Contract
1. Identificação do processo:
Informação interna.
2. Objeto:
Aquisição de licença de uso de software de análise de vulnerabilidades de aplicações web e API, ativos de rede, servidores, contêineres e ativos em nuvem.
3. Detalhamento do objeto:
A solução é composta por software, licenças e demais recursos necessários para seu funcionamento, contemplando os serviços de instalação, configuração e capacitação técnica para 7 (sete) profissionais e suporte, garantia (caso a licença seja fornecida para utilização on-premises) e manutenção conforme especificação técnica no item 5.
4. Detalhamento do Lote:
4.1. O objeto está inserido em lote único conforme abaixo:
ITEM | QTDE | UN. | DESCRIÇÃO |
01 | 1 | UN | Software e licenciamento. Conforme o item 5.6 desse Termo de Referência. |
02 | 1 | PS | Suporte, manutenção e atualização de versão por 36 meses. Conforme o item 5.8 desse Termo de Referência. |
03 | 1 | PS | Instalação e configuração. Conforme o item 5.7 desse Termo de Referência. |
04 | 1 | PS | Garantia por 36 meses. Conforme o item 5.9 desse Termo de Referência. |
05 | 1 | PS | Capacitação técnica. Conforme o item 5.5 desse Termo de Referência. |
4.2. Apesar desta contratação ser composta por 5 (cinco) itens, o processo será em um único lote, incluindo todos os produtos e serviços necessários, tendo em vista que a aquisição e a prestação dos serviços por fornecedores diferentes acarretariam em prejuízo da qualidade e celeridade da resolução de problemas.
5. Especificação Técnica
5.1. Características gerais
5.1.1. Não serão aceitos produtos ou serviços do tipo demo ou trial.
5.1.2. O gerenciamento da solução poderá ser em nuvem.
5.1.3. Suportar browsers Google Chrome (40+), Mozilla Firefox(38+) e Microsoft Edge.
5.1.4. O gerenciamento da plataforma deverá ser centralizado e único para todos os módulos descritos neste documento.
5.1.5. Permitir e execução de, pelo menos, 500 varreduras por ano no total em aplicações web e API, ativos de rede, servidores, contêineres e ativos em nuvem.
5.1.6. A instalação do software será feita em infraestrutura própria no datacenter da PRODEMGE e/ou em ambiente externo contratado por ela, de acordo com as recomendações e melhores práticas do fabricante do software. Em caso de soluções que funcionem em Nuvem, a solução deverá estar disponível para uso durante todo o tempo de duração do contrato vigente do licenciamento.
5.1.7. A solução em nuvem deverá atender, no mínimo, os seguintes requerimentos:
5.1.7.1. Prover no minínimo 99.95% de disponibilidade no nível de serviço;
5.1.7.2. Criptografar todas as informações em transito;
5.1.7.3. Criptografar os dados armazenados;
5.1.7.4. Criptografar backups e dados Replicados;
5.1.7.5. Todas as credenciais armazenadas na plataforma deverão ser criptografadas.
5.1.8. O processo de análises de vulnerabilidades e conformidade, quando executados on- premisses, deverá ser efetuado localmente, ou seja, na própria rede da PRODEMGE ou com agente instalado no próprio computador. Os dados então serão sincronizados com a console em nuvem para análise;
5.1.9. A solução deve possuir ferramentas e processos automatizados para monitorar: Uptime, Comportamentos anômalos e performance da plataforma;
5.1.10. Deve possuir retenção na nuvem de no mínimo 12 meses dos resultados dos scans realizados no ambiente;
5.1.11. Os dados de clientes deverão ser totalmente separados um dos outros, não possuindo compartilhamento de dados;
5.1.12. O fabricante da solução deverá implementar controles de segurança e monitoramento 24 x 7 x 365 para garantir a segurança da aplicação;
5.1.13. Permitir sua instalação tanto em ambientes físicos quanto em ambientes virtuais baseados nas soluções VMware, vSphere ou Microsoft Hyper-v. A solução deve ter a capacidade de realizar scans de aplicações internas.
5.1.14. A interface web de administração, configuração e operação deverá ser acessível por meio de desktops ou notebooks e deverá ser responsiva de forma a se adaptar ao tipo de equipamento e tamanho da tela que está sendo executado. Essa interface deverá prover todas as suas funcionalidades sem a necessidade de instalação de qualquer componente adicional (addon ou plugin) para essa finalidade.
5.1.15. O Software deve avaliar automaticamente, pelo menos, todas as vulnerabilidades expressas no OWASP Top 10 para aplicações web.
5.1.16. Ser fornecida com várias políticas de varreduras padronizadas e criadas pelo fabricante da solução. Entre as políticas padronizadas devem estar incluídas, sem se limitar a:
5.1.16.1. Varreduras: política de varredura é usada para verificar os sistemas em execução no ambiente e fazer com que o Software detecte vulnerabilidades conhecidas e desconhecidas. Os recursos de “difusão” do Software são ativados com esta política, o que fará com que o Software detecte todos os serviços web descobertos e verifique as vulnerabilidades presentes em cada um dos parâmetros, incluindo XSS, SQL, injeção de comandos e vários outros. Esta política identificará os problemas via HTTP e HTTPS.
5.1.17. O Software deve permitir a criação de políticas personalizadas a partir de uma política padrão fornecida pelo fabricante. A edição de uma política padrão fará com que se torne propriedade do usuário, gerando uma política personalizada.
5.1.18. Na criação de uma política personalizada, deve ser possível definir, pelo menos, os seguintes parâmetros:
5.1.18.1. Nome: nome a ser exibido na interface do usuário para identificar a política;
5.1.18.2. Visibilidade: indica se a política é compartilhada com outros usuários (shared) ou mantida somente para uso privado (private). Somente usuários administrativos podem compartilhar políticas.
5.1.18.3. Descrição: permite documentar uma descrição da política de varredura para resumir a finalidade
5.1.19. O Software deve permitir a customização de uma varredura, a partir de parametrizações como:
5.1.19.1. Salvar detalhes adicionais da varredura no log do servidor do Software, incluindo a ativação ou encerramento do plugin ou se um plugin foi interrompido. O registro resultante pode ser usado para confirmar se determinados plugins foram usados e se os hosts foram examinados.
5.1.20. Desativar opções de varredura que podem afetar negativamente o host remoto gerando, por exemplo, uma sobrecarga ou indisponibilidade do ambiente que está sofrendo a varredura.
5.1.21. Permitir customizações nos relatórios.
5.1.22. O Software deve permitir o monitoramento e o controle do uso de recursos durante a varredura, ajustando seu funcionamento a partir do comportamento dinâmico desses recursos.
5.1.23. O Software deve monitorar a rede utilizada a fim de detectar a ocorrência de gargalos na rede, ocasionados pelo envio de um grande número de pacotes. Em caso de detecção de gargalos na rede, o Software deverá reduzir a velocidade da varredura ao nível adequado para diminuir o congestionamento. Ao diminuir o congestionamento, o Software tentará reutilizar o espaço disponível na rede automaticamente.
5.1.24. O Software deve permitir a configuração de parâmetros da varredura com o objetivo de otimizar o tempo de varredura e o impacto da mesma sobre a infraestrutura (servidores e rede) envolvidas na operação. Devem ser permitidas, no mínimo, mas não se limitando a essas, as seguintes configurações:
5.1.25. Definir um limite para o número máximo de verificações que um scanner realiza em um único host ao mesmo tempo
5.1.26. Definir um limite para o número máximo de hosts que um scanner do Software pode verificar ao mesmo tempo.
5.1.27. Definir um limite para o tempo que o Software deve esperar por uma resposta do host.
5.1.28. Definir um limite para o número máximo de sessões TCP estabelecidas para um único host.
5.1.29. Definir um limite para o número máximo de sessões TCP estabelecidas para toda a varredura, independentemente do número de hosts verificados.
5.2. Requisitos referentes à análise de Aplicações Web e API
5.2.1. Possuir ferramenta de testes dinâmicos de segurança de aplicações web, permitir automatizar as avaliações de vulnerabilidade e fazer varreduras e testes de todas as vulnerabilidades de aplicações da web.
5.2.2. Permitir a detecção de, pelo menos, as vulnerabilidades que permitam os seguintes ataques:
5.2.2.1. Cross site scripting.
5.2.2.2. SQL injection.
5.2.2.3. Ajax testing.
5.2.2.4. Remote File inclusion.
5.2.3. Permitir a realização de Testes Funcionais – Teste de Caixa Preta – de forma manual e automatizada.
5.2.4. Permitir a execução de testes caixa preta em aplicações WEB com base na especificação das funcionalidades presentes nas mesmas. Portanto, esse tipo de teste deve ser parametrizado e configurado pelo usuário, considerando fatores como amplitude e parâmetros de entrada como, por exemplo, usuários e senhas, login manual, via cookie de sessão ou Selenium.
5.2.5. Permitir a automatização dos testes de caixa preta por meio de recursos de gravação de testes manuais. Essa gravação deve gerar um script que representa o passo a passo do teste realizado. Deve, ainda, permitir a intervenção direta no script com o intuito de modificar o teste sem a necessidade de uma nova gravação.
5.2.6. Fornecer recursos para simplificar o processo de interpretação dos resultados da varredura, com descrição específica da vulnerabilidade encontrada, apontando o local onde ela está presente, incluindo ainda uma explicação para o problema. Além disso, fornecer recursos de correções automatizadas ou indicativos de ações a serem tomadas para a correção manual de cada vulnerabilidade encontrada.
5.2.7. Possuir suporte para testes de vulnerabilidade em webservices que utilizam a tecnologia SOAP e/ou RESTful.
5.2.8. Possuir suporte para testes de vulnerabilidades em html5 e em comunicações por websocket.
5.2.9. Permitir a verificação de vulnerabilidades a partir da execução de testes de invasão em aplicações web. Para esses testes, deverão ser suportadas as seguintes funcionalidades:
5.2.9.1. Navegação automatizada
5.2.9.2. Definição do aprofundamento da análise em níveis de aplicação/projeto, pastas de projetos diferentes, hosts e para domínios diferentes.
5.2.10. Suportar os protocolos http 1.1, http 1.0, ssl/tls, http, keep-alive, http compression, configuração de http user agent string.
5.2.11. Suportar autenticação básica, digest, http negotiate (ntlm), cookie e Selenium.
5.2.12. Permitir ainda:
5.2.12.1. Detecção de Malware em URL.
5.2.12.2. Agendamento de Scans.
5.2.12.3. Varredura on-line de aplicações Web ativas.
5.2.12.4. Varredura de aplicações Web internas ativas.
5.2.12.5. Entregar as informações em Dashboard facilitando a análise das vulnerabilidades encontradas.
5.2.12.6. Exibir o score das vulnerabilidades encontradas conforme o CVSS (Common Vulnerability Scoring System)
5.3. Requisitos referentes à análise em Ativos de Rede e Nuvem.
5.3.1.A solução deve ser licenciada de modo a realizar varreduras (scans) de vulnerabilidades, avaliação de configuração e conformidade (baseline e compliance) e indícios e padrões de códigos maliciosos conhecidos (malware);
5.3.2. A solução deve possuir recurso de varredura ativa, onde o scanner comunica-se com os alvos (ativos) através da rede;
5.3.3.Deve possibilitar, por meio da console, no mínimo 4 (três) métodos de escaneamento:
5.3.3.1. Scan ativo;
5.3.3.2. Scan com uso de agentes;
5.3.3.3. Scan passivo;
5.3.3.4. Scanner em nuvem;
5.3.4. Deverá possuir, através de site público, uma lista com todas as vulnerabilidades identificadas pela solução;
5.3.5. A solução deve possuir um sistema próprio de pontuação e priorização das vulnerabilidades diferente do padrão CVSS;
5.3.6. Deve possuir mecanismo de priorização dinâmico baseado em algoritmos de inteligência artificial (machine learning);
5.3.7.Toda vulnerabilidade que possuir um CVE associado deve receber uma nota dinâmica da solução de gestão de vulnerabilidades;
5.3.8. A solução deve ser capaz de aplicar algoritmos de inteligência artificial (Machine learning) para analisar fontes de dados relacionadas a vulnerabilidades;
5.3.9. O sistema de pontuação e priorização de vulnerabilidades deve avaliar no mínimo CVSSv3 Impact Score;
5.3.10. Deve possuir uma API abrangente para automação de processos e integração com aplicações terceiras;
5.3.11. Deve ser capaz de fazer a correlação diária de ameaças ativas contra as vulnerabilidades existentes na infraestrutura, incluindo feeds de inteligência de ameaças, tanto de fontes públicas como também de fontes não gratuitas;
5.3.12. A solução deve permitir a instalação de agentes em estações de trabalho e servidores, para varredura diretamente no sistema operacional;
5.3.13. A solução deve possuir conectores para a seguintes plataformas:
5.3.13.1. Amazon Web Service (AWS);
5.3.13.2. Microsoft Azure;
5.3.13.3. Google Cloud Platform;
5.3.14. A solução deve ser capaz de analisar vulnerabilidades em servidores na AWS utilizando somente o conector, sem a necessidade de instalação de agente ou uso de qualquer outro tipo de sensor de rede da solução.
5.3.15. Deve ser possível determinar quais portas estão abertas em determinado ativo;
5.3.16. Deve ser capaz de guardar no mínimo os seguintes atributos de um ativo:
5.3.16.1. Endereço IPv4 e IPv6;
5.3.16.2. Sistema Operacional;
5.3.16.3. Nome NetBIOS:
5.3.16.4. FQDN;
5.3.17. A solução deve realizar varreduras em uma variedade de sistemas operacionais, incluindo no mínimo Windows, Linux e Mac OS, bem como Hypervisors e Dispositivos de Rede;
5.3.18. A solução deve incluir a capacidade de programar períodos onde varreduras não podem ser executadas em determinados ativos, podendo selecionar no mínimo a frequência da agenda (diário, semanal, etc), hora de inicio e fim da janela, quais ativos serão excluídos e o fuso horário do agendamento;
5.3.19. A solução deve permitir a entrada e o armazenamento seguro de credenciais do usuário, incluindo contas locais, de domínio (LDAP e Active Directory) e root para sistemas Linux;
5.3.20. A solução deve fornecer a capacidade de escalar privilégios nos destinos, do acesso de usuário padrão até acesso de sistema ou administrativo;
5.3.21. Deve permitir executar uma análise de remediação, para verificar que uma solução foi aplicada corretamente. Essa análise de remediação será executada somente nos ativos impactados, analisando somente a vulnerabilidade remediada, sendo sua política criada especificamente para esta finalidade;
5.3.22. A solução deverá apresentar o status da vulnerabilidade, demonstrando na interface de gerenciamento se a mesma é Nova, Persistente, Corrigida ou Reapareceu no ativo
5.3.23. Deverá ser possível aceitar uma vulnerabilidade, onde a mesma não irá mais aparecer na console. Este processo poderá ser feito para um único ativo ou múltiplos ativos. Ainda, deverá ser possível definir uma data de expiração para a Aceitação.
5.3.24. Deverá ser possível modificar a severidade das vulnerabilidades, de um único ativo ou múltiplos ativos, podendo ainda definir uma data de expiração para esta modificação
5.3.25. A solução deve suportar o uso de Tags nos ativos, sendo estes aplicados de forma manual ou automaticamente;
5.3.26. Deverá ser possível configurar quais usuários, ou grupos de usuários, podem editar as Tags;
5.3.27. A solução deverá usar as Tags como filtros, podendo ser utilizadas na lista de vulnerabilidades, onde o objetivo é ver todas as vulnerabilidades existentes nos ativos que possuem determinada Tag;
5.4. Requisitos referentes ao Controle de usuários
5.4.1.A solução deve suportar RBAC (Role Based Access Control);
5.4.2.Deve possuir no mínimo um perfil administrador e um perfil somente leitura;
5.4.3.Deve permitir autenticação com Single Sign On suportando os padrões SAML 2.0 ou Shibboleth 1.3;
5.4.4.A solução deve possibilitar a criação de Grupos de Usuários
5.4.5.Deve permitir configurar quais usuários, ou grupos de usuários, tem permissão de visualizar determinados ativos da organização e suas vulnerabilidades, e quais tem permissão de executar análises de vulnerabilidades nesses ativos;
5.4.6.Possuir duplo fato de autenticação nativo na própria solução
5.4.7.Deve possibilitar configurar permissões, por usuário e grupo de usuário, específicas para cada política de análise de vulnerabilidades. No mínimo deverá ser possível configurar permissões de Nenhum Acesso, Somente Ver Resultados, Configuração ou Execução das políticas;
5.5. Requisitos referentes a gestão de vulnerabilidades em Contêineres
5.5.1.A solução deverá ser licenciada contabilizando o número de imagens únicas, não sendo contabilizadas novas versões de uma mesma imagem;
5.5.2.A solução de gestão de vulnerabilidades deve ser capaz de analisar, testar e reportar falhas de segurança em aplicações em Containers Docker como parte dos ativos a serem inspecionados;
5.5.3.A solução deve ser capaz de analisar imagens preparadas pelos desenvolvedores na esteira DevOps em busca de imagens com vulnerabilidades identificadas e malware residente no sistema de arquivos;
5.5.4.A documentação de API da solução deverá ter acesso público através de website ou documentação do próprio fabricante;
5.5.5.A console de administração deverá possuir controle de acesso no mínimo permitindo usuários com capacidade de somente visualizar as informações, e usuários com capacidade para efetuar análise das imagens;
5.5.6.A solução deve inventariar o sistema operacional de cada imagem analisada e suas vulnerabilidades encontradas;
5.5.7.A solução deve analisar as camadas (layers) de um container;
5.5.8.A solução deve ser capaz de identificar containers que tiveram mudanças de arquivos entre a análise e a sua implementação em produção;
5.5.9.A solução deve ser capaz de identificar as devidas tags das imagens avaliadas;
5.5.10. A solução deve informar os CVEs para cada vulnerabilidade encontrada nos pacotes e bibliotecas residentes na imagem;
5.5.11. Deve ser capaz de inventariar os pacotes e bibliotecas e suas respectivas versões e listar as mesmas dentro do relatório de resultados de análise de cada imagem;
5.5.12. A solução deve possuir conectores e permitir importação de imagens dos seguintes repositórios:
5.5.13. Docker;
5.5.14. Docker EE;
5.5.15. AWS ECR;
5.5.16. JFrog Artifactory;
5.5.17. A solução deve fornecer scanner em formato Docker para implementação local e análise de imagens sem a necessidade de envio destas para repositório remoto, fora do ambiente da PRODEMGE;
5.5.18. A solução ser capaz de configurar políticas usando como condições: CVSS Score, CVEs específicos e Malware identificado;
5.5.19. A solução deve permitir a criação de políticas especificas por repositório;
5.5.20. A solução deve prover integração com as seguintes plataformas de integração contínua: Bamboo, CircleCI, Codeship, Distelli, Xxxxx.xx, Jenkins, Shippable, Solano Labs, Xxxxxx XX, Wrecker ou Kubernets;
5.5.21. A solução deverá ser capaz de analisar vulnerabilidades também na infraestrutura onde as imagens de container são executadas, tanto do sistema operacional quanto das aplicações que nele estão instaladas.
5.6. Requisitos referentes à geração de Relatórios
5.6.1. Gerar relatórios detalhados que mostrem as vulnerabilidades de segurança encontradas, indicando os riscos, oferecendo as melhores práticas para correção das mesmas e apontando o nome do arquivo e a linha de código onde está localizada a vulnerabilidade em questão.
5.6.2. O Software deve exibir um painel com o resumo das vulnerabilidades encontradas a cada verificação. Ao selecionar uma vulnerabilidade, informações adicionais, como o(s) host(s) afetado(s) será(ão) exibida(s), juntamente com detalhes técnicos da vulnerabilidade.
5.6.3.O Software deve oferecer um sistema de filtros flexível para auxiliar na exibição de resultados específicos do relatório. Os filtros podem ser usados para exibir os resultados de acordo com qualquer aspecto dos resultados de vulnerabilidades. Quando vários filtros forem usados, é possível criar exibições mais detalhadas e personalizadas dos relatórios.
5.6.4.O Software deve permitir a exportação de relatórios para, no mínimo, os seguintes formatos: CSV, PDF, HTML, RTF ou XML.
5.7. Capacitação Técnica
5.7.1.O treinamento deverá ser completo para contemplar a instalação, customização, operação e administração da solução de Scan de Vulnerabilidades para 7 (Sete) funcionários da PRODEMGE, na modalidade de Ensino a Distância (EAD), online e ao vivo.
5.7.2.O treinamento deverá ser ministrado para turma especifica para a PRODEMGE.
5.7.3.Serão aceitos cursos oficiais ou não oficiais do fabricante do Software. Para os cursos não oficiais, deverão ser definidos, aprovados junto ao fabricante, possuírem a mesma carga horária e ementa dos cursos oficiais. As aulas poderão ser gravadas pela PRODEMGE.
5.7.4.Deverá possuir módulos teóricos e práticos.
5.7.5.O conteúdo dos cursos deverá abranger, minimamente, o seguinte tópico: 5.7.6.Configuração – acesso e navegação na solução; comando de configurações básicas e
avançadas.
5.7.7.É obrigatório relacionar a ementa dos cursos, carga horária e conteúdo programático. A abordagem do treinamento deve ser eminentemente prática, utilizando exemplos e exercícios para ilustrar os conceitos e capacitar os participantes a empregar os recursos oferecidos. A carga horária do treinamento deve ser a quantidade padrão definida pelo fabricante da solução que atenda plenamente o item 5.
0.0.0.Xx final do treinamento deve ser emitido certificado de conclusão para cada participante/aluno constando a carga horária e a ementa solicitados no item 5.7.3.
5.8. Software e licenciamento
5.8.1. O licenciamento deverá ser flexível, ou seja, não limitado por módulo. Cada licença adquirida deverá possibilitar a utilização para qualquer um dos ativos solicitados,
5.8.2.A solução deve ser capaz de realizar varreduras (scans) de vulnerabilidades para o número total e tipos de ativos contratados durante o período do contrato.
5.9. Instalação e configuração
5.9.1.O serviço de instalação compreende as atividades de planejamento, instalação e finalização no ambiente da PRODEMGE caso a licença seja fornecida para utilização on-premises.
5.9.2.O serviço de configuração consiste em ajustar todos os parâmetros necessários (físicos e lógicos) para o pleno funcionamento do Software e a sua adequação para funcionamento no ambiente da PRODEMGE atendendo aos requisitos dessa especificação.
0.0.0.Xx final dos serviços de instalação e configuração, a solução deverá estar totalmente operacional para utilização pela PRODEMGE.
5.10. Suporte, manutenção e atualização de versão
5.10.1. O suporte técnico compreende o diagnóstico e identificação de problemas, apoio técnico na utilização, correção de erros, defeitos (bugs) ou mau funcionamento sobre qualquer funcionalidade, recurso, componente ou módulo disponível de forma nativa do Software, ou decorrente de qualquer adaptação (customização) e ajuste (tuning) efetuada pela PRODEMGE.
5.10.2. O atendimento a um chamado de suporte deverá ocorrer por qualquer uma das seguintes formas: contato telefônico, envio de mensagem eletrônica (e-mail), acesso ao sítio (website), da CONTRATADA ou do fabricante do Software, com controle de acesso por usuário e senha específicos para a PRODEMGE.
5.10.3. O atendimento telefônico sempre que aplicável e viável, deverá ser realizado no idioma Português do Brasil, por meio de ligação local em Belo Horizonte/MG ou ligação interurbana gratuita (0800) e deverá ter um único número de contato para todos os produtos do Software.
5.10.4. A PRODEMGE poderá efetuar um número ilimitado de chamados técnicos para a CONTRATADA, por qualquer uma das formas disponíveis, durante vigência do contrato vinculado a este edital.
5.10.5. Na abertura ou registro de um chamado técnico, por qualquer uma das formas disponíveis, a CONTRATADA deverá informar: data e hora de abertura do chamado, descrição do chamado, nível de severidade do chamado e identificação completa do solicitante.
5.10.6. Cada chamado técnico será classificado em um dos 2 (dois) graus de severidade, de acordo com a Tabela 1 – Níveis de severidade, descritos no item 22.
5.10.7. O grau de severidade poderá ser reclassificado pela CONTRATADA, desde que devidamente fundamentado.
5.10.8. A CONTRATADA deverá retornar, via e-mail, a confirmação da abertura do chamado técnico, doravante denominado confirmação do chamado, contemplando as seguintes informações na sua abertura: código de identificação do chamado, identificação do responsável da CONTRATADA pela abertura do chamado.
5.10.9. O atendimento ao chamado técnico pela CONTRATADA deverá ocorrer pelo menos por uma das seguintes formas: chamada telefônica, envio de mensagem eletrônica (e-mail), recursos disponíveis no sítio (site) do fabricante do Software ou da CONTRATADA, presencial ou suporte por acesso remoto.
5.10.10. Um chamado técnico somente será considerado contingenciado ou concluído com o aceite da PRODEMGE, na forma de um visto na ordem de serviço correspondente ou aceite por e-mail ou ainda, diretamente no sistema oferecido pela CONTRATADA, caso esta forma seja utilizada.
5.10.11. Após apresentar uma solução de contorno para o chamado técnico, a CONTRATADA deverá retornar, via e-mail, a confirmação da execução do serviço, contemplando as seguintes informações: código de identificação do chamado, data e hora de conclusão do atendimento, descrição dos serviços executados e/ou da solução apresentada.
5.10.12. Em caso de adoção de solução de contorno, sem prejuízo da solução definitiva cabível, a CONTRATADA deverá emitir laudos, na periodicidade exigida pela CONTRATANTE, informando sobre a evolução dos trabalhos para solucionar o problema de forma definitiva.
5.10.13. Após apresentar uma solução definitiva para o CHAMADO TÉCNICO, a CONTRATADA deverá retornar, via e-mail, a confirmação da execução do serviço, contemplando as seguintes informações: código de identificação do chamado, data e hora de conclusão do atendimento, descrição dos serviços executados e/ou da solução apresentada.
5.10.14. Deverá ser garantido à PRODEMGE o pleno acesso ao sítio (site) dos fabricantes dos produtos que compõem o Software de Scan de Vulnerabilidades, com direito a consultas a quaisquer bases de conhecimentos e fóruns de discussão disponíveis para seus usuários.
5.10.15. Caberá exclusivamente à PRODEMGE a decisão de implantar ou não quaisquer atualizações de software fornecidos pela CONTRATADA.
5.10.16. A CONTRATADA deverá disponibilizar mecanismos para a atualização de software pelo download direto através da própria aplicação, pelo envio das mídias ou através de download no seu sítio (site) ou do fabricante do software em questão.
5.10.17. A CONTRATADA deverá apresentar, para cada atualização de software disponível, a descrição de todas as modificações implementadas, bem como encaminhar todo o material necessário para efetivação dessa atualização, incluindo as licenças e autorizações (ex. chaves de instalação) correspondentes.
5.10.18. A CONTRATADA deverá atualizar os manuais correspondentes aos produtos, componentes ou módulos de software atualizados, sem ônus adicional para a PRODEMGE.
5.10.19. O prazo de atualização de todo software fornecido deve ser igual ao período de suporte do produto.
5.10.20. Durante a vigência do contrato, a PRODEMGE terá direito a todas atualizações de versão e release dos softwares.
5.11. Garantia
5.11.1. Caso a solução seja fornecida para uso on-premises:
5.11.1.1. O(s) Software(s) que compõe(m) o sistema deve(m) estar em linha de fabricação até a data de assinatura do contrato.
5.11.1.2. Os itens adquiridos deverão possuir garantia do fabricante ou autorizada no Brasil, para as licenças de software, com validade mínima de 3 anos contados a partir do recebimento definitivo do Software.
5.11.1.3. O serviço de Garantia contempla garantir o correto e pleno funcionamento de todos os itens adquiridos, software e os componentes necessários para o pleno funcionamento.
5.11.1.4. A CONTRATADA deverá garantir a substituição de qualquer módulo defeituoso, incluindo software ou componentes necessários para o funcionamento do Software durante o prazo contratado.
5.11.1.5. Não haverá custos adicionais para a PRODEMGE de substituição de quaisquer componentes durante o período de garantia
6. Justificativa da aquisição:
6.1. Informação interna.
7. Prova de conceito:
Não se aplica
8. Visita ou vistoria Técnica:
Não se aplica
9. Qualificação Técnica
9.1. A PROPONENTE classificada em primeiro lugar no processo licitatório deverá apresentar as informações abaixo relacionadas, para habilitação do processo:
9.2. Documentação do fabricante em mídia digital (PDF) ou o endereço eletrônico na Internet pelo fabricante do produto ofertado, que comprovem, inequivocamente do atendimento de todos os requisitos técnicos exigidos neste Termo de Referência;
9.3. Atestado de entidade pública ou privada declarando que ela já forneceu produtos e serviços compatíveis com o objeto deste instrumento.
9.3.1. Esse atestado deverá ser apresentado em papel timbrado do emitente, constando CNPJ, razão social, endereço, telefone e nome de pessoa para contato;
9.4. Declaração informando que durante o período de garantia os serviços de suporte e manutenção serão de sua inteira responsabilidade incluindo todos os custos correspondentes. Deverá constar que os serviços serão prestados pela própria Licitante, se comprovadamente autorizada pelo fabricante da solução, ou se os serviços de suporte e manutenção serão prestados pelo próprio fabricante da solução.
9.5. Declaração informando que pelo menos um profissional certificado pelo fabricante será o responsável por realizar os serviços de instalação(caso a licença seja fornecida para utilização on- premises), configuração e capacitação.
10. Subcontratação:
10.1. Não serão admitidas, pela PRODEMGE, a subcontratação do objeto.
11. Critérios de aceitabilidade do objeto:
11.1. Todos os requisitos e funcionalidades descritas nesta especificação devem ser fornecidas ativos e licenciados para uso imediato pela PRODEMGE.
11.2. Os itens, conforme as especificações constantes nesse Termo de Referência, serão verificados após a Instalação e Configuração inicial da solução e a emissão do Laudo de Recepção Técnica.
11.3. Os demais itens serão aceitos após a execução da respectiva prestação do serviço constante nesse Termo de Referência com a emissão do “Termo de Aceite de Serviços”.
12. Local de entrega/execução:
12.1. A CONTRATADA deverá enviar, via e-mail xxx@xxxxxxxx.xxx.xx, o código de licença e o site do fabricante do software para download (caso a licença seja fornecida para utilização on-premises).
12.1.1. No e-mail deverá constar, obrigatoriamente, os dados para acesso ao site, além de e-mail e telefone de contato dos serviços de suporte.
13. Forma de entrega do objeto:
13.1. Para o licenciamento do Software a CONTRATADA deverá envia-lo conforme o item 5.8.
13.2. Os serviços de instalação e configuração deverão ser entregues no Data Center da PRODEMGE fisicamente ou remotamente a ser definido pela PRODEMGE caso a licença seja fornecida para utilização on-premises.
13.3. O serviço de capacitação técnica será prestado na modalidade de Ensino a Distância (EAD), online e ao vivo.
13.4. O serviço de suporte será entregue conforme o item 5.10 desse termo de referência.
14. Validade dos produtos:
14.1. Não se aplica
15. Prazo de execução/entrega:
15.1. Prazo máximo para envio do e-mail com o endereço e dados para acesso ou download caso a licença seja fornecida para utilização on-premises: até 7 (sete) dias corridos, após a assinatura do contrato. O contrato será assinado após a homologação do Pregão e sua vigência a partir de sua assinatura.
15.2. Prazo máximo para instalação e configuração: até 7 (sete) dias corridos, a contar a partir da data do recebimento do e-mail contendo o link para download do Software.
15.3. Prazo para início da capacitação: o prazo será alinhado em comum acordo entre as partes, sendo que o prazo final deverá ocorrer em até 15 (quinze) dias corridos após a data de aceite da instalação (caso a licença seja fornecida para utilização on-premises) e configuração do Software.
16. Prazo de garantia / Assistência Técnica:
Não se aplica.
17. Vigência do Contrato:
17.1. O prazo de vigência do contrato deverá ser de 36 (trinta e seis) meses, a contar da data de sua assinatura, conforme previsto no art. 154 do Regulamento Interno de Licitações e Contratos da PRODEMGE e podendo ser prorrogado, no interesse das partes, sempre mediante a assinatura de Termo Aditivo, conforme previstos artigos 20, inciso XIII e 160 do referido Regulamento.
17.2. No prazo de vigência do contrato estão incluídos os serviços de suporte técnico, garantia e atualização do Software.
17.3. A contratação por 36 (trinta e seis) é mais vantajosa financeiramente se comparada a prazos inferiores. Além do custo, tecnicamente esse prazo é necessário para a maturação da ferramenta e para os serviços prestados aos clientes da PRODEMGE.
18. Condições de Pagamento:
18.1. Pelo licenciamento e direito de uso das funcionalidades e demais aplicativos (software), a PRODEMGE pagará à CONTRATADA, em 1 parcela, sendo feito em até 30 (trinta) dias corridos após a emissão do “Laudo de Recepção Técnica”, emitido pela PRODEMGE.
18.2. Pelos serviços de instalação (caso a licença seja fornecida para utilização on-premises) e configuração, a PRODEMGE pagará à CONTRATADA, em 1 parcela em até 30 (trinta) dias corridos após a emissão assinatura do documento “Termo de Aceite de Serviços”, emitido pela PRODEMGE;
18.3. Pelo serviço de capacitação técnica, a PRODEMGE pagará à CONTRATADA, em parcela única, 30 (trinta) dias corridos após a assinatura do documento “Termo de Aceite de Serviços”, emitido pela PRODEMGE após a execução do treinamento.
18.3.1. O faturamento da capacitação ficará condicionado à emissão, pela PRODEMGE, do “Termo de Aceite de Serviços”.
18.4. Pelos serviços de suporte e manutenção, a PRODEMGE pagará à CONTRATADA, em 36 (trinta e seis) parcelas mensais, iguais e sucessivas, após o ateste mensal das faturas.
18.5. O início da prestação dos serviços de Suporte e Manutenção se dará após a emissão do “Laudo de Recepção Técnica” emitido pela PRODEMGE.
18.6. Para o pagamento dos serviços de suporte e manutenção também será considerado o documento “Relatório de Apuração de Níveis de Serviço”, emitido pela PRODEMGE, conforme o Item 22.
18.7. Pelo serviço de garantia (caso a licença seja fornecida para utilização on-premises), a PRODEMGE pagará à CONTRATADA, em 36 (trinta e seis) parcelas mensais, iguais e sucessivas, após o ateste mensal das faturas.
18.8. O início da prestação dos serviços de Garantia se dará após a emissão do “Laudo de Recepção Técnica” emitido pela PRODEMGE(caso a licença seja fornecida para utilização on-premises).
18.9. Os documentos de cobrança dos itens 18.1 ao item 18.4 serão emitidos e entregues no mês da prestação do serviço ou entrega do bem.
18.10.O documento de cobrança dos serviços de suporte e manutenção e de garantia serão emitidos e entregues até o dia 25 (vinte e cinco) do mês subsequente ao da efetiva prestação dos serviços e seu vencimento será programado em até 30 (trinta) dias úteis após o seu recebimento no Correio Central da PRODEMGE, na Rua da Bahia, nº 2.277, Xxxxxx Xxxxxxx, XXX 00000-000, Xxxx Xxxxxxxxx / XX.
18.11.Nenhum pagamento será efetivado sem que a Unidade Administrativa da PRODEMGE, a que incumbir o recebimento dos materiais ou pelo acompanhamento dos serviços, ateste que foram correta e integralmente entregues.
18.12. O atraso na entrega do documento de cobrança implicará prorrogação do vencimento em tantos dias úteis quantos forem os dias de atraso.
19. Natureza orçamentária:
Informação interna.
20. Obrigações das partes
20.1. Da CONTRATADA
20.2. Manter, durante a vigência do contrato, todas as condições que ensejaram sua contratação, atendendo os requisitos constantes neste edital e seus anexos.
20.3. Possuir capacidade técnica operacional para prestar os serviços.
20.4. Realizar o atendimento por pessoal técnico especializado e credenciado.
20.5. Manter uma central de atendimento, registrando de imediato as chamadas em sistema próprio, identificando o usuário, tipificando o problema e solucionando o problema dentro de seu nível de severidade;
20.6. Informar e manter atualizado o número de telefone e/ou endereço de e-mail do atendimento para o registro de chamados pela CONTRATANTE.
20.7. Prestar serviços de assistência técnica e suporte, compreendendo o diagnóstico e identificação de problemas, o apoio técnico na utilização, correção de erros, defeitos (bugs) ou mau funcionamento sobre qualquer funcionalidade, recurso, componente ou módulo disponível de forma nativa ou decorrente de qualquer adaptação ou ajuste (customização) efetuado por ela.
20.8. Responsabilizar-se por todos os custos decorrentes do serviço de suporte técnico ofertado pela solução.
20.9. Arcar, durante a prestação dos serviços, com quaisquer cobranças adicionais decorrentes de eventuais diferenças vinculadas a questões trabalhistas, tais como férias, horas extras, sobreaviso,
etc., bem como os gastos provenientes de deslocamento, estadia e alimentação, caso sejam necessários.
20.10.Garantir a confidencialidade, disponibilidade e integridade dos dados da CONTRATANTE gerenciados pela solução.
20.11.Agendar com a PRODEMGE a elaboração do cronograma relativo a prestação dos serviços de instalação e configuração da solução.
20.12.Fornecer toda a documentação técnica necessária à adequada utilização do Software.
20.13.Realizar a capacitação técnica de segunda-feira a sexta-feira, em horário comercial, entre 08:00h e 18:00h ou em horário definido pela PRODEMGE.
20.14.Todos os custos da capacitação técnica com o instrutor serão de responsabilidade da CONTRATADA, incluindo transporte, hospedagem e alimentação.
20.15.Exigir que seus profissionais, durante o período em que permanecerem nas dependências da PRODEMGE, portem crachá de identificação.
20.16.Fornecer o material didático escrito (manuais) ou eletrônico (arquivo digital).
20.17.A rejeição de qualquer material ou serviço, em virtude de falhas constatadas, não dispensa a CONTRATADA de cumprir as datas de entrega prometidas.
00.00.Xx a rejeição tornar impraticável a entrega do produto contratado nas datas previstas, ou se tornar evidente que a CONTRATADA não será capaz de satisfazer as exigências estabelecidas nesta especificação, a PRODEMGE se reserva o direito de rescindir todas as suas obrigações e de obter materiais e serviços de outro fornecedor. Em tais casos, a CONTRATADA será considerada infratora do contrato e estará sujeito às penalidades aplicáveis.
20.19.O aceite ou aprovação do objeto desta licitação, não exclui a responsabilidade civil nem a ético profissional da CONTRATADA por vícios de quantidade, qualidade ou disparidades com as especificações estabelecidas neste edital verificadas posteriormente, garantindo-se à Administração Pública as faculdades previstas no Art. 18 da Lei nº. 8.078/90 – Código de Defesa do Consumidor.
00.00.Xx assinatura do contrato, deve apresentar:
20.21.Catálogos, prospectos e outros documentos que contenham as especificações técnicas relativas ao produto ofertado. A documentação deve ser fornecida impressa, em mídia DVD/CD ou arquivo digital em formato PDF, em idioma Português do Brasil ou Inglês, contendo orientações para a configuração e operação do produto fornecidos.
20.22.A documentação comprobatória solicitada nos itens 9.4 e 9.5.
20.23.Declaração informando que durante o período de contrato os serviços de suporte e assistência técnica serão de sua inteira responsabilidade incluindo todos os custos correspondentes. Deverá constar que os serviços serão prestados pela própria Licitante, se comprovadamente autorizada pelo fabricante da solução, ou se os serviços de suporte e assistência técnica serão prestados pelo próprio fabricante da solução.
20.24.Da CONTRATANTE
20.25.Garantir o acesso dos especialistas técnicos da PROPONENTE no local da execução dos serviços contratados se necessário.
20.26.Prover toda infraestrutura necessária para execução dos serviços pela PROPONENTE, com segurança, incluindo acesso remoto.
20.27.Proteger adequadamente seu sistema e todos os dados nele contidos sempre que a PROPONENTE efetuar acesso remoto, autorizado pela CONTRATANTE, para ajudá-la a isolar a causa de um problema de software;
20.28.Executar backup ou cópia de segurança;
20.29.Prestar as informações e esclarecimentos necessários ao desenvolvimento das tarefas que se fizerem necessárias a perfeita execução do serviço.
20.30.Proporcionar todas as facilidades para que a PROPONENTE possa desempenhar seus serviços, dentro das especificações da presente especificação.
20.31.Acompanhar a CONTRATADA durante a recepção técnica dos produtos entregues caso necessário.
20.32.Responsabilizar-se pelo local de instalação, preparando-o conforme as instruções, e especificações técnicas ambientais, fornecidas pela CONTRATADA, se for o caso;
20.33.Emitir o documento “Laudo de Recepção Técnica” ao final da Etapa 1 e o documento “Termo de Aceite de Serviços” ao final das demais etapas, descritas abaixo, atestando ou não, a conformidade da entrega em relação aos requisitos especificados:
20.34.Etapa 1 – Pela aquisição e entrega dos equipamentos;
20.35.Etapa 2 – Pelos serviços de instalação(caso a licença seja fornecida para utilização on-premises) e configuração.
20.36.Etapa 3 – Pelos serviços de capacitação.
21. Procedimentos de Fiscalização e Gerenciamento do Contrato:
Informação interna.
22. Níveis de Serviço
22.1. A CONTRATADA deverá disponibilizar os serviços de Suporte Técnico para manutenção, correção de erros e atualização de versão e releases, conforme definido no item 5.10, com compromisso de qualidade de atendimento e suporte técnico, conforme detalhado abaixo:
22.1.1. Todos os chamados de suporte serão classificados em quatro níveis de severidade, de acordo com o quadro a seguir:
Severidade | Escopo |
3 | Um problema que não cause impacto na capacidade da PRODEMGE em manter sua infraestrutura ativa. |
4 | Não é um problema e sim suporte para ajustes ou otimizações. |
Tabela 1 – Níveis de Severidade
• Um chamado somente será considerado contingenciado ou concluído com o aceite da PRODEMGE.
o Solução de Contingência ou de Contorno é uma solução temporária para um problema que não elimina a sua causa raiz. Esta solução restabelece a disponibilidade do ambiente, possibilitando assim a execução plena de suas funções originais, mantendo o mesmo nível de desempenho anterior ao problema.
• Para os chamados classificados como severidade 3 (três), a assistência técnica será prestada em horário comercial, em regime 8 x 5 (remota), com atendimento em até 4 (quatro) horas úteis após o registro do chamado.
o A CONTRATADA terá, no máximo, 72 (setenta e duas) horas uteis, após o registro do chamado, para implantar uma solução definitiva ou de contingência.
o Em sendo utilizada uma solução de contingência ou de contorno, a solução definitiva não poderá ultrapassar 30 (trinta) dias corridos após o registro do chamado.
• Para os chamados classificados como severidade 4 (quatro), a assistência técnica será prestada em horário comercial, em regime 8 x 5 (remota), com atendimento em até 4 (quatro) horas úteis após o registro do chamado.
o A CONTRATADA terá, no máximo, 15 dias corridos para responder ao chamado e solucionar, após o seu registro.
• O descumprimento de qualquer um dos indicadores supracitados acarretará na aplicação de multa de acordo com a legislação em vigor.
• Não será aceito, pela PRODEMGE, a cobrança de eventuais diferenças vinculadas a questões trabalhistas, tais como férias, horas extras, sobreaviso, etc. Adicionalmente, todos os gastos provenientes de deslocamento, estadia e alimentação, caso sejam necessários, já deverão estar incluídos no preço final da proposta.
• A tabela a seguir relaciona, resumidamente, os níveis de severidade e os tempos de atendimento requeridos:
Severidade | Atendimento após abertura do chamado | |||
Regime | Prazo de Atendimento | Solução de Contingência | Solução Definitiva | |
3 | Horário comercial, no regime 8x5 (remota) | Até 4 (quatro) horas úteis* | Até 72 (setenta e duas) horas úteis* | Até 30 (trinta) dias corridos* |
4 | Horário comercial, no regime 8x5 (remota) | Até 4 (quatro) horas úteis* | Suporte / Resposta ao chamado: Até 15 (quinze) dias corridos* | |
Tabela 2 – Níveis de Severidade
(*) prazo após o registro do chamado
7.1 APURAÇÃO DOS INDICADORES DE NÍVEIS DE SERVIÇO
Indicador para mensuração dos prazos de atendimento da MANUTENÇÃO E SUPORTE TÉCNICO
Código do Índice: ICSP – Índice de CHAMADOS solucionados no prazo previsto | |
Atributo | Valor |
Descrição | Percentual de CHAMADOS solucionados, pela CONTRATADA, no prazo previsto, em relação a todos os CHAMADOS efetuados durante o período de apuração. |
Objetivo | Reduzir os atrasos nas resoluções de problemas, defeitos e no esclarecimento de dúvidas e questionamentos técnicos pela PROPONENTE. |
Meta | 99% |
Periodicidade | Mensal |
Unidade de Representação | Valor percentual |
Forma de Cálculo | ICSP = (TCP / TC) x 100 onde: |
TCP = Total de chamados SOLUCIONADOS dentro do prazo máximo definido neste edital, durante o período de apuração. TC = Total de chamados ABERTOS durante o período de apuração. | |
Mecanismo de Medição e Gestão | O mecanismo de medição e a forma de gestão deste indicador estão descritos no item “GESTÃO DOS NÍVEIS DE SERVIÇO” deste anexo. |
Proporcionalização do Pagamento | Meta não atingida implicará em desconto no valor do pagamento mensal, pela PRODEMGE, do serviço de Suporte e Garantia especificado neste edital. O desconto total será calculado aplicando cumulativamente o desconto referente a cada indicador de qualidade especificado neste item e aplicável no período de apuração correspondente. Considera-se a seguinte tabela para o cálculo do desconto referente a este indicador de qualidade: - Sem desconto, se 99% ≤ ICSP ≤ 100% - Desconto de 5%, se 90% ≤ ICSP < 99% - Desconto de 10%, se 85% ≤ ICSP < 90% - Desconto de 15%, se 80% ≤ ICSP < 85% - Desconto de 20%, se ICSP < 80% |
7.2 GESTÃO DOS NÍVEIS DE SERVIÇO
• Pelo menos um dos seguintes mecanismos deve ser disponibilizado pela CONTRATADA para ABERTURA (REGISTRO) de CHAMADOS: telefone, mensagem eletrônica (e-mail), sítio na Internet.
• No caso de ligações telefônicas, o número para contato para a abertura/ registro de CHAMADOS deverá ser de ligação nacional, com idioma português e único para todos os módulos, componentes e funcionalidades da SOLUÇÃO.
• Na ABERTURA (REGISTRO) dos CHAMADOS, a PRODEMGE irá comunicar, via mensagem eletrônica (e-mail), à CONTRATADA as seguintes informações:
o Data e hora de abertura do CHAMADO.
o Código alfanumérico de identificação do CHAMADO.
o Descrição do CHAMADO.
o Nível de Severidade do CHAMADO.
o Identificação (nome completo e matrícula) do solicitante da PRODEMGE.
o Identificação do atendente da CONTRATADA.
• Caso o CHAMADO tenha sido aberto via ligação telefônica, a CONTRATADA deverá confirmar, via mensagem eletrônica (e-mail), a ABERTURA (REGISTRO) do CHAMADO, incluindo as seguintes informações:
o Código alfanumérico de identificação do CHAMADO.
o Data e hora de início do ATENDIMENTO.
o Descrição do serviço a executar.
o Identificação do responsável pelo serviço a executar.
o Data prevista para execução do serviço.
• O CONTIGENCIAMENTO do CHAMADO será confirmado através do aceite pela PRODEMGE na ordem de serviço (OS) correspondente, desde que incluso as seguintes informações:
o Código alfanumérico de identificação do CHAMADO.
o Data e hora de conclusão do contingenciamento.
o Descrição detalhada do serviço executado.
• A CONCLUSÃO definitiva do CHAMADO será confirmada através do aceite pela PRODEMGE na ordem de serviço (OS) correspondente, desde que incluso as seguintes informações:
o Código alfanumérico de identificação do CHAMADO.
o Data e hora de conclusão do serviço executado.
o Descrição detalhada do serviço executado.
• A PRODEMGE deverá validar o relatório e aprová-lo em até 5 (cinco) dias úteis após o recebimento, para a emissão da fatura.
o Em caso de divergências, será convocada uma reunião pela PRODEMGE para ajustes e aprovação do relatório.
• Neste relatório serão apresentados os resultados referentes a todos os INDICADORES DE NÍVEIS DE SERVIÇO cujo período de apuração se encerra no mês que precede à data de sua emissão.
• Caso não ocorra nenhum CHAMADO no período de apuração, a emissão deste relatório será dispensada, considerando, neste caso, que todos os INDICADORES DE NÍVEIS DE SERVIÇO alcançaram a meta prevista.
23. Sanções Cabíveis:
23.1. Conforme disposto na legislação vigente, as previstas no RILC (Regulamento Interno de Licitações e Contratos da PRODEMGE) e no Edital e seus anexos.
24. Demais condições:
24.1. A participação na presente licitação implica a concordância, por parte da CONTRATADA, com todos os termos e condições deste edital e seusanexos.
24.2. Não será permitida a participação de empresas reunidas em consórcio, qualquer que seja sua forma de constituição, dadas as características específicas da contratação dos serviços a serem fornecidos, pois não pressupõem multiplicidade de atividades empresariais distintas (heterogeneidade de atividades empresariais).
24.3. A associação do contratado com outrem, a cessão ou transferência, total ou parcial, bem como a fusão, cisão ou incorporação, não serão admitidas.