TERMO DE REFERÊNCIA – SOLUÇÕES DE TI
TERMO DE REFERÊNCIA – SOLUÇÕES DE TI
Objeto:
Consulta ao Mercado na modalidade RFP (Request for Proposal) para subsidiar decisão de contratação de Solução de Blockchain em Nuvem Pública na modalidade Software como Serviço (SaaS – Software-as-a- Service), incluindo suporte técnico, por um período de 36 meses, prorrogáveis por até 60 meses.
IMPORTANTE
• O cronograma estipulado deverá ser cumprido rigorosamente pelos fornecedores. Eventuais modificações nos prazos poderão ocorrer a critério do Banco do Brasil.
Etapa | Data |
Publicação | 18/07/2022 |
Recebimento de dúvidas | 22/07/2022 |
Esclarecimento de dúvidas | 27/07/2022 |
Recebimento da Resposta | 01/08/2022 |
• As dúvidas decorrentes da interpretação desta RFP deverão ser encaminhadas ao endereço eletrônico xxxxx.xxxxxxx@xx.xxx.xx, sob o título: RFP – Blockchain em Nuvem Pública (SaaS) – DÚVIDA. As mensagens deverão conter a identificação da empresa, o nome do responsável e telefone para contato. Os esclarecimentos às dúvidas serão divulgados por esta mesma via.
• A resposta do fornecedor a esta consulta, por meio de Proposta Comercial, deve ser encaminhada em meio digital para o endereço eletrônico citado acima, sob o título: RFP – Blockchain em Nuvem Pública (SaaS) – RESPOSTA, juntamente com a planilha de Precificação e qualquer documentação adicional julgada necessária.
• A Proposta Comercial deverá apresentar preços com base/formato da tabela apresentada no item
ANEXO II – Planilha de Precificação, anexo a este documento.
• Apreciaríamos ainda, a apresentação, caso haja, de sugestões de qualquer natureza, inclusive com indicação de cenários alternativos que possam vir a configurar melhoria e/ou vantajosidade ao Banco do Brasil.
Termo de Referência – Soluções de TI – Julho/2022
1
Termo de Referência – Soluções de TI – Julho/2022
2
TERMO DE REFERÊNCIA PARA RFP DE SOLUÇÕES DE TI
1) Objeto:
Consulta ao Mercado na modalidade RFP (Request for Proposal) para subsidiar decisão de contratação de Solução de Blockchain em Nuvem Pública na modalidade Software como Serviço (SaaS – Software-as-a-Service), incluindo suporte técnico, por um período de 36 (trinta e seis) meses, prorrogáveis por até 60 (sessenta) meses.
1.1 Países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados:
Termo de Referência – Soluções de TI – Julho/2022
3
2) Especificações
2.1 - Documentação Técnica
2.1.1 A PROPONENTE deve possuir as seguintes habilitações, que poderão ser exigidas em uma eventual licitação:
2.1.1.1 Certificações ISO/IEC 27001:2013, ISO/IEC 27017:2015 e ISO/IEC 27018:2014, ou versões posteriores, com validade vigente na data de apresentação da proposta.
2.1.1.2 Alternativamente a ISO/IEC 27018:2014, poderá ser apresentada a CSA STAR Certification LEVEL TWO.
2.1.1.3 No caso de empresa representante oficial de provedor de nuvem, as certificações acima deverão ser apresentadas em nome do provedor de nuvem.
2.1.1.4 Em caso de empresa representante oficial do provedor de nuvem, a PROPONENTE deve comprovar:
2.1.1.4.1 Ser representante oficial e autorizada a comercializar os serviços do provedor. Essa comprovação deverá ser feita por meio de declaração do provedor ou através do site oficial desse;
2.1.1.4.2 Que terá acesso ao suporte do provedor, quando necessário, sem custos adicionais para o SOLICITANTE, de forma a garantir os níveis mínimos de serviço exigidos previstos neste documento.
2.1.1.5 Comprovação de que os profissionais responsáveis pelo suporte técnico são certificados pelo provedor.
2.1.1.6 As certificações poderão ser apresentadas nas suas versões originais em inglês.
2.1.1.7 Todos os documentos emitidos em língua estrangeira deverão ser entregues acompanhados da tradução para língua portuguesa (Brasil) efetuada por tradutor juramentado, e devidamente consularizados ou registrados no cartório de
títulos e documentos, exceto para os itens 2.1.1.1, 2.1.1.2 e 2.1.1.5.
2.1.1.8 Documentos de procedência estrangeira, mas emitidos em língua portuguesa, também deverão ser apresentados devidamente consularizados ou registrados em cartório de títulos e documentos.
2.1.1.9 A PROPONENTE deverá apresentar documentação referente as suas políticas de segurança e diretrizes para garantir o controle do acesso físico e lógico do ambiente do provedor, para que o Banco do Brasil possa analisar, previamente,
Termo de Referência – Soluções de TI – Julho/2022
4
se estão aderentes às exigências constantes nas especificações deste documento.
2.1.1.10 Relação dos países e regiões onde os serviços serão prestados.
2.1.1.10.1 É necessária a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados. Assim, a proponente deverá encaminhar documentação que comprove ser conveniada ao BACEN.
2.1.1.10.2 No caso de inexistência do convênio, a futura utilização do serviço estará condicionada à autorização do Banco Central do Brasil, sem a qual a proposta não será válida.
2.1.1.11 Comprovação de que a prestação dos serviços não causará prejuízos ao funcionamento regular do SOLICITANTE nem embaraço à atuação do Banco Central do Brasil, assegurando que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso do Banco do Brasil e do Banco Central do Brasil aos dados e às informações.
2.2 - Etapa de Homologação
2.2.1 O fornecimento da solução poderá ficar sujeito a homologação posterior à eventual contratação.
2.3 - Proposta
2.3.1 Informações que deverão constar da proposta:
2.3.1.1 A proposta deverá conter o nome do provedor de nuvem, o valor unitário, o valor mensal e o valor anual de cada serviço especificado no Anexo I desse Termo de Referência, conforme Anexo II – Planilha de Precificação
2.3.1.2 Todas as despesas inerentes a tributos e serviços agregados deverão estar inclusas nos valores apresentados na proposta.
2.3.1.3 A proposta deverá conter declaração da PROPONENTE de que se encontra apta a prestar todos os serviços pertinentes ao produto ofertado e às regras de negócio envolvidas. Os preços informados deverão ser expressos em moeda corrente nacional, neles inclusos os acréscimos e despesas, como impostos, sem inclusão de qualquer encargo financeiro ou previsão inflacionária.
2.3.1.4 Nos preços que forem ofertados estarão incluídos todos os custos com salários, encargos sociais, previdenciários e trabalhistas de todo o pessoal da PROPONENTE, aluguéis, administração, impostos, taxas, emolumentos e quaisquer outros custos que, direta ou indiretamente, se relacione com o fiel cumprimento pela PROPONENTE de suas obrigações
Termo de Referência – Soluções de TI – Julho/2022
5
2.4 - Atestado(s) de capacidade técnica
2.4.1 A proponente deve ser capaz de comprovar, numa eventual contratação, desempenho de atividade pertinente e compatível com o ramo de atividade de acordo com o objeto.
3) Especificações técnicas e condições de prestação dos serviços
3.1 O detalhamento das especificações dos itens desta SOLICITAÇÃO DE PROPOSTA consta do Anexo I – ESPECIFICAÇÕES TÉCNICAS E REQUISITOS
3.2 Condições de Garantia e Assistência Técnica, Manutenção e Suporte Técnico:
3.2.1 O serviço de suporte técnico deve estar disponível para a abertura de chamados de suporte técnico durante 7 dias por semana, 24 horas por dia, todos os dias do ano.
3.2.2 Na abertura do chamado, a PROPONENTE deverá fornecer um número de registro único para acompanhamento de cada chamado, que será utilizado em cada interação que o envolva.
3.2.3 Os serviços de suporte técnico compreendem todos os chamados relativos a problemas, correções e/ou incidentes, inclusive os decorrentes de manutenções planejadas dos serviços disponíveis na plataforma do provedor de nuvem, incluindo eventual serviço de Marketplace.
3.2.4 O suporte técnico inclui, ainda, o auxílio na configuração dos serviços objetos dessa contratação para o correto funcionamento, além do esclarecimento de dúvidas na utilização desses, de forma a garantir a melhor utilização e maximização dos recursos contratados.
3.2.5 A PROPONENTE deverá prover, no mínimo, dois canais de atendimento, sendo um deles obrigatoriamente o portal de serviços do provedor de nuvem pública.
3.2.6 Os chamados de suporte técnico serão classificados por severidade, de acordo com o impacto na prestação do serviço para o SOLICITANTE, de acordo com a classificação descrita na tabela de severidade, prevista no NMSE.
3.2.7 Para a realização dos serviços de suporte técnico, a PROPONENTE deverá comprovar, através da entrega de declaração ou documento equivalente, que terá acesso ao suporte do provedor, quando necessário, sem custos adicionais para a SOLICITANTE, de forma a garantir os níveis mínimos de serviço exigidos previstos
Termo de Referência – Soluções de TI – Julho/2022
6
neste documento.
3.2.8 A PROPONENTE deverá disponibilizar ao SOLICITANTE a opção de abertura de chamado técnico diretamente no site do provedor.
3.2.9 O suporte técnico eventualmente oferecido pelo provedor deverá contemplar os requisitos deste documento.
3.2.10 O acompanhamento de chamados deverá ocorrer por meio de portal, e-mail e telefone. O atendimento deverá ser realizado em língua portuguesa ou inglesa.
3.2.11 Em qualquer mudança na situação de chamados deve ser encaminhada uma notificação ao SOLICITANTE, contendo as informações de registro do chamado, para endereço de e-mail previamente designado, inclusive quando houver mudança de status interrompendo a contagem do Nível Mínimo de Serviço (NMSE).
3.2.12 O chamado do SOLICITANTE permanecerá aberto até que a PROPONENTE solucione o incidente e providencie o encerramento do chamado com o aceite do SOLICITANTE. Para dar a concordância no fechamento do chamado, o SOLICITANTE verificará se o incidente foi solucionado. Caso não tenha sido, o chamado permanecerá aberto e contando tempo para medição dos níveis de serviços.
3.2.13 Toda e qualquer intervenção no ambiente de nuvem resultante de serviços decorrentes de chamados abertos pelo SOLICITANTE será realizada somente mediante comunicação prévia ao SOLICITANTE, a partir de informações claras dos procedimentos que serão adotados/executados pelo provedor.
3.2.13.1 Intervenções operacionais no ambiente de nuvem podem ser realizadas visando o bem da continuidade dos serviços. Essas deverão ser comunicadas previamente ao SOLICITANTE, apenas nos casos que poderão comprometer a disponibilidade do serviço.
3.2.14 Nos casos em que o atendimento não se mostrar satisfatório, o SOLICITANTE fará reabertura do chamado, mantendo-se as condições e prazos do primeiro chamado.
3.3 Transferência de conhecimento
3.3.1 A PROPONENTE deverá fornecer material de referência e manuais, seja na forma física ou digital, contendo orientações a respeito da melhor utilização dos serviços.
Termo de Referência – Soluções de TI – Julho/2022
7
3.3.2 Treinamento para utilização da solução
3.3.2.1 A PROPONENTE deverá fornecer treinamento remoto ou onde o SOLICITANTE possuir sede.
3.3.2.2 O treinamento pode ser dividido em etapas, contemplando as tecnologias e serviços envolvidos, além do uso prático da solução e o desenvolvimento de estudos de caso. No caso de o treinamento ser realizado nas dependências do SOLICITANTE, as instalações e recursos audiovisuais serão providas por esta.
3.3.2.3 A PROPONENTE deverá fornecer material didático em formato digital e/ou impresso para todos os participantes com o conteúdo abordado durante o treinamento em língua portuguesa, ou, opcionalmente, em língua inglesa, desde que justificado e aceito pelo SOLICITANTE.
3.3.2.4 A PROPONENTE deverá emitir, ao final do treinamento, certificado de conclusão para cada participante, no qual deverão constar a identificação do treinando, o período de realização, conteúdo e carga horária.
3.3.3 Medidas de Segurança para a transmissão e armazenamento de dados:
3.3.3.1 Conforme tópico SEGURANÇA, no Anexo I.
3.4 Especificações técnicas
3.4.1 As especificações técnicas constam no Anexo I deste documento.
4) Cláusulas
4.1 Condições de Pagamento
As condições de pagamento serão pactuadas em uma eventual contratação.
4.2 Definições do modelo de execução do serviço declarado no objeto da solicitação de proposta:
4.2.1 Rotinas de execução:
Prazos de fornecimento ou execução dos serviços | 36 meses, com possibilidade de prorrogação para 60 meses. |
Horário de fornecimento dos bens ou prestação dos serviços | 24 x 7, 365 dias por ano |
4.2.2 Obrigações da PROPONENTE, quando couber:
4.2.2.1 O cumprimento da legislação e da regulamentação em vigor;
Termo de Referência – Soluções de TI – Julho/2022
8
4.2.2.2 Assegurar o acesso do SOLICITANTE aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;
4.2.2.3 Assegurar a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;
4.2.2.4. A sua aderência a certificações exigidas pelo SOLICITANTE para a prestação do serviço a ser contratado;
4.2.2.5 O acesso do SOLICITANTE aos relatórios elaborados por empresa de auditoria especializada independente contratada pela PROPONENTE, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;
4.2.2.6 O provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
4.2.2.7 A identificação e a segregação dos dados dos clientes do SOLICITANTE por meio de controles físicos ou lógicos;
4.2.2.8 a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes do SOLICITANTE;
4.2.2.9 a adoção de controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.
4.3 Aspectos de Segurança:
4.3.1 Conforme tópico SEGURANÇA, no Anexo I, neste mesmo documento.
4.4 Acordo de nível de serviço ou Nível Mínimo de Serviço Exigido (NMSE):
Escopo | Os níveis mínimos de serviço têm como objetivo assegurar que a qualidade dos serviços prestados seja mensurada e entregue em conformidade com as necessidades do SOLICITANTE. A PROPONENTE reconhece que o não atendimento dos níveis de serviço exigidos pode resultar em impacto adverso nos negócios e nas operações do SOLICITANTE. A PROPONENTE ficará desobrigada do cumprimento dos níveis de serviço enquanto a |
Termo de Referência – Soluções de TI – Julho/2022
9
prestação de serviços estiver prejudicada em função de impedimento ou retardo decorrente de responsabilidade do SOLICITANTE. | ||
Apuração dos indicadores | As medições serão apresentadas ao final de cada mês, compreendendo o período entre o primeiro e o último dia, no qual a medição compreenderá os serviços realizados neste período. Para definição da qualidade do serviço será utilizado o indicador de disponibilidade. A apuração da disponibilidade para os serviços prestados será composta pelo desempenho dos itens abaixo: tempo de atividade do serviço = tempo em um período definido em que o serviço estava disponível; capacidade do serviço = número máximo de usuários que podem acessar o serviço ao mesmo tempo. | |
Tabela de Severidade | Severidade – Disponibilidade | Descrição |
S1 – Crítica | Serviço indisponível: O serviço está indisponível com número significativo de usuários afetados ou causando impacto crítico aos negócios. Quebra de Segurança Extrema: Há uma quebra de segurança, causando grande prejuízo financeiro ou vazamento de informações classificadas ou risco de imagem grave. | |
S2 – Alta | Serviço com disponibilidade intermitente: O serviço apresenta falhas de funcionamento, sem causar total interrupção do serviço, mas afeta significativamente o seu desempenho, causando impacto significativo aos usuários e ao | |
Termo de Referência – Soluções de TI – Julho/2022
10
negócio. Quebra de Segurança crítica: Há uma quebra de segurança, causando prejuízo financeiro médio ou vazamento de informações classificadas, porém não confidenciais, ou risco de imagem médio. | ||
S3 – Média | Serviço disponível com comportamento anormal: O serviço está disponível, porém apresenta problemas de configuração ou de provisionamento. O problema gera impactos operacionais, aos usuários e aos negócios de forma moderada a pequena. Quebra de Segurança Moderada: Há uma quebra de segurança moderada, causando prejuízo financeiro baixo ou vazamento de informações não classificadas ou risco de imagem baixo. | |
S4 – Baixa | Dúvidas, problemas na utilização, esclarecimentos da documentação, sugestões, solicitações de desenvolvimento de novas características ou melhorias. Impacto mínimo aos usuários e aos negócios. Quebra de segurança mínima, não causando prejuízo financeiro ou sem vazamento de informações ou sem risco de imagem. | |
Regras de aplicação de descontos | O não atingimento dos níveis de serviço aqui definidos (quebra de indicador) gerará direito, ao SOLICITANTE, de aplicação de descontos sobre os valores dos pagamentos mensais devidos à PROPONENTE. Estes descontos serão realizados conforme descrições abaixo. | |
Termo de Referência – Soluções de TI – Julho/2022
11
O valor total do desconto referente aos serviços contratados será igual ao somatório dos créditos mensais recebidos de reivindicações de NMSE/SLA e não utilizados, apurados em cada indicador pelo não atingimento dos níveis de serviço acordados, limitados a 25% (vinte e cinco por cento) do valor mensal referente aos serviços. Os descontos podem ocorrer na forma de ressarcimento ou créditos, exceto para suporte técnico, para utilização de serviços em uso. Para os indicadores que preveem “Porcentagem de Crédito do Serviço”, os percentuais incidem sobre o valor total do tipo de serviço onde foi apurada a quebra do indicador. Para os demais indicadores, o percentual se aplica ao total da fatura do mês em que ocorreu a quebra. O valor total de desconto será igual ao valor dos créditos provenientes de reivindicações de NMSE/SLA ao final de cada ciclo mensal, sendo aplicado: • Os descontos devem constar na fatura em até dois meses após período apurado; • Os créditos disponibilizados deverão ficar disponíveis para utilização do SOLICITANTE. Caso haja créditos remanescentes, será realizado o desconto do valor devido da garantia contratual ou devolvido diretamente pela PROPONENTE. Havendo descumprimento de qualquer nível de serviço, sem prejuízo da aplicação dos descontos previstos, a PROPONENTE deverá investigar e relatar as causas dos descumprimentos, bem como tomar medidas preventivas apropriadas para evitar reincidências. Os descontos por não atendimento dos níveis de serviços serão aplicados cumulativamente com as demais sanções previstas, não terão caráter |
Termo de Referência – Soluções de TI – Julho/2022
12
compensatório e sua cobrança não isentará a PROPONENTE da obrigação de indenizar eventuais perdas e danos. | |
Outros | A PROPONENTE não será responsabilizada por inatividade dos serviços no ambiente da nuvem ocasionadas por falha, interrupção ou qualquer outra ocorrência relacionada a prestação de serviços das empresas de telecomunicações ou energia elétrica. Indisponibilidade e inconsistência de dados e informações geradas pelo SOLICITANTE, infraestrutura e capacidade de ambiente de tecnologia do SOLICITANTE ou de terceiros, inclusive o tempo necessário à restauração do ambiente após o restabelecimento das condições de operação, não serão caracterizados indisponibilidade dos serviços ou inadimplemento da PROPONENTE. |
4.4.1 Definições de Indicadores de qualidade:
4.4.1.1 Disponibilidade dos serviços de nuvem:
Descrição do Indicador | Disponibilidade dos Serviços de Nuvem – DSN Este indicador calcula o percentual total de tempo em que os serviços de computação estiveram disponíveis para o SOLICITANTE durante o mês. O objetivo deste indicador é definir uma porcentagem de tempo mínima para o funcionamento dos serviços e a quantidade de créditos a serem restituídos ao SOLICITANTE em caso de descumprimento do percentual de funcionamento mensal. Este indicador representa o nível de eficiência do processo operacional da PROPONENTE para efeitos de avaliação do serviço. |
Métrica | DSN = (100 * TFS)/THM THM = Total Horas Mês TFS = Tempo de funcionamento do serviço |
Periodicidade de | Mensal |
Termo de Referência – Soluções de TI – Julho/2022
13
Medição | ||
Metas e Porcentagem de Créditos de Desconto | Porcentagem de Funcionamento Mensal | Porcentagem de Crédito de Serviço |
99,99%>Funcionamento>=99,0% | 10% | |
99,0% > Funcionamento | 25% | |
4.4.1.2 Serviços de Suporte Técnico:
Descrição do Indicador | Tempo de Atendimento – TA Representa o tempo máximo tolerado pelo SOLICITANTE para início do atendimento técnico por parte da PROPONENTE. | |
Métrica | TA = DHI – DHA TA = Tempo de Atendimento DHI = Data, hora e minuto do início do atendimento técnico. DHA = Data, hora e minuto da abertura da ocorrência. | |
Periodicidade de Medição | Mensal | |
Meta | Severidade | Evento de quebra da meta |
S1 | 1,0% | |
S2 | 0,5% | |
S3 | 0,25% | |
S4 | 0,10% | |
4.4.1.3 Entrega de Relatórios
Descrição do Indicador | Entrega de Relatórios – ERG Verificar se o relatório gerencial de acompanhamento mensal dos níveis de serviço foi entregue no prazo estipulado. Verificar se o relatório gerencial de segurança e relatório de testes de vulnerabilidades foram entregues no prazo estipulado. |
Métrica | ERG = DEE – DPE |
Termo de Referência – Soluções de TI – Julho/2022
14
DPE = Data programada da entrega DEE = Data da efetiva entrega | |
Periodicidade de Medição | Mensal |
Meta | Até 5 dias úteis do mês subsequente à prestação do serviço. |
Descontos | 1% por dia de atraso |
4.5 Limitação da Responsabilidade Civil da Contratada
4.5.1 A PROPONENTE responderá pecuniariamente, até o limite de 0,1 vezes o valor global do contrato, por danos e/ou prejuízos que forem causados ao SOLICITANTE, ou a terceiros, decorrentes de falha dos serviços ora contratados, inclusive os motivados por greves ou atos dolosos de seus empregados. Assume a PROPONENTE, nesse caso, a obrigação de efetuar a respectiva indenização até o 5º (quinto) dia útil após a comunicação, que lhe deverá ser feita por escrito.
4.5.2 A PROPONENTE responderá pessoal, direta e exclusivamente pelas reparações decorrentes de acidentes de trabalho na execução dos serviços contratados, uso indevido de marcas e patentes e danos pessoais ou materiais causados ao SOLICITANTE ou a terceiros, mesmo que ocorridos na via pública, até o limite estabelecido no item 4.5.1. Responsabiliza-se, igualmente, pela integridade do local de prestação dos serviços, respondendo pela destruição ou danificação de quaisquer de seus elementos, inclusive de caso fortuito ou força maior inerentes aos riscos dos serviços ora contratados.
4.6 Matriz de Riscos
4.6.1 Conforme Anexo III, neste mesmo documento.
4.7 Cláusulas referentes à Lei Geral de Proteção de Dados Pessoais (LGPD)
4.7.1 Numa eventual contratação, os termos utilizados no contrato deverão apresentar os mesmos significados do art. 5º da Lei Geral de Proteção de Dados Pessoais (LGPD).
5) Anexos:
Anexo I - Especificação Técnica (neste mesmo documento) Anexo II – Planilha de Precificação (planilha anexa)
Xxxxx XXX – Matriz de Riscos (neste mesmo documento)
Termo de Referência – Soluções de TI – Julho/2022
15
6) ASSINATURA
Assinatura de dois comissionados, sendo pelo menos um deles de 3º nível gerencial (RO 3G) da Área Demandante.
Termo de Referência – Soluções de TI – Julho/2022
16
ANEXO I - ESPECIFICAÇÕES TÉCNICAS E REQUISITOS
1. Plataforma Blockchain
1.1 Solução de Blockchain gerenciado (Saas – Software-as-a-Service), com suporte, pelo menos, ao framework Hyperledger Fabric, no mínimo, em suas versões
1.4.x e 2.x e superiores, operacional e em produção. Futuras evoluções devem ser implementadas de forma automática e sem prejuízo para a realização dos negócios.
1.2 Suportar aplicativos descentralizados e, preferencialmente, possuir ferramentas para desenvolvimento e gerenciamento de seu ciclo de vida.
1.3 Possuir mecanismos para geração e manutenção do ciclo de vida dos certificados digitais necessários para o funcionamento da solução e suas aplicações.
1.4 Console / interface gráfica, onde administradores e operadores possam interagir com a solução Blockchain, para executar atividades como gerenciar contas, criar e monitorar redes e quaisquer componentes necessários, em idiomas português padrão Brasil e em inglês, preferencialmente.
1.5 A solução deve prover serviços de autoscaling, quando aplicável, permitindo que os componentes tenham acesso automático a maior ou menor quantidade de recursos computacionais, em função da demanda.
1.6 A solução não deve depender de um único componente e deve suportar a falha de quaisquer componentes. Os componentes devem ser resilientes, através da utilização de múltiplas instâncias, com recursos da nuvem, aliadas à replicação de dados e redundância de storages e recursos computacionais.
1.7 Prover exposição de APIs para consumo da camada Blockchain por apps externos/internos
1.8 A solução tecnológica deve estar sob a guarda de solução de Firewall, contemplando, ao menos, controle de aplicação (application control), identificação de usuário, filtro de URL e controle de políticas de acesso;
1.9 Ter processo de monitoração para a solução tecnológica, com recursos que incluem ferramentas para análise e automação
1.10 Observar como regras e condições para o tratamento de informações a priorização:
1.11 Prioritariamente, que o serviço seja disponibilizado em datacenter no território nacional, assim como o armazenamento das cópias de segurança / backup. Em caso de serviço em nuvem pública prestado no exterior, é necessário a existência de convênio para troca de informações, entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços serão prestados (cf. art. 16, da resolução BACEN 4893/2021).
Termo de Referência – Soluções de TI – Julho/2022
17
1.12 Atentar para o disposto na Instrução Normativa nº 5, de 30 de agosto de 2021 do GSI, que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal.
2. Gerenciamento de Acesso
2.1 Suportar o padrão SAML (Security Assertion Markup Language) versão 2, necessariamente, ou o protocolo de autorização OAuth 2.0/OpenID Connect de forma a permitir a integração com o Serviço de Gerenciamento de Acesso no modelo SSO - Single Sign-On.
2.2 Permitir a utilização de certificados digitais para autenticação mútua das instâncias de integração do tipo SSL/TLS versão 1.2 ou superior
2.3 Integrar-se ao modelo CASB (Cloud Access Security Broker) da plataforma Microsoft.
2.4 Ser capaz de herdar e manter Token de Acesso de usuário de forma a gerenciar o acesso e autorizações dos usuários aos recursos providos pela solução tecnológica contratada.
2.5 Gerenciar Certificados Digitais e manter armazenamento seguro dos Certificados e as respectivas chaves criptográficas para fins de assinaturas das mensagens trocadas entre o Banco do Brasil e a Solução contratada. Para tanto, recomenda-se fazer uso da tecnologia de Hardware Security Module - HSM ou armazenamento seguro em nuvem.
2.6 A mensagem de requisição aos serviços de autenticação e autorização deverá ser assinada digitalmente pela solução tecnológica para encaminhamento ao SOLICITANTE. Assim como as respostas do SOLICITANTE às requisições da solução ofertada pela PROPONENTE também deverão ser assinadas digitalmente antes do envio.
2.7 Os serviços de autenticação e autorização, quando acionados, só irão responder às requisições da Solução Tecnológica do Provedor mediante a confirmação positiva da assinatura digital, bem como a Solução Tecnológica da PROPONENTE só irá liberar o recurso após a confirmação positiva da assinatura digital da mensagem pelo SOLICITANTE.
2.8 Deve permitir o uso de verificadores de credenciais por múltiplo fator (MFA, 2FA) ou outro mecanismo adicional de autenticação.
2.9 Possuir federação de identidade com o serviço de Gerenciamento de Acesso do SOLICITANTE (ID Provider Corporativo), não permitindo acesso de usuário sem autenticação.
Termo de Referência – Soluções de TI – Julho/2022
18
3. Segurança
3.1 A solução tecnológica deve prover mecanismo de acesso protegido aos dados por meio de chave de criptografia, garantindo que apenas aplicações e usuários autorizados tenham acesso.
3.2 A solução tecnológica deve observar os requisitos de segurança para o processo de transferência de dados, como a conexão privada por VPN, para garantir a integridade e a confidencialidade dos dados.
3.3 A solução tecnológica deve garantir, no caso de descontinuidade da solução, meios de disponibilizar os dados para backup em outras nuvens ou on-premises.
3.4 A solução tecnológica deve suportar a exportação de dados para qualquer Banco de Dados Relacional ou Não relacional (quando se aplicar)
3.5 A solução deve prover trilha de auditoria e logs de segurança das atividades de todos os usuários, além de histórico de chamadas de APIs
3.6 O serviço deverá possuir recursos de alta disponibilidade, além de sistemas para cópias de segurança, restauração de dados e auditoria
3.7 O serviço deverá dispor de solução de gerenciamento e replicação de backup.
3.8 Possuir solução de firewall dedicado à proteção de ambiente;
3.9 Possuir sistema de prevenção à intrusão (IPS), mecanismo que possa responder a ataques em tempo real, bloqueando pacotes considerados maliciosos e Ameaças Persistentes Avançadas;
3.10 Possuir solução de antivírus para servidores físicos e virtualizados;
3.11 Dispor de procedimentos de gerenciamento de vulnerabilidades e aplicação de patches de segurança;
3.12 Possuir compatibilidade (integração) com o Microsoft Active Directory para gerenciamento de autenticação e autorização de usuários;
3.13 Possuir compatibilidade (integração) LDAP V3 (IBM Tivoli Directory Server for z/OS, bem como suas versões superiores), de forma a prover os serviços de autenticação e autorização, pelo uso dos dados de usuários e grupos existentes nesse produto.
3.14 Permitir a configuração de diferentes perfis de acesso com níveis de permissões diferentes para usuários distintos;
3.15 Fornecer utilitários para a gerência de informações sensíveis (senhas, chaves privadas, certificados) utilizadas pelos contêineres (quando se aplicar)
Termo de Referência – Soluções de TI – Julho/2022
19
3.16 O provedor deve oferecer serviço de Gerenciamento e Correlação de Eventos de Segurança:
3.16.1 Serviço inteligente de detecção de ameaças para monitoração contínua de atividades mal-intencionadas e/ou comportamentos não autorizados;
3.16.2 Deverá ter respostas automatizadas para incidentes;
3.16.3 Deverá ser capaz de funcionar plenamente sem a instalação de clientes;
3.16.4 Deverá funcionar como solução única para detecção de alertas, visibilidade de ameaças, procura proativa e resposta a ameaças;
3.16.6 Deverá fornecer regras de aprendizado baseadas em comportamento.
3.16.7 O provedor deve oferecer serviço de Verificação/Análise de Vulnerabilidade.
3.17 Deve possuir serviço para avaliar as vulnerabilidades e desvios das melhores práticas de segurança dos serviços em nuvem;
3.18 Deverá permitir a configuração de políticas de segurança de acordo com a necessidade do SOLICITANTE;
3.19 Deverá ter verificações com base em melhores práticas, padrões de conformidade comuns e vulnerabilidades. Essas verificações incluem etapas recomendadas detalhadas para resolver potenciais problemas de segurança;
3.20 Deverá possuir mecanismo para a aplicação das recomendações de segurança de forma segura em todos os recursos disponíveis;
3.21 Deverá ser automatizado apenas com o uso de APIs;
3.22 Deverá apresentar uma lista com as vulnerabilidades encontradas, categorizadas por nível de gravidade.
4. Adequação às políticas de segurança
4.1 A PROPONENTE deverá assegurar que seus empregados estejam cientes e que devem obedecer às políticas de segurança de informações do SOLICITANTE e de garantir adequação às políticas estabelecidas.
4.2 O SOLICITANTE deverá atualizar a PROPONENTE sobre quaisquer alterações corridas nessas políticas.
4.3 A solução deve permitir:
4.3.1 a customização de relatórios gerenciais de segurança de acordo com o formato a ser requisitado pelo SOLICITANTE.
Termo de Referência – Soluções de TI – Julho/2022
20
4.3.2 supervisão e governança do fluxo de informações (Advanced Data Governance);
4.3.3 capacidade de identificação, descoberta e avaliação de aplicativos em nuvem em uso (Shadow IT);
4.3.4 classificação da informação quanto a outros atributos (privacidade, sigilo bancário etc.) e o monitoramento do tratamento de tais informações – rótulos de classificação (integração MS AIP);
4.3.5 tratamento da informação a depender do usuário e seus atributos - Data Right Management – DRM;
4.3.6 monitoramento, detecção e controle de informações armazenadas ou em trânsito na solução - Data Lost Prevention – DLP;
4.3.7 criptografia dos dados, em trânsito ou em descanso, quando sob guarda ou durante a transmissão de dados ao provedor do serviço de nuvem;
4.3.8 duplo fator de autenticação de usuários;
4.3.9 gestão de identidades (usuário, localização, meio de acesso, forma de acesso, dispositivo etc.);
4.3.10 análise comportamental da entidade do usuário (UEBA), visando a detecção de ameaças internas e contas comprometidas;
4.3.11 capacidade de proteção contra malwares e ameaças cibernéticas;
4.3.12 capacidade de detecção de anomalias e identificação de padrões indicativos de atividade maliciosa.
4.4 No caso de o Provedor não possuir compatibilidade com a solução de segurança para nuvens Microsoft Cloud App Security e oferecer solução equivalente de CASB, nativa ou via marketplace, essa deverá ser precificada à parte e compor o valor global da proposta.
5. Conectividade
5.1 A comunicação da solução tecnológica contratada com a infraestrutura tecnológica do SOLICITANTE ocorrerá por meio da Internet. Para tanto, a solução deve suportar o protocolo de comunicação HTTP sobre TLS versão 1.2, no mínimo.
5.2 Prover comunicação por meio de APIS REST, preferencialmente, e/ou SOAP para integração dos serviços da solução tecnológica com o ambiente tecnológico do SOLICITANTE.
Termo de Referência – Soluções de TI – Julho/2022
21
5.3 Suportar a conexão com a Internet por meio do protocolo HTTP/2.0 e/ou superior para a comunicação com o usuário permitindo a interação com os principais navegadores disponíveis.
5.4 A comunicação da solução fornecida pelas empresas registradas com a infraestrutura tecnológica do SOLICITANTE ocorrerá por meio de enlace de rede dedicado (link dedicado) ou conexão privada VPN por meio da internet, a critério do SOLICITANTE.
5.5 A solução tecnológica deve suportar os certificados para conexão HTTPS por autoridade certificadora nativamente reconhecida pelos navegadores Edge, Chrome e Firefox.
5.6 A solução tecnológica deve suportar e para tanto permitir a simultaneidade de acesso aos diversos usuários, sem comprometimento de desempenho e/ou estabilidade. Para tanto, deve ser utilizado serviço de balanceamento de carga para a solução.
6. Rede
6.1 A solução tecnológica deve suportar o protocolo SNMP - Simple Network Management Protocol, com ferramentas de monitoração de mercado.
7. Armazenamento
7.1 Prover armazenamento off-chain (fora da solução blockchain), onde, dependendo da natureza dos dados, podem ser utilizados múltiplas formas de armazenamento.
7.2 O armazenamento deve prover a capacidade de snapshots duráveis que podem ser usados em conjunto com o serviço de Backup em Nuvem
8. Tarifação
8.1 Possuir modalidade de tarifação paga pelo uso (pay-as-you-go)
8.2 A plataforma de nuvem pública deve prover ferramentas para visualização e gerenciamento de custos relacionados à solução Blockchain e demais serviços necessários para o devido funcionamento, descrevendo detalhadamente cada item.
9. LGPD
9.1 Quando os dados objeto da solução tecnológica (os levados para a nuvem e os trazidos da nuvem) estiverem sob a guarda da LGPD o processo de compliance LGPD do SOLICITANTE deve se integrar à solução tecnológica
Termo de Referência – Soluções de TI – Julho/2022
22
ANEXO III – MATRIZ DE RISCOS
CATEGORIA DO RISCO | DESCRIÇÃO | CONSEQUÊNCIA | ALOCAÇÃO DO RISCO |
Risco atinente ao Tempo da Execução | Atraso na execução do serviço relacionado ao objeto da proposta por culpa da Proponente. | Aumento do custo do produto e/ou do serviço | Proponente |
Fatos retardadores ou impeditivos da execução do serviço referente à Proposta, próprios do risco ordinário da atividade empresarial ou da execução | Aumento do custo do produto e/ou do serviço. | Proponente | |
Fatos retardadores ou impeditivos da execução do serviço referente à Proposta que estejam na álea econômica. | Aumento do custo do produto e/ou do serviço. | Solicitante | |
Risco da Atividade Empresarial | Alteração de enquadramento tributário, em razão do resultado ou de mudança da atividade empresarial, bem como por erro da Proponente na avaliação da hipótese de incidência tributária | Aumento ou diminuição do lucro da Proponente | Proponente |
Variação da taxa de câmbio. | Aumento ou diminuição do custo do produto e/ou do serviço. | Proponente | |
Elevação dos custos operacionais para o desenvolvimento da atividade empresarial em geral e para a execução do objeto em particular, tais como aumento de preço de insumos, prestadores de serviço e mão de obra, devidamente comprovados. | Aumento do custo do produto e/ou do serviço. | Solicitante | |
Riscos Trabalhistas e Previdenciário | Responsabilização do Solicitante por verbas trabalhistas e previdenciárias dos profissionais da Proponente alocados na execução do objeto contratual. | Geração de Custos trabalhistas e/ou previdenciários para o Solicitante, além de eventuais honorários advocatícios, multas e verbas sucumbenciais. | Proponente |
Risco Tributário e Fiscal (Não Tributário) | Responsabilização do Solicitante por recolhimento indevido em valor menor ou maior que o necessário, ou ainda de ausência de recolhimento, quando devido, sem que haja culpa do Solicitante. | Débito ou crédito tributário ou fiscal (não tributário). | Proponente |
Termo de Referência – Soluções de TI – Julho/2022
23
Assinado eletronicamente por:
F0171511 - XXXXXXX XXXX XXXX XXXXXXXX - 15/07/2022 às 13:39 F6250318 - XXX XXXXX XX XXXXXXX XXXXX - 15/07/2022 às 19:48 F6850899 - XXXXX XXXX XXXXXX - 18/07/2022 às 07:43
Código Validação: 12656620171511O xxxxx://xxx00.xx.xxx.xx/xxxxxxxxxx-xxxxxxx/#/00,000000,0,
Termo de Referência – Soluções de TI – Julho/2022
24