TERMO DE REFERÊNCIA

Diretoria de Tecnologia - Unidade de Construção II Brasília, 12/08/2022

TERMO DE REFERÊNCIA

Contratação de Solução Enterprise de Agregação e Gestão Centralizada de Logs com a guarda dos logs, disponibilizada na modalidade Software como Serviço (SaaS), para 30 TB (terabytes) de tráfego por dia de logs provindo de servidores, dispositivos de rede e segurança, kubernets e aplicações diversas em nuvem híbrida contemplando manutenção, atualização de versões, suporte técnico, e transferência de tecnologia pelo período de 36 (trinta e seis) meses, prorrogáveis até 60 (sessenta) meses.

IMPORTANTE

• O cronograma estipulado deverá ser cumprido rigorosamente pelos Proponentes. Eventuais modificações nos prazos poderão ocorrer a critério do Banco do Brasil.

Etapa	Data
Publicação	Até 15/08/2022
Recebimento de dúvidas dos Proponentes	Até 22/08/2022
Esclarecimento de dúvidas aos Proponentes	Até 25/08/2022
Recebimento da Resposta dos Proponentes	Até 31/08/2022

• As dúvidas decorrentes da interpretação desta RFP deverão ser encaminhadas ao endereço eletrônico xxxxx.xxxxx@xx.xxx.xx, sob o título: RFP – Gestão de Logs – DÚVIDA. As mensagens deverão conter a identificação da empresa, o nome do responsável e telefone para contato. Os esclarecimentos às dúvidas serão divulgados por esta mesma via.

• A resposta do Proponente a esta consulta, por meio de Proposta Comercial, deve ser encaminhada em meio digital para os endereços eletrônicos citados acima, sob o título: RFP – Gestão de Logs –

– RESPOSTA.

• A Proposta Técnica Comercial deverá apresentar preços com formato da tabela apresentada no item

4.4 deste documento.

• Apreciaríamos ainda, a apresentação, caso haja, de sugestões de qualquer natureza, inclusive com indicação de cenários alternativos que possam vir a configurar melhoria e/ou vantajosidade ao Banco do Brasil.

• Esta RFP não constitui compromisso de contrato de venda ou fornecimento de quaisquer bens ou serviços entre o Banco do Brasil S. A. e o Proponente.

TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE SOLUÇÕES DE TI

1) Objeto:

Contratação de Solução Enterprise de Agregação e Gestão Centralizada de Logs com a guarda dos logs, disponibilizada na modalidade Software como Serviço (SaaS), para para 30 TB (terabytes) de tráfego por dia de logs provindo de servidores, dispositivos de rede e segurança, kubernetes e aplicações diversas em nuvem híbrida contemplando manutenção, atualização de versões, suporte técnico, e transferência de tecnologia pelo período de 36 (trinta e seis) meses, prorrogáveis até 60 (sessenta) meses, nos termos e condições deste documento.

2) Justificativas para contratação:

2.1. O Banco do Brasil necessita de uma solução para gerenciamento de Logs.

3) Definições do futuro procedimento licitatório:

3.1. Habilitação

Flexibilização de requisitos habilitação:

Haverá flexibilização dos requisitos de habilitação? ( X ) Não ( ) Sim

4) Especificações do Edital:

4.1. Prazo de Validade das Propostas: 90 (noventa dias) dias corridos.

4.2. Documentação Técnica:

4.2.1. O PROPONENTE deve apresentar a documentação a seguir, até a data da assinatura do contrato:

4.2.1.1. Declaração que assegure:

4.2.1.1.1. ter experiência com Bancos e mínimo de 5 anos de atuação com soluções de Agregação e Gerenciamento Centralizado de Logs;

4.2.1.1.2. o cumprimento da legislação em vigor, conforme disposto na Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018;

4.2.1.1.3. o acesso do Contratante aos dados e às informações a serem processados e armazenados pelo Proponente;

4.2.1.1.4. a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processadas e armazenados pelo Proponente;

4.2.1.1.5. o acesso do Contratante aos relatórios elaborados por empresa de auditoria especializada e independente PROPONENTE pelo Proponente, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

4.2.1.1.6. o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

4.2.1.1.7. a identificação e a segregação dos dados dos clientes do Contratante por meio de controles físicos ou lógicos;

4.2.1.1.8. a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes do Contratante;

4.2.1.1.9. a adoção de controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

4.2.1.2. Certificações com validade vigente na data de assinatura do contrato, referentes à infraestrutura do data center e da Solução:

4.2.1.2.1. ISO/IEC 27001:2013 - Especifica as Melhores práticas para o Gerenciamento e Controles de Segurança da Informação;

4.2.1.2.2. ISO/IEC 27017:2015 - Certifica a implementação de Controles de Segurança da Informação específica para nuvem;

4.2.1.2.3. ISO/IEC 27018:2019 - Assegura Informação Pessoal Identificável (Personally Identifiable Information - PII) na nuvem;

4.2.1.2.4. As certificações poderão ser apresentadas nas suas versões originais em inglês.

4.2.1.3. Alternativamente às certificações, o PROPONENTE poderá demonstrar que atende a todos os objetivos e controles das normas, mediante apresentação de políticas, procedimentos e outros documentos. O PROPONENTE deverá ainda, apresentar documentação auxiliar com a sinalização ponto a ponto, da seção e página da documentação técnica que comprova o atendimento de cada requisito das certificações.

4.2.1.4. Em caso de empresa representante do fabricante, o PROPONENTE deverá comprovar:

4.2.1.4.1. ser representante oficial e autorizada a comercializar os serviços do fabricante. Essa comprovação deverá ser feita por meio de declaração do fabricante ou indicação da URL do site oficial desse;

4.2.1.4.2. que terá acesso ao suporte do provedor da nuvem ou do fabricante, quando necessário, sem custos adicionais para a Contratante, de forma a garantir os níveis mínimos de serviço exigidos previstos neste documento. Essa comprovação deverá ser feita por meio de declaração do provedor ou através do site oficial deste, sendo indicada a URL do site.

4.2.1.5. Em caso do PROPONENTE ser empresa representante, os documentos deverão ser apresentados em nome do fabricante, sendo facultado ao Contratante promover diligência destinada a esclarecer ou complementar informações.

4.2.1.6. Na etapa de CONTRATAÇÃO, todos os documentos emitidos em língua estrangeira deverão ser entregues acompanhados da tradução para língua portuguesa, efetuada por tradutor juramentado.

4.3. Etapa de Homologação (a ser aplicada quando do Edital):

4.3.1. Relação de Documentos:

4.3.1.1. O proponente deverá disponibilizar manuais do usuário (formato digital) em língua portuguesa (Brasil) ou inglesa, com informações detalhadas e atualizadas sobre a instalação, configuração, operação e administração para solução. Os manuais poderão ser enviados por correio eletrônico ao endereço a ser informado pelo Banco. Os manuais deverão estar disponíveis na Internet, para consulta a qualquer momento.

4.3.1.2. A homologação documental é a fase em que os documentos técnicos enviados pelo proponente são avaliados para verificar o atendimento aos requisitos descritos nesta especificação.

4.3.1.3. Para homologação documental o proponente deverá apresentar documentação técnica em português (Brasil) ou inglês, fornecida pelo fabricante (podendo ser complementada com prints de telas da solução) em meio digital, que demonstre o atendimento aos requisitos técnicos. Caso não seja possível a demonstração do atendimento de algum item específico, poderá ser enviada uma declaração fornecida pelo fabricante destinada ao Banco do Brasil e com referência explícita a este processo de aquisição, que será analisada pelo Banco.

4.3.1.4. O proponente deverá entregar a documentação para homologação documental em até 10 (dez) dias corridos após convocação e o Banco terá até 10 (dez) dias corridos para efetuar a análise.

4.3.1.5. Juntamente com a documentação técnica deverá ser entregue documento que indique a localização da informação que comprova o atendimento a cada um dos requisitos da especificação técnica.

4.3.1.6. O arquivo (formato .PDF, .XLS ou .XLSX), deve conter, além da identificação (timbre/logo) do proponente, os seguintes campos, conforme modelo abaixo:

Item do Edital	Descrição item Edital	Nome do Arquivo	Página	Localização/Parágrafo	Url
nnn	Descrição do requisito	Manual nnn	nnn	nnn	Link para acesso via Internet

4.3.1.7. Em nenhuma hipótese e/ou circunstância, a documentação técnica deverá conter trechos transcritos ou adaptados do edital para indicar o atendimento de quaisquer requisitos. Caso esta regra não seja cumprida, a proposta será invalidada.

4.3.1.8. O Banco, ao seu critério, poderá solicitar a disponibilização da Solução em até 10 dias úteis para realização de testes para validação de requisitos.

4.4. Proposta:

Na proposta comercial, o PROPONENTE deverá discriminar o preço mensal/unitário dos serviços, incluindo todos os custos necessários para o pleno atendimento do objeto do Termo de Referência, nos moldes das tabelas abaixo:

Custos (R$)	Outsourcing de Infraestrutura Hardware	Manutenção e Suporte Hardware	Outsourcing de Infraestrutura Software	Manutenção e Suporte Hardware	Total 36 meses	Total 60 meses
Valor mensal (R$)

Faixa de Licenças	Descrição	Ingestão/dia	Valor da Infraestrutura	Hot (dados indexados)	Valor unitário por TB/Mês Hot (R$)	Cold (dados em descanso)	Valor unitário por TB/mês Cold (R$)
1ª faixa	Quantidade de Tráfego	Até 30TB não compactado		Até 300 TB armazenados		Por TB armazenado
Adicional	Quantidade de Tráfego	TB adicional		TB adicional		TB adicionais

Transferência de Tecnologia (item 7.5)	Valor por Evento (R$)	Valor Total (R$)
Turma remota
Turma presencial

4.4.1. Observações em relação aos dados da proposta:

4.4.2.1. Ingestão/dia – Quantidade de em bytes de tráfego de logs gerados na infraestrutura do BB, sem compactação, que deve ser capturado, tratado, compactado e enviado para a nuvem por ferramentas do fabricante ou ferramentas suportadas pelo fabricante e fornecedor

4.4.2.2. Hot – Quantidade de logs que devem ser guardados de forma que permitam a execução rápida buscas e correlações de logs de diferentes origens, em armazenamento de curto prazo. Deve suportar menos 15 dias de logs;

4.4.2.3. Cold – Quantidade de logs que migram de hot para serem armazenados por longo prazo; A precificação pode ser feita pelo período

4.4.2.4. Nem todos os logs que estão em hot migrarão para cold. A critério do BB, logs que têm curto prazo de validade serão descartados após a fase hot.

4.4.3. A Proposta deve conter o descritivo de toda a infraestrutura de hardware e software que serão necessários para funcionamento da solução apresentada.

4.4.4. Todas as despesas inerentes a tributos e serviços agregados deverão estar inclusas nos valores apresentados na proposta comercial.

4.4.5. A proposta deverá conter declaração do Proponente de que se encontra apto a prestar todos os serviços pertinentes ao serviço ofertado e às regras de negócio envolvidas. Os preços informados deverão ser expressos em moeda corrente nacional, neles inclusos os acréscimos e despesas, como impostos, sem inclusão de qualquer encargo financeiro ou previsão inflacionária.

4.4.6. Nos preços que forem ofertados estarão incluídos todos os custos com salários, encargos sociais, previdenciários e trabalhistas de todo o pessoal do Proponente, aluguéis, administração, impostos, taxas, emolumentos e quaisquer outros custos que, direta ou indiretamente, se relacione com o fiel cumprimento pelo Proponente de suas obrigações.

4.4.7. O Proponente deve indicar os países e a região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados. Caso ocorra alteração de região onde os serviços estão hospedados ou serão disponibilizados, a Contratante deverá ser previamente comunicado.

5) Subcontratação / Parcela(s) de maior relevância para o ramo da empresa contratar

5.1. Não será permitida subcontratação para a prestação dos serviços de manutenção, atualização tecnológica e implantação com configurações iniciais da Solução.

5.2. Não será considerada subcontratação a contratação através de representante comercial ou revenda autorizada pela fabricante da Solução. Neste caso, os deveres do representante comercial ou revenda autorizada se equiparam aos do fabricante da Solução, ambos tratados neste documento como Proponente.

5.3. Não será considerada subcontratação a contratação de nuvem pública ou privada junto a provedor especializado para a prestação dos serviços objeto deste documento. Neste caso, o Proponente continuará a ser responsável por atender as condições presentes neste documento, aos requisitos funcionais e não-funcionais presentes, bem como o NMSE previsto neste documento.

6) Garantia Financeira da Execução Contratual

6.1. Será exigida no percentual equivalente a 5% do valor do contrato.

6.2. A garantia financeira visa cobrir custos em caso de inexecução contratual.

7) Especificações técnicas e condições de prestação dos serviços

7.1. Definição

7.1.1. A solução deverá ser ofertada na modalidade de SaaS (Software as Service), ou seja, o Proponente deverá disponibilizar o direito ao Contratante ao uso da solução pelo período de vigência do contrato e deverá prover a infraestrutura para armazenamento e processamento da informação e consoles de consulta em estrutura própria com acesso pela internet, incluindo suporte técnico, manutenção, atualização tecnológica e implantação com configurações iniciais.

7.1.2. Transferência de Tecnologia com o objetivo de auxiliar o Contratante na internalização do tecnologia técnico e operacionalização da solução.

7.1.3. Dos requisitos de arquitetura da solução:

7.1.3.1 Descreva resumidamente a arquitetura utilizada na solução.

7.1.3.2 Descreva as tecnologias utilizada na solução (por exemplo: java, .NET, etc.)

7.1.3.3 A solução deve ser ofertada na modalidade Software as a Service (SaaS), com partes do processo como captura, compactação e envio sendo executados on-premise.

7.1.3.4 A solução deve ser Cloud Native.

7.1.3.5 Não será permitida a composição de softwares de terceiros para o atendimento aos requisitos técnicos, exceto se nativamente suportado pela solução e com o respectivo suporte técnico do fornecedor/fabricante.

7.1.3.6 Apresentar Benchmark com uma solução de tamanho similar ao do Banco do Brasil

Ambiente de processamento dos componentes da solução

7.1.3.7 Especificar requisitos mínimos e recomendados de memória e processador para rodar a solução (parte on-premise).

7.1.3.8 Especificar quais nuvens públicas em que solução pode ser executada.

7.1.3.9 Especifica se a parte da solução que roda on-premise suporta o processamento em ambiente virtualizado ou utiliza appliance.

7.1.3.10 Caso exigido na aquisição, o provedor de software fornece software servidor de aplicação com suporte, sem ônus adicionais. Citar qual produto e versão seria fornecido

7.1.3.11 Caso exigido na aquisição, o provedor de software fornece software de sistema operacional para execução de servidor de aplicação com suporte, sem ônus adicionais. Citar qual produto e versão seria fornecido

7.1.3.12 Cite outras Tecnologias necessárias para processamento dos componentes da solução.

Dados e Armazenamento

7.1.3.13 A ferramenta deverá permitir o Backup e Recovery de seu Banco de Dados, bem como das Configurações de Software estabelecidas.

7.1.3.14 Deverá permitir a execução de Backups sem paradas do sistema.

7.1.3.15 Deverá permitir a execução de Backups automatizados, permitindo a sua programação/agendamento.

7.1.3.16 Os processos de alta disponibilidade e mecanismos para a recuperação de desastres devem ser feitos via interface gráfica, sem depender de comandos manuais, scripts ou adaptações.

7.1.3.17 A solução deve possibilitar a utilização de criptografia do banco de dados utilizado pela solução, para armazenar as senhas das credenciais gerenciadas por ela. Deve ainda ser compatível com os seguintes métodos de criptografia: AES com chaves de 256 bits; e FIPS 140-2.

Capacidade

7.1.3.18 Deve permitir o acesso simultâneo de diversos usuários sem comprometimento de desempenho e/ou estabilidade.

7.1.3.19 Informar quantidade de usuários simultâneos.

7.1.3.20 Informar a forma de escalabilidade tanto da parte em nuvem quanto on-premise

7.1.3.21 Informar, caso possua, como é feito o balanceamento de carga

7.1.3.22 Deve implementar mecanismo de alta disponibilidade para todos os componentes on-premise.

7.1.3.23 Deve possibilitar a implementação de soluções de recuperação de desastres (disaster recovery), utilizando locais distintos de processamento. Informar a precificação para essa solução.

7.1.3.24 Permite que o acompanhamento da capacidade seja realizado pelo Conglomerado do Banco do Brasil?

7.1.3.25 A solução deve permitir a extração de dados em "tempo real" e via API, sem comprometimento de desempenho e/ou estabilidade.

7.1.3.26 A solução permite guarda local de logs e recuperação de falhas em caso de falta de acesso a nuvem SaaS?

Suporte e Treinamento

7.1.3.27 Fornecer suporte especializado 24 X 7 durante a vigência do contrato

7.1.3.28 Fornecer suporte local em Brasília

7.1.3.29 Fornecer suporte remoto

7.1.3.30 Fornecer pessoal para suporte residente no BB em Brasília

7.1.3.31 Fornecer suporte à instalação e atualização de versões/releases

7.1.3.32 Fornecer suporte à configuração da solução

7.1.3.33 Fornecer consultoria para operação e suporte à solução

7.1.3.34 Fornecer documentação para operação, suporte e manutenção

7.1.3.35 Fornecer scripts para atendimento por “help-desk” a dúvidas de usuários quanto à utilização do sistema

7.1.3.36 Fornecer treinamentos oficiais e sessões de transmissão de tecnologia acerca da solução e específicos para cada domínio que a compõe.

7.1.3.37 Fornecer treinamento na manutenção da infraestrutura de hardware da solução

7.1.3.38 Fornecer treinamento na manutenção da infraestrutura de software da solução

7.1.3.39 Fornecer infraestrutura de hardware necessária para funcionamento pleno da solução.

7.1.3.40 Fornecer infraestrutura de software necessária para funcionamento pleno da solução.

7.1.3.41 Fornecer ferramenta de registro de incidentes/chamados técnicos passível de acesso e acompanhamento pelo Banco do Brasil.

7.2 Requisitos da solução

7.2.1. A solução deve ser ofertada na modalidade Software as a Service (SaaS), com partes do processo como captura, compactação e envio sendo executados on-premise.

7.2.2. A solução deve ser Cloud Native.

7.2.3. Não será permitida a composição de softwares de terceiros para o atendimento aos requisitos técnicos, exceto se nativamente suportado pela solução e com o respectivo suporte técnico do fornecedor/fabricante.

7.2.4. Apresentar Benchmark com uma solução de tamanho similar ao do Banco do Brasil

7.2.5. Informar os dados do produto:

7.2.5.1 Versão do software/Hardware.

7.2.5.2 Data da versão do software/Hardware.

7.2.5.3 A solução deve estar integralmente adequada à legislação brasileira.

7.2.5.4 O produto está a quanto tempo no mercado brasileiro (em anos)?

7.2.5.5 A empresa mantém canal para receber e protocolar solicitação de alterações no software?

7.2.5.6 Se item 1.5 for SIM, informe canal de atendimento.

7.2.5.7 Se item 1.5 for SIM, informe prazo para o atendimento, em semanas.

7.2.5.8 Há previsão de evolução do software? Descreva.

7.2.5.9 Há previsão de descontinuidade do software? Descreva.

7.2.6. A definição dos requisitos funcionais e não funcionais do objeto deste termo de referência estão descritos a seguir:

Requisitos funcionais

7.2.6.1 A solução deve ser capaz de, de acordo com políticas definidas, coletar, centralizar, armazenar, descartar, analisar, fazer buscas e disponibilizar para consultas em interfaces gráficas, a integra de grandes volumes de dados oriundos de logs de Infraestrutura, Dispositivos de Rede, Aplicações executando em modo On-Premise, Nuvem Pública (Microsoft Azure, Google Cloud Platform e etc...) e Nuvem Privada. Ela terá o objetivo final de usar os dados para solucionar problemas e obter insights de negócios, ao mesmo tempo em que garante a conformidade e a segurança dos aplicativos e da infraestrutura.

7.2.6.2 A solução deve ser capaz de lidar com o volume de dados superior a 30 Terabytes (TB), por dia;

7.2.6.3 A solução deve possuir as funcionalidades abaixo:

a) Buscas Textuais (em todos os loga armazenados);

b) Exportação de Dados;

c) Criação de Painéis;

d) Geração de Relatórios;

e) Integração com Ferramenta de Resposta a Incidente;

f) Correlação de Dados;

g) Suporte a SIEM;

h) Threat Hunt e Threat Detection.

7.2.6.4 A solução deve SLA de Disponibilidade acima de 99,9%

7.2.6.5 A solução deve garantir que os logs coletados não contenham informação sensível, mascarando os dados quando necessário.

7.2.6.6 A solução deve possuir funcionalidade para controlar/limitar o volume de dados trafegados entre a origem e destino dos componentes da solução.

7.2.6.7 A solução deve possuir funcionalidade para gestão do ciclo de vida dos dados, com estratégias de armazenamento, políticas de arquivamento e descarte de dados.

7.2.6.8 A solução deve possuir formas automáticas de classificação dos dados, adicionando rótulos (TAGs) sobre a origem do log baseado no ambiente de geração, sistema e instância.

7.2.6.9 Os agentes de log devem ajudar a extrair informações de metadados importantes, como nome do host, localização do log, nome do arquivo e tipo de fonte que define o tipo de informação de log, e qualquer campo essencial que precisa ser extraído para análise de dados.

7.2.6.10 A solução deve possuir tempos de retenção dos dados definidos de acordo com a classificação do dado.

7.2.6.11 Informar o prazo máximo de retenção dos dados armazenados: o prazo de retenção do dado indexado e prazo de retenção em descanso.

7.2.6.12 A solução deve possuir interface de gestão centralizada com informações sobre as versões e situação atual e histórica (Health Check) de todos os agentes instalados no parque, com a possibilidade de recuperação automática em caso de falhas/mau comportamento (self- healing), atualização remota automática e alertas em caso de indisponibilidade dos agentes ou do processo de coleta.

7.2.6.13 A solução deve implementar rotinas de backup periódico das bases de dados de configurações, usuários, perfis e informações/transações, mantendo os dados disponíveis para restauração por, no mínimo, 30 dias.

7.2.6.14 A solução deve possuir recursos para consulta e alteração de configurações de maneira remota e automatizada, sem intervenção humana e em lotes, por meio de mecanismos próprios, ou possibilitando o uso de soluções de terceiros para o envio das alterações e suas efetivações – API Rest/JSON.

7.2.6.15 A solução deve possuir mecanismo de descoberta automática dos arquivos de logs para coleta.

7.2.6.16 A solução deve ser capaz de coletar logs, no mínimo, das seguintes tecnologias, em suas últimas versões suportadas pelos respectivos fornecedores: Active MQ, Angular, Apache HTTP Server, Apache Kafka, Apache Tomcat, Hyper-V, IBM AIX, IBM DB2, IBM HTTP Server, IBM MQ, IBM WebSphere Application Server, IBM WebSphere Liberty, Java, JBoss,

JMS, Microsoft IIS, MongoDB, MySQL, Nginx, Node.js, OpenShift, Docker, Kubernetes, OpenTelemetry, OpenTracing, Oracle DB RAC, Oracle HTTP Server, Oracle WebLogic, PostgreSQL, Python, Rabbit MQ, Redis, Spring , Web Services, Tibco SEM, F5 BigIP, Citrix Netscaler, Microsoft Azure, Google Cloud Platform, VMware, Software Defined Network (SDN).

7.2.6.17 A solução deve suportar a instalação dos agentes do produto no mínimo em Sistemas Operacionais Microsoft Windows (versão 2012 e superiores), Linux (SUSE, RedHat, CentOS, Oracle Linux, Alpine, Ubuntu, z/Linux) e IBM AIX, em suas últimas versões suportadas pelos respectivos fabricantes.

7.2.6.18 Os agentes da solução devem apresentar o consumo médio de até 3% dos recursos computacionais (CPU e Memória) do host, em ambiente distribuído (VMs).

7.2.6.19 A solução deve permitir a ingestão de logs de outras fontes (não monitorados por agentes), via API, conexão direta ou plug-in (por exemplo: elementos de rede, appliances etc.).

7.2.6.20 A solução é capaz de coletar e disponibilizar para consulta a totalidade dos logs de aplicações (nuvem e on-premises), servidores (físicos e virtuais), dispositivos físicos de rede (balanceadores, firewalls, switches e routers) e redes SDN (Software-Defined Networking), em tempo real ou "near real-time"?

7.2.6.21 A solução deve permitir a ativação e desativação remota da coleta de logs em determinado servidor ou dispositivo.

7.2.6.22 A solução deve possuir mecanismo para reduzir o volume de dados trafegados na rede sem que haja perda de conteúdo.

7.2.6.23 A solução deve possibilitar a disponibilização de dados para outras ferramentas (ETL), via API, em tempo real, sem prejuízo na sua performance ou disponibilidade.

7.2.6.24 A solução deve disponibilizar uma visualização de forma clara e consolidada da quantidade de licenças contratadas, a quantidade efetivamente em uso, a quantidade disponível para uso e a métrica de licenciamento, de maneira individual por software e tipo de licença.

7.2.6.25 A solução deverá funcionar no modelo SaaS e deverá dispor de ferramenta de captura e compactação dos logs na rede do BB, antes do encaminhamento para a nuvem. Esse coletor deverá ser capaz de disponibilizar os logs coletados para outros consumidores locais.

7.2.6.26 A solução deve garantir a confiabilidade da transferência de log - proteger a perda de dados devido a problemas de conectividade do servidor ou bursts de dados devido a problemas da rede.

7.2.6.27 A solução deve ser capaz de coletar os logs na fonte e fazer o envio dos dados somente em horários determinados.

7.2.6.28 A solução deve suportar a desduplicação – lidar com mensagens duplicadas que acontecem por qualquer motivo.

7.2.6.29 A solução deve possuir ferramenta de streaming near real time para análise de falhas e erros.

7.2.6.30 A solução deve ser capaz de coletar os logs na fonte e suportar bufferização em ferramentas de filas como o Kafka. Precificar se tal solução for fornecida e suportada com o produto

Acessos, Administração e Monitoração

7.2.6.31 A solução deve permitir acesso remoto à sua console de administração.

7.2.6.32 A solução deve permitir acesso via certificado digital e/ou através do uso de duplo fator de autenticação à sua console de administração.

7.2.6.33 A solução deve integrar-se e ser compatível com LDAP v3 (IBM Tivoli Directory Server for z/OS 2.3, bem como suas versões superiores) e permitir a gestão dos usuários e grupos (identificação e autenticação de usuários, e autorização de usuários a recursos e serviços) através de interface web de gestão centralizada.

7.2.6.34 A solução deve permitir a segregação de acesso/grupo de usuários à recursos de sua console de administração.

7.2.6.35 A solução deve ser compatível com os navegadores Mozila Firefox 78 ESR e Microsoft Edge 94 e versões superiores respectivamente.

7.2.6.36 A solução deve permitir a segregação do acesso/grupo de usuários aos logs baseado nos rótulos (TAGs) aplicados.

7.2.6.37 A solução deve suportar "Single Sign-on" (SSO) através de SAML v2.0

Auditoria e Emissão de Relatórios

7.2.6.38 A solução deve permitir o envio de logs para auditoria em ambiente de SIEM QRadar do Banco do Brasil.

7.2.6.39 A solução deve permitir a integração com o SIEM QRadar já instalado no Banco do Brasil.

7.2.6.40 A solução deve possuir recursos persistentes de registro de eventos de log e recuperação desses registros.

7.2.6.41 A solução deve manter a auditoria de todas as operações realizadas principalmente para contas com alto previlégio.

7.2.6.42 A solução deve possuir um mecanismo para geração de relatórios e logs;

7.2.6.43 A solução deve possuir ferramentas de customização/geração de relatórios complexos nos formatos HTML, PDF e CSV;

7.2.6.44 A solução deve disponibilizar relatórios a partir dos seguintes arquivos de log: a) Log de auditoria; b) Log de acesso; c) Log de acessos bloqueados.

7.2.6.45 A solução deve disponibilizar envios automáticos de relatórios através de e-mail, e o arquivamento destes em meio de armazenamento externo;

Requisitos não funcionais

7.2.6.46 A implementação deve ser efetuada pelo fabricante ou integrador devidamente autorizado.

7.2.6.47 A solução deve permitir a importação da base de dados de outra solução de mercado.

7.2.6.48 A solução deve prover uma interface Web (GUI) que permite acesso as suas funcionalidades de forma centralizada.

7.2.6.49 A solução deve possuir preferencialmente suas funcionalidades no idioma Português (Brasil).

Segurança

7.2.6.50 A solução deve evitar o uso de protocolos de comunicação legados necessários para acesso, dando preferência a um protocolo totalmente criptografado, como por exemplo TLS 1.2;

7.2.6.51 A solução deve suportar criptografia para comunicação remota.

7.2.6.52 A solução deve garantir a proteção e a integridade de seus componentes, bem como dos dados por ele armazenados.

7.2.6.53 A solução deve ser compatível com uso de agentes de SSO para autenticação e autorização de usuários a recursos e serviços.

7.2.6.54 A solução deve prover mecanismos para mapear as autorizações de papéis/perfis do próprio aplicativo com papéis/perfis do BB.

7.2.6.55 A solução deve manter aderência aos aspectos de segurança dispostos nos seguintes instrumentos regulatórios: Sarbanes-Oxley (SOX), Acordos de Basiléia II e III, Normas ISO 27001, 27002 e 27011, bem como ao disposto em Payment Card Industry Data Security Standard (PCI DSS).

Licença

7.2.6.56 Flexibilidade no licenciamento independentemente de tecnologia e ou dispositivo, possibilitando a reutilização de uma licença em diferentes tecnologias e/ou dispositivo, respeitado o limite contratado

7.2.6.57 Disponibilizar uma visualização de forma clara e consolidada da quantidade de licenças contratadas, a quantidade efetivamente em uso, a quantidade disponível para uso e a métrica de licenciamento

7.2.6.58 Permitir a implementação de ambiente de desenvolvimento para testes de novas funcionalidades sem consumir a base de licenças de produção

7.3 Definição das Responsabilidades do Contratante e da Proponente:

7.3.1. A Proponente deverá entregar toda a documentação exigida pela Contratante para emissão do TERMO DE ACEITE, além de todo o material necessário para a correta utilização, parametrização, administração e integração.

7.3.2. A Proponente deverá disponibilizar, para uso pela Contratante, a última versão em produção da solução. As evoluções da ferramenta devem ser disponibilizadas ao Contratante de forma automática e sem prejuízo das aplicações desenvolvidas em versões anteriores.

7.3.3. Caso seja detectado que os produtos não atendem às especificações técnicas do objeto contratado, poderá o Contratante rejeitá-los integralmente, obrigando-se o Proponente a providenciar a substituição dos softwares não aceitos no prazo de 7 (sete) dias úteis.

7.3.4. O aceite / aprovação dos softwares pelo Contratante não exclui a responsabilidade civil do Proponente por vícios de quantidade ou qualidade do produto ou disparidade com as especificações técnicas exigidas ou atribuídas pelo Proponente verificados posteriormente, garantindo-se ao Contratante as faculdades previstas no art. 18 da Lei n° 8.078/90 (Código de Defesa do Consumidor).

7.3.5. O Proponente deve garantir que a legislação brasileira prevaleça sobre qualquer outra, de modo que o Contratante tenha todas as garantias legais enquanto tomador do serviço e proprietário das informações hospedadas na nuvem e deve atender os requisitos da Resolução Bacen 4.893 e aquelas que a sucederem.

7.3.6. Se solicitado pelo Contratante, o Proponente deve definir e apresentar os processos para identificação, notificação e gestão de incidentes de segurança da informação para assegurar respostas rápidas, efetivas e ordenadas.

7.3.7. Durante o período de vigência do contrato, o Proponente deve garantir que toda a documentação requerida pelo Contratante para facilitar a migração para outro provedor ou ambiente (incluindo documentação de configuração) será mantida atualizada e será entregue ao Contratante durante o processo de migração para outro provedor ou outro ambiente.

7.3.8. Todos os serviços de processamento / armazenamento de dados contratados deverão permitir a gestão dos dados transferidos, incluindo logs de acesso. Este requerimento está de acordo com as mais recentes regulamentações sobre o tema “Privacidade de Dados Pessoais” (Lei Geral de Proteção de Dados).

7.3.9. O Proponente declara conhecer e cumprir todas as leis vigentes envolvendo proteção de dados pessoais, em especial a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), comprometendo-se, assim, a limitar a utilização dos dados pessoais a quem tiver acesso apenas para execução dos serviços deste documento, abstendo-se de utilizá-los em proveito próprio ou alheio, para fins comerciais ou quaisquer outros.

7.3.10. Se solicitado pelo Contratante, o Proponente deve demonstrar que possui procedimentos documentados e testados para resposta a incidentes, tanto no tratamento interno quanto nos contatos com cliente e mídia.

7.3.11. O Proponente deve garantir que possui mecanismos de proteção contra ataques cibernéticos.

7.3.12. Se solicitado pelo Contratante, o Proponente deve estabelecer fluxo de acionamento e contato com a equipe de resposta a incidentes do Contratante para acionamento em caso de ataques cibernéticos.

7.3.13. O Proponente deve descrever os canais de contato (pontos focais, meios de comunicação e tempo de resposta) que serão utilizados para reportar tempestivamente os incidentes que ocorram em suas instalações, independente de afetar ou não arquivos e sistemas do Contratante.

7.3.14. O Proponente não pode veicular publicidade acerca do fornecimento de materiais, equipamentos ou serviços objeto deste documento, que envolva o nome do Contratante, salvo se houver autorização expressa deste.

7.3.15. O Proponente deve identificar e corrigir quaisquer problemas de segurança sem qualquer custo adicional para o Contratante.

7.3.16. O Proponente deve certificar que todos os dados e informações do Contratante hospedados no ambiente provido pela solução serão destruídos, sem possibilidade de recuperação, em até 30 (trinta) dias corridos após a migração total dos dados para outro ambiente, mediante autorização expressa do Contratante.

7.3.17. A propriedade dos dados e informações gerados pelo Contratante no ambiente provido pela solução, a qualquer momento, durante a vigência, término ou expiração do contrato, será exclusivamente do Contratante.

7.3.18. O Proponente deve assinar acordo de confidencialidade com o Contratante.

7.3.19. O Proponente obriga-se por seus empregados, sócios, diretores e mandatários, manter total sigilo e confidencialidade no que se refere a não divulgação, por qualquer forma, de toda ou parte das informações ou documentos a ela relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados.

7.3.20. O Proponente deverá ajustar a possibilidade de, quando entender necessário, auditar e fiscalizar o estabelecimento e os mecanismos de tratamento de dados do subcontratado, com previsão da possibilidade de o Contratante ter acesso aos relatórios elaborados por auditoria especializada PROPONENTE às expensas do Proponente.

7.3.21. O Proponente deve garantir o acesso do Contratante as informações e recursos de gestão adequados ao monitoramento dos serviços prestados.

7.3.22. A obrigação das partes de não divulgação das informações tidas como sigilosas e confidenciais sobreviverá à rescisão do contrato, até que ocorra a liberação pela parte proprietária das informações, por determinação judicial ou pela ocorrência dos eventos indicados neste contrato com liberadores dessa obrigação.

7.3.23. Ambas as partes concordam em manter a confidencialidade de toda a informação a respeito dos negócios, ideias, produtos, clientes ou serviços da outra parte, que podem ser consideradas como “informação confidencial”.

7.3.24. A Proponente deve permitir o acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações.

7.3.25. A Proponente garantirá a adequação e a adoção de medidas pelo Contratante, em decorrência de qualquer determinação do Banco Central do Brasil que impacte sobre o Contrato vigente.

7.3.26. A Proponente se obriga a manter o Contratante permanentemente informado sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor notificando o Contratante em até 24h após verificado.

7.3.27. Durante a vigência do Contrato, o Proponente deve estar aderente às certificações exigidas pelo Contratante para a prestação do serviço contratado.

7.3.28. Caso haja a decretação de regime de resolução do Contratante pelo Banco Central do Brasil:

7.3.28.1. Proponente se obriga a conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, que estejam em poder da Proponente;

7.3.28.2. O Proponente se obriga pela notificação prévia do responsável pelo regime de resolução sobre a intenção do Proponente interromper a prestação de serviços, com pelo menos 90 (noventa) dias de antecedência da data prevista para a interrupção, observado que:

A) O Proponente obriga-se a aceitar eventual pedido de prazo adicional de 30 (trinta) dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e

B) a notificação prévia deve ocorrer também na situação em que a interrupção for motivada por inadimplência do Contratante.

7.4 Condições de Garantia e Assistência Técnica, Manutenção e Suporte Técnico:

7.4.1. O Proponente concederá ao Contratante serviços de atualização, manutenção e suporte técnico contra qualquer indisponibilidade, problema ou defeito que a solução tecnológica venha a apresentar, pelo prazo de vigência do contrato.

7.4.2. A atualização, manutenção e suporte técnico prestado pelo Proponente, inclusive o acionamento do Fabricante quando for necessário, compreende, no mínimo:

7.4.2.1. Garantia de evolução do produto, repassando ao Contratante toda e qualquer atualização, melhoria ou correção introduzida nos produtos de software que componham a solução, bem como a catalogação de novas versões (releases), que contenham, além de outras, as funções dos produtos em questão, sem ônus adicional;

7.4.2.2. Manutenção preventiva e corretiva dos produtos, assim entendida a correção de erros de funcionamento ou desempenho inconsistente com as especificações técnicas;

7.4.2.3. Suporte técnico remoto de acordo com níveis que assegurem a disponibilidade e mantenham os softwares em perfeitas condições de uso;

7.4.2.4. Dotação do Contratante de toda e qualquer informação relativa ao funcionamento dos softwares, dirimindo as dúvidas ou problemas operacionais na sua utilização.

7.4.3. A qualidade de prestação dos serviços está descrita no Nível Mínimo de Serviços Exigidos (NMSE), no item 12 deste documento.

7.4.4. Os serviços aqui descritos destinam-se a manter as funcionalidades do software em perfeitas condições de uso, incluindo ajustes e correções de bugs, mesmo que haja descontinuidade do licenciamento do software, de modo a garantir o pleno funcionamento de todas as ferramentas da solução.

7.4.5. O Proponente deverá garantir a compatibilidade das novas versões com as anteriores, permitindo a fácil migração das versões anteriores para essas novas versões, sem a necessidade de customizações e com manutenção da linha tecnológica adotada, bem como reaproveitamento total das parametrizações efetuadas na implantação inicial do sistema informatizado.

7.4.6. Em caso de alteração de versão de quaisquer softwares fornecidos na solução integrada que implique em deformação ou inabilitação das funcionalidades, o Proponente executará as alterações necessárias para manter o pleno funcionamento da solução, sem qualquer custo adicional para o Contratante.

7.4.7. O Proponente deve garantir ao Contratante o pleno acesso às consultas de quaisquer bases de dados disponíveis para usuários, às atualizações do software e/ou documentação do software que compõem a solução.

7.4.8. O serviço de suporte técnico deverá estar disponível 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano.

7.4.9. Em todas as atividades do serviço de atendimento e suporte técnico, os profissionais do Proponente deverão utilizar preferencialmente a língua portuguesa, exceto no uso de termos técnicos e na utilização de textos técnicos, que a critério do Contratante, poderão estar redigidos no idioma inglês.

7.4.10. O Proponente concederá à Contratante garantia de atualização de correções hotfixes e patches de segurança lançados pelo fabricante do software durante seu período de vigência contratual.

7.4.11. O Proponente disponibilizará acesso por meio eletrônico (Portal Web ou e-mail), que possibilite ao Contratante, no mínimo, as seguintes funcionalidades/informações:

7.4.11.1. Acompanhamento do ciclo de vida dos produtos, mantendo o Contratante informado sobre as datas previstas de fim do suporte e descontinuidade dos softwares. No caso de liberação de novas versões, ou descontinuidade dos produtos, o Contratante deve ser formalmente comunicado, em no máximo 30 (trinta) dias após a disponibilização das informações ao mercado, para mitigar impactos ou indisponibilidade da Solução;

7.4.11.2. Acesso às informações de licenciamento e benefícios de forma centralizada;

7.4.11.3. Boletim contendo a relação das atualizações disponibilizadas, com identificação especial às atualizações críticas;

7.4.11.4. Acesso a todos os chamados que foram abertos pelo Contratante, em todos os seus status.

7.4.12. O Proponente deve prestar os serviços para todo e qualquer um de seus softwares, produtos e soluções que o Contratante tem ou venha a ter direito de uso em função de alterações da política de licenciamento atual, estando todos os custos para realização dos serviços aqui descritos incluídos na proposta.

7.4.13. Em caso de descontinuidade de qualquer serviço ou perda das funcionalidades, o Proponente executará as alterações necessárias ao atendimento de todos os requisitos descritos neste documento, sem qualquer custo adicional para o Contratante.

7.4.14. Intervenções operacionais no ambiente de nuvem podem ser realizadas visando o bem da continuidade dos serviços. Essas deverão ser comunicadas previamente a Contratante, apenas nos casos que poderão comprometer a disponibilidade do serviço.

.

7.5. Transferência de Tecnologia:

7.5.1 O Proponente deverá realizar transferência de tecnologia de forma remota ou presencial ao time de técnicos do BB para viabilizar a utilização dos serviços contratados, composta de capacitação e workshops, compreendendo as metodologias e técnicas necessárias à implementação de soluções baseados nas tecnologias da plataforma, bem como na exploração das características e funcionalidades dos componentes (API ou outros) que compõem os serviços e na gestão e governança do ambiente.

7.5.2 A transferência de tecnologia por capacitação deverá ser iniciada em até 01 (um) mês após a contratação de maneira que a equipe do Banco do Brasil esteja apta a utilizar os serviços tecnológicos contratados e a realizar as atividades sob sua responsabilidade.

7.5.3 O Proponente deverá prover, no mínimo, 150 (cento e cinquenta) horas na forma de workshops, para 5 (cinco) turmas com 10 (dez) participantes cada, limitado a 30 horas por turma e a 6 (seis) horas diárias, a serem ministrados conforme a necessidade do BB, em comum acordo entre as partes.

7.5.4 A transferência de tecnologia será feita por profissionais do Proponente tecnicamente qualificados, cujos currículos deverão ser previamente submetidos à avaliação e aceite do Banco.

7.5.5 Para consolidação da transferência de tecnologia, adicionalmente serão adotados os seguintes procedimentos complementares, sem prejuízo de outros:

7.5.6 Disponibilização de acesso para funcionários do Banco do Brasil à documentação relativa aos serviços tecnológicos contratados;

7.5.7 Disponibilização de material de apoio, guias, manuais de uso do serviço, de forma digital, fornecidos em sua própria plataforma.

7.5.8 O Banco solicitará o workshop com 15 (quinze) dias de antecedência, ficando o Proponente responsável pela disponibilização do material didático, que deverá ser entregue ao BB, de forma digital, com um mínimo de 5 (cinco) dias de antecedência do início do evento para avaliação prévia de seu conteúdo.

7.5.9 A transferência de tecnologia será realizada de forma remota ou presencial e o Proponente deve disponibilizar canal e recursos para a realização.

7.5.10 Os custos de deslocamento, hospedagem e outros que sejam necessários para a realização do treinamento da forma presencial correrá por conta do Proponente.

7.5.11 O Contratante proverá a infraestrutura com computadores para o treinamento presencial a ser realizado, se for o caso, em Brasília-DF.

7.5.12 Ao término de cada evento de transferência de tecnologia, o Proponente deverá emitir certificado de participação profissional para os participantes que obtiverem aproveitamento.

7.6 Medidas de Segurança para a transmissão e armazenamento de dados:

7.6.1 O Proponente deverá garantir a disponibilidade, confidencialidade, autenticidade e integridade das informações e dos dados sob sua guarda;

7.6.2 O Proponente deverá prover mecanismo de acesso protegido aos dados, por meio de criptografia, garantindo que apenas aplicações e usuários autorizados tenham acesso;

7.6.3 O Proponente deverá dispor de recursos e soluções técnicas que garantam a segurança da informação dos dados do CONTRATANTE;

7.6.4 O Propoente deverá preservar os dados do CONTRATANTE contra acessos indevidos e informar imediatamente e formalmente ao CONTRATANTE qualquer tentativa, inclusive por meios judiciais, de acesso a estes dados;

7.6.5 O Proponente deverá prover criptografia para os dados transmitidos pela rede, tanto servidor quanto cliente-servidor, bem como para os dados armazenados.

7.7 Alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços:

7.7.1 O Proponente deve garantir que, havendo interrupção contratual, caso seja necessária a migração dos dados, o Proponente deve possibilitar que as informações e dados do Contratante estejam disponíveis para transferência de localização em até 1 (um) dia útil ficando disponível até a total migração para a nova localização e sem custo adicional.

7.7.2 O Proponente deve dispor de meios que proporcionem portabilidade e tornem possível a migração dos serviços prestados e dados para outros provedores de serviços em nuvem ou para outro ambiente definido pelo Contratante, em prazo adequado e sem custo adicional, de modo a garantir a continuidade do negócio e possibilitar possível transição contratual.

7.8 Outas Especificações Técnicas:

7.8.1. O Proponente deverá trabalhar com três ambientes de monitoração distintos (Produção, Homologação e Desenvolvimento).

8) Aspectos Tributários

8.1. O Proponente deverá informar na proposta qual o código tributário será utilizado para faturamento dos serviços.

9) Cláusulas Contratuais

9.1. Condições de Pagamento:

9.1.1. O pagamento será creditado em conta corrente mantida no Banco do Brasil S.A., em nome do Proponente, no 10º (décimo) dia útil do mês subsequente ao da prestação dos serviços, mediante a apresentação da respectiva nota fiscal/fatura ou recibo de prestação de serviços, que deverá:

9.1.1.1. Conter o número do Contrato, o objeto contratual e o mês da prestação dos serviços;

9.1.1.2. Conter a agência e o número da conta corrente;

9.1.1.3. Conter a indicação dos serviços prestados, a identificação das dependências (prefixo, nome e endereço) onde esses serviços foram efetivamente realizados, assim como os respectivos valores proporcionais, por documento fiscal.

9.2. Das sanções Administrativas e multas contratuais:

9.2.1. Além das infrações administrativas previstas em edital, nos termos da Lei nº 13.303/16 e do RLBB, o Proponente ficará sujeita, sem prejuízo da responsabilidade civil e criminal, às seguintes sanções:

9.2.1.1. Os atos praticados pela Proponente, prejudiciais à execução do contrato, sujeitam-na às seguintes sanções:

9.2.1.1.1. Advertência;

9.2.1.1.2. Multa;

9.2.1.1.3. suspensão temporária do direito de licitar e contratar com o BANCO, por período não superior a 2 (dois) anos.

9.2.1.2. Nenhuma sanção será aplicada sem o devido processo, assegurada a defesa prévia do Proponente no prazo de 10 (dez) dias úteis, sendo-lhe franqueada vista ao processo.

9.2.1.3. A aplicação das penalidades ocorrerá após defesa prévia do Proponente, no prazo de 5 (cinco) dias úteis a contar da intimação do ato.

9.2.2. Ressalvados os casos fortuitos ou de força maior e aqueles que não acarretem prejuízos para o Contratante, a advertência poderá ser aplicada quando ocorrer execução insatisfatória ou pequenos transtornos ao desenvolvimento deste Contrato, desde que sua gravidade não recomende a aplicação da suspensão temporária.

9.2.3. O Contratante poderá aplicar multa ao Proponente nas situações, condições e percentuais indicados a seguir:

9.2.3.1. Em caso de atraso na apresentação ou integralização da garantia de execução contratual, será aplicada multa de: 0,5% (zero vírgula cinco por cento) sobre o valor total da garantia, por dia útil de atraso, até o limite de 10% (dez por cento);

9.2.3.2. Por inexecução total ou parcial do contrato correspondente a até 20% (vinte por cento) do valor da nota fiscal/fatura de serviços relativa ao mês em que ocorreu a irregularidade na execução dos serviços descritos neste Termo de Referência;

9.2.3.3. Multa de até 20% (vinte por cento) do valor do contrato, nas seguintes situações:

9.2.3.3.1. Apresentação de documentos falsos ou falsificados;

9.2.3.3.2. Atraso injustificado na execução/conclusão dos serviços, contrariando o disposto no contrato;

9.2.3.3.3. Irregularidades que ensejem a rescisão contratual;

9.2.3.3.4. Condenação definitiva por praticar fraude fiscal no recolhimento de quaisquer tributos;

9.2.3.3.5. Prática de atos ilícitos visando prejudicar a execução do contrato;

9.2.3.3.6. Prática de atos ilícitos que demonstrem não possuir idoneidade para contratar com o Banco do Brasil S.A.;

9.2.3.3.7. Inadimplemento, por parte do Proponente, de obrigações trabalhistas e previdenciárias devidas aos seus empregados;

9.2.3.3.8. Descumprimento das obrigações, especialmente aquelas relativas às características dos serviços descritos neste documento.

9.2.3.4. Em caso de reincidência, o valor da multa estipulada no parágrafo anterior desta cláusula será elevado em 1% (um por cento) a cada reincidência, até o limite de 30% (trinta por cento) do valor do contrato.

9.2.3.5. A multa poderá ser aplicada cumulativamente com as demais sanções, não terá caráter compensatório, e a sua cobrança não isentará o Proponente da obrigação de indenizar eventuais perdas e danos.

9.2.3.6. A multa aplicada ao Proponente e os prejuízos por ela causados ao Contratante serão deduzidos de qualquer crédito a ela devido, cobrados diretamente ou judicialmente.

9.2.3.7. O Proponente desde logo autoriza o Contratante a descontar dos valores por ele devidos o montante das multas a ela aplicadas.

9.2.4. A suspensão temporária poderá ser aplicada quando ocorrer:

9.2.4.1. Apresentação de documentos falsos ou falsificados;

9.2.4.2. Reincidência de execução insatisfatória dos serviços contratados;

9.2.4.3. Atraso, injustificado, na execução/conclusão dos serviços, contrariando o disposto no contrato;

9.2.4.4. Reincidência na aplicação das penalidades de advertência ou multa;

9.2.4.5. Irregularidades que ensejem a rescisão contratual;

9.2.4.6. Condenação definitiva por praticar, por meios dolosos, fraude fiscal no recolhimento de quaisquer tributos;

9.2.4.7. Prática de atos ilícitos visando prejudicar a execução do contrato;

9.2.4.8. Prática de atos ilícitos que demonstrem não possuir idoneidade para contratar com o Banco do Brasil S.A.;

9.2.4.9. Inadimplemento, por parte do Proponente, de obrigações trabalhistas e previdenciárias devidas aos seus empregados;

9.2.4.10. Descumprimento das obrigações do Contrato, especialmente aquelas relativas às características dos serviços, previstas neste documento.

9.3. Definições do modelo de execução do contrato:

9.3.1. Rotinas de Execução:

Prazos de fornecimento ou execução dos serviços	A partir da assinatura do contrato
Horário de fornecimento dos bens ou prestação dos serviços	Prestação de Serviços: 24h por dia, 7 dias por semana
Local(is) de entrega	Se for necessário entregar alguma documentação ou outro item do contrato, deverá ser entregue em: XXX XXXXXX, 0 XXXXX X XXXX 00 - XXXXXXXX XXXX III - ASA SUL - BRASILIA - DF XXX 00.000-000
Local(is) da prestação de serviço	Em Nuvem

9.4. Definição de mecanismos formais de comunicação a serem utilizados para troca de informações entre a Proponente e a Administração, adotando-se preferencialmente as Ordens de Serviço ou Fornecimento de Bens.

9.4.1. A comunicação relativa à abertura e resolução de chamados está descrita nos itens relativos ao cumprimento do NMSE.

9.4.2. As demais comunicações deverão ser realizadas em conformidade com o disposto pelo Fiscal de Contrato, que informará as formas de comunicação a serem adotadas após a assinatura do instrumento contratual.

9.4.3. A comunicações entre o Banco e o Proponente preferencialmente serão realizadas por meio eletrônico, cujos endereços serão informados no ato da contratação. Alternativamente, poderão adotar outros meios previstos na minuta contratual.

9.5. Aspectos de Segurança:

9.5.1. O Proponente deverá assinar Termo de Compromisso com o Sigilo da Informação (documento fornecido no processo de contratação), resguardando que os recursos, dados e informações de propriedade da Contratante, e quaisquer outros, repassados por força do objeto desta licitação e do contrato, constituem informação privilegiada e possuem caráter de confidencialidade.

9.5.2. O Proponente obriga-se por si, seus empregados, sócios, diretores e mandatários a manter total sigilo e confidencialidade dos serviços prestados ao Contratante no que se refere à não divulgação, por qualquer forma, de toda ou parte das informações ou documentos a ele relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados por força deste contrato. Também

se compromete a respeitar as imposições relativas ao sigilo bancário as quais o Contratante está sujeito.

9.5.3. O Proponente poderá revelar as informações decorrentes deste contrato, exclusivamente, a seus prepostos e funcionários diretamente envolvidos nas atividades que fazem uso ou tenham acesso permanente ou eventual às mesmas.

9.5.4. O Proponente se obriga, ainda, a respeitar integralmente as normas de segurança estabelecidas pelo Contratante, zelando por sua integridade, mantendo sigilo e considerando confidenciais todos os dados e informações pertinentes aos serviços prestados.

9.5.5. A obrigação das partes de não divulgação das informações tidas como sigilosas e confidenciais sobreviverá à rescisão do contrato, até que ocorra a liberação pela parte proprietária das informações, por determinação judicial ou pela ocorrência dos eventos indicados neste contrato com liberadores dessa obrigação.

9.5.6. Não serão considerados confidenciais quaisquer documentos, dados ou informações do presente contrato, informações de domínio público, que o Proponente venha ter tecnologia lícito através de terceiros e aqueles que o Contratante vier a tornar públicos.

9.5.7. Para informações confidenciais referentes a programas licenciados, as obrigações estipuladas neste documento são por tempo indeterminado. Para todas as outras informações confidenciais, tais obrigações continuarão vigentes por um prazo de 5 (cinco) anos a partir da data da revelação inicial.

9.5.8. O Contratante analisará a eventual necessidade de liberação de acessos às dependências, equipamentos, softwares e sistemas que forem necessários ao cumprimento do objeto nos termos desta especificação.

9.5.9. Para tanto, o Proponente deverá disponibilizar previamente as informações necessárias para acesso aos ambientes e atender às normas e políticas de segurança utilizadas pelo Contratante.

9.5.10.O Proponente deverá assegurar que seus empregados estejam cientes e que devem obedecer às políticas de segurança de informações do Contratante e de garantir adequação às políticas estabelecidas.

9.5.11.O Contratante disponibilizará suas políticas de segurança de informações no endereço: xxx.xx.xxx.xx/xxx.

9.5.12. O Proponente irá gerenciar a segurança das informações e dados com os esforços necessários para restringir o acesso não autorizado. O Proponente fará os esforços necessários para garantir que seus empregados e representantes estejam inteiramente cientes dos riscos associados com problemas e riscos inerentes à segurança da informação.

9.6. Nível Mínimo de Serviço Exigido (NMSE):

Escopo do NMSE	9.6.1) 9.6.2) 9.6.3) 9.6.4)	Este documento define os níveis mínimos de qualidade requeridos para o fornecimento dos serviços especializados objeto do Termo de Referência. A PROPONENTE declara que possui condições técnicas de fornecer o serviço contratado, conforme as especificações estipuladas, por toda a vigência do contrato. A PROPONENTE assumirá a inteira responsabilidade pelo funcionamento e disponibilidade dos serviços contratados e pelos serviços de suporte técnico, e reconhece que o não atendimento dos níveis de serviços definidos pode resultar em impacto adverso e relevante nos negócios e nas operações do CONTRATANTE. A PROPONENTE não será imputada pelo cumprimento dos níveis de qualidade enquanto a prestação de serviços estiver prejudicada em função de paradas autorizadas ou pendências de responsabilidade comprovada do CONTRATANTE (TPBB).
	9.6.5)	Este documento possui período de vigência concomitante ao período de vigência do contrato.
	9.6.6)	Após a assinatura do contrato, a critério do CONTRATANTE, será elaborado e/ou revisado Manual de Procedimento Operacional – MPO, entre o CONTRATANTE e a PROPONENTE, definindo papéis, responsabilidades, fluxos e processos, de forma a garantir a entrega, acompanhamento e mensuração dos serviços e níveis de serviço englobados no Termo de Referência.
Disponibilidade do Serviço	9.6.7) 9.6.8)	O Serviço contratado deverá estar disponível 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, a partir de qualquer local, por meio de acesso a nuvem da PROPONENTE. Caso a nuvem para prover os serviços não seja da Proponente, o Proponente não poderá se eximir da disponibilização dos serviços e imputar a terceiro a responsabilização.

Acompanhamento do Serviço 9.6.9) A PROPONENTE deverá utilizar instrumentos e procedimentos de monitoração capazes de avaliar e reportar o desempenho dos serviços em relação aos níveis de qualidade aqui estabelecidos.
9.6.10) A PROPONENTE deverá fornecer ao CONTRATANTE, ferramenta de monitoração e gerenciamento dos serviços contratados (Portal Web) ou software específico, para abertura e acompanhamento de chamados.
9.6.11) A PROPONENTE deverá consolidar e disponibilizar ao CONTRATANTE, via ferramenta Web ou e-mail, até o 10º (decimo) dia útil do mês subsequente ao mês de referência, os relatórios com informações gerenciais e de acompanhamento do atendimento dos Níveis de Serviço contratados (ERG).
9.6.12) Os relatórios deverão prover, no mínimo, as informações especificadas no indicador ERG deste documento. O formato dos relatórios será definido entre a PROPONENTE e o CONTRATANTE.
9.6.13) Além dos relatórios mensais, a PROPONENTE deverá disponibilizar ao CONTRATANTE, a qualquer tempo, informações sobre a situação do atendimento do chamado técnico, bem como quaisquer outras informações sobre a situação do serviço.
9.6.14) Os níveis mínimos de serviço exigidos definidos neste documento serão averiguados e contabilizados mensalmente.
9.6.15) Sempre que necessário à avaliação do serviço e dos níveis de serviço contratados, o CONTRATANTE agendará uma reunião junto à PROPONENTE, a ser realizada nas dependências do CONTRATANTE ou por vídeo conferência.

Suporte ao Cliente

9.6.16) A abertura de incidentes e solicitação de serviços serão realizadas por meio de ferramenta web fornecida pela PROPONENTE ou deverá ser disponibilizado um webservice para abertura automatizada de incidentes. Ficando a cargo do CONTRATANTE a escolha.

9.6.17) A PROPONENTE deverá disponibilizar suporte técnico especializado ao CONTRATANTE, para os serviços contratados, bem como, as soluções de TI e todos os seus componentes associados, contemplando os ambientes de execução, sejam desenvolvimento, homologação e/ou produção.

Suporte	Tipo	Horários
Suporte Remoto	Severidade 1 e 2	24 horas/dia, 7 dias por semana
	Severidades 3 e 4	De 22h de Domingo às 23h59 de sexta-feira (GMT)

9.6.18) A PROPONENTE será responsável pelo gerenciamento dos chamados técnicos e o tempo de recuperação operacional do serviço (TRO) será contabilizado, conforme prazos de cada severidade, a partir do momento da abertura do incidente pelo CONTRATANTE.

9.6.19) Os chamados técnicos somente serão fechados após verificação e aceite do CONTRATANTE. Após o registro de fechamento do incidente o BB realizará avaliação do serviço para validação da solução aplicada. Os chamados considerados não resolvidos, e encontrarem-se fechados, serão reabertos e o prazo para reestabelecimento do serviço continuará a ser contabilizado desde a abertura do incidente. Se o chamado for aceito como resolvido pelo CONTRATANTE, será considerada a data e hora da solução informada pelo Proponente. Os chamados considerados não resolvidos serão mantidos abertos e o prazo para restabelecimento do serviço continuará a ser contabilizado desde a abertura do incidente

9.6.20) A severidade do incidente será definida pelo CONTRATANTE, no momento da abertura do chamado, conforme abaixo: Severidade Descrição Exemplo Serviço Inoperante: A interface com o usuário está S1 Solução ou funcionalidade crítica interrompida / não respondendo a não operacional. todos os usuários. Impacto Crítico: Uma ou mais funcionalidades do serviço O usuário pode efetuar o login, mas o S2 apresentam restrições severas, sistema está lento demais para causando impacto significativo nos responder. negócios. Impacto Moderado: O serviço pode ser utilizado, porém Os dados retornados pela solução S3 apresenta degradação de parecem estar incompletos ou performance/ funcionalidade, com desatualizados. baixo impacto ao negócio. Impacto Mínimo: Consulta ou Adicionar novo usuário ao Serviço de solicitação não técnica. Nuvem. S4 Solicitação para adicionar uma Alterar os direitos de acesso de um funcionalidade ou função. usuário. Dúvidas em geral.

Janela de Manutenção

9.6.21) As manutenções programadas da solução não serão contabilizadas como período de indisponibilidade desde que comunicadas com antecedência mínima de 48 (quarenta e oito) horas. 9.6.22) Caso o CONTRATANTE não seja comunicado no prazo estabelecido, a interrupção ou degradação do serviço decorrente desta manutenção será abordado como incidente de Severidade 1, para efeito dos níveis de serviço. 9.6.23) As manutenções programadas deverão ser realizadas no horário autorizado pelo CONTRATANTE, e não poderão ultrapassar o período de 8 (oito) horas de interrupção semanal. Caso este período seja ultrapassado será aberto um incidente de Severidade 1, e o prazo excedente será contabilizado para efeito dos indicadores deste documento.

Pontos de Contato e Escalamento	9.6.24) Para garantir que os incidentes ocorridos no serviço contratado pelo CONTRATANTE terão a atenção da alta gestão da PROPONENTE, será utilizado o procedimento de escalamento hierárquico por tempo de persistência do incidente, conforme descrito na tabela abaixo:
		Níveis de Escalamento	BB	Proponente

		3	Gerente de Equipe	De hierarquia equivalente
		2	Gerente de Soluções	De hierarquia equivalente
		1	Gerente Executivo	De hierarquia equivalente
	9.6.25) 9.6.26) 9.6.27)	O prazo de escalamento considerará o prazo definido para o suporte, conforme a Seve do incidente. O escalamento deve ocorrer automaticamente tanto no CONTRATANTE quan PROPONENTE. A PROPONENTE deve informar ao CONTRANTANTE, seus níveis hierár correspondentes, com os respectivos nomes e telefones (inclusive celulares) e deve essa relação atualizada.			r

Severidade	Tempo de Escalamento	Nível de Escalamento
S1	2 horas	3
	6 horas	2
	12 horas	1
S2	6 horas	3
	12 horas	2
	24 horas	1
S3	12 horas	3
	24 horas	2
	48 horas	1
S4	36 horas	3
	72 horas	2
	---	1

Regras de aplicação de descontos

9.6.28) O não atingimento dos níveis de serviço aqui definidos (quebra de indicador), gerará direito, ao BANCO DO BRASIL, de recebimento de descontos sobre os valores dos pagamentos mensais, devidos à PROPONENTE, estes descontos serão realizados conforme item 9.6.29 deste NMSE. 9.6.29) O valor total do desconto referente aos serviços contratados, será igual ao somatório dos créditos mensais recebidos de reivindicações de NMSE/SLA e não utilizados, apurados em cada indicador pelo não atingimento dos níveis de serviço acordados, limitados a 25% do valor contratado referente aos serviços. 9.6.30) O valor total de desconto será igual ao valor dos créditos provenientes de reivindicações de NMSE/SLA não consumidos ao final do contrato, sendo aplicado: 9.6.30.1) Reivindicações de NMSE/SLAs não consumidos acumulados entre o 1º ao 12º mês serão aplicados da 12ª (décima segunda) fatura do contrato. 9.6.30.2) Reivindicações de NMSE/SLAs não consumidos acumulados entre o 00x xx 00x xxx xxxxx xxxxxxxxx xx 00x (xxxxxxxx xxxxxx) fatura do contrato. 9.6.30.3) Reivindicações de NMSE/SLAs não consumidos acumulados entre o 25º ao 36º mês serão aplicados da 36ª (trigésima sexta) fatura do contrato. 9.6.30.4) Reivindicações de NMSE/SLAs não consumidos acumulados entre o 37º ao 48º mês serão aplicados da 48ª (quadragésima oitava) fatura do contrato. 9.6.30.5) Reivindicações de NMSE/SLAs não consumidos acumulados entre o 49º ao 60º mês serão aplicados da 60ª (sexagésima) fatura do contrato. 9.6.31) O valor total mensal do desconto referente aos serviços de transferência de tecnologia e suporte técnico, será igual ao somatório dos descontos apurados em cada indicador, pelo não atingimento dos níveis de serviço acordados, limitados a 20% do valor da fatura mensal. 9.6.32) Caso seja superado o valor de desconto na última fatura, será realizado o desconto do valor devido da garantia contratual ou devolvido diretamente pela PROPONENTE. 9.6.33) Havendo descumprimento de qualquer nível de serviço, sem prejuízo da aplicação dos descontos previstos, a PROPONENTE deverá investigar e relatar as causas dos descumprimentos, bem como tomar medidas preventivas apropriadas para evitar reincidências. 9.6.34) Os descontos por não atendimento dos níveis de serviços serão aplicados cumulativamente com as demais sanções previstas no contrato, não terão caráter compensatório e sua cobrança não isentará a PROPONENTE da obrigação de indenizar eventuais perdas e danos.

9.6.35) Os descontos podem ocorrer inclusive na forma de créditos para utilização de serviços em uso, enquanto vigorar o contrato. 9.6.36) Caso o serviço venha a ser cancelado e existam descontos e/ou outros valores pendentes de recebimento pelo CONTRATANTE, o PROPONENTE deverá proceder com a devolução destes valores ao CONTRATANTE em, no máximo, 30 (trinta) dias após o cancelamento do contrato.

9.6.1. Definições dos Indicadores de nível de serviço:

9.6.1.1. Disponibilidade - DSP

	do	9.6.1.1.1) Este indicador calcula o percentual total de tempo em que a solução/produto esteve disponível para ao CONTRATANTE durante o mês, considerando o horário de operação definido. 9.6.1.1.2) O objetivo deste indicador é definir um tempo máximo de tolerância de falha da solução por mês. 9.6.1.1.3) Este indicador representa o nível de eficiência do processo operacional da PROPONENTE para efeitos de avaliação do serviço.
Descrição Indicador
Métrica	DSP = TO – (TF –TPBB) x100 TO – TPBB DSP = % de Disponibilidade do serviço PaaS/SaaS. TO = Tempo de operação (tempo total que a solução deve estar disponível no mês) TPBB = Tempo de Pendência do BB (de responsabilidade comprovada) e/ou tempo total gasto em paradas programadas. TF = Tempo de falha (somatório de períodos de indisponibilidade do serviço no mês) * os tempos serão contabilizados em minutos.
Periodicidade Medição	de	Mensal
Meta	99,9%
Descontos
		Índice de Disponibilidade Mensal	Benefício de Créditos ou Desconto NMSE
		< 99,9%			10%
		< 99,0%	25%
		9.6.1.1.4)	Caso a disponibilidade abaixo da meta seja reincidente no mês corrent percentual de persistência.
				o

9.6.1.2. Entrega de Relatórios Gerenciais de Níveis de Serviço – ERG

do	9.6.1.2.1)	Verificar se os relatórios gerenciais de acompanhamento mensal dos níveis de serviço foram disponibilizados/entregues dentro do prazo estipulado e contendo todas as informações solicitadas.
Descrição Indicador

	9.6.1.2.2) Os relatórios deverão ser disponibilizados via Portal Web fornecido pela PROPONENTE, ou entregues via e-mail informado pelo CONTRATANTE. 9.6.1.2.3) O formato dos relatórios será definido entre as partes, após a assinatura do contrato, e deverão conter no mínimo as seguintes informações: 9.6.1.2.3.1) Relatórios de Incidentes; 9.6.1.2.3.1.1) Número da abertura do chamando; 9.6.1.2.3.1.2) Data e hora da abertura do chamado; 9.6.1.2.3.1.3) Severidade; 9.6.1.2.3.1.4) Produto afetado; 9.6.1.2.3.1.5) Problema verificado; 9.6.1.2.3.1.6) Data e hora da aplicação da solução; 9.6.1.2.3.1.7) Descrição da solução aplicada; 9.6.1.2.3.1.8) Tempo de recuperação operacional; 9.6.1.2.3.1.9) Tempo de pendência do CONTRATANTE. 9.6.1.2.3.2) Relatório de manutenções programadas (a realizar e realizadas) no mês; 9.6.1.2.3.3) Relatório de Atualizações/Patches/Versionamentos aplicados no mês; 9.6.1.2.3.4) Relatório de Disponibilidade do mês; 9.6.1.2.3.5) Relatório de atividades de assessoria realizadas no mês; 9.6.1.2.3.6) Relatório de quantidade e tipos de APIs e soluções utilizadas no mês. 9.6.1.2.3.7) Relatório de Entregas realizadas no mês: 9.6.1.2.3.7.1) Data entrega; 9.6.1.2.3.7.2) Itens entregues; 9.6.1.2.3.7.3) Quantidade de não conformidade por entrega.
Métrica	ERG = DEE – DPE DPE = Data programada da entrega. DEE = Data da efetiva de entrega.
Periodicidade Medição	de	Mensal
Meta	9.6.1.2.4)	Até o 10º (decimo) dia útil do mês subsequente à prestação do serviço.
Descontos	9.6.1.2.5)	A ser aplicado sobre a fatura mensal.
	Evento de quebra da meta	Persistência de quebra (por dia)
	1,0%	0,5%

9.6.1.3. Início da Prestação de Serviços – IPS

	do		9.6.1.3.1) 9.6.1.3.2)	Este indicador verifica se o prazo estipulado para início do Serviço, conforme estipulado no contrato, foi cumprido. A PROPONENTE deve providenciar acesso ao CONTRATANTE aos serviços em ambiente público, standard, premium e dedicado, bem como, ao suporte técnico, com os requisitos solicitados, no prazo acordado.
Descrição Indicador
		9.6.1.3.3) Este indicador será contabilizado a partir da data de assinatura do contrato, até a efetiva entrega e operacionalização do serviço.
Métrica		IPS = (DIE – DPI) - TPBB DPE = Data assinatura do Contrato DIE = Data de concessão de acessos e início efetivo do serviço. TPBB: Tempo de Pendência do BB (de responsabilidade comprovada).
Periodicidade Medição	de	Única
Meta		9.6.1.3.4) Acesso aos serviços em ambiente dedicado para as instâncias que atendem ao Banco do Brasil = até 30 dias após a assinatura do contrato.
Descontos
			Evento		Quebra da meta	Persistência de quebra (por dia)
			Desconto sobre a fatura mensal referente ao acesso ao ambiente dedicado.		1,0%			1,0%

9.6.1.4. Tempo de Recuperação Operacional - TRO

do

9.6.1.4.1) Representa o tempo máximo tolerado pelo CONTRATANTE para restabelecimento operacional do serviço (solução ou produto) interrompido ou degradado. O incidente pode ser fechado com solução temporária ou definitiva. 9.6.1.4.2) A severidade de cada incidente é definida de acordo com o impacto que o incidente causou ao serviço. Sendo que o grau do impacto implica em diferentes tempos de recuperação operacional. 9.6.1.4.3) Este indicador é contabilizado a partir da abertura do incidente, e representa o nível de eficiência do processo operacional da PROPONENTE para efeitos de avaliação do serviço. 9.6.1.4.4) Os registros deste indicador que forem realizados no período da janela de manutenção programada não serão contabilizados neste indicador.

Descrição Indicador

Métrica	TRO = (DHR – DHA) – TPBB DHR = Data, hora e minuto do encerramento da ocorrência, com o total restabelecimento do serviço. DHA = Data, hora e minuto da abertura da ocorrência. TPBB = Tempo de Pendência do BB (de responsabilidade comprovada).
Periodicidade Medição	de	Mensal, por evento.
Meta
				Severidade	TRO
				Desastre	12 horas
				S1	2 horas
				S2	6 horas
				S3	12 horas
				S4	36 horas
	9.6.1.4.5) Severidade do i			O considerarão os prazos definidos para
	9.6.1.4.6) Os incidentes de severidade S2, S3 e S4 serão medidos para fins de avaliação da qualidade dos serviços e para priorização de atendimento e escalamento de chamados.
Descontos
		Severidade	Evento de quebra da meta	Persistência de quebra (hora ou fração)
		Desastre	2,0%			0,25%
		S1	2,0%	0,25%
		S2	1,5%	0,1%
		S3	1,0%	0,1%
		S4	0,5%	0,05%

n

9.6.2. Outras definições sobre acordo de serviços:

Segurança Informação Cibernética	da e	9.6.2.1) A Proponente deve possuir um Sistema de Gestão de Segurança da Informação que considere, no mínimo: 9.6.2.1.1) Política de Segurança da Informação e Cibernética; 9.6.2.1.2) Diretrizes para os controles de acesso físico e lógico; 9.6.2.1.3) Classificação e tratamento da informação; 9.6.2.1.4) Programa de capacitação e treinamento de colaboradores; 9.6.2.1.5) Gestão de continuidade da Segurança da Informação; 9.6.2.1.6) Trilhas de auditoria (logs); 9.6.2.1.7) Programa de desenvolvimento de código seguro; 9.6.2.1.8) Política de gestão de Proponentes (terceirização); 9.6.2.1.9) Diretrizes para a gestão de capacidade; 9.6.2.1.10) Diretrizes para a gestão de mudanças; 9.6.2.1.11) Gestão de vulnerabilidades técnicas; 9.6.2.1.12) Recursos criptográficos; 9.6.2.1.13) Gestão de cópias de segurança (backup); 9.6.2.1.14) Gestão de Segurança de Dados: Garantir o Backup dos dados; Garantir a portabilidade dos dados; Garantir a Confidencialidade e a Integridade dos dados. 9.6.2.2) Sistema de gestão de incidentes de segurança da informação, contendo, no mínimo: 9.6.2.2.1) Procedimento de monitoramento de eventos;
		9.6.2.2.2)	Procedimento de registro de incidentes;
		9.6.2.2.3)	Procedimento de responsabilização e;
		9.6.2.2.4)	Continuidade de negócios:
		9.6.2.2.4.1)	Garantir a portabilidade da solução entre nuvens ou para o ambiente tecnológico (onpremise) da Contratante;
		9.6.2.2.4.2)	Garantir a disponibilidade dos serviços; o Garantir a recuperação dos dados perdidos.
		A PROPONENTE em conjunto com o PROVEDOR deve prover a capacidade de proteção contra malwares e ameaças cibernéticas ficando a forma de evidenciação da exigência pré-acordada entre as partes podendo ser: • uma carta de listagem dos mecanismos utilizados assinado pela PROPONENTE e o PROVEDOR; ou • a prova do serviço contratado em conjunto com a solução e operacional na Nuvem.
Auditoria		9.6.2.3) A Proponente disponibilizará/viabilizará ao Contratante a possibilidade de realizar auditoria na solução. O Contratante comunicará formalmente a Proponente com antecedência mínima de 30 (trinta) dias o escopo da auditoria e quem realizará de forma a possibilitar à Proponente a preparação da solução/ambiente para auditoria.

9.6.2.4) Se o prazo acordado não for o suficiente, a Proponente poderá pedir mais prazo e dependerá da aceitação da Contratante.

9.6.2.5) Os relatórios gerados são de tecnologia exclusivo da Contratante, cabendo a esta decidir se apresenta à Proponente.

9.6.2.6) Quando a Proponente realizar auditoria na solução deverá:

9.6.2.6.1) Pedir autorização ao Contratante;

9.6.2.6.2) Informar o escopo da auditoria;

9.6.2.6.3) Informar quem realizará a auditoria (Empresa/Auditor);

9.6.2.6.4) Informar a data de realização da auditoria;

9.6.2.6.5) Informar o prazo de duração da auditoria;

9.6.2.6.6) Informar o prazo para o tecnologia do Relatório de Auditoria;

9.6.2.6.7) Classificar o Relatório como Confidencial cabendo o tecnologia deste exclusivamente ao Contratante, além das partes envolvidas que devem assinar previamente à Proponente.

9.6.2.7) Apresentar o Relatório de Auditoria em até 10 dias úteis após o tecnologia deste por parte da Proponente e, preferencialmente, anexar o Plano de Ação que trata das recomendações de Auditoria.

9.6.2.8) Se o Plano de Ação não for apresentado em conjunto com o Relatório de Auditoria, a PROPOENTE terá 5 (cinco) dias úteis a contar da data de recebimento do Relatório de Auditoria pelo Contratante para apresentá-lo

9.6.2.9) O Plano de Ação gerado em função das recomendações da Auditoria deve ser aceito

formalmente pelo Contratante não impedindo a Proponente em realizar as correções, quando houver, para os apontamentos de criticidade CRÍTICA e ALTA.

Logs 9.6.2.10) A Proponente deve garantir a proteção aos registros de Logs de forma a manter a integridade e permitir o acesso apenas de leitura.
9.6.2.11) A Proponente deverá manter os registros de LOGs por, no mínimo 60 (sessenta) meses.
9.6.2.12) A Proponente deve manter o serviço de sincronia de fuso horário com o Sistema Operacional ou com serviço confiável a fim de garantir a correto fuso horário e a Hora Legal Brasileira.
9.6.2.13) As informações a serem mantidas como logs são:
9.6.2.13.1) de todas as transações contendo: 9.6.2.13.1.1) usuário requisitante (ID e nome); 9.6.2.13.1.2) tipo de evento; 9.6.2.13.1.3) tipo de conta (perfil/autorização) do usuário; 9.6.2.13.1.4) data da ocorrência (timestamp do fato); 9.6.2.13.1.5) data da finalização da interação do usuário (timestamp conforme Hora Legal Brasileira); 9.6.2.13.1.6) IP de Origem; 9.6.2.13.1.7) funcionalidade requisitada; 9.6.2.13.1.8) arquivos acessados; 9.6.2.13.1.9) arquivos anexados; 9.6.2.13.1.10) arquivos baixados; 9.6.2.13.1.11) mensagem/tipo de erro (se for o caso). 9.6.2.13.2) transações de acesso ao sistema com sucesso; 9.6.2.13.3) tentativas de acesso por ataques ou invasões; 9.6.2.13.4) tentativas de acesso não autorizados: 9.6.2.13.4.1) ações dos usuários rejeitadas ou processadas com falhas.

9.6.2.13.5) Registros de segurança como:

9.6.2.13.5.1) cadastramento de autorizações de usuários; 9.6.2.13.6) Registros de Alertas (quando houver).

9.6.2.14) A Proponente deverá disponibilizar no mínimo relatórios de LOG(s) conforme a necessidade da Contratante a pedido ou mensalmente.

9.6.2.15) A não entrega dos relatórios de LOG(s) em até 10º (décimo) dia corrido do mês subsequente ao mês de referência sujeita a Proponente à multa conforme o indicador ERG.

9.6.2.16) A Proponente poderá manter funcionalidade de consulta/busca de informações de LOGs de acesso como funcionalidade de gerenciamento na WEB de uso restrito da Contratante.

9.6.2.17) Os registros de LOG deverão ser mantidos para fins de consulta por 6 meses, estando a PROPOENTE autorizada a excluir os registros que ultrapassarem esse prazo.

de	9.6.2.18) Poderá ser exigido da Proponente, durante a vigência do contrato, até 5 (cinco) testes de vulnerabilidade. Após a comunicação da exigência por escrito, a Proponente terá até 10 (dez) dias úteis para disponibilizar o resultado com, no mínimo, as seguintes informações: 9.6.2.18.1) Data de realização do teste; 9.6.2.18.2) Empresa responsável pela aplicação do teste; 9.6.2.18.3) Pessoa responsável pela aplicação do teste; 9.6.2.18.4) Local/forma de aplicação do teste; 9.6.2.18.5) Objetivo do teste; 9.6.2.18.6) Tipo do teste; 9.6.2.18.7) Serviço testado; 9.6.2.18.8) Número de contrato vinculado ao Serviço testado; 9.6.2.18.9) Tempo de Teste; 9.6.2.18.10) Quantidade de Teste; 9.6.2.18.11) Relação das vulnerabilidades classificadas como Crítica e Alta e as respectivas ações de correção/mitigação; 9.6.2.18.12) Parecer do técnico responsável pelo teste; 9.6.2.18.13) Plano de Ação de correção das vulnerabilidades encontradas; 9.6.2.18.14) Relatório resultado do teste (anexar ao relatório de encaminhamento). 9.6.2.19) O relatório de vulnerabilidades se sujeita ao indicador Entrega de Relatórios – ERG. O Plano de Ação deve ser aceito formalmente pelo Contratante, não impedindo a Proponente em de realizar as correções para as vulnerabilidades de criticidade CRÍTICA e ALTA. 9.6.2.20) Quando o Contratante for o responsável por realizar os testes de vulnerabilidades para a solução, este entregará o relatório à Proponente que terá 10 (dez) dias para apresentar o Plano de Ação, que deverá ser analisado e aceito formalmente pelo Contratante, não impedindo a Proponente em realizar as correções para as vulnerabilidades de criticidade CRÍTICA e ALTA.
Testes Vulnerabilidade
Responsabilidades	9.6.2.21) A Proponente deve utilizar ferramentas, instrumentos e procedimentos de avaliação e monitoração para reportar o desempenho do serviço em relação aos níveis de serviços estabelecidos. 9.6.2.22) A Proponente é responsável por gerenciar e monitorar todos os incidentes identificados, sendo estes relatados ou não pelo Contratante, além de prover um canal de suporte para informar ao Contratante tempestivamente qualquer ocorrência que possa afetar o serviço contratado. 9.6.2.23) Qualquer alteração do contato do Suporte Técnico (URL, endereço de e-mail ou número de telefone) deve ser notificada antecipadamente pela Proponente ao Contratante.
	9.6.2.24) Sempre que for necessária a alteração e exclusão de produtos e funcionalidades da Solução, a Proponente deve informar ao Contratante com, no mínimo, 1 (um) mês de antecedência.
Dados	Ciclo de vida dos Dados 9.6.2.25) No término do Contrato, a PROPONENTE providenciará ao Contratante uma forma de realizar/viabilizar a migração dos dados conforme definido neste documento. 9.6.2.26) Ao término do contrato e após a autorização da Contratante, a PROPONENTE deverá excluir da base de dados mantida pela solução, preferencialmente utilizando o padrão da NIST 80088 ou equivalente.

10.1. Vigência Contratual

10.1.1. O instrumento contratual terá vigência de 36 (trinta e seis) meses, prorrogáveis até 60 (sessenta) meses.

10.2. Início da prestação dos serviços

10.2.1. A prestação dos serviços deverá se iniciar em até 30 dias contados a partir da assinatura do contrato.

10.3. Xxxxx Xxxxxx

10.3.1. Serão exigidos, no mínimo 90 dias de aviso prévio.