TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE SOLUÇÃO DE ORQUESTRAÇÃO E INTEROPERABILIDADE, COM INTEGRAÇÃO DE MÚLTIPLOS PROVEDORES DE DADOS
TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE SOLUÇÃO DE ORQUESTRAÇÃO E INTEROPERABILIDADE, COM INTEGRAÇÃO DE MÚLTIPLOS PROVEDORES DE DADOS
1. OBJETIVO DA RFP (REQUEST FOR PROPOSAL)
Por meio desse documento, a ATIVOS S.A. Securitizadora de Créditos Financeiros (ATIVOS) torna pública a consulta ao mercado para subsidiar decisão sobre aquisição de solução de orquestração e interoperabilidade, com integração de múltiplos provedores de dados disponíveis no mercado, e serviços acessórios, conforme especificações técnicas abaixo e anexo I deste documento.
2. PROPOSTA
A resposta do fornecedor a esta consulta, por meio de Proposta Comercial, deve ser encaminhada conforme cronograma do item 3, em meio digital para o endereço eletrônicos xxxxxxx@xxxxxxxx.xxx.xx, sob o título: RFP - Dúvida – Múltiplos Provedores de Dados - RESPOSTA, juntamente com o documento “RFP - Proposta – Múltiplos Provedores de Dados” e qualquer documentação adicional julgada necessária..
2.1. Esclarecimentos
As dúvidas decorrentes da interpretação desta RFP deverão ser encaminhadas ao endereço eletrônico xxxxxxx@xxxxxxxx.xxx.xx, sob o título: RFP - Dúvida – Múltiplos Provedores de Dados. As mensagens deverão conter a identificação da empresa, o nome do responsável e telefone para contato juntamente com o documento “RFP - Dúvida – Solução Múltiplos Provedores de Dados.”. Os esclarecimentos às dúvidas serão divulgados por esta mesma via ou publicado no site da ATIVOS.
2.2. Conteúdo da Proposta
A proposta deverá conter CNPJ, razão social, endereço, telefone e pessoa responsável para que seja feita a análise da solução oferecida e a verificação de preenchimento dos requisitos acima descritos. A Proposta Comercial deverá apresentar preços com base/formato do documento “RFP - Proposta – Múltiplos Provedores de Dados”.
Poderá ser solicitada documentação complementar comprobatória de capacidade técnica operacional da solução e prova de conceito para verificação da solução apresentada. Apreciaríamos ainda, a apresentação, caso haja, de sugestões de qualquer natureza, inclusive com indicação de cenários alternativos que possam vir a configurar melhoria e/ou vantajosidade a ATIVOS.
Esta RFP não constitui compromisso de contrato de venda ou fornecimento de quaisquer bens ou serviços entre a ATIVOS e o fornecedor. A resposta do fornecedor à RFP é voluntária; todo e qualquer custo incorrido pelo fornecedor, sua análise, preparação de sua proposta serão de responsabilidade exclusiva do fornecedor.
3. CRONOGRAMA
O cronograma estipulado deverá ser cumprido rigorosamente pelos fornecedores. Eventuais modificações nos prazos poderão ocorrer a critério da ATIVOS.
ETAPA | DATA |
Publicação | 05.01.2023 |
Recebimento de dúvidas | 19.01.2023 |
Esclarecimento de dúvidas | 24.01.2023 |
Recebimento de proposta | 31.01.2023 |
TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE SOLUÇÃO DE ORQUESTRAÇÃO E INTEROPERABILIDADE, COM INTEGRAÇÃO DE MÚLTIPLOS PROVEDORES DE DADOS
1. DO OBJETO
1.1. Disponibilidade de uso de solução de orquestração e interoperabilidade, com integração de múltiplos provedores de dados disponíveis no mercado, e serviços acessórios, conforme especificações técnicas abaixo e anexo I deste documento.
1.2. O contrato envolve os seguintes serviços:
1.2.1. Implementação da solução;
1.2.2. Processamento de dados;
1.2.3. Armazenamento de dados;
1.2.4. Computação em Nuvem.
1.2.5. Treinamento de funcionários
2. DAS ESPECIFICAÇÕES TÉCNICAS
2.1. Definições:
2.1.1. Cliente: qualquer pessoa jurídica que mantém relacionamento comercial destinado ao consumo dos serviços prestados pela solução;
2.1.2. Instituição transmissora de dados ou provedora de serviços: instituição regularmente integrada à plataforma, detentora legal de dados ou habilitada para o provimento de serviços, que poderão ser consumidos através de chamadas de interface;
2.1.3. Instituição receptora de dados ou iniciadora de transação: instituição regularmente integrada à plataforma, legalmente habilitada para requerer e receber dados ou consumir serviços de instituição transmissora de dados ou provedora de serviços;
2.1.4. Serviço de iniciação de transação de pagamento: serviço que possibilita a iniciação da instrução de uma transação, ordenado pelo cliente;
2.1.5. Consentimento: manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o titular de dados concorda com o compartilhamento de dados ou de serviços para finalidades determinadas;
2.1.6. Chamada de interface: requisição de dados e de serviços enviada pela instituição receptora de dados ou iniciadora de transação à instituição detentora dos dados ou provedora do serviço requerido;
2.1.7. Assinatura de método: é a identificação única de cada método, que consiste na definição do nome do método, bem como dos parâmetros de entrada e saída em uma função de programação;
2.1.8. Transações sucessivas: transações realizadas entre os mesmos emissores e receptores de acordo com uma periodicidade, decorrentes de um mesmo negócio;
2.1.9. Agregação de dados: consolidação de dados compartilhados de acordo com o requerido pelos clientes;
2.1.10. UCT – Unidade de Consultoria Tecnológica; e
2.1.11. UCN – Unidade de Consultoria de Negócio.
2.2. Do detalhamento dos serviços:
2.2.1. Licenciamento de uso de plataforma digital na forma de Software as a Service. A contratada assume o compromisso e a responsabilidade de disponibilizar legalmente toda a infraestrutura (hardware e software) necessária ao funcionamento de sua solução, com segurança, qualidade e performance, de forma ininterrupta, em regime 24/7 (vinte e quatro horas por dia e 7 dias por semana) durante todo o período de vigência do licenciamento. Além da alta disponibilidade, a contratada proverá mecanismo para registro de incidente e acionamento do suporte técnico, de forma que fique assegurado ao contratante o encaminhamento imediato de solicitação para a regularização dos serviços ou resposta/orientação acerca da operação ou funcionamento da plataforma.
2.2.2. Adicionalmente, a contratada manterá ativo e disponível para o cliente o monitoramento do sistema de telemetria (KPI
- indicadores chave de performance) da solução, assegurando total visibilidade do funcionamento e de eventuais ou potenciais incidentes, ocorridos, em curso ou identificados precocemente. A identificação dos incidentes é baseada em mecanismos próprios e independe do registro ou intervenção de usuários.
2.2.3. O uso licenciado como serviço exime a contratante do ônus decorrente do suporte técnico (corretivo/evolutivo), da sustentação da plataforma, da aquisição e manutenção de infraestrutura própria, e provê eficiência operacional na gestão e execução dos negócios.
2.3. A gestão de provedores realizada pela solução, permite um consumo de múltiplos serviços sendo entregues ao cliente com um único output, conforme o padrão das suas ferramentas internas e com garantia de:
2.3.1. Alta performance;
2.3.2. Segurança;
2.3.3. Adequação regulatória;
2.3.4. Garantia de melhores práticas;
2.3.5. Alta disponibilidade das conexões; e
2.3.6. Elevada capacidade de adequação.
2.4. Desta forma, a solução deve permitir a expansão de negócios e inclusão de múltiplos serviços em apenas alguns cliques, com o mesmo protocolo de conexão, diminuindo assim custos, riscos e tempo de implantação e ativação. Componentes regulatórios ou requisitos específicos poderão ser integrados de acordo com a demanda do cliente.
2.5. O Objeto compreende:
2.5.1. Informações Cadastrais
2.5.2. Validação do número de telefone e do endereço em empresas de telecomunicações, com informações sobre as alterações recentes e a utilização de geolocalização a partir das antenas da rede de celulares;
2.5.3. Identificação da operadora do número de celular;
2.5.4. Validação e identificação de e-mail a partir da classificação de risco, detalhes do domínio e idade do e-mail;
2.5.5. Apuração de risco de crédito;
2.5.6. Base de dados de óbitos à nível nacional com informações atualizadas;
2.5.7. Pacotes de informações cadastrais:
2.5.7.1. Xxxxxxxxxxxxxx e higienização:
2.5.7.2. Dados básicos: CPF, nome e data de nascimento;
2.5.7.3. Classe social;
2.5.7.4. Gênero;
2.5.7.5. Telefone (fixo e celular);
2.5.7.6. E-mail;
2.5.7.7. Renda presumida;
2.5.7.8. PPE – pessoa politicamente exposta;
2.5.7.9. Nacionalidade;
2.5.7.10. Bolsa família;
2.5.7.11. WhatsApp;
2.5.7.12. Redes Sociais.
2.5.8. A solução pleiteada deverá funcionar como uma plataforma parametrizável orientada a processo de orquestração de múltiplos provedores e gestão de conexões digitais, aderente à legislação brasileira, principalmente à Lei Geral de Proteção de Dados - LGPD.
2.5.9. Trata-se de um ambiente de TI que se comporta como um hub, conectando o CONTRATANTE em uma ponta e diversos provedores de informações na outra ponta, conforme esquema abaixo:
2.5.10. Os serviços de orquestração e interoperabilidade consistem na integração de múltiplos protocolos e/ou APIs, realizando a padronização de linguagens, conexões e viabilizando a consulta em múltiplos provedores de dados e tecnologias, em ambiente seguro, de alta disponibilidade e performance, para a entrega de indicadores, scores e informações validadas. Além disso, permite a execução, o monitoramento e a gestão de regras de negócios embarcadas nos protocolos.
2.5.11. A solução deverá permitir a gestão de consumo das franquias de consultas (bilhetagem).
2.5.12. Será vedada a subcontratação da parcela principal e de maior relevância, que é o serviço de orquestração e interoperabilidade, com integração de múltiplos provedores de dados.
2.5.13. O CONTRATANTE poderá solicitar à CONTRATADA a inclusão de novos serviços, com pacotes/combos de informações que atendam às necessidades do CONTRATANTE, em adição aos pacotes já existentes na CONTRATADA.
2.5.14. Nesse caso, a CONTRATADA deverá apresentar a precificação dos novos serviços individuais e/ou pacote/combos de informações, de acordo com a faixa de consumo.
2.5.15. Essa inclusão será efetuada através da formalização de termo aditivo ao contrato, que deve anteceder a execução dos serviços.
2.5.16. Não deverá haver franquia mínima de consumo para os serviços discriminados no Objeto.
2.5.17. A CONTRATADA deverá arcar com os custos de manutenção e parametrização da solução.
2.6. Ampliação Funcional:
2.6.1. A solução deve poder ser utilizada como plataforma digital para prestação de múltiplos serviços e interoperabilidade em diversos segmentos. Esta característica deve permitir que o contratante solicite adequações ou ampliações funcionais na plataforma visando estender o uso para áreas de negócio de seu interesse.
2.6.2. Após análise de viabilidade técnica, o processo de adequação ou ampliação funcional e o valor de remuneração serão previamente submetidos à aprovação do cliente.
Página 6 de 20
2.7. Treinamento:
2.7.1. A CONTRATADA deverá fornecer treinamento para utilização, administração e configuração da plataforma. O treinamento poderá ser realizado na modalidade EAD (Ensino à Distância), através de videoaulas, em plataforma disponibilizada pela CONTRATADA, e deverá abordar, além de conceitos e conhecimentos teóricos necessários ao perfeito entendimento da infraestrutura e arquitetura da plataforma, a operação em tempo real (hands on), visando a transferência de conhecimento com conteúdo prático, de forma a capacitar os colaboradores indicados pelo cliente a operar, monitorar e administrar a solução.
2.8. Serviços De Atendimento Ao Usuário
2.8.1. Um Serviço de Atendimento ao Usuário deverá ser prestado pela CONTRATADA, no mínimo, em dias úteis e no horário das 08 00 às 18 00 horas (Horário Oficial de Brasília GMT 03 00).
2.8.2. O serviço de Atendimento ao Usuário terá obrigação de abranger tão somente o funcionamento do Sistema, não incluindo o registro para chamados de suporte técnico e a prestação de serviços de consultoria em áreas como, por exemplo, Tecnologia da Informação, Contabilidade, Gestão de Empresas, Infraestrutura, Direito e outras.
3. DA LICENÇA DO SOFTWARE ADQUIRIDO
3.1. Deve compreender todas as licenças necessárias para o perfeito funcionamento da solução ofertada, fornecendo as licenças relativas a Softwares de banco de dados, exceto o sistema operacional que dará suporte à solução.
4. DA SEGURANÇA DAS INFORMAÇÕES
4.1. A CONTRATADA é integralmente responsável pela manutenção do sigilo sobre quaisquer dados, informações, artefatos contidos em quaisquer documentos e em quaisquer mídias, de que venha a ter conhecimento durante a execução dos trabalhos junto a CONTRATANTE, não podendo, sob qualquer pretexto e forma, divulgar, torná- los públicos, reproduzir ou utilizá-los.
4.2. A solução deve ser uma plataforma digital de interoperabilidade projetada para operações no mercado brasileiro em total conformidade com a legislação vigente, destacando-se a normatização das operações de Open Finance, Open Data, Open Service e o disposto na Lei Geral de Proteção de Dados - LGPD, dispondo de todos os elementos de segurança necessários à proteção da privacidade de pessoas e instituições e da validade das operações durante e após o uso da plataforma.
4.3. Além do cumprimento das determinações e exigências estabelecidas pela legislação e normatização brasileiras, a solução deve apresentar conformidade com as melhores práticas do mercado e com o padrão ISO/IEC 27000 de segurança da informação.
4.4. Considerando que as normas regulatórias e os padrões que permeiam o uso da solução estabelecem alto nível de complexidade e atendimento, fica estabelecido, desde já, que a inclusão de qualquer entidade no rol de relacionamento da solução será precedida de análises consubstanciadas em uma ação de “due diligence” a ser executada única e exclusivamente pela equipe técnica da solução, que poderá negar a inclusão com base no resultado da ação realizada.
4.5. O cliente poderá ser responsável pelo pagamento do ônus decorrente da avaliação.
4.6. Empresa deverá possuir certificado de Compliance DSC 10.000 ou similar.
5. DO SUPORTE TÉCNICO
5.1. A CONTRATADA deverá estruturar-se de modo compatível e prover toda a infraestrutura necessária à prestação dos serviços previstos, com a qualidade e rigor exigidos, garantindo a sua supervisão desde a implantação.
5.2. A CONTRATADA deverá prover todos os meios necessários à garantia da prestação dos serviços, inclusive nos casos de greve ou paralisação de qualquer natureza.
5.3. A empresa CONTRATADA deverá ter pleno conhecimento e dar ciência aos prestadores de serviços alocados na execução das atividades objeto do contrato sobre a legislação que rege a proteção de dados pessoais (LGPD), a Resolução BACEN n 4.893 de 26/02/2021 ou de qualquer outro instrumento legal e normativo relacionados ao Objeto, bem como de suas alterações, sendo de responsabilidade da CONTRATADA providenciar os ajustes pertinentes na solução com vistas ao pleno atendimento das definições propostas pelos órgãos legisladores.
5.4. O suporte técnico será de responsabilidade da CONTRATADA e deverá estar apto a atender o CONTRATANTE nas seguintes questões:
5.4.1. Esclarecimento de dúvidas e resoluções de problemas relativos ao serviço contratado;
5.4.2. Atualizações de versão;
5.4.3. Prestação de informações técnicas específica, inclusive diretamente com o corpo técnico;
5.4.4. Orientação na instalação, reinstalação e configuração dos componentes da solução;
5.4.5. O suporte técnico e a documentação deverão ser feitos em língua Português do Brasil.
5.5. Os serviços devem estar disponíveis diária e initerruptamente, inclusive em dias não úteis, durante 24 horas por dia.
5.6. No período informado, a disponibilidade deve ser de no mínimo 99% (noventa e nove por cento). A disponibilidade será aferida cumulativamente no decorrer do mês considerando os períodos previstos. Na eventualidade de interrupção do serviço, a CONTRATADA deve reestabelecer o fornecimento do mesmo em no máximo 1 (uma) hora.
5.7. Caso não ocorra a finalização da transação ou da troca de arquivo será considerada como interrupção do serviço e sujeitará à CONTRATADA a aplicação das penalidades previstas no contrato.
5.8. As falhas detectadas no processo de consulta ou nas informações recebidas que sejam de responsabilidade da empresa prestadora do serviço podem ser apontadas a qualquer momento da vigência do contrato, devendo a CONTRATADA solucionar o problema, em até vinte e quatro horas, contadas a partir da comunicação do problema pelo CONTRATANTE.
5.9. A CONTRATADA assegura que os seus equipamentos estarão disponíveis para atendimento às necessidades do CONTRATANTE 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, em até 97% (noventa e sete por cento) do período considerado para faturamento, excluídas as paradas programadas, os casos fortuitos e de força maior.
5.10. O suporte técnico da CONTRATADA deverá estar disponível para contato nos dias úteis, por telefone ou e-mail, no mínimo no período compreendido entre 08h00 e 19h00, para casos de criticidade Muito Baixa e Baixa, e as soluções aos problemas apontados deverão ser apresentadas em um dia útil, contados a partir da solicitação pelo CONTRATANTE.
5.11. O suporte técnico da CONTRATADA deverá estar disponível para contato sete dias da semana, por telefone ou e-mail, no período de 24h, para casos de criticidade Relevante, Alta e Muito Alta, e as soluções aos problemas apontados deverão ser apresentadas em até 10h, contados a partir da solicitação pelo CONTRATANTE.
5.12. O Acordo de Nível de Serviços referente aos chamados abertos pelo CONTRATANTE deverá ser atendido, conforme detalhamento abaixo:
5.12.1. O atingimento das metas e seus respectivos descontos serão mensurados para cada nível de criticidade, de acordo com a seguinte fórmula:
5.12.1.1.
5.12.1.2. Os descontos, se ocorrerem, serão realizados no faturamento mensal referente ao mês no qual a meta não foi atingida.
5.13. Para os casos do item anterior, deverá ser indicado um responsável para prestação do serviço de suporte técnico, que será acionado em casos emergenciais.
5.14. A CONTRATADA deverá executar, perfeita e integralmente, os serviços contratados, nos horários estabelecidos e prazos definidos pelo CONTRATANTE, por meio de pessoas idôneas e tecnicamente capacitadas, responsabilizando-se por quaisquer prejuízos que suas falhas ou imperfeições venham causar ao CONTRATANTE ou a terceiros, além de realizar novamente o serviço incorreto, se for o caso, sem quaisquer ônus.
5.15. A CONTRATADA deverá substituir os empregados nos casos de falta, ausência legal, férias, bem como nos casos em que a conduta do prestador seja considerada inconveniente pelo CONTRATANTE, de modo que os serviços não sejam descontinuados nos horários/períodos estabelecidos.
5.16. Deverão ser auferidos os percentuais previstos nas especificações técnicas, mediante relatórios encaminhados pela CONTRATADA ao CONTRATANTE, com periodicidade mensal. Não atendidos os percentuais mínimos, a CONTRATADA terá prazo máximo de dois meses para restabelecê-los, o que será auferido por meio de novo relatório. Findo o prazo e não reestabelecidos os percentuais mínimos, o CONTRATANTE avaliará a conveniência de se manter o serviço ou caracterizar a interrupção, que sujeitará a CONTRATADA à aplicação das penalidades previstas no contrato.
5.17. A CONTRATADA deve informar imediatamente ao CONTRATANTE sobre qualquer auditoria regulatória, sua finalidade e como ela se relaciona com os serviços prestados ao CONTRATANTE.
5.18. A CONTRATADA deve informar ao CONTRATANTE caso sejam contatados por um órgão regulador e se o propósito desse contato pode estar relacionado com/ou afetar os serviços prestados à CONTRATANTE.
5.19. O serviço prestado ao CONTRATANTE deverá contemplar as empresas controladas, tanto as que o CONTRATANTE exerce controle pleno quanto aquelas que o CONTRATANTE exerce controle compartilhado.
6. ASPECTOS DE SEGURANÇA
6.1. A CONTRATADA será responsável por garantir a disponibilidade, confidencialidade, autenticidade e integridade da solução, bem como dos dados de sua guarda.
6.2. As interfaces de comunicação dos ambientes da plataforma com o CONTRATANTE devem implementar métodos criptográficos para garantia da confidencialidade e da autenticidade da comunicação.
6.3. A CONTRATADA deve identificar e corrigir quaisquer problemas de segurança na plataforma, sem qualquer custo adicional para o CONTRATANTE.
6.4. O CONTRATANTE poderá parametrizar os serviços objeto desse termo, mediante “Contas-Logon” e senhas exclusivas e individuais de uso pessoal intransferível e de conhecimento exclusivo do respectivo usuário.
6.5. O CONTRATANTE responsabiliza-se, por si, seus empregados e/ou prepostos, pelo resguardo de suas senhas, não as repassando a terceiros, inclusive à CONTRATADA sob qualquer hipótese.
6.6. A CONTRATADA, com vista a garantir a necessária segurança na utilização das senhas, reserva-se o direito de independente de prévio aviso, bloquear a “Conta-Logon” ou reinicializar o processo de cadastramento de novas senhas.
6.7. A CONTRATADA poderá oferecer ao CONTRATANTE “Contas-Logon – Master” que permitam o acesso ao sistema de gestão do contrato ora ajustado.
6.8. Na hipótese prevista nos dois itens anteriores, a CONTRATANTE poderá consultar as faturas emitidas em razão deste instrumento, obter demonstrativos das consultas realizadas, controlar o protocolo de recebimento da “Contas-Logon” e ter acesso a quaisquer outros recursos que venham a ser introduzidos pela CONTRATADA no referido sistema via internet.
6.9. A CONTRATADA deve guardar o mais completo e absoluto SIGILO por si, por seus diretores, empregados, subcontratados e prepostos, em relação aos dados, informações ou documentos de qualquer natureza referentes ao CONTRATANTE, exibidos, manuseados, ou que por qualquer forma ou modo venham tomar conhecimento, em razão dos serviços ora contratados, ficando, portanto, por força de lei, civil e criminalmente, responsáveis por sua indevida divulgação, descuidada ou incorreta utilização, sem prejuízo da responsabilidade por perdas e danos a que deram causa e das cominações contratuais impostas.
6.10. A CONTRATADA deverá ter instrumentos auditáveis para verificar procedimentos seguros que não permitam revelar, reproduzir, utilizar ou dar conhecimento, em hipótese alguma, a terceiros, bem como a não permitir que nenhum de seus empregados e/ou prepostos faça uso dos dados ou informações provenientes dos resultados dos serviços discriminados no Objeto.
6.11. A CONTRATADA deve apresentar ao CONTRATANTE, sempre que solicitado, toda e qualquer informação e documentação que comprovem a implementação dos requisitos de segurança especificados na contratação, de forma a assegurar a auditabilidade do objeto contratado, bem como demais dispositivos legais aplicáveis.
Página 11 de 20
6.12. A CONTRATADA deve fornecer os subsídios necessários para que o CONTRATANTE implemente os indicadores de desempenho de segurança que vierem a ser definidos durante a vigência do contrato.
6.13. Para soluções SaaS (Software as a Service), a CONTRATADA deverá atender aos requisitos de segurança em ambiente para computação em nuvem.
7. SEGURANÇA EM AMBIENTE PARA COMPUTAÇÃO EM NUVEM (CLOUD COMPUTING)
7.1. A solução deverá atender integralmente aos requisitos mínimos de segurança da informação, para utilização de soluções de computação em nuvem.
7.2. A solução deverá possuir recursos de alta disponibilidade, além de sistemas para cópias de segurança, restauração de dados e auditoria.
7.3. A solução deverá possuir os seguintes requisitos de segurança de Infraestrutura de TI:
7.3.1. Proteção contra ataques distribuídos por Negação de serviço (DDOS);
7.3.2. Solução de firewall, contemplando ao menos, controle de aplicação (aplication control), identificação de usuário, filtro de URL e controle de políticas de acesso;
7.3.3. Solução de firewall dedicado à proteção de ambiente virtualizado;
7.3.4. Sistema de prevenção à Intrusão (IPS), mecanismo que possa responder a ataques em tempo real, bloqueando os pacotes considerados maliciosos e Ameaças Persistentes Avançadas;
7.3.5. Solução de antivírus para servidores físicos e virtualizados;
7.3.6. Procedimentos de gerenciamento de vulnerabilidades e aplicação de patches de segurança.
7.4. A solução deverá fazer uso de mecanismos de autenticação e autorização utilizando credenciais corporativas no modelo de federação, disponibilizado pelo CONTRATANTE.
7.5. A solução deverá ter compatibilidade de integração com a solução CASB (Cloud Access Security Broker) do CONTRATANTE.
7.6. Quanto a ataques cibernéticos a CONTRATADA deve:
7.6.1. Possuir mecanismos de proteção contra ataques cibernéticos;
7.6.2. Descrever os canais de contato (pontos focais, meios de comunicação e tempo de resposta) que serão utilizados, para reportar tempestivamente os incidentes que ocorram em suas instalações, independente de afetar ou não, arquivos e sistemas do CONTRATANTE;
7.6.3. Demonstrar que possui procedimentos documentados e testados para resposta a incidentes, tanto no tratamento interno, quando aos contatos com cliente e mídia;
7.6.4. Estabelecer fluxo de acionamento e contato com a equipe de resposta a incidentes UCF/SOC do CONTRATANTE para acionamento em caso de ataques cibernéticos.
7.7. A solução deve permitir a customização de relatórios gerenciais de segurança de acordo com o formato a ser requisitado pelo CONTRATANTE.
8. CONTROLES CRIPTOGRÁFICOS
8.1. A CONTRATADA deve implementar e manter controles criptográficos para armazenamento, tráfego e tratamento da informação, de acordo com o nível de criticidade e grau de sigilo da informação definido pelo CONTRATANTE.
8.2. A CONTRATADA deve implementar um processo de gestão de chaves criptográficas que deve considerar todo o ciclo de vida da chave, o qual envolve: geração, armazenamento, distribuição, utilização, recuperação, renovação, exclusão e destruição da chave.
8.3. A CONTRATADA deve utilizar algoritmos, tamanhos de chave e prazos de validade de chaves aprovados pelo NIST.
8.4. A CONTRATADA deve gerar, controlar e distribuir chaves criptográficas simétricas e assimétricas usando processos e tecnologias de gerenciamento de chaves aprovados pelo NIST.
8.5. As chaves criptográficas geradas pela CONTRATADA devem ser utilizadas com a finalidade exclusiva de atender às necessidades do objeto contratado.
8.6. A CONTRATADA deve permitir a criptografia de volume (por exemplo: a criptografia de um disco inteiro) e a criptografia de estruturas de dados específicas (por exemplo: arquivos ou registros específicos de uma tabela de banco de dados).
8.7. A CONTRATADA deve permitir recursos para trilha de auditoria, permitindo visualizar quem usou determinada chave para acessar um objeto, qual objeto foi acessado, quando ocorreu esse acesso e qual endereço de origem do acesso.
Página 13 de 20
8.8. A CONTRATADA deve permitir visualizar ou gerar relatório, a critério do CONTRATANTE, de tentativas malsucedidas de acesso por usuários sem permissão para decifrar os dados.
8.9. A CONTRATADA deve permitir que dados criptografados e chaves de criptografia sejam armazenadas e protegidas em hosts separados e protegidos por várias camadas de proteção.
8.10. A CONTRATADA deve permitir a auditoria da segurança de chaves criptográficas.
8.11. A CONTRATADA deve possibilitar comunicação criptografada e protegida para a transferência de dados, com autenticação mútua, por meio do TLS 1.2 ou versão superior.
8.12. A solução deverá prover a criptografia de arquivos em repouso utilizando chave simétrica usando, no mínimo, algoritmo AES com 128 bits, sendo que o recomendável pelo CONTRATANTE é o uso de chaves de 256 bits.
8.13. Caso haja uso de chave simétrica, deverá estar disponível função para que o CONTRATANTE mantenha o controle desta chave, ainda que a chave esteja armazenada no fornecedor da solução.
8.14. A chave simétrica no ambiente da CONTRATADA deverá ser armazenada em HSM, homologado em FIPS 140-2 nível 3.
8.15. Caso haja compartilhamento de certificado do CONTRATANTE com a CONTRATADA, este deve ser armazenado e processado em uma solução de HSM.
8.16. A CONTRATADA deve permitir que os usuários criptografem seus dados e objetos antes de enviá-los para o serviço de armazenamento.
8.17. A CONTRATADA deve permitir que a própria chave de objeto ou recurso seja criptografada por uma chave separada.
8.18. A CONTRATADA deve permitir que dados criptografados, chaves de criptografia e chaves mestras sejam armazenadas e protegidas em hosts separados e protegidos por várias camadas de proteção.
8.19. A CONTRATADA deverá possibilitar comunicação criptografada e protegida para transferência de dados.
8.20. A CONTRATADA deve tratar com rigor as informações sigilosas, não podendo ser usadas ou fornecidas a terceiros, sob nenhuma hipótese, sem autorização formal do CONTRATANTE.
8.21. A CONTRATADA deverá assinar Termo de Confidencialidade resguardando que os recursos, dados e informações de propriedade do CONTRATANTE, e quaisquer outros, repassados por força do objeto, constituem informação privilegiada e possuem caráter de confidencialidade.
8.22. Os dados, metadados, informações e conhecimento tratados pela CONTRATADA, não poderão ser fornecidos a terceiros e/ou usados por esta para fins diversos do previsto, sob nenhuma hipótese, sem autorização formal do CONTRATANTE.
8.23. O CONTRATANTE e a CONTRATADA obrigam-se por seus empregados, sócios, diretores e mandatários, manter total sigilo e confidencialidade no que se refere a não divulgação, por qualquer forma, de toda ou parte das informações ou documentos a ela relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados.
9. GESTÃO DE INCIDENTES DE SEGURANÇA
9.1. A CONTRATADA deve possuir um processo de Gestão de Incidentes que registre os incidentes de segurança cibernética ocorridos e que guarde informações como: a descrição dos incidentes ou eventos, as informações e sistemas envolvidos, as medidas técnicas e de segurança utilizadas para a proteção das informações, os riscos relacionados ao incidente e às medidas tomadas para mitigá-los e evitar reincidências.
9.2. O processo de Gestão de Incidentes também deve implementar e manter controles e procedimentos específicos para detecção, tratamento, coleta/preservação de evidências e resposta a incidentes de segurança da informação, de forma a reduzir o nível de risco ao qual o objeto do contrato ou o CONTRATANTE estão expostos.
9.3. A CONTRATADA deve implementar um processo de gestão de vulnerabilidades que inclua sua infraestrutura de servidores e redes.
9.4. Todos os relatórios com os resultados dos testes de penetração e varredura de vulnerabilidades, bem como o planejamento das correções a serem feitas, devem ser fornecidos ao CONTRATANTE sempre que solicitado.
9.5. A CONTRATADA deve ter um processo de notificação de incidentes 24x7.
9.6. No caminho inverso, se o CONTRATANTE detectar um incidente de segurança, a CONTRATADA será notificada e deverá cooperar totalmente para resolver o incidente de segurança, fornecendo todas as informações relacionadas que possam levar a solução do incidente em questão (também 24x7).
9.7. Vale ressaltar que em se tratando de contratos para tratamento de dados pessoais, nos termos da LGPD, a CONTRATADA deve provar que tem capacidade de fornecer uma resposta organizada e eficaz a um incidente de privacidade. Neste sentido, o CONTRATANTE desenvolverá e implementará juntamente com o fornecedor do serviço um plano de resposta a incidentes de privacidade, que inclua por exemplo, definição de incidente de privacidade e o escopo da resposta ao incidente, estabelecimento de equipes multifuncionais de resposta a incidente de privacidade, entre outros aspectos relevantes. Adicionalmente, a CONTRATADA deverá observar as disposições relativas ao tema contidas no Contrato, destacando-se a Cláusula PROTEÇÃO E PRIVACIDADE DE DADOS.
9.8. A CONTRATADA deve documentar os casos de uso que são utilizados para realizar a configuração e o monitoramento de eventos, correlacionando tecnologias para tratar padrões/cenários de ataque comuns e avançados; e disponibilizar os casos de uso ao CONTRATANTE sempre que solicitado.
9.9. A CONTRATADA deve ter um processo de lições aprendidas para incidentes de segurança implementado e comunicado aos seus funcionários e parceiros, com objetivo de agilizar a atuação caso surjam incidentes semelhantes.
9.10. A integração da gestão de incidentes da CONTRATADA com o Centro de Operações de Segurança do CONTRATANTE deve ser considerada, observada a regulamentação em vigor, conforme art 3º, §4º da Res. BACEN 4.893/2021.
9.11. Se a CONTRATADA precisar envolver outras partes externas para investigar e/ou resolver incidentes que afetem o escopo do Objeto, ela deve obter a anuência do CONTRATANTE por escrito antes de iniciar o contato com tais partes, observada a política de segurança cibernética do CONTRATANTE.
10. CONTINUIDADE DE NEGÓCIOS E RECUPERAÇÃO DE DESASTRES
10.1. A CONTRATADA deve possuir plano de continuidade, recuperação de desastres e contingência de negócio, que possa ser testado regularmente, objetivando a disponibilidade dos dados e serviços em caso de interrupção, bem como desenvolver e colocar em prática procedimentos de respostas a incidentes relacionados com os serviços.
10.2. O referido plano de continuidade deverá ser informado para o CONTRATANTE como parte das ações de acompanhamento do contrato, e deverá ser atualizado e testado anualmente, ou em qualquer mudança significativa do ambiente.
10.3. A atuação, em caráter de contingência, causada por uma eventual indisponibilidade do serviço prestado, considera as seguintes premissas:
10.3.1. Interrupção total ou parcial dos serviços;
10.3.2. Ter infraestrutura alternativa: física e lógica em local distante do ambiente central de produção, com o objetivo de minimizar o risco de perda de ambas as instâncias;
10.3.3. Manter os serviços essenciais suportados pelo contrato;
10.3.4. Manter a lista de integrantes das equipes e o Plano de Recuperação de Desastres atualizados;
10.3.5. Ter local seguro para guarda de backups fora do local atingido;
10.3.6. Assegurar a disponibilidade dos serviços essenciais dentro do tempo previsto para recuperação do serviço, de acordo com o contrato;
10.3.7. Procedimento documentado e evidenciado de testes das mídias armazenadas offsite;
10.3.8. Cópias de todos os procedimentos abordando backup, restauração e reconstituição de armazenamento de dados.
10.4. O plano de continuidade deve possuir os seguintes elementos em sua composição:
10.4.1. Identificação do serviço suportado pelo contrato;
10.4.2. A forma de conectividade usada e os direitos de acesso;
10.4.3. A arquitetura do ambiente de produção;
10.4.4. As interfaces de aplicações e suas dependências;
10.4.5. O SLA contratado e os limites suportados para interrupção;
10.4.6. A forma de replicação dos dados com o site alternativo;
10.4.7. Procedimentos adotados para recuperação de desastres;
10.4.8. Lista de contatos das equipes responsáveis pelo restabelecimento do serviço, divididos por tipos de atividades executadas.
10.5. A obrigatoriedade do plano de continuidade se estende para empresas provedoras de informações que fornecem insumos à CONTRATADA.
10.6. A CONTRATADA deve considerar, como parte do plano de continuidade, os diferentes ambientes de risco e o grau de mitigação de riscos necessários para proteger a Instituição, caso seja necessário colocar o plano em prática.
10.7. A avaliação de riscos e dos processos críticos devem levar em consideração instrumentos específicos, como um BIA – Business Impact Analysis.
10.8. A CONTRATADA, visando a continuidade dos negócios, deve implantar uma política de backup.
11. POLÍTICA DE BACKUP
11.1. A CONTRATADA deve possuir e implementar política de backup das informações e dos registros de log associados ao Objeto, em conformidade com os dispositivos legais aplicáveis.
11.2. A política de backup deve assegurar a manutenção de cópias de segurança de todos os componentes de software dos sistemas, de suas bases de dados e da documentação associada, observando a técnica e os cuidados requeridos para cada caso, de modo a ser possível a plena recuperação de versões dos sistemas e dados salvaguardados em caso de falha, ou por solicitação do CONTRATANTE.
11.3. A CONTRATADA deve prover pelo menos um site de armazenamento alternativo – e geograficamente distinto - como parte de sua política de backup, permitindo o armazenamento e a recuperação da informação sempre que necessário e de acordo com os requisitos definidos em Continuidade de Negócios e Recuperação de Desastres.
11.4. A CONTRATADA deve garantir que o site de armazenamento alternativo conte com os mesmos controles de segurança do site de armazenamento primário.
12. ENCERRAMENTO DO CONTRATO
12.1. A CONTRATADA deve garantir que todos os dados - incluindo chaves criptográficas e os backups armazenados e que não sejam mais necessários na execução do Contrato - serão descartados de acordo com os padrões do mercado, de maneira que os requisitos de confidencialidade não sejam violados.
12.2. A CONTRATADA deve reter os dados por até 180 dias para a migração para ambiente interno ou outro fornecedor indicado pelo CONTRATANTE.
12.3. Os dados, após transferência e validação da integridade, devem ser excluídos pelo antigo fornecedor.
12.4. A exclusão dos dados após o término do contrato e o período de retenção de 180 dias deve obedecer aos padrões definidos no NIST SP 800-88 Guidelines for Media Sanitization, com fornecimento de relatório para o CONTRATANTE certificando a conformidade dos processos realizados com a norma indicada.
13. ACORDO DE NÍVEL DE SERVIÇO
13.1. A CONTRATADA deverá disponibilizar responsável técnico para atendimento de demandas relacionadas à utilização da solução.
13.2. O preposto citado acima deverá orientar, coordenar e acompanhar a implementação dos serviços e ajustes iniciais dos modelos, além de resolver quaisquer questões pertinentes à execução dos serviços, para correção de situações adversas e para o atendimento imediato das reclamações e solicitações do CONTRATANTE, conforme SLA definida no item 8.12.
14. ENRIQUECIMENTO DE INFORMAÇÕES CADASTRAIS
14.1. As informações de telefone deverão apresentar retorno de pelo menos um telefone em 75% das consultas e apresentar no mínimo os dados de número do DDD e telefone.
14.2. As informações de endereços devem ser devolvidas com CEP, logradouro, complemento, bairro, cidade e UF.
14.3. As informações de endereço para pessoas físicas deverão apresentar retorno de pelo menos um conjunto de informações completo, em 75% dos casos.
14.4. As informações de endereço e telefone deverão possuir conjunto de informações (informações corretamente atribuídas à pessoa) em, pelo menos, 60% dos casos, apurados conforme amostra.
15. VALIDAÇÃO DE INFORMAÇÕES CADASTRAIS
15.1. A validação de endereço deve apresentar retorno em pelo menos 75% dos casos.
15.2. A identificação e validação de e-mail deve apresentar retorno em pelo menos 75% dos casos.
16. REQUISITOS DE CAPACIDADE
16.1. A solução deverá suportar, pelo menos, 100 mil consultas por hora.
16.2. O tempo de resposta entre o envio das informações e o recebimento dos dados analisados deve ser:
16.3. Transações Automáticas - validação dos dados sem a utilização de BackOffice:
16.4. Até 50% das transações em até 400 milissegundos;
16.5. Até 99% das transações em até 500 milissegundos.
16.6. Transações Manuais - validação dos dados com a utilização de BackOffice:
16.7. Até 50% das transações em até 10 minutos;
16.8. Até 95% das transações em até 20 minutos;
16.9. Demais transações, até 24h.
Assinado por:
XXXX XXXXXXXX(ATV200285) GEADI - Assessor | 2/01/2023 - 18:42
Código de Validação: 0000000000000000000
Link: xxxxx://xxxxxxxxxxxxxxxx.xxxxxxxx.xxx.xx?xxx0000000000000000000