ÍNDICE DO CADERNO DE ENCARGOS

CONCURSO PÚBLICO

CP_07_IPC_2024

CADERNO DE ENCARGOS

Aquisição de Firewall de Perímetro e Solução Integrada de Segurança de Rede

para o Instituto Politécnico de Coimbra

ÍNDICE DO CADERNO DE ENCARGOS

Artigo 1º - Objeto

O presente Caderno de Encargos compreende as cláusulas a incluir no contrato a celebrar na sequência do procedimento pré-contratual para aquisição de firewall de perímetro e solução integrada de segurança de rede para o Instituto Politécnico de Coimbra (IPC) conforme as especificações técnicas definidas neste caderno de Encargos.

Artigo 2º - Forma e documentos contratuais

1. Para cada lote, o contrato será reduzido a escrito quando o valor contratual do lote for superior a 10.000,00 Euros, ou o valor adjudicado a um único adjudicatário for superior ao referido valor.

2. Xxxxx parte integrante do contrato os seguintes documentos:

a) Os suprimentos dos erros e omissões do caderno de encargos identificados pelas entidades convidadas, desde que esses erros e omissões tenham sido expressamente aceites pelo órgão competente para a decisão de contratar;

b) Os esclarecimentos e as retificações relativas ao caderno de encargos;

c) O presente caderno de encargos;

d) A proposta adjudicada;

e) Os esclarecimentos à proposta adjudicada prestados pelo adjudicatário.

3. Em caso de divergência entre os documentos referidos no n.º 2, a prevalência é determinada pela ordem que nele se dispõe.

4. Em caso de divergência entre os documentos referidos no n.º 2 e o clausulado do contrato, prevalecem os primeiros, salvo quanto aos ajustamentos ao conteúdo do contrato propostos pelo órgão competente para a decisão de contratar e aceites pelo adjudicatário.

Artigo 3º - Local entrega dos bens

Os bens objeto do presente contrato são fornecidos nas seguintes moradas:

a. Serviços Centrais (SP), Serviços de Acção Social (SAS) e Instituto de Investigação Aplicada (IIA), sitos na Xxx xx Xxxxxxxxxxxx – Xxxxx xxx Xxxxxxxx, 0000 – 000 Xxxxxxx;

b. Escola Superior Agrária de Coimbra (ESAC), sita em Bencanta, 3045 – 601 Coimbra;

c. Escola Superior de Educação de Coimbra (ESEC), sita na Rua D. Xxxx XXX – Solum, 3030 – 329 Coimbra;

d. Escola Superior de Tecnologia e Gestão de Oliveira do Hospital (ESTGOH), sita na Xxx Xxxxxxx Xxxxxx Xxxxx, 0000 – 124 Oliveira do Hospital;

e. Escola Superior de Tecnologia da Saúde (ESTeSC), sita na Rua 5 de Outubro – S. Xxxxxxxx xx Xxxxx, 0000 – 000 Xxxxxxx;

f. Instituto Superior de Contabilidade e Administração de Coimbra (ISCAC), sito na Quinta Agrícola, Xxxxxxxx, 0000 – 000 Xxxxxxx;

g. Instituto Superior de Engenharia de Coimbra (ISEC), sito na Xxx Xxxxx Xxxxx – Xxxxxx xx Xxxx, 0000 – 000 Xxxxxxx;

h. Residências R1/R2, sito em Rua da Escola Agrária – S. Xxxxxxxx do Bispo; 3044-195 Coimbra;

i. Escolas de CTeSP:

i. Lousã;

ii. Cantanhede;

iii. Mealhada;

Artigo 4º - Prazo de execução

1. O contrato de fornecimento de solução de segurança de rede para o Instituto Politécnico de Coimbra tem a duração de 36 (trinta e seis) meses, a contar da data da sua assinatura.

2. A instalação dos equipamentos fornecidos no âmbito da solução de segurança de rede para o IPC deve ocorrer num prazo máximo de 90 dias corridos, a contar da data de assinatura do contrato.

3. O adjudicatário obriga-se ao pontual cumprimento de todos os prazos de entrega do objeto do contrato.

4. Sempre que ocorra um caso de força maior, devidamente comprovado e que implique a suspensão da entrega, deve o adjudicatário, logo que dele tenha conhecimento, requerer ao Instituto Politécnico de Coimbra que lhes seja concedida uma prorrogação do respetivo prazo, fundamentando adequadamente o pedido.

SECÇÃO II - OBRIGAÇÕES DO ADJUDICATÁRIO

Artigo 5º - Obrigações do adjudicatário

1. O adjudicatário obriga-se a executar o objeto do contrato de forma profissional e competente, utilizando os conhecimentos técnicos, o Know-how, a diligência, o zelo e a pontualidade próprios das melhoras práticas.

2. Constituem ainda obrigações do adjudicatário:

a) Fornecer os bens à entidade adjudicante, conforme as caraterísticas técnicas e requisitos mínimos constantes do caderno de encargos;

b) O adjudicatário obriga-se a recorrer a todos os meios humanos e materiais que sejam necessários e adequados à execução do contrato;

c) Comunicar antecipadamente, logo que tenha conhecimento, à entidade adjudicante, o fato que torne total ou parcialmente impossível o fornecimento dos bens objeto do procedimento, ou o cumprimento de qualquer outra das suas obrigações nos termos do contrato celebrado com a entidade adjudicante;

d) Não alterar as condições do fornecimento dos bens fora dos casos previstos no presente caderno de encargos;

e) Não subcontratar, no todo ou em parte, a execução do objeto do contrato, sem prévia autorização da entidade adjudicante;

f) Comunicar qualquer fato que ocorra durante a execução do contrato e que altere, designadamente, a sua denominação social, os seus representantes legais, a sua situação jurídica e a sua situação comercial;

g) Possuir todas as autorizações, consentimentos, aprovações, registos e licenças necessários para o pontual cumprimento das obrigações assumidas no contrato.

Artigo 6º - Bens e serviços a fornecer

1. Os bens e serviços a fornecer que compõem a solução deverão cumprir os requisitos contemplados no presente caderno de encargos e respetivo Anexo de acordo com o seguinte mapa de quantidades:

Descrição Lote Quantidade

- Lote 1 – Firewall de perímetro

(HA)

2 (1 cluster)

Item 1 – Firewall para os serviços centrais (HA) 2

2 (1 cluster)

- Lote 2 - Firewall para as unidades

Item 2 – Firewall para unidades orgânicas 2

9+1

orgânicas

Item 3 – Software de gestão 2

Item 4 – Software de análise 2

- Lote 3 – Software de autenticação

Item 1 – Software de autenticação 3

Item 2 – Tokens de autenticação 3

Artigo 7º - Conformidade e operacionalidade dos bens

1. O adjudicatário obriga-se a entregar os bens objeto do contrato com as características, especificações e requisitos técnicos previstos no presente caderno de encargos, que dele faz parte integrante, bem como da sua proposta.

2. Os bens objeto do contrato devem ser novos e entregues em perfeitas condições de serem utilizados para os fins a que se destinam e dotados de todo o material de apoio necessário à sua entrada em funcionamento.

3. O adjudicatário fica sujeito, com as devidas adaptações, e no que se refere aos elementos entregues ao IPC em execução do contrato, às exigências legais, obrigações do fornecedor e prazos respetivos aplicáveis aos contratos de aquisição de bens móveis, nos termos do Código do Contratos Públicos e demais legislações aplicáveis.

4. O adjudicatário é responsável perante o Instituto Politécnico de Coimbra, por qualquer defeito ou discrepância dos bens objeto do contrato que existam no momento em que os bens lhe são entregues.

Artigo 8º - Prazo e condições de garantia

1. Nos termos da presente cláusula e da lei que disciplina a contratação pública, o adjudicatário garante os bens objeto do contrato, pelo prazo indicado nas especificações técnicas do presente caderno de encargos, cujo número de anos não pode ser inferior a 3 (três) anos, a contar da data da assinatura do auto de receção, contra quaisquer defeitos ou discrepâncias com as exigências legais e com as

características, especificações e requisitos técnicos definidos no presente caderno de encargos, que se revelem a partir da respetiva aceitação do bem.

2. Todas as garantias previstas no presente caderno de encargos devem ser prestadas diretamente pelo fabricante dos equipamentos.

3. A garantia prevista nos números anteriores abrange:

a) O fornecimento, a montagem ou a integração de quaisquer peças ou componentes em falta;

b) A desmontagem de peças, componentes ou bens defeituosos ou discrepantes;

c) A reparação ou a substituição das peças, componentes ou bens defeituosos ou discrepantes;

d) O fornecimento, a montagem ou instalação das peças, componentes ou bens reparados ou substituídos;

e) O transporte dos bens ou das peças ou componentes defeituosos ou discrepantes para o local da sua reparação ou substituição e a devolução daqueles bens ou a entrega das peças ou componentes em falta, reparados ou substituídos;

f) A deslocação ao local da instalação ou de entrega;

g) A mão-de-obra.

h) A intervenção no dia útil seguinte à comunicação da ocorrência e nas instalações do cliente.

Artigo 9º - Direitos de Propriedade Intelectual

1. Correm inteiramente por conta do adjudicatário os encargos e responsabilidades decorrentes da utilização, na execução do fornecimento da solução, de software ou de outros a que respeitem quaisquer patentes, licenças, marca, desenhos registados e outros direitos de propriedade industrial ou direitos de autor ou conexos.

2. Se o IPC vier a ser demandado por ter sido infringido, na execução do fornecimento da solução, qualquer dos direitos mencionados no ponto anterior, o adjudicatário responderá nos termos do disposto no artigo 447.º, n.º 2, do Código dos Contratos Públicos.

Artigo 10º - Objeto do dever de sigilo

1. O adjudicatário deve guardar sigilo, mesmo após o termo do contrato, sobre toda a informação e documentação, técnica e não técnica, comercial ou outra, relativa ao Instituto Politécnico de Coimbra, de que possa ter conhecimento ao abrigo ou em relação com a execução do contrato.

2. A informação e a documentação cobertas pelo dever de sigilo não podem ser transmitidas a terceiros, nem objeto de qualquer uso ou modo de aproveitamento que não o destinado direta e exclusivamente à execução do contrato.

3. O adjudicatário obriga-se ainda a respeitar a confidencialidade sobre todos os dados ou informações de carácter funcional ou processual do Instituto Politécnico de Coimbra a que tenha acesso na execução do contrato.

4. O adjudicatário obriga-se, de um modo especial, a guardar sigilo quanto ao conteúdo e utilização do sistema referente ao Instituto Politécnico de Coimbra, nos termos previstos pelo Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de2016 (RGPD), relativo à proteção de dados pessoais.

5. 0 disposto nos números anteriores é extensivo à informação a que os trabalhadores, agentes, subcontratados e consultores do prestador de serviços tenham acesso em virtude da celebração do Contrato.

6. Exclui-se do dever de sigilo previsto a informação e a documentação que fossem comprovadamente do domínio público à data da respetiva obtenção pelo fornecedor ou que este seja legalmente obrigado a revelar, por força da lei, de processo judicial ou a pedido de autoridades reguladoras ou outras entidades administrativas competentes.

7. O adjudicatário assume igualmente o compromisso de remover e destruir, no final do contrato, todo e qualquer registo, eletrónico ou em papel, relacionado com os dados e processos analisados e que o Instituto Politécnico de Coimbra indique para esse efeito.

Artigo 11º - Prazo do dever de sigilo

O dever de sigilo mantém-se em vigor sem limite de prazo tendo em conta, nomeadamente, quaisquer deveres legais relativos, designadamente, à proteção de dados pessoais ou da credibilidade, do prestígio ou da confiança devidos ao IPC.

SECÇÃO III - OBRIGAÇÕES DO ADJUDICANTE

Artigo 12º - Preço base

1. O preço base da contratação, entendido como o preço máximo que o adjudicante se dispõe a pagar por todos os bens e prestações objeto do contrato, é de 199 521,00€ (cento e noventa e nove mil, quinhentos e vinte e um euros), assim distribuídos pelas seguintes componentes:

Descrição

Lote

Valor sem IVA

- Lote 1 – Firewall de perímetro (HA) 86 700,00 €

- Lote 2 - Firewall para as unidades orgânicas 103 145,00 €

- Lote 3 – Software de autenticação 9 676,00 €

1. Pela aquisição dos bens e serviços objeto do contrato, bem como pelo cumprimento das demais obrigações constantes do presente caderno de encargos, o Instituto Politécnico de Coimbra deve pagar ao adjudicatário o preço contratual, constante da proposta adjudicada, acrescido de IVA, à taxa legal em vigor, se este for legalmente devido.

2. Os preços referidos no n.º 1 inclui todos os custos, encargos e despesas cuja responsabilidade não esteja expressamente atribuída ao Instituto Politécnico de Coimbra, nomeadamente os relativos ao transporte dos bens objeto do contrato para o respetivo local de entrega, seguros, fretes, taxas alfandegárias, bem como quaisquer encargos decorrentes da utilização de marcas registadas, patentes ou licenças.

Artigo 13º - Condições de pagamento

1. A entidade adjudicante obriga-se a pagar ao adjudicatário no prazo de 60 (sessenta) dias de calendário, após a receção e validação das faturas pela entidade adjudicante.

2. Em caso de discordância por parte do Instituto Politécnico de Coimbra, quanto aos valores indicados na fatura, deve este comunicar ao adjudicatário, por escrito, os respetivos fundamentos, ficando o adjudicatário obrigado a prestar os esclarecimentos necessários ou proceder à emissão de nova fatura corrigida.

Artigo 14º - Inoperacionalidade, defeitos ou discrepâncias

1. Caso não se comprove a total operacionalidade dos bens objeto do contrato, bem como a sua conformidade com as exigências legais, ou no caso de existirem defeitos ou discrepâncias com as características, especificações e requisitos técnicos definidos no presente caderno de encargos, o IPC deve informar, por escrito, o adjudicatário.

2. No caso previsto no número anterior, o adjudicatário deve proceder, à sua custa e no prazo razoável que for determinado pelo IPC, às reparações ou substituições necessárias para garantir a operacionalidade dos bens e o cumprimento das exigências legais e das características, especificações e requisitos técnicos exigidos.

Artigo 15º - Inspeção e testes

Após a entrega dos bens objeto do contrato, o Instituto Politécnico de Coimbra, procede, no prazo máximo de 15 (quinze) dias, à inspeção quantitativa e qualitativa dos mesmos, com vista a verificar, respetivamente, se os mesmos reúnem as características, especificações e requisitos técnicos e operacionais constantes no presente caderno de encargos e na proposta adjudicada, bem como outros requisitos exigidos por lei.

Artigo 16º - Acesso às instalações

1. O Instituto Politécnico de Coimbra (IPC) garantirá ao adjudicatário, através da equipa técnica definida para cada local, o acesso às suas instalações para a realização dos trabalhos necessários à execução do objeto do contrato.

2. Para a instalação dos equipamentos será designado por parte do IPC um interlocutor que garantirá a comunicação entre o adjudicatário e as equipas técnicas e operacionais de cada uma das Unidades Orgânicas.

SECÇÃO IV – PENALIDADES CONTRATUAIS E RESOLUÇÃO

Artigo 17º - Penalidades Contratuais

1. Em caso de resolução do contrato por incumprimento do adjudicatário o IPC pode exigir-lhe uma pena pecuniária de até 20% do preço contratual, sem prejuízo do disposto no n.º 3 do 329.º do C.C.P.

2. A aplicação das sanções previstas na presente cláusula será objeto de audiência prévia, nos termos previstos no n.º 2 do artigo 308.º do Código dos Contratos Públicos.

3. As sanções pecuniárias previstas na presente cláusula não obstam a que o IPC exija uma indemnização pelo dano excedente.

Artigo 18º - Resolução contratual por parte da entidade adjudicante

1. Sem prejuízo de outros fundamentos de resolução do contrato previstos na lei, a Entidade Adjudicante pode resolver o contrato, a título sancionatório, no caso de o Adjudicatário violar de forma grave ou reiterada qualquer das obrigações que lhe incumbem, designadamente o atraso, total ou parcial, na prestação do serviço objeto do contrato.

2. O incumprimento, por parte do adjudicatário, confere, nos termos gerais de direito, ao Politécnico de Coimbra além da faculdade de rescindir o contrato, o direito às correspondentes indemnizações legais.

3. O direito de resolução referido no número anterior exerce-se mediante declaração enviada ao adjudicatário e não determina a repetição das prestações já realizadas, a menos que tal seja determinado pelo Politécnico de Coimbra.

4. A Entidade Adjudicante pode ainda resolver o contrato quando ocorra qualquer circunstância que leve à perda da confiança entre si e o Adjudicatário.

Artigo 19º - Resolução contratual por parte do adjudicatário

1. Sem prejuízo de outros fundamentos de resolução previstos na lei, o Adjudicatário pode resolver o contrato quando qualquer montante que lhe seja devido esteja em dívida há mais de três meses ou quando o montante em dívida exceda 25% (vinte e cinco por cento) do preço contratual, excluindo juros.

2. O Adjudicatário pode resolver o contrato quando ocorra qualquer circunstância que leve à perda da confiança entre si e a Entidade Adjudicante.

3. Nos casos previstos no n.º 1, o direito de resolução pode ser exercido mediante declaração enviada à Entidade Adjudicante, e produz efeitos trinta dias após a receção dessa declaração, salvo se este último cumprir as obrigações em atraso nesse prazo, acrescidas dos juros de mora a que houver lugar.

Artigo 20º - Causas de força maior

1. Não é tida como incumprimento, a não realização pontual das prestações contratuais a cargo de qualquer das partes que resulte de caso de força maior ou que não lhe seja imputável, entendendo- se como tal as circunstâncias que impossibilitem a respetiva realização, alheias à vontade da parte afetada, que ela não pudesse conhecer ou prever à data da celebração do contrato e cujos efeitos não lhe fosse razoavelmente exigível contornar ou evitar.

2. A ocorrência de circunstâncias que possam consubstanciar casos de força maior deve ser imediatamente comunicada à outra parte.

Artigo 21º - Modificação objetiva do contrato

1. O contrato pode ser modificado com os seguintes fundamentos:

a) Quando as circunstâncias em que as partes fundaram a decisão de contratar tiverem sofrido uma alteração anormal e imprevisível, desde que a exigência das obrigações por si assumidas afete gravemente os princípios da boa-fé e não esteja coberta pelos riscos próprios do contrato;

b) Por razões de interesse público decorrentes de necessidades novas ou de uma nova ponderação das circunstâncias existentes.

2. A modificação do contrato ocorre:

a) Por acordo entre as partes, que não pode revestir forma menos solene do que a do contrato;

b) Por decisão judicial ou arbitral.

3. O contrato pode ainda ser modificado por ato administrativo do contraente público quando o fundamento invocado sejam razões de interesse público.

4. Os limites à modificação do contrato são os previstos no artigo 313.º do CCP.

Artigo 22º - Revogação contratual

1. As partes podem, por acordo, revogar o presente contrato em qualquer momento.

2. Em caso de revogação por acordo a entidade adjudicante apenas ficará responsável pelo pagamento dos serviços prestados até à data da revogação.

3. O acordo de revogação do contrato deverá constar de documento escrito, assinado por ambas as partes.

SECÇÃO V– PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Artigo 23º - Proteção de Dados Pessoais

1. O contrato, no que respeita ao tratamento de dados pessoais, tem a justificação legal do tratamento de dados pessoais necessários e fundamentais à prossecução da missão, atribuições e competências do Instituto Politécnico de Coimbra (IPC) previstas no Despacho Normativo n.º 6/2019 de 14 de março de 2019.

2. Para efeitos do disposto no número anterior, a entidade adjudicante e a entidade adjudicatária estão sujeitas ao cumprimento do Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados), adiante designado RGPD, sendo o IPC responsável pelo tratamento de dados e a entidade adjudicatária o subcontratante, na aceção do nºs 7 e 8 do artigo 4 º, do n º 1 do artigo 24 º e do n º 1 do artigo 28 º todos do RGPD.

3. O tipo de dados, as categorias dos titulares dos dados, as operações de tratamento de dados pessoais bem como as condições de conservação e armazenamento e respetivo prazo de conservação serão devidamente especificados em anexo ao presente Caderno de Encargos, quando assim se justifique.

4. Entre as partes contratantes, respetivamente enquanto responsável pelo tratamento de dados e subcontratante, são estabelecidos e reciprocamente aceites os seguintes direitos e obrigações;

a. O adjudicatário comunica à entidade adjudicante, no prazo de 15 dias a contar da formalização da adjudicação, a informação relativa ao seu Encarregado de Proteção de Dados (EPD), designadamente o contacto telefónico e o endereço de correio eletrónico.

b. O adjudicatário acede à informação e procede ao tratamento dos dados pessoais necessários à prestação de serviços abrangida pelo contrato, exclusivamente para esse fim, na medida, por conta e de acordo com as instruções do IPC e nos termos da legislação aplicável, assegurando antecipadamente o cumprimento das obrigações previstas no RGPD.

c. O adjudicatário deve fornecer ao IPC se requerido, a documentação necessária para demonstrar o cumprimento de todas as suas obrigações e permitir que eventuais verificações, previstas no âmbito do RGPD, sejam realizadas pelo IPC ou por outra entidade credenciada ou por aquela mandatada para o efeito.

d. O adjudicatário deve assegurar que as pessoas autorizadas a processar ou a aceder a dados pessoais, nos termos e para os efeitos das especificações técnicas descritas no contrato, têm os conhecimentos necessários e especializados para aplicar as medidas técnicas e organizativas, de modo que o tratamento que efetuem seja conforme com o RGPD e demais legislação aplicável.

e. O adjudicatário obriga-se a manter os dados pessoais a que tenha acesso estritamente confidenciais, sendo responsável pela utilização dos dados pessoais e pelo cumprimento do dever de sigilo por parte dos respetivos trabalhadores, colaboradores, e entidades públicas ou privadas subcontratadas ou terceiros, quando for o caso.

f. O adjudicatário obriga-se a tomar em consideração os princípios da proteção de dados desde a conceção (Privacy by design) e da proteção de dados por defeito (Privacy by default) no que diz respeito às ferramentas que adquire e utiliza, produtos, aplicações ou serviços prestados por subcontratados.

g. O Adjudicatário, no momento da recolha dos dados, para efeitos das operações necessárias a realizar, que possam envolver dados pessoais sob responsabilidade de tratamento do IPC deve informar os titulares dos dados ou os seus representantes legais.

h. Para efeitos do número anterior, o adjudicatário deve manter os respetivos registos individualizados por titular de dados, por representante legal quando for o caso, por cada operação de tratamento, de acordo com as indicações expressas do IPC.

i. O adjudicatário no cumprimento do disposto na alínea e) do nº 3 do artigo 28º do RGPD deve auxiliar o IPC no cumprimento da obrigação de responder aos pedidos de exercício de direitos dos titulares dos dados pessoais.

j. Quando os titulares dos dados pessoais, para efeitos de exercício de direitos legalmente protegidos, solicitarem diretamente ao adjudicatário, esclarecimentos sobre questões de privacidade dos sistemas de tratamento de dados pelo IPC, aquela deve enviar os pedidos, em caso de necessidade, para o seguinte endereço de correio eletrónico: xxx@xxx.xx

k. O adjudicatário através do responsável pelo tratamento de dados, deve notificar o IPC de qualquer violação de dados pessoais, que cause impacto nos direitos do titular dos dados, de acordo com os critérios que venham a ser definidos pela autoridade de controlo nacional, num prazo máximo de 24 horas após o conhecimento dos mesmos, através do envio de mensagem para o seguinte endereço de correio xxx@xxx.xx, acompanhada de toda a documentação relevante a fim de permitir à/ao identificação da entidade pública) enquanto responsável pelo tratamento de dados, decidir sobre o cumprimento do disposto nos artigos 33 º ou 34 º do RGPD.

l. A informação a disponibilizar pelo adjudicatário ao IPC deve conter toda a informação requerida pela autoridade de controlo nacional (Comissão Nacional de Proteção de Dados, CNPD) para efeitos de notificação de violação de dados pessoais, conforme informação disponibilizada em xxxxx://xxx.xxxx.xx/xxxx/xxxxxxxx_xxxx/xxxx_xxxxxx.xxx .

m. O adjudicatário apoia em caso de necessidade, o IPC responsável pelo tratamento de dados, na realização de avaliações de impacto das operações de tratamento previstas sobre a proteção de dados, no âmbito do objeto abrangido pelo contrato, nos termos do RGPD.

n. As avaliações de impacto referidas na alínea anterior atendem ao Regulamento n º 1/2018 da CNPD relativo à lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados (AIPD) publicitado através do Regulamento n º 798/2018, de 30 de novembro.

o. O IPC e o adjudicatário comprometem-se a implementar as medidas de segurança, previstas nas orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais definidas pela Resolução do Conselho de Ministros nº 41/2018 de 28 de março e outras medidas específicas que sejam necessárias implementar, nomeadamente as previstas no artigo 32 º do RGPD.

p. A entidade adjudicatária deve disponibilizar ao IPC sempre que necessário, a lista dos colaboradores com autorização de acesso aos sistemas e à informação pessoal dos titulares dos dados que se encontrem sob a responsabilidade do IPC devendo manter uma cópia das declarações de compromisso de confidencialidade ou de sigilo dos mesmos.

q. O IPC relativamente aos seus sistemas e plataformas informáticos, compromete-se a fornecer ao adjudicatário as instruções específicas que se revelem necessárias ao tratamento de dados pessoais realizado pelo adjudicatário abrangidos pelo RGPD e demais legislação aplicável.

r. A contratação, pelo adjudicatário, de outro subcontratante está sujeita à prévia autorização por escrito, geral ou especifica da primeira outorgante nos termos do disposto no nº 2 do artigo 28º do RGPD.

s. Os direitos do IPC e do adjudicatário, atendendo à natureza do tratamento de dados pessoais objeto do contrato são os estabelecidos no RGPD e demais legislação aplicável.

t. O adjudicatário colabora com o Encarregado de Proteção de Dados (EPD) do IPC facultando todas as informações e esclarecimentos que este vier a solicitar no âmbito das suas funções.

SECÇÃO VI - DISPOSIÇÕES FINAIS

Artigo 24º - Boa-fé

As partes obrigam-se a atuar de boa-fé na execução do contrato e a não exercer os direitos nele previstos, ou na lei, de forma abusiva.

Artigo 25º - Comunicações e notificações

1. Sem prejuízo de poderem ser acordadas outras regras quanto às notificações e comunicações entre as partes do contrato, estas devem ser dirigidas, nos termos do Código dos Contratos Públicos, para o domicílio ou sede de cada uma delas, respetivamente, identificadas no programa do concurso e na respetiva proposta.

2. Em sede de execução contratual, todas as comunicações do adjudicatário dirigidas à entidade adjudicante são efetuadas por escrito e enviadas através de correio registado ou correio eletrónico, de acordo com os seguintes elementos:

INSTITUTO POLITÉCNICO DE COIMBRA

XXX XX XXXXXXXXXXXX – XXXXX XXX XXXXXXXX 0000 – 000 XXXXXXX

E-mail: xxx@xxx.xx

SECÇÃO VII - ESPECIFICAÇÕES TÉCNICAS

Artigo 26º - Caracterização do IPC

1. O Instituto Politécnico de Coimbra é constituído por onze (11) Unidades Orgânicas:

a. Seis (6) unidades orgânicas de ensino ou de ensino e investigação (UOE):

i. Escola Superior Agrária de Coimbra (ESAC);

ii. Escola Superior de Educação de Coimbra (ESEC);

iii. Escola Superior de Tecnologia e Gestão de Oliveira do Hospital (ESTGOH);

iv. Escola Superior de Tecnologias da Saúde de Coimbra (ESTeSC);

v. Instituto Superior de Contabilidade e Administração de Coimbra (ISCAC);

vi. Instituto Superior de Engenharia de Coimbra (ISEC);

b. Uma (1) unidade orgânica de investigação (UOI), designada por Instituto de Investigação Aplicada (IIA);

c. Serviços Centrais (SC);

d. Serviços de Acção Social (SAS);

e. Duas (2) unidades orgânicas de apoio:

i. Centro Cultural Penedo da Saudade (CCPS);

ii. Academia de Empreendedorismo (INOPOL);

2. O Instituto Politécnico de Coimbra (IPC) também inclui três (3) escolas ou polos dedicados à oferta de Cursos Técnicos Superiores Profissionais (CTeSPs) localizadas em outras localidades fora de Coimbra:

a. Lousã

b. Cantanhede

c. Mealhada

3. A infraestrutura de comunicação de dados do Instituto Politécnico de Coimbra (IPC), designada por rede metropolitana - MANIPC (Metropolitan área network), assenta sob uma infraestrutura de fibra ótica (FO) que interliga todas as Unidades Orgânicas (UO) do IPC e garante o acesso à Internet de toda a instituição.

4. Graças ao meio físico da rede e às tecnologias utilizadas, a MANIPC garante uma largura de banda entre todas as Unidades Orgânicas entre os 1Gbps e 10 Gbps, à exceção da Escola Superior de Tecnologia e Gestão de Oliveira do Hospital (ESTGOH), que devido ao seu afastamento geográfico (aproximadamente 80 Km de Coimbra), vê a sua ligação à MANIPC condicionada pelo serviço de comunicações de dados contratados aos operadores de comunicações. No entanto, as comunicações de dados desta UO dependem da MANIPC, uma vez que o tráfego dirigido aos seus servidores públicos (www, email, entre outros) é encaminhado pela MANIPC até Oliveira do Hospital através de

um serviço de Data VPN ponto a ponto entre os Serviços Centrais e a ESTGOH com um débito de 500 MB.

5. Quanto ao acesso à Internet, este é garantido através da ligação à rede académica RCTS - Rede Ciência, Tecnologia e Sociedade - gerida pela Fundação para a Ciência e a Tecnologia / Fundação para a Computação Científica Nacional (FCT / FCCN), tendo o seu ponto de entrega no ISEC, onde são disponibilizados 100 Gb de largura de banda para toda a Instituição.

6. Para assegurar a segurança e integridade das comunicações e dados, o IPC possui uma firewall de perímetro em alta disponibilidade (HA). Esta configuração de alta disponibilidade consiste em duas firewalls de próxima geração (Next-Generation Firewalls, NGFW) operando em modo ativo-passivo, garantindo que, em caso de falha de uma das unidades, a outra assume imediatamente as suas funções sem interrupção do serviço. As firewalls em HA estão estrategicamente posicionadas entre a infraestrutura interna do IPC e a rede externa, incluindo a ligação com a rede académica RCTS, proporcionando uma camada robusta de defesa contra ameaças externas e assegurando a continuidade operacional da rede do IPC.

7. As escolas que oferecem Cursos Técnicos Superiores Profissionais (CTeSPs) dentro do Instituto Politécnico de Coimbra não estão integradas na infraestrutura de comunicação de dados MANIPC. Cada uma dessas escolas terá uma ligação à Internet independente e distinta, não fazendo parte da rede metropolitana MANIPC que interliga as Unidades Orgânicas principais do IPC.

Artigo 27º - Requisitos para a Solução de Segurança

1. A solução de segurança deve ser um projeto integrado que abranja todas as unidades orgânicas do IPC, garantindo uma proteção robusta e eficiente contra ciberameaças. O sistema deve oferecer visibilidade completa dos incidentes de segurança e permitir uma gestão proativa e reativa eficaz. Deve incluir uma plataforma de gestão centralizada, capaz de monitorizar e responder a incidentes de forma rápida, reduzir significativamente o tempo de resposta e mitigar os riscos associados a ciberataques. A solução deve facilitar a aplicação de políticas de segurança consistentes e a implementação de melhorias e atualizações de maneira uniforme em toda a infraestrutura.

2. Os concorrentes devem apresentar propostas para o Lote B que proporcionem uma integração total, permitindo visibilidade e controle unificado de todos os incidentes de segurança. A solução deve incluir uma plataforma de gestão centralizada, capaz de recolher, analisar e reportar eventos de segurança de forma eficiente, além de suportar a aplicação de políticas de segurança consistentes em todas as unidades do IPC.

3. A solução para o Lote A, a firewall de perímetro, deve ser compatível e integrar de forma eficaz com a solução de segurança apresentada no Lote B, assegurando uma proteção coesa e abrangente para toda a rede do IPC.

4. A solução deve incluir um software de autenticação que suporte autenticação multifator (2FA), fornecendo uma camada adicional de segurança. Este software deve ser capaz de exigir múltiplas formas de verificação para confirmar a identidade dos utilizadores e ser compatível com a infraestrutura de segurança dos Lotes A e B. Deve integrar-se de maneira fluida e contribuir para uma abordagem de segurança unificada e robusta, oferecendo métodos flexíveis e seguros de autenticação multifator, como tokens físicos, aplicativos móveis e autenticação biométrica, garantindo uma proteção adicional contra acessos não autorizados.

5. Adicionalmente, o fabricante dos equipamentos propostos em ambos os lotes deve ter sido líder no quadrante de Enterprise Network Firewalls da Gartner nos últimos 5 anos.

Artigo 28º - Fundamentação da solução técnica propostas

Os concorrentes deverão apresentar uma solução técnica que observe as características, especificações e requisitos técnicos constantes do presente Caderno de Encargos, devendo apresentar uma descrição pormenorizada da arquitetura global do sistema.

SECÇÃO VIII - REQUISITOS TÉCNICOS DA SOLUÇÃO POR LOTE

Os vários lotes a concurso devem respeitar os requisitos técnicos definidos na presente secção.

Artigo 29º - Lote 1 – Firewall de perímetro

Cluster de Firewalls em alta disponibilidade para proteção do perímetro do IPC para a internet.

Características mínimas

Descrição	Requisito	Especificação
Hardware
Interfaces de rede	>=	4x 25G SFP28, 4x 10GE SFP+
Discos rígido SSD	>=	2 X 240 GB
Porta de gestão	=	Dedicada “Out of Band”
Porta de consola	=	RJ45
Arquitetura com recursos de hardware entre	=	Dedicados
os serviços de gestão e os serviços de inspeção
Fontes de alimentação	=	Redundantes
Performance

Débito da Firewall	>=	29 Gbps
Débito em modo de prevenção de ameaças	>=	10 Gbps
Débito de VPN IPsec	>=	12 Gbps
Débito de inspeção SSL	>=	9 Gbps
Número máximo de sessões	>=	2 200 000
Número de novas sessões por segundo	>=	220 000
Gestão e administração
Gestão e administração da firewall	=	Interface web, linha de comandos e API
Gestão de utilizadores	=	- Possibilidade de criar diferentes perfis com diferentes níveis de acessos e privilégios - Possibilidade criar perfis de administração que permita segmentar a gestão
		em diferentes tenants - Multi-tenancy
Gestão de configurações	=	- Possibilidade de visualizar e validar alterações à configuração antes de estas
		alterações serem aplicadas - Possibilidade de descartar alterações à configuração realizadas
Gestão de políticas	=	- Permitir ter políticas globais para toda infraestrutura instalada - Permitir criação de perfis/templates reutilizáveis
Gestão de registos (Logs)	=	- Possibilidade de armazenamento e análise local de logs - Possibilidade de envio de logs para sistemas externos
Análise de métricas	=	- Possibilidade de análise local de métricas de performance, eventos, etc.
		- Possibilidade de obtenção de dados de métricas e outro por SNMP
Rede e funcionamento em cluster
Modos de funcionamento das interfaces de rede	=	layer2 e layer3
Protocolos suportados	=	- IEEE 802.1Q - IEEE 802.1AX
		- RIP, OSPF, BGP
Serviços suportados	=	- routing estático
		- DHCP, NAT e PAT - Routing baseado no IP ou rede de origem - Suporte para TLS 1.3 e capacidade de desencriptar este tráfego
Alta disponibilidade	=	- Suporte de arquiteturas do tipo ativo/passivo e ativo/ativo
Identificação de Utilizadores
Tipos de autenticação	=	Integração com sistemas de diretórios como Microsoft Active Directory ou
		LDAP
Registos de utilização	=	Capacidade de analisar mensagens de SYSLOG com informação de LOGIN/LOGOUT para identificação de utilizadores
Funcionalidades Gerais de Segurança
Zonas	=	- Possibilidade de agrupar interfaces, formando diferentes zonas de segurança - Possibilidade de definir a política de segurança por zonas
Identificação de aplicações	=	- Capacidade de identificação de aplicações em layer7 - Possibilidade de agrupar aplicações de forma que as políticas de segurança
		sejam aplicadas por grupo de aplicações - Capacidade de criar regras de QoS segundo as aplicações utilizadas no
		tráfego - Assinaturas IPS, Deteção de Aplicações IM/Facebook
Proteção contar ameaças	=	- Inspeção de tráfego SSL, desencriptação SSL, TLS 1.3
IDS/IPS	=	- Capacidade de aplicar políticas de prevenção ou de deteção contra a exploração de vulnerabilidades
		- Possibilidade de aplicar diferentes perfis proteção contra exploração de vulnerabilidades
		- Possibilidade de categorizadas vulnerabilidades por tipo e por nível de risco
Antivírus & Anti-Malware	=	- Possibilidade de detetar equipamentos possivelmente comprometidos - Possibilidade de intercetar pedidos de resolução de nomes para domínios
		comprometidos - Possibilidade de inspecionar ficheiros e bloquear conteúdos
		potencialmente maliciosos - Possibilidade de bloquear a transferência de/para URLs categorizados como perigosos
		- Possibilidade de definir manualmente listas estáticas de URLs ou de IPs permitidos
Sandboxing e protecção Zero day	=	- Possibilidade de disponibilizar um serviço na cloud capaz de analisar de forma mais profunda ficheiros - Possibilidade de inspecionar protocolos como HTTP, HTTPS, SMTP, FTP,

		POP3 e IMAP
		- Incluir o suporte de ficheiros comprimidos
Data Loss Prevention	=	- A plataforma deve disponibilizar um módulo de Data Loss Prevention
		- Prevenir o upload de ficheiros com informação confidencial
Relatórios & Logs	=	- Capacidade gerar relatórios tanto predefinidos ou personalizados - Deve ser possível gerar relatórios de forma automática
		- Possibilidade de armazenar os logs localmente - Possibilidade de enviar logs para uma plataforma externa
Segurança de Superfície de Ataque	=	- Deteção de dispositivos IoT - Correlação de vulnerabilidade IoT e Virtual Patching
		- Classificação de segurança - Verificação de surto
Impacto ambiental
Certificação dos equipamentos	=	Blue Angel, Nordic Swan, EPEAT,
		TCO certified, o Rótulo Ecológico da UE, 80Plus ou equivalente;
Consumo máximo	<=	260 W
Licenciamento
Licenciamento sujeito a correta operação e	>=	- Firewall Aplicacional (Layer7);
atualização		- Controlo de utilizadores; - Prevenção de ameaças de acordo com os requisitos definidos para
		“Sandboxing”; - IDS/IPS; - Antivírus & Anti-Malware;
		- URL Filtering; - Analise de eventos; - Reporting;
		- DLP; - Segurança de Superfície de Ataque;
Duração	=	36 meses
Serviços
Serviço de Instalação e migração	=	- Serviço de levantamento, análise da configuração atual, design de arquitetura, instalação, configuração, migração de políticas, integração,
		testes, formação documentação e suporte pós-implementação;
Retoma de Equipamentos	-	O concorrente deve apresentar uma solução para a retoma dos equipamentos existentes na instituição: 2 X Firewall PA-5200

Artigo 30º - Lote 2 - Firewall para as unidades orgânicas

Item 1 – Firewall para os serviços centrais

Cluster de alta disponibilidade e performance elevada para suporte de operações dos Serviços Centrais. Gestão centralizada e correlação de eventos de segurança.

Características mínimas

Descrição	Requisito	Especificação
Hardware	>=	4x 10GE SFP+
Interfaces de rede	>=	4x 10GE SFP+
Discos rígido SSD	>=	2 X 240 GB
Porta de gestão	=	Dedicada “Out of Band”
Porta de consola	=	RJ45
Arquitetura com recursos de hardware entre os serviços de gestão e os serviços de inspeção	=	Dedicados
Fontes de alimentação	=	Redundantes
Performance
Débito da Firewall	>=	29 Gbps
Débito em modo de prevenção de ameaças	>=	9 Gbps
Débito de VPN IPsec	>=	10 Gbps

Débito de inspeção SSL	>=	8 Gbps
Número máximo de sessões	>=	2 200 000
Número de novas sessões por segundo	>=	220 000
Gestão e administração
Gestão e administração da firewall	=	Interface web, linha de comandos e API
Gestão de utilizadores	=	- Possibilidade de criar diferentes perfis com diferentes níveis de privilégios
		- Possibilidade criar perfis de administração que permita segmentar a gestão em diferentes tenants - Multi-tenancy
Gestão de configurações	=	- Possibilidade de visualizar e validar alterações à configuração antes de estas
		alterações serem aplicadas - Possibilidade de descartar alterações à configuração realizadas
Gestão de políticas	=	- Permitir ter políticas globais para toda infraestrutura instalada - Permitir criação de perfis/templates reutilizáveis
Gestão de registos (Logs)	=	- Possibilidade de armazenamento e análise local de logs - Possibilidade de envio de logs para sistemas externos
Análise de métricas	=	- Possibilidade de análise local de métricas de performance, eventos, etc. - Possibilidade de obtenção de dados de métricas e outro por SNMP
Rede e funcionamento em cluster
Modos de funcionamento das interfaces de	=	- layer2 e layer3
rede
Protocolos suportados	=	- IEEE 802.1Q
		- IEEE 802.1AX - RIP, OSPF, BGP
Serviços suportados	=	- Routing estático
		- DHCP, NAT e PAT - Routing baseado no IP ou rede de origem
		- Suporte para TLS 1.3 e capacidade de desencriptar este tráfego
Alta disponibilidade	=	- Suporte de arquiteturas do tipo ativo/passivo e ativo/ativo
Identificação de Utilizadores
Tipos de autenticação	=	- Integração com sistemas de diretórios como Microsoft Active Directory ou LDAP
Registos de utilização	=	- Capacidade de analisar mensagens de SYSLOG com informação de LOGIN/LOGOUT para identificação de utilizadores
Funcionalidades Gerais de Segurança
Zonas	=	- Possibilidade de agrupar interfaces, formando diferentes zonas de segurança
		- Possibilidade de definir a política de segurança por zonas
Identificação de aplicações	=	- Capacidade de identificação de aplicações em layer7
		- Possibilidade de agrupar aplicações de forma que as políticas de segurança sejam aplicadas por grupo de aplicações
		- Capacidade de criar regras de QoS segundo as aplicações utilizadas no tráfego
IDS/IPS	=	- Capacidade de aplicar políticas de prevenção ou de deteção contra a exploração de vulnerabilidades
		- Possibilidade de aplicar diferentes perfis proteção contra exploração de vulnerabilidades
		- Possibilidade de categorizadas vulnerabilidades por tipo e por nível de risco
Antivírus & Anti-Malware	=	- Possibilidade de detetar equipamentos possivelmente comprometidos
		- Possibilidade de intercetar pedidos de resolução de nomes para domínios comprometidos - Possibilidade de inspecionar ficheiros e bloquear conteúdos potencialmente
		maliciosos - Possibilidade de bloquear a transferência de/para URLs categorizados como perigosos
		- Possibilidade de definir manualmente listas estáticas de URLs ou de IPs permitidos
Sandboxing e protecção Zero day	=	- Possibilidade de disponibilizar um serviço na cloud capaz de analisar de forma mais profunda ficheiros
		- Possibilidade de inspecionar protocolos como HTTP, HTTPS, SMTP, FTP, POP3 e IMAP - Incluir o suporte de ficheiros comprimidos
Data Loss Prevention	=	- A plataforma deve disponibilizar um módulo de Data Loss Prevention - Prevenir o upload de ficheiros com informação confidencial
Relatórios & Logs	=	- Capacidade gerar relatórios tanto predefinidos ou personalizados - Deve ser possível gerar relatórios de forma automática - Possibilidade de armazenar os logs localmente
		- Possibilidade de enviar logs para uma plataforma externa
Impacto ambiental

Certificação dos equipamentos	=	Blue Angel, Nordic Swan, EPEAT, TCO certified, o Rótulo Ecológico da UE, 80Plus ou equivalente;
Consumo máximo	<=	197 W
Licenciamento
Licenciamento sujeito a correta operação e	>=	- Firewall Aplicacional (Layer7);
atualização		- Controlo de utilizadores; - Prevenção de ameaças de acordo com os requisitos definidos para
		“Sandboxing”; - IDS/IPS; - Antivírus & Anti-Malware;
Duração	=	36 meses
Gestão e analítica
Gestão	=	Possibilidade de ser gerido pelo software especificado em Item 3 – Software de
		gestão
Analítica	=	Possibilidade de envio de logs para análise para o software especificado em Item 4 – Software de análise
Serviços
Serviço de Instalação e migração	=	- Serviço de levantamento, análise da configuração atual, design de arquitetura, instalação, configuração, migração de políticas, integração, testes, formação documentação e suporte pós-implementação;

Item 2 – Firewall para unidades orgânicas

Nove (9) firewalls para as Unidades Orgânicas de Ensino do IPC de acordo com as seguintes características. Deve ser fornecido um décimo equipamento de spare idêntico em características técnicas, sem licenciamento de serviços de segurança e com suporte exclusivo do fabricante.

Características mínimas

Descrição	Requisito	Especificação
Hardware
Interfaces de rede	>=	2x 10GE SFP+
Performance
Débito da Firewall	>=	8.5 Gbps
Débito em modo de prevenção de ameaças	>=	2.2 Gbps
Débito de VPN IPsec	>=	4.1 Gbps
Débito de inspeção SSL	>=	2.6 Gbps
Número máximo de sessões	>=	945 000
Número de novas sessões por segundo	>=	100 000
Gestão e administração
Gestão e administração da firewall	=	Interface web, linha de comandos e API
Gestão de utilizadores	=	-Possibilidade de criar diferentes perfis com diferentes níveis de privilégios -Possibilidade criar perfis de administração que permita segmentar
		a gestão em diferentes tenants - Multi-tenancy
Gestão de configurações	=	-Possibilidade de visualizar e validar alterações à configuração
		antes de estas alterações serem aplicadas - Possibilidade de descartar alterações à configuração realizadas
Gestão de políticas	=	- Permitir ter políticas globais para toda infraestrutura instalada - Permitir criação de perfis/templates reutilizáveis
Gestão de registos (Logs)	=	- Possibilidade de armazenamento e análise local de logs - Possibilidade de envio de logs para sistemas externos
Análise de métricas	=	- Possibilidade de análise local de métricas de performance,
		eventos, etc. - Possibilidade de obtenção de dados de métricas e outro por
		SNMP
Rede e funcionamento em cluster
Modos de funcionamento das interfaces de rede	=	layer2 e layer3
Protocolos suportados	=	- IEEE 802.1Q
		- IEEE 802.1AX

		- RIP, OSPF, BGP
Serviços suportados	=	- Routing estático - DHCP, NAT e PAT
		- Routing baseado no IP ou rede de origem - Suporte para TLS 1.3 e capacidade de desencriptar este tráfego
Alta disponibilidade	=	Suporte de arquiteturas do tipo ativo/passivo e ativo/ativo
Identificação de Utilizadores
Tipos de autenticação	=	Integração com sistemas de diretórios como Microsoft Active Directory ou LDAP
Registos de utilização	=	Capacidade de analisar mensagens de SYSLOG com informação de LOGIN/LOGOUT para identificação de utilizadores
Funcionalidades Gerais de Segurança
Zonas	=	-Possibilidade de agrupar interfaces, formando diferentes zonas de
		segurança -Possibilidade de definir a política de segurança por zonas
Identificação de aplicações	=	-Capacidade de identificação de aplicações em layer7 -Possibilidade de agrupar aplicações de forma que as políticas de segurança sejam aplicadas por grupo de aplicações
		-Capacidade de criar regras de QoS segundo as aplicações utilizadas no tráfego
IDS/IPS	=	- Capacidade de aplicar políticas de prevenção ou de deteção contra a exploração de vulnerabilidades - Possibilidade de aplicar diferentes perfis proteção contra
		exploração de vulnerabilidades - Possibilidade de categorizadas vulnerabilidades por tipo e por
		nível de risco
Antivírus & Anti-Malware	=	- Possibilidade de detetar equipamentos possivelmente
		comprometidos - Possibilidade de intercetar pedidos de resolução de nomes para domínios comprometidos
		- Possibilidade de inspecionar ficheiros e bloquear conteúdos potencialmente maliciosos - Possibilidade de bloquear a transferência de/para URLs
		categorizados como perigosos - Possibilidade de definir manualmente listas estáticas de URLs ou
		de IPs permitidos
Sandboxing e protecção Zero day	=	- Possibilidade de disponibilizar um serviço na cloud capaz de analisar de forma mais profunda ficheiros
		- Possibilidade de inspecionar protocolos como HTTP, HTTPS, SMTP, FTP, POP3 e IMAP
		- Incluir o suporte de ficheiros comprimidos
Data Loss Prevention	=	- A plataforma deve disponibilizar um módulo de Data Loss
		Prevention - Prevenir o upload de ficheiros com informação confidencial
Relatórios & Logs	=	- Capacidade gerar relatórios tanto predefinidos ou personalizados
		- Deve ser possível gerar relatórios de forma automática - Possibilidade de armazenar os logs localmente
		- Possibilidade de enviar logs para uma plataforma externa
Impacto ambiental
Certificação dos equipamentos	=	Blue Angel, Nordic Swan, EPEAT, TCO certified, o Rótulo Ecológico da UE, 80Plus ou equivalente;
Consumo máximo	<=	290 W
Licenciamento
Licenciamento sujeito a correta operação e atualização	>=	- Firewall Aplicacional (Layer7); - Controlo de utilizadores;
		- Prevenção de ameaças de acordo com os requisitos definidos para “Sandboxing”;
		- IDS/IPS; - Antivírus & Anti-Malware;
Duração	=	36 meses
Gestão e analítica
Gestão	=	Possibilidade de ser gertido pelo software especificado em Item 3 – Software de gestão
Analítica	=	Possibilidade de envio de logs para análise para o software especificado em Item 4 – Software de análise

Serviços

Serviço de Instalação e migração = - Serviço de levantamento, análise da configuração atual, design de arquitetura, instalação, configuração, migração de políticas, integração, testes, formação documentação e suporte pós- implementação;

Item 3 – Software de gestão Características mínimas
Descrição	Requisito	Especificação
Modo de gestão	=	Deve permitir a gestão centralizada dos itens 1 e 2, a partir de uma consola única
Número de dispositivos geridos	>=	20
Capacidade de análise de registos	>=	2 Gb por dia

Item 4 – Software de análise

Características mínimas

Descrição	Requisito	Especificação
Capacidade de análise de registos	>=	25 Gb
Funcionalidades	=	- Capacidade de correlacionar eventos
		- Capacidade de deteção em tempo real - Possibilidade de fornecer indicadores de compromisso - Possibilidade criar perfis de administração que permita segmentar a gestão em diferentes
		tenants- Multi-tenancy

- Possibilidade de deteção de surtos (outbreak)

Artigo 31º - Lote 3 – Software de autenticação

Item 1 – Software de autenticação

Características mínimas

Descrição	Requisito	Especificação
Número de utilizadores licenciados	>=	1100
Funcionalidades	=	Integração com sistemas de autenticação Active Directory, LDAP e RADIUS
		Capacidade de criação de políticas de segurança com base na identidade ou função/grupo Suporte para autenticação multi fator e integração com tokens OTP Suporte para IEEE802.1X

Suporte para SSO web SAML

Item 2 – Tokens de autenticação

Características mínimas

Descrição

Requisito

Especificação

Funcionalidades

- Software de geração de passwords/tokens one-time para dispositivos móveis iOS, Android e Windows

Phone

- Licenciamento perpétuo e transferências entre dispositivos ilimitadas

- Integrado e gerido pelo software de autenticação do item 1

SECÇÃO IX - SERVIÇOS DE INSTALAÇÃO, MIGRAÇÃO E SUPORTE TÉCNICO

Artigo 32º - Serviços de Instalação e Migração

Os serviços a prestar no âmbito da implementação da solução, deverão ser os seguintes:

1. Instalação dos equipamentos físicos nos seguintes locais:

a) Área técnica localizada no Instituto Superior de Engenharia de Coimbra (ISEC), sito na Xxx Xxxxx Xxxxx – Xxxxxx xx Xxxx, 0000 – 000 Xxxxxxx;

b) Área Técnica localizada nas Residências R1/R2, sito em Rua da Escola Agrária – S. Xxxxxxxx do Bispo; 3044-195 Coimbra;

2. Operacionalização dos equipamentos para funcionarem em modo cluster de alta disponibilidade (HA), para as firewall previstas no - Lote 1 – Firewall de perímetro e Lote B -Item 1 – Firewall para os serviços centrais;

3. Operacionalização dos equipamentos do Lote B Item 2 e 3;

4. Integração da dos equipamentos físicos com o software de gestão, análise e autenticação nos casos identificados em sede de projeto;

5. Migração das regras existentes (políticas de segurança e NAT) nas atuais soluções de firewall, em operação em cada uma das UO, caso essa necessidade seja evidenciada em sede de projeto;

6. Formação, com um mínimo de 3 dias de duração, destinada às equipas técnicas do IPC, de forma a habilitá-las na utilização das principais funções da solução;

Artigo 33º - Serviços de Suporte Técnico

1. O contrato a celebrar na sequência do presente procedimento deverá incluir uma bolsa de 100h de suporte técnico.

2. A entidade adjudicante prevê para a utilização das horas previstas no número 1 a execução/operacionalização das seguintes atividades/tarefas:

a. Ajustes e adaptação das configurações iniciais;

3. Sem prejuízo das tarefas mencionadas no número anterior, a entidade adjudicante poderá solicitar apoio para a execução/desenvolvimento de outras tarefas não previstas.

Artigo 34º - Forma de Prestação dos serviços de suporte

Os serviços de suporte técnico objeto do presente contrato podem ser executados nas instalações do adjudicatário, sendo que a entidade adjudicante garantirá o acesso remoto aos sistemas via VPN ou outro mecanismo que garanta a segurança no acesso.

Artigo 35º - SLA dos Serviços de Suporte

1. Tempo máximo entre a abertura de um pedido de suporte no adjudicatário e o inico da sua Resolução:

	SLA - Service Level Agreement
Incidente		Intervenção
Crítico (Prioridade = 1)		< 04:00 h
Elevado (Prioridade = 2)		< 12:00 h
Moderado (Prioridade = 3)		< 24:00 h
Leve (Prioridade = 4)		< 48:00 h
Informativo (Prioridade = 5)		> 48:00 h e < 168:00 h

(1) caberá ao adjudicatário avaliar se é necessário deslocar um técnico ao local ou se poderá prestar a informação por meio eletrónico alternativo.

a. Sendo que a prioridade dos incidentes e pedidos de serviço deverá ser determinado em função do impacto e urgência dos mesmos de acordo com os seguintes níveis:

Prioridade

1 - Critico Exige um esforço imediato e sustentado, utilizando todos os recursos disponíveis até resolvido;

2 - Elevado Os técnicos deverão responder imediatamente, avaliar a situação, e utilizar todos os recursos disponíveis até resolvido;

3 - Moderado Os técnicos deverão responder imediatamente, avaliar a situação, e poderão interromper outras atividades de resolução de prioridade inferior;

4 - Leve Resposta utilizando os procedimentos normalizados e operando sob a estrutura de supervisão normal;

5 - Informativo Resposta utilizando os procedimentos normalizados tendo em conta o tempo disponível;

b. Assim, a determinação da prioridade dos incidentes e pedidos de serviço deverão ser baseados na seguinte tabela:

Impacto

5	4	3
4	3	2
3	2	1

Xxxx Xxxxx Elevado

Urgência

Xxxx Xxxxx Elevado

i. Sendo que o impacto é a medida de quanto um incidente é critico para o funcionamento da entidade adjudicante. Deve ser quantificado de forma proporcional ao número de utilizadores afetados pelo incidente de acordo com os seguintes níveis:

Impacto

1 - Elevado

Interrupção do acesso à internet de um grupo alargado de elementos da comunidade do IPC. Mais de 1 UO afetada pela interrupção de serviço.

Interrupção do acesso à internet que afete todos os de elementos da comunidade do IPC.

2 - Médio

Interrupção do acesso à internet de um grupo alargado de elementos da comunidade do IPC. Uma UO afetada pela interrupção de serviço.

Interrupção/bloqueio na disponibilização de um ou vários serviços a todas as UO.

3 - Leve Serviço operacional, mas com implicações na performance da solução.

ii. A urgência é a velocidade necessária para resolver um incidente:

Urgência

1 - Elevado É extremamente urgente, tem de ser solucionado o mais depressa possível;

2 - Médio Requer solução rápida, mas pode ser solucionado com alguma margem de tempo;

3 - Leve

Baixa urgência na intervenção. Resolução até ao máximo de 48 horas.

ANEXO I – TRATAMENTO DE DADOS PESSOAIS NO ÂMBITO DO CONTRATO

1. Categoria de dados sujeito a tratamento no âmbito do presente contrato são as seguintes:

a. Dados de Tráfego (endereços IP e localização);

b. Logs de Acesso (que correlacionados podem conter dados sensíveis);

2. As categorias de titulares dos dados pessoais sujeitas a tratamento no âmbito da execução do contrato são as seguintes:

a. Toda a comunidade IPC;

3. O tratamento dos dados pessoais identificados no n.1 está, no âmbito da execução do presente contrato, limitado às seguintes finalidades, atividades de tratamento e respetivas funções:

Finalidades de Tratamento Atividades de Tratamento Prazo de conservação

- Instalação e configuração de

- Migração de regras de firewall;

firewalls

- Testes de acesso;

- Análise de Logs

- 30 dias após a Migração de regras;

- 15 dias após resolução de incidente/anomalia

Document Metadata

Table of Contents

ÍNDICE DO CADERNO DE ENCARGOS

Document Metadata