TERMO DE REFERÊNCIA
TERMO DE REFERÊNCIA
1. DO OBJETO
1.1. Contratação de empresa especializada para prestação de serviço de certificação digital através da geração, entrega e suporte de certificados de servidor(host) do tipo SSL/TSL - WildCard.
2. DA JUSTIFICATIVA
2.1. A contratação é necessária para elevar o nível de segurança do ambiente computacional do Coren/PR, mais especificamente, o nível de segurança das comunicações Web que trafegam informações sensíveis.
2.2. Para que sistemas Web sejam implementados com criptografia de dados e assim garantir a confidencialidade das informações nessas comunicações, é necessária a existência de um certificado digital Web para configuração de serviços HTTPS.
2.3. O uso de certificado digital nos sites do Coren/PR garante a segurança, autenticidade e a confidencialidade dos dados fornecidos.
2.4. A exigência de que a Contratada faça parte da Infraestrutura de Chaves Públicas do Brasil (ICP-Brasil) justifica-se pela definição do Decreto Nº 3.996, de 31 de outubro de 2001 (Artigo 2º - Parágrafo 1º).
2.5. Esta contratação está alinhada à Politica de Segurança da Informação do Coren/PR e à Lei Geral de Proteção de Dados (LGPD).
3. DESCRIÇÃO/ESPECIFICAÇÃO
Item | Especificação | Quantidade | Unidade |
1 | Certificado digital para servidor(host) SSL/TSL - Wildcard (permite que o certificado seja utilizado em qualquer subdomínio - um nível - do domínio para o qual foi emitido). Validade de 2 anos. | 1 | Un. |
4. ESPECIFICAÇÃO TÉCNICA DOS CERTIFICADOS
4.1. O referido objeto engloba a prestação de serviço de certificação digital SSL/TSL para servidor que visa à geração e suporte necessários para manutenção da confiança e total funcionalidade do certificado digital.
4.2. As especificações a seguir têm por objetivo a definição de um padrão mais seguro de funcionamento para o uso de certificado digital em servidores, utilizando-se de artifícios definidos pelos próprios padrões de mercado de ampla divulgação em todo o mundo.
4.3. Os certificados poderão ter as propriedades de autenticação de servidor (aplicação, Web e e-mail), autenticação de cliente, SSL Checker - verificador de SSL; * CSR Decoder - decodificador de CSR;
4.4. Os certificados digitais deverão ser compatíveis com o padrão de segurança TLS mínimo versão 1.2;
4.5. Deverão ser compatíveis com todas as versões mais recentes de todos os servidores Web, e-mail e soluções de proxy reverso para publicação segura de websites do Coren/PR.
4.6. Compatível com todos os servidores (Windows e Distribuição Linux) e equipamentos que suportem o protocolo SSL e TLS;
4.7. Os certificados SSL/TSL, devem ser emitidos por autoridade certificadora e compatibilidade com todos os navegadores homologados possíveis (Internet Explorer, Edge, Google Chrome, Safari, Opera e Firefox) e dispositivos móveis que suportem o protocolo SSL e TLS;
4.8. Certificados deverão seguir os padrões x.509 v3 de acordo com o perfil definido pela RFC 5280 e RFC 3647.
4.9. Os certificados deverão permitir uso em ilimitados servidores e serviços. Licença de uso do mesmo certificado em ilimitados servidores;
4.10. Os certificados SSL /TSL deverão vir formato de fácil instalação (.cer ou .pfx );
4.11. Os certificados deverão fazer parte da cadeia de certificações do ICP-Brasil.
5. REQUISITOS DE CRIPTOGRAFIA E CHAVES
5.1. Os referidos certificados digitais deverão permitir criptografia de 256bits.
5.2. O tamanho da chave pública dos certificados deverá ser de 2048 bits se for RSA e 256bits caso seja ECC.
5.3. Utilizar protocolo de comunicação seguro ao disponibilizar serviços para os solicitantes ou usuários de certificados digitais via Web.
5.4. Seguir todos os padrões, regras, leis e práticas de segurança e modelo de infraestrutura definidos pelo ICP-Brasil e leis aplicáveis.
5.5. A Contratada deve ser Autoridade Certificadora de 1° nível da Infraestrutura de Chaves Públicas do Brasil (ICP-Brasil).
6. GARANTIA PARA O OBJETO
6.1. A Contratante deverá realizar validação das informações contidas nos certificados emitidos
e, caso haja divergência, deverá informar à Contratada, que por sua vez tem a obrigação de revogar os certificados e reiniciar o processo de emissão sem nenhum custo adicional para a Contratante.
6.2. Será exigida garantia para os serviços fornecidos durante toda a vigência contratual. Caso algum item apresente falha ou erro, a Contratada deverá, às suas expensas, efetuar a geração de novos certificados no prazo máximo de 15 (quinze) dias corridos a contar da notificação, que pode, inclusive, ser realizada por meios eletrônicos, a critério da Contratante.
7. PRAZO DE VALIDADE DO PRODUTO
7.1. Os referidos certificados digitais fornecidos deverão ter validade mínima de 2 (dois) anos, a partir da data de emissão/entrega conforme limitação definida no DOC-ICP-04 - versão 7.2 e princípios e critérios Webtrust.
8. PRAZO DE PAGAMENTO
8.1. O prazo para pagamento será de até 05 (cinco) dias úteis após o término da execução dos serviços e entrega da Nota Fiscal devidamente atestada pelo fiscal desta contratação.
9. PRAZO/LOCAL DE EXECUÇÃO
9.1. Data da entrega: até 04/07/2020.
9.2. Local de entrega: deve ser entregue no endereço de e-mail xx@xxxxxxx.xxx.xx
10. OBRIGAÇÕES DA CONTRATADA
10.1. Assumir inteira responsabilidade pela efetiva entrega do objeto e efetuá-lo de acordo com as especificações constantes neste Termo de Referência.
10.2. Responsabilizar-se por todos os custos e despesas decorrentes da execução dos serviços, tais como materiais, equipamentos, impostos, transportes, taxas, seguros, descontos eventualmente concedidos e outras despesas incidentes, bem como todos os custos de retirada, carregamento e descarregamento dos materiais, hospedagem, vale transporte e alimentação de toda a equipe, mão de obra e encargos sociais, trabalhistas e previdenciários, combustível, deslocamento de veículos, pedágios, lucro e todos e quaisquer tributos e demais despesas diretas e indiretas necessárias à perfeita execução do objeto.
10.3. Reparar, corrigir, remover, reconstruir ou substituir, às suas expensas, no todo ou em parte, de imediato, o objeto deste Projeto Básico em que se verificarem vícios, defeitos ou incorreções, salvo quando o defeito for, comprovadamente, provocado por uso indevido pela CONTRATANTE.
10.4. Responsabilizar-se por todo transporte necessário à prestação dos serviços contratados.
10.5. Responsabilizar-se pelas despesas decorrentes da rejeição de equipamentos, materiais e serviços por parte da fiscalização do Coren/PR e, concomitantemente, pelos atrasos acarretados por esta rejeição.
10.6. Assumir a responsabilidade por todas as providências e obrigações estabelecidas na legislação específica de acidentes de trabalho, quando, em ocorrência da espécie, forem vítimas os seus funcionários no decorrer do fornecimento e do desempenho dos serviços ou em conexão com eles, ainda que ocorra nas dependências do Coren/PR.
10.7. Assumir, também, todos os encargos de possível demanda trabalhista, previdenciária, cível, tributária ou penal relacionadas a essa contratação, originariamente ou vinculados por prevenção, conexão ou continência.
10.8. Responder, integralmente, por perdas e danos que vier a causar ao Coren/PR ou a terceiros em razão de ação ou omissão, dolosa ou culposa, sua ou de seus prepostos, independente de outras cominações contratuais ou legais a que estiver sujeita.
10.9. Responder, também, por quaisquer danos causados diretamente aos bens de propriedade do Coren/PR quando esses tenham sido ocasionados por seus funcionários durante a execução dos serviços.
10.10. O Coren/PR não aceitará, sob nenhum pretexto, a transferência de responsabilidade da empresa para outras entidades, sejam fabricantes, representantes ou quaisquer outros.
10.11. Atuar como facilitador nas questões de conflitos e problemas técnicos.
10.12. Não propalar e manter confidencialidade de informações sigilosas ou de uso restrito do Contratante que tenha acesso na execução dos serviços contratados.
10.13. Prestar suporte à Contratante quando esta informar necessidades específicas referentes ao objeto.
10.14. Obrigações da AC (Autoridade Certificadora) e AR (Autoridade de Registro):
10.15. Revogar dentro do menor tempo possível os certificados que tiverem suas cadeias de certificação comprometidas sem nenhum custo adicional para a Contratante.
10.16. Notificar a Autoridade Certificadora raiz imediatamente acima na hierarquia, emitente do seu certificado, quando ocorrer comprometimento de sua chave privada e solicitar a imediata revogação desse certificado. No caso de revogação a Contratante fica livre de custos referentes à geração do novo certificado, devendo estes serem de responsabilidade da Contratada.
10.17. Divulgar periodicamente a lista de certificados revogados.
10.18. Os profissionais da Contratada que lidem com elementos criptográficos devem ser submetidos à processos de verificação com o intuito de garantir a segurança e credibilidade da AC.
10.19. Reemitir gratuitamente o certificado quando da solicitação da Contratante durante seu período de validade ou quando constatada incompatibilidade, erro ou comprometimento
das informações dos certificados em qualquer uma das fases do processo.
10.20. Assegurar que sua cadeia de certificação (AC e certificados intermediários) é conhecida pelos principais browsers de mercado (como Google Chrome, MS Internet Explorer, MS Edge, Mozilla Firefox, Safari e Opera) inclusive suas versões móveis.
11. OBRIGAÇÕES DA CONTRATANTE
11.1. Efetuar o pagamento à Contratada no prazo de até 05 (cinco) dias úteis após o término da execução dos serviços e a entrega e validação da Nota Fiscal pelo fiscal desta contratação
11.2. Prestar as informações e os esclarecimentos, pertinentes aos eventos, que venham a ser solicitado pela Contratada.
11.3. Proporcionar todas as facilidades para que a contratada possa desempenhar, por meio dos profissionais, os serviços dentro das normas do contrato a ser firmado.
11.4. Solicitar a substituição ou correção dos serviços que não sejam considerados adequados.
11.5. Promover o acompanhamento e fiscalização da Contratada, sob os aspectos quantitativos e qualitativos, anotando em registro próprio as falhas detectadas, comunicando as ocorrências de quaisquer fatos que exijam medidas corretivas por parte da Contratada.
11.6. Designar Fiscal/Gestor para acompanhamento e fiscalização do Contrato.
11.7. Efetuar o pagamento devido pela execução dos serviços contratados, desde que cumpridas todas as formalidades e exigências convencionadas no contrato a ser firmado.
12. DOS RECURSOS ORÇAMENTÁRIOS
12.1. As despesas para atender a esta contratação estão programadas em dotação orçamentária própria, prevista no orçamento do Conselho Regional de Enfermagem do Paraná para o exercício de 2020:
6.2.2.1.1.01.33.90.039.002.014 - Serviços Relacionados a Tecnologia da Informação
13. DO CONTROLE E FISCALIZAÇÃO DA EXECUÇÃO
13.1. Nos termos do artigo 67 da Lei 8.666, de 1993, será designado representante para acompanhar e fiscalizar a entrega do objeto, anotando em registro próprio todas as ocorrências relacionadas com a execução e determinando o que for necessário à regularização de falhas ou defeitos observados.
13.2. A fiscalização não exclui nem reduz a responsabilidade da Contratada, inclusive perante terceiros por qualquer irregularidade, ainda que resultante de imperfeições técnicas ou vícios redibitórios, e na ocorrência desta, não implica em corresponsabilidade da Administração ou de seus agentes e propostos, de conformidade com o artigo 70 da Lei 8.666 de 1993.
13.3. O representante da Administração anotará em registro próprio todas as ocorrências relacionadas com a execução do objeto, indicando dia, mês e ano, bem como o nome dos funcionários eventualmente envolvidos, determinando o que for necessário à regularização das falhas ou defeitos observados e encaminhando os apontamentos à autoridade competente para as providências cabíveis.
14. DAS PENALIDADES
14.1. O inadimplemento parcial ou total das obrigações sujeitará e dará ao Coren/PR o direito de rescindir unilateralmente o Contrato, sujeitando a Contratada, garantidos o contraditório e a ampla defesa prévios, às seguintes penalidades:
14.1.1. Advertência;
14.1.2. Multa de 2% (dois por cento) sobre o valor total do Contrato, por hora de atraso, correspondente ao atraso injustificado na execução dos serviços ou pela Inexecução Parcial das obrigações.
14.1.3. Multa de 30% (trinta por cento) sobre o valor total do Contrato pela inexecução total das obrigações, Esta penalidade poderá ser aplicada, entre outras situações, pelo atraso injustificado na execução dos serviços por período superior a 10 (dez) dias úteis.
Curitiba/PR, 14 de maio de 2020.
XXXXXX XXXXXXXX XXXX XX XXXXX
ANALISTA DE INFORMÁTICA
Coordenação de Tecnologia da Informação COREN/PR