TERMO DE REFERÊNCIA
Diretoria de Governo
TERMO DE REFERÊNCIA
OBJETO
Contratação de serviço de orquestração, interoperabilidade e monitoramento de conexões, contemplando a prestação de serviços de apoio à configuração e construção de APIs para consulta de documentos e informação da liquidação de débitos de clientes e usuários do Banco do Brasil junto aos Entes Públicos, para viabilizar a integração de soluções de recebimentos online.
IMPORTANTE
• O cronograma estipulado deverá ser cumprido rigorosamente pelos fornecedores. Eventuais modificações nos prazos poderão ocorrer a critério do Banco do Brasil.
Etapa | Data |
Publicação | 07/06/2022 |
Recebimento de dúvidas | 10/06/2022 |
Esclarecimento de dúvidas | 14/06/2022 |
Recebimento da Resposta | 17/06/2022 |
• As dúvidas decorrentes da interpretação desta RFP deverão ser encaminhadas ao endereço eletrônico xxxxx.xxx.xxxxxxxxxx@xx.xxx.xx, sob o título: RFP – Serviço de Integração de APIs – DÚVIDA. As mensagens deverão conter a identificação da empresa, o nome do responsável e telefone para contato. Os esclarecimentos às dúvidas serão divulgados por esta mesma via.
• A resposta do fornecedor a esta consulta, por meio de Proposta Comercial, deve ser encaminhada em meio digital para o endereço eletrônico citado acima, sob o título: RFP – Serviço de Integração de APIs – RESPOSTA, juntamente com a planilha de Precificação e qualquer documentação adicional julgada necessária.
• A Proposta Comercial deverá apresentar preços com base/formato da tabela apresentada nos itens 3.1.10 e 3.1.11 deste documento.
• Apreciaríamos ainda, a apresentação, caso haja, de sugestões de qualquer natureza, inclusive com indicação de cenários alternativos que possam vir a configurar melhoria e/ou vantajosidade ao Banco do Brasil.
1. Objeto
1.1. Contratação de solução de orquestração, interoperabilidade e monitoramento de conexões, contemplando a prestação de serviços de apoio à configuração e construção de APIs para consulta de documentos e informação da liquidação de débitos de clientes e usuários do Banco do Brasil junto aos Entes Públicos para viabilizar a integração de soluções de recebimentos online, conforme condições e exigências estabelecidas neste documento.
2. Justificativas para a contratação:
2.1. No portfólio de soluções para os clientes Setor Público existem serviços que podem ser oferecidos em modalidade digital e online tais como arrecadação de tributos e taxas estaduais e municipais, que exigem conectividade para sua efetiva utilização, seja por meio de APIs, webservices ou até mesmo via troca de arquivos.
2.2. Conforme necessidades identificadas pelos gestores de produtos e pela rede Setor Público, muitos clientes têm dificuldade de alocação de mão de obra técnica especializada para construção ou adaptação de conectores e outros componentes de TI para viabilizar a integração com os serviços do BB.
2.3. Além desse cenário, no intuito de facilitar a vida do cidadão e ampliar a arrecadação pública por meio de canais disponibilizados pelo Banco do Brasil, o projeto estratégico “Projeto Setor Público” está desenvolvendo uma Plataforma acessível por correntistas e não correntistas do Banco, que entre outros serviços, ofertará a seus usuários a possibilidade de consulta e pagamento de débitos tributários das esferas federal, estadual e municipal, tais como: IPTU, IPVA, licenciamento de veículo, seguro DPVAT, multas de trânsito e outros.
2.4. Trata-se de serviço já disponível aos correntistas que possuem bens móveis e/ou imóveis em estados ou municípios que aderiram à arrecadação digital e integraram seus sistemas de arrecadação ao do Banco.
2.5. O número de entes integrados, no entanto, ainda é limitado: menos da metade dos Departamentos de Trânsito e Secretarias da Fazenda estaduais (responsáveis pelo IPVA e demais débitos veiculares) e apenas 4 municípios integrados com informações sobre o IPTU. Isto porque até o momento, todo o esforço e priorização de TI para permitir a comunicação dos sistemas via mensageria webservice, fica a cargo do cliente e ainda exige a configuração da conexão para cada novo Ente, por parte do Banco.
2.6. Nesse sentido, considerando o tempo e esforço necessários para expandir por conta própria a conectividade com os entes públicos ainda não interligados, o Banco diante da possibilidade verificada de utilização de serviço terceirizado específico para viabilizar a integração com os Entes Públicos, optou por buscar
no mercado fornecedor apto à prestação do serviço, através da presente contratação.
3. Especificações técnicas e condições de prestação dos serviços
3.1. Especificações Técnicas e Condições Gerais
3.1.1. O Objeto compreende:
3.1.1.1. Configuração da plataforma para integração com o ambiente do BB;
Configuração de conexão com novos Entes Públicos a serem indicados pelo Banco. As conexões deverão utilizar credenciais de uso exclusivo do CONTRATANTE;
3.1.1.2. Configuração de conexão com empresas responsáveis pelos serviços e pela a infraestrutura de TI de Entes Públicos Municipais;
3.1.1.3. Disponibilização de canal/conexão para realização de consultas de informações sobre débitos em ser juntos aos Entes Públicos, para determinado cliente, veículo ou imóvel.
3.1.1.4. Disponibilização de canal/conexão para transação de informação sobre o recebimento ou liquidação de débitos juntos aos Entes Públicos, para determinado usuário, veículo ou imóvel;
3.1.1.5. Disponibilização de canal/conexão para realização de consulta de imagens de documentos públicos (CNH) juntos ao SENATRAN;
3.1.1.6. Disponibilização de canal/conexão para realização de consulta a dados públicos de veículos (RENAVAN);
A solução deverá funcionar como uma plataforma orientada a processo de orquestração de múltiplos entes públicos e gestão de conexões digitais para consulta de débitos, documentos ou outros serviços, aderente à legislação brasileira, principalmente à Lei Geral de Proteção de Dados - LGPD.
3.1.2. Os serviços de orquestração e interoperabilidade consistem na integração de múltiplos protocolos e/ou APIs, realizando a padronização de linguagens, conexões e viabilizando a consulta em múltiplos entes públicos, em ambiente seguro, de alta disponibilidade e performance, conforme esquema abaixo:
CONTRATADA
Plataforma de Integração
Banco do Brasil CONTRATANTE
Ente 1
Ente N
Ente 2
3.1.3. A solução deverá permitir a consulta (bilhetagem) das transações realizadas.
3.1.4. Será vedada a subcontratação do serviço de orquestração e interoperabilidade, devendo a integração entre os Entes interligados ser realizada e assegurada diretamente pela CONTRATADA;
3.1.5. O CONTRATANTE poderá solicitar à CONTRATADA a inclusão de novos serviços, que atendam às necessidades do CONTRATANTE, em adição as opções previstas neste documento.
3.1.5.1. Nesse caso, a CONTRATADA deverá apresentar a precificação dos novos serviços conforme Tabela 1, constante no item 3.1.10.
3.1.5.2. Essa inclusão será efetuada através da formalização de termo aditivo ao contrato, que deve anteceder a execução dos serviços.
3.1.6. Não haverá franquia mínima de consumo para os serviços discriminados no Objeto.
3.1.7. A CONTRATADA deverá arcar com os custos de manutenção e parametrização da solução.
3.1.8. Para viabilizar a plena prestação dos serviços descritos no Objeto, a CONTRATADA deverá disponibilizar ao CONTRATANTE, no mínimo, os seguintes serviços:
3.1.8.1. Análise jurídica, de conformidade e de negócios, além da integração e preparação do ambiente para acesso e gestão operacional;
3.1.8.2. Manutenção constante da solução, para garantir a disponibilidade da infraestrutura e serviços;
3.1.8.3. Garantia de acesso para os funcionários na ferramenta, com a possibilidade de adição de novos usuários, a depender das necessidades do CONTRATANTE;
3.1.8.4. Consultoria tecnológica para definição dos modelos de tecnologia que atendam às necessidades do CONTRATANTE na utilização dos serviços disponibilizados pela solução;
3.1.8.5. Consultoria de negócios para definição dos modelos de negócio que atendam às necessidades do CONTRATANTE na utilização dos serviços disponibilizados pela solução;
3.1.8.6. Construção de códigos, processos e API para adequação ou ampliação funcional da ferramenta, a fim de atender as necessidades de negócio do CONTRATANTE.
3.1.9. Os serviços descritos no Objeto relativos às transações a serem disponibilizadas, deverão ser precificados conforme abaixo:
Tabela 1
SERVIÇOS PRINCIPAIS | VALOR UNITÁRIO |
Consulta de débitos online. | R$ 0,00 |
Notificação de liquidação de débitos online. | R$ 0,00 |
Consulta de imagens de documentos públicos (CNH) | R$ 0,00 |
Consulta a dados públicos de veículos (RENAVAN) | R$ 0,00 |
3.1.10. Além das transações a serem mantidas disponíveis pela CONTRATADA, para permitir a plena utilização da plataforma, serão prestados ainda os serviços eventuais precificados conforme quadro abaixo:
Tabela 2
SERVIÇOS | VALOR UNITÁRIO | VALOR MENSAL |
Implementação da Solução – criação de perfil e licenciamento de uso da plataforma na modalidade SaaS | R$ 0,00 | |
Integração de novo Ente – configuração de conexão, padronização de protocolo e homologação da Integração de novos Entes | R$ 0,00 | |
Adição de usuário – Caso necessário, além dos 15 acessos incluídos no licenciamento de uso. | R$ 0,00 | |
Consultoria – Projetos de TI e Negócio (hora) – Definição de modelos de negócio ou tecnologia relacionadas aos serviços da plataforma | R$ 0,00 | |
Analista Residente (mensal) – Técnico responsável pelo atendimento de demandas relacionadas ao uso da plataforma | R$ 0,00 | |
Adequação ou ampliação funcional (hora) - Construção de códigos, processos e API para adequação ou ampliação funcional. | R$ 0,00 | |
Treinamento – Valor por turma de 6 alunos, com duração de 32 horas. | R$ 0,00 |
3.1.11. O serviço de Implementação da Solução será realizado apenas uma vez, no primeiro mês do contrato, a fim de viabilizar a prestação dos demais serviços do Objeto.
3.1.12. O serviço do Analista Residente não possui custo mensal fixo, pois ocorrerá sob demanda do CONTRATANTE. O custo deste serviço possui valor mensal de referência na Tabela 2.
3.2. Acordo de Nível de Serviço
3.2.1. A CONTRATADA deverá disponibilizar responsável técnico para atendimento de demandas relacionadas à utilização da solução.
3.2.2. O preposto citado deverá orientar, coordenar e acompanhar a implementação dos serviços e ajustes iniciais das conexões, além de resolver quaisquer questões pertinentes à execução dos serviços, para correção de situações adversas e para o atendimento imediato das reclamações e solicitações do CONTRATANTE, conforme SLA definida no item 3.2.16.
Requisitos de Capacidade
3.2.3. A solução deverá suportar, pelo menos, 100 mil consultas por hora.
3.2.4. O tempo de resposta das transações, que serão processadas automaticamente, deve ser de:
3.2.4.1.1. Até 50% das transações em até 400 milissegundos;
3.2.4.1.2. Até 99% das transações em até 500 milissegundos.
Suporte Técnico
3.2.5. A CONTRATADA deverá estruturar-se de modo compatível e prover toda a infraestrutura necessária à prestação dos serviços previstos, com a qualidade e rigor exigidos, garantindo a sua supervisão desde a implantação.
3.2.6. A CONTRATADA deverá prover todos os meios necessários à garantia da prestação dos serviços, inclusive nos casos de greve ou paralisação de qualquer natureza.
3.2.7. A empresa CONTRATADA deverá ter pleno conhecimento e dar ciência aos prestadores de serviços alocados na execução das atividades objeto do contrato sobre a legislação que rege a proteção de dados pessoais (LGPD), a Resolução BACEN nº 4.658 de 26/04/2018 ou de qualquer outro instrumento legal e normativo relacionados ao Objeto, bem como
de suas alterações, sendo de responsabilidade da CONTRATADA providenciar os ajustes pertinentes na solução com vistas ao pleno atendimento das definições propostas pelos órgãos legisladores.
3.2.8. O suporte técnico será de responsabilidade da CONTRATADA e deverá estar apto a atender o CONTRATANTE nas seguintes questões:
3.2.8.1. Esclarecimento de dúvidas e resoluções de problemas relativos ao serviço contratado;
3.2.8.2. Atualizações de versão;
3.2.8.3. Prestação de informações técnicas específicas, inclusive diretamente com o corpo técnico;
3.2.8.4. Orientação na instalação, reinstalação e configuração dos componentes da solução;
3.2.8.5. O suporte técnico e a documentação deverão ser feitos em língua Português do Brasil.
3.2.9. Os serviços devem estar disponíveis diária e ininterruptamente, inclusive em dias não úteis, 24 horas por dia.
3.2.10. No período informado, a disponibilidade deve ser de no mínimo 99% (noventa e nove por cento). A disponibilidade será aferida cumulativamente no decorrer do mês considerando os períodos previstos. Na eventualidade de interrupção do serviço, a CONTRATADA deve reestabelecer o fornecimento do mesmo em no máximo 1 (uma) hora.
3.2.11. Caso não ocorra a finalização da transação ou da troca de arquivo será considerada como interrupção do serviço e sujeitará à CONTRATADA a aplicação das penalidades previstas no contrato.
3.2.12. As falhas detectadas no processo de consulta ou nas informações recebidas que sejam de responsabilidade da empresa prestadora do serviço podem ser apontadas a qualquer momento da vigência do contrato, devendo a CONTRATADA solucionar o problema, em até vinte e quatro horas, contadas a partir da comunicação do problema pelo CONTRATANTE.
3.2.13. A CONTRATADA assegura que os seus equipamentos estarão disponíveis para atendimento às necessidades do CONTRATANTE, conforme ajustado nesse contrato, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, em até 97% (noventa e sete por cento) do período considerado para faturamento, excluídas as paradas programadas, os casos fortuitos e de força maior.
3.2.14. O suporte técnico da CONTRATADA deverá estar disponível para contato nos dias úteis, por telefone ou e-mail, no período compreendido entre 08h00 e 19h00, para casos de criticidade Muito Baixa e Baixa, e as soluções aos problemas apontados deverão ser apresentadas em um dia útil, contados a partir da solicitação pelo CONTRATANTE.
3.2.15. O suporte técnico da CONTRATADA deverá estar disponível para contato sete dias da semana, por telefone ou e-mail, no período de 24h, para casos de criticidade Relevante, Alta e Muito Alta, e as soluções aos problemas apontados deverão ser apresentadas em até 10h, contados a partir da solicitação pelo CONTRATANTE.
3.2.16. O Acordo de Nível de Serviços referente aos chamados abertos pelo CONTRATANTE deverá ser atendido, conforme detalhamento abaixo:
Criticidade | SLA – 1º Atendimento (h) | SLA – Solução (h) | Atendimento | Meta | Desconto |
Muito Baixa | 3 | 72 | 08h às 19h | 85% | 1,5% |
Baixa | 3 | 24 | 08h às 19h | 90% | 1,5% |
Relevante | 2 | 10 | 24x7 | 95% | 2% |
Alta | 2 | 8 | 24x7 | 98% | 4% |
Muito Alta | 1 | 6 | 24x7 | 100% | 6% |
3.2.16.1. O atingimento das metas e seus respectivos descontos serão mensurados para cada nível de criticidade, de acordo com a seguinte fórmula:
Chamados fechados no mês dentro do SLA
Chamados fechados no mês
< 𝑀𝑒𝑡𝑎 = 𝐷𝑒𝑠𝑐𝑜𝑛𝑡𝑜
3.2.16.2. Os descontos, se ocorrerem, serão realizados no faturamento mensal referente ao mês no qual a meta não foi atingida.
3.2.17. Para os casos do item anterior, deverá ser indicado um responsável para prestação do serviço de suporte técnico, que será acionado em casos emergenciais.
3.2.18. A CONTRATADA deverá executar, perfeito e integralmente, os serviços contratados, nos horários estabelecidos e prazos definidos pelo CONTRATANTE, por meio de pessoas idôneas e tecnicamente capacitadas, responsabilizando-se por quaisquer prejuízos que suas falhas ou imperfeições venham causar ao CONTRATANTE ou a terceiros, além de realizar novamente o serviço incorreto, se for o caso, sem quaisquer ônus.
3.2.19. A CONTRATADA deverá substituir os empregados nos casos de falta, ausência legal, férias, bem como nos casos em que a conduta do
prestador seja considerada inconveniente pelo CONTRATANTE, de modo que os serviços não sejam descontinuados nos horários/períodos estabelecidos.
3.2.20. Deverão ser auferidos os percentuais previstos nas especificações técnicas, mediante relatórios encaminhados pela CONTRATADA ao CONTRATANTE, com periodicidade mensal. Não atendidos os percentuais mínimos, a CONTRATADA terá prazo máximo de dois meses para restabelecê-los, o que será auferido por meio de novo relatório. Findo o prazo e não reestabelecidos os percentuais mínimos, o CONTRATANTE avaliará a conveniência de se manter o serviço ou caracterizar a interrupção, que sujeitará a CONTRATADA à aplicação das penalidades previstas no contrato.
3.2.21. A CONTRATADA deve informar imediatamente ao CONTRATANTE sobre qualquer auditoria regulatória, sua finalidade e como ela se relaciona com os serviços prestados ao CONTRATANTE.
3.2.22. A CONTRATADA deve informar ao CONTRATANTE caso sejam contatados por um órgão regulador e se o propósito desse contato pode estar relacionado com/ou afetar os serviços prestados à CONTRATANTE.
3.2.23. O serviço prestado ao CONTRATANTE deverá contemplar as empresas controladas, tanto as que o CONTRATANTE exerce controle pleno quanto aquelas que o CONTRATANTE exerce controle compartilhado.
Aspectos de Segurança
3.2.24. A CONTRATADA será responsável por garantir a disponibilidade, confidencialidade, autenticidade e integridade da solução, bem como dos dados de sua guarda.
3.2.25. As interfaces de comunicação dos ambientes da plataforma com o CONTRATANTE devem implementar métodos criptográficos para garantia da confidencialidade e da autenticidade da comunicação.
3.2.26. A CONTRATADA deve identificar e corrigir quaisquer problemas de segurança na plataforma, sem qualquer custo adicional para o CONTRATANTE.
3.2.27. O CONTRATANTE poderá utilizar os serviços objeto desse termo, mediante “Contas-Logon” e senhas exclusivas e individuais de uso pessoal intransferível e de conhecimento exclusivo do respectivo usuário.
3.2.28. A solução tecnológica contratada deve:
3.2.28.1. Suportar o padrão SAML (Security Assertion Markup Language) versão 2, necessariamente, ou o protocolo de autorização OAuth 2.0/OpenID Connect de forma a permitir a integração como o Serviço de Gerenciamento de Acesso no modelo SSO - Single Sign-On.
3.2.28.2. Permitir a utilização de certificados digitais para autenticação, mútua das instâncias de integração do tipo SSL/TLS versão 1.2 ou superior
3.2.28.3. Ser capaz de herdar e manter Token de Acesso de usuário de forma a gerenciar o acesso e autorizações dos usuários aos recursos providos pela solução tecnológica contratada.
3.2.28.4. Suportar Certificados de chave pública de formato X.509 versão 3 conforme RFC 5280 para fins de navegação na web autenticada e criptografada do tipo SSL/TLS versão 1.2 ou superior bem como na autenticação de cliente e assinatura de mensagens.
3.2.28.5. Deve permitir o uso de verificadores de credenciais por múltiplo fator (MFA, 2FA) ou outro mecanismo adicional de autenticação.
3.2.29. O CONTRATANTE responsabiliza-se, por si, seus empregados e/ou prepostos, pelo resguardo de suas senhas, não as repassando a terceiros, inclusive à CONTRATADA sob qualquer hipótese.
3.2.30. A CONTRATADA, com vista a garantir a necessária segurança na utilização das senhas, reserva-se o direito de independente de prévio aviso, bloquear a “Conta-Logon” ou reinicializar o processo de cadastramento de novas senhas.
3.2.31. A CONTRATADA poderá oferecer ao CONTRATANTE “Contas-Logon – Master” que permitam o acesso ao sistema de gestão do contrato ora ajustado.
3.2.32. Na hipótese prevista nos dois itens anteriores, a CONTRATANTE poderá consultar as faturas emitidas em razão deste instrumento, obter demonstrativos das consultas realizadas, controlar o protocolo de recebimento da “Contas-Logon” e ter acesso a quaisquer outros recursos que venham a ser introduzidos pela CONTRATADA no referido sistema via internet.
3.2.33. A CONTRATADA deve guardar o mais completo e absoluto SIGILO por si, por seus diretores, empregados, subcontratados e prepostos, em relação aos dados, informações ou documentos de qualquer natureza referentes ao CONTRATANTE, exibidos, manuseados, ou que por qualquer forma ou modo venham tomar conhecimento, em razão dos serviços ora contratados, ficando, portanto, por força de lei, civil e
criminalmente, responsáveis por sua indevida divulgação, descuidada ou incorreta utilização, sem prejuízo da responsabilidade por perdas e danos a que deram causa e das cominações contratuais impostas.
3.2.34. A CONTRATADA deverá ter instrumentos auditáveis para verificar procedimentos seguros que não permitam revelar, reproduzir, utilizar ou dar conhecimento, em hipótese alguma, a terceiros, bem como a não permitir que nenhum de seus empregados e/ou prepostos faça uso dos dados ou informações provenientes dos resultados dos serviços discriminados no Objeto.
3.2.35. A CONTRATADA deve apresentar ao CONTRATANTE, sempre que solicitado, toda e qualquer informação e documentação que comprovem a implementação dos requisitos de segurança especificados na contratação, de forma a assegurar a auditabilidade do objeto contratado, bem como demais dispositivos legais aplicáveis.
3.2.36. A CONTRATADA deve fornecer os subsídios necessários para que o CONTRATANTE implemente os indicadores de desempenho de segurança que vierem a ser definidos durante a vigência do contrato.
3.2.37. Para soluções SaaS (Software as a Service), a CONTRATADA deverá atender aos requisitos de segurança em ambiente para computação em nuvem.
Segurança em Ambiente para Computação em Nuvem (Cloud Computing)
3.2.38. A solução deverá atender integralmente aos requisitos mínimos de segurança da informação, para utilização de soluções de computação em nuvem, dispostos na Instrução Normativa Nº 5, publicada no Diário Oficial da União em 30/08/2021.
3.2.39. A solução tecnológica deve suportar Protocolo de comunicação HTTPS com TLS versão 1.2 no mínimo.
3.2.40. A solução tecnológica deve suportar o protocolo SNMP - Simple Network Management Protocol com ferramentas de monitoração de mercado.
3.2.41. A solução tecnológica deve ser compatível com protocolo IP versões 4 e 6.
3.2.42. A solução tecnológica deve ser compatível com serviços DNS - Domain Name System.
3.2.43. A solução tecnológica deve ser compatível com TCP e UDP, permitindo a configuração do número da porta.
3.2.44. A solução tecnológica deve disponibilizar o balanceamento de carga.
3.2.45. A solução tecnológica deve possibilitar o acesso direto à Internet ou Extranet utilizando protocolo HTTP/2.0 ou superior.
3.2.46. A solução tecnológica deve suportar comunicação tipo Multicast entre os seus componentes e a rede corporativa do Banco do Brasil.
3.2.47. A solução tecnológica deve garantir que todos os componentes necessários para o seu pleno funcionamento (processamento, armazenamento e conexão interna de rede) estejam contidos na solução de forma a se ligar à rede corporativa do Banco do Brasil.
3.2.48. A solução deverá possuir recursos de alta disponibilidade, além de sistemas para cópias de segurança, restauração de dados e auditoria.
3.2.49. A solução deverá possuir os seguintes requisitos de segurança de Infraestrutura de TI:
3.2.49.1. Proteção contra ataques distribuídos por negação de serviço (DDOS);
3.2.49.2. Solução de firewall, contemplando ao menos, controle de aplicação (aplication control), identificação de usuário, filtro de URL e controle de políticas de acesso;
3.2.49.3. Solução de firewall dedicado à proteção de ambiente virtualizado;
3.2.49.4. Sistema de prevenção à Intrusão (IPS), mecanismo que possa responder a ataques em tempo real, bloqueando os pacotes considerados maliciosos e Ameaças Persistentes Avançadas;
3.2.49.5. Solução de antivírus para servidores físicos e virtualizados;
3.2.49.6. Procedimentos de gerenciamento de vulnerabilidades e aplicação de patches de segurança.
3.2.50. A solução deverá fazer uso de mecanismos de autenticação e autorização utilizando credenciais corporativas no modelo de federação, disponibilizado pelo CONTRATANTE.
3.2.51. A solução deverá ter compatibilidade de integração com a solução
CASB (Cloud Access Security Broker) do CONTRATANTE.
3.2.52. Quanto a ataques cibernéticos a CONTRATADA deve:
3.2.52.1. Possuir mecanismos de proteção contra ataques cibernéticos;
3.2.52.2. Descrever os canais de contato (pontos focais, meios de comunicação e tempo de resposta) que serão utilizados,
para reportar tempestivamente os incidentes que ocorram em suas instalações, independente de afetar ou não, arquivos e sistemas do CONTRATANTE;
3.2.52.3. Demonstrar que possui procedimentos documentados e testados para resposta a incidentes, tanto no tratamento interno, quando aos contatos com cliente e mídia;
3.2.52.4. Estabelecer fluxo de acionamento e contato com a equipe de resposta a incidentes do CONTRATANTE para acionamento em caso de ataques cibernéticos.
3.2.53. A solução deve permitir a customização de relatórios gerenciais de segurança de acordo com o formato a ser requisitado pelo CONTRATANTE.
Controles Criptográficos
3.2.54. A CONTRATADA deve implementar e manter controles criptográficos para armazenamento, tráfego e tratamento da informação, de acordo com o nível de criticidade e grau de sigilo da informação definido pelo CONTRATANTE.
3.2.55. A CONTRATADA deve implementar um processo de gestão de chaves criptográficas que deve considerar todo o ciclo de vida da chave, o qual envolve: geração, armazenamento, distribuição, utilização, recuperação, renovação, exclusão e destruição da chave.
3.2.56. A CONTRATADA deve utilizar algoritmos, tamanhos de chave e prazos de validade de chaves aprovados pelo NIST.
3.2.57. A CONTRATADA deve gerar, controlar e distribuir chaves criptográficas simétricas e assimétricas usando processos e tecnologias de gerenciamento de chaves aprovados pelo NIST.
3.2.58. As chaves criptográficas geradas pela CONTRATADA devem ser utilizadas com a finalidade exclusiva de atender às necessidades do objeto contratado.
3.2.59. A CONTRATADA deve permitir a criptografia de volume (por exemplo: a criptografia de um disco inteiro) e a criptografia de estruturas de dados específicas (por exemplo: arquivos ou registros específicos de uma tabela de banco de dados).
3.2.60. A CONTRATADA deve permitir recursos para trilha de auditoria, permitindo visualizar quem usou determinada chave para acessar um objeto, qual objeto foi acessado, quando ocorreu esse acesso e qual endereço de origem do acesso.
3.2.61. A CONTRATADA deve permitir visualizar ou gerar relatório, a critério do CONTRATANTE, de tentativas malsucedidas de acesso por usuários sem permissão para decifrar os dados.
3.2.62. A CONTRATADA deve permitir que dados criptografados e chaves de criptografia sejam armazenadas e protegidas em hosts separados e protegidos por várias camadas de proteção.
3.2.63. A CONTRATADA deve permitir a auditoria da segurança de chaves criptográficas.
3.2.64. A CONTRATADA deve possibilitar comunicação criptografada e protegida para a transferência de dados, com autenticação mútua, por meio do TLS 1.2 ou versão superior.
3.2.65. A solução deverá prover a criptografia de arquivos em repouso utilizando chave simétrica usando, no mínimo, algoritmo AES com 128 bits, sendo que o recomendável pelo CONTRATANTE é o uso de chaves de 256 bits.
3.2.66. Caso haja uso de chave simétrica, deverá estar disponível função para que o CONTRATANTE mantenha o controle desta chave, ainda que a chave esteja armazenada no fornecedor da solução.
3.2.67. A chave simétrica no ambiente da CONTRATADA deverá ser armazenada em HSM, homologado em FIPS 140-2 nível 3.
3.2.68. Caso haja compartilhamento de certificado do CONTRATANTE com a CONTRATADA, este deve ser armazenado e processado em uma solução de HSM.
3.2.69. A CONTRATADA deve permitir que os usuários criptografem seus dados e objetos antes de enviá-los para o serviço de armazenamento.
3.2.70. A CONTRATADA deve permitir que a própria chave de objeto ou recurso seja criptografada por uma chave separada.
3.2.71. A CONTRATADA deve permitir que dados criptografados, chaves de criptografia e chaves mestras sejam armazenadas e protegidas em hosts separados e protegidos por várias camadas de proteção.
3.2.72. A CONTRATADA deverá possibilitar comunicação criptografada e protegida para transferência de dados.
3.2.73. A CONTRATADA deve tratar com rigor as informações sigilosas, não podendo ser usadas ou fornecidas a terceiros, sob nenhuma hipótese, sem autorização formal do CONTRATANTE.
3.2.74. A CONTRATADA deverá assinar Termo de Confidencialidade resguardando que os recursos, dados e informações de propriedade do CONTRATANTE, e quaisquer outros, repassados por força do objeto, constituem informação privilegiada e possuem caráter de confidencialidade.
3.2.75. Os dados, metadados, informações e conhecimento tratados pela CONTRATADA, não poderão ser fornecidos a terceiros e/ou usados por esta para fins diversos do previsto, sob nenhuma hipótese, sem autorização formal do CONTRATANTE.
3.2.76. O CONTRATANTE e a CONTRATADA obrigam-se por seus empregados, sócios, diretores e mandatários, manter total sigilo e confidencialidade no que se refere a não divulgação, por qualquer forma, de toda ou parte das informações ou documentos a ela relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados.
Gestão de Incidentes de Segurança
3.2.77. A CONTRATADA deve possuir um processo de Gestão de Incidentes que registre os incidentes de segurança cibernética ocorridos e que guarde informações como: a descrição dos incidentes ou eventos, as informações e sistemas envolvidos, as medidas técnicas e de segurança utilizadas para a proteção das informações, os riscos relacionados ao incidente e às medidas tomadas para mitigá-los e evitar reincidências.
3.2.78. O processo de Gestão de Incidentes também deve implementar e manter controles e procedimentos específicos para detecção, tratamento, coleta/preservação de evidências e resposta a incidentes de segurança da informação, de forma a reduzir o nível de risco ao qual o objeto do contrato ou o CONTRATANTE estão expostos.
3.2.79. A CONTRATADA deve implementar um processo de gestão de vulnerabilidades que inclua sua infraestrutura de servidores e redes.
3.2.80. Todos os relatórios com os resultados dos testes de penetração e varredura de vulnerabilidades, bem como o planejamento das correções a serem feitas, devem ser fornecidos ao CONTRATANTE sempre que solicitado.
3.2.81. A CONTRATADA deve ter um processo de notificação de incidentes 24x7.
3.2.82. No caminho inverso, se o CONTRATANTE detectar um incidente de segurança, a CONTRATADA será notificada e deverá cooperar
totalmente para resolver o incidente de segurança, fornecendo todas as informações relacionadas que possam levar a solução do incidente em questão (também 24x7).
3.2.83. Vale ressaltar que em se tratando de contratos para tratamento de dados pessoais, nos termos da LGPD, a CONTRATADA deve provar que tem capacidade de fornecer uma resposta organizada e eficaz a um incidente de privacidade. Neste sentido, o CONTRATANTE desenvolverá e implementará juntamente com o fornecedor do serviço um plano de resposta a incidentes de privacidade, que inclua por exemplo, definição de incidente de privacidade e o escopo da resposta ao incidente, estabelecimento de equipes multifuncionais de resposta a incidente de privacidade, entre outros aspectos relevantes.
3.2.84. A CONTRATADA deve documentar os casos de uso que são utilizados para realizar a configuração e o monitoramento de eventos, correlacionando tecnologias para tratar padrões/cenários de ataque comuns e avançados; e disponibilizar os casos de uso ao CONTRATANTE sempre que solicitado.
3.2.85. A CONTRATADA deve ter um processo de lições aprendidas para incidentes de segurança implementado e comunicado aos seus funcionários e parceiros, com objetivo de agilizar a atuação caso surjam incidentes semelhantes.
3.2.86. A integração da gestão de incidentes da CONTRATADA com o Centro de Operações de Segurança do CONTRATANTE deve ser considerada, observada a regulamentação em vigor, conforme art 3º,
§4º da Res. BACEN 4.893/2021.
3.2.87. Se a CONTRATADA precisar envolver outras partes externas para investigar e/ou resolver incidentes que afetem o escopo do Objeto, ela deve obter a anuência do CONTRATANTE por escrito antes de iniciar o contato com tais partes, observada a política de segurança cibernética do CONTRATANTE.
Continuidade de Negócios e Recuperação de Desastres
3.2.88. A CONTRATADA deve possuir plano de continuidade, recuperação de desastres e contingência de negócio, que possa ser testado regularmente, objetivando a disponibilidade dos dados e serviços em caso de interrupção, bem como desenvolver e colocar em prática procedimentos de respostas a incidentes relacionados com os serviços.
3.2.89. O referido plano de continuidade deverá ser informado para o CONTRATANTE como parte das ações de acompanhamento do
contrato, e deverá ser atualizado e testado anualmente, ou em qualquer mudança significativa do ambiente.
3.2.90. A atuação, em caráter de contingência, causada por uma eventual indisponibilidade do serviço prestado, considera as seguintes premissas:
3.2.90.1. Interrupção total ou parcial dos serviços;
3.2.90.2. Ter infraestrutura alternativa: física e lógica em local distante do ambiente central de produção, com o objetivo de minimizar o risco de perda de ambas as instâncias;
3.2.90.3. Manter os serviços essenciais suportados pelo contrato;
3.2.90.4. Manter a lista de integrantes das equipes e o Plano de Recuperação de Desastres atualizados;
3.2.90.5. Ter local seguro para guarda de backups fora do local atingido;
3.2.90.6. Assegurar a disponibilidade dos serviços essenciais dentro do tempo previsto para recuperação do serviço, de acordo com o contrato;
3.2.90.7. Procedimento documentado e evidenciado de testes das mídias armazenadas offsite;
3.2.90.8. Cópias de todos os procedimentos abordando backup, restauração e reconstituição de armazenamento de dados.
3.2.91. O plano de continuidade deve possuir os seguintes elementos em sua composição:
3.2.91.1. Identificação do serviço suportado pelo contrato;
3.2.91.2. A forma de conectividade usada e os direitos de acesso;
3.2.91.3. A arquitetura do ambiente de produção;
3.2.91.4. As interfaces de aplicações e suas dependências;
3.2.91.5. O SLA contratado e os limites suportados para interrupção;
3.2.91.6. A forma de replicação dos dados com o site alternativo;
3.2.91.7. Procedimentos adotados para recuperação de desastres;
3.2.91.8. Lista de contatos das equipes responsáveis pelo restabelecimento do serviço, divididos por tipos de atividades executadas.
3.2.92. A obrigatoriedade do plano de continuidade se estende para empresas provedoras de informações que fornecem insumos à CONTRATADA.
3.2.93. A CONTRATADA deve considerar, como parte do plano de continuidade, os diferentes ambientes de risco e o grau de mitigação de riscos necessários para proteger a Instituição, caso seja necessário colocar o plano em prática.
3.2.94. A avaliação de riscos e dos processos críticos devem levar em consideração instrumentos específicos, como um BIA – Business Impact Analysis.
3.2.95. A CONTRATADA, visando a continuidade dos negócios, deve implantar uma política de backup
Política de Backup
3.2.96. A CONTRATADA deve possuir e implementar política de backup das informações e dos registros de log associados ao Objeto, em conformidade com os dispositivos legais aplicáveis.
3.2.97. A política de backup deve assegurar a manutenção de cópias de segurança de todos os componentes de software dos sistemas, de suas bases de dados e da documentação associada, observando a técnica e os cuidados requeridos para cada caso, de modo a ser possível a plena recuperação de versões dos sistemas e dados salvaguardados em caso de falha, ou por solicitação do CONTRATANTE.
3.2.98. A CONTRATADA deve prover pelo menos um site de armazenamento alternativo – e geograficamente distinto - como parte de sua política de backup, permitindo o armazenamento e a recuperação da informação sempre que necessário e de acordo com os requisitos definidos em Continuidade de Negócios e Recuperação de Desastres.
3.2.99. A CONTRATADA deve garantir que o site de armazenamento alternativo conte com os mesmos controles de segurança do site de armazenamento primário.
Encerramento do Contrato
3.2.100. A CONTRATADA deve garantir que todos os dados - incluindo chaves criptográficas e os backups armazenados e que não sejam mais necessários na execução do Contrato - serão descartados de acordo com os padrões do mercado, de maneira que os requisitos de confidencialidade não sejam violados.
3.2.101. A CONTRATADA deve reter os dados por até 180 dias para a migração para ambiente interno ou outro fornecedor indicado pelo CONTRATANTE.
3.2.102. Os dados, após transferência e validação da integridade, devem ser excluídos pelo antigo fornecedor.
3.2.103. A exclusão dos dados após o término do contrato e o período de retenção de 180 dias deve obedecer aos padrões definidos no NIST SP 800-88 Guidelines for Media Sanitization, com fornecimento de relatório para o CONTRATANTE certificando a conformidade dos processos realizados com a norma indicada.