GOVERNO DO DISTRITO FEDERAL
GOVERNO DO DISTRITO FEDERAL
INSTITUTO DE GESTÃO ESTRATÉGICA DE SAÚDE DO DISTRITO FEDERAL
Gerência de Infraestrutura de Tecnologia da Informação e Comunicação Núcleo de Rede
ELEMENTO TÉCNICO
Nº 4/2021 - IGESDF/SUNAP/GGTEC/GETIC/NURED
1. DO OBJETO
1.1. O presente Elemento Técnico tem por objeto o registro de preço para eventual contratação de empresa especializada na prestação de serviços para provimento de infraestrutura de tecnologia nas modalidades on-premises, em cloud pública, serviços de cloud, SaaS, Segurança da Informação e Serviços Especializados para atendimento às demandas do IGESDF.
1.2. Todos os itens contidos neste objeto deverão ser fornecidos na modalidade as a service, ou seja, como serviços, considerando o custo por hora, mês, ano e USN (Unidade de serviços em nuvem), dos ativos e recursos a serem suportados, conforme volumetria, arquitetura de infraestrutura e necessidades que porventura surgirem de computação em nuvem, disponibilização de solução contra ameaças digitais e serviço de mensageria e colaboração em nuvem distribuídos, necessários para garantir a operação dos serviços de TI do Instituto de Gestão Estratégica de Saúde do Distrito Federal – IGESDF.
1.3. A solução será composta por:
LOTE | ITEM | Sub-Item | DESCRIÇÃO | UNIDADE | QTDE. | Valor Unitário | Valor Mensal |
1 | 01 - IaaS On- premises | 1.1 | Infraestrutura como Serviço - Hiperconvergência. | Node/Ano | 5 | R$ | R$ |
1.2 | Serviço de Fornecimento de | Unidade/mês | 70 | R$ | R$ |
Sistema Operacional Microsoft Windows Server 2016 ou superior | |||||||
1.3 | Serviço de Fornecimento de Licenças para uso de software Microsoft System Center. | 60 SKU/ano | 1 | R$ | R$ | ||
1.4 | Serviço de Fornecimento de Windows Server CALs | Usuário/Mês | 10 | R$ | R$ | ||
1.5 | Serviços de Monitoramento de infraestrutura IaaS | Mensal | 12 | R$ | R$ | ||
1.6 | Serviços Especializados em IaaS. | Horas | 17.000 | R$ | R$ | ||
LOTE | ITEM | Sub-Item | DESCRIÇÃO | UNIDADE | QTDE. | Valor Unitário | Valor Mensal |
2 | 2 - SaaS - Segurança da Informação como Serviço | 2.1 | Disponibilização de antivírus para servidores Windows e Linux | Servidor/Mês | 150 | R$ | R$ |
2.2 | Serviço de proteção de endpoints integrados com EDR | Estação/Mês | 10.000 | R$ | R$ |
2.3 | Disponibilização de Next Generation Firewall em Alta Disponibilidade - TIPO 1 | Unidade/Mês | 2 | R$ | R$ |
2.4 | Disponibilização de Next Generation Firewall em Alta Disponibilidade - TIPO 2 | Unidade/Mês | 13 | R$ | R$ |
2.5 | Transceiver para Next Generation Firewall - TIPO 1 | Unidade/Mês | 30 | R$ | R$ |
2.6 | Transceiver para Next Generation Firewall - TIPO 2 | Unidade/Mês | 30 | R$ | R$ |
2.7 | Transceiver para Next Generation Firewall - TIPO 3 | Unidade/Mês | 30 | R$ | R$ |
2.8 | Transceiver para Next Generation Firewall - TIPO 4 | Unidade/Mês | 30 | R$ | R$ |
2.9 | Transceiver para Next Generation Firewall - TIPO 5 | Unidade/Mês | 30 | R$ | R$ |
2.10 | Transceiver para Next Generation Firewall - TIPO 6 | Unidade/Mês | 30 | R$ | R$ |
2.11 | Serviço de controle de acesso seguro a | Instância 500 Usuários | 5 | R$ | R$ |
rede LAN e WLAN | |||||||
2.12 | Serviços de Plataforma integrada (Managed Security Services) | Mensal | 12 | R$ | R$ | ||
2.13 | Serviços de Monitoramento de Segurança da Informação | Mensal | 12 | R$ | R$ | ||
2.14 | Serviços Especializados em SaaS | Horas | 17000 | R$ | R$ | ||
LOTE | ITEM | Sub-Item | Descrição do Serviço (por reserva de recurso) | Unidade de Serviço de Nuvem (USN) | QTDE. | Valor Unitário | Valor Mensal |
3 | 03 - IaaS Cloud Pública | 3.1 | Máquina virtual padrão - adquirida por meio de vCPU | Unidade de vCPU/hora | 1.986.000 USNs | R$ | R$ |
3.2 | Máquina virtual padrão - adquirida por meio de memória | Gigabyte de memória/hora | R$ | R$ | |||
3.3 | Máquina virtual Windows - adquirida por meio de vCPU | Unidade de vCPU/hora | R$ | R$ | |||
3.4 | Máquina virtual Windows - | Gigabyte de memória/hora | R$ | R$ |
adquirida por meio de memória | ||
3.5 | Máquina virtual com serviço de hospedagem de container gerenciado - adquirida por meio de vCPU | Unidade de vCPU/hora |
Sub-Item | DESCRIÇÃO DO SERVIÇO (POR RESERVA DE RECURSO) | UNIDADE (USN) |
3.6 | Máquina virtual padrão - adquirida por meio de vCPU (por demanda) | Unidade de vCPU/hora |
3.7 | Máquina virtual padrão - adquirida por meio de memória (por demanda) | Gigabyte de memória/hora |
3.8 | Máquina virtual Windows - adquirida por meio de vCPU (por demanda) | Unidade de vCPU/hora |
3.9 | Máquina virtual Windows - adquirida por meio de memória (por demanda) | Gigabyte de memória/hora |
R$ | R$ |
VALOR UNITÁRIO | Valor Mensal |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
3.10 | Serviço de armazenamento de blocos (SSD) | Gigabyte/mês |
3.11 | Serviço de armazenamento de blocos (HDD) | Gigabyte/mês |
3.12 | Serviço de armazenamento de objetos | Gigabyte/mês |
3.13 | Tráfego de saída da rede | Gigabyte/mês |
3.14 | Tráfego de rede do balanceador de carga | Gigabyte/mês |
3.15 | Tráfego de rede do CDN | Gigabyte/mês |
3.16 | Serviço de balanceamento de carga (*) | Unidade/hora |
3.17 | Serviço de balanceamento de carga utilizando gerenciador de tráfego (*) | DNS Queries Milhão/Mês |
3.18 | Porta de conexão de fibra 10Gbps | Unidade/hora |
3.19 | Serviço de DNS – Hospedagem de zonas | Zona/mês |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
3.20 | Serviço de DNS – Consultas | Milheiro de consulta/mês |
3.21 | Serviço de VPN | Gigabyte/Mês |
3.22 | Serviço de VPN Gateway | Hora de Conexão |
3.23 | Serviço Web Aplication Firewall adquirido por regra de ACL (**) | ACL/hora |
3.24 | Serviço Web Aplication Firewall adquirido por hora (**) | Gateway/hora |
3.25 | Serviço de Backup | Instância/mês |
3.26 | Serviço de armazenamento de Backup | Gigabyte/mês |
3.27 | Serviço de Autenticação (Integração com AD) adquirido por usuário (***) | Por usuário/Mês |
3.28 | Serviço de Autenticação (Integração com AD) adquirido por mês (***) | Gigabyte/Mês |
3.29 | Serviço de Auditoria e Análise de Logs | Gigabyte/Mês |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
R$ | R$ |
3.30 | IP Público | Unidade/Mês | R$ | R$ | |
3.31 | Serviço de BI | Usuário/Mês | R$ | R$ | |
3.32 | Serviço Plataforma de Gerência de BI | Unidade/Mês | R$ | R$ | |
3.33 | Serviço de Fornecimento de Licenças de Windows Server 2016 ou superior para ambiente Cloud Pública, reservada no mínimo por 1 ano. | Unidade/Mês | 70 | R$ | R$ |
3.34 | Serviço de Licenças de Acesso (CAL s) por dispositivo e por usuários para Microsoft Windows Server 2016 ou superior para ambiente de Cloud Pública, reservada no mínimo por 1 ano. | Unidade/Mês | 10 | R$ | R$ |
3.35 | Disponibilização de caixas postais e colaboração - Tipo 1 | Usuário / mês | 8500 | R$ | R$ |
3.36 | Disponibilização de caixas postais e colaboração - Tipo 2 | Usuário / mês | 1.500 | R$ | R$ |
3.37 | Serviços de Monitoramento de IaaS Cloud Pública | Mensal | 12 | R$ | R$ | ||
3.38 | Serviços Especializados em IaaS Cloud Pública. | Horas | 17.000 | R$ | R$ |
1.4. O presente Elemento Técnico é regido pela a legislação vigente, em particular com a Constituição Federal seus princípios e todas as normas técnicas referentes as especificações de seu objeto.
2. DA JUSTIFICATIVA
2.1. O IGESDF possui como missão institucional prestar serviços de alta complexidade em saúde aos usuários do SUS aliados à produção e aplicação de conhecimentos, por meio de uma gestão ágil, efetiva e sustentável. Em decorrência disso, necessita de infraestrutura adequada de TI que atenda às necessidades do IGESDF de forma adequada para melhor condução de suas atividades.
2.2. A cada dia, o IGESDF necessita automatizar seus processos operacionais e administrativos, desta forma passa a depender cada vez mais de sua infraestrutura tecnológica para viabilizar suas atividades e implementar novas soluções, otimizando custos e melhoria da qualidade dos serviços prestados aos seus clientes e usuários do IGESDF.
2.3. O IGESDF é responsável por planejar, desenvolver, implantar e manter os sistemas de informação necessários ao funcionamento deste Instituto, seja com recursos internos ou externos. Além disso, é sua responsabilidade propor políticas e planejar, coordenar, supervisionar e orientar normativamente as atividades de gestão dos recursos de tecnologia da informação.
2.4. O projeto visa atingir os seguintes objetivos:
2.4.1. Redução de custos de manutenção e melhor eficiência pelo uso racional dos recursos, uma vez que estes foram definidos de forma a atender as necessidades do usuário.
2.4.2. Ganho de economia de escala, pois, ao prospectar grandes volumes licitados, a Administração Pública amplia seu poder de compra junto aos fornecedores e reduz consideravelmente os preços, fato que certamente não ocorreria quando do fracionamento de certames
3. DA DESCRIÇÃO DA SOLUÇÃO
3.1. Computação em nuvem é um modelo para permitir que o provisionamento de recursos e serviços possam ser realizados de qualquer lugar e a qualquer momento, de maneira conveniente, com acesso através de rede a recursos computacionais configuráveis (ex.: redes, servidores, armazenamento, aplicações e serviços) que podem ser rapidamente provisionados e devolvidos com o mínimo de esforço em gerenciamento ou interatividade com o provedor de serviços;
3.2. A solução contra ameaças digitais deverá englobar a locação de equipamentos, produtos, peças e softwares necessários à perfeita consecução das atividades e atendimento às especificações técnicas durante o prazo de vigência, incluindo manutenção e atualização dos produtos e softwares utilizados e monitoramento de segurança em regime 24x7x365 (vinte e quatro horas por dia, sete dias por semana, nos trezentos e sessenta e cindo dias do ano).
3.3. O serviço de mensageria e colaboração em nuvem consiste em uma solução de produtividade e colaboração, disponibilizada em ambiente de nuvem, que integra aplicativos e recursos digitais com vistas a proporcionar ferramentas que possibilitem o aumento da eficiência na realização de atividades comuns relacionadas a produção digital de conteúdo e na organização e comunicação dentro das equipes de trabalho
3.4. São características essenciais:
3.4.1. Auto serviço sob demanda - A CONTRATANTE pode unilateralmente provisionar a capacidade computacional necessária, como servidores e redes de armazenamento, de maneira automática sem precisar de interação humana com cada provedor de serviços em nuvem.
3.4.2. Amplo acesso pela rede - Recursos computacionais estão disponíveis através da rede e acessados através de mecanismos padrões que promovem o uso heterogêneo de plataformas clientes (ex.: smartphones, tablets, laptops, estações de trabalho).
3.4.3. Rápida Elasticidade - Capacidades podem ser elasticamente aumentadas ou diminuídas de acordo com a demanda atual e o perfil de uso das aplicações. Estas alterações podem ser realizadas a qualquer momento, possibilitando otimização do uso de recursos e consequente economia de valores.
3.4.4. Serviço mensurado - Sistemas em nuvem automaticamente controlam e otimizam o uso de recursos, levando em consideração capacidades de monitoramento em um nível apropriado para o tipo de serviço (ex.: armazenamento, processamento, largura de banda, e usuários ativos por contas.) O uso de recursos pode ser monitorado, controlado, e reportado, provendo transparência tanto para o provedor quanto para o consumidor do serviço utilizado. Buscando promover a melhor gestão de recursos de infraestrutura e na qualidade dos serviços de TI, a referida contratação pretende suprir o IGESDF quanto a necessidade de recursos de TI com solução eficiente, de alta disponibilidade e com baixo custo.
3.5. A solução ofertada deve ser composta por:
LOTE 1 - Serviços de computação em nuvem LOTE 2 - Solução contra ameaças digitais;
LOTE 3 - Serviço de Mensageria e colaboração em nuvem
4. DOS REQUISITOS DA SOLUÇÃO LOTE 01
4.1. Item 01 - INFRAESTRUTURA COMO SERVIÇO – IAAS – ON PREMISES:
4.2. Sub-Item 1.1 - Infraestrutura Como Serviço – Hiperconvergência:
4.2.1. Disponibilizar infraestrutura para nuvem privada e híbrida e serviços especializados, monitoramento e suporte técnico.
4.2.2. A CONTRATADA deverá disponibilizar, instalar e configurar equipamentos de hardware em arquitetura hiperconvergente;
4.2.3. A CONTRATADA deverá fornecer hypervisor para toda a solução de Hiperconvergência;
4.2.4. A CONTRATADA deverá configurar a solução de hardware de forma a entregar serviços de nuvem privada e híbrida com conexão a nuvem contratada no item 1 deste Elemento Técnico.
4.2.5. ESPECIFICAÇÕES DO HARDWARE:
4.2.6. O cluster hiperconvergente para implantação da nuvem privada e híbrida será instalado nas dependências da CONTRATANTE;
4.2.7. O cluster deve ser composto por no mínimo de 5 (cinco) nós (servidores de rede);
4.2.8. Cada nó que compõe o cluster hiperconvergente deve ter, no mínimo, as especificações descritas abaixo:
Processadores Intel Xeon Scalable Processor | Quantidade de memória RAM bruta (GB) | Armazenamento bruto em disco de estado sólido (GB) | Quantidade de interfaces 10GbE |
2x 12 cores 2.6 GHz | 192 | 7680 - SSD SATA | 4 |
4.2.9. Cache de no mínimo 800GB;
4.2.10. Permitir expansão de memória RAM até 1536 GB com a simples substituição dos módulos existentes;
4.2.11. Possuir fontes de alimentação elétrica hot swapping com redundância mínima 1+1, com potência suficiente para suportar a configuração ofertada;
4.2.12. Acompanhar todas as licenças de software necessárias para o pleno funcionamento da solução com todos os recursos especificados neste Elemento Técnico
4.2.13. ESPECIFICAÇÃO FUNCIONAL DA SOLUÇÃO HIPERCONVERGENTE
4.2.14. A solução deverá prover uma estrutura hiperconvergente de alta disponibilidade em configuração de cluster para ambiente de virtualização composta de até 05 (cinco) servidores físicos (nós), cada qual com sua respectiva capacidade de processamento, armazenamento e comunicação de rede.
4.2.15. Permitir escalabilidade horizontal, isso é, a adição de novos chassis e novos servidores (nós) ao cluster através de uma console gráfica, sem a parada do ambiente de produção, aumentando como um todo a capacidade de armazenamento, processamento e memória disponibilizados ao hypervisor, além de crescer de forma linear o desempenho/performance do ambiente;
4.2.16. Permitir adição de um nó por vez;
4.2.17. Permitir adição de nós que incrementem apenas o armazenamento do cluster de forma independente do processamento e memória;
4.2.18. Permitir remover nós do cluster sem parada no ambiente;
4.2.19. Criar um cluster lógico, agregando todos os discos físicos dos servidores contidos na solução, apresentando um único sistema de arquivos ao hypervisor;
4.2.20. A solução ofertada deve possuir funcionalidade para expor camada de armazenamento para aplicações físicas (Bare-metal) através do protocolo iSCSI;
4.2.21. Fornecer solução a Hypervisor VMware ESX 6.5 ou mais atual para atender a demanda de cada nó;
4.2.22. Deverá ser fornecida com todos os acessórios necessários para sua instalação, incluindo, mas não se limitando a, trilhos para montagem em rack, cabos de alimentação elétrica e cabos para pelo menos quatro conexões de rede 10GbE (Dez Gigabit Ethernet) por servidor físico respeitando as seguintes especificações mínimas:
4.2.23. Para cada servidor deverão ser fornecidos pelo menos 4 (quatro) transceivers SFP+ (smallform-factor pluggable) com respectivos cabos de fibra padrão OM3 ou superior, com conectores LC em ambas as extremidades e pelo menos 5 (cinco) metros de comprimento; Ou pelo menos 2 (dois) cabos de rede de conexão direta (DirectAttach) ou (Twinax) com conectores SFP+ em ambas as extremidades e pelo menos 1 (um) metro de comprimento para conexão com os módulos de conexão especificados neste projeto;
4.2.24. A solução deverá prover redundância de alimentação elétrica com capacidade de substituição em pleno funcionamento (hot-plug ou hot-swap);
4.2.25. Cada servidor deverá ser fornecido com seu próprio sistema de armazenamento de dados integrado para armazenamento local, com capacidade de controlar todo o armazenamento somente em unidades SSD (Solid-state drive).
4.2.26. A solução deverá garantir replicação síncrona de todos os dados gravados localmente para outros servidores que compõem o cluster, cada qual com seu respectivo sistema de armazenamento local com garantia de que a promoção e a remoção dos dados ocorram simultaneamente nos servidores do cluster;
4.2.27. Deverá suportar a troca dos discos sem parada dos servidores;
4.2.28. Todos os nós do cluster devem participar das operações de rebuild de disco, deixando-os mais eficientes à medida que o cluster cresce em número de nós;
4.2.29. Deve possuir criptografia através de discos específicos ou software;
4.2.30. Cada servidor deverá contemplar pelo menos quatro portas ou conexões físicas 10GbE (TenGigabitEthernet) compatível com conectores SFP+ e duas portas ou conexões físicas 1GbE (GigabitEthernet) compatível com conectores RJ-45, todas elas dedicadas para rede de
comunicação em seus respectivos padrões, e pelo menos uma porta 1GbE (Fast Ethernet ou FE) dedicada para gerenciamento remoto compatível com IPM;
4.2.31. A solução deve manter os dados das VMs espalhados pelos servidores do cluster - caso essa VM se movimente de um servidor a outro, os dados conseguem ser recuperados e lidos de uma forma mais eficiente;
4.2.32. No que diz respeito à disponibilidade dos dados, a solução deve garantir que os dados estejam sempre gravados em 2 (dois) ou 3 (três) nós ao mesmo tempo, garantido a resiliência do cluster e que os dados estejam disponíveis em caso de falhas;
4.2.33. A ocorrência de 2 (dois) ou mais clusters distintos, uma ferramenta de gerência unificada deve ser disponibilizada, facilitando a tarefa de administração;
4.2.34. O sistema operacional em execução em cada um dos nós deve suportar atualizações do tipo um clique, possibilitando a atualização de todos os nós do cluster de formar simples e automatizada, eliminando a intervenção manual do administrador e parada no ambiente;
4.2.35. O sistema operacional em execução em cada um dos nós deve suportar atualizações do tipo um clique também para o hypervisor, possibilitando a atualização de todos os nós do cluster de formar simples e automatizada, eliminando a intervenção manual do administrador e parada no ambiente;
4.2.36. A solução deve suportar, via software, desduplicação e compressão de dados;
4.2.37. Os usuários devem possuir restore de arquivos granular sem envolvimento do administrador do cluster;
4.2.38. A solução deve suportar nativamente replicação das máquinas virtuais, garantindo a disponibilidade das máquinas virtuais em caso de desastres;
4.2.39. A funcionalidade de replicação da solução deve suportar
Replicação Síncrona para as 5 principais VMw por nó;
Replicação Assíncrona com recuperação de até 15 minutos para as demais VMs; Proteção de Dados Contínua (CDP) para as 2 VMs principais por nó;
4.2.40. Solução deve possuir habilidade de replicação para ambientes tradicionais (não hiperconvergentes);
4.2.41. Com a finalidade de automatizar os processos de implementação, manutenção e gerenciamento do cluster, o sistema operacional em execução na solução hiperconvergente deverá oferecer REST APIs;
4.2.42. A solução deve possuir console de administração WEB sem necessidade de instalação de qualquer componente adicional para essa finalidade;
4.2.43. A console WEB deve ser acessível por browsers que suportam a tecnologia HTML5;
4.2.44. A console WEB deve permitir integração com Active DIrectory da Microsoft para autenticação, ou então, utilizar autenticação local;
4.2.45. A console Web deve suportar o acesso via HTTPS utilizando certificados;
4.2.46. A solução deve disponibilizar acesso ao sistema operacional da solução através do protocolo padrão SSH (Secure Shell);
4.2.47. A interface de administração WEB e SSH deve ser acessível a partir de qualquer dos endereços IPs configurados nas máquinas virtuais controladoras configuradas no cluster. A funcionalidade de alta disponibilidade também deve estar disponível para a interface de administração, garantindo que mesmo em caso de falhas, a interface de administração continue disponível;
4.3. A console WEB deve fornecer acesso à, no mínimo, as seguintes opções:
Dashboard principal;
Dashboard da saúde do Sistema (cluster); Dashboard das Máquinas Virtuais;
Dashboard do Storage;
Dashboard do Hardware;
Dashboard de Recuperação de Desastres; Dashboard de Análise de Performance;
Dashboard de Alertas e Eventos;
A solução deve suportar o envio de alertas críticos automaticamente para o fabricante da solução;
4.3.1. Com o objetivo de facilitar o monitoramento e visualização das informações do cluster, ao menos as seguintes informações deverão estar disponíveis no cluster:
Sumário do hypervisor; Sumário do hardware; IOPS do cluster;
Utilização de banda do cluster; Latência do cluster;
Situação da resiliência dos dados; Alertas e eventos.
4.3.2. Deve suportar envio de alertas e eventos via SNMP;
4.3.3. A solução deverá possuir ferramenta de checagem interna integrada a console de gerenciamento, buscando por problemas de saúde no cluster proativamente;
4.3.4. Deverá integrar ou utilizar nativamente o vCenter e executar ações como:
Criação de VMs; Leitura das VMs;
Atualização das características da VM; Deletar VMs
4.3.5. Plataforma ofertada deve possuir integração com:
vRealize Automation
4.3.6. Requisitos de segurança de criptografia de dados mínimos que deveram ser contemplados dentro da infraestrutura para salvaguarda dos dados:
Serviço de fornecimento de licença, suporte, manutenção e garantia técnica, de sistema de gerenciamento de chaves (KMS - Key Management System);
O sistema de gerenciamento de chaves (KMS - Key Management System), deve cumprir os requisitos abaixo:
a) Permitir o controle das chaves de maneira centralizada com suporte para diferentes tipos de chaves, gerenciamento do ciclo de vida das chaves, diferentes tipos de integração com banco de dados, servidores de arquivo e APIs;
b) Possuir funcionalidade de auditoria e log e integra com diretórios de usuário (LDAP e AD) para controles de autorização e uso de chaves;
c) Permitir integração com o SQL, Oracle e DB2, para criptografia de dados na própria base de dados, através de composições de triggers e views, deixando criptografia transparente para as aplicações;
d) Criptografia de arquivos de maneira transparente compatível com servidores de arquivo como DAS, SAN e NAS utilizando protocolos CIFS/NFS. Proporciona controle de acesso por usuário, gerenciamento centralizado de chaves e políticas, auditoria e segregação de usuários;
e) Gerenciamento de chaves heterogêneas. Gerenciar chaves para uma variedade de produtos de criptografia, incluindo tokenização, e aplicativos, bem como unidades de autocriptografia, arquivos em fita, StorageArea Networks e uma lista crescente de fornecedores que suportam o padrão OASIS Key Management InteroperabilityProtocol (KMIP);
f) Gerenciar centralmente chaves simétricas e assimétricas, dados secretos e certificados X.509 junto com políticas associadas;
4.3.7. Suportar Completo à Chave de Ciclo de Vida e Operações Automatizadas. Simplifique o gerenciamento de chaves de criptografia em todo o ciclo de vida, incluindo geração, armazenamento e backup de chaves seguras, distribuição de chaves, desativação e exclusão. Operações
orientadas por políticas automatizadas simplificam as principais tarefas de expiração e rotação;
4.3.8. Administrar centralizada de acesso granular, controles de autorização e separação de tarefas. Unifique as principais operações de gerenciamento em várias implantações e produtos de criptografia, garantindo aos administradores funções restritas definidas para seu escopo de responsabilidades, a partir de um console de gerenciamento centralizado. Além disso, utilizar diretórios LDAP ou AD existentes para mapear o acesso administrativo e chave para aplicativos e usuários finais;
4.3.9. Implantar em configurações flexíveis e de alta disponibilidade em um centro de operações e em centros dispersos geograficamente ou em ambientes de provedores de serviços usando um modo ativo-ativo de clustering;
4.3.10. Possuir Registro detalhado e rastreamento de auditoria de todas as mudanças de estado chave, acesso de administrador e mudanças de políticas. As trilhas de auditoria são armazenadas com segurança e assinadas para não-repúdio e podem ser consumidas pelas principais ferramentas de SIEM de terceiros;
4.3.11. Criptografar em nível de coluna transparente e eficiente;
4.3.12. Criptografar de forma transparente os dados sensíveis do banco de dados em nível de coluna;
4.3.13. Aplicar controles de acesso granular para garantir que somente os usuários ou aplicativos podem visualizar dados protegidos;
4.3.14. Impedir que administradores de bancos de dados (DBAs) se façam passar por outros usuários para acessar dados confidenciais;
4.3.15. Implantar em ambientes de nuvem locais, virtuais e públicos;
4.3.16. Configurar a criptografia na nuvem mais rapidamente com as receitas do Chef para facilitar a automação;
4.3.17. Possuir Rotação de chave integrada e re-digitação de dados;
4.3.18. Realizar operações criptográficas localmente ou descarregar para o KeySecure para aproveitar o poder de processamento externo;
4.3.19. Possuir Pool de conexões integrado, verificação de integridade e balanceamento de carga em várias camadas;
4.3.20. Atender às exigências de conformidade, como PCI DSS e HIPAA, que exigem criptografia de dados e separação de tarefas;
4.3.21. Possuir Recursos abrangentes de auditoria e registro para rastrear o acesso a dados e chaves criptografados;
4.3.22. Possuir Suporte API em Java, C / C ++, .NET, interface aberta XML, gerenciamento de rede padrão KMIP, SNMP (v1, v2 e v3), NTP, verificação de integridade da URL, assinada logs e syslog seguros, rotação automática de logs, backups e atualizações criptografados e verificados por integridade, estatísticas abrangentes;
4.3.23. Administrar de aparelhos GUI segura baseada na Web, autenticação de interface de linha de comando, LDAP e Active Directory;
4.3.24. Suportar os bancos de dados Oracle, Microsoft SQLServer e IBM DB2;
4.3.25. Suportar as plataformas Microsoft Windows, Linux, Solaris, HP-UX, AIX;
4.3.26. Suportar Algoritmos de Criptografia AES 128, 192, 256, 512> 3DES168;
4.3.27. Suportar Cloud e Infraestruturas Virtuais;
4.3.28. Funcionar com todas as principais plataformas de nuvem, incluindo AWS, Microsoft Azure e VMware;
4.3.29. Suportar integração e Gerenciamento de Conteúdo Alfresco Open ECM, Open Text (EMC), InfoArchive Stealth Content Store, ServiceNow, Mainframe;
4.3.30. EncryptionPKware, Big Data Dataguise, DataStax, Hadoop, MongoDB, MariaDB, HANA SAP, Cassandra, Couchbase, Hortonworks, CloudEra, Analytics IBM;
4.3.31. Qradar, HPE ArcSight, Splunk, Análise de Segurança RSA, Acima de Segurança;
4.3.32. Suportar Servidores de Aplicativos IBM WebSphere, Oracle Weblogic, Microsoft IIS, Apache Tomcat, Soluções de Backup RedHatJBoss, CommvaultSimpana, Symantec NetBackup (via NetApp), CloudStorageNutanix, Amazon Web Services S3, DropBox, Google CloudStorage, Google Drive, NetAppCloud ONTAP, NetAppAltaVault, IBM ICDES, Controlador de Armazenamento Panzura;
4.3.33. Criptografar arquivos e discos PKware, IBM, Dell, AWS, Microsoft, LUKS, ViaSat;
4.3.34. Gerenciar de Identidades CentrifyPrivilege Service, Lieberman Software;
4.3.35. Suportar Armazenamento físico NetApp NSE, Dell Compellent (SC e XC), MSL HPE / ESL Tape Libraries, HPE 3Par StoreServ, HPE XP7, Hitachi, SP, Hitachi HUS, Hitachi RAID700, IBM XIV SED, Quantum Scalar Series (i6000, i500 & i40 / 80), Viasat, Brocade FS8-18, HuaweiOceanstor, TintriVMStore, Cisco UCS, SpringPathHyperFlex, NexentaStor 4.5;
4.4. Sub-Item 1.2 - Serviço de Fornecimento de Sistema Operacional Microsoft Windows Server 2016 ou superior.
4.4.1. Licenças do sistema operacional Windows Server 2016 com direito de atualização de versão e suporte do fabricante, com reserva mínima de 01 ano.
4.4.2. Seguindo as orientações da tabela de Partnumber abaixo:
Qtde. | Part Number | Descrição | Familia |
70 | 9EM- 00653- BR | Aquisição de licença Windows Server Standard 2016 ou superior com Software Assurance por 12 meses. | Server Standard Core 2019 WinS |
4.5. Sub-Item 1.3 - Serviço de Fornecimento de Licenças para uso de software Microsoft System Center.
4.5.1. Licenças do sistema Microsoft System Center contemplando todo ambiente on-premisse fornecido no item 01 - IaaS On-premises , sub-item 1.1 Infraestrutura como Serviço – Hiperconvergência na ordem de 60 SKU com direito de atualização de versão e suporte do fabricante, com reserva mínima de 01 ano.
4.5.2. Seguindo as orientações da tabela de Partnumber abaixo:
Qtde. | Part Number | Descrição | Familia |
60 SKU | 9EN- 00096- BR | Aquisição de licença System center server configuration manager per user management license software assurance por 12 meses. | SysCtrStdCore SNGL LicSAPk XXX 0Xxx XX CoreLic Qlfd |
4.6. Sub-Item 1.4 - Serviço de Fornecimento de Windows Server CALs
4.6.1. Licenças de Microsoft Windows Server CALS Windows Server 2016 com direito de atualização de versão e suporte do fabricante, com reserva mínima de 01 ano.
4.6.2. Seguindo as orientações da tabela de Partnumber abaixo:
Qtde. | Part Number | Descrição | Familia |
10 | R18- 05768- BR | Aquisição de licença Windows Server 2016 per user client access license software assurance por 12 meses. | WinSvrCAL 2019 SNGL OLP NL |
4.7. SERVIÇOS ESPECIALIZADOS -CARACTERÍSTICAS GERAIS:
Os serviços serão prestados no ambiente da CONTRATANTE;
A CONTRATADA deverá prover os serviços de acordo com as especificações que seguem a cada serviço específico.
4.8. SOLICITAÇÃO DOS SERVIÇOS
As ações serão executadas a partir da emissão de Ordem de Serviço que deverá ser aceita em comum acordo entre CONTRATANTE e
CONTRATADA;
A CONTRATANTE enviará a Ordem de Serviço à CONTRATANTE com descrição das atividades a serem realizadas e o prazo desejado para término das atividades;
A CONTRATADA terá o prazo de 24 horas para revisar a Ordem de Serviço, propor sugestões de mudança e dar o aceite na O.S.; Todos os ajustes na Ordem de Serviço devem ser realizados no prazo citado acima;
A CONTRATADA poderá solicitar extensão no prazo de revisão e aceite da Ordem de Serviço que será avaliada pelo COTRATANTE; Caberá unicamente a CONTRATANTE aceitar ou não a extensão de prazo;
4.9. Sub-Item 1.5 - Serviços de Monitoramento de infraestrutura IaaS
4.9.1. Ao contratar o serviço, por intermédio de emissão de Ordem de Serviço, a CONTRATANTE irá demandar, no mínimo, 12 (doze) meses de execução.
4.9.2. A CONTRATADA deverá monitorar toda a infraestrutura disponibilizada em regime de 24x7x365;
4.9.3. A CONTRATADA deverá disponibilizar Central de Serviços para registro e acompanhamento dos chamados técnicos da
CONTRATANTE;
4.9.4. O monitoramento deve ocorrer nas instalações da CONTRATADA através de interface WEB a ser disponibilizada pela
CONTRATANTE.;
4.9.5. A CONTRATADA deverá tratar todos os eventos da infraestrutura e identificar quais eventos são incidentes;
4.9.6. A equipe de monitoramento irá executar procedimentos operacionais indicados pela CONTRATANTE visando a resolução de incidentes;
4.9.7. A equipe de monitoramento deverá abrir chamados para todos os incidentes e indicar a resolução adotada em cada chamado;
4.9.8. A equipe de monitoramento deverá escalonar os chamados de incidentes que não tiverem procedimento padrão ou que não forem solucionados após a execução do procedimento padrão;
4.9.9. A CONTRATANTE irá indicar quais são os caminhos para escalonamento dos chamados.
4.10. Sub-Item 1.6 – Serviços Especializados em IaaS
4.10.1. Os serviços de especializados em IaaS serão demandados para a realização de todas as atividades referentes a disponibilização de serviços na nuvem contratada;
4.10.2. Serão incluídos nesse serviço as seguintes atividades:
Planejamento de migração de servidores e/ou serviços e/ou dados para os serviços prestados. Preparação do ambiente para receber servidores e/ou serviços e/ou dados da CONTRATANTE;
Instalação, configuração e suporte técnico de ferramenta(s) para orquestração dos serviços entre as nuvens privada; Serviços sobre o uso dos recursos da nuvem privada;
Serviços de tunning, ajustes, correção de falhas, detecção de problemas na infraestrutura de nuvem privada;
4.11. Níveis De Serviço Para Serviços Especializados em IaaS:
a) A contratada deve prestar um serviço de qualidade. Para tanto, são estabelecidas nesse termo de referência metas para os serviços prestados. Os serviços serão medidos com base em indicadores de níveis de serviço específicos.
b) A apuração dos indicadores relativos ao tempo de atendimento das Ordens de Serviços será calculada sempre com base na data e hora de registro inicial e final da O.S. No cálculo serão desconsiderados os períodos em que as Ordens de Serviço estiveram suspensas ou não estiveram sob a responsabilidade da contratada.
c) Quando não forem atingidos os níveis de serviços exigidos em contrato, a CONTRATANTE aplicará um redutor na fatura dos serviços (glosa), de forma a retratar que a qualidade dos serviços recebidos não foi de acordo com a qualidade exigida em contrato.
d) As glosas serão calculadas e aplicadas sobre o valor total da Ordem de Serviço que não atingiu a meta exigida;
e) A CONTRATADA só poderá faturar os serviços executados após o fechamento dos relatórios de serviços do mês e a correta aplicação das glosas devidas. A nota fiscal deve ser emitida já com o valor de glosa aplicado.
Tabela de níveis de serviço:
f) Tabela de níveis de serviço:
Indicadores de níveis de serviço/mês | Unidade de medida | Meta exigida | Glosa aplicável |
Revisão e aceite de nova Ordem de Serviço | Horas | 24h após solicitação formal | 0,0% + (0,1% para cada 24 horas acima do prazo negociado). |
Resolução de Ordem de | 0,1% + (0,1% para cada 4 dias acima |
serviço | Prazo negociado (1) | do prazo negociado). |
Para cada Ordem de Serviço será negociado o prazo de entrega de acordo com a complexidade da solicitação |
4.12. SERVIÇOS ESPECIALIZADOS EM IAAS:
a) Os serviços especializados em IaaS serão demandados para a realização de todas as atividades referentes a disponibilização de serviços na nuvem contratada;
b) Serão incluídos nesse serviço as seguintes atividades:
Planejamento de migração de servidores e/ou serviços e/ou dados;
Preparação do ambiente para receber servidores e/ou serviços e/ou dados da CONTRATANTE; Instalação, configuração e suporte técnico de ferramenta(s);
Serviços sobre o uso dos recursos das soluções ofertadas
Serviços de tunning, ajustes, correção de falhas, detecção de problemas na infraestrutura;
LOTE 02
4.13. Sub-Item 2.1 - Disponibilização de antivírus para servidores Windows e Linux :
4.13.1. Os softwares (solução) necessários à prestação dos serviços deverão ser instalados, de modo a prover proteção, identificação e gestão de segurança de servidores virtuais do ambiente da CONTRATANTE;
4.13.2. Características de Licenciamento da Solução:
Estar dimensionada para no mínimo 100 servidores virtuais.
4.13.3. Funcionalidades e Requisitos Mínimos:
a) Ser totalmente compatível e homologada para gerenciamento de máquinas virtuais nos ambientes VMware, Citrix XenServer, KVM e HyperV;
b) Para cada plataforma de virtualização haverá uma forma diferente de integração, com ou sem agente, preservando a capacidade de implementação das funcionalidades descritas abaixo.
c) Permitir a integração com todas as versões do VMware vCenter a partir da Versão 6.5, de modo a importar e sincronizar os objetos (hosts VMware e Guests VM) para a console de gerenciamento da solução
d) Permitir, no caso de versões anteriores a VMware 6.5 ou superior, integração com as seguintes API’s VMware:
VMsafe API;
vShield Endpoint API
4.13.4. Permitir que as funcionalidades abaixo possam ser executadas simultaneamente no Hypervisor:
Firewall;
Inspeção de Pacotes;
Monitoramento de Integridade; Inspeção de Log’s;
Anti-malware e Reputação Web; Controle de Aplicação;
4.13.5. Suportar a aplicação das funcionalidades de segurança acima, inclusive para ambientes com versão 6.5 do vCenter/ vSphere, com integração com as novas API’s da VMware (NSX);
4.13.6. Permitir a implantação dos módulos de segurança citados, no mínimo para os seguintes sistemas operacionais:
a) Windows Server 2003, 2008, 2012, 2016 e superior (todas as versões);
b) Sistemas Operacionais Linux, no mínimo para as distribuições: RedHat, Suse, CentOs e Debian.
c) Possuir a capacidade de controlar e gerenciar a segurança de múltiplas plataformas e sistemas operacionais e caso o dispositivo esteja ofline, deve haver meio de realizar liberações emergenciais da execução de comandos ou elevação de privilégios, sem que a ferramenta tenha que ser desativada;
d) Executar rastreamento nas máquinas virtuais e fornecer lista de todas as recomendações de segurança para os softwares que estiverem instalados nessas
e) máquinas virtuais, bem como do sistema operacional;
f) Proteger de forma automática e transparente contra brechas de segurança descobertas, interrompendo somente o tráfego de rede malicioso;
4.13.7. Funcionalidades de Firewall:
a) Operar como firewall de host statefull bidirecional, monitorando as comunicações nos servidores protegidos;
b) Possuir a capacidade de controlar o tráfego baseado no Endereço MAC, Frame types, Tipos de Protocolos, Endereços IP e intervalo de portas;
c) Possuir a capacidade de implementação de regras em determinados horários que podem ser customizados pelo administrador;
d) Permitir que regras de Firewall poderão ou não ser válidas de acordo com o contexto em que a máquina se encontra (por exemplo, se está no domínio ou não);
e) Permitir que as regras de Firewall executem as seguintes ações, ou equivalentes: Allow, Log Only, bypass, force allow, deny;
f) Permitir realizar pseudo-statefull em tráfego UDP;
g) Permitir limitar o número de conexões entrantes e de saída de um determinado IP de origem;
h) Permitir a criação de novas regras utilizando templates padrão;
i) Permitir atuar no modo em linha para bloqueio de ataques ou modo escuta para monitoração e alertas
4.13.8. Funcionalidades de Inspeção de Pacotes:
a) Possuir a capacidade de detectar e bloquear qualquer conexão indesejada que tente explorar vulnerabilidades do SO e demais aplicações;
b) Possuir a capacidade de varrer o servidor protegido detectando o tipo e versão do SO e demais aplicações, recomendando e aplicando automaticamente regras IDS/IPS que blindem vulnerabilidades existentes no SO e aplicações;
c) Permitir execução de varreduras sob demanda ou agendada;
d) Possuir a capacidade de detectar uma conexão maliciosa, com a possibilidade de bloquear esta conexão.
e) Permitir que a opção de detecção e bloqueio seja implementada de forma global (todas as regras) ou apenas para uma regra ou grupos de regras;
4.13.9. Conter regras de defesa para blindagem de vulnerabilidades e ataques que explorem, no mínimo, os seguintes sistemas operacionais:
a) Windows 2003, 2008, 2012, 2016 e superior (todas as versões);
b) Linux RedHat, Suse, CentOS e Debian;
c) Aplicações padrão de mercado, tais como: Microsoft IIS, SQL Server, Microsoft Exchange, Oracle Database, Adobe Acrobat, Mozilla Firefox, Microsoft Internet Explorer, Google Chrome e Web Server Apache.
d) Possuir a capacidade de armazenamento do pacote capturado quando detectado um ataque;
e) Possibilitar a criação de regras de IPS customizadas, para proteger aplicações desenvolvidas pela CONTRATADA;
f) Possuir a capacidade de detectar e bloquear ataques em aplicações web tais como:
SQL Injection
Cross-Site Scripting;
g) Implementar a customização avançada e criação de novas regras de proteção de aplicações web, permitindo proteger contra vulnerabilidades específicas de sistemas web legados e/ou proprietários;
h) Permitir configuração de regras de IDS/IPS diferenciadas de acordo com horário ou dia da semana;
i) Implementar a inspeção de tráfego incoming SSL;
j) Apresentar informações detalhadas das regras de blindagem contra vulnerabilidades, contendo links com referências externas, quando aplicável, explicando a vulnerabilidade do fabricante ou CVE relacionado;
k) Bloquear tráfego por aplicação independente da porta que a aplicação utilize, de modo que a aplicação não consiga comunicar na rede, como por exemplo, bloqueio de tráfego de um determinada web browser ou aplicação de backup;
l) Permitir habilitar modo debug na coleta dos pacotes de forma a capturar o tráfego anterior e posterior ao que foi bloqueado para facilidade de análise;
m) Permitir que as regras de IPS atuem detectando ou bloqueando os eventos que as violem, de modo que o administrador possa decidir qual ação deva ser tomada;
n) Permitir atuar no modo em linha para bloqueio de ataques ou modo escuta para monitoração e alertas;
o) Permitir que o administrador do sistema tenha a possibilidade de não aplicar automaticamente a proteção para as vulnerabilidades escolhendo o perfil ou o host.
4.13.10. Funcionalidades de Monitoramento de Integridade:
a) Possuir a capacidade de detectar mudanças de integridade em arquivos e diretórios do SO e aplicações terceiras e realizar o controle mediante interceptação do comando antes que ele seja executado.
b) Deverá impedir a utilização de técnicas em que um programa autorizado e executado com privilégios permita a execução de outros programas e consequentemente escape dos controles definidos e restringir Shell, impossibilitando que scripts ou shells de sistema executem comandos não permitidos pelas regras definidas na ferramenta;
c) Possuir a capacidade de monitorar o status de serviços e processos do sistema operacional;
d) Possuir a capacidade de monitorar mudanças efetuadas no registro do Windows;
e) Possuir a capacidade de criação de regras de monitoramento em chaves de registro,
f) diretórios e subdiretórios e, customização de XML para criação de regras avançadas;
g) Possuir a capacidade de varrer o sistema operacional e aplicações, recomendando e
h) aplicando automaticamente regras de monitoramento de acordo com o resultado desta varredura;
i) Permitir execução de varreduras sob demanda ou agendada;
j) Rastrear arquivos por criação, última modificação, último acesso, permissões, owner, grupo, tamanho, SHA1, SHA256 e Flags e definir variáveis de ambiente no momento da execução de um comando.
k) Gerar alertas toda vez que uma modificação ocorrer, em tempo real para ambiente Windows e, pseudo tempo real para ambiente Linux utilizando agente;
l) Registrar em relatório todas as modificações que ocorram nos objetos monitorados e alertar, reportar e bloquear atividade anômala de arquivos e usuários durante a interação com bases de senhas no formato hash, como por exemplo, SAM local e LSASS;
m) Classificar as regras de acordo com severidade para melhor verificação nos logs e recebimento de alertas;
n) Possibilitar a escolha do diretório onde o arquivo será monitorado e incluir ou não incluir determinados tipos de arquivos dentro desse mesmo diretório;
o) Permitir definir, no mínimo, as variáveis de ambiente PATH, ENV, BASH_ENV, GLOBIGNORE, SHELLOPTS, no momento da execução de um comando, independente da definição realizada pelo usuário ou seu perfil e possibilitar o uso da máscara de usuário na execução dos comandos (valores entre 0000 e 0777).
4.13.11. Funcionalidades de Inspeção de Log’s:
a) Possuir capacidade de monitorar e inspecionar arquivos de log do sistema operacional e
b) demais aplicações, gravando uma cópia deste log em um banco de dados externo e notificando o administrador sobre eventos suspeitos;
c) Possuir a capacidade de varrer o sistema operacional e aplicações, recomendando e
d) aplicando automaticamente regras de inspeção de logs de acordo com o resultado desta varredura;
e) Permitir execução de varreduras sob demanda ou agendada;
f) Permitir a criação de regras de inspeção de logs adicionais para auditoria de logs de
g) aplicações terceiras;
h) Permitir a customização de regras existentes, adicionando, removendo ou modificando regras de inspeção de logs;
i) Implementar inteligência de alertas para cada violação relevante no log inspecionado que possa comprometer a segurança do ambiente ou do servidor;
j) Permitir modificar as regras por severidade de ocorrência de eventos;
4.14. Funcionalidades de Anti-malware e Reputação Web:
a) Permitir a proteção em tempo real contra códigos maliciosos, possibilitando a tomada de ações distintas para cada tipo de ameaça;
b) Permitir execução de varreduras sob demanda ou agendada;
c) Possibilitar a criação de listas de exclusão para processos, diretórios ou arquivos do SO;
d) Possibilitar a verificação de ameaças dentro de arquivos compactados, efetuando a limpeza apenas de arquivos maliciosos em casos de detecção;
e) Implementar a proteção contra acesso a websites ou URLs consideradas maliciosas, de baixa reputação ou não categorizadas;
4.14.1. Funcionalidades de Controle de Aplicação:
a) A solução deverá permitir sua implantação nas plataformas Linux e Microsoft Windows;
b) O controle de aplicações deverá ser realizado através de Hash, através da verificação de checksum do arquivo, dos parâmetros permitidos e da assinatura de fabricante;
c) O agrupamento dos eventos deverá ser realizado pelo menos por Xxxx e por máquina;
d) A console deverá exibir eventos de no mínimo 30 dias e possibilitar o monitoramento e a criação de evidência em vídeo de certas execuções de arquivo e de execuções sob certas condições definidas em política;
e) A solução deverá possuir funcionalidades de bloquear e notificar o que não for permitido explicitamente, permitir o que não for bloqueado explicitamente e possibilitar a execução de aplicativos que precisam de privilégio de execução a usuários não privilegiados;
f) Permitir a criação de listas de exclusão, permitindo que usuários acessem determinadas URLs especificadas pelo administrador do sistema;
g) Permitir a criação de regras de privilégios para cada processo (aplicação) a ser executado com privilégios de administrador, de forma que cada usuário, mesmo com o privilégio de usuário convencional possa instalar programas previamente aprovados para uso com privilégios elevados;
h) Monitorar a atividade dos processos em execução, visando detectar tentativas de roubo de credenciais.
i) Remover direitos de administrador local, gerenciando a elevação de privilégios temporária sob-demanda e granular (comandos e tarefas) baseada em políticas, com controle em nível de processos-pai e processos-filhos, prevenindo movimentação lateral
4.14.2. Funcionalidades de Gerenciamento:
a) Permitir o envio de notificações via SMTP;
b) Permitir o envio de registros de logs a um servidor remoto;
c) Implementar gravação de eventos de auditoria envolvendo todos os eventos e ações
d) realizadas na console de gerenciamento;
e) Permitir que a distribuição de atualizações e novos componentes possa ser efetuada por replicadores espalhados pelo ambiente;
f) Permitir a criação de múltiplos perfis de segurança, que serão vinculados aos diferentes tipos de servidores do ambiente;
g) Permitir a criação de relatórios, sob demanda, ou agendados, com o envio automático via email, no formato PDF;
h) Armazenar políticas e logs em base de dados, suportando, no mínimo, bancos de dados
i) Oracle e MS SQL;
j) Permitir opções de permissionamento, no mínimo, para modos de visualização e edição de políticas;
k) Permitir a atribuição granular de permissões para servidores gerenciados, podendo delimitar quais os servidores que podem ser visualizados e gerenciados para cada usuário ou grupo de usuários;
l) Possuir dashboards para facilidade de monitoração, as quais deverão ser customizadas pelo administrador em quantidade e período de monitoração;
m) Possuir a capacidade de criar políticas de forma global para todas as máquinas virtuais, por perfis e individualmente para cada host;
n) Prover perfis padrões pré-definidos e aptos a funcionar de acordo com sua denominação;
o) Permitir o envio de eventos da console via SNMP;
p) Permitir o rollback de atualização de regras pela console de gerenciamento;
q) Gerar pacote de auto-diagnóstico de modo a coletar arquivos relevantes para envio ao suporte do produto;
r) Possuir a capacidade de marcar eventos (tags) de modo a facilitar o gerenciamento, relatórios e visualização;
s) Possuir a capacidade de classificar eventos para facilitar a identificação e a visualização de eventos críticos em servidores críticos
4.15. Sub-Item 2.2 - Serviço de proteção de endpoints integrado com EDR
4.15.1. Os softwares (solução) necessários à prestação dos serviços deverão ser instalados, de modo a avaliar e proteger contra códigos maliciosos as estações de trabalho do ambiente da CONTRATANTE.
4.15.2. Características Licenciamento:
4.15.3. Estar dimensionada para no mínimo 17000 estações de trabalho.
4.15.4. Toda infraestrutura para implantação da solução será provida pelo IGES, baseando-se nas especificações a abaixo:
Os seguintes hipervisores devem ser suportados: VMware ESXi 5.0
VMware ESXi 5.1
VMware ESXi 5.5
VMware ESXi 6.0
Microsoft Hyper-V Server 2012 R2
Hyper-V no Microsoft Windows Server 2012 R2
4.15.5. Requisitos máximos de VM Servidor para solução:
8 CPUs virtuais
200 GB de espaço em disco 24 GB de RAM
2 portas virtual switched ports
4.15.6. Funcionalidades e Requisitos Específicos:
a) Realizar a proteção a códigos maliciosos nos seguintes sistemas operacionais: Windows 7(x86/x64); Windows 8 e 8.1 (x86/x64) e Windows 10 (x86/x64) e superior (todas as versões);
b) Possuir tecnologia de Machine Learning sendo capaz de detectar variantes de malwares desconhecidos por similaridade de código;
c) Possuir módulo de monitoração de comportamento malicioso de aplicações de forma a bloqueá-las mesmo quando a assinatura não for reconhecida
d) Possuir regras específicas para detecção de ransonware e alertar, reportar e bloquear atividade anômala de arquivos e usuários durante a interação com bases de senhas no formato hash, como por exemplo, SAM local e LSASS;
e) Detectar, analisar e eliminar programas maliciosos, tais como vírus, spyware, worms, cavalos de tróia, keyloggers, programas de propaganda, rootkits, phishing, dentre outros;
4.15.7. Detectar, analisar e eliminar, automaticamente e em tempo real, programas maliciosos em:
a) Processos em execução em memória principal (RAM);
b) Arquivos executados, criados, copiados, renomeados, movidos ou modificados, inclusive em sessões de linha de comando (DOS ou Shell);
c) Arquivos compactados automaticamente, em pelo menos nos seguintes formatos: zip, exe, arj, mime/uu, Microsoft cab;
d) Arquivos recebidos por meio de programas de comunicação instantânea (msn messenger, yahoo messenger, google talk, icq, dentre outros).
e) Permitir configurar o consumo de cpu que será utilizada para uma varredura manual ou agendada;
f) Possuir cache persistente dos arquivos já escaneados para que nos eventos de desligamento e reinicialização das estações de trabalho e notebooks, a cache não seja descartada;
g) Permitir a utilização de servidores locais de reputação para análise de arquivos e URL’s
h) maliciosas, de modo a prover, rápida detecção de novas ameaças;
i) Possuir a capacidade de aferir a reputação das URL’s acessadas pelas estações de trabalho e notebooks, sem a necessidade de utilização de qualquer tipo de programa adicional ou plug-in ao navegador web, de forma a proteger o usuário independentemente da maneira de como a URL está sendo acessada;
j) Permitir proteção dedicada contra URL’s maliciosas voltadas a tecnologia Microsoft Skype for Business e Microsoft Lync Server.
k) Permitir a programação de atualizações automáticas e/ou incremental das listas de
l) definições de vírus, a partir de local predefinido da rede, ou de site seguro da internet, com frequência (no mínimo diária) e horários definidos pelo administrador da solução;
m) Permitir o rollback das atualizações das listas de definições de vírus e engines;
n) Permitir a indicação de agentes para efetuar a função de replicador de atualizações e configurações;
o) Permitir proteção dedicada contra códigos maliciosos voltadas a tecnologia Microsoft Skype for Business e Microsoft Lync Server.
p) Permitir proteção para Office 365 em nuvem, Box, Dropbox, OneDrive for Business, Google Drive utilizando estruturas em nuvem para o gerenciamento do mesmo contra ameaças maliciosas.
4.15.8. Funcionalidades de Controle de Dispositivos:
a) Possuir controle de acesso a discos removíveis reconhecidos como dispositivos de armazenamento em massa através de interfaces USB e outras, com as seguintes opções: acesso total, leitura e escrita, leitura e execução, apenas leitura, e bloqueio total;
b) Possuir o controle de acesso a drives de mídias de armazenamento como CD-ROM e DVD, com as opções de acesso total, leitura e escrita, leitura e execução, apenas leitura e bloqueio total;
c) Possuir a capacidade de identificar smartphones e tablets como destinos de cópias de arquivos e tomar ações de controle da transmissão;
d) Possuir a capacidade de controlar drives mapeados com as seguintes opções: acesso total, leitura e escrita, leitura e execução, apenas leitura e bloqueio total;
e) Permitir escaneamento dos dispositivos removíveis e periféricos (USB, disquete, CD-ROM) mesmo com a política de bloqueio total ativa
4.15.9. Funcionalidades de Host IPS e Host Firewall:
a) Possuir a capacidade de realizar a proteção a códigos maliciosos nos seguintes sistemas
b) operacionais: Windows 7 (x86/x64), Windows 8 e 8.1 (x86/x64) e Windows 10 (x86/x64);
c) Permitir que todas as regras das funcionalidades de firewall e IPS de host atuem apenas em modo detecção ou prevenção;
d) Xxxxxxx varredura de segurança automática ou sob demanda que aponte vulnerabilidades de sistemas operacionais e aplicações e atribua automaticamente as regras de Host IPS para proteger a estação de trabalho ou notebook contra a possível exploração da vulnerabilidade;
e) A varredura de segurança deve ser capaz de identificar as regras de Host IPS que não são mais necessárias e desativá-las automaticamente;
f) Prover proteção contra as vulnerabilidades de aplicações terceiras, por meio de regras de host ips, tais como oracle java, abobe pdf reader, adobe flash player, realnetworks real player, Microsoft office, apple itunes, apple quick time, apple safari, google chrome, mozilla firefox, opera browser, ms internet explorer, entre outras;
g) Permitir a emissão de alertas via SMTP e SNMP;
h) Permitir criação de regras de firewall utilizando os seguintes protocolos: Icmp, icmpv6, igmp, ggp, tcp, pup, udp, idp, nd, raw, tcp+udp.
i) Permitir criação de regras de firewall por origem de ip ou mac ou porta e destino de ip ou mac ou porta;
j) Permitir a criação de contextos para a aplicação para criação de regras de firewall;
k) Permitir o isolamento de interfaces de rede, possibilitando o funcionamento de uma interface por vez.
4.15.10. Funcionalidades de Controle de Aplicação:
4.15.11. Possuir a capacidade de realizar o controle de aplicações nos seguintes sistemas
a) operacionais: Windows 7 (x86/x64), Windows 8 e 8.1 (x86/x64) e Windows 10 (x86/x64);
b) Permitir a criação de políticas de segurança personalizadas;
c) Permitir o controle do intervalo de envio dos logs e para envio de atualização de cada política;
d) Permitir a definição de qual servidor de gerenciamento o agente de segurança deverá comunicar-se;
e) Permitir as seguintes ações: Permissão de execução; Bloqueio de execução e Bloqueio de novas instalações;
f) Permitir os seguintes métodos para identificação das aplicações: Assinatura sha-1 do executável; Atributos do certificado utilizado para assinatura digital do executável;
g) Caminho lógico do executável e Base de assinaturas de certificados digitais válidos e seguros;
h) Possuir categorias de aplicações e permitir a utilização de múltiplas regras de controle de aplicações;
i) Possuir atualização das categorias de maneira automatizada
4.15.12. Funcionalidades de Proteção contra Vazamento de Informações:
a) Possuir a capacidade de realizar a proteção contra vazamento de informação nos seguintes sistemas operacionais: Windows 7 (x86/x64); Windows 8 e 8.1 (x86/x64) e Windows 10 (x86/x64);
b) Possuir a capacidade de detectar informações, em documentos nos formatos: Microsoft office (doc, docx, xls, xlsx, ppt, pptx) openoffice, rft, wordpad, text; xml, html; postscript, pdf, tiff, zip, rar, tar, jar, arj, 7z, rpm, cpio, gzip, bzip2, unix/linux zip, lzh;
c) Possuir a capacidade de detectar informações, com base em: Dados estruturados; Palavras ou frases configuráveis; Expressões regulares e Extensão dos arquivos;
d) Permitir a configuração de quantas camadas de compressão serão verificadas;
e) Permitir a criação de modelos personalizados para identificação de informações;
f) Possuir a capacidade de identificar e bloquear informações no mínimo para os seguintes meios de transmissão:
Cliente de e-mail; Protocolos http, https, ftp;
Mídias removíveis e discos óticos cd/dvd; Aplicações de mensagens instantâneas; Tecla de printscreen;
Aplicações p2p;
Área de transferência do Windows; Webmail;
Armazenamento na nuvem (cloud); Impressoras;
Scanners;
g) Compartilhamentos de arquivos; Activesync; Portas COM e LPT; Modems.
h) Permitir proteção dedicada contra vazamento de informações voltadas a solução Microsoft Skype for Business e Microsoft Lync Server.
i) Permitir proteção contra vazamento de informação em Office 365 em nuvem, Box, Dropbox, OneDrive for Business, Google Drive utilizando estruturas em nuvem para o gerenciamento do mesmo.
4.15.13. Funcionalidades de Criptografia:
a) Possuir a capacidade de realizar a criptografia nos seguintes sistemas operacionais: Windows 7 (x86/x64); Windows 8 e 8.1 (x86/x64) e Windows 10 (x86/x64);
b) Possuir módulo de criptografia para as estações de trabalho (desktops e notebooks), permitindo criptografia para:
Disco completo (FDE – full disk encryption); Pastas e arquivos; Mídias removíveis; Anexos de e-mails e Automática de disco;
Possuir autenticação durante a inicialização (boot) da estação de trabalho, antes do carregamento do sistema operacional, para a funcionalidade de criptografia do disco completo;
c) Possuir a capacidade de exceções para criptografia automática;
d) Possuir compatibilidade de autenticação por múltiplos fatores;
e) Permitir atualizações do sistema operacional mesmo quando o disco está criptografado;
f) Possuir auto ajuda para usuários que esquecerem a senha com a combinação de perguntas e respostas;
g) Possuir mecanismos para wipe (limpeza) remoto;
h) Possuir mecanismo para desativar temporariamente a autenticação de pré-inicialização (boot);
i) Possuir mecanismo que permita desfazer a criptografia do disco no evento em que se torne corrompido, impedindo a inicialização da estação/notebook;
j) O ambiente de autenticação pré-inicialização deve permitir a conexão a redes sem fio (wireless);
k) Permitir, em nível de política, a indicação de pastas a serem criptografadas;
l) Possibilitar que cada política tenha uma chave de criptografia única;
m) Permitir a escolha dos diretórios a serem criptografados em dispositivos de armazenamento USB;
n) Possibilitar a desativação de dispositivos de gravação de mídias óticas e de dispositivos de armazenamento USB;
o) Possibilitar apagar todos os dados do dispositivo na ocorrência de um número personalizável de tentativas inválidas de autenticação
4.15.14. Módulo de proteção para smartphones e tablets:
a) O módulo de proteção de dispositivos móveis deve possuir agente para os seguintes sistemas operacionais:
b) IOS, Android, Windows Phone;
c) As funcionalidades estarão disponíveis de acordo com cada plataforma;
4.15.15. Deve permitir o provisionamento de configurações de:
a) Wi-fi, Exchange Activesync, vpn, proxy http global e certificados;
b) Deve possuir proteção de anti-malware para Android;
c) Deve ser capaz de realizar escaneamento de malwares em tempo real, do cartão sd e após atualização de vacinas;
d) Deve possuir capacidade de detecção de spam proveniente de SMS;
e) Deve possuir funcionalidade de filtro de chamadas que possibilita a criação de lista de número bloqueados para recebimento de chamadas;
f) Deve possuir funcionalidade de filtro de chamadas que possibilita a criação de lista de número permitidos para efetuação de chamadas;
g) Deve possuir funcionalidade de firewall para bloqueio de tráfego de entrada e saída, com possibilidades de enumeração de regras de exceção;
h) Deve permitir a proteção contra ameaças provenientes da web por meio de um sistema de reputação de segurança das URL’s acessadas;
i) Deve permitir o controle de acesso a websites por meio de listas de bloqueio e aprovação;
j) Deve permitir o bloqueio de aplicativos de acordo com sua faixa etária indicativa;
4.15.16. Controle da política de segurança de senhas, com critérios mínimos de:
a) Tempo de expiração;
b) Bloqueio automático da tela;
c) Bloqueio por tentativas inválidas;
d) Deve proteger as senhas de credenciais administrativas locais dos desktops Windows e Mac em repositório central seguro, que permita a aplicação de políticas granulares de rotações e trocas automáticas das senhas, mitigando situações de roubo, perda e exploração de credenciais.
e) Quando os desktops Windows e Mac não puderem estar conectados de forma permanente ao repositório central seguro de credenciais, deve aplicar, de forma autônoma, políticas de rotação de credenciais locais até a sincronização das mesmas definidas no repositório central da solução.
f) O repositório central seguro de credenciais deve incorporar medidas de segurança como Certificação Common Criteria (CC) - ISO/IEC 15408, banco de dados das credenciais hardenizado, com criptografia, AES-256, FIPS1402, PKCS#11 ou superior e protegida por Web Application Firewall.
g) Controle de acesso à seguinte lista funções e status de ativação de funções dos dispositivos móveis:
Bluetooth, Câmera,
Cartões de memória, Wlan/wifi,
GPS,
Microsoft Activesync,
MMS/SMS,
Alto-falante, Armazenamento USB, 3g, 4g e 5g,
Modo de desenvolvedor, Ancoragem (tethering)
4.15.17. Serviços gerenciados de detecção e respostas a ameaças nos terminais/ Endpoints:
a) Solução avançada para proteção de endpoint e servidores permitindo a categorização flexível, agrupamento de computadores e mecanismo de limitação de acesso autorizado ao endpoint por meio de autenticação de múltiplo fator na tela de login, suportando, no mínimo, entrega de código via SMS e chamada de voz como fator adicional, questões de segurança como segundo fator e notificações por e-mail, notificações push e tokens OTP, FIDO2/U2F e OATH, invalidando sessões e tokens após um período de inatividade.
b) Deve ter recursos avançados de análise de comportamento e modo de coleta somente para avaliação e validação das políticas criadas.
c) A proponente deverá ter seu próprio processo de inteligência contra ameaças em tempo real (VirusTotal, NSRL e base própria de conhecimento) com monitoramento de endpoint deverá ser comprovado por documentação e ou contratos ativos nacionais ou globais.
d) A proponente deve incluir um processo como fonte de inteligência de informações, suportado por uma equipe avançada do provedor, com capacidade global para coletar, investigar e descobrir os ataques, campanhas e malware avançado que são gerados todos os dias como uma ameaça de dia zero.
e) Deverá ter a capacidade de monitorar, detectar e responder em um esquema 24x7x365 que permita o acionamento de ações de alerta, procedimentos de investigação remota com acesso aos ativos possivelmente afetados, bem como um possível escopo em resposta e correção.
f) A equipe de proteção avançados que executará todo o ciclo de monitoramento, detecção, caça e identificação de ameaças e deve ter um nível avançado de qualificações e experiência nas camadas mais avançadas de detecção e caça de ameaças.
g) A equipe avançada da proponente precisará fazer uma revisão manual para identificar e capturar ameaças através da infraestrutura IGESDF, à medida que novas tendências e ameaças de ataques são lançadas globalmente.
h) O provedor deve fornecer uma solução/ plataforma que disponibilize um console ou portal para acesso e integração de dispositivos que atendam às seguintes especificações:
Solução tecnológica avançada em proteção da camada de endpoint, baseada no controle de aplicações, gestão de privilégios e proteção contra ameaças a credenciais.
Implementação, configuração e operação da plataforma de proteção e monitoramento de terminais/ endpoints.
O provedor deve fornecer uma solução que suporte à proteção em plataformas com sistema operacional Windows e Linux.
A solução deve ter a capacidade de monitorar a atividade do terminal no nível de identificação de objetos, memória e violações de políticas (Hardening)
i) Análise de atividades a partir de um conjunto de indicadores de compromisso previamente definidos e estabelecidos entre a proponente e o IGESDF.
j) Processos em execução, visando detectar e bloquear tentativas de roubo de credenciais armazenadas em browsers e no Windows;
k) Intervenção em dispositivos que foram afetados por alguma vulnerabilidade ou ataque.
l) Coleta de Evidência e analisar eventos sobre artefatos perigosos na memória e discos rígidos.
m) Possibilitar o monitoramento e a criação de evidência em vídeo de certas execuções de arquivo e de execuções sob certas condições definidas em política
n) Remover direitos de administrador local, gerenciando a elevação de privilégios temporária sob demanda e granular (comandos e tarefas) baseada em políticas, com controle em nível de processos-pai e processos-filhos, prevenindo movimentação lateral
4.15.18. A ativação do serviço de proteção de terminal deve considerar as seguintes fases:
a) Provisionamento do serviço: a proponente deve coordenar com o IGESDF a integração e a autorização das fontes na solução de monitoramento e detecção, conforme previamente analisado e projetado pelo IGESDF e pelo fornecedor.
b) Gerenciamento da solução: a proponente deve executar a operação e manutenção da
c) plataforma de monitoramento e detecção de terminais, incluindo a configuração e políticas da solução, manutenção, verificação de integridade, atualizações e suporte.
d) Intervenção & correção: A proponente deve executar ações de intervenção nos dispositivos afetados, bem como ações de correção.
e) O fornecedor deve permitir o acesso ao pessoal que IGESDF determinar sob as seguintes considerações:
A proponente deverá habilitar uma plataforma centralizada de acesso à Web para a equipe do IGESDF, onde deve ser possível consultar o monitoramento e o gerenciamento de atividades relacionadas aos dispositivos/ endpoints do IGESDF.
Os controles de acesso devem ser definidos, limitados ao pessoal do provedor e ou IGESDF que executa ações de administração da plataforma.
f) O serviço deve fornecer uma visão e acesso à plataforma de gerenciamento, considerando os seguintes aspectos obrigatórios:
Visão atualizada e histórica dos dados e apresentação da posição no ambiente do CONTRATANTE integrado ao serviço. Canal de comunicação seguro com o provedor e a equipe do IGESDF.
Interface para o gerenciamento de tickets relacionados ao serviço e relatórios associados aos resultados do monitoramento e detecção de eventos nos terminais do IGESDF.
Painel com as informações de contato da equipe do IGESDF.
Painel com a documentação das políticas de serviço e segurança associadas. Painel para criação de relatórios de segurança pelo time de SI do IGESDF. Painel que mostra o progresso nos processos de integração de fontes à solução.
g) O fornecedor deve gerenciar a solução/ plataforma através de sua própria equipe técnica, que inclui os seguintes escopos:
Executar gerenciamento da plataforma, monitoramento e status, configurações e desempenho.
O gerenciamento e a manutenção da solução devem ser cobertos por um esquema de serviço 24x7x365.
h) As solicitações e o gerenciamento das configurações de política devem obedecer aos seguintes requisitos:
Processo de controle de alterações de fornecedores para terminais integrados a plataforma web.
i) Coordenar e avaliar em conjunto entre o provedor e o IGESDF as mudanças que podem afetar a operação dos terminais.
j) Gerenciar solicitações de controle de alterações através de:
A plataforma de gerenciamento centralizado do serviço de monitoramento e detecção de ameaças.
Contato telefônico: acesso ao número de telefone para que o IGESDF, possa solicitar alterações nas políticas ou dispositivos integrados no serviço.
E-mail de contato: acesso a um e-mail para que o IGESDF possa solicitar alterações nas políticas ou dispositivos integrados no serviço A CONTRATADA devera disponibilizar ao IGESDF um número único nacional, não tarifado e um portal na internet, para abertura de
chamados de suporte técnico e acompanhamento dos níveis de serviço prestados. Entende-se por portal, ferramenta de gerência acessível pela internet, com acesso restrito através de usuário/senha eletrônica e utilizando-se de protocolo HTTPS.
O portal de acompanhamento dos serviços deverá possuir acesso aos históricos dos registros das ocorrências e registros de solicitações e reclamações enviadas pelo IGESDF em relação aos serviços prestados.
O portal de acompanhamento dos serviços deverá possibilitar que sejam visualizados e impressos os relatórios das informações de desempenho a respeito da malha dos serviços prestados.
O portal de gerenciamento poderá ser constituído de um ou mais softwares de gerenciamento e deverá prover, no mínimo, as seguintes informações
lista dos serviços e níveis de serviço contratados;
relação de todos os registros de ocorrências, solicitações e reclamações; histórico da tratativa de cada ocorrência, solicitações e reclamações; resultados da apuração dos níveis de serviço nos meses anteriores
k) O gerenciamento de disponibilidade da solução deve considerar o seguinte:
O provedor monitorará a disponibilidade e o nível de serviço da solução
Se necessário, o contato técnico deve ser coordenado para ações mais avançadas
l) O fornecedor deve executar ações de investigação, análise e resposta que considere:
Monitoramento e investigação que permitem ao IGESDF identificar o nível de risco associado a uma ameaça / vulnerabilidade e isso permite estabelecer ações primárias de correção / contenção.
Capacidade de estender/ escalar ações de investigação por meio de serviços adicionais de provedores, como em conjunto com a equipe de contenção e de RI ou investigação digital forense.
m) Xxxxxxxx um modelo de proteção contínua contra ameaças avançadas, considerando:
Detecção em tempo real - a partir de uma análise em tempo real, é realizado um cruzamento de informações com um banco de dados e base de conhecimento ou fontes de inteligência para determinar e identificar comportamentos suspeitos nos endpoints do IGESDF.
Resposta - a partir de possíveis evidências de um ataque realizado ou de uma vulnerabilidade explorada, isole os dispositivos afetados e realize ações de mitigação em coordenação com o IGESDF.
Determine o impacto - De acordo com as informações coletadas e analisadas, o escopo do incidente deve ser identificado.
Remediação - Com as informações sobre o escopo do impacto, o fornecedor deve desenvolver e aplicar um plano de remediação eficaz. Aplicar contramedidas - o fornecedor deve atualizar as medidas de monitoramento e proteção assim que o incidente for mitigado e remediado por meio de um plano de proteção contra futuras ameaças desconhecidas.
n) O fornecedor deve realizar a identificação preventiva contra ameaça.
o) Essas atividades devem se concentrar na detecção de ameaças latentes sob um modelo holístico de identificação de ataques
p) A identificação desses padrões avançados de ameaças deve ser correlacionada com os eventos das fontes encontradas nos serviços gerenciados de monitoramento e detecção de ameaças.
q) Se ações de correção forem geradas com base na análise e identificação preventiva de ameaças latentes, o procedimento de RI definido por IGESDF deverá ser seguido em conjunto com o provedor.
r) Nesse caso, um protocolo de notificação de incidentes deve ser definido entre o provedor e o IGESDF.
s) Além disso, para a correção de incidentes, um protocolo de notificação de incidentes deve ser definido entre o provedor e o IGESDF, incluindo os seguintes critérios:
Opções de Resposta a Incidentes | Descrição |
Blacklisting o bloqueio do hash deste processo | Ativar bloqueio de arquivo hash ou atualizar processo de blacklist |
Quarentena do endpoint | Restrição de acesso à rede, apenas o ambiente da equipe RI terá acesso. |
Sessão interativa com o terminal afetado | Análise por meio de shell |
Download de arquivos deste endpoint | Começando com o processo de investigação de RI, pode ser necessário fazer o download de informações para contenção da vulnerabilidade ou análise. |
Excluir arquivos deste terminal | Remover arquivos danificados no endpoint |
Acesso a arquivos ou memória dos hosts | Coletando Arquivos ou Memória do Host |
4.16. Sub-Item – 2.3 - Disponibilização de Next Generation Firewall em Alta Disponibilidade - TIPO 1
4.16.1. Serviço de fornecimento de appliance, licença, atualização de versão, manutenção e garantia técnica do fabricante de solução de firewall conforme especificações abaixo;
4.16.2. A solução de firewall fornecida deve funcionar em alta-disponibilidade com, no mínimo, 2 (dois) equipamentos;
4.16.3. Throughput de, no mínimo, 190 Gbps com a funcionalidade de firewall habilitada para tráfego IPv4 e IPv6, independentemente do tamanho do pacote;
4.16.4. Suporte a, no mínimo, 65M conexões simultâneas;
4.16.5. Suporte a, no mínimo, 750K novas conexões por segundo;
4.16.6. Throughput de, no mínimo, 70 Gbps de VPN IPSec;
4.16.7. Estar licenciado para, ou suportar sem o uso de licença, 10.000 túneis de VPN IPSEC Site-to-Site simultâneos;
4.16.8. Estar licenciado para, ou suportar sem o uso de licença, 90.000 túneis de clientes VPN IPSEC simultâneos;
4.16.9. Throughput de, no mínimo, 15 Gbps com as seguintes funcionalidades habilitadas simultaneamente para todas as assinaturas que a plataforma de segurança possuir devidamente ativadas e atuantes: controle de aplicação, TLS Inspesction, Filtro Web, APT, IPS, Antivírus, Antispyware e log de tráfego habilitado. Caso o fabricante divulgue múltiplos números de desempenho para qualquer uma destas funcionalidades, somente o de menor valor será aceito;
4.16.10. Possuir ao menos 16 interfaces GE SFP;
4.16.11. Possuir ao menos 16 interfaces GE RJ45;
4.16.12. Possuir ao menos 16 interfaces 10GE SFP+;
4.16.13. Possui ao menos 2 interfaces 40GE QSFP+;
4.16.14. Disco interno para armazenamento de informações locais;
4.16.15. Estar licenciado e/ou ter incluído sem custo adicional, no mínimo, 10 sistemas virtuais lógicos (Contextos) por appliance;
4.16.16. Suporte a, no mínimo, 10 sistemas virtuais lógicos (Contextos) por appliance;
4.16.17. Possuir fonte de alimentação redundante interna ao equipamento 100-240 VAC 60-50 Hz automática;
4.17. Sub-Item – 2.4 - Disponibilização de Next Generation Firewall em Alta Disponibilidade - TIPO 2
4.17.1. Serviço de fornecimento de appliance, licença, atualização de versão, manutenção e garantia técnica do fabricante de solução de firewall conforme especificações abaixo;
4.17.2. A solução de firewall fornecida deve funcionar em alta-disponibilidade com, no mínimo, 2 (dois) equipamentos.
4.17.3. Throughput de, no mínimo, 55 Gbps com a funcionalidade de firewall habilitada para tráfego IPv4 e IPv6, independente do tamanho do pacote;
4.17.4. Suporte a, no mínimo, 12M conexões simultâneas;
4.17.5. Suporte a, no mínimo, 200K novas conexões por segundo;
4.17.6. Throughput de, no mínimo, 10 Gbps de VPN IPSec;
4.17.7. Estar licenciado para, ou suportar sem o uso de licença, 2.000 túneis de VPN IPSEC Site-to-Site simultâneos;
4.17.8. Estar licenciado para, ou suportar sem o uso de licença, 50.000 túneis de clientes VPN IPSEC simultâneos;
4.17.9. Throughput de, no mínimo, 3.5 Gbps com as seguintes funcionalidades habilitadas simultaneamente para todas as assinaturas que a plataforma de segurança possuir devidamente ativadas e atuantes: controle de aplicação, TLS Inspesction, Filtro Web, APT, IPS, Antivírus, Antispyware e log de tráfego habilitado. Caso o fabricante divulgue múltiplos números de desempenho para qualquer uma destas funcionalidades, somente o de menor valor será aceito;
4.17.10. Possuir ao menos 4 interfaces GE SFP;
4.17.11. Possuir ao menos 8 interfaces GE RJ45;
4.17.12. Possuir ao menos 2 interfaces 10GE SFP+;
4.17.13. Disco interno para armazenamento de informações locais;
4.17.14. Estar licenciado e/ou ter incluído sem custo adicional, no mínimo, 5 sistemas virtuais lógicos (Contextos) por appliance;
4.17.15. Suporte a, no mínimo, 5 sistemas virtuais lógicos (Contextos) por appliance;
4.17.16. Possuir fonte de alimentação interna ao equipamento 100-240 VAC 60-50 Hz automática.
4.18. Características Gerais para Next Generation Firewall (NGFW):
4.18.1. A solução deve consistir em plataforma de proteção de rede baseada em appliance com funcionalidades de Next Generation Firewall (NGFW), e console de gerência e monitoração;
4.18.2. Por funcionalidades de NGFW entende-se: reconhecimento de aplicações, prevenção de ameaças, identificação de usuários e controle granular de permissões;
4.18.3. As funcionalidades de proteção de rede que compõe a plataforma de segurança, podem funcionar em múltiplos appliances desde que obedeçam a todos os requisitos desta especificação;
4.18.4. A plataforma deve ser otimizada para análise de conteúdo de aplicações em camada 7;
4.18.5. Todos os equipamentos fornecidos devem ser próprios para montagem em rack 19”, incluindo kit tipo trilho para adaptação se necessário e cabos de alimentação;
4.18.6. A gestão do equipamento deve ser compatível através da interface de gestão Web no mesmo dispositivo de protecção da rede;
4.18.7. Os dispositivos de proteção de rede devem possuir suporte a 4094 VLAN Tags 802.1q;
4.18.8. Os dispositivos de proteção de rede devem possuir suporte a agregação de links 802.3ad e LACP;
4.18.9. Os dispositivos de proteção de rede devem possuir suporte a Policybasedrouting ou policybasedforwarding;
4.18.10. Os dispositivos de proteção de rede devem possuir suporte a roteamento multicast (PIM-SM e PIM-DM);
4.18.11. Os dispositivos de proteção de rede devem possuir suporte a DHCP Relay;
4.18.12. Os dispositivos de proteção de rede devem possuir suporte a DHCP Server;
4.18.13. Os dispositivos de proteção de rede devem possuir suporte a Jumbo Frames;
4.18.14. Os dispositivos de proteção de rede devem suportar sub-interfaces ethernet logicas;
4.18.15. Deve suportar NAT dinâmico (Many-to-1);
4.18.16. Deve suportar NAT dinâmico (Many-to-Many);
4.18.17. Deve suportar NAT estático (1-to-1);
4.18.18. Deve suportar NAT estático (Many-to-Many);
4.18.19. Deve suportar NAT estático bidirecional 1-to-1;
4.18.20. Deve suportar Tradução de porta (PAT);
4.18.21. Deve suportar NAT de Origem;
4.18.22. Deve suportar NAT de Destino;
4.18.23. Deve suportar NAT de Origem e NAT de Destino simultaneamente;
4.18.24. Deve poder combinar NAT de origem e NAT de destino na mesma política;
4.18.25. Deve implementar o protocolo ECMP;
4.18.26. Deve implementar balanceamento de link;
4.18.27. Deve implementar balanceamento de link por peso. Nesta opção deve ser possível definir o tráfego que será escoado por cada um dos links.
4.18.28. Deve suportar o balanceamento de, no mínimo, três links;
4.18.29. Deve implementar balanceamento de links sem a necessidade de criação de zonas ou uso de instâncias virtuais;
4.18.30. Deve permitir monitorar via SNMP falhas de hardware, uso de recursos por número elevado de sessões, conexões por segundo, número de túneis estabelecidos na VPN, CPU, memória, status do cluster, ataques e estatísticas de uso das interfaces de rede;
4.18.31. Enviar log para sistemas de monitoração externos, simultaneamente;
4.18.32. Deve haver a opção de enviar logs para os sistemas de monitoração externos via protocolo TCP e SSL;
4.18.33. Proteção anti-spoofing;
4.18.34. Implementar otimização do tráfego entre dois equipamentos;
4.18.35. Para IPv4, deve suportar roteamento estático e dinâmico (RIPv2, BGP e OSPFv2);
4.18.36. Para IPv6, deve suportar roteamento estático e dinâmico (OSPFv3);
4.18.37. Os dispositivos de proteção devem ter a capacidade de operar de forma simultânea em uma única instância de firewall, mediante o uso de suas interfaces físicas nos seguintes modos: Modo sniffer (monitoramento e análise do tráfego de rede), camada 2 (L2) e camada 3 (L3);
4.18.38. Deve suportar Modo Sniffer, para inspeção via porta espelhada do tráfego de dados da rede;
4.18.39. Deve suportar Modo Camada – 2 (L2), para inspeção de dados em linha e visibilidade do tráfego;
4.18.40. Deve suportar Modo Camada – 3 (L3), para inspeção de dados em linha e visibilidade do tráfego;
4.18.41. Deve suportar Modo misto de trabalho Sniffer, L2 e L3 em diferentes interfaces físicas;
4.18.42. Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo: Em modo transparente;
4.18.43. Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo: Em layer 3;
4.18.44. Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo: Em layer 3 e com no mínimo 3 equipamentos no cluster;
4.18.45. A configuração em alta disponibilidade deve sincronizar: Configurações, incluindo, mas não limitado as políticas de Firewall, NAT, QOS e objetos de rede;
4.18.46. A configuração em alta disponibilidade deve sincronizar: Associações de Segurança das VPNs;
4.18.47. O HA (modo de Alta-Disponibilidade) deve possibilitar monitoração de falha de link;
4.18.48. Deve possuir suporte a criação de sistemas virtuais no mesmo appliance;
4.18.49. A solução deve possuir integração com soluções de DLP via protocolo ICAP;
4.18.50. Em alta disponibilidade, deve ser possível o uso de clusters virtuais, seja ativo-ativo ou ativo-passivo, permitindo a distribuição de carga entre diferentes contextos;
4.18.51. Deve permitir a criação de administradores independentes, para cada um dos sistemas virtuais existentes, de maneira a possibilitar a criação de contextos virtuais que podem ser administrados por equipes distintas;
4.18.52. Controle, inspeção e descriptografia de SSL para tráfego de entrada (Inbound) e Saída (Outbound), sendo que deve suportar o controle dos certificados individualmente dentro de cada sistema virtual, ou seja, isolamento das operações de adição, remoção e utilização dos certificados diretamente nos sistemas virtuais (contextos)
4.18.53. Controle por Política de Firewall:
4.18.54. Deverá suportar controles por zona de segurança;
4.18.55. Controles de políticas por porta e protocolo;
4.18.56. Controle de políticas por aplicações, grupos estáticos de aplicações, grupos dinâmicos de aplicações (baseados em características e comportamento das aplicações) e categorias de aplicações;
4.18.57. Controle de políticas por usuários, grupos de usuários, IPs, redes e zonas de segurança;
4.18.58. Firewall deve ser capaz de aplicar a inspeção UTM (ApplicationControl e Webfiltering no mínimo) diretamente às políticas de segurança versus via perfis;
4.18.59. Além dos endereços e serviços de destino, objetos de serviços de Internet devem poder ser adicionados diretamente às políticas de firewall;
4.18.60. Deve suportar o armazenamento de logs em tempo real tanto para o ambiente de nuvem quanto o ambiente local (on-premise);
4.18.61. Deve suportar o padrão de indústria 'syslog' protocol para armazenamento usando o formato Common EventFormat (CEF);
4.18.62. Deve haver uma maneira de assegurar que o armazenamento dos logs em tempo real não supera a velocidade de upload;
4.18.63. Controle de Aplicações:
4.18.64. Os dispositivos de proteção de rede deverão possuir a capacidade de reconhecer aplicações, independente de porta e protocolo;
4.18.65. Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos;
4.18.66. Reconhecer pelo menos 3500 aplicações diferentes, incluindo, mas não limitado a: tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail;
4.18.67. Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs;
4.18.68. Deve inspecionar o payload de pacote de dados com o objetivo de detectar assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocolo;
4.18.69. Deve detectar aplicações através de análise comportamental do tráfego observado, incluindo, mas não limitado a Bittorrent e aplicações VOIP que utilizam criptografia proprietária;
4.18.70. Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da rede Tor;
4.18.71. Para tráfego criptografado SSL, deve de-criptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante;
4.18.72. Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo, incluindo, mas não limitado a Yahoo Instant Messenger usando HTTP. A decodificação de protocolo também deve identificar funcionalidades especificas dentro de uma aplicação, incluindo, mas não limitado a compartilhamento de arquivo dentro do Webex;
4.18.73. Identificar o uso de táticas evasivas via comunicações criptografadas;
4.18.74. Atualizar a base de assinaturas de aplicações automaticamente;
4.18.75. Limitar a banda (download/upload) usada por aplicações (trafficshaping), baseado no IP de origem, usuários e grupos;
4.18.76. Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários;
4.18.77. Deve suportar múltiplos métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas e decodificação de protocolos;
4.18.78. Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante;
4.18.79. A criação de assinaturas personalizadas deve permitir o uso de expressões regulares, contexto (sessões ou transações), usando posição no payload dos pacotes TCP e UDP e usando decoders de pelo menos os seguintes protocolos: HTTP, FTP, NBSS, DCE RPC, SMTP, Telnet, SSH, MS-SQL, IMAP, DNS, LDAP, RTSP e SSL;
4.18.80. O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações;
4.18.81. Deve alertar o usuário quando uma aplicação for bloqueada;
4.18.82. Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, etc) possuindo granularidade de controle/políticas para os mesmos;
4.18.83. Deve possibilitar a diferenciação de tráfegos de InstantMessaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos;
4.18.84. Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o Hangouts chat e bloquear a chamada de vídeo;
4.18.85. Deve possibilitar a diferenciação de aplicações Proxies (psiphon, freegate, etc) possuindo granularidade de controle/políticas para os mesmos;
4.18.86. Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: Tecnologia utilizada nas aplicações (ClientServer, BrowseBased, Network Protocol, etc);
4.18.87. Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: Nível de risco da aplicação;
4.18.88. Deve ser possível a criação de grupos estáticos de aplicações baseados em características das aplicações como: Categoria da aplicação;
4.18.89. Prevenção de Ameaças:
4.18.90. Para proteção do ambiente contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall;
4.18.91. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);
4.18.92. As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
4.18.93. Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade;
4.18.94. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-reset;
4.18.95. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;
4.18.96. Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
4.18.97. Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura;
4.18.98. Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
4.18.99. Deve permitir o bloqueio de vulnerabilidades;
4.18.100. Deve permitir o bloqueio de exploits conhecidos;
4.18.101. Deve incluir proteção contra ataques de negação de serviços;
4.18.102. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de padrões de estado de conexões;
4.18.103. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de decodificação de protocolo;
4.18.104. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise para detecção de anomalias de protocolo;
4.18.105. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise heurística;
4.18.106. Deverá possuir o seguinte mecanismo de inspeção de IPS: IP Defragmentation;
4.18.107. Deverá possuir o seguinte mecanismo de inspeção de IPS: Remontagem de pacotes de TCP;
4.18.108. Deverá possuir o seguinte mecanismo de inspeção de IPS: Bloqueio de pacotes malformados;
4.18.109. Ser imune e capaz de impedir ataques básicos como: Synflood, ICMP flood, UDP flood, etc;
4.18.110. Detectar e bloquear a origem de portscans;
4.18.111. Bloquear ataques efetuados por worms conhecidos;
4.18.112. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
4.18.113. Possuir assinaturas para bloqueio de ataques de buffer overflow;
4.18.114. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
4.18.115. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spyware, permitindo a criação de exceções com granularidade nas configurações;
4.18.116. Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, HTTPS, FTP, IMAP, SMTP e POP3;
4.18.117. Identificar e bloquear comunicação com botnets;
4.18.118. Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
4.18.119. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicação;
4.18.120. Deve permitir que na captura de pacotes por assinaturas de IPS seja definido o número de pacotes a serem capturados ou permitir capturar o pacote que deu origem ao alerta assim como seu contexto, facilitando a análise forense e identificação de falsos positivos;
4.18.121. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
4.18.122. Os eventos devem identificar o país de onde partiu a ameaça;
4.18.123. Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.18.124. Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
4.18.125. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança;
4.18.126. Fornecer proteção contra ataques de dia zero por meio de integração com solução de sandbox.
4.18.127. Capacidade de emissão relatórios da análise de sandbox, incluindo no mínimo as seguintes informações: quantidade de conexões, endereços IP, quantidade de malwares, quantidade de artefatos analisados, extensão de arquivos, comportamentos maliciosos, alterações em registros de sistemas operacionais, acesso e alterações em arquivos binários.
4.18.128. Filtro de URL:
4.18.129. Permite especificar política por tempo, ou seja, a definição de regras para um determinado horário ou período (dia, mês, ano, dia da semana e hora);
4.18.130. Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
4.18.131. Deve possuir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais URLs através da integração com serviços de diretório, Active Directory e base de dados local;
4.18.132. Suportar a capacidade de criação de políticas baseadas no controle por URL e categoria de URL;
4.18.133. Deve possuir base ou cache de URLs local no appliance ou em nuvem do próprio fabricante, evitando delay de comunicação/validação das URLs;
4.18.134. Possuir pelo menos 80 categorias de URLs;
4.18.135. Deve possuir a função de exclusão de URLs do bloqueio, por categoria;
4.18.136. Permitir a customização de página de bloqueio;
4.18.137. Permitir o bloqueio e continuação (possibilitando que o usuário acesse um site potencialmente bloqueado informando o mesmo na tela de bloqueio e possibilitando a utilização de um botão Continuar para permitir o usuário continuar acessando o site);
4.18.138. Além do Explicit Web Proxy, suportar proxy Web transparente;
4.18.139. Identificação de Usuários:
4.18.140. Deve incluir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais aplicações através da integração com serviços de diretório, autenticação via LDAP, Active Directory, E-directory e base de dados local;
4.18.141. Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários;
4.18.142. Deve possuir integração e suporte a Microsoft Active Directory para os seguintes sistemas operacionais: Windows Server 2012 e Windows Server 2016;
4.18.143. Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários, suportando single sign-on. Essa funcionalidade não deve possuir limites licenciados de usuários ou qualquer tipo de restrição de uso como, mas não limitado à utilização de sistemas virtuais, segmentos de rede etc.;
4.18.144. Deve possuir integração com Radius para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários;
4.18.145. Deve possuir integração com LDAP para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em Usuários e Grupos de usuários;
4.18.146. Deve permitir o controle, sem instalação de cliente de software, em equipamentos que solicitem saída a internet para que antes de iniciar a navegação, expanda-se um portal de autenticação residente no firewall (Captive Portal);
4.18.147. Deve possuir suporte a identificação de múltiplos usuários conectados em um mesmo endereço IP em ambientes Citrix e Microsoft Terminal Server, permitindo visibilidade e controle granular por usuário sobre o uso das aplicações que estão nestes serviços;
4.18.148. Deve implementar a criação de grupos customizados de usuários no firewall, baseado em atributos do LDAP/AD;
4.18.149. Permitir integração com tokens para autenticação dos usuários, incluindo, mas não limitado a acesso a internet e gerenciamento da solução;
4.18.150. QoS e TrafficShaping:
4.18.151. Com a finalidade de controlar aplicações e tráfego cujo consumo possa ser excessivo, (como Youtube, Ustream, etc) e ter um alto consumo de largura de banda, se requer que a solução, além de poder permitir ou negar esse tipo de aplicações, deve ter a capacidade de controlá-las por políticas de máxima largura de banda quando forem solicitadas por diferentes usuários ou aplicações, tanto de áudio como de vídeo streaming;
4.18.152. Suportar a criação de políticas de QoS e TrafficShaping por endereço de origem;
4.18.153. Suportar a criação de políticas de QoS e TrafficShaping por endereço de destino;
4.18.154. Suportar a criação de políticas de QoS e TrafficShaping por usuário e grupo;
4.18.155. Suportar a criação de políticas de QoS e TrafficShaping por aplicações, incluindo, mas não limitado a Skype, Bittorrent, YouTube e Azureus;
4.18.156. Suportar a criação de políticas de QoS e TrafficShaping por porta;
4.18.157. O QoS deve possibilitar a definição de tráfego com banda garantida;
4.18.158. O QoS deve possibilitar a definição de tráfego com banda máxima;
4.18.159. O QoS deve possibilitar a definição de fila de prioridade;
4.18.160. Suportar priorização em tempo real de protocolos de voz (VOIP) como H.323, SIP, SCCP, MGCP e aplicações como Skype;
4.18.161. Suportar marcação de pacotes Diffserv, inclusive por aplicação;
4.18.162. Disponibilizar estatísticas em tempo real para classes de QoS ou TrafficShaping;
4.18.163. Deve suportar QOS (traffic-shapping), em interface agregadas ou redundantes;
4.18.164. O balanceamento deve ser capaz de selecionar o caminho para o destino usando pelo menos os seguintes fatores, Banda Disponível, Jitter, Latência, Perda de Pacotes;
4.18.165. Filtro de Dados
4.18.166. Permitir identificar e opcionalmente prevenir a transferência de vários tipos de arquivos (MS Office, PDF, etc) identificados sobre aplicações (HTTP, FTP, SMTP, etc);
4.18.167. Suportar identificação de arquivos compactados ou a aplicação de políticas sobre o conteúdo desses tipos de arquivos;
4.18.168. Suportar a identificação de arquivos criptografados e a aplicação de políticas sobre o conteúdo desses tipos de arquivos;
4.18.169. Permitir identificar e opcionalmente prevenir a transferência de informações sensíveis, incluindo, mas não limitado a número de cartão de crédito, possibilitando a criação de novos tipos de dados via expressão regular;
4.18.170. Geo Localização
4.18.171. Suportar a criação de políticas por geo-localização, permitindo o tráfego de determinado País/Países sejam bloqueados;
4.18.172. Deve possibilitar a visualização dos países de origem e destino nos logs dos acessos;
4.18.173. Deve possibilitar a criação de regiões geográficas pela interface gráfica e criar políticas utilizando as mesmas;
4.18.174. VPN:
4.18.175. Suportar VPN Site-to-Site e Cliente-To-Site;
4.18.176. Suportar IPSec VPN;
4.18.177. Suportar SSL VPN;
4.18.178. A VPN IPSEc deve suportar 3DES;
4.18.179. A VPN IPSEc deve suportar Autenticação MD5 e SHA-1;
4.18.180. A VPN IPSEc deve suportar Diffie-HellmanGroup 1, Group 2, Group 5 e Group 14;
4.18.181. A VPN IPSEc deve suportar Algoritmo Internet Key Exchange (IKEv1 e v2);
4.18.182. A VPN IPSEc deve suportar AES 128, 192 e 256 (AdvancedEncryption Standard);
4.18.183. A VPN IPSEc deve suportar Autenticação via certificado IKE PKI;
4.18.184. Deve possuir interoperabilidade com os seguintes fabricantes: Cisco, Check Point, Juniper, Palo Alto Networks, Fortinet, Forcepoint, SonicWall;
4.18.185. Deve permitir habilitar e desabilitar túneis de VPN IPSEC a partir da interface gráfica da solução, facilitando o processo de throubleshooting;
4.18.186. A VPN SSL deve suportar o usuário realizar a conexão por meio de cliente instalado no sistema operacional do equipamento ou por meio de interface WEB;
4.18.187. A funcionalidades de VPN SSL devem ser atendidas com ou sem o uso de agente;
4.18.188. Deve permitir que todo o tráfego dos usuários remotos de VPN seja escoado para dentro do túnel de VPN, impedindo comunicação direta com dispositivos locais como proxies;
4.18.189. Atribuição de DNS nos clientes remotos de VPN;
4.18.190. Dever permitir criar políticas de controle de aplicações, IPS, Antivírus, Antipyware e filtro de URL para tráfego dos clientes remotos conectados na VPN SSL;
4.18.191. Suportar autenticação via AD/LDAP, Secure id, certificado e base de usuários local;
4.18.192. Suportar leitura e verificação de CRL (certificate revocation list);
4.18.193. Permitir a aplicação de políticas de segurança e visibilidade para as aplicações que circulam dentro dos túneis SSL;
4.18.194. Deve permitir que a conexão com a VPN seja estabelecida das seguintes formas: Antes do usuário autenticar na estação;
4.18.195. Deve permitir que a conexão com a VPN seja estabelecida das seguintes formas: Após autenticação do usuário na estação;
4.18.196. Deve permitir que a conexão com a VPN seja estabelecida das seguintes formas: Sob demanda do usuário;
4.18.197. Deverá manter uma conexão segura com o portal durante a sessão;
4.18.198. O agente de VPN SSL ou IPSEC client-to-site deve ser compatível com pelo menos: Windows 7 (32 e 64 bit), Windows 8 (32 e 64 bit), Windows 10 (32 e 64 bit) e Mac OS X (v10.10 ou superior);
4.18.199. Relatórios:
4.18.200. Possuir capacidade de receber ao menos 200 GBytes de logs diários;
4.18.201. Possuir ao menos 500 GB de capacidade de espaço em disco;
4.18.202. Possuir ao menos 4 interfaces vNIC;
4.18.203. Não deve possuir limitação de vCPUs. Caso tenha limitação, ou seja, licenciado, deve ser entregue com o número máximo de vCPUs;
4.18.204. Não deve possuir limitação de memória RAM. Caso tenha limitação, ou seja, licenciado, deve ser entregue com quantidade máxima de memória RAM;
4.18.205. Deve ser appliance do tipo virtual, compatível com VMWare ESX/ESXI 6.0 ou superior;
4.18.206. Deve suportar acesso via SSH, WEB (HTTPS) e Telnet para o gerenciamento da solução.
4.18.207. Possuir comunicação cifrada e autenticada com usuário e senha para solução de relatórios, tanto como para a interface gráfica de usuário e console de administração por linha de comandos (SSH);
4.18.208. Permitir acesso simultâneo de administradores permitindo a criação de ao menos 2 (dois) perfis para administração e monitoração;
4.18.209. Suportar SNMP versão 2 e versão 3 na solução de relatórios;
4.18.210. Permitir virtualizar a solução de relatórios, onde cada administrador gerencie, visualize e edite apenas os dispositivos autorizados e cadastrados no seu ambiente virtualizado;
4.18.211. Deve permitir a criação de administradores que acessem à todas as instâncias de virtualização da solução de relatórios;
4.18.212. Deve permitir habilitar e desabilitar, para cada interface de rede da solução de relatórios, permissões de acesso HTTP, HTTPS, SSH, SNMP e Telnet
4.18.213. Autenticação integrada a servidor Radius;
4.18.214. Geração de relatórios em tempo real, para a visualização de tráfego observado, nos formatos: mapas geográficos e tabela;
4.18.215. Geração de relatórios em tempo real, para a visualização de tráfego observado, no formato bolhas;
4.18.216. Autenticação integrada ao Microsoft Active Directory;
4.18.217. Definição de perfis de acesso à console com permissões granulares como: acesso de escrita, acesso de leitura, criação de usuários, alteração de configurações;
4.18.218. Xxxx possuir um assistente para adicionar dispositivos via interface gráfica usando o IP, login e senha dos mesmos.
4.18.219. Deve ser possível visualizar a quantidade de logs enviado de cada dispositivo monitorado.
4.18.220. Possuir mecanismo para que logs antigos sejam removidos automaticamente;
4.18.221. Permitir a importação e exportação de relatórios;
4.18.222. Deve possuir a capacidade de criar relatórios nos formatos HTML;
4.18.223. Deve possuir a capacidade de criar relatórios nos formatos PDF;
4.18.224. Deve ser possível exportar os logs em CSV;
4.18.225. Geração de logs de auditoria detalhados, informando a configuração realizada, o administrador que a realizou e o horário da alteração;
4.18.226. Os logs gerados pelos appliances devem ser centralizados nos servidores de gerência, mas a solução deve oferecer também a possibilidade de utilização de um syslog externo ou similar.
4.18.227. A solução deve possuir relatórios pré definidos;
4.18.228. Possuir envio automático de logs para um servidor FTP externo a solução;
4.18.229. Possibilitar a duplicação de relatórios existentes e editá-los logo após;
4.18.230. Possuir a capacidade de personalização de capas para os relatórios;
4.18.231. Permitir de forma centralizada visualizar os logs recebidos por um ou vários dispositivos externos incluindo a capacidade de uso de filtros nas pesquisas deste log;
4.18.232. Logs de auditoria para configurações de regras e objetos devem ser visualizados em uma lista diferente da que exibe os logs relacionados a tráfego de dados.
4.18.233. Possuir a capacidade de personalização de gráficos como barra, linha e tabela para inserção aos relatórios;
4.18.234. Deve possuir mecanismo "Drill-Down" para navegação nos relatórios em realtime;
4.18.235. Dever ser possível fazer download dos arquivos de logs recebidos
4.18.236. Deve possuir agendamento para gerar e enviar automaticamente relatórios;
4.18.237. Permitir customização de quaisquer relatórios fornecidos pela solução, exclusivamente pelo administrador, adaptando-o às suas necessidades.
4.18.238. Permitir o envio de maneira automática de relatórios por e-mail;
4.18.239. Deve permitir a escolha do e-mail a ser enviado para cada relatório escolhido;
4.18.240. Permitir programar a geração de relatórios, conforme calendário definido pelo administrador;
4.18.241. Deve ser possível visualizar através de gráficos em tempo real o consumo de disco e taxa de geração de logs dos dispositivos gerenciados
4.18.242. Deve ser possível definir filtros nos relatórios;
4.18.243. Deve ser capaz de definir o layout do relatório, incluir gráficos, inserir textos e imagens, alinhamento, quebras de páginas, definir fontes, cores, entre outros;
4.18.244. Permitir que relatórios criados sejam no idioma português.
4.18.245. Gerar alertas automáticos via E-mail, SNMP e Syslog baseados em eventos como ocorrência como log, severidade de log, entre outros;
4.18.246. Permitir que a solução importe arquivos de log, de dispositivos compatíveis conhecidos e não conhecidos pelo sistema, para posterior geração de relatórios;
4.18.247. A solução deve servir como um servidor de syslog e aceitar logs de diferentes fabricantes;
4.18.248. Deve possuir a informação da quantidade de logs armazenado e estatística de tempo de retenção restante;
4.18.249. Deve permitir ver em tempo real os logs recebidos
4.18.250. Deve possuir relatório de PCI DSS Compliance;
4.18.251. Deve possuir relatório de utilização de aplicações SaaS
4.18.252. Deve possuir relatório de VPN;
4.18.253. Deve possuir relatório de Sistemas de prevenção de intrusão (IPS);
4.18.254. Deve possuir relatório de reputação do cliente;
4.18.255. Deve possuir relatório de análise de segurança do usuário;
4.18.256. Deve possuir relatório de avaliação da ameaça cibernética;
4.18.257. Deve possuir relatório de equipamentos terminais de solução de segurança gerenciada;
4.18.258. Deve possuir relatório de análise de segurança e uso de web, se há uma plataforma de cache.
4.18.259. Deve possuir relatório de análise aplicações web, se há uma plataforma de segurança web
4.18.260. Gerência Centralizada:
4.18.261. Ter a capacidade de visualizar na GUI da solução de centralizadas informações do sistema como licenças, memória, disco, uso de CPU, taxa de logs por segundo recebidos, total de logs diários recebidos, alertas gerados entre outros.
4.18.262. Deve permitir a criação de Dashboards customizados para visibilidades do tráfego de aplicativos, categorias de URL, ameaças, serviços, países, origem e destino;
4.18.263. Deve permitir gerenciar ao menos 20 dispositivos;
4.18.264. Possuir ao menos 4 interfaces Vnic;
4.18.265. Suportar mapeamento de ao menos 500 GB de espaço em disco;
4.18.266. Deve permitir e estar licenciado para operar em alta disponibilidade (HA) sincronizando as mudanças na base de dados entre as estações de gerência;
4.18.267. Caso a solução seja virtualizada, deverá ser compatível com ambiente VMwareESXi 5.5 e 6.0;
4.18.268. Caso a solução seja virtualizada, deverá ser compatível com ambiente Microsoft Hyper-V 2008 R2 / 2012 / 2012 R2;
4.18.269. Caso a solução seja virtualizada, deverá ser compatível com ambiente Citrix XenServer 6.0+;
4.18.270. Caso a solução seja virtualizada, deverá ser compatível com ambiente Open SourceXen 4.1+;
4.18.271. Caso a solução seja virtualizada, deverá ser compatível com ambiente KVM;
4.18.272. Caso a solução seja virtualizada, deverá ser compatível com ambiente Amazon Web Services (AWS);
4.18.273. Não deve possuir limite na quantidade de múltiplas vCPU caso entregue como appliance virtual;
4.18.274. Não deve possuir limite para suporte a expansão de memória RAM caso entregue como appliance virtual;
4.18.275. Na data da proposta, nenhum dos modelos ofertados poderão estar listados no site do fabricante em listas de end-of-life e end-of- sale;
4.18.276. O gerenciamento da solução deve suportar acesso via SSH, cliente ou WEB (HTTPS) e API aberta;
4.18.277. Permitir acesso concorrente de administradores;
4.18.278. Cliente para administração da solução de gerenciamento, deve possuir compatibilidade e homologação para os sistemas operacionais Windows e Linux;
4.18.279. Possuir interface baseada em linha de comando para administração da solução de gerência;
4.18.280. Deve possuir um mecanismo de busca por comandos no gerenciamento via SSH, facilitando a localização de comandos;
4.18.281. Bloqueio de alterações, no caso de acesso simultâneo de dois ou mais administradores;
4.18.282. Definição de perfis de acesso à console com permissões granulares como: acesso de escrita, acesso de leitura, criação de usuários, alteração de configurações;
4.18.283. Gerar alertas automáticos via Email;
4.18.284. Gerar alertas automáticos via SNMP;
4.18.285. Gerar alertas automáticos via Syslog;
4.18.286. Deve suportar backup/restore de todas as configurações da solução de gerência, permitindo ao administrador agendar backups da configuração em um determinado dia e hora.
4.18.287. As alterações realizadas em um servidor de gerência deverão ser automaticamente replicadas para o servidor redundante
4.18.288. Deve ser permitido integração com contas de usuários LOCAIS, TACACS, LDAP, RADIUS.
4.18.289. Deve suportar sincronização do relógio interno via protocolo NTP.
4.18.290. Deve registrar as ações efetuadas por quaisquer usuários;
4.18.291. Devem ser fornecidos manuais de instalação, configuração e operação de toda a solução, na língua portuguesa ou inglesa, com apresentação de boa qualidade.
4.18.292. Suportar SNMP versão 2 e versão 3 nos equipamentos de gerência;
4.18.293. Deve permitir habilitar e desabilitar, para cada interface de rede da solução de gerência, permissões de acesso HTTP, HTTPS, SSH, SNMP e Telnet;
4.18.294. Deve permitir virtualizar a solução de gerência, de forma que cada administrador possa gerenciar, visualizar e editar apenas os dispositivos autorizados e cadastrados no seu ambiente virtualizado.
4.18.295. A solução de gerência deve permitir criar administradores que tenham acesso à todas as instâncias de virtualização;
4.18.296. Deve suportar XML API;
4.18.297. Deve suportar JSON API;
4.19. Sub-Item 2.5 - Transceiver para Next Generation Firewall - TIPO 1
4.19.1. GE SFP LX Transceiver
4.19.2. Características: 1GE SFP LX transceiver SFP - SFP/SFP+ slots
4.20. Sub-Item 2.6 - Transceiver para Next Generation Firewall - TIPO 2
4.20.1. GE SFP RJ45 Transceiver
4.20.2. Características: 1GE SFP RJ45 transceiver SFP - SFP/SFP+slots
4.21. Sub-Item 2.7 - Transceiver para Next Generation Firewall - TIPO 3
4.21.1. GE SFP SX Transceiver
4.21.2. Características: 1GE SFP SX transceiver SFP - SFP/SFP+ slots
4.22. Sub-Item 2.8 - Transceiver para Next Generation Firewall - TIPO 4
4.22.1. 10 GE SFP+ Transceiver, Short Range
4.22.2. Características: 10 GE SFP+ transceiver SFP+, SFP/SFP+ slots
4.23. Sub-Item 2.9 - Transceiver para Next Generation Firewall - TIPO 5
4.23.1. 10 GE SFP+ Transceiver, Long Range
4.23.2. Características: 10 GE SFP+ transceiver, long range SFP+, SFP/SFP+ slots
4.24. Sub-Item 2.10 - Transceiver para Next Generation Firewall - TIPO 6
4.24.1. 10 GE SFP+ Active Direct Attach, 10m / 32.8 ft
4.24.2. Características: 10 GE SFP+ active direct attach, 10m / 32.8 ft, SFP+, SFP/SFP+ slots
4.25. Sub-Item 2.11 - Serviço de controle de acesso seguro a rede LAN e WLAN.
4.25.1. Pacote de Licenças para usuários:
4.25.2. Fornecimento e garantia de pacotes de licenças para gerenciamento de dispositivos externos da rede wireless.
4.25.3. Cada pacote deve contemplar licenças para acessos dispositivos simultâneos de acordo com a instância contratada, conforme tabela abaixo;
Instância Mensal 500 Usuários
Serviço de controle de acesso seguro a rede LAN e WLAN.
4.25.4. Todas as licenças devem ser válidas pelo período de vigência da solicitação e em caráter permanente e contínuo, de forma que a solução funcione mesmo após o término da garantia exigida;
4.25.5. Toda solução deve ser instalada e as licenças devem ser instaladas e configuradas sem qualquer ônus adicional, incluindo as licenças de software de virtualização, utilizando as melhores práticas do fabricante.
4.25.6. Toda infraestrutura para implantação da solução será provida pelo IGES-DF, baseando-se nas especificações abaixo:
4.25.7. Os seguintes hipervisores devem ser suportados:
VMware ESXi 5.0, VMware ESXi 5.1, VMware ESXi 5.5, VMware ESXi 6.0, VMware ESXi 6.5 ou superior Microsoft Hyper-V Server 2012 R2
Hyper-V no Microsoft Windows Server 2012 R2
4.26. Requisitos máximos de VM para 500 à 2.500 usuários:
2 CPUs virtuais
500 GB de espaço em disco 4 GB de RAM
2 portas virtual switched ports
Classificação funcional da IOP para um perfil de leitura / gravação de 40 a 60 para leitura / gravação aleatória de 4K = 75
4.26.1. Software de Controle de Acesso
4.26.2. Permitir a criação de páginas personalizadas no portal web para o captive portal, com a inclusão de imagens, instruções em texto e campos de texto que possam ser preenchidos pelos clientes;
4.26.3. Ser licenciada para permitir o controle de acesso para todos os usuários vinculados às licenças contratadas, simultâneos, com capacidade de expansão futura de acordo com as instâncias contratadas.
4.26.4. Deve permitir a customização do formulário de criação de credenciais, a ser preenchido pelo visitante, em caso de “self-service”, especificando quais informações cadastrais dos visitantes são obrigatórias conforme o perfil;
4.26.5. Deve exigir que o usuário visitante aceite o “Termo de uso da rede” a cada login ou apenas no primeiro login;
4.26.6. Deve implementar um portal web seguro (SSL) a ser apresentado automaticamente aos usuários temporários (visitante/servidor) durante a sua conexão com a rede (hotspot);
4.26.7. Deve implementar o envio das credenciais aos usuários registrados através de mensagens SMS (Short Message Service) ou e-mail ou impressão local;
4.26.8. O portal de autenticação deve ser suportado, no mínimo, em um dos seguintes navegadores de Internet: Microsoft Internet Explorer, Mozilla Firefox, Safari e Chrome, operando em PCs e dispositivos móveis;
4.26.9. A solução deverá integrar com o Active Directory da Microsoft para identificação e autenticação dos usuários;
4.26.10. Possuir capacidade de autenticação dos usuários visitantes através de senhas pré-cadastradas ou vouchers, para cada indivíduo ou grupo, no caso de eventos;
4.26.11. Deverá permitir o encaminhamento do tráfego de saída de usuários visitantes (guests) diretamente para a Internet, de forma totalmente separada do tráfego da rede corporativa;
4.26.12. Permitir que as contas de visitantes tenham validade controlada com período de validade da senha em quantidade de horas, dias e semanas;
4.26.13. Permitir, a configuração do número máximo de conexões simultâneas realizadas por uma mesma conta, possibilitando que um usuário possua mais de um dispositivo na rede com a mesma senha e que contas coletivas sejam utilizadas em eventos. Esta funcionalidade deve ser possível em usuários visitantes autenticados pelo captive portal;
4.26.14. Implementar controle de acesso administrativo da solução baseado em função;
4.26.15. Implementar protocolo de autenticação para controle do acesso administrativo da solução utilizando servidor Radius ou Microsoft Active Directory;
4.26.16. Suportar IEEE 802.1x, com pelo menos os seguintes métodos EAP: EAP: EAP- TLS, PEAP-GTC, PEAP-MSCHAPv2;
4.26.17. Permitir a disponibilização ao usuário de um termo de uso, de forma que o usuário possa ler o termo de uso e realizar a aceitação do mesmo previamente a sua conexão à rede.
4.26.18. Deve implementar mecanismos de autenticação via integração com LDAP e Captive Portal com suporte a RADIUS Authentication e Accounting.
4.26.19. Implementar identificação e autenticação de usuários via integração com Facebook®, Linkedin®, Instagram®, Twitter® e Google®. Deve ainda implementar identificação e autenticação via auto registro, através de formulário customizável ao administrador da solução, a fim de permitir que, sejam criados a quantidade de informações pretendidas, contendo, no mínimo, Nome e E-mail do usuário, bem como máscaras de validações para CPF, Data de Nascimento e Telefone.
4.26.20. Implementar mecanismo de autorização, de forma que um patrocinador (sponsor), definido pela CONTRATANTE, possa autorizar o acesso do usuário via e-mail e via FQDN (Full Qualify Domain Name) previamente autorizados pela CONTRATANTE.
4.26.21. Implementar funcionalidade de busca por usuários já conhecidos (recorrentes), realizando a identificação do dispositivo móvel no ingresso e permissão de acesso do usuário sem a necessidade de nova autenticação.
4.26.22. Permitir que o layout das telas de acesso sejam customizáveis com no mínimo 01 (um) logotipo e 01 (um) fundo de tela, com a utilização de texto e imagens em formatos JPEG ou PNG;
4.26.23. Disponibilizar recurso de integração via WebService REST/API para consumo de dados da plataforma em tempo real por meio de acesso direto a API, fornecendo possibilidade de integração a solução de autenticação com os sistemas externos da CONTRATANTE.
4.26.24. Deve possuir múltiplos perfis de usuários administrativos com diferentes tipos de permissão.
4.26.25. Implementar recurso de liberação de acesso por endereço MAC, onde o endereço do dispositivo pode ser cadastrado manualmente ou adicionado dinamicamente para os usuários que já realizaram acesso ao menos uma vez;
4.26.26. Permitir a customização do período (horário) que o serviço estará disponível para os usuários visitantes. Deve permitir ainda as definições de dias durante a semana.
4.26.27. Permitir a gestão de tempo, com a definição do limite máximo de uso diário e tempo máximo de inatividade. A obtenção dos dados de conexões dos usuários, para fins de gestão do tempo, deve ser feita a partir da infraestrutura de rede WiFi via o protocolo RADIUS Accounting (contabilidade);
4.26.28. Permitir a exportação de dados da plataforma nos formatos CSV e JSON.
4.26.29. Suporte ao provisionamento automático de dispositivos, através de Portal Captivo para Windows, Mac OSX, iOS e Android. Deve possuir licenças para o provisionamento de 300 dispositivos BYOD.
4.26.30. Para soluções virtualizadas, serão aceitos virtual appliances compatíveis com VMWare;
4.26.31. Suporte a seguintes bases de dados:
Microsoft Active Directory Kerberos
LDAP-compliant directory
ODBC-compliant SQL server Token servers
Base SQL interna
4.26.32. Deve implementar funcionalidade de classificação automática de dispositivos (“Device profiling”), de forma a descobrir, classificar e agrupar os dispositivos conectados na rede;
4.26.33. Deve categorizar os dispositivos em pelo menos 3 níveis, por tipo de dispositivo (ex. Computadora, Smartdevice, impressora, etc.), por sistema operacional (ex. Windows, Linux, MacOS, etc.) e versão do sistema (ex. Windows 7, Windows 2008 Server, etc);
4.26.34. Deve suportar a coleta de informações, para classificação, usando no mínimo DHCP, HTTP User-Agent, MAC OUI, ActiveSync plugin, SNMP, SSH, Subnet Scanner, IF-MAP, sflow ou Netflow, MDM e TCP Fingerprinting;
4.26.35. Deve possuir base de regras e categorias de dispositivos pré-configurada;
4.26.36. Deve suportar mecanismo de atualização das regras e categorias pré-configuradas
4.26.37. Sub-Item 2.12 – Serviços de Plataforma integrada (Managed Security Services)
4.26.38. A CONTRATANTE já possui em seu roll de soluções, solução de proteção contra ameaças internas e auditoria para ambiente computacional não estruturado (VARONIS). Devido a necessidade de se ter o mesmo nível de monitoramento e segurança para os dados estruturados, se faz necessário que a CONTRATADA forneça uma plataforma de serviços gerenciados de Monitoramento de Segurança e detecção de ameaças que deva ser capaz de receber dados não estruturados fornecidos pela solução já existente (VARONIS) na CONTRATANTE.
4.26.39. O fornecedor deve enviar dados de eventos das fontes / dispositivos do IGESDF para uma plataforma SOC gerenciada para coleta, mapeamento, armazenamento e relatório (específica para informações de dados estruturados).
4.26.40. Fontes de infraestrutura de segurança da informação:
Router Switches Firewalls Proxies
IDS/IPS
Network Access Control WebApplication Firewall Filtro de Conteúdo
Balanceadores de carga Antivirus/Antispam Servidores
Estações de Trabalho Sistemas de armazenamento Antivírus de sistemas
Antivirus/Antispam de correio Gestão de identidade
Gestão de logs
Gestão de vulnerabilidades
4.26.41. O provedor deve oferecer serviços gerenciados e monitoramento e detecção de ameaças, considerando os locais Cloud e on- premisses.
4.26.42. O IGESDF contratará os serviços sempre mencionando os locais de coletas de logs quando e se responsabilizando pelo envio de logs ao repositório local ou na nuvem, não se limitando os locais mencionados a baixo, ou seja, o serviço poderá ser contratado em um endereço novo, porém será avaliado junto a proponente a melhor solução para coleta on-premisses ou na nuvem Pública sempre na modalidade Opex.
4.26.43. O provedor deve fornecer uma plataforma centralizada Web responsiva e que possua múltiplos acessos, ou seja, não restringindo o número de acessos da contrante ou contratada, essa plataforma deve conter toda a metodologia e processos do time de segurança da informação seguindo protocolos de boas práticas, além de visibilidade total de todos os ativos suportados pelo contrato sem nenhum tipo de restrição, esta plataforma ainda deverá fornecer modelos de relatórios e estes podem ser criados/modificados para permitir que métricas gráficas e relatórios de comparação de dados sejam produzidos ao longo do tempo.
4.26.44. A plataforma de gerencia deve ser única para todos os serviços de segurança da informação especificado neste Edital, ou seja, a proponente deverá ter capacidade de integrar todos os serviço em uma página Web de forma granular, a medida que o IGESDF contrate cada serviço, não será aceito ferramentas não integradas e que possua módulos de gerências em URL diferentes.
4.26.45. A Proponente deverá comprovar que sua plataforma Web possui integração com os principais vendors de Tecnologia e nuvem citadas neste Edital Switches, Roteadores, endpoint, Servidores, MS Azure e AWS.
4.26.46. Cabe ao IGESDF avaliar a capacidade da Proponente e qualificá-lo ou não tecnicamente.
4.26.47. A solução deve permitir no mínimo os seguintes relatórios (Esses templates devem ser apresentados na Prova de conceito):
a) Eventos de bloqueio de contas
b) Eventos de autenticação com falha
c) Eventos completos do sistema de arquivos
d) Eventos reinicializados (ações)
e) Eventos excluídos e ou apagados
f) Eventos de trilha de auditoria excluídos
g) Eventos de modificação de privilégio de contas
h) Eventos de erro de sincronização de horário
i) Eventos de anomalias de tráfego de rede
j) Eventos de erro do sistema de auditoria
k) Eventos de tentativa de autenticação por força bruta
l) Eventos de troca de configuração
m) Eventos de auditoria de segurança excluídos
n) Múltiplos ataques suspeitos da mesma fonte
o) Múltiplos ataques suspeitos para o mesmo alvo
p) Falha no login (mesmo usuário) em muitos Hosts
q) Escalonamentos específicos de origem por ID do evento
r) A origem/ fonte ou destino, se estiver na lista de observação ATOR MALICIOSO conhecido (THREAT INTELLIGENCE CROSSOVER)
4.26.48. Deverá permitir a geração de um relatório completo mostrando as configurações de todas as políticas de monitoramento.
4.26.49. O provedor deve oferecer, como parte do serviço gerenciado de monitoramento e detecção de ameaças, a correlação de ataques (vários eventos identificados como um único ataque) em conformidade com os dados/ informações de vulnerabilidades.
4.26.50. O serviço deve ter a capacidade de executar análises baseadas em contexto de ameaças globais. O provedor do serviço gerenciado de detecção e monitoramento de ameaças e deve ser capaz de coletar, filtrar e analisar mais de um milhão de eventos por dia que seriam gerados pela infraestrutura atual do IGESDF.
4.26.51. O serviço de monitoramento e detecção de ameaças gerenciadas deve incluir, para análise, informações detalhadas de uma ameaça sobre a vulnerabilidade para a qual a ameaça é direcionada. Uma descrição da vulnerabilidade, dos ativos que podem ser afetados, informações sobre CVEs, recomendações de correção e referências externas associadas à descoberta devem ser incluídas, quando aplicável.
4.26.52. O serviço gerenciado de segurança e detecção de ameaças deve fornecer uma interface de interação com os administradores internos do IGESDF para a consulta das informações do serviço; é necessário:
a) A console deve fornecer recursos de acesso remoto com uma interface gráfica Web, sob protocolo seguro (HTTPS).
b) A console deve fornecer acesso alternativo por meio de dispositivos móveis, como tablets ou celulares Androide e IOs.
c) A versão “móvel” portátil da console deverá permitir efetuar consultas e modificações nos painéis a partir de qualquer dispositivo móvel.
d) A console deverá ter autenticação de dois fatores é obrigatório.
e) O console deve ter um módulo de controle de usuário para as partes interessadas no serviço, que pode permitir diferentes funções de permissões, como: Administrador, Manutenção, Usuário Básico, Usuário de Política, Geração de Relatórios, etc .; que limitam o uso/ acesso as informações por privilégios de usuário.
4.26.53. A solução deve armazenar as atividades realizadas pelos usuários e permitir auditorias das atividades realizadas.
4.26.54. A solução deve mostrar graficamente e em tempo real informações de histórico nos painéis associados a eventos de segurança, dispositivos, ameaças / vulnerabilidades, ativos associados a eventos, categorização de riscos.
4.26.55. A tela inicial do console deve permitir a personalização de resumos (Resumo), ou seja, o usuário deve poder personalizar o resumo do conteúdo dos dados do evento coletados nos bancos de dados, aplicando filtros por endereço IP, segmento de rede, protocolo, tipo de evento, nome do evento, status do dispositivo, principais eventos, usuário por evento ou qualquer outro elemento que o usuário considere relevante para manter o monitoramento de segurança adequado.
4.26.56. O serviço de monitoramento e detecção de ameaças gerenciadas terá opções para responder a ameaças detectadas ou ataques direcionados, por alertas automatizados ou detecção pela operação de inteligência de ameaças que o provedor deve possuir.
4.26.57. Serviço de monitoramento e detecção de ameaças gerenciadas deve permitir a integração com o serviço de gerenciamento de vulnerabilidades gerenciado fornecido como parte do serviço.
4.26.58. A coleta, correlação e análise dos dados de registro dos componentes dentro do escopo da infraestrutura do IGESDF, conforme definido no escopo dos serviços contratados para esse fim, devem ser realizados através do serviço contratado, para o qual devem ser incluídos. um processo de:
4.26.59. Avaliação e desenho de casos de uso.
4.26.60. Diretriz com os regulamentos de segurança dos padrões que se aplicam ao IGESDF
4.26.61. Documentação dos Processos
4.26.62. A Proponente deverá possuir centro de operações avançado em território nacional, mas não excluindo utilizar parceiros e ou base de inteligência externa como é de prática no mercado de segurança da informação, dessa forma o IGESDF irá usufruir de bases de conhecimentos globais para mitigar e conter ameaças de diversas origens do mundo.
4.26.63. Deverá fornecer uma descrição da metodologia para coletar, relatar e analisar dados e vulnerabilidades ou possíveis ataques coletar, relatar e analisar dados de vulnerabilidades ou possíveis ataques.
4.26.64. A proponente deve especificar o tempo de recuperação esperado no caso de uma falha de MTRR (Mean Time to Recovery) em que a substituição do equipamento é necessária, deve constar no documento listado no item (Item acima).
4.26.65. O provedor do serviço de monitoramento e detecção de ameaças gerenciadas deve ter localizações geográficas globais para fornecer o serviço em um esquema ininterrupto, além deste modelo que oferece capacidade redundante na execução dos serviços gerenciados.
4.26.66. A Proponente deverá indicar claramente os diferentes modelos em relação aos contratos de nível de serviço (SLAs) para monitoramento e administração, correlação de eventos e revisão detalhada por analistas especializados e atendimento a contingências.
4.26.67. O serviço contratado deve ter a capacidade de normalizar os dados de registro para eventos das fontes do IGESDF.
4.26.68. A padronização deve estar alinhada às melhores práticas, tomando como ponto de partida a situação atual de acordo com o nível de operação e configuração das plataformas, que através de uma avaliação de seu estado atual, determinarão as melhorias a serem habilitadas na IGESDF.
4.26.69. Também deverá ser disponibilizado serviço de identificação de maturidade de segurança e deve ser executado nos processos atualmente executados nas plataformas deste escopo, o que permite;
4.26.70. Entendimento do ecossistema atual do cliente e seus serviços IGESDF.
4.26.71. Identificar Gaps e recomendar ações a IGESDF que eleve seu nível de maturidade de segurança da informação e maturidade.
4.26.72. O objetivo a ser definido como entrega para o IGESDF nesta sessão é selecionar em uma base de dados casos de uso do provedor de serviços de monitoramento de ameaças, um conjunto eficaz de casos de uso e procedimentos com base nas fontes de dados do [Cliente] descrito no escopo; eles devem estar alinhados com o ambiente, a maturidade da segurança e os recursos do IGESDF.
4.26.73. Maturidade
4.26.74. O fornecedor deve ter experiência e capacidade de analisar em processos de identificação, avaliação, coleta de informações, entendimento e definição de casos de uso sob uma metodologia que permita desenvolver eficientemente os fluxos e processos que permitam a IGESDF alto padrão de serviço gerenciado avançado de detecção e detecção de ameaças, juntamente com os processos de mitigação e resposta a incidentes;
4.26.75. O processo de avaliação e identificação de maturidade do IGESDF deve ser suportado pelos processos certificados pelo ITIL do provedor de serviços gerenciados e todos os pontos de entrega associados a cada plataforma, processos e pessoas do IGESDF devem ser desenvolvidos e documentados
4.26.76. A proponente precisará identificar e desenvolver indicadores-chave de desempenho e execução de serviços.
4.26.77. Os serviços associados à definição de fluxos, processos e casos de uso devem atender a pelo menos três níveis de integração:
Identificação/ Integração ao serviço de monitoramento e detecção de ameaças. Detecção e prevenção de ameaças internas/ externas.
Mitigação, resposta e investigação a incidentes.
4.26.78. A solução deve fornecer acesso 24x7x365 a relatórios, painéis, inventário de ativos e funcionalidade de pesquisa interativa por meio do Portal Web ofertado pela Proponente.
4.26.79. O serviço de monitoramento de ameaças avançadas deve ter suporte telefônico em formato 24x7x365.
4.26.80. O serviço de monitoramento de ameaças gerenciadas deve enviar notificações automáticas por e-mail de alertas de segurança detectados por regras automatizadas de detecção de ameaças através do serviço contratado para detecção automática de ameaças.
4.26.81. O serviço de monitoramento de ameaças gerenciadas deve - se realizar a análise e notificação de alertas de eventos e segurança pela equipe de Operações Globais de Ameaças, de acordo com os procedimentos de escalação que serão estabelecidos no início das operações, além de executar a classificação de incidentes em segurança através de uma equipe de engenheiros avançados no campo da pesquisa de ameaças que fornece:
4.26.82. Equipe avançada de investigação de ameaças Globais.
4.26.83. Base de dados de conhecimento que permite o cruzamento de eventos na infraestrutura IGESDF contra tendências de ataques, ameaças de níveis globais.
4.26.84. Base de dados de conhecimento que permite o cruzamento de eventos na infraestrutura do IGESDF contra tendências de ataques, ameaças de níveis globais.
4.26.85. Serviço de retenção para a Resposta a Incidentes e investigação forense:
4.26.86. O provedor deve incluir um esquema de serviço de detecção e contenção de incidentes que inclua o seguinte como escopo:
4.26.87. A equipe proposta deve ter vasta experiência e conhecimento em análise, design de cenário de teste, avaliação de processos, implementação de medidas preventivas e ampla experiência nas seguintes áreas:
4.26.88. Exfiltração de dados e intrusões avançadas
4.26.89. Investigações relacionadas a fraudes com cartões bancários
4.26.90. Brechas de segurança
4.26.91. Roubo de dados
4.26.92. Ameaças internas
4.26.93. Ataques de malware
4.26.94. Sequestro virtual de informações (Ransomware)
4.26.95. A proponente deve ter capacidade para ação preventiva contra essa ameaça e os canais de detecção e geração de relatórios implementados para o serviço de contenção e neutralização de uma ameaça identificada
4.26.96. A proponente deverá identificar efetivamente os processos ou recursos que não estão suficientemente protegidos, bem como responder a incidentes associados às lacunas identificadas.
4.26.97. Como parte das funções de resposta e contenção a incidentes, o mesmo serviço deve ter capacidade para realizar investigações forenses, a fim de identificar a origem e as causas de possíveis violações de segurança.
4.26.98. Avaliação do processo interno atual do [Cliente] para gerenciamento de incidentes.
4.26.99. As investigações forenses dos incidentes detectados, para esse fim, devem incluir as seguintes atividades como parte da execução do serviço de investigação:
Determinar a causa da intrusão Determinar a fonte da intrusão Forense sobre telefones móveis
Forense sobre laptops/Desktops/Servidores
Aquisição de imagem forense dos discos dos dispositivos Análise avançada de malware
Busca por palavras chaves
Recuperação dos correios/ e-mail e dados eliminados Monitoramento de atividades na rede
4.26.100. O provedor deve ter os seguintes cenários de tempo de resposta ao solicitar um serviço de resposta a incidentes emergente:
4.26.101. Respostas emergências:
Até 2 horas em resposta por chamada de solicitação
Transferência dos equipamentos do fornecedor para as instalações do IGESDF, no máximo 24 horas, se necessário.
4.27. Sub-Item 2.13 - Serviços de Monitoramento de Segurança da Informação:
4.27.1. Ao contratar o serviço, por intermédio de emissão de Ordem de Serviço, a CONTRATANTE irá demandar, no mínimo, 12 (doze) meses de execução.
4.27.2. A CONTRATADA deverá monitorar toda a infraestrutura disponibilizada em nuvem em regime de 24x7x365;
4.27.3. A CONTRATADA deverá disponibilizar Central de Serviços para registro e acompanhamento dos chamados técnicos da CONTRATANTE;
4.27.4. O monitoramento deve ocorrer nas instalações da CONTRATADA através de interface WEB a ser disponibilizada pela CONTRATANTE.;
4.27.5. A CONTRATADA deverá tratar todos os eventos da infraestrutura e identificar quais eventos são incidentes;
4.27.6. A equipe de monitoramento irá executar procedimentos operacionais indicados pela CONTRATANTE visando a resolução de incidentes;
4.27.7. A equipe de monitoramento deverá abrir chamados para todos os incidentes e indicar a resolução adotada em cada chamado;
4.27.8. A equipe de monitoramento deverá escalonar os chamados de incidentes que não tiverem procedimento padrão ou que não forem solucionados após a execução do procedimento padrão;
4.27.9. A CONTRATANTE irá indicar quais são os caminhos para escalonamento dos chamados.
4.28. Sub-Item 2.14 - Serviços de Monitoramento de Segurança da Informação:
4.28.1. Ao contratar o serviço, por intermédio de emissão de Ordem de Serviço, a CONTRATANTE irá demandar, no mínimo, 12 (doze) meses de execução.
4.28.2. A CONTRATADA deverá monitorar toda a infraestrutura disponibilizada em nuvem em regime de 24x7x365;
4.28.3. A CONTRATADA deverá disponibilizar Central de Serviços para registro e acompanhamento dos chamados técnicos da CONTRATANTE;
4.28.4. O monitoramento deve ocorrer nas instalações da CONTRATADA através de interface WEB a ser disponibilizada pela CONTRATANTE.;
4.28.5. A CONTRATADA deverá tratar todos os eventos da infraestrutura e identificar quais eventos são incidentes;
4.28.6. A equipe de monitoramento irá executar procedimentos operacionais indicados pela CONTRATANTE visando a resolução de incidentes;
4.28.7. A equipe de monitoramento deverá abrir chamados para todos os incidentes e indicar a resolução adotada em cada chamado;
4.28.8. A equipe de monitoramento deverá escalonar os chamados de incidentes que não tiverem procedimento padrão ou que não forem solucionados após a execução do procedimento padrão;
4.28.9. A CONTRATANTE irá indicar quais são os caminhos para escalonamento dos chamados.
4.29. Sub-Item 2.15 – Serviços Especializados em SaaS:
4.29.1. Os serviços de especializados em IaaS serão demandados para a realização de todas as atividades referentes a disponibilização de serviços na nuvem contratada;
4.29.2. Serão incluídos nesse serviço as seguintes atividades:
a) Planejamento de migração;
b) Preparação do ambiente de segurança da informação para novos projetos e publicação para receber servidores e/ou serviços e/ou dados da CONTRATANTE;
c) Instalação, configuração e suporte técnico de ferramenta(s) para os produtos de segurança da informação;
d) Serviços de tunning, ajustes, correção de falhas, detecção de problemas nas soluções de segurança da informação;
e) Demais serviços atrelados ao item de SaaS;
4.29.3. Níveis de Serviço para Serviços Especializados em Segurança da Informação
4.29.4. A contratada deve prestar um serviço de qualidade. Para tanto, são estabelecidas nesse termo de referência metas para os serviços prestados. Os serviços serão medidos com base em indicadores de níveis de serviço específicos.
4.29.5. A apuração dos indicadores relativos ao tempo de atendimento das Ordens de Serviços será calculada sempre com base na data e hora de registro inicial e final da O.S. No cálculo serão desconsiderados os períodos em que as Ordens de Serviço estiveram suspensas ou não estiveram sob a responsabilidade da contratada.
4.29.6. Quando não forem atingidos os níveis de serviços exigidos em contrato, a CONTRATANTE aplicará um redutor na fatura dos serviços (glosa), de forma a retratar que a qualidade dos serviços recebidos não foi de acordo com a qualidade exigida em contrato.
4.29.7. As glosas serão calculadas e aplicadas sobre o valor total da Ordem de Serviço que não atingiu a meta exigida
4.29.8. A CONTRATADA só poderá faturar os serviços executados após o fechamento dos relatórios de serviços do mês e a correta aplicação das glosas devidas. A nota fiscal deve ser emitida já com o valor de glosa aplicado.
4.29.9. Tabela de níveis de serviço
Indicadores de níveis de serviço/mês | Unidade de medida | Meta exigida | Glosa aplicável |
Revisão e aceite de nova Ordem de Serviço | Horas | 24h após solicitação formal | 0,0% + (0,1% para cada 24 horas acima do prazo negociado). |
Resolução de Ordem de serviço. | Prazo negociado (1) | 0,1% + (0,1% para cada 4 dias acima do prazo negociado). | |
[1] Para cada Ordem de Serviço será negociado o prazo de entrega de acordo com a complexidade da solicitação |
4.29.10. SERVIÇOS ESPECIALIZADOS EM SEGURANÇA DA INFORMAÇÃO:
4.29.11. Os serviços especializados em IaaS serão demandados para a realização de todas as atividades referentes a disponibilização de serviços na nuvem contratada;
4.29.12. Serão incluídos nesse serviço as seguintes atividades:
a) Planejamento de migração de servidores e/ou serviços e/ou dados para soluções ofertadas;
b) Preparação do ambiente para receber servidores e/ou serviços e/ou dados da CONTRATANTE;
c) Instalação, configuração e suporte técnico de ferramenta(s) para soluções ofertadas;
d) Serviços sobre o uso dos recursos;
e) Serviços de tunning, ajustes, correção de falhas, detecção de problemas na soluções ofertadas;
LOTE 03
4.30. Item 03 - IaaS – Cloud Pública
4.30.1. Serviços de computação em nuvem
4.30.2. A CONTRATADA atuará como representante (integrador) de um provedor de serviços de computação em nuvem (doravante denominado provedor), em conformidade com as características básicas e definições dispostas neste Termo de Referência, que atenda todos os serviços da Tabela de Quantidades deste Termo de Referência, disponibilizando-os à CONTRATANTE.
Todos os serviços apresentados na Tabela de Quantidades somente serão aceitos se forem parte da lista de serviços da nuvem do provedor oferecido pela CONTRATADA, devendo ser contabilizados por meio de USNs. Não serão aceitas provisões de serviços por meio de instalação de software ou máquinas virtuais para a sua prestação, caso esses serviços não integrem o conjunto de soluções oferecidas no catálogo da nuvem ofertada e não possam ser contabilizados diretamente pelo provedor.
4.30.3. A CONTRATADA deverá disponibilizar uma conta no provedor em nome da CONTRATANTE, por meio da qual serão provisionados os serviços descritos na Tabela 1 deste Termo de Referência.
Esta conta deverá permitir que a CONTRATANTE delegue à CONTRATADA o acesso aos recursos em nuvem disponíveis para execução dos serviços técnicos especializados descritos na Tabela 3 deste Termo de Referência.
4.30.4. A dinâmica do processo inclui etapas de registro da demanda, análise e definição dos cenários apropriados, aprovação pela CONTRATANTE, execução dos procedimentos de configuração, migração/implantação, testes, homologação (CONTRATANTE), colocação em produção, acompanhamento, bilhetagem e faturamento dos serviços mensalmente.
4.30.5. Os serviços de computação em nuvem oferecidos serão adquiridos por meio de Unidades de Serviço em Nuvem (USN), que servirá como base para aquisição de serviços do provedor
A USN visa estabelecer-se como método previsível, linear e flexível para obtenção de uma quantidade objetivamente definida a ser cobrada pelos serviços de computação em nuvem. A métrica de USN consiste no estabelecimento de valor de referência específico para cada tipo de serviço de nuvem, conforme métrica individual associada ao consumo dos recursos.
O valor de referência de USN será dimensionado utilizando-se como referência valores apresentados pelo mercado na fase de cotação de preços.
4.30.6. A CONTRATANTE fará uso e efetuará o pagamento apenas das USNs relativas aos serviços solicitados à CONTRATADA, até o limite máximo das USNs estimadas.
4.30.7. O provedor disponibilizado pela CONTRATADA deverá fornecer todos os serviços listados na Tabela de Quantidades, de acordo com as descrições e níveis mínimos de serviço respectivos.
4.30.8. Os serviços descritos na Tabela de Quantidades deverão ser executados em território nacional, o que inclui armazenar os dados e informações da CONTRATANTE em datacenters instalados fisicamente no Brasil, incluindo replicação e cópias de segurança (backups), conforme disposto na Norma Complementar nº 14/IN01/DSIC/SCS/GSIPR, de modo que a CONTRATANTE disponha de todas as garantias da legislação brasileira enquanto tomadora do serviço e responsável pela guarda das informações armazenadas em nuvem. Todos os serviços técnicos especializados prestados pela CONTRATADA deverão estar aderentes às regras descritas no Guia de Gestão de Riscos de Aplicações em Nuvem Pública, definido no Anexo V deste Termo de Referência.
4.30.9. Deverá ser disponibilizado pela CONTRATADA um portal contendo informações sobre:
Planilha de preços: valores praticados pela CONTRATADA com os preços de todos os serviços (em USN); informar também quais serviços do provedor são gratuitos;
Relatório de Faturamento: relatórios com consumo de serviços do provedor; Informações sobre o contrato: detalhamento do contrato, tipos de serviços;
Relatórios de avaliação de otimização e performance, contendo sugestões de melhorias, ajustes em diversos aspectos da infraestrutura;
4.30.10. Os relatórios deverão ser disponibilizados pelo portal, com periodicidade diária, semanal ou mensal, a depender das características do serviço ou recurso avaliado, abrangendo aqueles listados na tabela 1 do Termo de Referência. O serviço estará dentro das responsabilidades da CONTRATADA, não sendo cobrado como serviço adicional.
4.30.11. O provedor de nuvem deve disponibilizar, no mínimo, os seguintes sistemas operacionais e bancos de dados, nas suas versões estáveis; os quais deverão suportar ser instalados nas máquinas virtuais listadas na Tabela de Quantidades deste Termo de Referência:
Windows Server 2012 R2 ou superior; Linux CentOS 7 ou superior;
Linux Debian 9 ou superior;
Linux Ubuntu Server 16.04.2 ou superior; Red Hat Server;
SQL Server 2016 SP1 Standard ou superior; MySQL Community 5.5 ou superior;
PostgreSQL 9.4 ou superior;
4.30.12. O provedor deve prover serviços de autoscaling, permitindo que soluções tenham acesso automático a maior quantidade de recursos computacionais, em função da demanda.
4.30.13. Níveis mínimos de serviços (NMS) são critérios objetivos e mensuráveis estabelecidos com a finalidade de aferir e avaliar fatores como qualidade, desempenho e disponibilidade dos serviços. O NMS de disponibilidade das instâncias deve ser igual ou superior a 99,741% para cada período de 1 mês.
4.30.14. A CONTRATADA deve oferecer calculadora ou simulador público de preços para cada item da tabela 1 para o provedor que integra a solução.
4.30.15. Quando houver alteração na forma de contratação de on-demand para upfront, não poderá haver qualquer tipo de alteração na infraestrutura.
4.30.16. Ao final do período de utilização dos recursos na modalidade upfront, a máquina virtual será automaticamente considerada on- demand.
4.30.17. A CONTRATANTE poderá solicitar ativação de serviços de computação em nuvem contratados, quando couber e for tecnicamente viável, para aplicações publicadas na internet que estejam sob a sua gestão e que estejam em ambiente diverso dos ambientes do provedor.
4.30.18. Todos os dados decorrentes de serviços solicitados pela CONTRATANTE à CONTRATADA e operacionalizados no provedor serão de propriedade apenas da CONTRATANTE, a quem deverá ser assegurado acesso irrestrito a qualquer momento do contrato. Durante todo o contrato, e particularmente ao final desse, independente da razão que tenha motivado o seu término, a CONTRATADA repassará à CONTRATANTE todas as informações necessárias à continuidade da operação dos serviços em nuvem.
4.30.19. A CONTRATADA deverá fornecer, mediante solicitação da CONTRATANTE, backup das aplicações, dados e scripts de configuração que estiverem disponíveis em nuvem, o que inclui as imagens das máquinas virtuais de aplicação, cópias dos dados armazenados em dispositivos de armazenamento em nuvem, cópias dos bancos de dados que fazem parte das topologias das aplicações da CONTRATANTE provisionadas em nuvem ou que fazem parte de topologias híbridas de aplicações.
4.30.20. No momento em que for estudada a possibilidade de renovação do contrato, será facultado à CONTRATANTE e à CONTRATADA propor a substituição do provedor. Tal proposição deverá ser acompanhada de estudo de viabilidade que comprove existir no mercado outros provedores que atendam às condições deste Termo de Referência, de modo que não haja modificações no objeto da contratação. A substituição só poderá ocorrer mediante acordo mútuo entre CONTRATANTE e CONTRATADA, considerando que toda a migração dos sistemas e infraestrutura seja feita pela CONTRATADA sem nenhum ônus para a CONTRATANTE.
4.30.21. Tabela 1 – Serviços de computação em nuvem:
Item | Descrição do serviço (por reserva de recurso) | Unidade | Valor de referência (USN) |
1. | Máquina virtual padrão - adquirida por meio de vCPU, reservada por no mínimo 1 ano. | Unidade de vCPU/hora | |
2. | Máquina virtual padrão - adquirida por meio de memória, reservada por mínimo 1 ano. | Gigabyte de memória/hora |
3. | Máquina virtual Windows - adquirida por meio de vCPU, reservada por no mínimo 1 ano . | Unidade de vCPU/hora | |
4. | Máquina virtual Windows - adquirida por meio de memória, reservada no mínimo por 1 ano . | Gigabyte de memória/hora | |
5. | Máquina virtual com serviço de hospedagem de container gerenciado - adquirida por meio de vCPU, reservada no mínimo por 1 ano. | Unidade de vCPU/hora | |
Item | Descrição do serviço (por demanda) | Unidade | Valor de referência (USN) |
6. | Máquina virtual padrão - adquirida por meio de vCPU (por demanda) | Unidade de vCPU/hora | |
7. | Máquina virtual padrão - adquirida por meio de memória (por demanda) | Gigabyte de memória/hora | |
8. | Máquina virtual Windows - adquirida por meio de vCPU (por demanda) | Unidade de vCPU/hora | |
9. | Máquina virtual Windows - adquirida por meio de memória (por demanda) | Gigabyte de memória/hora | |
10. | Serviço de armazenamento de blocos (SSD) | Gigabyte/mês | |
11. | Serviço de armazenamento de blocos (HDD) | Gigabyte/mês | |
12. | Serviço de armazenamento de objetos | Gigabyte/mês | |
13. | Serviço para coleta de logs (SIEM) | TIER /ano | |
14. | Tráfego de saída da rede | Gigabyte/mês | |
15. | Tráfego de rede do balanceador de carga | Gigabyte/mês | |
16. | Tráfego de rede do CDN | Gigabyte/mês |
17. | Serviço de balanceamento de carga (*) | Unidade/hora | |
18. | Serviço de balanceamento de carga utilizando gerenciador de tráfego (*) | DNS Queries Milhão/Mês | |
19. | Porta de conexão de fibra 10Gbps | Unidade/hora | |
20. | Serviço de DNS – Hospedagem de zonas | Zona/mês | |
21. | Serviço de DNS – Consultas | Milheiro de consulta/mês | |
22. | Serviço de VPN | Gigabyte/Mês | |
23. | VPN Gateway | Hora de Conexão | |
24. | Serviço Web Aplication Firewall adquirido por ACL (**) | ACL/hora | |
25. | Serviço Web Aplication Firewall adquirido por hora (**) | Gateway/hora | |
26. | Serviço de Backup | Instância/mês | |
27. | Serviço de armazenamento de Backup | Gigabyte/mês | |
28. | Serviço de Autenticação (Integração com AD) adquirido por usuário (***) | Por usuário/Mês | |
29. | Serviço de Autenticação (Integração com AD) adquirido por mês (***) | Gigabyte/Mês | |
30. | Serviço de Auditoria e Análise de Logs | Gigabyte/Mês | |
31. | IP Público | Unidade/Mês | |
32. | Serviço de BI | Usuário/Mês | |
33. | Serviço de Plataforma de Gerenciamento de BI | Usuário/Mês |
34. | Serviço de Fornecimento de Licenças de Windows Server 2016 para ambiente Cloud Pública, reservada no mínimo por 1 ano. | Unidade/Mês | |
35. | Serviço de Licenças de Acesso (CAL s) por dispositivo e por usuários para Microsoft Windows Server 2016 para ambiente de Cloud Pública, reservada no mínimo por 1 ano. | Unidade/Mês |
(*) O Serviço de balanceamento de carga deverá ser prestado na métrica definida no subitem 17 ou no subitem 18 a ser indicada pela CONTRATADA na proposta de preços.
(**) Os serviços de Web Aplication Firewall deverão ser prestados na métrica definida no subitem 24 ou no subitem 25 a ser indicada pela CONTRATADA na proposta de preços.
(***) Os serviços de Autenticação deverão ser prestados na métrica definida no subitem 28 ou no subitem 29 a ser indicada pela CONTRATADA na proposta de preços.
4.31. Sub-Item 3.1 - Máquina virtual Padrão - adquirida por meio de vCPU, reservada por 1 ano.
4.31.1. Máquinas virtuais para utilização do Sistema Operacional (SO) Linux.
4.31.2. As máquinas virtuais serão contratadas exclusivamente em função do número de vCPUs solicitado, respeitadas as configurações pré-existentes de máquinas virtuais do provedor, e independente de outros recursos existentes na máquina (como GB de RAM, disco SSD, número de IPs, etc.).
4.31.3. As máquinas virtuais devem ser fornecidas com disco destinado ao boot e hospedagem do sistema operacional. A capacidade do disco deve ser suficiente para atender aos requisitos de sistema operacional e seus processos de manipulação de memória;
4.31.4. As máquinas virtuais serão contratadas e remuneradas na modalidade upfront.
4.31.5. As máquinas virtuais deverão contar com o serviço de crescimento automático em função da demanda (autoscaling).
4.31.6. Entende-se por autoscaling a escala horizontal automática do serviço, podendo ser atendida por meio de adição ou remoção de instâncias da máquina virtual, conforme definição do projeto.
4.31.7. As máquinas virtuais provisionadas utilizando o serviço de autoscaling associado a máquinas virtuais contratadas e remuneradas na modalidade upfront, serão contratadas e remuneradas na modalidade on-demand.
4.32. Sub-Item 3.2 - Máquina virtual Padrão - adquirida por meio de memória, reservada por 1 ano.
4.32.1. Máquinas virtuais para utilização do SO Linux.
4.32.2. As máquinas virtuais serão contratadas exclusivamente em função do número de gigabytes de RAM solicitado, respeitadas as configurações pré-existentes de máquinas virtuais do provedor, e independente de outros recursos existentes na máquina (como vCPUs, disco SSD, número de IPs, etc.).
4.32.3. As máquinas virtuais devem ser fornecidas com disco destinado ao boot e hospedagem do sistema operacional. A capacidade do disco deve ser suficiente para atender aos requisitos de sistema operacional e seus processos de manipulação de memória;
4.32.4. As máquinas virtuais serão contratadas e remuneradas na modalidade upfront.
4.32.5. As máquinas virtuais deverão contar com o serviço de crescimento automático em função da demanda (autoscaling).
4.32.6. Entende-se por autoscaling a escala horizontal automática do serviço, podendo ser atendida por meio de adição ou remoção de instâncias da máquina virtual, conforme definição do projeto.
4.32.7. As máquinas virtuais provisionadas utilizando o serviço de autoscaling associado a máquinas virtuais contratadas e remuneradas na modalidade upfront, serão contratadas e remuneradas na modalidade on-demand.
4.33. Sub-Item 3.3 - Máquina virtual Windows - adquirida por meio de vCPU, reservada por 1 ano.
4.33.1. Máquinas virtuais com o SO Windows Server.
4.33.2. As máquinas virtuais serão contratadas exclusivamente em função do número de vCPUs solicitado, respeitadas as configurações pré-existentes de máquinas virtuais do provedor, e independente de outros recursos existentes na máquina (como GB de RAM, disco SSD, número de IPs, etc.).
4.33.3. As máquinas virtuais devem ser fornecidas com disco destinado ao boot e hospedagem do sistema operacional. A capacidade do disco deve ser suficiente para atender aos requisitos de sistema operacional e seus processos de manipulação de memória;
4.33.4. As máquinas virtuais serão contratadas e remuneradas na modalidade upfront.
4.33.5. O ambiente da máquina virtual deverá permitir implementação em ambiente de alta disponibilidade.
4.33.6. As máquinas virtuais provisionadas utilizando o serviço de autoscaling associado a máquinas virtuais contratadas e remuneradas na modalidade upfront, serão contratadas e remuneradas na modalidade on-demand.
4.34. Sub-Item 3.4 - Máquina virtual Windows - adquirida por meio de memória, reservada por 1 ano.
4.34.1. Máquinas virtuais com o SO Windows Server.
4.34.2. As máquinas virtuais serão contratadas exclusivamente em função do número de gigabytes de RAM solicitado, respeitadas as configurações pré-existentes de máquinas virtuais do provedor, e independente de outros recursos existentes na máquina (como vCPUs, disco SSD, número de IPs, etc.).
4.34.3. As máquinas virtuais devem ser fornecidas com disco destinado ao boot e hospedagem do sistema operacional. A capacidade do disco deve ser suficiente para atender aos requisitos de sistema operacional e seus processos de manipulação de memória;
4.34.4. As máquinas virtuais serão contratadas e remuneradas na modalidade upfront.
4.34.5. O ambiente da máquina virtual deverá permitir implementação em ambiente de alta disponibilidade.
4.34.6. As máquinas virtuais provisionadas utilizando o serviço de autoscaling associado a máquinas virtuais contratadas e remuneradas na modalidade upfront, serão contratadas e remuneradas na modalidade on-demand.
4.35. Sub-Item 3.5 - Máquina virtual com Serviço de Hospedagem de container gerenciado - adquirida por meio de vCPU, reservada por 1 ano
4.35.1. Serviço para utilização de máquinas virtuais para fins de instalação e hospedagem de containers.
4.35.2. O serviço deve permitir a construção e execução de containers Docker.
4.35.3. As máquinas virtuais serão contratadas exclusivamente em função do número de vCPU solicitado, respeitadas as configurações pré- existentes de máquinas
4.35.4. virtuais do provedor, e independente de outros recursos existentes na máquina (como GB de RAM, disco SSD, número de IPs, etc.).
4.35.5. As máquinas virtuais devem ser fornecidas com disco destinado ao boot e hospedagem do sistema operacional. A capacidade do disco deve ser suficiente para atender aos requisitos de sistema operacional e seus processos de manipulação de memória;
4.35.6. As máquinas virtuais serão contratadas e remuneradas na modalidade upfront.
4.35.7. O ambiente da máquina virtual deverá permitir implementação em ambiente de alta disponibilidade
4.36. Sub-Item 3.6 - Máquina virtual Padrão - adquirida por meio de vCPU (por demanda).
4.36.1. Máquinas virtuais para utilização do Sistema Operacional (SO) Linux.
4.36.2. As máquinas virtuais serão contratadas exclusivamente em função do número de vCPUs solicitado, respeitadas as configurações pré-existentes de máquinas virtuais do provedor, e independente de outros recursos existentes na máquina (como GB de RAM, disco SSD, número de IPs, etc.).
4.36.3. As máquinas virtuais devem ser fornecidas com disco destinado ao boot e hospedagem do sistema operacional. A capacidade do disco deve ser suficiente para atender aos requisitos de sistema operacional e seus processos de manipulação de memória;
4.36.4. As máquinas virtuais deverão contar com o serviço de crescimento automático em função da demanda (autoscaling).
4.36.5. Entende-se por autoscaling a escala horizontal automática do serviço, podendo ser atendida por meio de adição ou remoção de instâncias da máquina virtual, conforme definição do projeto.
4.37. Sub-Item 3.7 - Máquina virtual Padrão - adquirida por meio de memória (por demanda).
4.37.1. Máquinas virtuais para utilização do SO Linux.
4.37.2. As máquinas virtuais serão contratadas exclusivamente em função do número de gigabytes de RAM solicitado, respeitadas as configurações pré-existentes de máquinas virtuais do provedor, e independente de outros recursos existentes na máquina (como vCPUs, disco SSD, número de IPs, etc.).
4.37.3. As máquinas virtuais devem ser fornecidas com disco destinado ao boot e hospedagem do sistema operacional. A capacidade do disco deve ser suficiente para atender aos requisitos de sistema operacional e seus processos de manipulação de memória;
4.37.4. As máquinas virtuais deverão contar com o serviço de crescimento automático em função da demanda (autoscaling).
4.37.5. Entende-se por autoscaling a escala horizontal automática do serviço, podendo ser atendida por meio de adição ou remoção de instâncias da máquina virtual, conforme definição do projeto
4.38. Sub-Item 3.8 - Máquina virtual Windows - adquirida por meio de vCPU (por demanda).
4.38.1. Máquinas virtuais com o SO Windows Server.
4.38.2. As máquinas virtuais serão contratadas exclusivamente em função do número de vCPUs solicitado, respeitadas as configurações pré-existentes de máquinas virtuais do provedor, e independente de outros recursos existentes na máquina (como GB de RAM, disco SSD, número de IPs, etc.).
4.38.3. As máquinas virtuais devem ser fornecidas com disco destinado ao boot e hospedagem do sistema operacional. A capacidade do disco deve ser suficiente para atender aos requisitos de sistema operacional e seus processos de manipulação de memória;
4.38.4. O ambiente da máquina virtual deverá permitir implementação em ambiente de alta disponibilidade.
4.39. Sub-Item 3.9 - Máquina virtual Windows - adquirida por meio de memória (por demanda).
4.39.1. Máquinas virtuais com o SO Windows Server.
4.39.2. As máquinas virtuais serão contratadas exclusivamente em função do número de gigabytes de RAM solicitado, respeitadas as configurações pré-existentes de máquinas virtuais do provedor, e independente de outros recursos existentes na máquina (como vCPUs, disco SSD, número de IPs, etc.).
4.39.3. As máquinas virtuais devem ser fornecidas com disco destinado ao boot e hospedagem do sistema operacional. A capacidade do disco deve ser suficiente para atender aos requisitos de sistema operacional e seus processos de manipulação de memória;
4.39.4. O ambiente da máquina virtual deverá permitir implementação em ambiente de alta disponibilidade.
4.40. Sub-Item 3.10 - Serviço de armazenamento de blocos (SSD)
4.40.1. Serviço para utilização de volume de armazenamento block-level.
4.40.2. Deverá possibilitar que o volume criado seja anexado às máquinas virtuais e reconhecido pelo SO como um dispositivo físico e local.
4.40.3. Deverá ser baseado em discos de estado sólido (SSD).
4.40.4. Deverá possuir função de criptografia do volume com mudança de chave gerenciada pelo próprio provedor ou pela CONTRATANTE.
4.40.5. A CONTRATADA deve informar o desempenho mínimo, em IOPS e MiB/s, para o volume provisionado.
4.40.6. O desempenho informado pela CONTRATADA para o volume provisionado deve se manter ao longo do contrato, podendo ser comprovado por meio de benchmark definido a critério da CONTRATANTE.
4.40.7. Sub-Item 3.11 - Serviço de armazenamento de blocos (HDD)
4.40.8. Serviço para utilização de volume de armazenamento block-level.
4.40.9. Deverá possibilitar que o volume criado seja anexado às máquinas virtuais e reconhecido pelo SO como um dispositivo físico e local.
4.40.10. Deverá ser baseado em discos magnéticos (HDD).
4.40.11. Deverá possuir função de criptografia do volume com mudança de chave gerenciada pelo próprio provedor ou pela CONTRATANTE.
4.40.12. A CONTRATADA deve informar o desempenho mínimo, em IOPS e MiB/s, para o volume provisionado.
4.40.13. O desempenho informado pela CONTRATADA para o volume provisionado deve se manter ao longo do contrato, podendo ser comprovado por meio de benchmark definido a critério da CONTRATANTE.
4.41. Sub-Item 3.12 - Serviço de armazenamento de objetos
4.41.1. Serviço para utilização de volume de armazenamento de objetos.
4.41.2. Deverá ser durável, escalável e seguro.
4.41.3. Deverá possuir recurso de versionamento.
4.41.4. Deverá possuir interface web para inclusão e consultas de informações.
4.41.5. Deverá possuir API para upload de arquivos via aplicações desenvolvidas por terceiros.
4.42. Sub-Item 3.13 - Tráfego de saída da rede
4.42.1. Serviço de transmissão de dados de saída da rede.
4.42.2. Nenhum tráfego de entrada para a rede será cobrado.
4.43. Sub-Item 3.14 - Tráfego de rede do Balanceador de Carga
4.43.1. Serviço de transmissão de dados do Balanceador de Carga.
4.44. Sub-Item 3.15 - Tráfego de rede do CDN
4.44.1. Serviço de transmissão de dados de Rede de Distribuição de Conteúdo (Content Delivery Network – CDN).
4.45. Sub-Item 3.16 - Serviço de balanceamento de carga (*)
4.45.1. Serviço para utilização de balanceador de carga, que distribuirá o tráfego de entrada para as máquinas virtuais.
4.45.2. Deverá ser escalável, de maneira a crescer ou diminuir seu poder de processamento, em função do fluxo de dados que por ele trafegar.
4.45.3. Deverá possibilitar a utilização de HTTP, HTTPS e TCP para efetuar o balanceamento de carga, bem como a realização de health check nas máquinas virtuais por meio dos mesmos protocolos.
4.45.4. Deverá permitir uso de serviço de fidelização por cookies (sticky session).
4.46. Sub-Item 3.17 - Serviço de balanceamento de carga utilizando gerenciador de tráfego (*)
4.46.1. Serviço para controlar a distribuição do tráfego do usuário para pontos de extremidade da aplicação;
4.46.2. Deverá fornecer failover automático quando um ponto de extremidade ficar inativo;
4.46.3. Deverá permitir a melhora da capacidade de resposta do aplicativo direcionando o tráfego para o ponto de extremidade com a menor latência de rede para o cliente;
4.46.4. Deverá permitir operações de manutenção planejada nas aplicações sem tempo de inatividade;
4.46.5. Deverá suportar o tráfego para pontos de extremidade externos de outras nuvens, habilitando seu uso com implantações locais, inclusive de nuvem híbrida.
4.47. Sub-Item 3.18 - Porta de conexão de fibra 10 Gbps
4.47.1. Serviço de conexão de fibra dedicada entre a infraestrutura de rede local da CONTRATANTE e uma porta de interface do provedor, visando à interconexão segura e rápida entre os dois, sem tráfego pela internet.
4.47.2. A porta do provedor deverá estar localizada em território nacional.
4.47.3. Todos os custos de conexão da CONTRATANTE até a porta de conexão do provedor serão de responsabilidade da CONTRATANTE.
4.48. Sub-Item 3.19 - Serviço de DNS – Hospedagem de zonas
4.48.1. O Serviço consiste em um espaço de gerenciamento no qual é possível criar, editar, alterar e excluir entradas no DNS. Cada zona DNS representa um limite de autoridade sujeito à gestão por determinadas entidades.
4.49. Sub-Item 3.20 - Serviço de DNS – Consultas
4.49.1. O Serviço consiste em realizar consultas DNS que representa a ação de um host buscar um registro específico que está exposto na zona DNS. Para realizar essa consulta o host percorre toda a árvore hierárquica até achar o registro específico.
4.49.2. Deverá ser possível realizar buscas nos registros disponíveis, quais sejam do tipo A, AAAA, CNAME, MX, PTR, NS, SOA, SRV e TXT, sendo cada um específico para cada finalidade.
4.50. Sub-Item 3.21 - Serviço de VPN
4.50.1. Serviço para uso de Rede Privada Virtual (Virtual Private Network – VPN);
4.50.2. O serviço será contratado usando a métrica de GB trafegado por mês;
4.50.3. Deve permitir a criação de conexões site-to-site e client-to-site para a mesma VPN e fornecer scripts e/ou software para a criação dessas conexões;
4.50.4. Somente o tráfego de saída será contabilizado para cobrança do serviço̧;
4.50.5. O tráfego de saída para o serviço de VPN não se confunde nem poderá ser cobrado em duplicidade com o tráfego de saída de rede descrito no item
4.50.6. O tráfego de dados através da conexá ̃o deve ser por túnel VPN utilizando o protocolo IPSec;
4.50.7. A taxa de transferência mínima na conexão VPN deve ser de 100 Mbps, podendo, entretanto, ser inferior quando limitada pela capacidade da conexão (link de dados) da CONTRATANTE.
4.51. Sub-Item 3.22- Serviço de VPN Gateway
4.51.1. A CONTRATADA deverá prover um gateway de VPN para a rede da CONTRATANTE;
4.51.2. Possibilitar o envio do tráfego criptografado em uma conexão pública;
4.51.3. Permitir a criação de VPN conforme descrito no Serviço de VPN;
4.51.4. | Estão inclusos nesse serviço os custos do gateway por hora de conexão da VPN. |
4.52. | Sub-Item 3.23 - Serviço de Web Aplication Firewall adquirido por Regra de ACL |
4.52.1. | Serviço para fornecer proteção centralizada dos aplicativos Web, contra vulnerabilidades e eventuais ataques; |
4.52.2. | O serviço será remunerado por Regra de ACL (Access Control List); |
4.52.3. | Deverá fornecer proteção sem modificar o código de back-end; |
4.52.4. | Deverá proteger vários aplicativos Web ao mesmo tempo por trás de um gateway de aplicativo; |
4.52.5. | Deverá fornecer monitoramento das aplicações Web contra-ataques usando um log em tempo real; |
4.52.6. positivos. | Deverá permitir personalização de regras e grupos de regras, a fim de atender as necessidades das aplicações e eliminar falsos |
4.53. | Sub-Item 3.24 - Serviço de Web Aplication Firewall adquirido por hora (**) |
4.53.1. | Serviço para fornecer proteção centralizada dos aplicativos Web, contra vulnerabilidades e eventuais ataques; |
4.53.2. | O serviço será remunerado por hora de utilização do gateway; |
4.53.3. | Deverá fornecer proteção sem modificar o código de back-end; |
4.53.4. | Deverá proteger vários aplicativos Web ao mesmo tempo por trás de um gateway de aplicativo; |
4.53.5. | Deverá fornecer monitoramento das aplicações Web contra-ataques usando um log em tempo real; |
4.53.6. positivos. | Deverá permitir personalização de regras e grupos de regras, a fim de atender as necessidades das aplicações e eliminar falsos |
4.54. | Sub-Item 3.25 - Serviço de Backup |
4.55. | Serviço para fornecer backup (ou proteção) e restauração de dados na nuvem; |
4.55.1. | Deverá alocar e gerenciar automaticamente o armazenamento de backup; |
4.55.2. | Deverá permitir a transmissão segura e o armazenamento dos dados criptografados; |
4.55.3. | Deverá fornecer backups consistentes, garantindo que correções adicionais não sejam necessárias para restaurar os dados; |
4.55.4. | Deverá permitir retenção dos backups, durante vigência do contratos; |
4.55.5. | Deverá permitir transferência de dados ilimitada, tanto para backup quanto para restore; |
4.55.6. | Deverá fornecer sistema de alertas para falhas no processo de backup, ou consistência dos arquivos; |
4.56. Sub-Item 3.26 - Serviço de armazenamento de backup
4.56.1. Serviço com possibilidade de armazenamento heterogêneo, local ou em nuvem, de cópias de segurança;
4.56.2. O serviço de armazenamento de Backup em nuvem, deve prover escala ilimitada e proporcionar alta disponibilidade, sem necessidade de manutenção ou sobrecarga de monitoramento;
4.56.3. Os dados devem ser persistidos com redundância, de no mínimo 3 cópias dos dados em equipamentos de hardware diferentes, de forma a prevenir perda de dados com falhas de hardware;
4.56.4. Deverá permitir retenção de dados por período indeterminado;
4.56.5. Deverá permitir a criptografia dos dados.
4.57. Sub-Item 3.27 - Serviço de Autenticação (Integração com AD) adquirido por usuário (***)
4.57.1. Serviço para fornecer uma identidade comum para acesso aos recursos na nuvem;
4.57.2. O serviço será remunerado por usuário;
4.57.3. Deverá sincronizar o serviço de diretório local com o serviço de diretório da nuvem.
4.57.4. Deverá garantir que as informações de identidade dos usuários e grupos locais correspondam às da nuvem;
4.57.5. Deverá permitir aos usuários alterar e redefinir suas senhas na nuvem e ter sua política de senha local aplicada;
4.57.6. Deverá permitir a escolha de quais objetos serão sincronizados.
4.58. Sub-Item 3.28 - Serviço de Autenticação (Integração com AD) adquirido por mês (***)
4.58.1. Serviço para fornecer uma identidade comum para acesso aos recursos na nuvem;
4.58.2. Deverá sincronizar o serviço de diretório local com o serviço de diretório da nuvem.
4.58.3. Deverá garantir que as informações de identidade dos usuários e grupos locais correspondam às da nuvem;
4.58.4. Deverá permitir aos usuários alterar e redefinir suas senhas na nuvem e ter sua política de senha local aplicada;
4.58.5. Deverá permitir a escolha de quais objetos serão sincronizados.
4.59. Sub-Item 3.29 - Serviço de Auditoria e Análise de Logs
4.59.1. Os serviços de segurança da informação deverão ser contratados em conjunto a um módulo de coleta para a proponente possa ter visibilidade remota e ou local dos eventos dos dispositivos do ponto de vista de segurança da informação.
4.59.2. O Coletor será sempre considerado como base de visibilidade do ambiente do IGESDF, Hospitais e ou UPA que pode estar em locais diferentes e fica de responsabilidade da Proponente avaliar a melhor arquitetura para coleta de logs dos dispositivos.
4.59.3. A proponente deverá disponibilizar recursos para coleta e retenção de dados pelo menos com as seguintes características e com contratação mínima de 12 meses, apenas para retenção de dados.
4.59.4. Lista de coletores físicos que poderão ser contratados como serviço:
Item | Tier 1 (50M EPD) | Tier 2 (100M a 250M EPD) | Tier 3 (500M a 250M EPD) |
CPU | Intel E5-2620 6 cores | 2X Intel E5-2630v2 6 core | 2X Intel E5-2658v2 10 core |
RAM | 32GB | 32GB | 96GB |
Disco | 4X4TB Nearline SAS | 4X4TB SAS | 8X4TB SAS |
200GB SSD | 200GB SSD | 400GB SSD | |
Conectividade | 1X dual 1GigE Copper | 2X dual 1GigE Copper | 2X dual 1GigE Copper |
RAID | 5 | 5 | 5 |
HBA | No | No | No |
Dimensões | 19.8 x 17.2 x 1.7 in | 25.6 x 17.2 x 1.7 in | 25.51 x 17.2 x 3.5 in |
503 x 437 x 43 mm | 650 x 437 x 43 mm | 648 x 437 x 89 mm | |
Form Factor | 1U | 1U | 2U |
Peso | 37lb 16.8kg | 45lb 20.5kg | 71lb 32 kg |
AC Power | 350W - 100-240 V, 50-60 Hz, 4.2-1.8 Amp | 700W - 100-240 V, 50-60 Hz, 8.5-3.8 Amp | 740W - 100-240 V, 50-60 Hz, 9-3.5 Amp |
Retenção On-line (possível desde que recomendada pela Proponente) * | 5 anos | 2.5 anos (at 100m epd) | 15 meses (500m epd) |
1 ano (250m epd) | 10 meses (750m epd) |
4.59.5. Ficará de responsabilidade da proponente dimensionar o coletor para retenção de dados conforme a necessidade do IGESDF, este estudo será executado através de preenchimento detalhada dos ativos que enviarão os logs.
4.59.6. Virtual Appliances:
Item | Tier 1 (50M EPD) | Tier 2 (100M EPD) | Tier 3 (250M EPD) |
Hypervisor | VMware ESX/ESXiMicrosoft Hyper-V | VMware ESX/ESXi Microsoft Hyper-V | VMware ESX/ESXi Microsoft Hyper-V |
CPU | Dual Core ServerIntel VT-x or AMD-V | Dual Core ServerIntel VT-x or AMD-V | Dual Core ServerIntel VT-x or AMD-V |
Virtual Cores | 2 | 4 | 4 |
Memory | 32G | 32G | 32G |
Disk | |||
NIC | 2 | 2 | 2 |
4.59.7. Amazon Web Services (AWS)
4.59.8. Tipo de instancias
50M EPD | 100M EPD | 250M EPD | 500M EPD |
m4.xlarge | m4.xlarge | m4.2xlarge | m4.4xlarge |
4.59.9. Microsoft Azure
4.59.10. Tipo de instancias
50M EPD | 100M EPD | 250M EPD | 500M EPD |
E2s_v3 | E4s_v3 | E8s_v3 | E8s_v3 |
4.59.11. As referências de máquinas virtuais em nuvem devem ser utilizadas como referência e contratadas conforme as especificações desse Edital em formato IaaS.
4.59.12. Devido a necessidade do IGESDF a Proponente deverá disponibilizar a contratação de serviços de coleta de forma não centralizada disponibilizando equipamentos para coleta multi-site com as seguintes características mínimas.
4.59.13. Coletor de log (Appliance)
4.59.14. Lightweight log collector for the Managed Threat Detection service
Coletor/ PHYSICAL APPLIANCE – 250M EPD | |
CPU | Intel E3845 |
RAM | 4GB |
Disk | 64G SSD |
RAID | No |
Dimensões | 1.73 x 9.0 x 5.99 in44 x 231.9 x 152 mm |
High Availability | No |
Form Factor | Set-top (with 1U racking kit) |
Peso | 9lb 4.1kg |
DC Power | 12V/5A |
Coletor - VIRTUAL APPLIANCE – 250M EPD | |
Hypervisor | VMWare ESX/ESXiMicrosoft Hyper-V |
CPU | Intel VT-x or AMD-V |
Requerimentos | |
Virtual Cores | 2 |
Memory | 6G |
Disk | 64G |
NIC | 2 |
4.60. Sub-Item 3.30 - IP Público
4.60.1. Serviço de atribuição de endereço IP público (estático ou dinâmico), dedicado, até que seja liberado pela CONTRATADA a pedido da CONTRATANTE, ou no caso de ser dinâmico, até que o recurso seja desligado.
4.61. Sub-Item 3.31 - Serviço de BI:
4.61.1. Serviço de nível profissional para análise de negócios baseado em nuvem com fornecimento de uma exibição de dados de negócios;
4.61.2. Deverá permitir a implantação, distribuição e compartilhamento de relatórios interativos;
4.61.3. Deverá permitir o acesso aos relatórios pela Web e aplicativos móveis;
4.61.4. Deverá permitir conexão a diversas fontes de dados.
4.62. Sub-Item 3.32 - Serviço de Plataforma de Gerenciamento de BI:
4.62.1. Solução de nível profissional para Gerenciamento de Serviços de BI.
4.63. Sub-Item 3.33 - Serviço de Fornecimento de Licenças de Windows Server 2016 ou superior, reservada no mínimo por 1 ano.:
4.63.1. Fornecimento de Licença para utilização específica em plataforma de Cloud fornecida nesta contratação, reservado para no mínimo 01 ano na quantidade a ser determinada no momento da emissão das Ordem de Serviço.
4.63.2. Seguindo as orientações da tabela de Partnumber abaixo:
Qtde. | Part Number | Produto | Familia |
100 | DG7GMGF0DVT9 | Aquisição de licença Windows Server 2016 ou superior per user client access license software assurance por 12 meses. | Windows Server XXX - 0 Xxxx XXX - 0 year |
4.63.3. Sub-Item 3.34 - Serviço de Licenças de Acesso (CAL s) por dispositivo e por usuários para Microsoft Windows Server 2016 ou superior, reservada no mínimo por 1 ano.
4.63.4. Licenças de Acesso (CAL s) por dispositivo e por usuários para Microsoft Windows Server 2016 ou superior, reservada no mínimo por 1 ano na quantidade a ser determinada no momento da emissão das Ordem de Serviço.
4.63.5. Seguindo as orientações da tabela de Partnumber abaixo:
Qtde. | Part Number | Produto | Familia |
10 | DG7GMGF0DVT7 | Aquisição de licença Windows Server 2016 ou superior per user client access license software assurance por 12 meses. | WinSvrCAL 2019 SNGL OLP NL |
4.64. SERVIÇOS DE MENSAGERIA, COMPARTILHAMENTO DE ARQUIVOS E COLABORAÇÃO
4.64.1. Solução integrada de colaboração e comunicação corporativa baseada em nuvem, com garantia e suporte técnico, compreendendo os serviços de correio eletrônico (webmail), comunicação instantânea (chat), videoconferência por envio de vídeo ponto a ponto, armazenamento e compartilhamento de arquivos;
4.64.2. O quantitativo de licenças para mensageria colaborativa, está baseada não quantitativo de usuários administrativos. Distribuídos Conforme tabela abaixo:
Qntd. de usuários administrativos | Qntd. de Licenças Tipo 1 | Quantidade de licenças Tipo 2 |
10.500 | 8.500 | 1.500 |
4.65. Sub-Item 3.35 - Disponibilização de caixas postais e colaboração - Tipo 1
4.65.1. Cada usuário cadastrado no sistema com este tipo de licenciamento deverá ter a seu dispor através de navegadores Internet as seguintes funcionalidades:
4.65.2. Licença de Comunicação Unificada tipo 1 com subscrição por reserva mínima de 01 ano.
4.65.3. Conta de e-mail com capacidade de armazenamento de pelo menos 50 Gbytes;
4.65.4. O correio eletrônico deverá permitir a configuração de resposta automática de ausência;
4.65.5. O correio eletrônico deverá ter o recurso que permite um usuário (assistente ou secretária) enviar e-mail em nome de outro usuário (outra conta) no conceito de delegação de acesso à conta;
4.65.6. Deverá estar disponível no correio eletrônico a capacidade de acesso a mensagens em modo off sem conexão à Internet;
4.65.7. Capacidade de envio de mensagens instantâneas;
4.65.8. Funcionalidade de bate-papo por texto, voz e vídeo;
4.65.9. Funcionalidade de pesquisa da caixa de e-mail;
4.65.10. Capacidade de compartilhamento de contatos entre usuários;
4.65.11. Antivírus e filtro de spam no e-mail;
4.65.12. Agenda de compromissos com capacidade de compartilhamento de agendas com outros usuários;
4.65.13. Acesso e compartilhamento de documentos do texto, planilha eletrônica e apresentação armazenados na nuvem com gerenciamento de permissões de compartilhamento, definidos pelo usuário proprietário do documento, permitindo a edição simultânea e a recuperação de versões anteriores. O ambiente deve ter uma ferramenta de busca de informação;
4.65.14. Deve possibilitar a criação e edição de arquivos em formatos Word, Excel, PowerPoint, em um navegador Internet;
4.65.15. Unidade de disco virtual na nuvem com capacidade mínima de 25 Gbytes não compartilhado com o correio eletrônico; A solução deve permitir a instalação de a gente no computador que permita o acesso aos arquivos emulando uma unidade de disco local. Os arquivos armazenados na unidade virtual podem ser compartilhados pelo seu proprietário a outros usuários. O ambiente deve ter uma ferramenta de busca de informação;
4.65.16. Capacidade de criação de grupos de usuários em fóruns de discussão e blogs;
4.65.17. Capacidade de criação de sites colaborativos para divulgação de projetos e trabalho em equipe entre os usuários cadastrados. O administrador de um site é o próprio usuário criador;
4.65.18. Para as telas de leitura, criação e edição de mensagens de e-mail, mensagens instantâneas e agenda de compromissos, as interfaces deverão estar disponíveis no idioma português do Brasil;
4.65.19. Para as telas de leitura, criação e edição de mensagens de e-mail, mensagens instantâneas e agenda de compromissos, o acesso deverá ser por meio de interface HTTPS - HyperText Transfer Protocol Secure;
4.65.20. Os usuários devem ter acesso às funcionalidades com apenas um logon;
4.65.21. Deverá existir telas com conteúdo da ajuda para usuários em português;
4.65.22. Suporte aos protocolos POP, IMAP;
4.65.23. Suporte a dispositivos móveis compatíveis com o ActiveSync;
4.65.24. Suporte a SMTPS.
4.66. Sub-Item 3.36 - Disponibilização de caixas postais e colaboração - Tipo 2.
4.66.1. Cada usuário cadastrado no sistema com este tipo de licenciamento deverá ter a seu dispor através de navegadores Internet as seguintes funcionalidades:
4.66.2. Licença de Comunicação Unificada tipo 2 com subscrição por reserva mínima de 01 ano.
4.66.3. Todas as funcionalidades previstas na Licença do tipo 1;
4.66.4. Dispor de recursos avançados de arquivamento e bloqueio legal, combinado com a possibilidade de armazenamento ilimitado para mensagens de correio;
4.66.5. Dispor de ferramentas de suporte à conformidade e auditoria, através de pesquisas em sites web e conteúdo de correio eletrônico de qualquer usuário;
4.66.6. Dispor de capacidade de correio de voz integrado à plataforma;
4.66.7. Capacidade de criação de painéis interativos com conteúdo de várias fontes de dados;
4.66.8. Capacidade de armazenamento de mensagens que porventura o usuário apague ou modifique por período ilimitado;
4.66.9. Capacidade de proteção de arquivos contra impressão, envio para terceiros e encaminhamento de mensagens;
4.66.10. Deve permitir o controle de utilização e distribuição online dos aplicativos do Microsoft Office para até 5 estações de trabalho;
4.66.11. Deve permitir a utilização das versões móveis do Office em até 5 telefones Android ou IPhone;
4.66.12. Deve fornecer recursos de DLP (Prevenção de Perda de Dados) como parte da solução de correio eletrônico;
4.66.13. A seguir são especificados os requisitos técnicos para o correio eletrônico, componentes da solução:
4.66.14. Detectar e remover vírus ou spans em e-mails de entrada e saída de qualquer origem automaticamente.
4.66.15. Utilização de recursos especiais (agendamento de salas de reunião ou equipamentos) sem qualquer custo financeiro adicional.
4.66.16. O acesso aos serviços deverá ocorrer a partir dos navegadores listados abaixo, preferencialmente, sem a instalação de aplicativos nos clientes:
Mozilla Firefox; Google Chrome; Opera; Microsoft Edge; Safari;
4.66.17. O acesso aos serviços deverá ser feito sempre através de conexão segura (https). Deverão ser suportadas sempre a versão atual dos browsers e, pelo menos, uma versão anterior.
4.66.18. O componente de correio da solução não deverá restringir o envio e o recebimento de anexos inferiores a 20MB (vinte megabytes).
4.66.19. Os endereços eletrônicos das contas de e-mail deverão conter obrigatoriamente o domínio do CONTRATANTE (xxxxx@xxxxxxx.xxx.xx – ex.: xxx@xxxxxxx.xxx.xx).
4.66.20. Permitir a abertura simultânea de mais de uma caixa postal pelo mesmo usuário no mesmo computador ou dispositivo móvel.
4.66.21. Disponibilizar mecanismos de auditoria que permitam registrar as atividades de acesso à conta, deleção de conteúdo, envio e recebimento de mensagens dos usuários.
4.66.22. Todos os registros de auditoria devem permanecer disponíveis ao CONTRATANTE por, pelo menos 7 (sete) dias corridos.
4.66.23. Não permitir, sob qualquer hipótese, que os registros de auditoria sejam alterados ou excluídos.
4.66.24. O componente de correio da solução deverá propiciar a geração de consultas e relatórios das auditorias, a serem solicitadas apenas por usuários habilitados. Os registros de auditoria poderão, a cargo do CONTRATANTE, ser exportados para arquivos em formato texto ou “csv”.
4.66.25. A CONTRATADA deverá comprovar as políticas de auditorias periódicas permanentes, quando solicitadas pelo CONTRATANTE.
4.66.26. O módulo que implementa o serviço de MTA-Mail Transfer Agent deve suportar e ser totalmente aderente às especificações do protocolo SMTP da pilha TCP/IP (RFC 821) e suas atualizações ou correlatos.
4.66.27. O módulo que implementa o serviço de MDA-Mail Delivery Agent deve suportar e ser totalmente aderente às especificações dos protocolos POPv3 e IMAPv4 da pilha TCP/IP (RFC 1939 e 3501 respectivamente) e suas atualizações ou correlatos, pelo menos.
4.66.28. Suportar a utilização de segurança padrão SSL/TLS para todos os protocolos, sem exigir a utilização de VPNs, assegurando desta forma a proteção e o sigilo dos conteúdos transmitidos.
4.66.29. Fornecer de maneira integrada mecanismos de inspeção, filtro e remoção de mensagens indesejadas (spans) ou contaminadas com “malwares”.
4.66.30. O componente de correio da solução deverá possuir servidor de e-mail com ampla capacidade de indexar mensagens, contatos e tarefas para que o usuário consiga obter resultados de pesquisas rapidamente.
4.66.31. Retenção de mensagens/itens apagados por, no mínimo 30 (trinta) dias, com opção de restauração a ser executada pelo próprio usuário.
4.66.32. Possuir recurso para notificar falha na entrega de e-mails, fornecendo informações sob o motivo da falha e informações técnicas para diagnóstico do problema pelos administradores.
4.66.33. Permitir restrições no tamanho total de uma mensagem de e-mail, ou nos tamanhos dos componentes individuais da mensagem, como cabeçalho, anexos ou número de destinatários da mensagem, a ser configurado pelo administrador.
4.66.34. Permitir que um usuário do componente de correio da solução tenha 2 (dois) ou mais alias de e-mail.
4.66.35. Suportar o envio de mensagens assinadas e criptografadas digitalmente, via protocolo S/MIME.
4.66.36. Permitir a configuração das caixas de correio para aceitar ou rejeitar e-mails enviados de usuários específicos.
4.66.37. Oferecer a possibilidade de assinar digitalmente as mensagens com certificados digitais ICP Brasil do tipo A3 via clientes de e-mail ou browsers.
4.66.38. Permitir a delegação da administração do componente de correio da solução para usuários não administradores do domínio.
4.66.39. Suportar criação de listas de distribuição de e-mail dinâmicas.
4.66.40. Possuir catálogo de endereços centralizado.
4.66.41. Possuir console de administração centralizada.
4.66.42. Permitir a criação de contatos de e-mails externos no catálogo de endereços.
4.66.43. Incluir ferramentas administrativas que possam ser executadas em browsers e permitir a administração remota do componente de correio da solução.
4.66.44. As conexões ao componente de correio da solução por meio de dispositivos móveis devem ser realizadas, obrigatoriamente, via SSL.
4.66.45. Permitir controlar, em níveis amplos e granulares, o que administradores e usuários finais podem fazer.
4.66.46. Fornecer aos usuários a possibilidade de delegar acesso de seus recursos a outros usuários, controlando o nível de permissões que será concedido.
4.66.47. O componente de correio da solução deverá ter seu ambiente de usuário em idioma português do Brasil e suportar a acessibilidade no mesmo idioma.
4.66.48. Ser acessível através de web browsers e por cliente de desktop (MUA – Mail User Agent).
4.66.49. Possuir Webmail acessível através de tablets e smartphones, preservando funcionalidades de acesso compatíveis aos dos browsers.
4.66.50. Permitir o acesso ao correio eletrônico via dispositivos móveis através de interface gráfica, especificamente desenvolvida para tais equipamentos. O componente de correio da solução deve ser compatível, no mínimo, com as seguintes tecnologias: iOS v.5 e Android 4.0.
4.66.51. Oferecer aplicações de gerenciamento de contatos, compromissos (agenda) e tarefas, de maneira individual e compartilhada (colaborativa). Deve ser oferecida a opção de cadastrar lembretes para cada compromisso.
4.66.52. Procurar horário livre na agenda de todos os participantes da reunião e com base na pesquisa sugerir horário para a reunião automaticamente.
4.66.53. Enviar e-mail aos participantes da reunião, solicitando confirmação de presença.
4.66.54. Assistente de ausência temporária com encaminhamento automática de e-mail.
4.66.55. Permitir a configuração dos recursos especiais para responderem à solicitação de reserva, possibilitando as seguintes ações: aceitar ou recusar solicitações de reserva automaticamente, selecionar representantes para aceitar ou recusar solicitações de reserva.
4.66.56. Disponibilizar espaço de armazenamento de e-mails de, no mínimo, 50GB (cinquenta gigabytes) por usuário.
4.66.57. O fabricante do componente de comunicação colaborativa da solução deverá ser o mesmo do componente de correio da solução, a fim de viabilizar melhor integração entre as plataformas de colaboração e do correio colaborativo, reduzindo os riscos de incompatibilidade ou de descontinuidade das aplicações.
4.66.58. O componente de comunicação colaborativa da solução deverá integrar-se com o webmail, permitindo, pelo menos, a utilização de chat e o status de presença, na mesma interface.
4.66.59. Suportar, pelo menos, a utilização de vídeo em definição padrão (standard definition) no envio de vídeo ponto-a-ponto.
4.66.60. Suportar a exibição simultânea de apresentação colaborativa, vídeo chamada ponto-a-ponto e chat multiponto entre os participantes de uma sessão colaborativa.
4.66.61. Permitir o compartilhamento da tela do usuário apresentador e dos convidados durante uma sessão de colaboração.
4.66.62. Permitir o compartilhamento de uma aplicação do computador do apresentador ou de um convidado durante uma sessão de colaboração.
4.66.63. Permitir a comunicação de áudio ponto-a-ponto durante sessão de colaboração.
4.66.64. Propiciar que o apresentador possa controlar quem são os participantes da reunião, especificando permissões de transmitir conteúdo durante a sessão de colaboração.
4.66.65. Possibilitar a participação em sessões de colaboração para usuários que estejam em locais externos às dependências do CONTRATANTE como convidados. Caso haja necessidade de instalação de software no computador do convidado este deve ser disponibilizado gratuitamente para download.
4.66.66. Propiciar a troca de mensagens instantâneas com múltiplos usuários em uma única sessão.
4.66.67. Fornecer recurso de troca de mensagens instantâneas entre os usuários. Todo o texto transmitido durante a conversação deve ser criptografado.
4.66.68. Permitir o uso de foto pessoal para cada usuário.
4.66.69. Os codecs de áudio e vídeo devem automaticamente se adaptar à velocidade de banda disponível, ou a aplicação deve permitir a marcação de pacotes (QOS) ou deve permitir a restrição de utilização de banda para um determinado range de IP’s.
4.66.70. Possuir mecanismos que permitam registrar a comunicação efetuada através da plataforma para posterior rastreabilidade.
4.66.71. Permitir aos usuários armazenar e compartilhar arquivos, documentos, planilhas, apresentações, imagens, em especial nos seguintes formatos:
Documentos: Microsoft Office Word, BR Office/LibreOffice Writer e PDF. Planilhas: Microsoft Office Excel e BR Office/LibreOffice Calc.
Apresentações: Microsoft Office PowerPoint e BR Office/LibreOffice Impress.
Imagens: BPM, JPEG, GIF, TIFF e PNG.
4.67. SERVIÇOS ESPECIALIZADOS IaaS – CLOUD PÚBLICA
4.68. CARACTERÍSTICAS GERAIS:
4.69. Os serviços de serão prestados no ambiente da CONTRATANTE;
4.70. A CONTRATADA deverá prover os serviços de acordo com as especificações que seguem a cada serviço específico.
4.71. SOLICITAÇÃO DOS SERVIÇOS
4.71.1. As ações serão executadas a partir da emissão de Ordem de Serviço que deverá ser aceita em comum acordo entre CONTRATANTE e CONTRATADA;
4.71.2. A CONTRATANTE enviará a Ordem de Serviço à CONTRATANTE com descrição das atividades a serem realizadas e o prazo desejado para término das atividades;
4.71.3. A CONTRATADA terá o prazo de 24 horas para revisar a Ordem de Serviço, propor sugestões de mudança e dar o aceite na O.S.;
4.71.4. Todos os ajustes na Ordem de Serviço devem ser realizados no prazo citado acima;
4.71.5. A CONTRATADA poderá solicitar extensão no prazo de revisão e aceite da Ordem de Serviço que será avaliada pelo COTRATANTE;
4.71.6. Caberá ao unicamente CONTRATANTE aceitar ou não a extensão de prazo;
4.72. Sub-Item 3.37 - Serviços de Monitoramento de infraestrutura IaaS – Cloud Pública
4.72.1. Ao contratar o serviço, por intermédio de emissão de Ordem de Serviço, a CONTRATANTE irá demandar, no mínimo, 12 (doze) meses de execução.
4.72.2. A CONTRATADA deverá monitorar toda a infraestrutura disponibilizada em nuvem em regime de 24x7x365;
4.72.3. A CONTRATADA deverá disponibilizar Central de Serviços para registro e acompanhamento dos chamados técnicos da CONTRATANTE;
4.72.4. O monitoramento deve ocorrer nas instalações da CONTRATADA através de interface WEB a ser disponibilizada pela CONTRATANTE.;
4.72.5. A CONTRATADA deverá tratar todos os eventos da infraestrutura e identificar quais eventos são incidentes;
4.72.6. A equipe de monitoramento irá executar procedimentos operacionais indicados pela CONTRATANTE visando a resolução de incidentes;
4.72.7. A equipe de monitoramento deverá abrir chamados para todos os incidentes e indicar a resolução adotada em cada chamado;
4.72.8. A equipe de monitoramento deverá escalonar os chamados de incidentes que não tiverem procedimento padrão ou que não forem solucionados após a execução do procedimento padrão;
4.72.9. A CONTRATANTE irá indicar quais são os caminhos para escalonamento dos chamados.
4.73. Sub-Item 3.38 – Serviços Especializados em IaaS – Cloud Pública
4.73.1. Os serviços de especializados em IaaS serão demandados para a realização de todas as atividades referentes a disponibilização de serviços na nuvem contratada;
4.73.2. Serão incluídos nesse serviço as seguintes atividades:
4.73.3. Planejamento de migração de servidores e/ou serviços e/ou dados para a nuvem pública;
4.73.4. Preparação do ambiente da nuvem pública para receber servidores e/ou serviços e/ou dados da CONTRATANTE;
4.73.5. Instalação, configuração e suporte técnico de ferramenta(s) para orquestração dos serviços entre as nuvens privada e pública;
4.73.6. Serviços sobre o uso dos recursos da nuvem privada;
4.73.7. Serviços de tunning, ajustes, correção de falhas, detecção de problemas na infraestrutura de nuvem pública; 4.73.8.
4.74. NÍVEIS DE SERVIÇO PARA SERVIÇOS ESPECIALIZADOS EM CLOUD PÚBLICA
4.74.1. A contratada deve prestar um serviço de qualidade. Para tanto, são estabelecidas nesse termo de referência metas para os serviços prestados. Os serviços serão medidos com base em indicadores de níveis de serviço específicos.
4.74.2. A apuração dos indicadores relativos ao tempo de atendimento das Ordens de Serviços será calculada sempre com base na data e hora de registro inicial e final da O.S. No cálculo serão desconsiderados os períodos em que as Ordens de Serviço estiveram suspensas ou não estiveram sob a responsabilidade da contratada.
4.74.3. Quando não forem atingidos os níveis de serviços exigidos em contrato, a CONTRATANTE aplicará um redutor na fatura dos serviços (glosa), de forma a retratar que a qualidade dos serviços recebidos não foi de acordo com a qualidade exigida em contrato.
4.74.4. As glosas serão calculadas e aplicadas sobre o valor total da Ordem de Serviço que não atingiu a meta exigida
4.74.5. A CONTRATADA só poderá faturar os serviços executados após o fechamento dos relatórios de serviços do mês e a correta aplicação das glosas devidas. A nota fiscal deve ser emitida já com o valor de glosa aplicado.
4.74.6. Tabela de níveis de serviço
Indicadores de níveis de serviço/mês | Unidade de medida | Meta exigida | Glosa aplicável |
Revisão e aceite de nova Ordem de Serviço | Horas | 24h após solicitação formal | 0,0% + (0,1% para cada 24 horas acima do prazo negociado). |
Resolução de Ordem de serviço. | Prazo negociado (1) | 0,1% + (0,1% para cada 4 dias acima do prazo negociado). | |
[1] Para cada Ordem de Serviço será negociado o prazo de entrega de acordo com a complexidade da solicitação |
4.75. SERVIÇOS ESPECIALIZADOS EM CLOUD PÚBLICA:
4.76. Os serviços especializados em IaaS serão demandados para a realização de todas as atividades referentes a disponibilização de serviços na nuvem contratada;
4.77. Serão incluídos nesse serviço as seguintes atividades:
4.78. Planejamento de migração de servidores e/ou serviços e/ou dados para a nuvem pública;
4.79. Preparação do ambiente da nuvem pública para receber servidores e/ou serviços e/ou dados da CONTRATANTE;
4.80. Instalação, configuração e suporte técnico de ferramenta(s) para orquestração dos serviços entre as nuvens privada e pública;
4.81. Serviços sobre o uso dos recursos da nuvem privada;
4.82. Serviços de tunning, ajustes, correção de falhas, detecção de problemas na infraestrutura de nuvem pública; 4.83.
4.84. DA MIGRAÇÃO OBRIGATÓRIO DOS SERVIÇOS ATUAIS
4.84.1. Os serviços de migração de infraestrutura On-Premises / Hyperconvergência / Cloud atuais serão obrigatórios a nova CONTRATADA.
4.84.2. Devem cumprir minimamente as seguintes etapas:
4.84.3. Mapeamento do ambiente atual;
4.84.4. Criação de um inventário de aplicações;
4.84.5. Planejamento de migração;
4.84.6. Teste da nova infraestrutura fornecida;
4.84.7. Execução Migração e testes funcionais;
4.84.8. Os ativos e aplicações estarão disponíveis em tempo de vistoria ao ambiente do IGES-DF anterior ao pregão.
4.84.9. Os serviços não podendo ultrapassar o limite de 10 (dez) dias corridos dedicado in-loco no IGES-DF para cada um dos LOTES contemplando no mínimo 2160 horas de serviços profissionais.
4.84.10. Após a ativação dos serviços a CONTRATADA deve alocar no mínimo 01 (um) profissional capacidade nas soluções ofertadas por um período de 80 (oitenta) horas para cobertura de operação assistida compreendendo o horário de 08:00 as 18:00 horas e disponibilidade de acionamentos nos demais horários em caso de necessidade.
5. DA MANUTENÇÃO E SUPORTE TÉCNICO
5.0.1. Manutenção E Suporte Técnico referente a prestação de serviços para provimento de infraestrutura de tecnologia nas modalidades on-premises, em cloud pública, serviços de cloud, SaaS, Segurança da Informação e Serviços Especializados para atendimento às demandas do IGESDF.
5.0.2. O suporte e a manutenção deverão ser providos durante toda vigência do contrato.
5.0.3. Deverá monitorar o quantitativo instalado. A CONTRATANTE, deve ter acesso de leitura a planilha de monitoração para fins de acompanhamento.
5.0.4. Deverá ser fornecido reparo ou troca do equipamento que foi fornecido caso o equipamento venha a apresentar defeito durante seu uso normal.
5.0.5. Todos os custos de mão de obra, frete e troca de equipamentos são de responsabilidade da CONTRATADA.
5.0.6. Dentro do contrato, deverá estar incluída a atualização de softwares/drivers/hardware ou novos releases sem custos adicionais.
5.0.7. A CONTRATADA deve ser emitido relatório mensal referente a atualização de softwares/drivers/hardware ou novos releases sem custos adicionais, contendo:
5.0.8. a) Descrição do procedimento que será executado;
5.0.9. b) Cronograma de Atividades;
5.0.10. c) Impacto e eventuais procedimentos de contingência;
5.0.11. d) Xxx como relatório posterior sobre os resultados obtido.
5.0.12. O Suporte deverá ser prestado com disponibilidade 24 (vinte e quatro) horas por dia, 7 (sete) dias na semana, durante os 365 (trezentos e sessenta e cinco) do ano.
5.0.13. A CONTRATADA devera disponibilizar ao IGESDF um número único nacional, não tarifado
5.0.14. A CONTRATADA devera disponibilizar um portal na internet, para abertura de chamados de suporte técnico e acompanhamento dos níveis de serviço prestados. Entende-se por portal, ferramenta de gerência acessível pela internet, com acesso restrito através de usuário/senha eletrônica e utilizando-se de protocolo HTTPS.
5.0.15. O portal de acompanhamento dos serviços deverá possuir acesso aos históricos dos registros das ocorrências e registros de solicitações e reclamações enviadas pelo IGESDF em relação aos serviços prestados
5.0.16. O portal de acompanhamento dos serviços deverá possibilitar que sejam visualizados e impressos os relatórios das informações de desempenho a respeito da malha dos serviços prestados.
5.0.17. O portal de gerenciamento poderá ser constituído de um ou mais softwares de gerenciamento e deverá prover, no mínimo, as seguintes informações
5.0.18. Lista dos serviços e níveis de serviço contratados;
5.0.19. relação de todos os registros de ocorrências, solicitações e reclamações;
5.0.20. histórico da tratativa de cada ocorrência, solicitações e reclamações;
5.0.21. resultados da apuração dos níveis de serviço nos meses anteriores
5.0.22. Todo e qualquer problema detectado nos itens/serviços descritos neste Elemento Técnico, deverão ser, de forma imediata, ser relatados à equipe de Gerência/Fiscais do CONTRATANTE.
5.0.23. Todas as mudanças adotadas por iniciativa da CONTRATADA nas configurações deverão ser efetuadas mediante aprovação do
CONTRATANTE.
5.0.24. A CONTRATADA deverá emitir uma declaração prévia, com antecedência mínima de 15 (quinze) dias, contendo:
5.0.25. a) Descrição do procedimento que será executado;
5.0.26. b) Cronograma de Atividades;
5.0.27. c) Impacto e eventuais procedimentos de contingência;
5.0.28. d) Xxx como relatório posterior sobre os resultados obtido.
5.0.29. A CONTRATADA deverá disponibilizar suporte técnico, no regime de 24 (vinte e quatro) horas, durante os 7 (sete) dias da semana, nos 365 (trezentos e sessenta e cinco) dias do ano.
5.0.30. O suporte deverá incluir resposta a chamados críticos em tempo inferior a sessenta minutos e permitir a comunicação por meio de e-mail, chat e telefone (devendo a CONTRATADA fornecer um número telefônico para contato direto da CONTRATANTE com a CONTRATADA). No momento do aceite de cada ordem de serviço, a CONTRATADA deverá comprovar está em operação o suporte técnico descrito neste item.
5.0.31. Os serviços de Suporte Técnico compreendem todos os chamados relativos aos itens referenciados neste Elemento Técnico, com serviço previamente planejado e executado pela CONTRATADA, bem como todos os chamados que objetivem esclarecer dúvidas na utilização dos serviços prestados diretamente pelo provedor, independentemente de esses serviços terem sido provisionados pela CONTRATADA ou pela CONTRATANTE.
5.0.32. Os serviços de suporte técnico deverão ser prestados pela CONTRATADA sem qualquer ônus adicional para a CONTRATANTE.
5.0.33. Os chamados de suporte técnico serão classificados por Criticidade, de acordo com o impacto no ambiente computacional da
CONTRATANTE.
5.0.34. Serão utilizados 3 (três) níveis, com prazo de início do atendimento e prazo para conclusão conforme Tabela 01 – SLA de atendimento.
5.0.35. Criticidade Alta - Deveremos entender como criticidade ALTA um serviço totalmente fora de operação, com SLA de 20 minutos para captura de chamado e início de atendimento, e até 02 horas para resolução do problema.
5.0.36. Criticidade Média - Deveremos entender como Severidade Média incidentes que não impeçam o uso do equipamento, serviços e/ou consultas em geral, com SLA de 20 minutos para captura de chamado e início de atendimento e até 04 horas para resolução do problema;
5.0.37. Criticidade Baixa - Deveremos entender como Severidade Baixa os testes funcionais e consultas gerais do equipamento, com SLA de 20 minutos para captura de chamado e início de atendimento e até 06 horas para resolução do problema.
5.0.38. Para fins de verificação do atendimento, os chamados serão agrupados por nível de severidade e seus prazos de atendimento serão contabilizados mensalmente, conforme Tabela 01 – SLA de atendimento:
Tabela 01 – SLA de atendimento | ||||
Criticidade | Descrição | Prazo para início de atendimento | Prazo para conclusão de atendimento | Desconto por não atendimento no prazo |
Alta | Deveremos entender como Severidade Alta um serviço totalmente fora de operação | 20 minutos após abertura do chamado | Até 02 horas de SLA para resolução do problema | 5% |
Média | Deveremos entender como Severidade Média incidentes que não impeçam o uso do equipamento ou consultas em geral sobre o uso dos equipamentos | 20 minutos após abertura do chamado | Até 04 horas de SLA para resolução do problema | 2,5% |