÇÃO DE DADOS PESSOAIS
5.3. ASSISTÊNCIA NA AVALIAÇÃO DE IMPACTO E CONSULTA PRÉVIA
6. ARMAZENAMENTO, DESTRUIÇÃO E DEVOLUÇÃO DE DADOS PESSOAIS
7. LOCAIS DE TRATAMENTO
8. PEDIDOS DE AUTORIZAÇÃO E DEVERES DE INFORMAÇÃO - RECURSO A OUTROS SUBCONTRATANTES
9. AUDITORIAS E SUPERVISÕES
1. ENQUADRAMENTO
1.1. CONSIDERAÇÕES GERAIS
Em cumprimento do disposto no Regulamento Geral de Proteção de Dados (RGPD), quando o responsável pelo tratamento recorre a um entidade subcontratante para tratar dados pessoais por sua conta, para além de ter de assegurar que essa entidade apresenta garantias suficientes de cumprir os requisitos do Regulamento, deve:
• Regular esse tratamento através de um acordo escrito (contrato ou outro ato normativo) que vincule o subcontratante ao cumprimento de um conjunto de regras gerais.
• Disponibilizar ao subcontratante instruções documentadas, que concretizem a forma como essas regras gerais devem ser colocadas em prática pelo subcontratante, tendo em vista dar execução ao estabelecido no acordo escrito.
A presente norma tem por objetivo apresentar as instruções a observar pelos subcontratantes que tratam dados pessoais por conta do Instituto de Financiamento da Agricultura e Pescas, I.P. (IFAP)
1.2. ENQUADRAMENTO LEGISLATIVO/NORMATIVO
• Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD).
• Lei nº 58/2019, de 08 de agosto que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2019/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
• Decreto-Lei n.º 22/2013, de 15 de Fevereiro - Estabelece as regras e os procedimentos a adotar pelo IFAP, no processo de delegação de tarefas e competências necessárias à execução da função de pagamento das ajudas e dos apoios financeiros, designadamente no âmbito do Fundo Europeu Agrícola de Garantia, e do Fundo Europeu Agrícola de Desenvolvimento Rural.
• Portaria n.º 58/2017, de 06 de Fevereiro - Aprova o Regulamento de candidatura e pagamento das ajudas, apoios, prémios e outras subvenções a efetuar pelo IFAP, no âmbito das medidas definidas a nível nacional e europeu para a agricultura, assuntos marítimos e pescas e sectores conexos.
• Protocolo para a delegação de tarefas, no âmbito da receção de pedidos de ajuda, do apoio ao beneficiário e atualização do sistema de identificação das parcelas agrícolas, em entidades de natureza privada.
• Protocolo de Articulação Funcional entre o IFAP e as Direções Regionais de Agricultura e Pescas (DRAP), DRDR, DRA e IVBAM.
• Protocolo de Delegação de Funções e Articulação Funcional entre o IFAP e as Autoridades de Gestão.
• Protocolos com outras entidades, nomeadamente, DGADR, DGAV, IVV, IVDP.
1.3. INTERVENIENTES
• IFAP, I.P.
• Subcontratantes que tratam dados pessoais por conta do IFAP, I.P.
1.4. ENTRADA EM VIGOR
A presente norma entra em vigor na data da sua divulgação às Entidades subcontratantes
2. OBJECTO
A presente norma de procedimentos externa (NPE) tem por objeto regular os termos e as condições aplicáveis aos acordos a celebrar entre o IFAP, enquanto responsável pelo tratamento de dados pessoais e os seus subcontratantes, ou seja, pessoas singulares ou coletivas que, procederão ao tratamento de dados pessoais por sua conta para as finalidades e com os meios de tratamento que o IFAP definir ou que estejam determinados pelo direito europeu ou nacional para a prossecução das suas atividades e funções.
3. FORMA
O tratamento de dados pessoais por Entidades subcontratantes é regulado por contrato ou outro ato normativo ao abrigo do direito da União Europeia ou dos Estados – membros, por escrito, incluindo o formato eletrónico.
i. Do acordo escrito a celebrar (contrato ou outro ato normativo) deverá constar a seguinte informação: O objeto e a duração do tratamento de dados pessoais;
ii. O tipo de dados pessoais e as categorias dos titulares dos dados a tratar;
iii. As finalidades, atividades e respetivas tarefas a que o tratamento dos dados pessoais está limitado.
iv. Obrigações do responsável pelo tratamento e do subcontratante, designadamente, as previstas na presente NPE.
4. SEGURANÇA DO TRATAMENTO
4.1. Considerações Prévias
O subcontratante apenas tratará dados pessoais por conta do IFAP, I.P.:
i. Na medida do necessário para a execução das suas tarefas;
ii. Sempre e exclusivamente de acordo com as instruções escritas, incluindo em formato eletrónico, que lhe sejam comunicadas para o efeito pelo IFAP, I.P..
Para assegurar que as instruções do IFAP. relativamente a quaisquer dados pessoais são cumpridas, o subcontratante deverá dispor dos procedimentos adequados à implementação das medidas técnicas necessárias para assegurar o cumprimento de tais instruções, designadamente:
a) Conservar um registo escrito e em formato eletrónico com todas as categorias de tratamento realizadas em nome do IFAP do qual constará:
As categorias de tratamentos de dados pessoais efetuados;
b) Assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade.
O modelo de declaração de confidencialidade a subscrever pelos colaboradores dos subcontratantes que estão autorizadas a tratar dados pessoais por conta do IFAP, I.P., enquanto responsável pelo tratamento, consta de anexo I à presente NPE.
4.2. Requisitos para assegurar a segurança do tratamento O subcontratante deverá:
4.2.1. Garantir a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento:
i. A informação é acessível somente a quem tem direito a aceder (confidencialidade);
ii. A informação e respetivos métodos de tratamento são exatos (integridade);
iii. Garantir a autorização de acesso à informação e ativos sempre que necessário (disponibilidade);
iv. Garantir a total operabilidade depois de alguma situação ou falha crítica acontecer (resiliência).
Para o efeito, deverá assegurar as seguintes condições:
a. Aquando da criação das contas de utilizador para o acesso aos sistemas são atribuídos os direitos de acesso estritamente necessários ao desempenho das respetivas funções;
b. Será criado um documento com listas de acessos autorizados aos sistemas, de forma a mapear todos os privilégios dos colaboradores com permissões para os quais foram autorizados. Este documento deve ser atualizado sempre que possível.
4.2.2. Garantir a pseudonimização e criptografia de dados pessoais, adotando mecanismos que reduzam os riscos de exposição dos titulares de dados e possibilitem uma segurança adicional para os responsáveis pelo tratamento, designadamente, adotando soluções de encriptação através de software.
4.2.3. Assegurar a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.
Para o efeito, deverá adotar a realização de uma política de backups dos dados e software de forma periódica, para proteger contra perdas e danos que possam acontecer.
4.2.4. Garantir a existência e disponibilidade de um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas implementadas.
4.2.5. Garantir a proteção dos dados pessoais durante o armazenamento adotando processos que garantam a sua preservação, integridade e confidencialidade, designadamente:
i. Adotando medidas técnicas e organizativas apropriadas para salvaguardar a segurança das suas redes de comunicações eletrónicas;
ii. Assegurando a segurança das redes utilizadas para transferir ou transmitir dados pessoais do IFAP (incluindo medidas adequadas para assegurar o sigilo das comunicações e impedir a vigilância ou interceção ilegal de comunicações e o acesso não autorizado a qualquer computador ou sistema e, consequentemente, garantindo a segurança das comunicações).
4.2.6. Garantir a segurança física dos locais em que os dados pessoais são tratados assegurando, designadamente, a adoção dos seguintes procedimentos:
i. Impedir o acesso de pessoas não autorizadas à infra-estrutura onde estão armazenados os dados do IFAP, I.P.;
ii. Controlar a entrada e saída de equipamentos, materiais e pessoas por meio de registros de data, horário e responsável;
iii. Utilizar mecanismos que controlem o acesso aos ambientes que guardam backups e computadores com dados confidenciais;
iv. Adotar medidas de segurança dos dados pessoais quando estes se encontrem em suporte físico, v.g., dossiers ou pastas, que devem ser guardados em armários fechados à chave;
v. Proceder à separação física dos processos que contêm dados pessoais do IFAP, daqueles que contêm dados pessoais da responsabilidade do subcontratante.
4.2.7. Assegurar que os colaboradores com acesso autorizado, que tratam dados pessoais da responsabilidade do IFAP, assumem as seguintes responsabilidades:
i. Efetuam as verificações de identidade e de acesso utilizando um sistema de autenticação, bem como uma política de palavras-passe;
ii. Adotam processos de autenticação de utilizadores e administradores, bem como, medidas para proteger o acesso a funções de administração;
iii. Cumprem com os procedimentos de início de sessão segura;
iv. Não efetuam ligações à rede local de equipamentos informáticos sem autorização prévia do responsável da área informática da entidade;
v. Respeitam o previsto nas normas da entidade relativas a Cibersegurança, bem como, as boas práticas relativas à mesma matéria disponíveis no website do Centro Nacional de Cibersegurança.
4.2.8. Implementar medidas técnicas e organizativas adequadas, de modo a permitir que em contexto de teletrabalho são adotados procedimentos de segurança à distância, para que haja um controlo sobre os sistemas, de forma a prevenir e identificar possíveis violações de dados pessoais.
Deverão ser assegurados, designadamente, os seguintes procedimentos:
i. Garantir que os seus colaboradores conhecem e cumprem a política de segurança da informação da organização;
ii. Manter atualizado o registo de autorizações de acesso remoto e implementar as medidas necessárias para restringir o acesso remoto a outras aplicações não autorizadas;
iii. Limitar o uso de VPN, única e exclusivamente, ao cumprimento do objeto do contrato celebrado com o colaborador;
iv. O acesso VPN terá de cumprir os parâmetros de configuração que sejam indicados, bem como, as regras de confidencialidade e de proteção de dados pessoais que impendem sobre os utilizadores.
v. Não será, em situação alguma, permitida a partilha e/ou divulgação de tal acesso e respetivas credenciais de autenticação;
vi. A atuação dos utilizadores terá que respeitar o previsto nas normas da entidade relativas a Cibersegurança, bem como, as boas práticas relativas à mesma matéria disponíveis no website do Centro Nacional de Cibersegurança.
5. DEVERES DE ASSISTÊNCIA
5.1. Assistência na Resposta aos Pedidos dos Titulares
5.1.1. O subcontratante implementa medidas de segurança técnicas e organizativas adequadas, de modo a permitir que o IFAP, enquanto responsável pelo tratamento, possa cumprir a sua obrigação de dar resposta aos pedidos dos titulares dos dados no exercício dos seus direitos previstos no capítulo III do RGPD, nomeadamente, o direito de acesso, o direito à retificação ou o direito de portabilidade dos dados.
Entende-se por “medidas de segurança técnicas e organizativas adequadas” aquelas que são aptas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente, quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.
5.1.2. O subcontratante adota medidas para garantir um nível de segurança adequado ao risco, nos termos do artigo 32.º do RGPD, nomeadamente, os requisitos técnicos mínimos das redes e sistemas de informação aprovados pela Resolução do Conselho de Ministros n.º 41/2018, de 22 de Março, publicada no Diário da República, 1.ª série, n.º 62, de 28 de Março de 2018.
5.1.3. Qualquer solicitação recebida diretamente do titular dos dados deverá ser comunicada ao IFAP.
5.1.4. O subcontratante poderá comunicar dados pessoais das seguintes categorias de titulares:
• Beneficiário;
• Representante/procurador;
• Representante de pessoas coletivas;
• Sócios de pessoas coletivas
• Administradores de insolvência;
• Cabeça-de-casal/herdeiros;
• Colaboradores, do IFAP.
Desde que, tenham sido solicitados mediante requerimento que claramente identifique o requerente, o titular e os dados pessoais pretendidos e a finalidade a prosseguir com os mesmos, e após uma prévia análise e ponderação ao abrigo da alínea a) ou b) do n.º 5 do artigo 6.° da Lei n.º 26/2016, de 22 de Agosto (Lei de Acesso aos Documentos Administrativos ou LADA), consoante os casos, da qual resulte que o requerente:
a) Está munido de autorização escrita do titular dos dados que seja explícita e específica quanto à sua finalidade e quanto ao tipo de dados a que quer aceder;
b) Demonstrou fundamentadamente ser titular de um interesse direto, pessoal, legítimo e constitucionalmente protegido suficientemente relevante, após ponderação, no quadro do princípio da proporcionalidade, de todos os direitos fundamentais em presença e do princípio da administração aberta, que justifique o acesso à informação.
5.2. Assistência em Caso de Violação de Dados
O subcontratante notifica de imediato o IFAP, no prazo de 24 horas, após ter conhecimento de uma violação de dados pessoais, designadamente, a sua destruição acidental, não autorizada ou ilegal, perda, alteração ou divulgação ou o acesso a dados pessoais do IFAP (violação de segurança).
i. A notificação, a efetuar pelo responsável pelo tratamento de dados do subcontratante é dirigida ao Conselho Diretivo do IFAP;
ii. A notificação deverá conter informação sobre a violação de dados, designadamente, a seguinte:
• Descrição e análise do incidente;
• Identificação do tipo de dados que foram objeto de violação;
• Identidade de cada titular afetado, ou, se tal não for possível, o número aproximado de titulares de dados e dos registos em causa;
• Medidas corretivas já adotadas ou a implementar;
• Data e hora de início e de fim da violação de dados pessoais;
• Descrição das consequências prováveis do incidente.
iii. A referida comunicação deverá incluir as informações relativas aos dados de identificação e dados de contacto do subcontratante;
iv. A comunicação deverá ser acompanhada do formulário constante do anexo II à presente NPE devidamente preenchido.
5.3. Assistência na Avaliação de Impacto e Consulta Prévia
Quando solicitado pelo IFAP, o subcontratante colocará à sua disposição todas as informações necessárias para demonstrar o cumprimento pelo mesmo da legislação aplicável em matéria de proteção de dados pessoais, auxiliará o IFAP na concretização de qualquer avaliação de impacto sobre a proteção de dados e colaborará na implementação de ações de mitigação dos riscos de privacidade identificados.
6. ARMAZENAMENTO, DESTRUIÇÃO E DEVOLUÇÃO DE DADOS PESSOAIS
6.1. O subcontratante apaga ou devolve todos os dados pessoais depois de concluído o tratamento, apagando as cópias existentes, consoante a escolha do responsável pelo tratamento que for indicada.
6.2. Nos casos em que seja determinada a devolução dos dados, o subcontratante assegura que esta ocorre no prazo e termos estipulados pelo IFAP, e ainda:
i. A devolução abrange os suportes físicos de formulários, ou outros documentos contendo dados pessoais;
ii. No caso de formulários ou outros documentos desmaterializados, o seu envio ao IFAP é concretizado pela sua submissão por upload.
iii. O envio de ficheiros contendo dados pessoais, por email, através de serviços de download ou cloud pressupõe a utilização de ferramentas adequadas ao envio garantindo que, em caso de interceção dos dados, somente o destinatário poderá abri-los (v.g. proteção de ficheiros com password, recurso a ficheiros zip encriptados e protegidos por password).
Caso o IFAP determine que após o tratamento de dados acordado, o subcontratante, procederá à destruição de todos os dados pessoais deverá este, junto do responsável demostrar que o fez.
6.3. O apagamento dos dados pessoais que lhe incumbe tratar por conta do IFAP, I.P. é efetuado de acordo com as suas instruções expressas por escrito.
6.4. Quando, pela natureza e finalidade do tratamento, designadamente, para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, não seja possível determinar antecipadamente o momento em que o tratamento deixa de ser necessário,
o IFAP, I.P. poderá determinar ao subcontratante que assegure a conservação dos dados pessoais
6.5. Para esse efeito, o subcontratante deverá assegurar a adoção de medidas técnicas e organizativas adequadas a garantir os direitos do titular dos dados, designadamente, quanto à informação da sua conservação.
6.6. Após o termo ou caducidade do contrato, os dados pessoais que não estejam sujeitos a regras específicas sobre a sua conservação devem, de acordo com a exclusiva decisão do IFAP,
I.P. ser destruídos.
7. LOCAIS DE TRATAMENTO
O tratamento de dados pessoais ocorrerá nas instalações do subcontratante.
8. PEDIDOS DE AUTORIZAÇÃO E DEVERES DE INFORMAÇÃO - RECURSO A OUTROS SUBCONTRATANTES
8.1. O subcontratante apenas poderá recorrer a outros subcontratantes mediante autorização específica e por escrito do IFAP no respeito pelas mesmas condições que são exigidas e previstas para o subcontratante outorgante do contrato com o IFAP, I.P..
O pedido de autorização deverá ser acompanhado de minuta de contrato a celebrar entre subcontratantes.
O subcontratante outorgante do contrato com o IFAP assume o estatuto de responsável pelo tratamento dos dados pessoais, sempre que, diretamente ou por intermédio de um subcontratante a que tenha recorrido nos termos do número anterior, efetuar tratamentos:
i. Para finalidades distintas das definidas pelo IFAP, I.P.;
ii. Com recurso a meios de tratamento distintos dos definidos pelo IFAP, I.P.;
iii. Contrário às instruções do IFAP, salvo se a tal for obrigado por força de legislação europeia ou nacional aplicável.
9. AUDITORIAS E SUPERVISÕES
9.1. O subcontratante colabora na realização de auditorias ou outras investigações conduzidas pelo IFAP, por outro auditor por este mandatado, ou, pela autoridade de controlo nacional, a CNPD.
9.2. Disponibiliza à CNPD as informações de que esta autoridade necessite no exercício das suas funções, bem como o acesso a todas as suas instalações, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros;
9.3. Cumpre as recomendações que lhe forem transmitidas pelo IFAP, ou pela CNPD e, se for caso disso, da forma e para o efeito indicados e no prazo determinado.
9.4. Disponibiliza, a pedido, o registo referido no número 9.2., à CNPD.
9.5. Disponibiliza ao IFAP, todas as informações necessárias para demonstrar o cumprimento das obrigações previstas na presente NPE.
9.6. Informa sobre o encarregado da proteção de dados que designou e respetivos contactos.
Anexo I (à NPE) (Compromisso de Confidencialidade)
(nome), na qualidade de colaborador de -- (entidades a que pertence) -- declara que irá zelar pela segurança e confidencialidade dos dados pessoais a que vier a ter acesso, os quais não serão utilizados para fins diversos dos abrangidos por uma obrigação legal, profissional ou outra obrigação vinculativa de confidencialidade.-------------
Anexo II (à NPE)
(Dados Necessários para Preenchimento do Formulário de Notificação à CNPD da “Violação de Dados Pessoais”)
3 INFORMAÇÃO SOBRE VIOLAÇÃO DE DADOS
Descrição da violação Hora/data início da violação Hora/data fim da violação
Hora/data em que teve conhecimento da violação Razão para o atraso na notificação
Forma como a violação foi identificada
Tipo de violação: Integridade: □ Confidencialidade □ Disponibilidade □
Natureza da violação: Equipamento perdido ou roubado □ Documentos perdidos ou
roubados □ Correio perdido ou acedido indevidamente □ Hacking/malware/phishing □ Outra □
Causa da violação: ato interno não malicioso □ ato interno malicioso □ ato externo não malicioso
□ ato externo malicioso □ outra □
4 CONSEQUÊNCIAS DA VIOLAÇÃO DE DADOS
A utilização dos dados pode ter consequências para o titular dos dados? Quais
Grau de impacto nos utilizadores
5 DADOS PESSOAIS ENVOLVIDOS
Qual o tipo dados pessoais envolvidos
• Nome do titular
• Número de identificação
• Dados de morada
• Dados de contacto
• Dados de perfil
• Dados comportamentais
• Dados de saúde
• Dados genéticos
• Dados de localização
• Dados biométricos
• Dados relativos a crédito e solvabilidade
• Dados bancários
• Dados de recursos humanos
• Dados de faturação
• Dados relativos à atividade letiva
• Dados relativos a convicções filosóficas
• Dados relativos à filiação partidária
• Dados relativos a orientações sexuais
• Imagem
• Voz
• Outros
Foi possível determinar o número de titulares afetado? Qual o número?
6 TITULARES DOS DADOS
Tipo de titulares envolvidos:
• Trabalhadores
• Utilizadores
• Subscritores
• Alunos
• Militares
• Clientes
• Pacientes
• Menores
• Indivíduos vulneráveis
• Outros
7 INFORMAÇÃO AOS TITULARES DOS DADOS
Os titulares dos dados foram informados da violação?
Data da comunicação da violação Forma de comunicação da violação Número de titulares contactados Mensagem que foi remetida aos titulares
8 MEDIDAS PREVENTIVAS/CORRETIVAS
Que mecanismos de segurança existiam antes da violação Que medidas foram aplicadas para corrigir/mitigar a violação 9 TRATAMENTOS TRANSFRONTEIRIÇOS
Existe tratamento de dados transfronteiriço?
A violação vai ser notificada diretamente a outra autoridade de controlo de fora da UE? A violação será notificada a outros reguladores europeus, por razões legais?
ANEXO IV
Capítulo I
(Projeto estruturante n.º 2 Data Lake & Analytics)
⮚ Sub projetos que integram o projeto estruturante n.º 2
1. O projeto de “Data Lake & Analytics”, para além dos sub projectos referidos no capítulo IV do Anexo I será complementado para a fase de implementação com os seguintes sub projetos que não fazem parte do objeto do presente procedimento:
a. Data Lake
b. Modelo analítico de suporte ao negócio
c. Quadro de Desempenho (Dashboard estratégico)
d. STATSTAT
⮚ Data Lake
1. Com este sub projeto pretende-se criar o repositório de dados com visão 360º do agricultor, implementar os processos de ingestão e modelação de dados e disponibilizar o módulo de estatísticas do agricultor (MEA), a disponibilizar no Portal Único da Agricultura.
2. São objetivos deste sub projeto:
a. Definir e setup da arquitetura funcional e técnica do futuro DL do Ministério da Agricultura.
i. A arquitetura funcional e técnica deverá suportar a execução do roadmap definido no sub projeto “Assessment às fontes de informação e dados existentes”;
ii. O Data Lake (DL) deverá ser a golden source das futuras atividades de
analytics do Ministério da Agricultura;
b. Implementar a framework, mecanismos e processos necessários à ingestão e modelação das fontes de informação.
i. Deverão ser ingeridas para o DL as fontes de informação que se considerem relevantes para visão 360º do agricultor, de acordo com o roadmap definido no sub projeto “Assessment às fontes de informação e dados existentes”;
ii. Após implementação desta fase a informação considerada como relevante das fontes identificadas deve estar disponível, estandardizada e consolidada para diferentes aplicações e padrões de consumo;
iii. A fase de estandardização e consolidação dos dados deve respeitar a sua integridade e visão operacional – os dados são tratados de forma independente dos casos de uso;
c. Criar o repositório central de informação que materializa a visão 360º do agricultor
i. Este repositório deverá dispor da informação consolidada e modelada, de forma a habilitar uma visão completa do comportamento e perfil do agricultor;
ii. Este deve ser o repositório de dados de referência para necessidades de exploração ad hoc por parte do Ministério da Agricultura;
iii. Esta visão 360º visa ser a base de resposta a futuros casos de uso que careçam de informação relativa a atributos do agricultor;
d. Desenhar e implementar o MEA.
i. Pretende-se com o MEA disponibilizar um conjunto de estatísticas que sejam relevantes para os utilizadores do Portal Único da Agricultura;
3. São exemplos de atividades a considerar neste sub projeto:
a. Desenhar e set-up da arquitetura definida: i) Desenho detalhado da arquitetura de dados funcional e técnica; ii) Criação e configuração de todos os componentes necessários ao suporte das arquiteturas funcionais e técnicas definidas, para todos os três ambientes (desenvolvimento, pré-produção e produção); iii) Set-up da conectividade entre cada componente e com sistemas externos específicos, para todos os três ambientes (desenvolvimento, pré-produção e produção); iv) Set-up de framework de referência que permita a colaboração entre equipas de Operações e Desenvolvimento e ciclo de vida do produto, com um caminho de evolução padrão (desenvolvimento -> pré-produção -> produção);
b. Implementar a framework, mecanismos e processos de ingestão de informação para o DL (alinhado com o sub projeto “Assessment às fontes de informação e dados existentes”): i) Desenvolvimento dos mecanismos de ingestão; ii) Desenvolvimento dos mecanismos de consolidação; iii) Desenvolvimento dos mecanismos de enrichment; iv) Mecanismos de estandardização e normalização de dados;
c. Implementar a Visão 360º do Agricultor (alinhado com o sub projeto “Assessment às fontes de informação e dados existentes”): i) Desenho e implementação do modelo de dados da visão 360; ii) Desenho e implementação de processos de Extração, Transformação e Loading (ETL) para carregamento e atualização de informação;
d. Desenvolver o Portal de Estatísticas: i) Identificação dos principais indicadores e estatísticas a disponibilizar no MEA; ii) Desenho do modelo de dados para suporte ao MEA; iii) Desenho e implementação de processos ETL para carregamento e atualização de informação; iv) Desenho e implementação de reports a incluir no MEA; v) Disponibilização de mecanismos de interface com entidades terceiras no âmbito dos conjuntos de dados abertos do Portal Nacional e Xxx.xx.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Relatório com desenho da arquitetura de dados funcional e técnica;
b. Set up da arquitetura de dados;
c. Set up de processos de ingestão de dados para o Data Lake;
d. Repositório central de dados, com informação consolidada de acordo com a Visão 360 do Agricultor;
e. Disponibilização do MEA;
f. Documentação técnica dos processos implementados.
⮚ Modelo analítico de suporte ao negócio
1. Com este sub projeto pretende-se idear, desenhar e implementar uma estrutura de reporting organizacional, em linha com melhores práticas de analytics, e utilizando o Data Lake como fonte de informação. O Ministério da Agricultura tem como prioridades o alinhamento dos KPI a monitorizar aos seus objetivos estratégicos e uniformização dos processos de gestão de performance corporativa e de reporting de gestão. E entre os principais painpoints destacam-se: i) Inventário alargado de KPI e reports, baseados em diversas fontes de informação e com redundâncias entre si; ii) Elevado esforço na produção de relatórios operacionais/ transacionais versus análises de valor acrescentado; iii) Dificuldade no acesso a KPI de forma rápida e simples.
2. São objetivos deste sub projeto:
a. Promover o alinhamento, consistência e relevância para o negócio das métricas e reports de gestão utilizados;
b. Definir a árvore de valor dos KPI;
c. Rever e introduzir novos drivers e KPI;
d. Melhorar a produtividade e reduzir custos operacionais de reporting;
e. Melhorar a capacidade analítica para converter dados em conhecimento e melhorar o suporte à tomada de decisão;
f. Automatizar e padronizar a produção de reporting;
g. Melhorar a flexibilidade, qualidade e rapidez na disponibilização dos reports e análises necessárias;
h. Melhorar a vinculação e alinhamento de incentivos aos KPI;
3. São exemplos de atividades a considerar neste sub projeto:
a. Diagnosticar e inventariar reports;
i. Inventariar os reports e KPI existentes no Ministério da Agricultura, identificar as suas características/atributos e possíveis recomendações de melhoria;
b. Definir a Visão de reporting do Ministério da Agricultura;
ii. Definir a estratégia de reporting - alinhar a visão do Ministério para o novo modelo de reporting (tipologia de KPI, entidades envolvidas, disponibilização, entre outros);
iii. Identificar drivers de negócio alinhados com os objetivos estratégicos do Ministério;
iv. Definir a árvore de valor dos KPI de controlo e monitorização do negócio do Ministério ao longo da sua value chain;
v. Identificar, descrever e caracterizar os reports a serem implementados por driver de negócio;
vi. Definir a visão para os dados e tecnologia de suporte ao novo modelo de reporting corporativo;
c. Desenhar os principais dashboards de gestão (alto nível);
d. Desenhar um mock-up de Dashboard.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento com conclusões as-is, inventário de reports e KPI;
b. Documento que materializa a visão de reporting do Ministério da Agricultura;
c. Mock-up de dashboard.
⮚ Quadro de Desempenho - Dashboard estratégico
1. Com este sub projeto pretende-se implementar o Dashboard Estratégico, em linha com
o mock-up definido no sub projeto “Modelo analítico de suporte ao negócio”.
2. São objetivos deste sub projeto:
a. Implementar o dashboard definido no sub projeto “Modelo Analítico de Suporte ao Negócio”;
b. Acompanhar num único local, todas as informações necessárias para averiguar o desempenho e execução do âmbito definido;
c. Melhorar o processo de tomada de decisão, tornando mais fácil a análise dos dados;
d. Melhorar o alinhamento entre as partes envolvidas.
3. São exemplos de atividades a considerar neste sub projeto:
a. Definir o setup das componentes de arquitetura necessárias à implementação do mock-up definido;
b. Implementar o modelo de dados de reporting e processos de ETL para carregamento e atualização de informação – atendendo às necessidades do use case;
c. Avaliar a ingestão de fontes de informação adicionais, dependendo dos requisitos de informação do dashboard;
d. Implementar o dashboard definido.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Implementação do modelo de dados de reporting;
b. Implementação dos processos de carregamento e atualização de informação;
c. Documentação técnica dos processos ETL;
d. Implementação do dashboard definido;
e. Documentação técnica e funcional do Dashboard.
⮚ STATSTAT
1. Com este sub projeto pretende-se dar resposta à atualização e automatização do estudo do Estado das Culturas e Previsão das Colheita (ECPC) em Portugal. O ECPC é um estudo que visa a recolha e disponibilização de informação de carácter previsional, relativamente a áreas, rendimentos e produções das principais culturas agrícolas, sendo
esta informação partilhada com uma periodicidade mensal ao Instituto Nacional de Estatística (INE). Ao longo da sua existência o ECPC foi alvo de alterações metodológicas. Atualmente a recolha de informação é efetuada pela estrutura regional do Ministério da Agricultura, através das suas Direções Regionais de Agricultura e Pescas (DRAP). A abrangência da operação estatística, no âmbito da produção vegetal, é vasta permitindo o acompanhamento dos principais grupos de cultura. Este sistema de informação previsional é constituído por uma rede de técnicos, designados por coordenadores, distribuídos espacialmente por áreas de atuação que cobrem todo o Continente, representando um conjunto de saberes empíricos que, pela sua experiência de campo, constituem uma fonte de informação de grande utilidade, mas que naturalmente estão condicionadas pela fiabilidade da natureza empírica das suas observações. Assim torna-se imperativo incrementar a inteligência inerente a estes processos. Embora ainda seja de enorme importância o conhecimento empírico adquirido pela experiência, é cada vez mais relevante o trabalho de investigação, que procura ajudar a determinar com relativa segurança e fiabilidade o estado das culturas e previsão das colheitas. A solução proposta deverá assentar no estudo e implementação de metodologias de acompanhamento do ECPC, com base em análise de imagens obtidas por deteção remota, que viabilizem uma nova abordagem da questão. Com base na análise de imagens multiespectrais (13 bandas) e com uma resolução espacial que varia entre os 10 m (bandas do visível e infravermelho) e 60m e uma cobertura total de Portugal Continental (com as análises a serem processadas de forma distinta de acordo com a DRAP a que pertencem) o Ministério da Agricultura identifica a evolução das áreas das parcelas ao longo do tempo e respetivo Índice de Vegetação com Diferença Normalizada (NDVI) – sendo esta a fonte de informação primária a considerar para o ECPC.
2. São objetivos deste sub projeto:
a. Assegurar a continuidade do estudo “Estado das Culturas e Previsão das Colheitas” (ECPC), mitigando a dependência de recursos humanos para a recolha de dados empíricos, necessários à elaboração das estatísticas de produção agrícola;
b. Capitalizar a informação disponível para um acompanhamento contínuo do estado das culturas no terreno e suporte a diferentes tomadas de decisão, bem como a promoção de ações proativas no âmbito de recomendações para adoção das melhores práticas agrícolas (exemplo: sanidade vegetal, estado de maturação das culturas ou outras);
3. São exemplos de atividades a considerar neste sub projeto, assente no estudo e implementação de metodologias de acompanhamento do ECPC, com base em análise de imagens obtidas por deteção remota (por satélite in situ):
a. Definir o setup das componentes de arquitetura de dados e inteligência artificial necessárias ao presente sub projeto;
b. Considerar os processos de ingestão da informação relevante para o Data Lake;
c. Desenvolver e operacionalizar os modelos de Inteligência Artificial que se considerem mais adequados, afinados ao universo de dados das culturas e colheitas do ECPC para análise e produção de indicadores previsionais sobre áreas, rendimentos e produções das principais culturas;
d. Criar processos para monitorização da performance de modelos de Inteligência Artificial;
e. Identificar e priorizar casos de uso de analytics para evolução do estudo atual;
f. Desenhar e implementar um dashboard de apoio à decisão e explicabilidade dos resultados obtidos pelos modelos analíticos.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Modelo de arquitetura de dados;
b. Modelo de inteligência artifical;
c. Relatório de performance dos modelos de inteligência artificial;
d. Mecanismo de interface com INE.
Capítulo II
(Projeto estruturante n.º 4 Reorganiza)
⮚ Sub projetos que integram o projeto estruturante n.º 4
1. O “Reorganiza” para além dos sub projectos referidos no capítulo V do Anexo I será complementado para a fase de implementação com os seguintes sub projetos que não fazem parte do objeto do presente procedimento:
a. Plano de ação para a digitalização e automação de processos
b. Fábrica de processos - set up
c. Fábrica de processos - implementação de processos prioritários
d. Programa de gestão da mudança
e. Programa de formação para a gestão da mudança - capacitação do capital humano
f. Programa de comunicação para a gestão da mudança
g. Conceptualização e criação das peças de comunicação para a gestão da mudança
⮚ Plano de ação para a digitalização e automação de processos
1. Com este sub projeto pretende-se estabelecer uma unidade de eficiência que tenha como missão a identificação transversal a todos os organismos e institutos do Ministério da Agricultura de processos prioritários e principais oportunidades de melhoria através da introdução de tecnologias digitais para suporte aos processos. Este plano de ação deverá concretizar-se na definição, implementação e operação de um Centro de Excelência (CdE) de automação e digitalização de processos que sirva de forma partilhada os Organismos e Institutos do Ministério, assegurando a captura de benefícios de eficiência em coordenação com os restantes sub projetos e que permita financiar através dessa eficiência o investimento das restantes iniciativas.
2. São objetivos deste sub projeto:
a. Definir o plano de ação para a digitalização e automação dos principais processos;
b. Identificar os processos prioritários;
c. Identificar as principais oportunidade de melhoria através da introdução de tecnologias digitais para suporte aos processos.
3. São exemplos de atividades a considerar neste sub projeto:
a. Definir o Modelo de Governo do CdE;
b. Definir as Pessoas e Responsabilidades do CdE;
c. Definir as Métricas e KPI de avaliação do desempenho do CdE, nomeadamente
i) maturidade organizacional, ii) poupança de custos, iii) horas trabalhadas por automação/digitalização, iv) qualidade/redução de erros e satisfação do negócio,
v) grau de penetração da automação/digitalização nos Organismos/Institutos do Ministério;
d. Definir as Metodologias e Ferramentas de suporte de gestão de processos do CdE, nomeadamente para i) gestão da procura de automações, ii) avaliação de impacto e análise custo-benefício das automações, iii) priorização de oportunidades de automação, iv) calendarização da implementação das automações em Metodologia de referência que permita a colaboração entre equipas de Operações e Desenvolvimento;
e. Definir o processo de avaliação e seleção de soluções tecnológicas de automação e digitalização de oportunidades de eficiência, nomeadamente i) Solução técnica de RPA (Robotic Process Automation), ii) Solução técnica de OCR (Optical Character Recognition), iii) Solução técnica de NLP (Natural Language Processing)/Text Analytics e iv) Soluções/ferramentas técnicas de AI (Artificial Intelligence);
f. Definir as Linhas Orientadoras da Arquitetura/Infraestrutura de suporte às soluções de automação e digitalização;
g. Definir o Roadmap do Plano de Ação com a calendarização das principais milestones;
h. Calendarizar alto-nível a primeira vaga de Automação/Digitalização de processos prioritários, contemplando o planeamento da implementação da automação de 8 a 11 processos, dependendo da complexidade dos mesmos resultante do processo de qualificação e priorização de processos.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento de definição do modelo de governo do CdE;
b. Documento de definição do modelo de entrega do CdE;
c. Documento de avaliação e seleção de soluções tecnológicas de automação e digitalização do CdE;
d. Documento de definição das linhas orientadoras da arquitetura/infraestrutura de suporte às soluções de automação e digitalização;
e. Documento de roadmap do set up do CdE;
f. Documento de roadmap (alto-nível) da 1ª vaga de Automação/Digitalização, contemplando 8 a 11 processos de automação.
⮚ Fábrica de processos - set up
1. Com este sub projeto pretende-se implementar uma Fábrica de Processos – Centro de Excelência (CdE), garantindo a definição dos processos e capacidades necessárias para suportar digitalização e automação dos processos em linha com plano de implementação no sub projeto “Plano de ação para a digitalização e automação de processos”.
2. São objetivos deste sub projeto:
a. Garantir a definição dos processos e capacidades necessárias para suportar digitalização e automação dos processos em linha com plano de implementação definido.
3. São exemplos de atividades a considerar neste sub projeto:
a. Implementar o Modelo de Governo e de Entrega do CdE;
b. Acompanhar a Instalação da Arquitetura/Infraestrutura;
c. Instalar as Soluções Tecnológicas de suporte à automação e digitalização (RPA, OCR, NLP, IA) selecionadas anteriormente;
a. Instalar a Solução de Suporte à Implementação da Metodologia de referência que permita a colaboração entre equipas de Operações e Desenvolvimento, baseada em Dailly Huddles, Sprint Plans e Sprint Reviews;
d. Implementar o Processo de Qualificação e Priorização de Processos para automação/digitalização. Desta análise de processos em sede de qualificação/priorização, resultará a seleção de um (1) processo piloto-teste para implementação no Módulo em questão, bem como, 8 a 11 processos para calendarização e implementação no sub projeto “Fábrica de processos – implementação de processos prioritários”;
e. Análisar detalhadamente o processo piloto-teste selecionado para digitalização/automação e elaboração do plano detalhado de implementação;
f. Implementar a automação/digitalização do processo piloto-teste.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Set up do CdE de automação e digitalização de processos do Ministério da Agricultura, incluíndo:
i. Modelo de Governo e Entrega implementados
ii. Arquitetura/Infraestrutura de suporte implementada
iii. Ferramentas de Suporte à Metolodogia de referência que permita a colaboração entre equipas de Operações e Desenvolvimento;
iv. Soluções Tecnológicas Automação e Digitalização (RPA, OCR, NLP, IA) instaladas
v. Processo de qualificação e priorização de processos para automação e Ddgitalização implementado
b. Processo piloto-teste selecionado, automatizado/digitalizado, incluíndo
i. Documento de viabilidade de processo
ii. Plano detalhado de implementação
iii. Documento de análise e desenho do fluxo de processo as-is e to-be
automatizado/digitalizado
iv. Construção e entrega, incluíndo
• Implementação
• Testes unitários
• Testes de aceitação
• Go-Live
• Hypercare
c. Documento de seleção dos processos a implementar, identificando 8 a 11 processos prioritários.
⮚ Fábrica de processos - implementação de processos prioritários
1. Com este sub projeto pretende-se digitalizar e automatizar as oportunidades elegidas como prioritárias na fase de set-up da Fábrica de Processos – Centro de Excelência (CdE).
2. São objetivos deste sub projeto:
a. Concretizar a digitalização e automação dos processos prioritários (entre 8 a 11 processos).
3. São exemplos de atividades a considerar neste sub projeto:
a. Rever os resultados do piloto realizado no sub projeto “Fábrica de processos – set-up”
b. Analisar detalhadamente os processos qualificados como prioritários (8 a 11 procesos) e elaborar o plano/calendarização detalhada de digitalização/automação dos mesmos, em Metodologia de referência que permita a colaboração entre equipas de Operações e Desenvolvimento, com Dailly Huddles, Sprint Plans e Sprint Reviews, incluíndo:
c. Sessões de shadowing com as equipas funcionais dos Organismos/Institutos do Ministério da Agricultura responsáveis pelos 8 a 11 processos qualificados como prioritários;
d. Elaboração dos documentos de análise de viabilidade dos processos, incluíndo:
• Redução de FTE: Identificação de métricas de volume da atividade e cálculo do potencial de savings de FTE’s com a automação
• Volumetria (volume de execuções do processo /mês)
• Tempo médio de operação (TMO) - por transação, em minutos
• FTE associados ao processo (baseline de cálculo automático)
• FTE associados ao processo (baseline indicado pela equipa de negócio)
• % de atividade que se pode automatizar
• Benefícios quantitativos que se conseguem com a automação (nº de FTE poupados c/ automação)
• Complexidade: Cálculo do esforço necessário para automatizar tendo em conta características técnicas dos processos e das aplicações
• Entre outros.
e. Implementar a primeira fase de digitalização/automação dos processos prioritários, em Metodologia de referência que permita a colaboração entre equipas de Operações e Desenvolvimento, com Dailly Huddles, Sprint Plans e Sprint Reviews;
f. Elaborar relatórios operacionais de atividades e resultados alcançados para acompanhamento do projeto
g. São entregáveis a considerar no âmbito deste sub projeto:
a. 8 a 11 processos automatizados/digitalizados, incluíndo
i. Documentos de viabilidade de processo (8 a 11 processos)
ii. Plano detalhado de implementação
iii. Documentos de análise e desenho dos fluxos dos processos as-is e to- be automatizados/digitalizados (8 a 11 processos)
iv. Construção e entrega de 8 a 11 processos
⮚ Programa de gestão da mudança
1. Com este sub projeto pretende-se definir uma estratégia e um plano de gestão da mudança que promova o alinhamento à transformação digital dentro do Ministério da Agricultura. Qualquer grande transformação requer alterações às formas de trabalhar, às atividades diárias, inclusivamente à cultura dos públicos-alvo impactados. Estas alterações geram resistência se não forem devidamente endereçadas com comunicação clara e transparente, formação recorrente e envolvimento desde o início do processo de transformação. Com o fim de assegurar o compromisso com a transformação, é essencial conhecer a fundo o público-alvo, de forma a permitir criar planos de mudança customizados às diferentes realidades, que garantam a adoção das novas ferramentas digitais, assegurando assim o sucesso do programa.
2. São objetivos deste sub projeto:
a. Garantir a adoção de todas as ferramentas e procedimentos digitais, incorporadas ao longo do programa de transformação, pelos vários públicos-alvo dentro do Ministério da Agricultura;
b. Acelerar a mudança da cultura e mindset internos de forma a atingir o desempenho organizacional de excelência procurado;
c. Reduzir a resistência à mudança por parte dos públicos-alvo impactados através de planos de comunicação e formação claros, focados nos benefícios e oportunidades geradas para os diversos organismos.
3. São exemplos de atividades a considerar neste sub projeto:
a. Estruturar uma equipa dedicada à gestão da mudança (membros, responsabilidades e modelo de governo) para criar e liderar o plano em articulação próxima com a gestão dos projetos em curso;
b. Caracterizar os públicos-alvo da transformação digital em termos de literacia digital, preferências de comunicação e formação, nível expectável de resistência, acessos a ferramentas digitais;
c. Criar uma narrativa de mudança, alavancando os benefícios da transformação, com planos customizados às realidades de cada público-alvo;
d. Identificar os momentos chave de transformação para preparar a calendarização de atividades de gestão da mudança;
e. Criar uma matriz de impactos e mapear exaustivamente todas as alterações a processos e formas de trabalhar, de forma a criar uma base exaustiva de impactos a endereçar com ações de mitigação para promover a mudança;
f. Elaborar uma estratégia preliminar de mudança através de um plano de comunicação, formação e monitorização dos públicos-alvo;
g. Mapear stakeholders relevantes com alto nível de influência e impacto da transformação e criar um plano de envolvimento e acompanhamento dos mesmos, para garantir o seu apoio e sponsorship relativa à transformação.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento com definição e modelo de governo da equipa de gestão da mudança;
b. Caraterização dos públicos alvo incluindo fichas, jornadas e impactos previstos por público-alvo;
c. Calendário da transformação com momentos de intervenção e atividades de gestão da mudança alinhado com calendário global da transformação digital;
d. Documento com a estratégia de gestão da mudança;
e. Documento com a identificação e plano de envolvimento de stakeholders.
⮚ Desenvolvimento do programa de formação para a gestão da mudança – capacitação do capital humano
1. Com este sub projeto pretende-se criar uma estratégia e um plano de formação alinhado à transformação organizacional, melhoria das capacidades de cibersegurança e migração para a cloud a decorrer. Neste contexto o objetivo é capacitar a força de trabalho do Ministério da Agricultura de forma a estarem preparados para a utilização e inclusão de ferramentas digitais no seu trabalho.
2. São objetivos deste sub projeto:
a. Capacitar a força de trabalho do Ministério da Agricultura em competências digitais e de utilização de novas ferramentas e processos implementados ao longo do programa de transformação digital;
b. Garantir a entrega de planos de formação customizados às necessidades dos públicos-alvo, de forma a criar um conhecimento transversal e uniforme exigido para a transformação digital.
3. São exemplos de atividades a considerar neste sub projeto:
a. Mapear impactos em processos e ferramentas ao longo da transformação digital e identificar necessidades de formação por público-alvo ao longo dos vários sub projetos em curso;
b. Identificar necessidades de formação cross para capacitação do capital humano no digital;
c. Definir metodologias e formatos de formação a serem alavancados no plano de formação (Train the Trainers, e-learning, etc.);
d. Elaborar currículos de formação customizados por público-alvo, alinhados aos respectivos impactos, garantindo preparação na utilização de diferentes ferramentas e processos da transformação digital;
e. Criar e manter o plano de formação atualizado face às necessidades identificadas.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento com a identificação das necessidades de formação por público-alvo;
b. Currículos de formação por público-alvo;
c. Documento com a caracterização dos formatos e metodologias de entrega da formação;
d. Plano e calendário de formação.
⮚ Programa de comunicação para a gestão da mudança
1. Com este sub projeto pretende-se construir e executar um plano de comunicação tanto interno como externo ao Ministério da Agricultura, que promova um maior entendimento sobre o propósito da transformação e dos benefícios da mudança. Implica dessa forma um conhecimento profundo de todos os públicos-alvo, uma definição clara do conteúdo e mensagens-chave a transmitir, um mapeamento e alinhamento dos canais a serem alavancados, e a criação de um calendário e plano detalhado.
2. São objetivos deste sub projeto:
a. Alinhar a narrativa interna e externa a ser utilizada transversalmente em todas as comunicações referentes à transformação digital;
b. Definir um plano de comunicação que promova um maior entendimento sobre o propósito da transformação e um alinhamento dos impactos e transformações em plano;
c. Monitorizar a adoção da transformação digital ao longo das novas ferramentas e processos, e ajustar o plano de gestão da mudança de acordo com necessidades identificadas.
3. São exemplos de atividades a considerar neste sub projeto:
a. Definir drivers de comunicação comuns e estruturantes ao longo do programa de transformação digital;
b. Identificar conteúdos de comunicação por público-alvo, incluindo benefícios e narrativa interna e externa;
c. Criar plano detalhado de iniciativas de comunicação e engagement da força de trabalho no âmbito de gestão da mudança;
d. Mapear canais de comunicação existentes;
e. Alocar canais de comunicação preferenciais às iniciativas definidas ao longo do plano;
f. Estruturar um plano integrado de monitorização da adopção da transformação digital;
g. Lançar programa de avaliação do nível de preparação para a mudança (change readiness assessment) dos públicos-alvo;
h. Lançar iniciativas recorrentes de monitorização, analisar resultados e criar planos de ações de mitigação.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Caracterização dos diversos públicos alvo (interno e externo);
b. Definição do plano de comunicação detalhado integrante do plano de gestão da mudança do Ministério da Agricultura.
⮚ Conceptualização e criação das peças de comunicação para a gestão da mudança
1. Com este sub projeto pretende-se conceptualizar e criar as peças de comunicação, alinhadas com a estratégia e programa já definidos e em estreita co-criação com o Ministério da Agricultura, tanto interna como externamente, para garantir uma eficaz, simples e clara ativação e comunicação do programa de gestão da mudança a todos os seus públicos-alvo.
2. São objetivos deste sub projeto:
a. Ativar a estratégia e programa de comunicação definido anteriormente;
b. Garantir que a mensagem é ajustada, eficaz, simples e clara para os seus públicos-alvo nos canais identificados.
3. São exemplos de atividades a considerar neste sub projeto:
a. Co-criar a imagem, marca e linha visual do programa de gestão da mudança a ser utilizado para a comunicação interna e externa;
b. Conceptualizar e criar as peças a serem utilizadas para comunicação interna (cartazes, material de formação, banners interactivos, entre outros) alinhados à estratégia e canais definidos;
c. Conceptualizar e criar as peças a serem utilizadas para comunicação externa (landing pages, banners interactivos, posts para redes sociais, entre outros) alinhados à estratégia e canais definidos;
d. Validação com stakeholders das peças de comunicação e posterior iteração (em contínuo).
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Peças de comunicação alinhadas à estratégia e programa de gestão da mudança definido
i. 1 logótipo e 1 manual de marca
ii. 10 peças de design de cartazes de pequeno formato (A3, A4 ou A5 ou outro formato a especificar);
iii. 10 peças de design de cartazes de grande formato (A0, A1 ou A2 ou outro formato a especificar);
iv. 20 peças de design para banners interactivos (para suporte à comunicação em canais digitais);
v. 30 peças de design para posts para redes sociais (Facebook, Instagram, LinkedIn);
vi. 1 template de powerpoint para apoio a reuniões ou ações de formação;
vii. 1 landing page ou micro website para apoiar a comunicação do programa de gestão da mudança.
Capítulo III
(Projeto estruturante n.º 5 Fraude & Fiscalização)
⮚ Sub projetos que integram o projeto estruturante n.º 5
1. O projeto de “Fraude & Fiscalização” contempla na fase de implementação com os seguintes sub projetos que não fazem parte do objeto do presente procedimento
a. Sistema de controlo de fraudes
b. Sistema de fiscalização
⮚ Sistema de controlo de fraudes
1. Com este sub projeto pretende-se integrar um conjunto de controlos rigorosos e abrangentes que permitam prevenir e identificar indícios de irregularidades no âmbito da gestão dos fundos estruturais. A solução preconizada para suporte a uma estratégia de combate a fenómenos comportamentais como a fraude deve assumir como premissa primordial a análise histórica das condutas individuais e grupais dos indivíduos que os praticam, bem como das características que mais predominantemente os propiciam a estas práticas. Esta observação permitirá encontrar e especificar um modelo analítico de regras que, aplicado a novas situações, irão apoiar a identificação de casos suspeitos e a definição de ações dissuasoras destes tipos de comportamento. A especificação do modelo analítico em plataformas deste cariz pode ser concretizada por duas vias: por um lado, através da aplicação de análise matemática e preditiva à informação já sistematizada relativamente ao histórico de fraude conhecido e, por outro, através da transposição do conhecimento empírico existente na organização (materializado em regras de negócio) e acumulado ao longo do tempo pelos elementos que, em âmbito das suas funções, mais de perto contactam com os fenómenos em causa. Estas duas vias são, naturalmente, complementares entre si, devendo ambas evoluir ao longo do tempo, no sentido de potenciar maiores níveis de maturidade do modelo. A instituição destes processos no sistema de gestão e de controlo e a sua aplicação efetiva nas atividades diárias de gestão e de verificação das declarações de despesas e dos projetos seriam consideradas um elemento importante do cumprimento da exigência prevista no artigo 125.º, n.º 4, alínea c), do Regulamento (UE) n.º 1303/2013. As medidas e objetivos traçados na implementação deste sub projeto servem como propósito final a sua integração no sub projeto “sistema de fiscalização”. Assim, o sistema de fiscalização, receberá informações (hints) do sistema de controlo de fraude, para identificar proactivamente potenciais situações de fraude, bem como um sistema de rating que avaliará os projetos, beneficiários, contratos e contratantes de maior risco. Adicionalmente, é objetivo do Ministério da Agricultura incorporar a ferramenta informática de pontuação de risco, como uma das medidas antifraude, para apoio às atividades de seleção de projetos e dos controlos de gestão e reforçar a identificação, a prevenção e a deteção de fraudes. O controlo das operações no local, bem como o controlo administrativo dos pedidos de reembolso apresentados pelos beneficiários, são atividades dispendiosas e acarretam uma ocupação significativa de recursos do Ministério da Agricultura. Assim, é objetivo que a presente solução, habilite o Ministério da Agricultura a concentrar-se nos beneficiários, contratantes, contratos e projetos de maior risco, para assim otimizar as suas atividades de controlo e investigação.
2. São objetivos deste sub projeto:
a. Garantir a deteção antecipada de irregularidades, com recurso a técnicas avançadas de machine learning, de forma a que as atividades de inspeção e auditoria sejam mais incisivas sobre comportamentos desviantes e atuem proactivamente no sentido de garantir o cumprimento das normas impostas.
3. São exemplos de atividades a considerar neste sub projeto:
a. Garantir o set up das componentes de arquitetura de dados e inteligência artificial necessárias ao presente módulo;
b. Desenhar e implementar os processos ETL necessários à utilização da ferramenta informática de pontuação de risco;
c. Avaliar fontes de informação externas que habilitem o enriquecimento de informação relativa a beneficiários;
d. Identificar e avaliar regras de negócio que indiciem potenciais irregularidades e necessidade de averiguação;
e. Desenhar e implementar processos ETL para disponibilização da Analytical Base Table;
f. Treinar e avaliar modelos de machine learning que habilitem a deteção de irregularidades;
g. Definir a fórmula de cálculo, peso e ponderação de cada uma das regras de negócio e modelo de machine learning, para obtenção dos scores finais;
h. Identificar o modelo de machine learning com melhor performance;
i. Realizar o deployment de processos que identificam a ocorrência das regras de negócio definidas;
j. Realizar o deployment do processo de scoring (regras + modelo de machine learning) em batch, com periodicidade a definir;
k. Criar processos para monitorização da performance do modelo de machine learning
e regras de negócio;
l. Integração de scores de fraude e respetivos descritivos (regras de negócio, modelo) no sub projeto referente ao sistema de fiscalização.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento com a disponibilização de processos para utilização da ferramenta de pontuação de risco;
b. Catálogo de regras de negócio;
c. Algoritmo de machine learning;
d. Processo de scoring de projetos;
e. Integração com sistema de fiscalização.
⮚ Sistema de fiscalização
1. Com este sub projeto pretende-se redesenhar e implementar o sistema de fiscalização para controlo das ajudas do pedido único considerando a adaptação da aplicação da monitorização das superfícies através de imagens de satélite (SATCONTROL), o desenho das medidas de acordo com o Plano Estratégico da PAC (PEPAC), e a conversão do sistema de controlo num sistema de fiscalização da atividade para o setor agrícola. O sistema de fiscalização baseado nas imagens de satélite (SATCONTROL) atual está suportado na utilização de séries temporais de imagens de satélite bem como em algoritmos de aprendizagem automática por forma a automatizar o processo de controlo das declarações e decisão da respetiva conformidade. A metodologia desenvolvida centra-se na análise da variabilidade temporal da resposta espetral das culturas agrícolas durante o seu ciclo vegetativo. Com base na análise de imagens multiespectrais (13 bandas) e com uma resolução espacial que varia entre os 10 m (bandas do visível e infravermelho) e 60m e uma cobertura total de Portugal Continental (com as análises a serem processadas de forma distinta de acordo com a região a que pertencem) é hoje possível identificar áreas não-conformes com a utilização registada, ou cuja utilização não é possível de ser determinada. Pretende-se que seja possível integrar estas análises/eventos no sistema de fiscalização, para que os mesmos possam ser utilizados como eventos geradores de medidas de controlo e fiscalização. E pretende-se ainda que a capacidade de receção não esteja limitada aos eventos atuais, mas que seja capaz de receber qualquer tipologia de evento gerado pela análise de imagens e o seu cruzamento com dados disponíveis na plataforma, nomeadamente as derivadas das medidas de apoio que possam ser definidas ao abrigo do Plano Estratégico da PAC 2023-2027.
2. Tendo em conta as medidas e objetivos traçados na implementação do sub projeto “Sistema de controlo de fraudes”, nomeadamente na deteção antecipada de
irregularidades, com recurso a técnicas avançadas de machine learning, importa criar as ferramentas necessárias para receber estes dados, de forma a garantir que as atividades de inspeção e auditoria sejam mais incisivas sobre comportamentos desviantes e atuem proactivamente no sentido de garantir o cumprimento das normas impostas. Neste sentido, o atual sistema de controlo de atividade para o setor agrícola, deverá ser convertido para um sistema de controlo de atividades, que receberá informações (hints) do sistema de controlo de fraudes, para identificar proativamente potenciais situações de fraude, bem como um sistema de rating que avaliará os agricultores em termos de risco de fraude. O novo sistema de controlo deverá permitir: i) a consulta de listas de risco produzidas pelo Sistema de Controlo de Fraude (SCF); ii) a receção de mensagens/avisos/notificações sobre eventos detetados pelo SCF, que identifiquem potenciais situações de fraude ou risco; iii) a geração de “Ficha de Fiscalização”, com base nas mensagens/avisos recebidos do SCF; iv) a geração de “Cadernos de Fiscalização” (templates dos processos de fiscalização a efetuar pelos técnicos), permitindo aos utilizadores a criação de modelos pré-configurados das ações a efetuar em processo de fiscalização, sem qualquer necessidade de programação do sistema; v) a criação de campanhas de fiscalização, com afetação das equipas de técnicos fiscalizadores, espaço temporal da sua execução, definição dos universos de fiscalização, associação dos “Cadernos de Fiscalização” a serem utilizados; vi) o suporte em mobilidade aos técnicos de fiscalizadores, para suporte à sua atividade no terreno, permitindo a consulta aos processos, registo das evidências observadas (incluindo fotografias georreferenciadas e outros documentos); vii) o registo de dados e produção dos relatórios de fiscalização, com base em templates e submissão dos mesmos para o sistema central; viii) o sistema de agregação de resultados da campanha (relatórios e dados) e produção do relatório da atividade; ix) a disponibilização dos dados recolhidos e processados ao “Sistema de controlo de fraude”, para realimentação dos modelos analíticos.
3. São objetivos deste sub projeto:
a. Redesenhar e implementar o Sistema de fiscalização para controlo das ajudas do pedido único;
b. Converter o sistema de controlo num sistema de fiscalização da atividade para o setor agrícola.
4. São exemplos de atividades a considerar neste sub projeto:
e. Desenhar e implementar o modelo de receção de notificações/avisos dos módulos comunicantes com o sistema de fiscalização. Este modelo deverá ser suportado nas componentes da arquitetura identificadas para este efeito;
f. Definir o UI deste sub projeto, incluindo o desenho dos vários componentes e ecrãs do sistema;
g. Conceber funcionalmente o modelo de fiscalização, incluindo as campanhas a serem efetuadas no “terreno”;
h. Desenhar e implementar o sistema de fiscalização da atividade agrícola, para suporte às atividades identificadas;
i. Efetuar testes integrados do sistema de fiscalização com todos os sistemas comunicantes que forem identificados em sede de projeto;
j. Desenhar e implementar os mecanismos de comunicação dos resultados operacionais das atividades de fiscalização para os sistemas analíticos (processo a definir em sede de projeto), para permitir o seu tratamento analítico e a realimentação dos motores de inferência;
k. Produzir e disponibilizar toda a documentação funcional e técnica exigida;
l. Assegurar as ações de formação necessárias à boa introdução da aplicação no contexto de negócio e de operação no Ministério da Agricultura, de forma a que os utilizadores a compreendam e tirem o melhor proveito;
m. Incluir mecanismos de envio de dados estatísticos da utilização para as componentes de analítica;
n. Desenvolver mecanismos para a monitorização da componente, assegurando a produção de relatórios de utilização (pré-definidos), com capacidade de filtragem por ação efetuada, período, utilizadores, resultado da ação, entre outros a definir em sede de projeto.
5. São entregáveis a considerar no âmbito deste sub projeto:
a. Caderno de requisitos para o sistema de fiscalização;
b. Documento de Análise Funcional;
c. Documento de Especificação Técnica;
d. Plano de testes de implementação;
e. Desenho da configuração;
f. Dados de teste;
g. Relatório de execução de testes de implementação;
h. Inventário de defeitos detetados;
i. Checklist de validação da prontidão da release;
j. Testes de verificação;
k. Manual de administração;
l. Manual do utilizador;
m. Manual de instalação;
n. Código fonte da solução;
o. Documentação dos webservices implementados, incluindo os formatos de dados de input e output;
p. Materiais de formação.
Capítulo IV
(Projeto referente ao pólo de inovação digital - “Cloud”)
⮚ Sub projetos que integram o projeto “Cloud”
1. O projeto “Cloud” para além dos sub projectos referidos no capítulo VI do Anexo I será complementado para a fase de implementação com os seguintes sub projetos que não fazem parte do objeto do presente procedimento:
a. Definição da arquitetura cloud, landing zone e plano de migração;
b. Set up da arquitura cloud e da landing zone;
c. Apoio à transformação da cibersegurança;
d. Infraestrutura Cloud;
e. Migração Cloud.
⮚ Definição da arquitetura cloud, landing zone e plano de migração)
2. Com este sub projeto pretende-se elaborar o plano de Migração e Investimento para permitir a migração da plataforma tecnológica do Ministério da Agricultura para uma infraestruturação de base Cloud, de acordo com a visão, estratégia, plano de migração aplicacional e de migração do modelo de governo e operativo.
3. São objetivos deste sub projeto:
a. Obter um plano detalhado e aprovado da migração da plataforma tecnológica do Ministério da Agricultura para uma infraestruturação de base Cloud, o qual permite atingir os seguintes resultados: i) Apresentar o desenho detalhado da arquitetura da futura Cloud; ii) Descrever as fases, etapas e tarefas do plano detalhado de transformação e migração da atual infraestrutura para suportar a futura Cloud; iii) Confirmar e enquadrar os custos e benefícios associados à implementação da futura Cloud e as atividades de transformação e migração em plano;
b. Minimizar riscos de execução do plano de transformação assegurando o compromisso, aprovação e concordância com o plano, por todos os stakeholders internos e externos do Ministério da Agricultura com os quais exista uma dependência na execução do plano de transformação, assente na mobilização destes na contribuição e alinhamento nas atividades de preparação do plano.
4. As atividades a serem propostas para a alcançar os objetivos traçados e alcançar o plano de transformação para a Cloud deverá assentar em duas dimensões de trabalho distintas. A cada dimensão de trabalho correspondem exemplos de atividades específicas.
5. Assim, são exemplos de atividades a considerar neste sub projeto, ao nível da Infraestrutura:
a. Apresentar opções de configuração Cloud que sirvam a visão de futura Cloud e os seus princípios orientadores;
b. Debater as opções com os stakeholders do Ministério da Agricultura com vista a confirmar o modelo de Cloud a adotar considerando vetores de hibridização, localização de data centers, disaster recovery e data residency entre outros;
c. Obter concordância dos stakeholders sobre o modelo de Cloud para a futura Cloud;
d. Elaborar o desenho detalhado da Arquitetura da futura Cloud e respetiva Landing Zone para o parque aplicacional em âmbito e considerando as vertentes de infraestrutura, storage, backup, automação DevSecOps, monitorização, segurança ativa e passiva, acessos e network;
e. Efetuar o levantamento do parque de infraestrutura atual (e.g., CMDB);
f. Apresentar opções de migração da atual infraestrutura para a futura Cloud, enquadradas na estratégia de transformação e seus princípios orientadores, incluindo a migração das ferramentas colaborativas para um serviço cloud- based;
g. Debater as opções com os stakeholders do Ministério da Agricultura com vista a confirmar a abordagem de transformação a adotar considerando a minimização de interferências operacionais, minimização de custos e de riscos e alinhamento com a transformação aplicacional e organizacional;
h. Obter concordância dos stakeholders sobre a abordagem de transformação da infraestrutura para a futura Cloud;
i. Elaborar o desenho detalhado da transformação da infraestrutura para futura Cloud e respetiva Landing Zone considerando as vertentes de infraestrutura, storage, backup, automação DevSecOps, monitorização, segurança ativa e passiva, acessos e network;
j. Obter aprovação e compromisso dos stakeholders do Ministério da Agricultura com a arquitetura e abordagem de transformação detalhadas.
6. São ainda exemplos de atividades a considerar neste sub projeto, ao nível do Business Case:
a. Efetuar o levantamento da informação necessária ao apuramento da situação atual de acordo com as rúbricas de base ao Business Case;
b. Proceder ao apuramento dos custos, investimentos e benefícios ao longo dos planos de transformação até à conclusão da mesma, tendo por base os desenhos e planos da futura Cloud, transformação aplicacional e evolução da organização e modelo operativo;
c. Confirmar as conclusões e explicar os racionais sobre a avaliação da situação atual e da estimativa de valor para a transformação e cenário futuro, com os stakeholders do Ministério da Agricultura. Obter confirmação para proceder ou efetuar revisões que sejam necessárias para obter acordo;
d. Elaborar os inventários de pressupostos, fatores críticos de sucesso e riscos detalhando-os nas dimensões necessárias, nomeadamente no caso dos riscos identificando a probabilidade, grau de impacto, mitigação e responsável;
e. Elaborar o Business Case final com a situação atual, resultados esperados de acordo com estrutura definida inicialmente, plano de transformação, pressupostos, fatores de sucesso e riscos;
f. Elaborar o plano consolidado de transformação;
g. Obter concordância e compromisso dos stakeholders responsáveis por plano, pressupostos, fatores de sucesso e mitigação de riscos.
7. São entregáveis a considerar no âmbito deste sub projeto:
a. Dossier de infraestrutura com:
i. Relatório do modelo de Cloud futuro, incluindo as opções avaliadas, análise comparativa e racional da decisão;
ii. Desenho detalhado da Arquitetura da futura Cloud e respetiva Landing Zone;
iii. Plano de migração detalhado da atual infraestrutura para a futura Cloud, incluindo as opções analisadas e racional das decisões tomadas.
b. Dossier de Business Case, o qual inclui:
i. Relatório de Business Case com a estrutura do mesmo, levantamento e síntese dos custos atuais, apuramento e síntese dos custos de transformação por rubrica e análise consolidada do business case de acordo com a estrutura de valorização aprovada;
ii. Ficheiro de cálculo do business case, detalhes de levantamento de estimativas e pressupostos económicos, financeiros e outros assumidos;
iii. Sumário executivo da Estratégia de transformação tecnológica e migração para a Cloud, agregando numa síntese e visão agregada, os temas principais das distintas dimensões de trabalho;
iv. Plano integrado de transformação tecnológica e migração para Cloud incluindo o detalhe dos três primeiros meses, os pressupostos gerais, fatores de sucesso e riscos com a identificação clara de responsáveis respetivos.
⮚ Set up da arquitura cloud e da landing zone
1. Com este sub projeto pretende-se implementar a arquitetura Cloud de referência e Cloud Landing Zone de acordo com a especificação definida anteriormente, por forma a preparar o ambiente sobre qual será aprovisionada toda a infraestrutura cloud de suporte às aplicações/ ambientes definidos como âmbito de migração usando os métodos Lift&Shift ou Replatform simples.
2. São objetivos deste sub projeto:
a. Disponibilizar a Cloud Landing Zone em conformidade com a arquitetura de referência, sobre a qual serão instanciadas as infraestruturas de suporte às várias aplicações a migrar. Todas as peças da arquitetura de referência serão desenvolvidas na forma de código e criada a biblioteca base de artefactos para a instanciação automatizada de infraestrutura Cloud;
b. Preparar as condições mínimas para o arranque da primeira vaga de migração de aplicações para Cloud, utilizando os arquétipos e artefactos definidos.
3. São exemplos de atividades a considerar neste sub projeto:
a. Implementar o repositório de código fonte, onde serão mantidos as peças de infraestrutura enquanto código (Infrastructure-as-Code);
b. Desenvolver artefactos base, em alinhamento com o documento de arquitetura, para as atividades de aprovisionamento, arranque/ paragem de elementos, tagging, patching, etc., para os seguintes tipos de elemento de infraestrutura:
i. Servidores (aplicacionais, bases de dados, web servers), em configuração simples, redundante, alta-disponibilidade e com disaster recovery;
ii. Storage primário e backups, bem como respetivas regras e esquemas de salvaguarda de dados
iii. Balanceadores de carga;
iv. Firewalls e suas regras;
v. Endereçamento IP Público e privado;
vi. Novas Redes;
vii. Instalação de patches;
viii. Instalação de agentes de monitorização;
ix. Outros elementos de automação da operativa de IT e de DevSecOps;
c. Criar as principais redes de acesso e dos respetivos organismos;
d. Criar as regras de isolamento, segregação e acessos a cada “zona” de uso exclusivo de cada organismo;
e. Instanciar a infraestrutura base de suporte à migração do primeiro organismo da primeira vaga, servido de piloto e teste de aceitação da implementação.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Infraestrutura disponível em conformidade com o desenho de arquitetura e
Landing Zone;
b. Documentação da solução implementada e código fonte desenvolvido.
⮚ Apoio à transformação da cibersegurança
1. Com este sub projeto pretende-se assegurar que a transformação para a infraestrutura
Cloud esteja acompanhada por serviços e capacidades obrigatórias de segurança.
2. São objetivos deste sub projeto:
a. Garantir a segurança de infraestrutura e de computação em Cloud;
b. Garantir a segurança aplicacional.
3. São exemplos de atividades a considerar neste sub projeto na área de Segurança de Infraestrutura e de Computação em Cloud:
a. Adequar a visibilidade de estado da conformidade com os regulamentos e melhores práticas da indústria (p.e. QNRCS, ISO 27001, PCI DSS, HIPAA, entre outros);
b. Validar a configuração de segurança de rede e firewall;
c. Implementar proteção ao nível das aplicações com a componente Web Application Firewall;
d. Proceder à capacitação da alta disponibilidade para virtualização e serviços com
Load Balancer;
e. Validar a configuração da proteção antivirus e antimalware;
f. Configurar fontes de informação, regras de FW e de logs de segurança;
g. Verificação de Hardening e patching do ambiente Cloud e correção de vulnerabilidades críticas;
h. Validação da proteção de dados com encriptação SSL de ponta-a-ponta;
i. Implementação de autenticação multifator (MFA) para os utilizadores privilegiados.
4. São ainda exemplos de atividades a considerar neste sub projeto referentes à área de Segurança Aplicacional:
a. Proceder à avaliação inicial da segurança de aplicações consideradas críticas (a definir) com os testes de código fonte, testes dinâmico e testes de componentes e dependências;
b. Xxxxxxxx e triar resultados apresentados;
c. Priorizar e apresentar recomendações para a mitigação das vulnerabilidades encontradas;
d. Implementar e operacionalizar de framework de DevSecOps.
5. São entregáveis a considerar no âmbito deste sub projeto:
a. Documento com lista de capacidades de segurança implementadas no âmbito de infraestrutura e de computação em Cloud;
b. Documento com resultados de análise de segurança aplicacional com as recomendações para a mitigação das vulnerabilidades encontradas.
⮚ Infraestrutura Cloud
1. Com este sub projeto pretende-se fornecer infraestrutura Cloud pública de suporte ao processo de migração para a Cloud, maioritariamente sob a forma de IaaS ou PaaS.
2. São objetivos deste sub projeto:
a. Contratar e fornecer infraestrutura Cloud Pública de suporte ao processo de migração ao longo da vigência do contrato, assegurando a utilização de uma solução dimensionada de forma adequada técnica e financeiramente, em alinhamento com o Business Case desenvolvido;
b. Contratar e disponibilizar um serviço de ferramentas de colaboração cloud- based para a totalidade do universo de utilizadores do Ministério a Agricultura.
3. São exemplos de atividades a considerar neste sub projeto:
a. Contratar um serviço de infraestrutura Cloud que ofereça previsibilidade de custos para o âmbito das aplicações a migrar;
b. Contratar um serviço de infraestrutura Cloud que permita crescer em proporção direta e total alinhamento com o plano de migração, pagando apenas o custo proporcional consumido;
c. Contratar um serviço de ferramentas de colaboração cloud-based;
4. São pressupostos a considerar para a abordagem proposta neste sub projeto:
a. Considerar, para efeitos de dimensionamento da solução, que será necessário assegurar infraestrutura para:
i. Até 30 aplicações alvo de migração do total de 15 organismos do Ministério da Agricultura;
ii. Cada aplicação tem entre um a dois ambientes não produtivos e um ambiente de produção;
iii. Um parque de cerca de 200 servidores, dos quais 50 a 60% são de produção, com sistemas operativos Windows ou Linux;
iv. A título indicativo, considere-se que cada servidor tem uma média de 2 vCPU de médio desempenho, 16GB de RAM e 64GB de disco;
v. Uma rede base de interligação, com acesso ao exterior e com Firewall e Web Application Firewall;
vi. Duas redes para cada organismo, uma para suporte aos ambientes de produção contando com um e outra para os ambientes não produtivos;
vii. Um load balancer por cada rede de organismo;
viii. Uma VPN Gateway;
ix. Ferramentas mínimas de monitorização dos serviços em uso;
x. Um universo de cerca de 5300 utilizadores para os serviços de ferramentas colaborativas cloud-based, tais como correio eletrónico, armazenamento de ficheiros, ferramentas de trabalho colaborativo, serviço de mensagens instantâneas, suporte à realização de reuniões virtuais, entre outros. Devem ser apresentadas duas opções: standard e avançada, indicando as diferenças e vantagens da opção avançada vs standard.
b. Considerar, para efeitos de cotação de licenciamento de sistemas operativos e software aplicacional, um modelo de BYOL (Bring your own license), tirando partido do licenciamento existente. Qualquer outro licenciamento que seja necessário para o funcionamento dos serviços a contratar deverá estar incluído nos custos da solução;
c. Contemplar, para o plano base para efeitos de cotação:
a. Inicio do setup da Cloud Landing Zone no terceiro trimestre após a entrada em vigência do presente contrato;
b. Inicio das vagas de migração para a Cloud após o setup da Cloud Landing Zone;
c. Considerar um período de cerca de 20 meses para conclusão das migrações;
d. Após todas as migrações, considerar pelo menos um prazo de 9 meses de serviço estável.
5. São entregáveis a considerar no âmbito deste sub projeto:
c. Documento com proposta da infraestrutura a adoptar;
d. Relatório com plano de infraestrutura adoptado.
⮚ Migração Cloud
1. Com este sub projeto pretende-se migrar o conjunto de aplicações planeadas para as diferentes vagas de migrações para o ambiente Cloud implementado, fazendo uso dos mecanismos de automação desenvolvidos, garantindo que o resultado obtido está em linha com o plano estratégico.
2. São objetivos deste sub projeto:
a. Assegurar a execução de sete vagas de migração de aplicações para Cloud de acordo com o plano e métodos de migração identificados, instanciando a arquitetura de referência através dos artefactos/ código de infraestrutura já criados.
b. Garantir que qualquer código que seja gerado para suportar alguma especificidade das aplicações em questão, segue as regras base da arquitetura de referência, que é testado e disponibilizado via a biblioteca base de artefactos para a reutilização/ instanciação automatizada futura de infraestrutura Cloud, seja para recriação dos mesmos elementos ou outros.
3. São exemplos de atividades a considerar neste sub projeto, para cada uma das sete vagas de migração a considerar:
a. Verificar detalhadamente os ambientes de origem, com vista ao enriquecimento da informação previamente recolhida e identificar potenciais riscos ao processo de migração;
b. Elaborar de plano detalhado de migração, com identificação de necessidade de envolvimento dos responsáveis pelo serviço IT dos sistemas a migrar;
c. Desenhar detalhadamente a arquitetura técnica e infraestrutura a aprovisionar;
d. Identificar riscos ao processo de migração e elaboração de plano de mitigação dos mesmos;
e. Validar e aprovar o desenho técnico e plano migração, incluído plano de mitigação de risco, por parte dos responsáveis pelo serviço IT dos sistemas a migrar;
f. Avaliar a existência de artefactos pré-criados para suporte ao aprovisionamento da infraestrutura de forma automatizada;
g. Identificar as alterações necessárias das configurações existentes;
h. Coordenar a definição dos critérios e testes de aceitação da migração;
i. Identificar requisitos de segurança e rede espcificos e implementar
j. Identificar requisitos de segurança e rede específicos e implementar;
k. Identificar os requisitos de arquitetura e as alterações necessárias à Landing Zone;
l. Configurar a infraestrutura, como seja:
i. Alta disponibilidade;
ii. Recuperação de desastres;
iii. Monitorização;
iv. Aprovisionamento de VM;
v. Aprovisionamento de redes;
vi. Configuração de segurança.
m. Migração de aplicação.
4. São entregáveis a considerar no âmbito deste sub projeto:
a. Infraestrutura disponível em conformidade com o desenho de arquitetura e
Landing Zone;
b. Relatórios de teste e aceitação do sucesso da migração;
c. Documentação referente às soluções implementadas e códigos fonte desenvolvidos.