ANEXO I TERMO DE REFERÊNCIA
ANEXO I TERMO DE REFERÊNCIA
PREGÃO ELETRÔNICO N° 04/2023 PROCESSO N° 14/2023
1. DO OBJETO
1.1 O objeto desta aquisição é a definição do conjunto de elementos para aquisição de Firewall (UTM), baseado em Appliance a fim de garantir a confiabilidade, integridade, autenticidade e disponibilidade dos principais sistemas e serviços deste Cremepe, com garantia de 36 meses, serviço de instalação configuração, treinamento Hands on e suporte on-site.
ITEM 01
VALOR ESTIMADO DA CONTRATAÇÃO
ITEM | DESCRIÇÃO | QUANTIDADE | UNITÁRIO R$ | UNITÁRIO R$ | TOTAL R$ |
01 | FortiGate – 100F | 02 | R$ 46.084,54 | R$ 67.279,94 | R$ 134.559,88 |
FortiGate – 100F Unified Threat Protection (UTP) (IPS, Advanced Malware Protection, Application Control, Web Filtering, Antispam Service, and 24x7 forticare) | R$ 21.195,40 | ||||
VALOR TOTAL ESTIMADO DO ITEM: R$ 134.559,88 |
2. DA JUSTIFICATIVA
2.1 Com a crescente onda de ataques contra as redes corporativas através da rede mundial de computadores, cada vez mais empresas e instituições necessitam implementar e renovar suas políticas de segurança uma vez que ocorrem ataques diariamente através da web onde são lançados diversos tipos de vírus, malwares e spams que se propagam assustadoramente, causando perdas de dados e sobrecarga nas redes de computadores com lentidão e até inoperância.
2.2 Com o intuito de garantir a aplicação da política de segurança para adição de dispositivos à rede corporativa do Cremepe, faz-se necessário realizar a contratação de
uma solução de segurança de Firewall que seja capaz de proteger acesso a sites da Internet, redução de risco de infecções, redução do consumo do Link Internet, aplicação de regras de firewall definindo os acessos permitidos e bloqueando acessos indevidos Aplicação de regras de IPS para prevenção contra invasões, implementação de VPN (Redes Privadas Virtuais), além de permitir acesso remoto às informações internas somente para pessoal autorizado.
2.3 Firewall é uma solução de segurança que controla o acesso entre servidores e estações locais de uma rede local e as conexões oriundas ou destinadas à internet. É composto por hardware e software que permitem a aplicação de políticas de acesso, definidas com base na política de segurança, normativos e necessidades de acesso aos dispositivos conectados pelo firewall.
3.CONSIDERAÇÕES IMPORTANTES:
3.1 O objeto descrito neste Termo de Referência deverá ser entregue e instalado pelos técnicos da empresa fornecedora, na quantidade e características especificadas e dentro do prazo fixado e respeitando os termos estabelecidos neste Termo de Referência;
3.2 O produto deverá estar licenciado em nome do Cremepe, sendo que o suporte, a manutenção e suas atualizações (upgrade e update) deverão ocorrer sem ônus para este Órgão;
3.3 Acesso telefônico 08h/dia, 5 dias da semana;
3.4 Suporte técnico ao produto fornecido em língua portuguesa.
4.CARACTERÍSTICAS DO ITEM
4.1 Firewall baseado em appliance com funcionalidades de Next Generation Firewall (NGFW);
4.2 Throughput de, no mínimo, 20 Gbps com a funcionalidade de firewall habilitada;
4.3 Suporte a, no mínimo, 1.500.000 conexões simultâneas;
4.4 Suporte a, no mínimo, 55.000 novas conexões por segundo;
4.5 Throughput de, no mínimo, 11 Gbps de VPN IPSec;
4.6 Estar licenciado para, ou suportar sem o uso de licença, 2.000 túneis de VPN IPSEC Site-toSite simultâneos;
4.7 Estar licenciado para, ou suportar sem o uso de licença, 15.000 túneis de clientes VPN IPSEC simultâneos;
4.8 Throughput de, no mínimo, 1 Gbps de VPN SSL;
4.9 Suporte a, no mínimo, 500 clientes de VPN SSL simultâneos;
4.10 Suportar no mínimo 2.5Gbps de Throughput de IPS;
4.11 Suportar no mínimo 1 Gbps de Throughput de Inspeção SSL;
4.12 Suportar no mínimo 2.1 Gbps de throughput de Controle de Aplicação;
4.13 Suportar no mínimo 1.6 Gbps de throughput de NGFW;
4.14 Suportar no mínimo 1 Gbps de throughput de Threat Protection;
4.15 Permitir gerenciar ao menos 64 Access Points;
4.16 Possuir ao menos 18 interfaces 1Gbps Gigabit Ethernet do tipo RJ45;
4.17 Possuir ao menos 02 interfaces 10 Gbps Gigabit Ethernet do tipo SFP+;
4.18 Possuir ao menos 08 interfaces 1Gbps Gigabit Ethernet do tipo SFP;
4.19 Estar licenciado e/ou ter incluído sem custo adicional, no mínimo, 10 sistemas virtuais lógicos (Contextos) por appliance;
4.20 Suporte a, no mínimo, 10 sistemas virtuais lógicos (Contextos) por appliance;
4.21 A solução deve consistir em plataforma de proteção de rede baseada em appliance com funcionalidades de Next Generation Firewall (NGFW), e console de gerência e monitoração; Para maior segurança, não serão aceitos equipamentos de propósito genérico (PCs ou servidores) sobre os quais podem instalar-se e/ou executar um sistema operacional regular como Microsoft Windows, FreeBSD, SUN Solaris ou GNU/Linux;
4.22 Por funcionalidades de NGFW entende-se: reconhecimento de aplicações, prevenção de ameaças, identificação de usuários e controle granular de permissões;
4.23 As funcionalidades de proteção de rede que compõe a plataforma de segurança, podem funcionar em múltiplos appliances desde que obedeçam a todos os requisitos desta especificação;
4.24 A plataforma deve ser otimizada para análise de conteúdo de aplicações em camada 7;
4.25 Todos os equipamentos fornecidos devem ser próprios para montagem em rack 19”, incluindo kit tipo trilho para adaptação se necessário e cabos de alimentação;
4.26 A gestão do equipamento deve ser compatível através da interface de gestão Web no mesmo dispositivo de proteção da rede;
4.27 Os dispositivos de proteção de rede devem possuir suporte a 4094 VLAN Tags 802.1q;
4.28 Os dispositivos de proteção de rede devem possuir suporte a agregação de links 802.3ad e LACP;
4.29 Os dispositivos de proteção de rede devem possuir suporte a Policy based routing ou policy based forwarding;
4.30 Os dispositivos de proteção de rede devem possuir suporte a roteamento multicast (PIM-SM e PIM-DM);
4.31 Os dispositivos de proteção de rede devem possuir suporte a DHCP Relay;
4.32 Os dispositivos de proteção de rede devem possuir suporte a DHCP Server;
4.33 Os dispositivos de proteção de rede devem suportar sFlow;
4.34 Os dispositivos de proteção de rede devem possuir suporte a Jumbo Frames;
4.35 Os dispositivos de proteção de rede devem suportar sub-interfaces ethernet logicas;
4.36 Deve suportar NAT dinâmico (Many-to-1);
4.37 Deve suportar NAT dinâmico (Many-to-Many);
4.38 Deve suportar NAT estático (1-to-1);
4.39 Deve suportar NAT estático (Many-to-Many);
4.40 Deve suportar NAT estático bidirecional 1-to-1;
4.41 Deve suportar Tradução de porta (PAT);
4.42 Deve suportar NAT de Xxxxxx;
4.43 Deve suportar NAT de Destino;
4.44 Deve suportar NAT de Origem e NAT de Destino simultaneamente;
4.45 Deve poder combinar NAT de origem e NAT de destino na mesma política;
4.46 Deve implementar Network Prefix Translation (NPTv6) ou NAT66, prevenindo problemas de roteamento assimétrico;
4.47 Deve suportar NAT64 e NAT46;
4.48 Deve implementar o protocolo ECMP;
4.49 Deve suportar SD-WAN de forma nativa;
4.50 Deve implementar balanceamento de link por hash do IP de origem;
4.51 Deve implementar balanceamento de link por hash do IP de origem e destino;
4.52 Deve implementar balanceamento de link por peso. Nesta opção deve ser possível definir o percentual de tráfego que será escoado por cada um dos links. Deve suportar o balanceamento de, no mínimo, três links;
4.53 Deve implementar balanceamento de links sem a necessidade de criação de zonas ou uso de instâncias virtuais;
4.54 Deve permitir monitorar via SNMP falhas de hardware, uso de recursos por número elevado de sessões, conexões por segundo, número de túneis estabelecidos na VPN, CPU, memória, status do cluster, ataques e estatísticas de uso das interfaces de rede;
4.55 Enviar log para sistemas de monitoração externos, simultaneamente;
4.56 Deve haver a opção de enviar logs para os sistemas de monitoração externos via protocolo TCP e SSL;
4.57 Proteção anti-spoofing;
4.58 Implementar otimização do tráfego entre dois equipamentos;
4.59 Para IPv4, deve suportar roteamento estático e dinâmico (RIPv2, BGP e OSPFv2);
4.60 Para IPv6, deve suportar roteamento estático e dinâmico (OSPFv3);
4.61 Suportar OSPF graceful restart;
4.62 Deve suportar Modo Sniffer, para inspeção via porta espelhada do tráfego de dados da rede;
4.63 Deve suportar Modo Camada – 2 (L2), para inspeção de dados em linha e visibilidade do tráfego;
4.64 Deve suportar Modo Camada – 3 (L3), para inspeção de dados em linha e visibilidade do tráfego;
4.65 Deve suportar Modo misto de trabalho Sniffer, L2 e L3 em diferentes interfaces físicas;
4.66 Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo: Em modo transparente;
4.67 Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo: Em layer 3;
4.68 Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo: Em layer 3 e com no mínimo 3 equipamentos no cluster;
4.69 A configuração em alta disponibilidade deve sincronizar: Sessões;
4.70 A configuração em alta disponibilidade deve sincronizar: Configurações, incluindo, mas não limitado as políticas de Firewall, NAT, QOS e objetos de rede;
4.71 A configuração em alta disponibilidade deve sincronizar: Associações de Segurança das VPNs;
4.72 A configuração em alta disponibilidade deve sincronizar: Tabelas FIB;
4.73 O HA (modo de Alta-Disponibilidade) deve possibilitar monitoração de falha de link;
4.74 Deve possuir suporte à criação de sistemas virtuais no mesmo appliance;
4.75 Em alta disponibilidade, deve ser possível o uso de clusters virtuais, seja ativo-ativo ou ativo-passivo, permitindo a distribuição de carga entre diferentes contextos;
4.76 Deve permitir a criação de administradores independentes, para cada um dos sistemas virtuais existentes, de maneira a possibilitar a criação de contextos virtuais que podem ser administrados por equipes distintas;
4.77 O gerenciamento da solução deve suportar acesso via SSH e interface WEB (HTTPS), incluindo, mas não limitado à exportar configuração dos sistemas virtuais (contextos) por ambas interfaces;
4.78 Controle, inspeção e descriptografia de SSL para tráfego de entrada (Inbound) e Saída (Outbound), sendo que deve suportar o controle dos certificados individualmente dentro de cada sistema virtual, ou seja, isolamento das operações de adição, remoção e utilização dos certificados diretamente nos sistemas virtuais (contextos);
4.79 Deve apoiar um tecido de segurança para fornecer uma solução de segurança holística abrangendo toda a rede;
4.80 O tecido de segurança deve identificar potenciais vulnerabilidades e destacar as melhores práticas que poderiam ser usadas para melhorar a segurança e o desempenho geral de uma rede;
4.81 Deve existir um Serviço de Suporte que oferece aos clientes uma verificação de saúde recorrente com um relatório de auditoria mensal personalizado de seus appliances NGFW;
4.82 .A console de administração deve suportar no mínimo inglês, Espanhol e Português;
4.83 A console deve suportar a administração de switches e pontos de acesso para melhorar o nível de segurança;
4.84 A solução deve suportar integração nativa de equipamentos de proteção de correio eletrônico, firewall de aplicações, proxy, cache e ameaças avançadas;
4.85 Deverá suportar controles por zona de segurança;
4.86 Controles de políticas por porta e protocolo;
4.87 Controle de políticas por aplicações, grupos estáticos de aplicações, grupos dinâmicos de aplicações (baseados em características e comportamento das aplicações) e categorias de aplicações;
4.88 Controle de políticas por usuários, grupos de usuários, IPs, redes e zonas de segurança;
4.89 Firewall deve ser capaz de aplicar a inspeção UTM (Application Control e Webfiltering no mínimo) diretamente às políticas de segurança versus via perfis;
4.90 Além dos endereços e serviços de destino, objetos de serviços de Internet devem poder ser adicionados diretamente às políticas de firewall;
4.91 Deve suportar o padrão de indústria 'syslog' protocol para armazenamento usando o formato Common Event Format (CEF);
4.92 Deve suportar o protocolo padrão da indústria VXLAN;
4.93 A solução deve permitir a implementação sem assistência de SD-WAN;
4.94 Em SD-WAN deve suportar QoS, modelamento de tráfego, rotas por políticas, VPN IPSec;
4.95 A solução deve suportar a integração nativa com soluções de sandboxing, proteção de correio eletrônico, cache e firewall de aplicação Web;
4.96 Os dispositivos de proteção de rede deverão possuir a capacidade de reconhecer aplicações, independente de porta e protocolo;
4.97 Reconhecer pelo menos 1700 aplicações diferentes, incluindo, mas não limitado a: tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, email;
4.98 Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linkedin, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, WhatsApp, 4shared, Dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google- docs.;
4.99 Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da rede Tor;
4.100 Para tráfego criptografado SSL, deve de-criptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante;
4.101 Identificar o uso de táticas evasivas via comunicações criptografadas;
4.102 Atualizar a base de assinaturas de aplicações automaticamente;
4.103 Limitar a banda (download/upload) usada por aplicações (traffic shaping), baseado no IP de origem, usuários e grupos;
4.104 Para manter a segurança da rede eficiente, deve suportar o controle sobre aplicações desconhecidas e não somente sobre aplicações conhecidas;
4.105 Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante;
4.106 Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule etc.) possuindo granularidade de controle/políticas para os mesmos;
4.107 Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos;
4.108 Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o Hangouts chat e bloquear a chamada de vídeo;
4.109 Deve possibilitar a diferenciação de aplicações Proxies (psiphon, freegate etc.) possuindo granularidade de controle/políticas para os mesmos;
4.110 Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: Tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc);
4.111 Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: Nível de risco da aplicação;
4.112 Deve ser possível a criação de grupos estáticos de aplicações baseados em características das aplicações como: Categoria da aplicação;
4.113 Deve ser possível configurar Application Override permitindo selecionar aplicações individualmente;
4.114 Para proteção do ambiente contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall;
4.115 Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e AntiSpyware);
4.116 As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
4.117 Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade;
4.118 Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
4.119 Deve permitir o bloqueio de vulnerabilidades;
4.120 Deve incluir proteção contra ataques de negação de serviços;
4.121 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de decodificação de protocolo;
4.122 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise para detecção de anomalias de protocolo;
4.123 Deverá possuir o seguinte mecanismo de inspeção de IPS: IP Defragmentation;
4.124 Deverá possuir o seguinte mecanismo de inspeção de IPS: Remontagem de pacotes de TCP;
4.125 Deverá possuir o seguinte mecanismo de inspeção de IPS: Bloqueio de pacotes malformados;
4.126 Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc;
4.127 Detectar e bloquear a origem de portscans;
4.128 Bloquear ataques efetuados por worms conhecidos;
4.129 Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
4.130 Possuir assinaturas para bloqueio de ataques de buffer overflow;
4.131 Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
4.132 Identificar e bloquear comunicação com botnets;
4.133 Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
4.134 Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicação;
4.135 Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
4.136 Os eventos devem identificar o país de onde partiu a ameaça;
4.137 Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.138 Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
4.139 Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança;
4.140 Permite especificar política por tempo, ou seja, a definição de regras para um determinado horário ou período (dia, mês, ano, dia da semana e hora);
4.141 Deve possuir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais URLs através da integração com serviços de diretório, Active Directory e base de dados local, em modo de proxy transparente e explícito;
4.142 Suportar a capacidade de criação de políticas baseadas no controle por URL e categoria de URL;
4.143 Deve possuir base ou cache de URLs local no appliance ou em nuvem do próprio fabricante, evitando delay de comunicação/validação das URLs;
4.144 Possuir pelo menos 60 categorias de URLs;
4.145 Deve possuir a função de exclusão de URLs do bloqueio, por categoria;
4.146 Permitir a customização de página de bloqueio;
4.147 Permitir o bloqueio e continuação (possibilitando que o usuário acesse um site potencialmente bloqueado informando o mesmo na tela de bloqueio e possibilitando a utilização de um botão Continuar para permitir o usuário continuar acessando o site);
4.148 Além do Explicit Web Proxy, suportar proxy Web transparente;
4.149 Deve incluir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais aplicações através da integração com serviços de diretório, autenticação via LDAP, Active Directory, E-directory e base de dados local;
4.150 Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários;
4.151 Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários, suportando single sign-on. Essa funcionalidade não deve possuir limites licenciados de usuários ou qualquer tipo de restrição de uso como, mas não limitado à utilização de sistemas virtuais, segmentos de rede, etc;
4.152 Deve possuir integração com Radius para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários;
4.153 Deve possuir integração com LDAP para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em Usuários e Grupos de usuários;
4.154 Deve permitir o controle, sem instalação de cliente de software, em equipamentos que solicitem saída a internet para que antes de iniciar a navegação, expanda-se um portal de autenticação residente no firewall (Captive Portal);
4.155 Deve possuir suporte a identificação de múltiplos usuários conectados em um mesmo endereço IP em ambientes Citrix e Microsoft Terminal Server, permitindo visibilidade e controle granular por usuário sobre o uso das aplicações que estão nestes serviços;
4.156 Deve implementar a criação de grupos customizados de usuários no firewall, baseado em atributos do LDAP/AD;
4.157 Permitir integração com tokens para autenticação dos usuários, incluindo, mas não limitado a acesso à internet e gerenciamento da solução;
4.158 Prover no mínimo um token nativamente, possibilitando autenticação de duplo fator;
4.159 Com a finalidade de controlar aplicações e tráfego cujo consumo possa ser excessivo, (como Youtube, Ustream, etc) e ter um alto consumo de largura de banda, se requer que a solução, além de poder permitir ou negar esse tipo de aplicações, deve ter a capacidade de controlá-las por políticas de máxima largura de banda quando forem solicitadas por diferentes usuários ou aplicações, tanto de áudio como de vídeo streaming;
4.160 Suportar a criação de políticas de QoS e Traffic Shaping por endereço de origem;
4.161 Suportar a criação de políticas de QoS e Traffic Shaping por endereço de destino;
4.162 Suportar a criação de políticas de QoS e Traffic Shaping por usuário e grupo;
4.163 Suportar a criação de políticas de QoS e Traffic Shaping por aplicações, incluindo, mas não limitado a Skype, Bittorrent, YouTube e Azureus;
4.164 Suportar a criação de políticas de QoS e Traffic Shaping por porta;
4.165 O QoS deve possibilitar a definição de tráfego com banda garantida;
4.166 O QoS deve possibilitar a definição de tráfego com banda máxima;
4.167 O QoS deve possibilitar a definição de fila de prioridade;
4.168 Suportar marcação de pacotes Diffserv, inclusive por aplicação;
4.169 Suportar modificação de valores DSCP para o Diffserv;
4.170 Suportar priorização de tráfego usando informação de Type of Service;]
4.171 Deve suportar QOS (traffic-shapping), em interface agregadas ou redundantes;
4.172 Permitir a criação de filtros para arquivos e dados pré-definidos;
4.173 Os arquivos devem ser identificados por extensão e tipo;
4.174 Permitir identificar e opcionalmente prevenir a transferência de vários tipos de arquivos (MS Office, PDF, etc) identificados sobre aplicações (HTTP, FTP, SMTP, etc);
4.175 Suportar identificação de arquivos compactados ou a aplicação de políticas sobre o conteúdo desses tipos de arquivos;
4.176 Suportar a identificação de arquivos criptografados e a aplicação de políticas sobre o conteúdo desses tipos de arquivos;
4.177 Permitir identificar e opcionalmente prevenir a transferência de informações sensíveis, incluindo, mas não limitado a número de cartão de crédito, possibilitando a criação de novos tipos de dados via expressão regular;
4.178 Suportar a criação de políticas por geolocalização, permitindo o trafego de determinado País/Países sejam bloqueados;
4.179 Deve possibilitar a visualização dos países de origem e destino nos logs dos acessos;
4.180 Deve possibilitar a criação de regiões geográficas pela interface gráfica e criar políticas utilizando as mesmas;
4.181 Suportar VPN Site-to-Site e Cliente-To-Site;
4.182 Suportar IPSec VPN;
4.183 Suportar SSL VPN;
4.184 A VPN IPSEc deve suportar Autenticação MD5 e SHA-1;
4.185 A VPN IPSEc deve suportar Diffie-Hellman Group 1, Group 2, Group 5 e Group 14;
4.186 A VPN IPSEc deve suportar Algoritmo Internet Key Exchange (IKEv1 e v2);
4.187 A VPN IPSEc deve suportar AES 128, 192 e 256 (Advanced Encryption Standard);
4.188 Suportar VPN em IPv4 e IPv6, assim como tráfego IPv4 dentro de túneis IPSec IPv6;
4.189 Deve permitir habilitar e desabilitar túneis de VPN IPSEC a partir da interface gráfica da solução, facilitando o processo de troubleshooting;
4.190 Deve permitir que todo o tráfego dos usuários remotos de VPN seja escoado para dentro do túnel de VPN, impedindo comunicação direta com dispositivos locais como proxies;
4.191 Dever permitir criar políticas de controle de aplicações, IPS, Antivírus e filtro de URL para tráfego dos clientes remotos conectados na VPN SSL;
4.192 Suportar autenticação via AD/LDAP, Secure id, certificado e base de usuários local;
4.193 Permitir a aplicação de políticas de segurança e visibilidade para as aplicações que circulam dentro dos túneis SSL;
4.194 Deverá manter uma conexão segura com o portal durante a sessão;
4.195 O agente de VPN SSL ou IPSEC client-to-site deve ser compatível com pelo menos: Windows 8 (32 e 64 bit), Windows 10 (32 e 64 bit), Windows 11 (32 e 64 bit) e Mac OS X (v10.10 ou superior);
4.196 Deverá administrar e controlar de maneira centralizada os pontos de acesso wireless do mesmo fabricante da solução ofertada;
4.197 Quaisquer licenças e/ou softwares necessários para plena execução de todas as características descritas neste termo de referência deverão ser fornecidos;
4.198 Deve permitir a conexão de dispositivos wireless que implementem os padrões IEEE 802.11a/b/g/n/ac e que transmitam tráfego IPv4 e IPv6 através do controlador;
4.199 A solução deverá ser capaz de gerenciar pontos de acesso do tipo indoor e outdoor;
4.200 O controlador wireless deve permitir ser descoberto automaticamente pelos pontos de acesso através de Broadcast, DHCP e consulta DNS;
4.201 A solução deve otimizar o desempenho e a cobertura wireless (RF) nos pontos de acesso por ela gerenciados, realizando automaticamente o ajuste de potência e a distribuição adequada de canais a serem utilizados. A solução deve permitir ainda desabilitar o ajuste automático de potência e canais quando necessário;
4.202 Permitir agendar dia e horário em que ocorrerá a otimização do provisionamento automático de canais nos Access Points;
4.203 O encaminhamento de tráfego dos dispositivos conectados à rede sem fio deve ocorrer de forma centralizada através de túnel estabelecido entre o ponto de acesso e controlador wireless. Neste modo todos os pacotes devem ser tunelados até o controlador wireless;
4.204 Quando tunelado, o tráfego deve ser criptografado através de DTLS ou IPSEC;
4.205 Deve permitir o gerenciamento de pontos de acesso conectados remotamente através de links WAN. Neste cenário o encaminhamento de tráfego dos dispositivos conectados à rede sem fio deve ocorrer de forma distribuída (local switching), ou seja, o tráfego deve ser comutado localmente na interface LAN do ponto de acesso e não necessitará de tunelamento até o controlador wireless;
4.206 Quando o encaminhamento do tráfego for distribuído (local switching) e a autenticação via PSK, caso haja falha na comunicação entre os pontos de acesso e o controlador wireless, os usuários associados devem permanecer associados aos pontos de acesso e ao mesmo SSID. Deve ser possível ainda permitir a conexão de novos usuários à rede wireless;
4.207 A solução deve permitir definir quais redes serão tuneladas até a controladora e quais redes serão comutadas diretamente pela interface do ponto de acesso;
4.208 A solução deve suportar recurso de Split-Tunneling de forma que seja possível definir, através das subredes de destino, quais pacotes serão tunelados até a controladora e quais serão comutados locamente na interface do ponto de acesso;
4.209 A solução deve implementar recursos que possibilitem a identificação de interferências provenientes de equipamentos que operem nas frequências de 2.4GHz e 5GHz;
4.210 A solução deverá detectar Receiver Start of Packet (RX-SOP) em pacotes wireless e ser capaz de ignorar os pacotes que estejam abaixo de determinado limiar especificado dBm;
4.211 A solução deve permitir o balanceamento de carga dos usuários conectados à infraestrutura wireless de forma automática. A distribuição dos usuários entre os pontos de acesso próximos deve ocorrer sem intervenção humana e baseada em critérios como número de dispositivos associados em cada ponto de acesso;
4.212 A solução deve possuir mecanismos para detecção e mitigação de pontos de acesso não autorizados, também conhecidos como Rogue APs. A mitigação deverá ocorrer de forma automática e baseada em critérios, tais como: intensidade de sinal ou SSID. Os pontos de acesso gerenciados pela solução devem evitar a conexão de clientes em pontos de acesso não autorizados;
4.213 A solução deve permitir a configuração individual dos rádios do ponto de acesso para que operem no modo monitor, ou seja, com função dedicada para detectar ameaças na rede sem fio e com isso permitir maior flexbilidade no design da rede wireless;
4.214 A solução deve garantir ao administrador da rede determinar os horários e dias da semana que as redes (SSIDs) estarão disponíveis aos usuários;
4.215 Deve permitir restringir o número máximo de dispositivos conectados por ponto de acesso e por rádio;
4.216 A solução deve implementar o padrão IEEE 802.11r para acelerar o processo de roaming dos dispositivos através do recurso conhecido como Fast Roaming;
4.217 A solução deve implementar o padrão IEEE 802.11v para permitir que a rede influencie as decisões de roaming do cliente conectado através do fornecimento de informações complementares, tal como a carga de utilização dos pontos de acesso que estão próximos;
4.218 A solução deve implementar o padrão IEEE 802.11w para prevenir ataques à infraestrutura wireless;
4.219 A solução deve suportar priorização via WMM e permitir a tradução dos valores para DSCP quando os pacotes forem destinados à rede cabeada;
4.220 A solução deve implementar técnicas de Call Admission Control para limitar o número de chamadas simultâneas;
4.221 A solução deve apresentar informações sobre os dispositivos conectados à infraestrutura wireless e informar ao menos as seguintes informações: Nome do usuário conectado ao dispositivo, Fabricante e sistema operacional do dispositivo, Endereço IP, SSID ao qual está conectado, Ponto de acesso ao qual está conectado, Canal ao qual está conectado, Banda transmitida e recebida (em Kbps), intensidade do sinal considerando o ruído em dB (SNR), capacidade MIMO e horário da associação;
4.222 A solução deve permitir a configuração de quais data rates estarão ativos na ferramenta e quais serão desabilitados para as frequências de 2.4 e 5GHz e padrões 802.11a/b/g/n/ac;
4.223 A solução deve suportar recurso que ignore Probe Requests de clientes que estejam com sinal fraco ou distantes;
4.224 Deve permitir definir o limiar para que os Probe Requests sejam ignorados;
4.225 A solução deve permitir a configuração do valor de Short Guard Interval para 802.11n e 802.11ac em 5GHz; 2.219);
4.226 A solução deve implementar recurso conhecido como Airtime Fairness (ATF) para controlar o uso de airtime alocando porcentagens a serem utilizadas nos SSIDs;
4.227 A solução deve implementar regras de firewall (stateful) para controle do tráfego permitindo ou descartando pacotes de acordo com a política configurada, regras estas que deve usar como critério endereços de origem e destino (IPv4 e IPv6), portas e protocolos;
4.228 A solução deve implementar recurso de web filtering para controle de websites acessados na rede wireless. Deve possuir uma base de conhecimento para categorização dos sites e permitir configurar quais categorias de sites serão permitidos e bloqueados para cada perfil de usuário e SSID;
4.229 A solução deve possuir capacidade de reconhecimento de aplicações através da técnica de DPI (Deep Packet Inspection) que permita ao administrador da rede monitorar o perfil de acesso dos usuários e implementar políticas de controle. Deve permitir o funcionamento deste recurso e a atualização periódica da base de aplicações durante todo o período de garantia da solução;
4.230 A base de reconhecimento de aplicações através de DPI deve identificar com, no mínimo, 1500 (mil e quinhentas) aplicações;
4.231 A solução deve permitir a criação de regras para bloqueio e limite de banda (em Mbps, Kbps ou Bps) para as aplicações reconhecidas através da técnica de DPI;
4.232 A solução deve ainda, através da técnica de DPI, reconhecer aplicações sensíveis ao negócio e permitir a priorização deste tráfego com marcação QoS;
4.233 A solução deve implementar mecanismos de proteção para identificar ataques à infraestrutura wireless. Ao menos os seguintes ataques devem ser identificados:
4.234 Ataques de flood contra o protocolo EAPOL (EAPOL Flooding);
4.235 Os seguintes ataques de negação de serviço: Association Flood, Authentication Flood, Broadcast Deauthentication e Spoofed Deauthentication;
4.236 ASLEAP;
4.237 Null Probe Response / Null SSID Probe Response;
4.238 Long Duration;
4.239 Ataques contra Wireless Bridges;
4.240 Weak WEP;
4.241 Invalid MAC OUI.
4.242 A solução deve implementar mecanismos de proteção para mitigar ataques à infraestrutura wireless. Ao menos ataques de negação de serviço devem ser mitigados pela infraestrutura através do envio de pacotes de deauthentication;
4.243 A solução deve implementar mecanismos de proteção contra ataques do tipo ARP Poisoning na rede wireless;
4.244 A solução deve monitorar e classificar o risco das aplicações acessadas pelos clientes wireless;
4.245 Permitir configurar o bloqueio na comunicação entre os clientes wireless conectados a um determinado SSID;
4.246 Deve implementar autenticação administrativa através do protocolo RADIUS;
4.247 Em conjunto com os pontos de acesso, a solução deve implementar os seguintes métodos de autenticação: WPA (TKIP) e WPA2 (AES);
4.248 Em conjunto com os pontos de acesso, a solução deve ser compatível e implementar o método de autenticação WPA3;
4.249 A solução deve permitir a configuração de múltiplas chaves de autenticação PSK para utilização em um determinado SSID;
4.250 Quando usando o recurso de múltiplas chaves PSK, a solução deve permitir a definição de limite quanto ao número de conexões simultâneas para cada chave criada;
4.251 A solução deve implementar o protocolo IEEE 802.1X com associação dinâmica de VLANs para os usuários com base nos atributos fornecidos pelos servidores RADIUS;
4.252 A solução deve implementar o mecanismo de mudança de autorização dinâmica para 802.1X, conhecido como RADIUS CoA (Change of Authorization) para autenticações 802.1X;
4.253 A solução deve suportar os seguintes métodos de autenticação EAP: EAP-AKA, EAPSIM, EAP-FAST, EAP-TLS, EAP-TTLS e PEAP;
4.254 A solução deve implementar recurso para autenticação dos usuários através de página web HTTPS, também conhecido como Captive Portal;
4.255 A solução deve limitar o acesso dos usuários enquanto estes não informar as credenciais válidas para acesso à rede;
4.256 A solução deve permitir a hospedagem do cative portal na memória interna do controlador wireless;
4.257 A solução deve permitir a customização da página de autenticação, de forma que o administrador de rede seja capaz de alterar o código HTML da página web formatando texto e inserindo imagens;
4.258 A solução deve permitir a coleta de endereço de e-mail dos usuários como método de autorização para ingresso à rede;
4.259 A solução deve permitir que a página de autenticação seja hospedada em servidor externo;
4.260 A solução deve permitir o cadastramento de contas para usuários visitantes na memória interna;
4.261 A solução deve permitir ainda que seja definido um prazo de validade para a conta criada;
4.262 A solução deve garantir que usuários se autentiquem em captive portal que faça uso de endereço IPv6;
4.263 A solução deve possuir interface gráfica para administração e gerenciamento das contas de usuários visitantes, não permitindo acesso às demais funções de administração da solução;
4.264 Após a criação de um usuário visitante, a solução deve enviar as credenciais por e- mail para o usuário cadastrado;
4.265 A solução deve implementar recurso de DHCP Server (IPv4 e IPv6) para facilitar a configuração de redes visitantes;
4.266 A solução deve identificar automaticamente o tipo de equipamento e sistema operacional utilizado pelo dispositivo conectado à rede wireless;
4.267 A solução deve permitir que os usuários sejam capazes de acessar serviços disponibilizados através do protocolo Bonjour (L2) e que estejam hospedados em outras subredes, tais como: AirPlay e Chromecast. Deve ser possível especificar em quais VLANs o serviço será disponibilizado;
4.268 A solução deve permitir a configuração de redes Mesh entre os pontos de acesso por ela gerenciados;
4.269 A solução deve permitir a configuração de rede Mesh entre pontos de acesso indoor e outdoor;
4.270 A solução deve permitir ser gerenciada através dos protocolos HTTPS e SSH via IPv4 e IPv6;
4.271 A solução deve permitir o envio dos logs para múltiplos servidores syslog externos;
4.272 A solução deve permitir ser gerenciada através do protocolo SNMP (v1, v2c e v3), além de emitir notificações através da geração de traps;
4.273 A solução deve permitir que softwares de gerenciamento realizem consultas diretamente nos pontos de acesso via protocolo SNMP;
4.274 A solução deve incluir suporte para as RFCs 1213 (MIB II) e RFC 2665 (Ethernet‑like MIB);
4.275 A solução deve permitir a captura de pacotes na rede wireless e exporta-los em arquivos no formato .pcap;
4.276 A solução deve permitir a adição de planta baixa do pavimento para ilustrar graficamente a localização geográfica e status de operação dos pontos de acesso por ela gerenciados. Deve permitir a adição de plantas baixas nos seguintes formatos: JPEG, PNG, GIF ou CAD;
4.277 A solução deve apresentar graficamente a topologia lógica da rede, representar os elementos da rede gerenciados, além de informações sobre os usuários conectados com a quantidade de dados transmitidos e recebidos por eles;
4.278 A solução deve implementar o gerenciamento unificado e de forma gráfica para redes WiFi e redes cabeadas;
4.279 A solução deve permitir a atualização de firmware do controlador wireless mesmo quando conectado remotamente;
4.280 A solução deve permitir a identificação do firmware utilizado por cada ponto de acesso gerenciado e permitir a atualização individualizada através da interface gráfica;
4.281 A solução deve possuir ferramentas de diagnósticos e debug;
4.282 A solução deve suportar comunicação com elementos externos através de APIs;
4.283 A solução deverá ser compatível e gerenciar os pontos de acesso deste processo;
4.284 A solução SD-WAN deve ser viabilizada com recursos de segurança integrados de Firewall, VPN, Antivírus, IPS e Filtro de Segurança Web;
4.285 A solução SD-WAN deve suportar micro-segmentação de tráfego onde seja possível aplicar políticas de IPS e Antivírus entre segmentos de LAN;
4.286 A solução SD-WAN deve suportar NAT em contexto de saída (NAT Outbound) para um pool de IPs públicos;
4.287 A solução dever ser capaz de prover função Zero Touch Provisioning;
4.288 A solução deve suportar ADVPN entre Ponto Central e Unidades Remotas;
4.289 A configuração VPN IPSec deverá oferecer suporte para versão IKE v2.0;
4.290 A configuração VPN IPSec deverá oferecer suporte para DH Group 14 e 15;
4.291 A solução deve suportar aos seguintes protocolos: IPv6, VRRP ou Equivalente, VRF, BGP, OSPF, RIPv2, 802.1Q, BFD, Dynamic Multipath, Policy Based Routing, Reconhecimento em camada 7 totalmente segregado da camada 4;
4.292 Deve, de forma alternativa, contar com um banco de dados interno, onde seja possível atrelar uma aplicação a um determinado IP ou range de IPs de destino;
4.293 O reconhecimento de aplicações, deve ser atualizado de forma dinâmica e totalmente transparente para o dispositivo;
4.294 O reconhecimento de aplicações deve ser realizado independente de porta e protocolo, inspecionando o payload de pacote de dados;
4.295 Ainda sobre o reconhecimento de Aplicações, a solução deve fornecer o reconhecimento default em camada 7, de, pelo menos, mais de 1.000 aplicações largamente utilizadas em contextos de SaaS, Aplicações na Nuvem, Aplicações Multimídia (Vimeo, YouTube, Facebook, entre outros);
4.296 A solução deve ser capaz de refletir, de forma manual ou automatizada, suas políticas de SDWAN em condições onde a largura de banda é modificada;
4.297 A solução deve ser capaz de medir o Status de Saúde do Link baseando-se em critérios mínimos de: Latência, Jitter e packet loss, onde seja possível configurar um valor de theshold para cada um destes itens, onde será utilizado como fator de decisão nas regras de SD-WAN;
4.298 A solução deve permitir modificar configuração de tempo de checagem em segundos para cada um dos links;
4.299 A solução deve permitir a configuração de políticas de QoS em camada 7, associadas percentualmente à largura de banda da Interface SD-WAN;
4.300 A solução deve permitir a configuração de políticas de QoS em valores onde o máximo corresponda à totalidade de largura de banda disponível no equipamento;
4.301 A solução deve possibilitar a distribuição de peso em cada um dos links que compõe o SDWAN, a critério do usuário, de forma em que o algoritmo de balanceamento utilizado possa ser baseado em: Número de Sessões. Volume de Tráfego. IP de Origem e Destino. Transbordo de Link (Spillover);
4.302 A Alta Disponibilidade provida pela solução de SD-WAN, independente em suas modalidades físicas ou virtual, deverá obedecer aos seguintes critérios: Suportar Balanceamento Ativo, Suportar Balanceamento Ativo Passivo, Suportar Balanceamento de até 4 peers;
4.303 A solução SD-WAN deve oferecer troubleshooting em console de linha de comando ou gráfica, onde seja possível: executar Packet Sniffer do tráfego interessante, filtrando por: IP e Porta, realizar debug detalhado das fases de negociação VPN;
4.304 A solução SD-WAN deve suportar marcação de pacotes DSCP nas definições e regras para tráfego.
5. DA INSTALAÇÃO DOS EQUIPAMENTOS
5.1 A CONTRATADA deverá realizar a instalação dos equipamentos, em ambiente indicado pela CONTRATANTE, em até 60 (sessenta) dias, após a emissão da ordem de serviços;
5.2 Todo serviço de suporte e configuração deve ser realizado por profissional certificado pelo fabricante;
6. PRAZOS DE GARANTIA DOS EQUIPAMENTOS
6.1 Todos os equipamentos deverão ser de um único fabricante com garantia total on site de 36 (trinta e seis) meses contados a partir da data de implantação da solução; sem apresentar qualquer ônus à CONTRATANTE, a garantia deverá ser fornecida diretamente pelo fabricante dos equipamentos, e deverá abranger a manutenção corretiva com a cobertura de todo e qualquer defeito apresentado;
6.2 A CONTRATADA deverá ser o único responsável por todo e qualquer ato de seus empregados, credenciados e representantes, inclusive sobre danos causados a CONTRATANTE ou a terceiros, por negligência, imperícia, imprudência e/ou dolo, durante toda a vigência do contrato;
6.3 A CONTRATADA é a única responsável pelos softwares fornecidos à CONTRATANTE, mesmo que tenham sido adquiridos de terceiros.
7. SUPORTE TÉCNICO E ACORDO DE NÍVEL DE SERVIÇO
7.1 Equipe Técnica:
7.1.1 Composta de técnicos certificados pelo fabricante do software fornecido, e preparada para dar todo o suporte técnico e ajuda necessária para maximizar os benefícios oferecidos pelo software, aumentando a sua performance.
7.2 Suporte Técnico
7.2.1 Suporte técnico ao produto fornecido deverá ser prestado pelo através de contato Telefônico (telefone 0800 do fabricante ou telefone com numeração comum do fornecedor), Sitio de Internet (website do fabricante ou do fornecedor), Correio
Eletrônico (e-mail do fabricante ou do fornecedor) ou no Local (provido pelo fabricante ou pelo fornecedor), em casos de grande emergência;
7.2.2 O suporte técnico deverá ser fornecido pelo fornecedor da solução de segurança ou pelo fabricante, no Brasil e na língua portuguesa;
7.2.3 Deverão ser executados pela empresa contratada serviços de Instalação e Configuração dos equipamentos com supervisão da equipe técnica do Cremepe;
7.2.4 Deverá ser executada pela empresa contratada uma análise da situação atual e elaborar, em conjunto com a equipe interna do Cremepe, um plano de otimização de recursos, rotinas, procedimentos e processos para o novo ambiente de segurança. Essa documentação deverá ser entregue, pela empresa contratada, em formato digital;
7.2.5 A empresa contratada deverá preservar todo ambiente computacional existente, de forma a manter a integridade dos dados, aplicativos e sistemas operacionais em funcionamento;
7.2.6 A empresa contratada deverá preparar o ambiente de modo a operar conforme o estabelecido no plano de otimização de recursos, rotinas, procedimentos e processos;
7.2.7 A instalação e configuração dos equipamentos deveram ser realizada de acordo com o horário de funcionamento do Cremepe, de segunda à sexta-feira, das 8:00 às 17:00h, em horários e dias a serem combinados entre o Cremepe e a contratada;
7.2.8 Deverá ser oferecido treinamento hands-on de atualização tecnológica da solução implantada, com o mínimo de 16 (dezesseis) horas, em dias úteis, nas instalações da contratante, para no mínimo 2 (dois) técnicos do Cremepe;
7.2.9 O treinamento ou hands-on deverá ser iniciado imediatamente após a instalação e configuração;
7.2.10 Todo suporte deve ser prestado por técnicos certificados pelo fabricante;
7.2.11 Caberá ao Cremepe requisitar o suporte técnico, ficando a Contratada obrigada a realizá-lo, de acordo com o nível de severidade e nos prazos máximos assim definidos no item 8;
7.2.12 O suporte técnico deverá ser prestado nas seguintes formas:
7.2.12.1 Plantão Telefônico, Website e E-mail - Serviço de uso ilimitado, no período de 8 (oito) horas por dia, 5 (cinco) dias por semana;
7.2.12.2 No Local (on site) - Serviço de uso ilimitado, prestado em caso de emergência, ou outra necessidade maior e compreendendo os seguintes tipos de atendimento local previstos: suporte para upgrade de versões e releases do software; solução de problemas detectados (troubleshoot); análise e correção de eventos relacionados à segurança e à performance do software e do ambiente; integração dos ambientes da configuração do software na rede do Cremepe. Neste caso a contratada deve possuir plantão de 8 (oito) horas por dia, 5 (cinco) dias por semana, para este tipo de atendimento;
7.2.12.3 Para a execução do suporte técnico, a Contratada deverá contar com equipe técnica certificada pelo fabricante e com suporte ilimitado (quantidade de chamados) ao centro de suporte mundial do fabricante a nível internacional, a fim de garantir transferência diretamente ao fabricante dos problemas de maior complexidade que não tenham sido resolvidos em seu próprio laboratório;
7.2.12.4 O encaminhamento de chamados deverá ser efetuado pelos técnicos responsáveis no prazo máximo conforme os níveis de severidade indicados no item 8.8.3. Após este prazo, em caso de não solução, a Contratada deverá acionar o atendimento, no local designado pelo Cremepe, de acordo com o nível de serviço acordado. O suporte prestado pela empresa terá chamados ilimitados;
7.2.12.5 O atendimento No Local (on site) deve ser provido no Cremepe, na Xxx Xxxxxxxxxxx Xxxxxxx, 000 - Xxxxxxxxxx, Xxxxxx/XX. CEP: 52.020-185;
7.2.12.6 A Contratada deverá responder aos acionamentos, dentro dos prazos fixados neste Termo de Referência, a partir da abertura do acionamento;
7.2.12.7 O término do atendimento deverá ocorrer dentro dos prazos fixados neste Termo de Referência, a partir do contato do técnico da Contratada, responsável pelo atendimento;
7.2.12.8 Entende-se por início do atendimento a hora do contato do técnico de suporte da Contratada com a equipe da Contratante;
7.2.12.9 Entende-se por término de atendimento a disponibilidade do produto para uso em perfeitas condições de funcionamento no local onde está instalado;
7.2.12.10 O nível de severidade será informado pela Contratante no momento da abertura de cada chamado;
7.2.12.11 O nível de severidade poderá ser reclassificado a critério da Contratante. Caso isso ocorra haverá o início de nova contagem de prazo, conforme o novo nível de severidade;
7.2.12.12 Todas as solicitações de suporte técnico devem ser registradas pela Contratada, para acompanhamento e controle da execução do serviço;
7.2.12.13 A Contratada deverá apresentar relatório de atendimento para cada solicitação de suporte, contendo data e hora da solicitação de suporte técnico, do início e do término do atendimento, identificação do problema, providências adotadas e demais informações pertinentes;
7.2.12.14 O relatório de atendimento deverá ser assinado pelo servidor da Contratante que solicitou o suporte técnico.
8 ACORDO DE NÍVEL DE SERVIÇOS (ANS)
8.1 A Contratada deverá prestar serviços de suporte técnico 8 horas por dia, 5 dias por semana, na cidade de Recife (PE), relativos à prestação do serviço objeto deste Termo de Referência, sem ônus para a Contratante;
8.2 Para efeito dos atendimentos técnicos, a Contratada deverá observar os níveis de severidade e respectivos prazos máximos fixados abaixo;
8.3 Todos os chamados, inclusive os que podem resultar em manutenção de natureza corretiva, bem como o fluxo de resolução de problemas, deverão ser documentados. Esta documentação, bem como outras geradas em processos de atendimento, auditorias, manutenção ou configurações, deverá ser entregue à CONTRATANTE através de relatórios (impressos ou em mídia digital) mediante solicitação;
8.4 A CONTRATADA deverá fazer análises dos chamados e enviar recomendações de possíveis treinamentos necessários ao desenvolvimento da equipe da CONTRATANTE;
8.5 A CONTRATADA deverá apresentar relatório contendo as ações adotadas para a solução do problema;
8.6 A CONTRATADA deverá disponibilizar à CONTRATANTE serviço de atendimento de um Gestor do contrato de Xxxxxxx, responsável este que será o ponto focal de todas as necessidades de suporte da CONTRATANTE para casos de escalações ou problemas de atendimento do Suporte Técnico. Caso a CONTRATADA tenha seus laboratórios em outros países que não seja o território nacional, o Gestor deverá ter fluência na língua para facilitar a comunicação entre as partes;
8.7 Mesmo se permitido pela CONTRATANTE, a permanência do técnico além do tempo de resolução do problema, para a continuidade de solução de um problema, não deverá representar qualquer ônus adicional à CONTRATANTE;
8.8 Níveis de Serviço e Tempo Esperados:
8.9 Plantão Telefônico por número 0800 como serviço de uso ilimitado, no período de 8 (oito) horas por dia, 5 (cinco) dias por semana;
8.10No Local (on site) – Serviço de uso ilimitado, prestado em caso de emergência, ou outra necessidade maior e compreendendo os seguintes tipos de atendimento local: suporte para upgrade de versões e releases do software; solução de problemas detectados (troubleshoot); análise e correção de eventos relacionados à segurança e à performance do software e do ambiente; atualização simultânea nos ambientes dos órgãos e entidades da CONTRATANTE;
8.11Para efeito dos atendimentos técnicos, a Contratada deverá observar os níveis de severidade e respectivos prazos máximos fixados abaixo:
NIVEIS DE SERVERIDADE DOS CHAMADOS | |
NIVEL | DESCRIÇÃO |
1 | Serviços totalmente indisponíveis. |
2 | Serviços parcialmente indisponíveis ou com degradação de tempo de resposta no acesso aos aplicativos. |
Tabela de Prazos de Atendimento ao Software |
Modalidade | Prazos | Níveis de Severidade | ||
1 | 2 | 3 | ||
On Site | Início atendimento | 1 hora | 2 horas | 24 horas |
Término atendimento | 2 horas | 4 horas | 72 horas | |
Telefone. Email e web | Início atendimento | 24 horas | ||
Término de atendimento | 72 oras |
8.12 Para o Nível 1, caso o atendimento não seja finalizado até as 20h00min, o técnico não poderá interrompê-lo, devendo continuar até sua finalização, ou a interrupção do mesmo pela Coordenação de Tecnologia e Gestão da Informação. Todo o chamado somente será caracterizado como “encerrado” mediante concordância da Coordenação de Tecnologia e Gestão da Informação;
8.13 Para as situações em que a solução definitiva de problemas no ambiente demande reimplantação, restruturação ou reinstalação do produto, este deverá ser programado e planejado, com a antecedência necessária, de modo a não prejudicar a operação dos demais sistemas da CONTRATANTE;
8.14 A CONTRATADA deverá disponibilizar à CONTRATANTE um serviço preventivo de verificação e atualização de versões ou correções (patches) que se fizerem necessários, específicos para a solução ofertada, sem ônus para a CONTRATANTE;
8.14.1 No caso de necessidade de ações preventivas ou corretivas a CONTRATANTE agendará com antecedência junto a CONTRATADA as implementações das correções, fora do horário comercial, preferencialmente em feriados e finais de semana, sem ônus para a CONTRATANTE;
8.14.2 A CONTRATADA deverá prestar suporte a todos os componentes de software fornecidos que forem necessários para a implementação e utilização da solução, sem ônus para a CONTRATANTE;
8.14.3 A CONTRATADA deverá ainda realizar os seguintes suportes proativos:
8.14.4 Duas avaliações on-site por ano do ambiente da CONTRATANTE, mediante verificação de instalações e configurações de toda a solução, adequando-
as às melhores práticas de segurança, essa atividade deve gerar relatório para posterior melhoria pela equipe da CONTRATANTE;
Visitas técnicas de profissionais certificados pelo fabricante para apoiar nas implementações e nos controles gerados pelas ações proativas.
9. DOS REQUISITOS DO LICITANTE
9.1 A empresa licitante deverá atender a todos os requisitos mínimos exigidos, e no caso da não comprovação acarretará a sua desclassificação;
9.2 Todo suporte deve ser prestado por técnicos certificados pelo fabricante;
9.3 A proponente deverá comprovar, através de atestado/certificado expedido pelo fabricante do objeto desta licitação, ser revenda credenciada a comercializar os produtos ofertados neste certame;
9.4 A proponente deverá comprovar, através de Atestado(s) de Capacidade Técnica- Operacional deverá(ão) ser emitido(s) por entidade da Administração Federal, Estadual ou Municipal, direta ou indireta e/ou empresa privada que comprove ter a empresa licitante forneceu objeto semelhante em quantidade e dimensionamento ao do edital;
9.5 As propostas deverão prever e especificar o período de garantia (mínimo de 36 trinta e seis meses) com atendimento ON-SITE em até 4 horas;
9.6 As propostas deverão prever e especificar a transferência de conhecimento à equipe do Cremepe, de toda solução ofertada com carga horária mínima de 16 horas;
9.7 A Empresa licitante deve apresentar declaração de que dispõe de mão-de-obra adequada e disponível, local, para execução dos serviços;
9.8 A licitante deverá executar o objeto no prazo acordado e de forma direta, sendo-lhe vedada a subcontratação.
10. DAS OBRIGAÇÕES DA CONTRATADA
10.1 A empresa CONTRATADA deverá apresentar obrigatoriamente, comprovação de que possui em seu quadro técnico no mínimo um profissional com a certificação técnica do fabricante nas linhas de produtos ofertadas;
10.2 A licitante deverá apresentar os certificados dos técnicos e comprovação de vínculo destes com a empresa;
10.3Fornecer o material em conformidade ao Termo de Referência.
10.4 Cumprir determinação formal ou instrução complementar da Fiscalização nos prazos previamente estabelecido para a execução do contrato.
10.5Manter-se, durante toda a execução do Contrato, em compatibilidade com as condições de habilitação e qualificação exigidas na licitação.
10.6Não transferir a outrem, no todo ou em parte, o objeto do Pregão Eletrônico, sem prévia anuência do CREMEPE.
10.7Designar uma pessoa responsável que esteja a par de todo o andamento do contrato.
10.8Responsabilizar-se pelos danos causados diretamente à Administração ou a terceiros.
10.9Responsabilizar-se pelos encargos trabalhistas, previdenciários, fiscais e comerciais resultantes da execução do contrato.
10.10 Responder por quaisquer danos, pessoais ou materiais, ocasionados em face da execução do objeto desta licitação.
10.11 Sujeitar-se a mais ampla e irrestrita fiscalização por parte da CONTRATANTE, prestando todos os esclarecimentos necessários, atendendo às reclamações formuladas e cumprindo todas as orientações da mesma, visando o fiel desempenho das atividades.
10.12 Prestar esclarecimentos quando forem solicitados pela CONTRATANTE cujas reclamações se obrigam a atender prontamente.
10.13 Dar ciência imediata, por escrito, à CONTRATANTE sobre qualquer anormalidade que verificar quanto à execução do objeto contratado.
10.14 Xxxxxx a compatibilidade com as obrigações assumidas durante toda execução do contrato.
10.15 A Contratada deve cumprir todas as obrigações constantes no Edital, seus anexos e sua proposta, assumindo como exclusivamente seus os riscos e as despesas decorrentes da boa e perfeita execução do objeto.
10.16 Efetuar a entrega do objeto em perfeitas condições, conforme especificações, prazo e local constantes no Edital e seus anexos, acompanhado da respectiva nota fiscal, na qual constarão as indicações referentes a: marca, fabricante, modelo, procedência e prazo de garantia.
10.17 Responsabilizar-se pelos vícios e danos decorrentes do objeto, de acordo com os artigos 12, 13 e 17 a 27, do Código de Defesa do Consumidor (Lei no 8.078, de 1990);
10.18 Substituir, reparar ou corrigir, às suas expensas, no prazo fixado neste Termo de Referência, o objeto com avarias ou defeitos;
10.19 Comunicar à Contratante, no prazo máximo de 24 (vinte e quatro) horas que antecede a data da entrega, os motivos que impossibilitem o cumprimento do prazo previsto, com a devida comprovação;
10.20 Arcar com despesas dos tributos, encargos trabalhistas, previdenciários, fiscais, comerciais, taxas, seguros, deslocamento de pessoal, prestação de garantia, transporte de carga/descarga, para entrega do objeto, bem como custos com embalagens e encaixotamento para guarnição dos itens durante a entrega e quaisquer outras que incidam ou venham a incidir na execução do objeto contratado.
10.19 Cumprir todas as obrigações constantes no Edital, seus anexos e sua proposta, assumindo como exclusivamente seus os riscos e as despesas decorrentes da boa e perfeita execução do objeto.
10.20 Efetuar a entrega e a instalação do objeto em perfeitas condições, conforme especificações, prazo e local constantes no Edital e seus anexos, livre de todos os custos envolvidos na contratação, tais como fretes, transportes, mão de-obra, seguros etc.
10.21 Discriminar na Nota Fiscal o valor unitário e total dos objetos entregues.
10.22 Entregar os bens, objeto deste termo de referência, novos, sem uso e que estejam em linha de produção, vedado o uso de material improvisado, peças adaptadas ou recondicionadas.
10.23 Substituir, reparar ou corrigir, às suas expensas, no prazo fixado neste Termo de Referência, o objeto com avarias ou defeitos.
10.24 Comunicar ao CONTRATANTE, por escrito, no prazo máximo de 2 (dois) dias úteis que antecede à data da entrega, qualquer irregularidade que comprometa ou inviabilize a entrega do objeto, com a devida comprovação.
10.25 Comunicar, por escrito, eventual atraso ou paralisação na entrega do objeto, apresentando razões justificadoras, que serão objeto de apreciação.
10.26 Responsabilizar-se por todo e qualquer acidente do trabalho, dano ou prejuízo causado ao patrimônio ou de terceiros, decorrente deste processo aquisitivo.
10.27 Ressarcir os eventuais prejuízos causados ao Cremepe e/ou a terceiros, provocados por ineficiência ou irregularidades cometidas na execução das obrigações assumidas.
10.28 Não subcontratar, no todo ou em parte, os serviços objeto do Edital e seus anexos.
11 DAS OBRIGAÇÕES DA CONTRATANTE
11.1Nos termos do art. 67, § 1º, da Lei nº 8.666 de 21 de junho de 1993, o CREMEPE designará um representante para acompanhar e fiscalizar a execução do Contrato, anotando em registro próprio todas as ocorrências relacionadas com a execução e determinando o que for necessário à regularização das falhas ou defeitos observados.
11.2Proporcionar todas as facilidades para que a Contratada possa cumprir suas obrigações dentro dos prazos e condições estabelecidas no contrato.
11.3Rejeitar, no todo ou em parte, o material caso esteja em desacordo com as respectivas especificações.
11.4Solicitar a substituição do material, caso não atenda as especificações, de acordo com o estabelecido no Edital e seus anexos.
11.5Notificar a Contratada, por escrito, sobre imperfeições, falhas ou irregularidades constatadas no produto adquirido, para que sejam adotadas as medidas corretivas necessárias.
11.6Aplicar à Contratada as sanções administrativas regulamentares e contratuais cabíveis.
11.7Manifestar-se formalmente em todos os atos relativos à execução do contrato, em especial, aplicação de sanções e alterações do mesmo.
11.8Prestar as informações e os esclarecimentos que venham a ser solicitados pela Contratada.
11.9Efetuar o pagamento do produto adquirido nas condições estabelecidas no contrato.
11.10 Receber o objeto no prazo e condições estabelecidas no Edital e seus anexos.
11.11 Verificar minuciosamente, no prazo fixado, a conformidade dos bens recebidos provisoriamente com as especificações constantes do Edital e da proposta, para fins de aceitação e recebimento definitivo.
11.12 Comunicar à Contratada, por escrito, sobre imperfeições, falhas ou irregularidades verificadas no objeto fornecido, para que seja substituído, reparado ou corrigido.
11.13 Acompanhar e fiscalizar o cumprimento das obrigações da Contratada, através de comissão/servidor especialmente designado.
11.14 Efetuar o pagamento à Contratada no valor correspondente ao fornecimento do objeto, no prazo e forma estabelecidos no Edital e seus anexos;
11.15 A Administração não responderá por quaisquer compromissos assumidos pela Contratada com terceiros, ainda que vinculados à execução do presente Termo de Contrato, bem como por qualquer dano causado a terceiros em decorrência de ato da Contratada, de seus empregados, prepostos ou subordinados.
12.DA VISITA AO LOCAL DE INSTALAÇÃO
12.1 Os interessados, a seu critério, poderão visitar o local, o agendamento deverá ser feito com antecedência mínima de 24 horas, por meio dos telefones (00) 000000000 ou
(00) 00000000, de segunda a sexta‐feira, das 9:00 às 15:00, acessórios e acabamentos - localizados no seguinte endereço:
Recife: Rua Xxxxxxxxxxx Xxxxxxx, nº 203 – Espinheiro – CEP: 50.020-185, Recife-PE.
12.2 As visitas devem ser feitas até 1 (um) dia antes da licitação.
12.3 Caso a empresa julgue desnecessária a visita ao local de execução do objeto licitado, aceitará todas as informações necessárias e especificações técnicas pertinentes para a execução do objeto licitado e de todos os aspectos que possam influir direta ou indiretamente na execução do mesmo.
12.4 Nenhum licitante, em nenhum momento, poderá alegar desconhecimento do da estrutura predial, muito menos como pretexto para não executar qualquer um dos serviços nos termos requeridos neste instrumento.
12.5 Possíveis indefinições, omissões, falhas ou incorreções das especificações e projeto ora fornecido não poderão, em nenhuma hipótese, constituir pretexto para o FORNECEDOR cobrar serviços extras e/ou alterar a composição de seus preços unitários.
13. DOCUMENTAÇÃO TÉCNICA
13.1 Após a emissão da ordem de serviço a empresa DEVERÁ apresentar documentação técnica e contendo no mínimo os módulos descritos a seguir:
13.1.1 Documentação das Funcionalidades: este documento conterá as características técnicas do produto e suas funções, procedimentos e parâmetros de configuração, tabelas, ilustrações etc.;
13.1.2 Documentação de Instalação e Operação: este documento conterá informações quanto aos procedimentos de instalação e operação, comandos e teste aplicáveis, procedimentos de inicialização, de configuração e gerência de desempenho, de falhas e de segurança pertinentes.
13.2 A Contratada deverá apresentar juntamente com a documentação dos produtos, certificado ou título, concedido pelo fabricante, que comprove o credenciamento da Contratada como representante autorizada;
13.3 A Contratada deverá apresentar juntamente com a documentação do produto, as licenças dos produtos fornecidos necessários para a implantação;
13.4 A documentação dos produtos abrange: manuais operacionais dos produtos, documento com as especificações técnicas dos produtos e seus recursos, as licenças dos produtos, mídias contendo os produtos para instalação fornecidos e toda documentação acessórias relativas aos produtos fornecidos.
14. LOCAL DE ENTREGA DE EQUIPAMENTOS
14.1 Os equipamentos devem ser entregues pela CONTRATADA no endereço: Xxx Xxxxxxxxxxx Xxxxxxx, 000, Xxxxxxxxxx, Xxxxxx/XX.
14.2 A CONTRATADA deverá realizar a entrega dos equipamentos, em ambiente indicado pela CONTRATANTE, em até 60 (sessenta) dias uteis após o recebimento do empenho.
15. UTILIZAÇÃO DE SOFTWARES
15.1 Qualquer instalação de software em ambiente da CONTRATADA será precedida de justificativa, e somente será autorizado se for compatível com as exigências da CONTRATANTE e de seu provedor. Necessidades outras, além das descritas acima, serão arcadas pela própria CONTRATADA, as quais não serão passíveis de cobranças adicionais.
16. PROPREIDADE INTELECTUAL
16.1 A CONTRATADA entregará à CONTRATANTE toda e qualquer documentação gerada em função da prestação de serviços decorrente deste Termo de Referência;
16.2 A CONTRATADA concorda que os direitos patrimoniais autorais relativos aos resultados produzidos durante a vigência do Contrato serão de propriedade exclusiva da CONTRATANTE, devidamente amparada pela Lei nº 9.610/1998, de Diretos Autorais, respeitados os direitos morais do autor. Entendem-se por resultados quaisquer estudos, relatórios, especificações, descrições técnicas, protótipos, dados, esquemas, plantas, desenhos, diagramas, páginas na Intranet e Internet e documentação didática em papel ou em mídia eletrônica;
16.3 A CONTRATADA ficará proibida de veicular e comercializar todos e quaisquer produtos e informações geradas ou conhecidas relativas ao objeto da prestação dos serviços, salvo se houver a prévia autorização por escrito da CONTRATANTE.
17. CONDIÇÕES GERAIS
17.1 Na proposta de preços fornecida pela LICITANTE, já deverão estar computados todos os custos necessários decorrentes do fornecimento da solução, objeto desta contratação, bem como já deverão estar incluídos todos os impostos, encargos trabalhistas, previdenciários, fiscais, comerciais, taxas, seguros, deslocamentos de pessoal e quaisquer outros que incidam direta ou indiretamente.
Recife, 10 de fevereiro de 2023.