SECRETARIA MUNICIPAL DE PLANEJAMENTO E ASSUNTOS ESTRATÉGICOS
SECRETARIA MUNICIPAL DE PLANEJAMENTO E ASSUNTOS ESTRATÉGICOS
COORDENAÇÃO DE PLANEJAMENTO E GESTÃO DE TECNOLOGIAS DA INFORMAÇÕES E COMUNICAÇÃO - SMPAE
TERMO DE REFERÊNCIA
1. OBJETO
1.1 - Registro de Preços para contratação de serviço de certificado digital e-CPF, e-CNPJ e Digital SSL Wildcard, emitido por autoridade certificadora credenciada pela ICP-Brasil, para pessoa física, jurídica e sítios eletrônicos, com ou sem mídia criptográfica tipo TOKEN USB, para atender aos órgãos da Administração Pública Municipal de Porto Alegre.
1.1.1 - O serviço prevê a contratação do objeto com menor custo aos cofres públicos de maior eficiência quanto à prestação dos serviços e maior qualidade na disponibilização e orientação quanto ao uso dos certificados digitais.
ITEM | ESPECIFICAÇÃO | CATSER |
01 | CERTIFICADO DIGITAL, E-CPF, PARA PESSOA FÍSICA DO TIPO A3, com mídia criptográfica tipo TOKEN USB, com 36 (trinta e seis) meses de validade. | 27189 |
02 | CERTIFICADO DIGITAL, E-CPF, PARA PESSOA FÍSICA DO TIPO A1, com 12 (doze) meses de validade. | 27146 |
03 | CERTIFICADO DIGITAL, E-CNPJ, PARA PESSOA JURÍDICA DO TIPO A3, com mídia criptográfica tipo TOKEN USB, com 36 (trinta e seis) meses de validade. | 27197 |
04 | CERTIFICADO DIGITAL, E-CNPJ, para pessoa jurídica do tipo A1, com 12 (doze) meses de validade | 27162 |
05 | CERTIFICADO DIGITAL SSL WILDCARD DV, para domínios e subdomínios, com 12 (doze) meses de validade. | 27251 |
06 | CERTIFICADO DIGITAL, e-CPF, PARA PESSOA FÍSICA DO TIPO A3 sem mídia criptográfica tipo TOKEN USB, com 36 (trinta e seis) meses de validade. | 27219 |
07 | CERTIFICADO DIGITAL, e-CNPJ, PARA PESSOA JURÍDICA DO TIPO A3 sem mídia criptográfica tipo TOKEN USB, com 36 (trinta e seis) meses de validade. | 27227 |
1.2 - DEFINIÇÃO DO OBJETO
1.2.1 - Classifica-se o objeto desta licitação como serviço comum
1.2.1.1 - Justificativa: Tal enquadramento é dado porque se trata da aquisição de certificados digitais, com ou sem mídia TOKEN USB.
1.3 - CONSIDERAÇÕES GERAIS
1.3.1 - Critério de julgamento
1.3.1.1 - O critério de julgamento desta licitação é menor preço por grupo de itens.
1.3.1.2 - Justificativa para menor preço por grupo de itens: O critério foi escolhido porque todos os objetos de aquisição são certificados com ou sem mídia TOKEN USB e serão fornecidos pela mesma empresa em um único contrato.
1.3.2 - Este Registro de Preço não gera contrato até o limite de valor disciplinado em edital.
2. FUNDAMENTAÇÃO E DESCRIÇÃO DA NECESSIDADE DA CONTRATAÇÃO
2.1 - O certificado digital é uma assinatura eletrônica que utiliza chaves criptográficas para confirmar a identidade de uma pessoa física (e-CPF) ou pessoa jurídica (e-CNPJ). O certificado digital pode ser armazenado em um dispositivo do tipo Token. Os Tokens e certificados digitais são utilizados para reforçar a segurança da informação e garantir um acesso mais seguro a diversos sistemas estruturantes da Administração Pública Municipal. O Certificado Digital SSL DV é necessário para manter os domínios com criptografia e credibilidade do domínio e subdomínios para os sistemas da Administração Pública Municipal.
2.2 - Justifica-se a necessária aquisição de certificados digitais para manter o atual suporte às atividades que utilizem mecanismos de autorização por meio de certificado digital dos entes municipais.
2.3 - O quantitativo previsto para a aquisição foi realizado baseado conforme manifestação das secretarias demandantes no presente processo no sei 23945576 .
2.4- O objeto da contratação não está previsto no Plano de Contratações Anual, conforme Documento de Formalização de Demanda (DFD)
3. DESCRIÇÃO DA SOLUÇÃO COMO UM TODO CONSIDERADO O CICLO DE VIDA DO OBJETO
3.1 - Aquisição de certificados digitais e-CPF, e-CNPJ e Digital SSL Wildcard, emitido por autoridade certificadora credenciada pela ICP-Brasil, para pessoa física, jurídica e sítios eletrônicos, com mídia criptográfica tipo TOKEN USB, para atender aos órgãos da Administração Pública Municipal de Porto Alegre.
3.2 - Ciclo de vida dos objetos de contratação.
3.3 - 12 (doze) meses para o certificado A1.
3.4 - 36 (trinta e seis) meses para o certificado A3 acompanhado ou não de mídia criptográfica tipo TOKEN
USB.
3.5 - 12 (doze) meses para o certificado SSL wildcard DV.
4. REQUISITOS DA CONTRATAÇÃO
4.1 - SUSTENTABILIDADE
4.1.1 - Por se tratar de produtos e serviços intangíveis, não foi encontrado enquadramento relacionado no Guia Nacional de Contratações Sustentáveis.
4.2 - SUBCONTRATAÇÃO E CONSÓRCIO
4.2.1 - A EMPRESA , na execução dos serviços, sem prejuízo das responsabilidades assumidas neste Contrato e legais, poderá subcontratar, em parte o objeto do presente Contrato, se for conveniente para a Administração Municipal, mediante prévia e escrita autorização do Município.
4.2.2 - Por se tratar de serviço sem grande complexidade ou vulto, não será permitida a participação de empresas em consórcio.
5. ESPECIFICAÇÕES DO OBJETO (ou especificações técnicas)
5.1 - Certificado digital e-CPF / e-CNPJ emitido ente credenciado pela ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira), para pessoa física / jurídica, do tipo A1 e A3, acompanhado ou não de mídia criptográfica tipo TOKEN USB.
5.2 - Certificado Digital SSL:
a) Tipo wildcard para vários subdomínios;
b) Criptografia RSA de 2048 bits ou 4096 bits, SHA2 (SHA256);
c) Compatibilidade com todos os navegadores e dispositivos móveis que suportem o protocolo SSL
/TLS;
d) Tipo de validação: DV – Validação de Domínio;
e) Licença de uso do mesmo certificado em ilimitados servidores;
f) Suporte especializado dedicado no Brasil;
g) Compatibilidade com pelo menos 99% de browsers.
5.3 - Validade: 12 (doze) meses para o certificado A1 e 36 (trinta e seis) meses para o certificado A3 acompanhados de mídia ou sem mídia criptográfica tipo TOKEN USB. Validade de 12 (doze) meses para o certificado SSL wildcard DV.
6. PROCEDIMENTOS E PRAZOS
6.1 - O órgão demandante dos serviços deverá seguir os procedimentos divulgados na Intranet da SMF.
6.2 - A solicitação dos serviços se dará mediante entrega da nota de empenho, através do e-mail fornecido pela empresa quando da assinatura da Ata de Registro de Preços.
6.3 - Prazo de entrega: até 10 (dez) dias após o recebimento da nota de xxxxxxx.
6.3.1 - A Empresa deverá comunicar o Município, com 72 (setenta e duas) horas de antecedência, a data e o horário previsto para a entrega dos certificados digitais, dentro do horário de expediente do órgão demandante.
6.4 - A Empresa deverá entregar os certificados digitais conforme as especificações técnicas exigidas, acondicionado adequadamente, de forma a permitir a completa segurança durante o transporte, acompanhado de nota fiscal discriminando o quantitativo referente aos certificados digitais, de acordo com
as especificações.
6.5 - A Empresa deverá entregar os certificados digitais, acompanhados de todas as mídias necessárias para sua instalação, reinstalação e operação, tais como chaves, senhas, números de identificação, entre outros.
6.6 - Os certificados digitais serão recebidos por servidor designado pelo órgão demandante dos serviços, o qual fará a verificação da qualidade, do quantitativo e da conformidade do material em relação às especificações estabelecidas.
6.7 - A Empresa deverá disponibilizar o manual e a senha, para que o Município instale o certificado digital no computador no momento do fornecimento.
6.8 - Os produtos em desacordo com as especificações deste Termo de Referência e/ou com defeito serão devolvidos para substituição pela Empresa
6.8.1 - O prazo máximo para substituição dos produtos é de 10 (dez) dias.
6.9 - O Município deverá informar a Empresa detalhadamente os dados dos usuários autorizados a receber os certificados digitais.
6.10 - A emissão/validação dos certificados digitais se dará conforme acordo entre as partes, após recebimento da nota de empenho pela Empresa e no prazo de entrega estabelecido no item 6.3.
6.11 - Mediante comunicado e solicitação formal, poderá ser fornecido mais de um modelo de mídia criptográfica, compatível com o objeto e devidamente homologada pelo ITI (Instituto de Tecnologia da Informação) e pelo Inmetro, desde que não altere o objeto e especificações dispostos neste Termo de Referência.
7. OBRIGAÇÕES DA EMPRESA FORNECEDORA
7.1 - Fornecer e-mail e telefone para o contato e solicitação dos serviços.
7.2 - Prestar os serviços na forma ajustada e dentro do melhor padrão técnico aplicável, no intuito de sua perfeita execução e em atendimento às disposições legais em vigor e deste Termo de Referência.
7.3 - Cumprir os prazos e obrigações estabelecidos neste Termo de Referência.
7.4 - Submeter-se à fiscalização e acatar, prontamente, as exigências e observações feitas pelos fiscais designados pelos órgãos demandantes, quando da execução dos serviços.
7.5 - Refazer, imediatamente, todos os serviços mal executados, sem qualquer contraprestação pecuniária por parte do Município.
7.6 - Providenciar junto aos órgãos competentes as licenças que se fizerem necessárias ao desempenho de suas atividades.
7.7 - Assumir responsabilidades legais, administrativas e técnicas pela execução dos serviços.
7.8 - Prestar toda assistência para a perfeita execução dos serviços.
7.8.1 - A Empresa deverá disponibilizar canal de comunicação para a prestação de suporte e treinamento necessários para a utilização do certificado digital caso sejam demandados pelo usuário autorizado.
7.9 - Responsabilizar-se por todo e qualquer risco de acidente durante a execução dos serviços.
7.10 - Responsabilizar-se pela solidez, segurança e perfeição dos serviços, obrigando-se a corrigir, na execução dos serviços, todos os defeitos que forem apontados pelo fiscalizador indicado e desfazer aqueles que este julgar impróprios ou mal executados.
7.11 - Reparar ou indenizar, prontamente e a critério da Administração Pública Municipal eventuais danos, avarias ou prejuízos, aos órgãos demandantes dos serviços ou a terceiros, ocasionados por ineficiência,
negligência, imperícia, imprudência, erros ou irregularidades cometidas, mesmo culposamente, por seus empregados ou prepostos, no desempenho de suas atividades, autorizando, desde logo, o desconto em qualquer crédito que lhe favoreça.
7.12 - Não alterar os serviços ajustados sem prévia e escrita autorização do Município.
7.13 - Os serviços ajustados não poderão ser subcontratados sem prévia e escrita autorização do Município, através do órgão gestor do Registro de Preços.
7.14 - Manter-se durante toda a execução da Ata de Registro de Preços, em compatibilidade com as obrigações assumidas, todas as condições de habilitação e qualificação exigidas na licitação.
7.15 - Apresentar, quando solicitado pelo órgão gestor do Registro de Preços, relatórios para conferência das quantidades e valores utilizados pelos órgãos da Administração Pública Municipal, no prazo máximo de 05 (cinco) dias úteis após a solicitação.
7.16 - Executar os serviços em conformidade com as melhores práticas para emissão de certificados digitais e em conformidade com as regras estabelecidas pela ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira).
7.17 - Informar ao Município qualquer alteração de tecnologia para emissão dos certificados digitais e que necessite de adequações para continuidade de execução dos serviços.
7.18 - Reparar, corrigir, remover e reconstruir, às suas expensas, no total ou em parte, os serviços de garantia efetuados e referentes ao objeto, em que se verifiquem vícios, defeitos, ou incorreções resultantes da execução.
7.19 - A garantia deverá cobrir o tempo de vigência do certificado digital, incluindo o TOKEN quando aplicável, e em caso de defeito, vício ou problemas de natureza externa à utilização, e exceto ao mau uso, o fornecedor deverá substituir o objeto conforme o item 7.11.
8. OBRIGAÇÕES DO MUNICÍPIO
8.1 - A Secretaria Municipal de Administração e Patrimônio - SMAP, através da Diretoria de Licitações e Contratos - DLC, na qualidade de gestora do Registro de Preços, emitirá, no processo da licitação, a Ordem de Início da Ata em formato digital, documento SEI: "Ordem de Início C151", devidamente preenchida e assinada eletronicamente pelas partes.
8.2 - O órgão demandante dos serviços deverá designar servidor responsável pela fiscalização dos serviços, bem como para solicitação dos mesmos.
8.3 - Os órgãos demandantes, através dos servidores fiscalizadores dos serviços, serão responsáveis por verificar se os serviços estão sendo realizados de acordo com as especificações deste Termo de Referência.
8.4 - O servidor responsável pela fiscalização deverá avaliar e recusar todo e qualquer serviço que não atenda às especificações deste Termo de Referência.
8.5 - Fazer os esclarecimentos solicitados pela Empresa para a execução dos serviços.
8.6 - Não permitir nenhuma alteração nos serviços especificados sem razão preponderante e sua autorização prévia por escrito.
8.7 - Comunicar a Empresa por escrito, sobre imperfeições, falhas ou irregularidades verificadas no serviço executado, para que seja corrigido ou refeito.
8.8 - Em casos de invalidação, revogação em decorrência da utilização indevida do certificado e mau uso dos hardwares (tokens, smart card e leitoras), se porventura o usuário danificar (por exemplo: quebrar, perder, molhar, etc.) a mídia que armazena o certificado, as despesas de nova emissão de certificado digital e troca dos hardwares será de responsabilidade do órgão demandante.
8.9 - O órgão demandante poderá disponibilizar a Empresa impressora, scanner, telefone e internet para as emissões dos certificados, a fim de que os atendimentos sejam executados com eficiência.
9. FISCALIZAÇÃO
9.1 - A fiscalização dos serviços será exercida por servidor responsável designado pelo órgão demandante dos serviços.
9.2 - São obrigações do servidor responsável pela fiscalização:
9.2.1 - Fiscalizar a prestação dos serviços, exigindo da Empresa o fiel cumprimento dos termos e condições deste Termo de Referência, do Edital e da Ata de Registro de Preços;
9.2.2 - Fazer os esclarecimentos solicitados pela Empresa para a execução dos serviços;
9.2.3 - Verificar se os serviços estão sendo realizados de acordo com estas especificações;
9.2.4 - Não permitir nenhuma alteração nos serviços especificados sem razão preponderante e sua autorização por escrito;
9.2.5 - Registrar em relatório as deficiências verificadas na execução dos serviços, encaminhando cópia à Empresa e à Diretoria de Licitações e Contratos da Secretaria Municipal de Administração e Patrimônio, para imediata correção das irregularidades apontadas, sem prejuízo de aplicação das penalidades previstas na Ata de Registro de Preços;
9.2.6 - Observar e fazer cumprir as legislações pertinentes e relativas à matéria;
9.2.7 - Notificar a Empresa, por escrito, sobre imperfeições, falhas ou irregularidades constatadas na execução dos serviços, para que sejam adotadas as medidas corretivas necessárias.
9.3 - A fiscalização exercida pelo órgão demandante dos serviços não isenta a Empresa das responsabilidades assumidas com a execução dos serviços.
10. PRAZO
10.1 - O prazo de vigência da ata de registro de preços será de 1 (um) ano.
10.1.1 - Definição acerca de ser serviço continuado: Não Trata-se de serviço continuado porque se trata de um produto adquirido sob demanda com ciclo de vida pré determinado, com prazo de validade pré-estabelecido no caso dos certificados, e no caso dos TOKENS USB, podem ser reutilizados de forma indefinida sem a necessidade reposição sem demanda por.
11. ADEQUAÇÃO À LEI GERAL DE PROTEÇÃO DE DADOS
11.1 - Entende-se por "Dados Pessoais", todos e quaisquer dados ou informações que, individualmente ou em conjunto com outros dados ou nomes, identifiquem ou permitam que um determinado usuário seja identificado, nos termos da Lei Federal nº 13.709/2018 ("LGPD").
11.2 - A Empresa, na qualidade de operador dos Dados Pessoais, deverá tratá-los única e exclusivamente para as finalidades estabelecidas neste instrumento, ou conforme orientação por escrito fornecida pelo Município.
11.3 - O Município, na qualidade de controlador dos Dados Pessoais, observará a legislação aplicável à matéria nas decisões relativas ao tratamento dos Dados Pessoais, sendo totalmente responsável pelo eventual descumprimento das normas legais, quando previamente alertado pela Empresa.
11.4 - Em caso de descumprimento da LGPD, em decorrência deste Registro de Preços ou das orientações fornecidas pelo Município, A Empresa será solidariamente responsável por eventuais prejuízos sofridos pelo Município.
11.5 - Em observância à Lei Geral de Proteção de Xxxxx Xxxxxxxx (Lei Federal nº 13.709/2018), a Empresa declara:
a) tratar e usar os dados a que tem acesso, nos termos legalmente permitidos, em especial recolhendo-os, registrando-os, organizando-os, conservando-os, consultando-os ou transmitindo-os somente nos casos em que houver consentimento inequívoco do Município;
b) tratar os dados de modo compatível com as finalidades definidas pelo Município;
c) conservar os dados apenas durante o período necessário à execução das finalidades, garantindo a sua confidencialidade;
d) implementar as medidas técnicas e organizativas necessárias para proteger os dados contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado, bem como contra qualquer outra forma de seu tratamento ilícito;
e) assegurar que os seus empregados e os prestadores de serviços externos contratados, que venham a ter acesso aos dados pessoais no contexto deste Registro de Preços, cumpram as disposições legais aplicáveis em matéria de proteção de dados pessoais, não cedendo nem divulgando tais dados a terceiros, nem deles fazendo uso para quaisquer fins que não os estritamente consentidos pelo Município, devendo a Empresa exigir que tais indivíduos assinem o Termo de Confidencialidade.
11.6 - A Empresa manterá os Dados Pessoais e Informações Confidenciais sob programas de segurança, incluindo a adoção e a aplicação de políticas e procedimentos internos, elaborados para:
a) identificar riscos prováveis e razoáveis para segurança e acessos não autorizados à sua rede; e
b) minimizar riscos de segurança, incluindo avaliação de riscos e testes regulares.
11.7 - A Empresa se obriga a comunicar imediatamente ao Município quando da ocorrência de qualquer incidente envolvendo os serviços contratados, execução da Ata de Registro de Preços e os dados e/ou informações disponibilizados pelo Município (e/ou suas próprias informações), tomando de imediato todas as medidas que possam minimizar eventuais perdas e danos causados em razão do incidente, além de adotar todas as medidas técnicas necessárias para cessar e solucionar o incidente com a maior brevidade possível.
11.8 - O Município possui amplos poderes para fiscalizar e supervisionar o cumprimento das obrigações de que trata esta cláusula, inclusive in loco, na sede da Empresa, desde que, neste caso, avise com antecedência mínima de 48h (quarenta e oito horas), e pode, ainda, a qualquer tempo, exigir os elementos comprobatórios correspondentes.
11.9 - A Empresa se compromete a responder todos os questionamentos feitos pelo Município que envolvam dados pessoais repassados e a LGPD, no prazo de 05 (cinco) dias úteis, sem prejuízos dos demais deveres ajustados neste instrumento.
12. MONITORAMENTO DE VEÍCULOS, MÁQUINAS E EQUIPAMENTOS
12.1 - O monitoramento de veículos, máquinas e equipamentos, através de tecnologia disponível, previsto no artigo 4º, inciso I, da Lei Municipal 12.827/2021 é INCOMPATÍVEL porque os certificados digitais do tipo A1 são instalados em computadores do tipo servidores ou estações de trabalho pertencentes ao município de Porto Alegre, bens que já são patrimoniados e possuem controle/rastreabilidade. Já os certificados do tipo A3 são instalados em TOKENS USB, no qual são de uso pessoal dos servidores que irão recebê-lo.
13. REGISTRO FOTOGRÁFICO
13.1 - A previsão de fotos anteriores e posteriores à execução do serviço, com indicação do local e da data da execução, previsto no artigo 4º, inciso III, da Lei Municipal 12.827/2021 é INCOMPATÍVEL porque parte
dos produtos são intangíveis fisicamente (Certificados A1), e os TOKENS USB (Certificados A3 são dispositivos móveis de uso pessoal).
14. MONITORAMENTO ELETRÔNICO
14.1 - A previsão de utilização de tecnologia que possibilite o monitoramento eletrônico de ordens de serviço emitidas pela Administração Pública Municipal, previsto no artigo 4º, inciso IV, da Lei Municipal 12.827/2021 é INCOMPATÍVEL, pois o objeto será disponibilizado posteriormente a emissão de empenho direto referente a contrato firmado entre a Empresa e Município.
15. METAS DE DESEMPENHO NA EXECUÇÃO DO OBJETO
15.1 - A previsão de metas de desempenho na execução do objeto que impactem financeiramente na sua remuneração, previsto no artigo 4º, inciso V, da Lei Municipal 12.827/2021 é INCOMPATÍVEL porque com o objeto sendo a disponibilização e pagamento dos certificados digitais com ou TOKEN USB em momento da assinatura do contrato ou inclusão das mesmas em contrato existente sendo, posteriormente, realizado o controle do suporte e garantia das licenças acionados na medida da necessidade e conveniência da Prefeitura de Porto Alegre quando aplicável.
16 - VERIFICAÇÃO DA QUALIDADE DO SERVIÇO PRESTADO
16 . 1 - Serão aferidas as entregas das licenças em atendimento ao disposto no presente Termo de Referência por meio de prazos e métodos estabelecidos bem como prazos para correção de inconsistências identificadas.
17. QUANTITATIVOS ESTIMADOS
17.1 - Os quantitativos estimados de cada item estão estabelecidos na tabela a seguir:
Item | Especificação | Quantidade |
01 | CERTIFICADO DIGITAL, E-CPF, PARA PESSOA FÍSICA DO TIPO A3, com mídia criptográfica tipo TOKEN USB, com 36 (trinta e seis) meses de validade. | 270 |
02 | CERTIFICADO DIGITAL, E-CPF, PARA PESSOA FÍSICA DO TIPO A1, com 12 (doze) meses de validade. | 27 |
03 | CERTIFICADO DIGITAL, E-CNPJ, PARA PESSOA JURÍDICA DO TIPO A3, com mídia criptográfica tipo TOKEN USB, com 36 (trinta e seis) meses de validade. | 22 |
04 | CERTIFICADO DIGITAL, E-CNPJ, para pessoa jurídica do tipo A1, com 12 (doze) meses de validade | 08 |
05 | CERTIFICADO DIGITAL SSL WILDCARD DV, para domínios e subdomínios, com 12 (doze) meses de validade. | 08 |
06 | CERTIFICADO DIGITAL, e-CPF, PARA PESSOA FÍSICA DO TIPO A3 sem mídia criptográfica tipo TOKEN USB, com 36 (trinta e seis) meses de validade. | 08 |
07 | CERTIFICADO DIGITAL, e-CNPJ, PARA PESSOA JURÍDICA DO TIPO A3 sem mídia criptográfica tipo TOKEN USB, com 36 (trinta e seis) meses de validade. | 08 |
Documento assinado eletronicamente por Xxxxxxxx Xxxxxx Xxxxxxxx, Analista de TI, em 03/11/2023, às 15:47, conforme o art. 1º, III, "b", da Lei 11.419/2006, e o Decreto Municipal 18.916/2015.
A autenticidade do documento pode ser conferida no site xxxx://xxx.xxxxxxxx.xxx.xx/xxxxxxxxxxxxx/xxxxxxx informando o código verificador 26034336 e o código CRC 1A26B0E3.
23.0.000048024-0 26034336v6