Contract
PROCESSO | Nº 78.748/2024 - SEMIT |
OBJETO | Constitui objeto deste Edital, a contratação, na modalidade de registro de preço, de empresa especializada para prestação de serviços de solução integrada de segurança da informação para Plataforma de Gestão de Exposições, Simulação de Ataques e Conformidade de Defesas Cibernéticas, assim como solução de desenvolvimento seguro, objetivando ampliar a segurança da rede, sistemas, arquivos e dos ativos da PMS, por 12 (doze) meses, contemplando serviço de instalação, treinamento, configuração, gerenciamento, monitoramento e suporte on-site e atualização das soluções, garantias de conformidade e resposta a incidentes para a equipe da CONTRATANTE, de acordo com a conveniência e necessidade dos órgãos e entidades da Prefeitura Municipal do Salvador – PMS. |
TIPO DE LICITAÇÃO | MENOR PREÇO |
MODO DE DISPUSTA | ABERTO E FECHADO |
RECEBIMENTO DAS PROPOSTAS | DATA: 03/07/2024 HORA: 08:00 horas – HORÁRIO DE BRASÍLIA |
ABERTURA DAS PROPOSTAS | DATA: 11/07/2024 HORA: 09:00 horas – HORÁRIO DE BRASÍLIA |
INÍCIO DA SESSÃO DE DISPUTA DE PREÇOS | DATA: 11/07/2024 HORA: 10:00 horas – HORÁRIO DE BRASÍLIA LOCAL: XXX.XXXXXXXXXX-X.XXX.XX |
TELEFONE CNPJ SEMIT | (00) 0000-0000 00.000.000/0035-98 |
EDITAL DE PREGÃO ELETRÔNICO Nº 010/2024 SISTEMA DE REGISTRO DE PREÇOS
SECRETARIA DE INOVAÇÃO E TECNOLOGIA DE SALVADOR
A PREFEITURA MUNICIPAL DE SALVADOR, por intermédio da Secretaria Municipal de Inovação e Tecnologia – SEMIT, inscrita no CNPJ sob nº 13.927.801/0035-98, levam ao conhecimento dos interessados que realizará licitação na modalidade PREGÃO ELETRÔNICO, tipo menor preço, autorizada no processo nº 78748/2024 – SEMIT, nos termos da Lei nº 14.133, de 1º de abril de 2021, e posteriores dispositivos relacionados, bem como nos termos das condições e exigências estabelecidas neste instrumento convocatório e anexos, conforme abaixo informado.
As quantidades constantes no Termo de Referência são estimativas de consumo, não se obrigando a PREFEITURA MUNICIPAL DE SALVADOR à aquisição/contratação.
Modalidade: Pregão Eletrônico: Registro de Preços
Critério de Julgamento: Menor Preço por Lote
Data da sessão: 11/07/2024 Horário: 10:00 horas Formatação: Eletrônica
Endereço: xxx.xxxxxxxxxx-x.xxx.xx
Modo de disputa: Aberto e Fechado
1 DO OBJETO
1.1 Constitui objeto deste Edital, a contratação, na modalidade de registro de preço, de empresa especializada para prestação de serviços de solução integrada de segurança da informação para Plataforma de Gestão de Exposições, Simulação de Ataques e Conformidade de Defesas Cibernéticas, assim como solução de desenvolvimento seguro, objetivando ampliar a segurança da rede, sistemas, arquivos e dos ativos da PMS, por 12 (doze) meses, contemplando serviço de instalação, treinamento, configuração, gerenciamento, monitoramento e suporte on-site e atualização das soluções, garantias de conformidade e resposta a incidentes para a equipe da CONTRATANTE, de acordo com a conveniência e necessidade dos órgãos e entidades da Prefeitura Municipal do Salvador – PMS.
1.2 A presente licitação será realizada na modalidade de pregão eletrônico, com sistema de registro de preço, de acordo com o arrimado pelo art. 6º, incisos XLI e XLV; art. 28, inciso I; art. 29, parágrafo único, e art. 82, todos da Lei n.º 14.133/2021, bem como no Decreto Municipal n.º 38.051/2023, considerando a oportunidade de maior concorrência e competitividade aos interessados, a fim de oportunizar, igualmente, maior vantajosidade e economicidade ao ente público ordenador na
escala de preços a serem ofertados, bem como pela oportunidade de descentralização operacional da Secretaria de Inovação e Tecnologia de Salvador, viabilizando efetividade para concomitância da execução.
1.3 O critério de julgamento adotado será o menor preço, nos termos do art. 6º, inciso XLI, da Lei n.º 14.133/2021, observadas as exigências contidas neste Edital e seus Anexos quanto às especificações do objeto.
1.4 A sessão virtual do pregão eletrônico será realizada no seguinte endereço: xxx.xxxxxxxxxx-x.xxx.xx, no dia 11/07/2024, às 10:00, podendo as propostas e os documentos serem enviados até às 09:00 horas deste mesmo dia, sendo que todas as referências de tempo observam o horário de Brasília.
2 DAS DESPESAS E ORGÃOS PARTICIPANTES
2.1 As despesas decorrentes da execução da presente licitação correrão à conta dos recursos consignados ao orçamento dos órgãos indicados abaixo, do presente exercício, devidamente ajustadas nas dotações do exercício subsequente, impondo-se sempre que seja providenciada a prévia dotação orçamentária e, se cabível, o respectivo pré-empenho antes da celebração de qualquer contratação a ser efetivada em decorrência da presente licitação.
2.1.1 Agência Reguladora e Fiscalizadora dos Serviços Públicos de Salvador –
ARSAL
2.1.2 Casa Civil
2.1.3 Controladoria Geral do Município de Salvador – CGM
2.1.4 Defesa Civil de Salvador – CODESAL
2.1.5 Fundação Cidade Mãe – FCM
2.1.6 Fundação Xxxxxxxx xx Xxxxx – FGM
2.1.7 Fundação Xxxxx Xxxx Xxxxxxxx – FMLF
2.1.8 Gabinete do Vice-Prefeito – GABVP
2.1.9 Guarda Civil Municipal - GCM
2.1.10 Procuradoria Geral do Município do Salvador – PGMS
2.1.11 Secretaria do Governo – SEGOV
2.1.12 Secretaria Municipal da Comunicação – SECOM
2.1.13 Secretaria Municipal da Educação – SMED
2.1.14 Secretaria Municipal da Fazenda – SEFAZ
2.1.15 Secretaria Municipal da Saúde – SMS
2.1.16 Secretaria Municipal de Cultura e Turismo – SECULT
2.1.17 Secretaria Municipal de Desenvolvimento Econômico, Emprego e Renda
– SEMDEC
2.1.18 Secretaria Municipal de Desenvolvimento Urbano – SEDUR
2.1.19 Secretaria Municipal de Gestão – SEMGE
2.1.20 Secretaria Municipal de Infraestrutura e Obras Públicas – SEINFRA
2.1.21 Secretaria Municipal de Inovação e Tecnologia – SEMIT
2.1.22 Secretaria Municipal de Manutenção da Cidade – SEMAN
2.1.23 Secretaria Municipal de Mobilidade – SEMOB
2.1.24 Secretaria Municipal de Ordem Pública – SEMOP
2.1.25 Secretaria Municipal de Políticas para Mulheres, Infância e Juventude –
SPMJ
2.1.26 Secretaria Municipal de Promoção Social, Combate à Pobreza, Esportes e Lazer – SEMPRE
2.1.27 Secretaria Municipal de Reparação – SEMUR
2.1.28 Secretaria Municipal de Sustentabilidade, Resiliência, Bem-estar e Proteção Animal– SECIS
2.1.29 Superintendência de Obras Públicas de Salvador – SUCOP
2.1.30 Superintendência de Trânsito de Salvador – TRANSALVADOR
2.2 O órgão gerenciador será a Secretaria Municipal de Inovação e Tecnologia – SEMIT.
2.3 Serão participantes os órgãos e entidades da Prefeitura Municipal de Salvador – PMS informados acima.
2.4 Fica facultado ao Município do Salvador, permitir durante a vigência da ata, os órgãos e as entidades da Administração Pública federal, estadual, distrital e municipal que não participaram do procedimento de IRP, poderão aderir à ata de registro de preços na condição de não participantes, desde que devidamente justificada a vantagem e com anuência do órgão gerenciador.
2.5 As contratações que trata o item anterior não poderão exceder, por órgão ou entidade, a 50% (cinquenta por cento) dos quantitativos dos itens do instrumento convocatório registrados na ata de registro de preços para o órgão gerenciador e para os órgãos participantes (§ 4º do artigo 86, da Lei n.º 14.133/2021).
2.6 O órgão gerenciador somente poderá autorizar adesão à ata após a primeira aquisição ou contratação por órgão integrante da ata, exceto quando, justificadamente, não houver previsão no edital para aquisição ou contratação pelo órgão gerenciador.
2.7 Após a autorização do órgão gerenciador, o órgão não participante deverá efetivar a aquisição ou contratação solicitada em até noventa dias, observado o prazo de vigência da ata.
2.8 Compete ao órgão não participante os atos relativos à cobrança do cumprimento pelo fornecedor das obrigações contratualmente assumidas e a aplicação, observada a ampla defesa e o contraditório, de eventuais penalidades decorrentes do descumprimento de cláusulas contratuais, em relação às suas próprias contratações, informando as ocorrências ao órgão gerenciador.
3 DO PARTICIPAÇÃO NA LICITAÇÃO
3.1 Poderão participar deste Pregão os interessados que estiverem previamente credenciados no Sistema de Compras eletrônico do Banco do Brasil Licitações.
3.1.1 Os interessados deverão atender às condições exigidas no cadastramento no Sistema de Compras eletrônico indicado no caput, até o terceiro dia útil anterior à data prevista para recebimento das propostas.
3.2 O licitante responsabiliza-se exclusiva e formalmente pelas transações efetuadas em seu nome, assume como firmes e verdadeiras suas propostas e seus lances, inclusive os atos praticados diretamente ou por seu representante, excluída a responsabilidade do provedor do sistema ou do órgão ou entidade promotora da licitação por eventuais danos decorrentes de uso indevido das credenciais de acesso, ainda que por terceiros.
3.3 É de responsabilidade do cadastrado conferir a exatidão dos seus dados cadastrais nos Sistemas relacionados no item anterior e mantê-los atualizados junto aos órgãos responsáveis pela informação, devendo proceder, imediatamente, à correção ou à alteração dos registros tão logo identifique incorreção ou aqueles se tornem desatualizados.
3.4 A não observância do disposto no subitem anterior poderá ensejar desclassificação no momento da habilitação.
3.5 Será concedido tratamento favorecido para as Microempresas - ME e Empresas de Pequeno Porte - EPP, para as sociedades cooperativas mencionadas no artigo 16 da Lei nº 14.133/2021, para o agricultor familiar, o produtor rural pessoa física e para o Microempreendedor Individual - MEI, nos limites previstos da Lei Complementar nº 123/2006.
3.5.1 A obtenção do benefício a que se refere o item anterior fica limitada às Microempresas - ME e às Empresas de Pequeno Porte - EPP que, no ano- calendário de realização da licitação, ainda não tenham celebrado contratos com a Administração Pública cujos valores somados extrapolem a receita bruta máxima admitida para fins de enquadramento como Empresa de Pequeno Porte - EPP
3.6 Não poderá disputar esta licitação:
i. aquele que não atenda às condições deste Edital e seu (s) anexo(s);
ii. autor do anteprojeto, do projeto básico ou do projeto executivo, pessoa física ou jurídica, quando a licitação versar sobre serviços ou fornecimento de bens a ele relacionados;
iii. técnico ou subcontratado, quando a licitação versar sobre serviços ou fornecimento de bens a ela necessários;
iv. pessoa física ou jurídica que se encontre, ao tempo da licitação, impossibilitada de participar da licitação em decorrência de sanção que lhe foi imposta;
v. aquele que mantenha vínculo de natureza técnica, comercial, econômica, financeira, trabalhista ou civil com dirigente do órgão ou entidade contratante ou com agente público que desempenhe função na licitação ou atue na fiscalização ou na gestão do contrato, ou que deles seja cônjuge, companheiro ou parente em linha reta, colateral ou por afinidade, até o terceiro grau;
vi. empresas controladoras, controladas ou coligadas, nos termos da Lei nº 6.404, de 15 de dezembro de 1976, concorrendo entre si;
vii. pessoa física ou jurídica que, nos 5 (cinco) anos anteriores à divulgação do Edital, tenha sido condenada judicialmente, com trânsito em julgado, por exploração de trabalho infantil, por submissão de trabalhadores a condições análogas às de escravo ou por contratação de adolescentes nos casos vedados pela legislação trabalhista;
viii. agente público do órgão ou entidade licitante;
ix. Organizações da Sociedade Civil de Interesse Público - OSCIP, atuando nessa condição.
3.6.1 Não poderá participar, direta ou indiretamente, da licitação ou da execução do contrato agente público do órgão ou entidade contratante, devendo ser observadas as situações que possam configurar conflito de interesses no exercício ou após o exercício do cargo ou emprego, nos termos da legislação que disciplina a matéria, conforme § 1º do art. 9º da Lei n.º 14.133/2021.
3.7 O impedimento de que trata o inciso IV do item 3.6 será também aplicado ao licitante que atue em substituição a outra pessoa, física ou jurídica, com o intuito de burlar a efetividade da sanção a ela aplicada, inclusive a sua controladora, controlada ou coligada, desde que devidamente comprovado o ilícito ou a utilização fraudulenta da personalidade jurídica do licitante.
3.8 A critério da Administração e exclusivamente a seu serviço, o autor dos projetos e a empresa a que se referem o inciso II do item 3.6 poderão participar no apoio das atividades de planejamento da contratação, de execução da licitação ou de gestão do contrato, desde que sob supervisão exclusiva de agentes públicos do órgão ou entidade.
3.8.1 Equiparam-se aos autores do projeto as empresas integrantes do mesmo grupo econômico.
3.9 O disposto no inciso II do item 3.7 não impede a licitação ou a contratação de serviço que inclua como encargo do contratado a elaboração do projeto básico e do projeto executivo, nas contratações integradas, e do projeto executivo, nos demais regimes de execução.
3.10 Em licitações e contratações realizadas no âmbito de projetos e programas parcialmente financiados por agência oficial de cooperação estrangeira ou por organismo financeiro internacional com recursos do financiamento ou da contrapartida nacional, não poderá participar pessoa física ou jurídica que integre o rol de pessoas sancionadas por essas entidades ou que seja declarada inidônea nos termos da Lei nº 14.133/2021. A declaração falsa relativa ao cumprimento de qualquer condição sujeitará o licitante às sanções previstas em lei e neste Edital.
3.11 A vedação de que trata o inciso VIII do item 3.6 estende-se a terceiro que auxilie a condução da contratação na qualidade de integrante de equipe de apoio, profissional especializado ou funcionário ou representante de empresa que preste assessoria técnica.
4 DA APRESENTAÇÃO DA PROPOSTA E DOS DOCUMENTOS DE HABILITAÇÃO
4.1 Os licitantes encaminharão, exclusivamente por meio do sistema eletrônico, a proposta com o preço ou o percentual de desconto, conforme o critério de julgamento adotado neste Edital, até a data e o horário estabelecidos para abertura da sessão pública.
4.2 No cadastramento da proposta inicial, o licitante declarará, em campo próprio do sistema:
4.2.1 que está ciente e concorda com as condições contidas no Edital e seus anexos, bem como de que a proposta apresentada compreende a integralidade dos custos para atendimento dos direitos trabalhistas assegurados na Constituição Federal, nas leis trabalhistas, nas normas infralegais, nas convenções coletivas de trabalho e nos termos de ajustamento de conduta vigentes na data de sua entrega em definitivo e que cumpre plenamente os requisitos de habilitação definidos no instrumento convocatório;
4.2.2 que não emprega menor de 18 anos em trabalho noturno, perigoso ou insalubre, e não emprega menor de 16 anos, salvo menor, a partir de 14 (quatorze) anos, na condição de aprendiz, nos termos do artigo 7°, XXXIII, da Constituição Federal;
4.2.3 que não possui, em sua cadeia produtiva, empregados executando trabalho degradante ou forçado, observando o disposto nos incisos III e IV do art. 1º e no inciso III do art. 5º da Constituição Federal;
4.2.4 que cumpre as exigências de reserva de cargos para pessoa com deficiência e para reabilitado da Previdência Social, previstas em lei e em outras normas específicas.
4.3 O licitante organizado em cooperativa deverá declarar, ainda, em campo próprio do sistema eletrônico, que cumpre os requisitos estabelecidos no artigo 16 da Lei nº 14.133/2021.
4.4 O fornecedor enquadrado como microempresa - ME, empresa de pequeno porte - EPP ou sociedade cooperativa deverá declarar, ainda, em campo próprio do sistema eletrônico, que cumpre os requisitos estabelecidos no artigo 3° da Lei Complementar nº 123/2006, estando apto a usufruir do tratamento favorecido estabelecido em seus Arts. 42 a 49, observado o disposto nos §§ 1º ao 3º do art. 4º, da Lei nº 14.133/2021.
4.4.1 Nos itens em que a participação não for exclusiva para microempresas - ME e empresas de pequeno porte - EPP, a assinalação do campo “não” apenas produzirá o efeito de o licitante não ter direito ao tratamento favorecido previsto na Lei Complementar nº 123/2006, mesmo que microempresa - ME, empresa de pequeno porte - EPP ou sociedade cooperativa.
4.5 A falsidade da declaração de que trata os itens 4.4 e 4.6 sujeitará o licitante às sanções previstas na Lei nº 14.133/2021, e neste Edital.
4.6 Serão disponibilizados para acesso público os documentos que compõem a proposta dos licitantes convocados para apresentação de propostas, após a fase de envio de lances.
4.7 Desde que disponibilizada a funcionalidade no sistema, o licitante poderá parametrizar o seu valor final mínimo ou o seu percentual de desconto máximo quando do cadastramento da proposta e obedecerá às seguintes regras:
I. a aplicação do intervalo mínimo de diferença de valores ou de percentuais entre os lances, que incidirá tanto em relação aos lances intermediários quanto em relação ao lance que cobrir a melhor oferta; e
II. os lances serão de envio automático pelo sistema, respeitado o valor final mínimo estabelecido e o intervalo de que trata o subitem acima.
4.8 O valor final mínimo ou o percentual de desconto final máximo parametrizado no sistema poderá ser alterado pelo fornecedor durante a fase de disputa, sendo vedado:
i. valor superior a lance já registrado pelo fornecedor no sistema, quando adotado o critério de julgamento por menor preço; e
ii. percentual de desconto inferior a lance já registrado pelo fornecedor no sistema, quando adotado o critério de julgamento por maior desconto.
4.9 O valor final mínimo ou o percentual de desconto final máximo parametrizado na forma do item 4.9, incisos I e II, possuirá caráter sigiloso para os demais fornecedores e para o órgão ou entidade promotora da licitação, podendo ser disponibilizado estrita e permanentemente aos órgãos de controle externo e interno.
4.10 Caberá ao licitante interessado em participar da licitação acompanhar as operações no sistema eletrônico durante o processo licitatório e se
responsabilizar pelo ônus decorrente da perda de negócios diante da inobservância de mensagens emitidas pela Administração ou de sua desconexão.
4.11 O licitante deverá comunicar imediatamente ao provedor do sistema qualquer acontecimento que possa comprometer o sigilo ou a segurança, para imediato bloqueio de acesso.
4.12 O licitante deverá enviar sua proposta mediante o preenchimento, no sistema eletrônico, dos seguintes campos:
4.12.1 Valor unitário e total para cada item ou lote de itens, em moeda corrente nacional, com no máximo duas casas decimais, observando o quanto disposto no Anexo I do Edital;
4.12.2 Marca de cada item ofertado;
4.12.3 Fabricante de cada item ofertado;
4.12.4 Descrição detalhada do objeto, contendo as informações similares à especificação do Termo de Referência: indicando, no que for aplicável, o modelo, prazo de validade ou de garantia, número do registro ou inscrição do bem no órgão competente, quando for o caso;
4.13 Todas as especificações do objeto contidas na proposta vinculam o licitante.
4.14 Nos valores propostos estarão inclusos todos os custos operacionais, encargos previdenciários, trabalhistas, tributários, comerciais e quaisquer outros que incidam direta ou indiretamente no fornecimento dos bens ou serviços.
4.15 Os preços ofertados, tanto na proposta inicial, quanto na etapa de lances, serão de exclusiva responsabilidade do licitante, não lhe assistindo o direito de pleitear qualquer alteração, sob alegação de erro, omissão ou qualquer outro pretexto.
4.16 Se o regime tributário da empresa implicar o recolhimento de tributos em percentuais variáveis, a cotação adequada será a que corresponde à média dos efetivos recolhimentos da empresa nos últimos 12 (doze) meses.
4.17 Independentemente do percentual de tributo inserido na planilha, no pagamento serão retidos na fonte os percentuais estabelecidos na legislação vigente.
4.18 A apresentação das propostas implica obrigatoriedade do cumprimento das disposições nelas contidas, em conformidade com o que dispõe o Termo de Referência, assumindo o proponente o compromisso de executar o objeto licitado nos seus termos, bem como de fornecer os materiais, equipamentos, ferramentas e utensílios necessários, em quantidades e qualidades adequadas à perfeita execução contratual, promovendo, quando requerido, sua substituição.
4.19 Os licitantes devem respeitar os preços máximos estabelecidos nas normas de regência de contratações públicas, quando participarem de licitações públicas.
4.20 O prazo de validade da proposta não será inferior a 60 (sessenta) dias, a contar da data de sua apresentação.
5 DA ABERTURA DA SESSÃO, CLASSIFICAÇÃO DAS PROPOSTAS E FORMULAÇÃO DE LANCES
5.1 A abertura da presente licitação dar-se-á em sessão pública, por meio de sistema eletrônico, na data, horário e local indicados neste Edital.
5.2 Os licitantes poderão retirar ou substituir a proposta ou os documentos de habilitação até a abertura da sessão pública.
5.2.1 Será desclassificada a proposta que identifique o licitante.
5.2.2 A desclassificação será sempre fundamentada e registrada no sistema, com acompanhamento em tempo real por todos os participantes.
5.2.3 A não desclassificação da proposta não impede o seu julgamento definitivo em sentido contrário, levado a efeito na fase de aceitação.
5.3 O sistema ordenará automaticamente as propostas classificadas, sendo que somente estas participarão da fase de lances.
5.4 O sistema disponibilizará campo próprio para troca de mensagens entre o Pregoeiro e os licitantes.
5.5 Iniciada a etapa competitiva, os licitantes deverão encaminhar lances exclusivamente por meio do sistema eletrônico, sendo imediatamente informados do seu recebimento e do valor consignado no registro.
5.5.1 O lance deverá ser ofertado pelo valor global do lote.
5.6 Os licitantes poderão oferecer lances sucessivos, observando o horário fixado para abertura da sessão e as regras estabelecidas no Edital.
5.7 O licitante poderá oferecer lances sucessivos, observando o horário fixado para abertura da sessão e as regras estabelecidas no edital.
5.8 O licitante somente poderá oferecer lance de valor inferior ao último por ele ofertado e registrado pelo sistema.
5.9 O intervalo mínimo de diferença de valores ou percentuais entre os lances, que incidirá tanto em relação aos lances intermediários quanto em relação à proposta que cobrir a melhor oferta deverá ser de 1% (um porcento) do valor estimado.
5.10 O licitante poderá, uma única vez, excluir seu último lance ofertado, no intervalo de 15 (quinze) segundos após o registro no sistema, na hipótese de lance inconsistente ou inexequível.
5.11 O sistema adotado para o envio de lances no pregão eletrônico será no modo de disputa “aberto e fechado”, os licitantes apresentarão lances públicos e sucessivos, com lance final e fechado.
5.11.1 A etapa de lances da sessão pública terá duração inicial de 15 (quinze) minutos. Após esse prazo, o sistema encaminhará aviso de fechamento iminente dos lances, o que transcorrerá o período de tempo de até 10 (dez) minutos, aleatoriamente determinado, findo o qual será automaticamente encerrada a recepção de lances.
5.11.2 Encerrado o prazo previsto no subitem anterior, o sistema abrirá oportunidade para que o autor da oferta de valor mais baixo e os das ofertas com preços até 10% (dez por cento) superior àquela, possam ofertar um lance final e fechado em até 5 (cinco) minutos, o qual será sigiloso até o encerramento deste prazo.
5.11.3 No procedimento de que trata o subitem supra, o licitante poderá optar por manter o seu último lance da etapa aberta, ou por ofertar melhor lance.
5.11.4 Não havendo pelo menos três ofertas nas condições definidas neste item, poderão os autores dos melhores lances subsequentes, na ordem de classificação, até o máximo de 3 (três), oferecer um lance final e fechado em até 5 (cinco) minutos, o qual será sigiloso até o encerramento deste prazo.
5.11.5 Após o término dos prazos estabelecidos nos itens anteriores, o sistema ordenará e divulgará os lances segundo a ordem crescente de valores.
5.12 Não havendo lance final e fechado classificado na forma estabelecida nos itens anteriores, haverá o reinício da etapa fechada, para que os demais licitantes, até o máximo de três, na ordem de classificação, possam ofertar um lance final e fechado em até cinco minutos, o qual será sigiloso até o encerramento deste prazo.
5.13 Em caso de falha no sistema, os lances em desacordo com os subitens anteriores deverão ser desconsiderados pelo Pregoeiro.
5.14 Não serão aceitos dois ou mais lances de mesmo valor, prevalecendo aquele que for recebido e registrado primeiro.
5.15 No caso de desconexão com o Pregoeiro, no decorrer da etapa competitiva do PREGÃO ELETRÔNICO, o sistema eletrônico poderá permanecer acessível aos licitantes para a recepção dos lances.
5.16 Caso o licitante não apresente lances, concorrerá com o valor de sua proposta.
5.17 Havendo apenas uma oferta, esta poderá ser aceita, desde que atenda todas as condições do instrumento convocatório e seu preço seja compatível com o valor estimado para a contratação e dentro da realidade do mercado.
5.18 Em relação a itens não exclusivos para participação de microempresas e empresas de pequeno porte, uma vez encerrada a etapa de lances, será efetivada a verificação automática, junto à Receita Federal, do porte da entidade empresarial. O sistema identifica em coluna própria as microempresas e empresas de pequeno porte participantes, procedendo à comparação com os valores da primeira colocada, se esta for empresa de maior porte, assim como das demais classificadas, para o fim de aplicar-se o disposto nos artigos 44º e 45º da LC nº 123/2006, regulamentada pelo Decreto nº 8.538/2015.
5.18.1 Nessas condições, as propostas de microempresas e empresas de pequeno porte que se encontrarem na faixa de até 5% (cinco por cento) acima da melhor proposta ou melhor lance serão consideradas empatadas com a primeira colocada.
5.18.2 A mais bem classificada nos termos do item anterior terá o direito de encaminhar uma última oferta para desempate, obrigatoriamente em valor inferior ao da primeira colocada, no prazo de 5 (cinco) minutos controlados pelo sistema, contados após a comunicação automática para tanto.
5.18.3 Caso a microempresa ou a empresa de pequeno porte melhor classificada desista ou não se manifeste no prazo estabelecido, serão convocadas as demais licitantes microempresa e empresa de pequeno porte que se encontrem naquele intervalo de 5% (cinco por cento), na ordem de classificação, para o exercício do mesmo direito, no prazo estabelecido no subitem anterior.
5.18.4 No caso de equivalência dos valores apresentados pelas microempresas e empresas de pequeno porte que se encontrem nos intervalos estabelecidos nos subitens anteriores, será realizado sorteio entre elas para que se identifique aquela que primeiro poderá apresentar melhor oferta.
5.19 Só poderá haver empate entre propostas iguais e não seguidas de lances, ou entre lances finais da fase fechada do modo de disputa aberto e fechado
5.19.1 Havendo eventual empate entre propostas ou lances, o critério de desempate será aquele previsto no art. 60 da Lei nº 14.133/2021, nesta ordem:
I. Disputa final, hipótese em que os licitantes empatados poderão apresentar nova proposta em ato contínuo à classificação;
II. Avaliação do desempenho contratual prévio dos licitantes;
III. Desenvolvimento pelo licitante de ações de equidade entre homens e mulheres no ambiente de trabalho, conforme regulamento;
IV. Desenvolvimento pelo licitante de programa de integridade, conforme orientações dos órgãos de controle;
5.20 Persistindo o empate, será assegurada preferência, sucessivamente, aos bens e serviços produzidos ou prestados por:
i. Empresas estabelecidas no território do estado ou do distrito federal do órgão ou entidade da administração pública estadual ou distrital licitante ou, no caso de licitação realizada por órgão ou entidade de município, no território do estado em que este se localize;
ii. Empresas brasileiras;
iii. Empresas que invistam em pesquisa e no desenvolvimento de tecnologia no país;
iv. Empresas que comprovem a prática de mitigação, nos termos da lei nº 12.187/2009.
5.21 Encerrada a etapa de envio de lances da sessão pública, na hipótese da proposta do primeiro colocado permanecer acima do preço máximo ou inferior ao desconto definido para a contratação, o pregoeiro poderá negociar condições mais vantajosas, após definido o resultado do julgamento.
5.21.1 A negociação poderá ser feita com os demais licitantes, segundo a ordem de classificação inicialmente estabelecida, quando o primeiro colocado, mesmo após a negociação, for desclassificado em razão de sua proposta permanecer acima do preço máximo definido pela Administração.
5.21.2 A negociação será realizada por meio do sistema, podendo ser acompanhada pelos demais licitantes.
5.21.3 O resultado da negociação será divulgado a todos os licitantes e anexado aos autos do processo licitatório.
5.21.4 O pregoeiro solicitará ao licitante mais bem classificado que, no prazo de 4 (quatro) horas, envie a proposta adequada ao último lance ofertado após a negociação realizada, acompanhada, se for o caso, dos documentos complementares, quando necessários à confirmação daqueles exigidos neste Edital e já apresentados.
5.21.5 É facultado ao pregoeiro prorrogar o prazo estabelecido, a partir de solicitação fundamentada feita no chat pelo licitante, antes de findo o prazo.
5.22 O Pregoeiro solicitará ao licitante mais bem classificado que, no prazo de 04 (quatro) horas, envie a proposta adequada ao último lance ofertado após a negociação realizada, acompanhada, se for o caso, dos documentos complementares, quando necessários à confirmação daqueles exigidos neste Edital e já apresentados.
5.23 Após a negociação do preço, o Pregoeiro iniciará a fase de aceitação e julgamento da proposta.
6 DA FASE DO JULGAMENTO
6.1 Encerrada a etapa de negociação, o pregoeiro verificará se o licitante provisoriamente classificado em primeiro lugar atende às condições de participação no certame, conforme previsto no art. 14 da Lei nº 14.133/2021, na legislação correlata e no Edital, especialmente quanto à existência de sanção que impeça a participação no certame ou a futura contratação, nos termos do art. 156 da Lei nº 14.133/2021, e mediante a consulta aos cadastros previstos no art.91 § 4º da referida Lei e aos cadastros utilizados pelo Município do Salvador:
6.2 Atendidas as condições de participação, será iniciado o procedimento de habilitação.
6.3 Na hipótese de o licitante provisoriamente classificado em primeiro lugar tenha se utilizado de algum tratamento favorecido às microempresas - ME e as empresas de pequeno porte - EPPs, o pregoeiro verificará se o licitante faz jus ao benefício, em conformidade com os itens 3.5.1 e 4.6 deste Edital.
6.3.1 Verificadas as condições de participação e de utilização do tratamento favorecido, o pregoeiro examinará a proposta classificada em primeiro lugar quanto à adequação ao objeto e à compatibilidade do preço em relação ao máximo estipulado para contratação neste Edital e em seus anexos, observado o disposto nos artigos 29 ao 35 do Decreto nº 36.784 de 30 de março de 2023.
6.4 Será desclassificada a proposta vencedora que:
I. contiver vícios insanáveis;
II. não obedecer às especificações técnicas contidas no Termo de Referência, neste Edital e seus Anexos;
III. apresentar preços inexequíveis ou permanecerem acima do preço máximo definido para a contratação;
IV. não tiverem sua exequibilidade demonstrada, quando exigido pela Administração;
V. apresentar desconformidade com quaisquer outras exigências deste Edital ou seus anexos, desde que insanável.
6.5 Se houver indícios de inexequibilidade da proposta de preço, ou em caso da necessidade de esclarecimentos complementares, poderão ser efetuadas diligências, para que a empresa comprove a exequibilidade da proposta.
6.6 Pela Administração, o licitante classificado em primeiro lugar será convocado para apresentar Planilha por ele elaborada, com os respectivos valores adequados ao valor final da sua proposta, sob pena de não aceitação da proposta.
6.7 Não será causa de desclassificação as irregularidades formais que não afetem o conteúdo das propostas ou não impeçam o seu entendimento e que não comprometam os interesses da Administração.
6.7.1 Erros no preenchimento da planilha não constituem motivo para a desclassificação da proposta, podendo ser ajustada pelo fornecedor, no prazo indicado pelo sistema, desde que não haja majoração do preço, e que se limite a sanar erros ou falhas que não alterem a substância das propostas;
6.7.2 Serão objeto de saneamento, mediante ato motivado do Pregoeiro, os erros materiais irrelevantes, considerados aqueles cuja ocorrência não comprometam a Administração e a idoneidade do documento ou a perfeita compreensão do conteúdo da proposta.
6.8 Caso o Termo de Referência exija a apresentação de amostra, o licitante classificado em primeiro lugar deverá apresentá-la, conforme disciplinado no Termo de Referência, sob pena de não aceitação da proposta.
6.9 Por meio de mensagem no sistema, será divulgado o local e horário de realização do procedimento para a avaliação das amostras, cuja presença será facultada a todos os interessados, incluindo os demais licitantes.
6.10 Os resultados das avaliações serão divulgados por meio de mensagem no sistema.
6.11 No caso de não haver entrega da amostra ou ocorrer atraso na entrega, sem justificativa aceita pelo Pregoeiro, ou havendo entrega de amostra fora das especificações previstas neste Edital, a proposta do licitante será desclassificada.
6.12 Se a (s) amostra (s) apresentada (s) pelo primeiro classificado não for (em) aceita (s), o Pregoeiro analisará a aceitabilidade da proposta ou lance ofertado pelo segundo classificado. Seguir-se-á com a verificação da (s) amostra (s) e, assim, sucessivamente, até a verificação de uma que atenda às especificações constantes no Termo de Referência.
7 DO BENEFÍCIO ÀS MICROEMPRESAS E ÀS EMPRESAS DE PEQUENO PORTE
7.1 A obtenção de benefícios previstos dos artigos 42 a 49 da Lei Complementar nº 123/2006 fica limitado às microempresas e às empresas de pequeno porte que, no ano-calendário de realização da licitação, ainda que não tenham celebrado contratos com a Administração Pública cujos valores somados extrapolem a receita bruta máxima admitida para fins de enquadramento como empresa de pequeno porte, devendo o licitante apresentar declaração de observância desse limite para fins de habilitação.
7.2 Após a fase de lances, se a proposta mais bem classificada não tiver sido apresentada por microempresa ou empresa de pequeno porte apta a usufruir dos benefícios e se houver proposta de microempresa ou empresa de pequeno porte igual ou até 5% (cinco por cento) superior à proposta mais bem classificada, proceder-se-á da seguinte forma:
i. A Microempresa - ME ou a Empresa de Pequeno Porte - EPP mais bem classificada poderá, no prazo de 5 (cinco) minutos, apresentar proposta de preço inferior à do licitante mais bem classificado e, se atendidas as exigências deste Edital, ser adjudicatária;
ii. Não sendo adjudicatária a Microempresa - ME ou Empresa de Pequeno Porte - EPP mais bem classificada na forma do inciso anterior, e havendo outros licitantes que se enquadrem na condição prevista no caput deste item, estes serão convocados, na ordem classificatória, para o exercício do mesmo direito;
iii. O convocado que não apresentar proposta dentro do prazo de 5 (cinco) minutos, controlado pelo sistema eletrônico, decairá do direito previsto nos arts. 44 e 45 da Lei Complementar nº 123/2006.
7.3 Na hipótese de não adjudicação nos termos previstos nesta cláusula, o procedimento licitatório prosseguirá com os demais licitantes.
7.4 As disposições constantes dos arts. 42 a 49 da Lei Complementar nº 123/2006 não se aplicam:
I. No caso de licitação para aquisição de bens ou contratação de serviços em geral, ao item cujo valor estimado for superior à receita bruta máxima admitida para fins de enquadramento como empresa de pequeno porte;
II. No caso de contratação de obras e serviços de engenharia, às licitações cujo valor estimado for superior à receita bruta máxima admitida para fins de enquadramento como empresa de pequeno porte.
8 DA NEGOCIAÇÃO
8.1 O pregoeiro deverá encaminhar contraproposta diretamente ao licitante que tenha apresentado o lance mais vantajoso, observados o critério de julgamento e o valor estimado para a contratação.
8.2 A negociação será realizada por meio do sistema eletrônico e poderá ser acompanhada pelos demais licitantes.
8.3 Após a negociação a proposta que apresentar valor superior ao estabelecido em orçamento estimado contido neste Edital será desclassificada.
9 DA ACEITABILIDADE DA PROPOSTA
9.1 Encerrada a etapa competitiva de lances, exercido o direito de preferência e concluída a negociação, o pregoeiro iniciará os procedimentos necessários à aceitabilidade da proposta de melhor preço e verificará a conformidade das especificações técnicas com as exigências contidas neste Edital e a compatibilidade do preço ofertado com o valor estimado para a contratação, podendo solicitar, se necessário, a planilha de composição de custos adequada ao lance equivalente à proposta de melhor preço no prazo estipulado no chat durante a sessão.
9.2 Se o mesmo licitante vencer tanto a cota reservada quanto a cota principal, a contratação ocorrerá em um único instrumento e pelo menor preço obtido.
9.2.1 No caso de não haver vencedor para a cota reservada, esta poderá ser adjudicada ao vencedor da cota principal ou, diante de sua recusa, aos licitantes remanescentes, desde que pratiquem o preço do primeiro colocado da cota principal.
9.2.2 No caso de não haver vencedor para a cota principal, esta poderá ser adjudicada ao vencedor da cota reservada ou, diante de sua recusa, aos licitantes remanescentes, desde que pratiquem o preço do primeiro colocado da cota reservada.
9.3 Quando o licitante não conseguir comprovar que possui ou possuirá recursos suficientes para executar a contento o objeto, será considerada inexequível a proposta de preços ou menor lance que:
i. For insuficiente para a cobertura dos custos da contratação, apresente preços global ou unitários simbólicos, irrisórios ou de valor zero, incompatíveis com os preços dos insumos e salários de mercado, acrescidos dos respectivos encargos, ainda que o ato convocatório da licitação não tenha estabelecido limites mínimos, exceto quando se referirem a materiais e instalações de propriedade do próprio licitante, para os quais ele renuncie a parcela ou à totalidade da remuneração.
ii. Apresentar um ou mais valores da planilha de custo que sejam inferiores àqueles fixados em instrumentos de caráter normativo obrigatório, tais como leis, medidas provisórias e convenções coletivas de trabalho vigentes.
9.4 Serão desclassificadas, da mesma forma, as propostas que não atenderem às demais condições estabelecidas neste Edital e anexos.
9.5 O pregoeiro poderá solicitar manifestação técnica dos outros setores do Órgão ou Entidade a fim de subsidiar sua decisão e da assessoria jurídica quando existir dúvida jurídica.
9.6 Não se considerará qualquer oferta ou vantagem não prevista neste Edital, inclusive financiamentos subsidiados ou a fundo perdido.
10 DA HABILITAÇÃO
10.1 Os documentos previstos no Termo de Referência, necessários e suficientes para demonstrar a capacidade de o licitante cumprir com o objeto da licitação, serão exigidos para fins de habilitação, nos termos dos artigos 62º a 70º da Lei nº 14.133/2021.
10.1.1 A documentação exigida para fins de habilitação jurídica, fiscal, social e trabalhista e econômico-financeira, poderá ser substituída pelo Certificado de Registro Cadastral – CRC, expedido pelo Município de Salvador.
10.2 As empresas Licitantes apresentarão os documentos especificados a seguir:
I. Documentação relativa à habilitação jurídica;
II. Documentação relativa à habilitação fiscal, social e trabalhista;
III. Documentação relativa à qualificação econômica e financeira;
IV. Documentação relativa à qualificação técnica;
V. Documentação complementar solicitada no Edital.
10.3 Quando permitida a participação de empresas estrangeiras que não funcionem no País, estas deverão apresentar documentos equivalentes, na forma de regulamento emitido pelo Poder Executivo Federal.
I DOCUMENTAÇÃO RELATIVA À HABILITAÇÃO JURÍDICA:
a) Pessoa física:
• Cédula de identidade - (RG) ou documento equivalente que, por força de lei, tenha validade para fins de identificação em todo o território nacional.
b) Empresário individual:
• Inscrição no Registro Público de Empresas Mercantis, a cargo da Junta Comercial da respectiva sede.
c) Microempreendedor Individual - MEI:
• Certificado da Condição de Microempreendedor Individual - CCMEI, cuja aceitação ficará condicionada à verificação da autenticidade no sítio xxxxx://xxx.xxx.xx/xxxxxxxx-x- negocios/pt-br/empreendedor.
d) Sociedade Empresária, Sociedade Limitada Unipessoal - SLU ou sociedade identificada como Empresa Individual de Responsabilidade Limitada - EIRELI:
• Inscrição do ato constitutivo;
• Estatuto ou contrato social no Registro Público de Empresas Mercantis, a cargo da Junta Comercial da respectiva sede, acompanhada de documento comprobatório de seus administradores.
e) Sociedade empresária estrangeira:
• Portaria de autorização de funcionamento no Brasil, publicada no Diário Oficial da União e arquivada na Junta Comercial da unidade federativa onde se localizar a filial, agência, sucursal ou estabelecimento, a qual será considerada como sua sede, conforme Instrução Normativa do Departamento Nacional de Registro Empresarial e Integração - DREI/ME n.º 77, de 18 de março de 2020.
f) Sociedade simples:
• Inscrição do ato constitutivo no Registro Civil de Pessoas Jurídicas do local de sua sede, acompanhada de documento comprobatório de seus administradores.
g) Filial, sucursal ou agência de sociedade simples ou empresária:
• Inscrição do ato constitutivo da filial, sucursal ou agência da
sociedade simples ou empresária, respectivamente, no Registro Civil das Pessoas Jurídicas ou no Registro Público de Empresas Mercantis onde opera, com averbação no Registro onde tem sede a matriz.
h) Sociedade cooperativa:
• Ata de fundação;
• Estatuto social e a ata da assembleia que o aprovou, devidamente arquivado na Junta Comercial ou inscrito no Registro Civil das Pessoas Jurídicas da respectiva sede;
• Registro na Organização das Cooperativas Brasileiras ou na entidade estadual, se houver, conforme art. 107º da Lei nº 5.764/1971.
i) Agricultor familiar:
• Declaração de Aptidão ao Pronaf - DAP ou DAP-P válida, ou, ainda, outros documentos definidos pela Secretaria Especial de Agricultura Familiar e do Desenvolvimento Agrário, nos termos do art. 4º, §2º do Decreto nº 10.880, de 2 de dezembro de 2021.
j) Produtor Rural:
• Matrícula no Cadastro Específico do INSS - CEI, que comprove a qualificação como produtor rural pessoa física, nos termos da Instrução Normativa da Receita Federal do Brasil - RFB nº 2110, de 17 de outubro de 2022.
10.4 Os documentos apresentados deverão estar acompanhados de todas as alterações ou da consolidação respectiva.
II DOCUMENTAÇÃO RELATIVA À HABILITAÇÃO FISCAL, SOCIAL E TRABALHISTA;
a) Inscrição no Cadastro de Pessoas Físicas - CPF ou no Cadastro Nacional da Pessoa Jurídica - CNPJ;
b) Inscrição no Cadastro de contribuintes estadual e/ou municipal, se houver. O cadastro de contribuinte estadual e/ou municipal deverá ser relativo ao domicílio ou sede do licitante, pertinente ao seu ramo de atividade e compatível com o objeto contratual;
c) Certidão de regularidade perante a Fazenda federal, estadual e municipal do domicílio ou sede do licitante, ou outra equivalente, na forma da lei;
d) Certidão de regularidade relativa à Seguridade Social e ao FGTS;
e) Certidão de regularidade perante a Justiça do Trabalho, mediante a apresentação de Certidão Negativa de Débitos Trabalhistas. (Lei nº 12.440/2011).;
f) Declaração de cumprimento ao disposto no inciso XXXIII do art. 7º da Constituição Federal.
g) Certidão Negativa no CADIN/Salvador conforme determina artigo 34º da Lei Municipal n˚ 8.421/2013 e no art. 3º do Decreto municipal n˚ 24.419/2013.
10.5 O fornecedor enquadrado como Microempreendedor Individual que pretenda auferir os benefícios do tratamento diferenciado previstos na Lei Complementar nº 123/2006, estará dispensado da prova de inscrição nos cadastros de contribuintes estadual e municipal.
10.6 O cadastro de contribuinte estadual e/ou municipal deverá ser relativo ao domicílio ou sede do licitante, pertinente ao seu ramo de atividade e compatível com o objeto contratual;
III DOCUMENTAÇÃO RELATIVA À QUALIFICAÇÃO ECONÔMICA E FINANCEIRA;
a. Balanço patrimonial;
b. Demonstrações do resultado de exercício e demais demonstrações contábeis dos 2 (dois) últimos exercícios sociais;
c. Certidão negativa de feitos sobre falência expedida pelo distribuidor da sede do licitante;
d. Comprovante de que possui patrimônio líquido mínimo de 10% do valor total indicado na proposta apresentada para o lote pertinente, admitida a atualização para a data da apresentação da proposta através de índices oficiais. Caso seja de interesse da licitante concorrer a 2 (dois) ou mais lotes, o patrimônio a ser comprovado não poderá ser inferior à soma dos valores exigidos para cada lote.
e. Certidão expedida por órgão oficial do respectivo país estrangeiro;
10.7 O balanço patrimonial e as demonstrações contábeis deverão ser apresentados mediante cópia do Termo de Abertura e do Termo de Encerramento assinados pelo contador responsável e pelo representante legal da empresa;
10.8 Em se tratando de Sociedade por Ações - S/A, deverá ser apresentada a publicação em Órgão de Imprensa Oficial;
10.9 As sociedades com menos de 01 (um) ano de existência, que ainda não tenham balanço de final de exercício, deverão apresentar demonstrações contábeis envolvendo seus direitos, obrigações e patrimônio líquido relativo ao período de sua existência;
10.10 O balanço patrimonial, demonstração de resultado de exercício e demais demonstrações contábeis limitar-se-ão ao último exercício no caso de a pessoa jurídica ter sido constituída há menos de 2 (dois) anos.
10.11 Certidão expedida por país estrangeiro deverá atestar que a empresa estrangeira não se encontra em processo de falência, concordata ou outro instituto assemelhado que possa de qualquer forma comprometer o fiel cumprimento das obrigações, devendo ser observada a respectiva data de vigência.
10.12 A proposta e quaisquer documentos deverão ser apresentados em português, idioma em que também será redigido o Contrato. Serão aceitos documentos em outros idiomas, desde que acompanhados de tradução para o idioma português, firmada por tradutor juramentado e autenticados por autoridade consular brasileira, caso em que tal tradução prevalecerá sobre os originais;
IV DOCUMENTAÇÃO RELATIVA À QUALIFICAÇÃO TÉCNICA;
a. A PROPONENTE deverá apresentar atestado(s) de capacidade técnica, expedido(s) por pessoa jurídica de direito público ou privado, certificando que a empresa tenha prestado serviços pertinentes e em prazos e quantitativos compatíveis com as características do objeto deste certame, cujo somatório seja no mínimo 30% do quantitativo total estimado.
b. Os atestados deverão ser impressos em papel timbrado, com nome e telefone de contato dos responsáveis pela informação atestada, não sendo aceitas declarações genéricas, devendo ainda atestar a satisfação com o serviço ofertado pela PROPONENTE.
c. A CONTRATANTE se reserva o direito de conferir as informações prestadas pelas empresas emitentes dos atestados, através de consultas e visitas, bem como a disponibilidade de equipamentos solicitados junto à PROPONENTE.
d. A PROPONENTE deverá apresentar em sua proposta, obrigatoriamente, planilha ponto a ponto de verificação de atendimento às especificações técnicas, demonstrando o atendimento da solução para cada item técnico do Termo de Referência a fim de facilitar a verificação da adequação da solução proposta às características técnicas obrigatórias constantes no Termo de Referência.
11 DO RECURSO
11.1 Caberá recurso em face de:
I. Julgamento das propostas;
II. Ato de habilitação ou inabilitação de licitante;
III. Anulação ou revogação da licitação.
11.2 Nos recursos de julgamento das propostas e de ato de habilitação ou inabilitação de licitante serão observadas as seguintes disposições:
I. A intenção de recorrer deverá ser manifestada imediatamente em até 10 (dez) minutos exclusivamente no sistema eletrônico, sob pena de preclusão, e o prazo para apresentação das razões recursais de 3 (três) dias úteis será iniciado a partir ato de habilitação ou inabilitação ou, na hipótese de adoção da inversão de fases prevista no §1º do art. 17º da Lei nº 14.133/2021, da ata de julgamento;
II. A apreciação se dará em fase única.
11.3 Não será admitida intenção de recurso de caráter protelatório, fundada em mera insatisfação do licitante, ou baseada em fatos genéricos.
11.4 A ausência de manifestação imediata e motivada quanto a intenção de recorrer no prazo estabelecido, importará na decadência desse direito, autoriza a Administração a adjudicar o objeto a licitante vencedora.
11.5 O pregoeiro examinará a intenção de recurso, aceitando-a ou, motivadamente, rejeitando-a, em campo próprio do sistema eletrônico.
11.6 O licitante que tiver sua intenção de recurso aceita deverá registrar as razões do recurso em campo próprio do sistema no prazo de 3 (três) dias úteis contados do término do julgamento das propostas ou do ato de habilitação ou inabilitação, ficando os demais licitantes, desde logo, intimados a apresentar contrarrazões, contados da disponibilização das razões do recurso no sistema, nos moldes do art. 165º da Lei nº 14.133/2021.
11.7 O não oferecimento de razões no prazo previsto implicará em não conhecimento do recurso.
11.8 As intenções de recurso não admitidas e os recursos rejeitados pelo pregoeiro serão a ele dirigidos, que, se não reconsiderar o ato ou a decisão no prazo de 3 (três) dias úteis, encaminhará o recurso com a sua motivação à autoridade superior, a qual deverá proferir sua decisão no prazo máximo de 10 (dez) dias úteis, contado do recebimento dos autos.
11.9 As razões e contrarrazões de recurso deverão ser enviados/anexados, exclusivamente, no sistema eletrônico.
11.10 O acolhimento do recurso implicará a invalidação apenas dos atos não suscetíveis de aproveitamento.
11.11 Será assegurado ao licitante vista dos elementos indispensáveis à defesa de seus interesses.
11.12 O recurso terá efeito suspensivo do ato ou da decisão recorrida até que sobrevenha decisão final da autoridade competente.
12 DA ADJUDICAÇÃO E DA HOMOLOGAÇÃO
12.1 Não havendo manifestação de recurso, o objeto deste pregão será adjudicado ao licitante vencedor.
12.2 Decididos os recursos eventualmente interpostos e constatada a regularidade dos atos procedimentais, a autoridade superior adjudicará o objeto licitado ao licitante vencedor homologando em seguida, o procedimento licitatório.
12.3 A homologação e a adjudicação do objeto desta licitação não implicarão direito à contratação.
13 DO INSTRUMENTO CONTRATUAL
13.1 Depois de homologado o resultado deste pregão, o licitante vencedor será convocado para, dentro do prazo de 5 (cinco) dias úteis, sob pena de decair o direito à contratação, sem prejuízo das sanções previstas neste Edital, assinar o instrumento contratual.
13.2 A exigência de garantia e/ou validade do produto obedecerá às previsões do Termo de Referência.
13.3 As contratações decorrentes dos itens de cota principal e de cota reservada ocorrerão inicialmente pelo menor preço, independentemente da qualificação da contratada.
13.4 Por ocasião da assinatura do instrumento contratual, será verificado no Certificado de Registro Cadastral - CRC e em outros meios se o adjudicatário mantém as condições de habilitação.
14 DAS INFRAÇÕES ADMINISTRATIVAS E SANÇÕES
14.1 Comete infração administrativa, nos termos da Lei nº 14.133/2021, o Licitante que com dolo ou culpa:
I. Deixar de entregar a documentação exigida para o certame ou não entregar qualquer documento que tenha sido solicitado pelo/a pregoeiro/a durante o certame;
II. Salvo em decorrência de fato superveniente devidamente justificado, não mantiver a proposta, em especial quando:
a) não enviar a proposta adequada ao último lance ofertado ou após a negociação;
b) recusar-se a enviar o detalhamento da proposta quando exigível;
c) pedir para ser desclassificado quando encerrada a etapa competitiva; ou
d) deixar de apresentar amostra;
e) apresentar proposta ou amostra em desacordo com as especificações do Edital.
III. não celebrar o contrato ou não entregar a documentação exigida para a contratação, quando convocado dentro do prazo de validade de sua proposta:
a) recusar-se, sem justificativa, a assinar o contrato ou a ata de registro de preço, ou a aceitar ou retirar o instrumento equivalente no prazo estabelecido pela Administração.
IV. Apresentar declaração ou documentação falsa exigida para o certame ou prestar declaração falsa durante a licitação;
V. Fraudar a licitação;
VI. Comportar-se de modo inidôneo ou cometer fraude de qualquer natureza, em especial quando:
a) agir em conluio ou em desconformidade com a lei;
b) induzir deliberadamente a erro no julgamento;
c) apresentar amostra falsificada ou deteriorada;
VII. Praticar atos ilícitos com vistas a frustrar os objetivos da licitação
VIII. Praticar ato lesivo previsto no art. 5º da Lei n.º 12.846, de 2013.
14.2 Com fulcro na Lei nº 14.133/2021, a Administração poderá, garantida a prévia defesa, aplicar aos licitantes e/ou adjudicatários as seguintes sanções, sem prejuízo das responsabilidades civil e criminal:
I. Advertência;
II. Multa;
III. Impedimento de licitar e contratar;
IV. Declaração de inidoneidade para licitar ou contratar, enquanto perdurarem os motivos determinantes da punição ou até que seja promovida sua reabilitação perante a própria autoridade que aplicou a penalidade.
14.3 Na aplicação das sanções serão considerados:
I. I - A natureza e a gravidade da infração cometida;
II. II - As peculiaridades do caso concreto;
III. III - As circunstâncias agravantes ou atenuantes;
IV. IV - Os danos que dela provierem para a Administração Pública;
V. V - A implantação ou o aperfeiçoamento de programa de integridade, conforme normas e orientações dos órgãos de controle.
14.4 A multa será recolhida em percentual de 0,5% a 30% incidente sobre o valor do contrato ou empenho, a contar da comunicação oficial.
14.4.1 Para as infrações previstas no item 14.1, incisos I, II e III a multa será de 0,5% a 15% do valor do contrato licitado.
14.4.2 Para as infrações previstas no item 14.1, incisos de IV a VIII, a multa será de 15% a 30% do valor do contrato licitado.
14.5 As sanções de advertência, impedimento de licitar, contratar e declaração de inidoneidade para licitar ou contratar poderão ser aplicadas, cumulativamente ou não, à penalidade de multa.
14.6 Na aplicação da sanção de multa será facultada a defesa do interessado no prazo de 15 (quinze) dias úteis, contado da data de sua intimação.
14.7 A sanção de impedimento de licitar e contratar será aplicada ao responsável em decorrência das infrações administrativas relacionadas no item 14.1 incisos I, II e III, quando não se justificar a imposição de penalidade mais grave, e impedirá o responsável de licitar e contratar no âmbito da Administração Pública Municipal direta e indireta pelo prazo máximo de 3 (três) anos.
14.8 Poderá ser aplicada ao responsável a sanção de declaração de inidoneidade para licitar ou contratar, em decorrência da prática das
infrações dispostas no item 14.1, incisos de IV a VIII, bem como pelas infrações administrativas previstas no item 14.1 incisos I, II e III que justifiquem a imposição de penalidade mais grave que a sanção de impedimento de licitar e contratar, cuja duração observará o prazo previsto no § 5º do art. 156, da Lei n.º 14.133/2021.
14.9 A recusa injustificada do adjudicatário em assinar o contrato ou a ata de registro de preço, ou em aceitar ou retirar o instrumento equivalente no prazo estabelecido pela Administração, descrita no item 14.1 inciso III, caracterizará o descumprimento total da obrigação assumida e o sujeitará às penalidades e à imediata perda da garantia de proposta em favor do órgão ou entidade promotora da licitação, nos termos do art. 58º §3º da Lei n. 14.133/2021.
14.10 A apuração de responsabilidade relacionadas às sanções de impedimento de licitar e contratar e de declaração de inidoneidade para licitar ou contratar demandará a instauração de processo de responsabilização a ser conduzido pela Comissão de Cadastro e Avaliação de Fornecedores - COMPEC, da Secretaria Municipal de Gestão
- SEMGE, que avaliará fatos e circunstâncias conhecidos e intimará o licitante ou o adjudicatário para, no prazo de 15 (quinze) dias úteis, contado da data de sua intimação, apresentar defesa escrita e especificar as provas que pretenda produzir.
14.11 Caberá recurso no prazo de 15 (quinze) dias úteis da aplicação das sanções de advertência, multa e impedimento de licitar e contratar, contado da data da intimação, o qual será dirigido à autoridade que tiver proferido a decisão recorrida, que, se não a reconsiderar no prazo de 5 (cinco) dias úteis, encaminhará o recurso com sua motivação à autoridade superior, que deverá proferir sua decisão no prazo máximo de 20 (vinte) dias úteis, contado do recebimento dos autos.
14.12 Caberá a apresentação de pedido de reconsideração da aplicação da sanção de declaração de inidoneidade para licitar ou contratar no prazo de 15 (quinze) dias úteis, contado da data da intimação, e decidido no prazo máximo de 20 (vinte) dias úteis, contado do seu recebimento.
14.13 O recurso e o pedido de reconsideração terão efeito suspensivo do ato ou da decisão recorrida até que sobrevenha decisão final da autoridade competente.
14.14 A aplicação das sanções previstas neste Edital não exclui, em hipótese alguma, a obrigação de reparação integral dos danos causados.
15 DOS ESCLARECIMENTOS E DA IMPUGNAÇÃO AO EDITAL
15.1 Até 3 (três) dias úteis antes da data fixada para a abertura da sessão pública, qualquer pessoa, física ou jurídica, poderá impugnar o ato convocatório deste pregão, por irregularidade na aplicação de Lei ou para solicitar esclarecimento sobre os seus termos, mediante petição, a ser enviada exclusivamente para o endereço: xxxxx.xxxxx@xxxxxxxx.xx.xxx.xx
15.2 A comissão de licitação, auxiliada do setor técnico competente, decidirá sobre a impugnação do certame.
15.3 As impugnações e pedidos de esclarecimentos não suspendem os prazos previstos no certame.
15.4 A concessão de efeito suspensivo à impugnação é medida excepcional e deverá ser motivada pelo pregoeiro, nos autos do processo de licitação.
15.5 Acolhida a impugnação do certame, será designada nova data para sua realização, exceto quando, inquestionavelmente, a alteração não afetar a formulação das propostas.
15.6 As impugnações serão enviadas eletronicamente em formato Portable Document Format - PDF, com tamanho máximo de 5 (cinco) megabytes.
15.7 Os pedidos de esclarecimento deverão ser enviados exclusivamente via internet.
15.8 As respostas às impugnações e aos esclarecimentos solicitados serão disponibilizadas no sistema eletrônico em até 3 (três) dias úteis, contados do recebimento do pedido, limitado ao último dia útil anterior à data da abertura do certame.
16 DA PROVA DE CONCEITO
16.1 Não haverá prova de conceito.
17 DA ANTICORRUPÇÃO
17.1 Os licitantes e contratados devem observar o mais alto padrão de ética durante todo o processo de licitação, de contratação e de execução do objeto contratual. Para os propósitos desta cláusula, definem-se as seguintes práticas:
I. prática corrupta: oferecer, dar, receber ou solicitar, direta ou indiretamente, qualquer vantagem com o objetivo de influenciar a ação de servidor público no processo de licitação ou na execução de contrato;
II. prática fraudulenta: a falsificação ou omissão dos fatos, com o objetivo de influenciar o processo de licitação ou de execução de contrato;
III. prática colusiva: esquematizar ou estabelecer um acordo entre dois ou mais licitantes, com ou sem o conhecimento de representantes ou prepostos do órgão licitador, visando estabelecer preços em níveis artificiais e não-competitivos;
IV. prática coercitiva: causar dano ou ameaçar causar dano, direta ou indiretamente, às pessoas ou sua propriedade, visando influenciar sua participação em um processo licitatório ou afetar a execução do contrato.
V. prática obstrutiva:
a) destruir, falsificar, alterar ou ocultar provas em inspeções ou fazer declarações falsas aos representantes do organismo financeiro multilateral, com o objetivo de impedir materialmente a apuração de alegações de prática prevista deste Edital;
b) atos cuja intenção seja impedir materialmente o exercício do direito de o organismo financeiro multilateral promover inspeção.
17.2 Na hipótese de financiamento, parcial ou integral, por organismo financeiro multilateral, mediante adiantamento ou reembolso, este organismo imporá sanção sobre uma empresa ou pessoa física, inclusive declarando-a inelegível, indefinidamente ou por prazo determinado, para a outorga de contratos financiados pelo organismo se, em qualquer momento, constatar o envolvimento da empresa, diretamente ou por meio de um agente, em práticas corruptas, fraudulentas, colusivas, coercitivas ou obstrutivas ao participar da licitação ou da execução um contrato financiado pelo organismo.
17.3 Considerando os propósitos das cláusulas acima, o licitante vencedor, como condição para a contratação, deverá concordar e autorizar que, na hipótese de o contrato vir a ser financiado, em parte ou integralmente, por organismo financeiro multilateral, mediante adiantamento ou reembolso, permitirá que o organismo financeiro e/ou pessoas por ele formalmente indicadas possam inspecionar o local de execução do contrato e todos os documentos, contas e registros relacionados à licitação e à execução do contrato.
18 DA ATA DE REGISTRO DE PREÇO
18.1 A ata de registro de preços para fornecimento dos materiais, objeto desta licitação, terá validade de 01 (um) ano, e poderá ser prorrogada por igual período, desde que comprovado o preço vantajoso ao Município, nos termos do art. 84º, da Lei N.º 14.133/2021. Caso a ata de registro de preços ultrapasse o exercício, deverá a administração atualizar, por meio de apostila e de forma unilateral, as disposições que assim se permitirem, inclusive a própria rubrica orçamentária da lei em vigor.
18.2 Homologado o resultado da licitação, o licitante mais bem classificado terá prazo de 05 (cinco) dias, contados a partir da data de sua convocação, para assinar a Ata de Registro de Preços, sob pena de decadência do direito à contratação, sem prejuízo das sanções previstas na Lei nº 14.133, de 2021.
18.3 O prazo de convocação poderá ser prorrogado uma vez, por igual período, mediante solicitação do licitante mais bem classificado ou do fornecedor convocado, desde que:
18.3.1 A solicitação seja devidamente justificada e apresentada dentro do prazo.
18.3.2 A justificativa apresentada seja aceita pela Administração.
18.4 Serão formalizadas tantas Atas de Registro de Preços quantas forem necessárias para o registro de todos os itens constantes no Termo de Referência, com a indicação do licitante vencedor, a descrição do(s) item(ns), as respectivas quantidades, preços registrados e demais.
18.5 O preço registrado, com a indicação dos fornecedores, será divulgado no PNCP e disponibilizado durante a vigência da ata de registro de preços.
18.6 A existência de preços registrados implicará compromisso de fornecimento nas condições estabelecidas, mas não obrigará a Administração a contratar, facultada a realização de licitação específica para a aquisição pretendida, desde que devidamente justificada.
19 DA FORMAÇÃO DO CADASTRO DE RESERVA DA ATA DE REGISTRO DE PREÇOS
19.1 Após a homologação da licitação, será incluído na ata, na forma de anexo, o registro:
19.1.1 dos licitantes que aceitarem cotar o objeto com preço igual ao do adjudicatário, observada a classificação na licitação; e
19.1.2 dos licitantes que mantiverem sua proposta original.
19.2 Será respeitada, nas contratações, a ordem de classificação dos licitantes ou fornecedores registrados na ata.
19.3 Para fins da ordem de classificação, os licitantes ou fornecedores que aceitarem cotar o objeto com preço igual ao do adjudicatário antecederão aqueles que mantiverem sua proposta original.
19.4 A habilitação dos licitantes que comporão o cadastro de reserva será efetuada quando houver necessidade de contratação dos licitantes remanescentes, nas seguintes hipóteses:
19.4.1 quando o licitante vencedor não assinar a ata de registro de preços no prazo e nas condições estabelecidos no edital; ou
19.4.2 quando houver o cancelamento do registro do fornecedor ou do registro de preços, nas hipóteses previstas nos art. 28º e art. 29º do Decreto nº 11.462/23.
19.5 Na hipótese de nenhum dos licitantes que aceitaram cotar o objeto com preço igual ao do adjudicatário concordar com a contratação nos termos em igual prazo e nas condições propostas pelo primeiro classificado, a Administração, observados o valor estimado e a sua eventual atualização na forma prevista no edital, poderá:
19.5.1 Convocar os licitantes que mantiveram sua proposta original para negociação, na ordem de classificação, com vistas à obtenção de preço melhor, mesmo que acima do preço do adjudicatário; ou
19.5.2 Adjudicar e firmar o contrato nas condições ofertadas pelos licitantes remanescentes, observada a ordem de classificação, quando frustrada a negociação de melhor condição.
20 A FORMALIZAÇÃO E EXECUÇÃO DA ATA DE COMPROMISSO DE FORNECIMENTO
20.1 A execução da ata de registro de preços e dos contratos administrativos se regerá pelo estabelecido nos artigos 115º a 123º da Lei 14.133/2021, bem como pelos regulamentos próprios municipais editados e vigentes, parte integrante deste Edital e demais atos subsequentes.
20.2 A ata de registro de preços a ser firmada entre a SEMIT e a licitante vencedora, obedecerá à minuta sob Anexo IV deste Edital, dentro do prazo convocatório estabelecido neste Edital.
20.3 Antes de formalizar a ata de registro de preços, a Administração deverá verificar a regularidade fiscal do contratado, consultar o Cadastro Nacional de Empresas Inidôneas e Suspensas (Ceis) e o Cadastro Nacional de Empresas Punidas (Cnep), emitir as certidões negativas de inidoneidade, de impedimento e de débitos trabalhistas e juntá-las ao respectivo processo.
20.4 A desistência do órgão ou entidade promotora da licitação de contratar com a licitante mais bem classificada não lhe confere o direito à indenização ou reembolso de qualquer espécie.
21 DO RECEBIMENTO DO MATERIAL DO REGISTRO DE PREÇO
21.1 O recebimento do objeto da Ata de Registro de Preço ocorrerá pela Prefeitura Municipal de Salvador, consoante Art. 140º, da Lei 14.133/2021, e demais normas pertinentes.
21.2 Os responsáveis pelo atesto efetuarão vistoria no ato de entrega e avaliarão as condições dos produtos ou serviços prestados. Caso estas condições não sejam satisfatórias, ou estejam em desacordo com as especificações contidas no Termo de Referência, Anexo III deste Edital, o item poderá ser devolvido ou a prestação do serviço recusada, devendo ser substituída por outra, independente da aplicação das penalidades previstas.
21.3 Corre por conta da detentora da Ata, qualquer prejuízo causado ao produto em decorrência do transporte.
21.4 O objeto do presente certame, deverá estar de acordo com a solicitação do órgão gerenciador ou órgãos gerenciados da presente ATA, obedecendo o horário e o endereço indicado por estes, no prazo estipulado no Termo de Referência, devendo comunicar-se previamente com o fiscal do contrato para que este acompanhe a entrega.
21.5 Verificada a não conformidade das características do produto ou serviço, o detentor da Ata deverá promover as correções necessárias no prazo máximo fixado em Termo de Referência, sujeitando-se às penalidades previstas neste Edital.
21.6 A Nota Fiscal/Fatura deve, obrigatoriamente, ser entregue no órgão demandante, após a entrega do solicitado junto ao local designado pela mesma.
22 DO CANCELAMENTO DA ATA DE REGISTRO DE PREÇO
22.1 O registro de preços será cancelado quando o fornecedor:
22.1.1 Descumprir as condições da ata de registro de preços;
22.1.2 Não retirar a nota de empenho ou instrumento equivalente no prazo estabelecido pela Administração, sem justificativa aceitável;
22.1.3 Não aceitar reduzir o preço de contrato decorrente da ata, na hipótese deste se tornar superior àqueles praticados no mercado; ou;
22.1.4 Sofrer as sanções previstas nos incisos III ou IV do caput do art. 156º da Lei nº 14.133, de 1º de abril de 2021;
22.1.5 O cancelamento de registros nas hipóteses previstas nos incisos I, II e IV do caput será formalizado por despacho fundamentado.
22.2 O cancelamento do registro de preços também poderá ocorrer por fato superveniente, decorrente de caso fortuito ou força maior, que prejudique o cumprimento da ata, devidamente comprovados e justificados:
22.2.1 Por razão de interesse público; ou
22.2.2 A pedido do fornecedor.
23 DISPOSIÇÕES FINAIS
23.1 Será divulgada ata da sessão pública no sistema eletrônico.
23.2 Não havendo expediente ou ocorrendo qualquer fato superveniente que impeça a realização do certame na data marcada, a sessão será automaticamente transferida para o primeiro dia útil subsequente, no mesmo horário anteriormente estabelecido, desde que não haja comunicação em contrário pelo Pregoeiro.
23.3 Todas as referências de tempo no Edital, no aviso e durante a sessão pública observarão o horário de Brasília - DF.
23.4 A homologação do resultado desta licitação não implicará direito à contratação.
23.5 As normas disciplinadoras da licitação serão sempre interpretadas em favor da ampliação da disputa entre os interessados, desde que não comprometam o interesse da Administração, o princípio da isonomia, a finalidade e a segurança da contratação.
23.6 Os licitantes assumem todos os custos de preparação e apresentação de suas propostas e a Administração não será, em nenhum caso, responsável por esses custos, independentemente da condução ou do resultado do processo licitatório.
23.7 O desatendimento de exigências formais não essenciais não importará o afastamento do licitante, desde que seja possível o aproveitamento do ato, observados os princípios da isonomia e do interesse público.
23.8 À autoridade superior compete anular este pregão por ilegalidade, de ofício ou por provocação de qualquer pessoa, e revogar o certame por considerá-lo inoportuno ou inconveniente diante de fato superveniente, mediante ato escrito e fundamentado.
23.9 No julgamento das propostas e na fase de habilitação, o pregoeiro poderá sanar erros ou falhas que não alterem a substância das propostas e dos documentos e sua validade jurídica, mediante despacho fundamentado,
registrado em ata e acessível a todos, atribuindo-lhe validade e eficácia para fins de classificação e habilitação.
23.10 É facultado ao pregoeiro ou à autoridade superior, em qualquer fase deste pregão, promover diligência destinada a esclarecer ou completar a instrução do processo, sendo vedada, ressalvados os casos previstos neste Edital, a inclusão posterior de informações ou de documentos que deveriam ter sido apresentados para fins de classificação e habilitação.
23.11 Caso os prazos definidos neste Edital não estejam expressamente indicados na proposta, eles serão considerados como aceitos pelos licitantes para efeitos de julgamento deste pregão.
23.12 Poderá ser solicitada tradução para a língua portuguesa, efetuada por tradutor juramentado, de documentos emitidos em língua estrangeira, que também deverão ser devidamente consularizados ou registrados em cartório de títulos e documentos.
23.13 Em caso de divergência entre disposições deste Edital e de seus anexos ou demais peças que compõem o processo prevalecerá as deste Edital.
23.14 Este pregão poderá ter a data de abertura da sessão pública alterada desde que motivado o ato do adiamento.
23.15 Na contagem dos prazos estabelecidos neste Edital e seus Anexos, excluir-se-á o dia do início e incluir-se-á o do vencimento. Só se iniciam e vencem os prazos em dias de expediente na Administração.
23.16 Os dados pessoais decorrentes da execução deste Edital ficam, desde já, autorizados pelos licitantes e respectivos representantes, inclusive a eventual vencedor do certame e contratado (s), à disponibilidade pública nos sítios oficiais de informação e publicidade, nos termos do art. 7º, inciso I, da Lei n.º 13.709, de 14 de agosto de 2018.
23.17 Os casos omissos serão decididos pelo Pregoeiro, Comissão de Contratação e/ou Equipe de Apoio, nos termos dos regulamentos municipais condizentes com a Lei n.º 14.133/2021, bem como nos termos das demais legislações em vigor e Princípios Gerais de Direito.
23.18 Até que esteja sendo amplamente utilizado o Portal Nacional de Contratações Públicas - PNCP, para fins de garantir a ampla publicidade, este Edital será divulgado na página eletrônica da Prefeitura Municipal do Salvador - PMS, no endereço eletrônico: xxxxxxx.xxxxxxxx.xx.xxx.xx, no portal xxxxxxx.xxx.xx e em jornal local de grande circulação.
23.19 São partes integrantes deste Edital:
ANEXO I - MODELO DE PROPOSTA DE PREÇO; ANEXO II - ORÇAMENTO ESTIMATIVO;
ANEXO III - TERMO DE REFERÊNCIA E ANEXOS DO TERMO ANEXO IV - TERMO DE COMPROMISSO DE FORNECIMENTO ANEXO V – MINUTA DE CONTRATO
ANEXO VI - MODELO DE DECLARAÇÃO A SEREM APRESENTADAS JUNTAMENTE
COM A PROPOSTA:
a) Declaração Negativa De Relação Familiar Ou Parentesco;
b) Declaração De Cumprimento Da Lei Geral De Proteção De Dados - Lei Nº 13.709/2018;
c) Declaração De Integralidade Dos Custos;
d) Declaração De Reserva De Cargos;
e) Declaração De Que Pode Usufruir Dos Benefícios De ME e EPP;
f) Declaração Para Qualificação Econômico-Financeira;
g) Declaração De Atendimento Ao Inciso XXXIII Do Art. 7º. Da Constituição Federal;
h) Declaração De Vistoria;
i) Declaração De Pleno Conhecimento Do Edital e Anexos;
j) Declaração De Contratos Firmados Com e Iniciativa Privada e a Administração Pública.
ANEXO VII – ATA DE REGISTRO DE PREÇOS
24 DO FORO
24.1 As questões decorrentes das previsões deste Edital que não possam ser dirimidas administrativamente serão processadas e julgadas na Justiça Estadual, no Foro da Comarca de Salvador, com exclusão de qualquer outro, por mais privilegiado que seja.
SECRETARIA MUNICIPAL DE INOVAÇÃO E TECNOLOGIA – SEMIT PREGÃO ELETRÔNICO Nº 010/2024
ANEXO I - PROPOSTA DE PREÇOS
PROCESSO: 78748/2024
MODALIDADE DE LICITAÇÃO: Pregão Eletrônico NÚMERO DA LICITAÇÃO: 010/2024
Prezados Senhores,
Após examinar todas as cláusulas e condições estipuladas no Edital em referência, apresentamos nossa proposta nos termos consignados no mencionado ato convocatório e seus anexos, com os quais concordamos plenamente.
Nossa proposta é válida por 60 (sessenta) dias, contados da data prevista para a entrega dela, sendo o preço ofertado firme e irreajustável durante o seu prazo de validade. Informamos que estão inclusos nos preços ofertados todos os tributos, custos e despesas diretas ou indiretas, sendo de nossa inteira responsabilidade, ainda, os que porventura venham a ser omitidos na proposta ou incorretamente cotados.
O valor global de nossa proposta é de R$ (por extenso), conforme Xxxxxx a seguir:
PREFEITURA MUNICIPAL DO SALVADOR - SECRETARIA MUNICIPAL DE INOVAÇÃO E TECNOLOGIA – SEMIT COMISSÃO SETORIAL PERMANENTE DE LICITAÇÃO | PREGÃO N.º…./……. (RESPOSTA) | |
TEL: | FAX: | |
RAZÃO SOCIAL DO FORNECEDOR | ||
NOME/CONTATO: |
LOTE ÚNICO:
ITEM | DESCRITIVO | QTD. | UNIDADE DEMEDIDA | VALOR UNITÁRIO | VALOR TOTAL |
01 | SERVIÇOS GERENCIADOS DE GESTÃO DE VULNERABILIDADES DE DISPOSITIVOS, APLICAÇÕES, ACTIVE DIRECTORY E EXPOSIÇÃO CIBERNÉTICA POR 12 MESES EM UNIDADES DE 100 LICENÇAS. | 50 | Ativos | R$ | R$ |
02 | SERVIÇO GERENCIADOS DE VISIBILIDADE, CONFORMIDADE, SEGURANÇA E ORQUESTRAÇÃO DOS DISPOSITIVOS CONECTADOS À REDE CORPORATIVA PARA 100 DISPOSITIVOS POR 12 MESES. | 150 | Ativos | R$ | R$ |
03 | SERVIÇO GERENCIADOS DE ACESSO REMOTO SEGURO PELO PERÍODO DE 12 MESES COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 100 ATIVOS). | 10 | Ativos | R$ | R$ |
04 | SERVIÇO DE GERENCIAMENTO DE SUPORTE REMOTO SEGURO PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 05 USUÁRIOS). | 10 | Usuário Simultâneo | R$ | R$ |
05 | SERVIÇO DE GERENCIAMENTO DE CONTAS E SESSÕES PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 150 ATIVOS). | 10 | Ativos | R$ | R$ |
06 | SERVIÇO DE GERENCIAMENTO DE ESCALONAMENTO DE PRIVILÉGIO PARA ESTAÇÃO DE TRABALHO WINDOWS PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 100 ATIVOS). | 30 | host | R$ | R$ |
07 | SERVIÇO DE GERENCIAMENTO DE INTEGRAÇÃO E AUTENTICAÇÃO DAS PLATAFORMAS LINUX/UNIX NO ACTIVE DIRECTORY PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 50 ATIVOS). | 40 | host | R$ | R$ |
08 | SERVIÇOS GERENCIADOS DE DESENVOLVIMENTO SEGURO PARA 10 USUÁRIOS DESENVOLVEDORES PELO PERÍODO DE 12 MESES. | 05 | Usuário | R$ | R$ |
09 | SERVIÇOS GERENCIADOS DE VALIDAÇÃO CONTÍNUA DE SEGURANÇA PARA 100 DISPOSITIVOS POR 12 MESES. | 40 | Ativos | R$ | R$ |
VALOR GLOBAL | |||||
VALOR TOTAL DA PROPOSTA: | |||||
OBSERVAÇÕES: | |||||
Declaro que no preço cotado estão inclusas todas as despesas, tais como frete, seguro, taxas, tributos e outros gravames que possam incidir sobre o objeto licitado, bem como o produto será entregue no estabelecimento do contratante, sem ônus (CIF/Salvador). | |||||
SOLICITANTE/PROCESSO | VALIDADE DA PROPOSTA | PRAZO DE ENTREGA | |||
FORNECEDOR | |||||
/ / | |||||
DATA ASSINATURA/CARIMBO |
SECRETARIA MUNICIPAL DE INOVAÇÃO E TECNOLOGIA – SEMIT PREGÃO ELETRÔNICO Nº 010/2024
ANEXO II - ORÇAMENTO ESTIMATIVO
PROCESSO: 78748/2024
MODALIDADE DE LICITAÇÃO: Pregão Eletrônico NÚMERO DA LICITAÇÃO: 010/2024
O valor máximo estimado para a presente Contratação é R$ 14.260.333,20 (quatorze milhões duzentos e sessenta mil trezentos e trinta e três reais e vinte centavos), resultante da pesquisa de mercado efetuada, que será considerado valor máximo admissível para a contratação.
LOTE ÚNICO
ITEM | DESCRITIVO | TIPO | UNIDADE DE MEDIDA | QTD. | VALOR |
01 | SERVIÇOS GERENCIADOS DE GESTÃO DE VULNERABILIDADES DE DISPOSITIVOS, APLICAÇÕES, ACTIVE DIRECTORY E EXPOSIÇÃO CIBERNÉTICA POR 12 MESES EM UNIDADES DE 100 LICENÇAS. | Subscrição/ Serviço | Ativos | 01 | R$ 55.000,00 |
02 | SERVIÇO GERENCIADOS DE VISIBILIDADE, CONFORMIDADE, SEGURANÇA E ORQUESTRAÇÃO DOS DISPOSITIVOS CONECTADOS À REDE CORPORATIVA PARA 100 DISPOSITIVOS POR 12 MESES. | Subscrição/ Serviço | Ativos | 01 | R$ 16.100,00 |
03 | SERVIÇO GERENCIADOS DE ACESSO REMOTO SEGURO PELO PERÍODO DE 12 MESES COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 100 ATIVOS). | Subscrição/ Serviço | Ativos | 01 | R$ 128.852,50 |
04 | SERVIÇO DE GERENCIAMENTO DE SUPORTE REMOTO SEGURO PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 05 USUÁRIOS). | Subscrição/ Serviço | Usuário Simultâneo | 01 | R$ 75.000,00 |
05 | SERVIÇO DE GERENCIAMENTO DE CONTAS E SESSÕES PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 150 ATIVOS). | Subscrição/ Serviço | Ativos | 01 | R$ 85.000,00 |
06 | SERVIÇO DE GERENCIAMENTO DE ESCALONAMENTO DE PRIVILÉGIO PARA ESTAÇÃO DE TRABALHO WINDOWS PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 100 ATIVOS). | Subscrição/ Serviço | Host | 01 | R$ 33.530,00 |
07 | SERVIÇO DE GERENCIAMENTO DE INTEGRAÇÃO E AUTENTICAÇÃO DAS PLATAFORMAS LINUX/UNIX NO ACTIVE DIRECTORY PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 50 ATIVOS). | Subscrição/ Serviço | Host | 01 | R$40.500,00 |
08 | SERVIÇOS GERENCIADOS DE DESENVOLVIMENTO SEGURO PARA 10 USUÁRIOS DESENVOLVEDORES PELO PERÍODO DE 12 MESES. | Subscrição/ Serviço | Usuário | 01 | R$ 307.007,60 |
09 | SERVIÇOS GERENCIADOS DE VALIDAÇÃO CONTÍNUA DE SEGURANÇA PARA 100 DISPOSITIVOS POR 12 MESES. | Subscrição/ Serviço | Ativos | 01 | R$ 51.146,73 |
SECRETARIA MUNICIPAL DE INOVAÇÃO E TECNOLOGIA – SEMIT PREGÃO ELETRÔNICO Nº 010/2024
ANEXO III - TERMO DE REFERÊNCIA
1. OBJETO
1.1. Constitui objeto deste Termo de Referência, a contratação, na modalidade de registro de preço, de empresa especializada para prestação de serviços de solução integrada de segurança da informação para Plataforma de Gestão de Exposições, Simulação de Ataques e Conformidade de Defesas Cibernéticas, assim como solução de desenvolvimento seguro, objetivando ampliar a segurança da rede, sistemas, arquivos e dos ativos da PMS, por 12 (doze) meses, contemplando serviço de instalação, treinamento, configuração, gerenciamento, monitoramento e suporte on-site e atualização das soluções, garantias de conformidade e resposta a incidentes para a equipe da CONTRATANTE, de acordo com a conveniência e necessidade dos órgãos e entidades da Prefeitura Municipal do Salvador – PMS, conforme especificações técnicas constantes neste Termo de Referência.
2. CONTEXTUALIZAÇÃO
2.1. O objeto pretendido para esta contratação deverá ser fornecido nos termos previstos neste instrumento, sendo de responsabilidade da Secretaria Municipal de Inovação e Tecnologia – SEMIT, acompanhar seu respectivo recebimento, acompanhamento e demais tratativas à perfeita instalação e funcionamento. A contratação se dará através de uma ata de Registro de Preços (fornecimento sob demanda) dividida em itens, porém atendido por único fornecedor.
2.2. No contexto tecnológico atual, onde tanto instituições públicas quanto privadas empregam tecnologia da informação para atender as suas mais diversas necessidades, a segurança da informação se apresenta como um componente vital da transformação digital e com a Prefeitura Municipal do Salvador não é diferente.
2.3. As tecnologias evoluem buscando atender as mais diversas demandas, exigindo que órgãos públicos abordem a necessidade de se adotar processos de acompanhamento dessas inovações, especialmente pela indispensável necessidade de se garantir a proteção dos dados e buscando aprimorar a eficiência dos serviços públicos, além de agilizar o atendimento às demandas dos cidadãos.
2.4. Em um mundo cada vez mais conectado, a segurança da informação desempenha um papel fundamental na salvaguarda dos sistemas e dados da PMS. A implementação de medidas avançadas de proteção e de monitoramento, se mostram essenciais para mitigar tanto riscos relacionados com a vulnerabilidade, quanto para possibilitar o perfeito funcionamento de sistemas sustentados pela PMS.
2.5. No ambiente atual, caracterizado por uma crescente adoção de contratação como serviço e acessos descentralizados, a SEMIT reconhece a importância de um acesso remoto seguro. As tecnologias e serviços contratados devem garantir que o acesso remoto aos sistemas da PMS seja feito de maneira segura e controlada, utilizando as melhores práticas de autenticação e criptografia. Isso é vital para evitar acessos não autorizados e garantir a integridade e confidencialidade das informações acessadas remotamente.
2.6. A SEMIT enfatiza a necessidade de um desenvolvimento de software seguro. As soluções tecnológicas adquiridas devem ser projetadas com uma abordagem de segurança desde a concepção, incorporando práticas de desenvolvimento seguro para prevenir vulnerabilidades. Isso inclui revisão de código, testes de segurança e atualizações regulares, assegurando que os sistemas sejam resilientes contra ameaças cibernéticas.
2.7. A gestão de vulnerabilidades garante que qualquer ponto fraco nos sistemas seja identificado e mitigado. Isso se alinha perfeitamente com a validação contínua de segurança, onde a SEMIT mantém um ciclo constante de avaliação e melhoria da segurança. Isso não só aborda as vulnerabilidades existentes, mas também prepara a PMS para responder rapidamente a novas ameaças e identificar a capacidade das suas soluções de segurança sejam eficientes para detecções de campanhas.
2.8. Cada um destes temas, embora distintos, contribui para um ecossistema de segurança integrado. O desenvolvimento seguro e o acesso remoto seguro são medidas proativas, enquanto a gestão de vulnerabilidades e a validação contínua são reativas e adaptativas. Juntos, eles formam uma abordagem abrangente, garantindo que a PMS não apenas responda às necessidades atuais de segurança da informação, mas também esteja preparada para os desafios futuros.
2.9. Portanto, a SEMIT destaca-se no cenário da transformação digital, especialmente no que tange à segurança da informação. Ao incorporar uma abordagem inovadora e priorizar investimentos em tecnologias seguras, a PMS demonstra seu compromisso em fortalecer a infraestrutura digital. Este empenho é direcionado não apenas para aprimorar a qualidade dos serviços públicos, mas também para assegurar a proteção integral dos dados dos cidadãos. Tal iniciativa reflete o entendimento da PMS sobre a importância crítica da segurança da informação na era digital, e seu papel fundamental na oferta de serviços públicos eficientes e seguros.
2.10. JUSTIFICATIVA DA NECESSIDADE DA CONTRATAÇÃO
2.10.1. A Secretaria Municipal de Inovação e Tecnologia (SEMIT) é uma pasta transversal, que possibilita a criação e a execução dos grandes projetos das áreas de inovação e tecnologia da Prefeitura, através de padronizações, soluções e planejamentos em conjunto com os demais órgãos da administração municipal. A SEMIT é responsável também por promover a Gestão Integrada de TIC (Tecnologia da Informação e Comunicação) da Prefeitura por meio da racionalização dos recursos tecnológicos, centralização, padronização e de uma gestão melhor para tomadas de decisões.
2.10.2. Desde sua fundação, a SEMIT vem desenvolvendo diversos projetos importantes para a cidade de Salvador, com destaque para O Plano Diretor de Cidades Inteligentes que busca materializar os anseios da sociedade soteropolitana e definir as diretrizes que balizarão, ao longo dos próximos trinta anos, o movimento de transformação urbana e social da cidade de Salvador sob o conceito de Smart City (Cidade Inteligente).
2.10.3. As Smart Cities, ou cidades inteligentes, utilizam a tecnologia para melhorar a infraestrutura urbana e tornar as cidades mais eficientes e sustentáveis. As Smart Cities podem implementar medidas de cibersegurança avançadas, como firewalls, sistemas de detecção de intrusão, e outras defesas para proteger contra-ataques cibernéticos. Além disso, elas podem usar ferramentas de gestão de identidade e acesso para garantir que apenas pessoas autorizadas tenham acesso a sistemas e dados sensíveis.
2.10.4. As soluções tecnológicas que elas empregam podem variar, mas geralmente incluem Internet das Coisas (IoT), Big Data, Inteligência Artificial (IA), Controle de Acesso e Visibilidade.
2.10.5. Providas pela SEMIT, as infraestruturas inteligentes, de uso compartilhado por todos os órgãos e entidades prestadores de serviços, abrangerão os principais projetos: a Infovia, a Nuvem Urbana e o Centro de Inteligência Municipal – Observatório Salvador. Estes equipamentos/serviços garantirão o atingimento de níveis de resiliência e segurança cibernética adequados à magnitude do programa de Cidade Inteligente.
2.10.6. A SEMIT também é responsável por gerenciar uma variedade de sistemas e serviços digitais cruciais para o funcionamento eficiente da administração municipal. Estes sistemas e serviços armazenam e processam uma quantidade significativa de dados sensíveis e importantes. Como tal, é imperativo garantir que esses ativos digitais estejam protegidos contra ameaças cibernéticas, sendo os serviços de desenvolvimento seguro, acesso remoto seguro e de simulação de ataques ferramentas essenciais para
avaliar e fortalecer a segurança dos ambientes de Tecnologia da Informação.
2.10.7. Diariamente, colaboradores das equipes de suporte e desenvolvimento, sejam eles próprios da secretaria, terceiros ou provedores de serviço, necessitam de acessos com perfis administrativos nos ambientes para executarem tarefas como instalar, configurar, desenvolver e dar suporte às suas aplicações.
2.10.8. Esse tipo de acesso privilegiado, muitas vezes com senha de sistema única e compartilhada, dificulta o gerenciamento e auditoria, trazendo grande risco à Segurança da Informação no ambiente corporativo, uma vez que a identificação do usuário, bem como a rastreabilidade das operações realizadas neste ambiente, fica comprometidas, potencializando os incidentes e dificultando a responsabilização.
2.10.9. Além disso, existe a grande movimentação de novos colaboradores assim como a saída de outros que causam uma falha no processo de gestão de senhas, tornando prejudicada e vulnerável, visto que é um processo moroso para a alteração das credenciais a cada mudança de colaboradores.
2.10.10. O desenvolvimento seguro é a abordagem prática de incorporar medidas de segurança e princípios em todo o ciclo de vida do desenvolvimento de software. Prioriza a identificação, prevenção e correção de vulnerabilidades e falhas de segurança desde a fase inicial de concepção até a fase de manutenção e atualização se integrando com a esteira de CI/CD da PMS.
2.10.11. Esta contratação permitirá à PMS identificar proativamente áreas de risco e implementar medidas corretivas para mitigar a possibilidade de comprometimento da integridade, confidencialidade e disponibilidade dos sistemas e dados sob sua gestão. Além disso, proporcionará uma visão abrangente do estado atual da segurança da informação, permitindo a alocação eficiente de recursos para abordar as áreas mais críticas e vulneráveis.
2.10.12. Esta ação irá contribuir significativamente para a construção de um ambiente de TI mais seguro e resiliente, minimizando os riscos associados a incidentes de segurança, como vazamento de dados, interrupções de serviço e danos à reputação. Além disso, um ambiente de TI seguro é fundamental para manter a confiança do público nos serviços oferecidos pela administração municipal, elemento crucial para a efetiva prestação de serviços públicos.
2.10.13. Por fim, esta contratação é um investimento estratégico que promove a melhoria contínua da postura de segurança da PMS. Ao identificar e endereçar proativamente as falhas, a Prefeitura estará não apenas cumprindo com as melhores práticas e normativas de segurança da informação, mas também demonstrando um compromisso sólido com a proteção dos dados e serviços municipais, fortalecendo assim a integridade e a confiabilidade dos sistemas de informação da cidade de Salvador.
2.11. BENEFÍCIOS
2.11.1. A contratação da solução integrada de segurança da informação para a Plataforma de Gestão de Exposições, Simulação de Ataques e Conformidade de Defesas Cibernéticas, assim como a solução de desenvolvimento seguro, traz diversos benefícios para a Prefeitura Municipal do Salvador - PMS:
2.11.1.1. A implementação das soluções propostas visa ampliar a segurança da rede, sistemas, arquivos e dos ativos da PMS, assegurando a integridade, confidencialidade e disponibilidade dos dados sob sua gestão.
2.11.1.2. A inclusão de serviços de instalação, treinamento, configuração, gerenciamento, monitoramento e suporte on-site proporciona uma resposta eficiente a incidentes, minimizando o impacto de possíveis violações de segurança.
2.11.1.3. A adoção de práticas de desenvolvimento seguro, gestão de vulnerabilidades e validação contínua contribui para o cumprimento de normativas de segurança da informação, fortalecendo a postura de conformidade da PMS.
2.11.1.4. A garantia de um acesso remoto seguro, com práticas avançadas de autenticação e criptografia, assegura que apenas usuários autorizados tenham acesso aos sistemas da PMS, evitando acessos não autorizados.
2.11.1.5. As soluções propostas estão alinhadas com a transformação digital e a construção de uma cidade inteligente, promovendo eficiência nos serviços públicos, sustentabilidade e segurança cibernética avançada.
2.11.1.6. A contratação atende à necessidade da SEMIT de promover a Gestão Integrada de TIC, padronizando recursos tecnológicos, centralizando e melhorando a gestão para tomada de decisões.
2.11.1.7. As tecnologias a serem implementadas contribuirão para a materialização do Plano Diretor de Cidades Inteligentes, promovendo o avanço urbano e social da cidade de Salvador ao longo dos próximos trinta anos.
2.12. ALINHAMENTO ESTRATÉGICO
2.12.1. Está contratação está alinhada com o Planejamento de Contratações e Aquisições de TIC (PCTIC). O PCTIC é um instrumento importante para o planejamento estratégico da gestão de TIC e possibilita a identificação das necessidades e demandas dos órgãos da PMS em relação aos equipamentos e serviços de TIC, garantindo que as contratações sejam realizadas de forma planejada e eficiente.
2.13. REFERÊNCIA AOS ESTUDOS PRELIMINARES
2.13.1. Este Termo de Referência foi elaborado com base nas informações contidas no Documento de Oficialização da Demanda (DOD) encaminhado pela Coordenação de Planejamento e Compras de TIC – CPC, para o Gabinete da SEMIT e no conteúdo dos Estudos Preliminares desenvolvidos pela Equipe de Planejamento da Contratação.
2.14. DEFINIÇÃO E JUSTIFICATIVA DA ESCOLHA DA SOLUÇÃO ADOTADA
2.14.1. A solução proposta atende de maneira específica às demandas e requisitos da PMS, oferecendo serviços de segurança da informação personalizados para a Plataforma de Gestão de Exposições, Simulação de Ataques e Conformidade de Defesas Cibernéticas. Isso assegura a eficiência na proteção dos dados e ativos municipais.
2.14.2. Considerando o papel estratégico da SEMIT na transformação digital e na construção de uma cidade inteligente, a solução escolhida incorpora tecnologias avançadas, como Internet das Coisas (IoT), Big Data e Inteligência Artificial, garantindo o suporte necessário para os principais projetos da PMS, como a Infovia, a Nuvem Urbana e o Centro de Inteligência Municipal – Observatório Salvador.
2.14.3. A ênfase na necessidade de desenvolvimento seguro demonstra a preocupação com a integridade e segurança dos sistemas desde a fase inicial do ciclo de vida do software. A solução promove medidas proativas para identificação, prevenção e correção de vulnerabilidades, integrando-se à esteira de CI/CD da PMS.
2.14.4. A solução contempla a gestão de vulnerabilidades, identificando e mitigando pontos fracos nos sistemas de forma contínua. Essa abordagem reativa e adaptativa contribui para a segurança cibernética, preparando a PMS para responder rapidamente a novas ameaças e garantindo a eficácia das soluções de segurança.
2.14.5. Cada aspecto abordado, desde o desenvolvimento seguro até a gestão de vulnerabilidades, contribui para a construção de um ecossistema de segurança integrado. A abordagem abrangente visa não apenas atender às necessidades presentes, mas também preparar a PMS para desafios futuros na segurança da informação.
2.14.6. A solução escolhida está alinhada com os projetos estratégicos da SEMIT, especialmente o Plano Diretor de Cidades Inteligentes. Ela contribui para a concretização desses projetos, garantindo a segurança necessária para infraestruturas compartilhadas e promovendo a eficiência na prestação de serviços públicos.
2.15. NATUREZA DO OBJETO
2.15.1. O objeto possui características comuns e usuais encontradas no mercado de TIC, cujos padrões de desempenho e de qualidade podem ser objetivamente definidos, bem como a técnica para sua realização é perfeitamente conhecida, dominada e oferecida pelo mercado, o mesmo pode ser enquadrado como serviço de natureza comum.
2.16. VIGÊNCIA DO CONTRATO
2.16.1. O prazo de vigência do contrato será de 12 (doze) meses, contando da data de assinatura do contrato podendo ser prorrogado por iguais e sucessivos períodos, até o limite previsto na Lei nº 14.133/21 e suas posteriores atualizações.
2.16.2. O objeto deste Termo de Referência, não poderá sofrer descontinuidade durante todo o prazo contratual.
2.16.3. A vigência da ata de registro de preços decorrente da referida licitação será de 12 (doze) meses, a contar da data de sua assinatura. Podendo ser prorrogado por mais 12 (doze) meses de acordo com o art. 84 da Lei 14.133/21.
2.17. PARCELAMENTO E ADJUDICAÇÃO DO OBJETO
2.17.1. A opção pelo não parcelamento em lotes justifica-se, mediante a necessidade de garantir a eficiência na gestão da segurança da informação de forma integrada. A adjudicação do objeto deve ser conduzida de maneira transparente, levando em conta critérios como qualidade, experiência da empresa, conformidade com especificações técnicas e custo-benefício.
2.17.2. Analisando o contexto desta contratação e os requisitos levantados, conclui-se que dividir o objeto em itens distintos não é viável. Tal divisão seria desnecessária e prejudicial à gestão contratual, fragmentando o escopo de forma inconveniente. Portanto, não se justifica o parcelamento, e a adjudicação será realizada de maneira global, ou seja, todos os elementos que compõem o objeto da contratação serão atribuídos a um único fornecedor.
2.17.3. O certame licitatório seguirá o critério de menor preço global. Essa abordagem não acarretará prejuízos para a solução como um todo nem resultará em perda de economia de escala. A adjudicação será feita em um único lote, sem qualquer parcelamento do objeto, garantindo assim a integridade e a eficiência do processo licitatório.
2.18. MODALIDADE, TIPO DE LICITAÇÃO E CRITÉRIOS DE ACEITABILIDADE DA PROPOSTA
2.18.1. Conforme expressado no tópico 2.15, o objeto possui características comuns e usuais encontradas no mercado de TIC e, portanto, sugere-se a modalidade Pregão Eletrônico com seleção da melhor proposta pelo menor valor por lote.
2.19. HABILITAÇÃO E QUALIFICAÇÃO TÉCNICA
2.19.1. A PROPONENTE deverá apresentar atestado(s) de capacidade técnica, expedido(s) por pessoa jurídica de direito público ou privado, certificando que a empresa tenha prestado serviços pertinentes e em prazos e quantitativos compatíveis com as características do objeto deste certame, cujo somatório seja no mínimo 30% do quantitativo total estimado.
2.19.2. Os atestados deverão ser impressos em papel timbrado, com nome e telefone de contato dos responsáveis pela informação atestada, não sendo aceitas declarações genéricas, devendo ainda atestar a satisfação com o serviço ofertado pela PROPONENTE.
2.19.3. A CONTRATANTE se reserva o direito de conferir as informações prestadas pelas empresas emitentes dos atestados, através de consultas e visitas, bem como a disponibilidade de equipamentos solicitados junto à PROPONENTE.
2.19.4. A PROPONENTE deverá apresentar em sua proposta, obrigatoriamente, planilha ponto
a ponto de verificação de atendimento às especificações técnicas, demonstrando o atendimento da solução para cada item técnico do Termo de Referência a fim de facilitar a verificação da adequação da solução proposta às características técnicas obrigatórias constantes no Termo de Referência.
2.20. DA SUBCONTRATAÇÃO
2.20.1. Não será permitida a subcontratação do objeto deste Termo de Referência.
2.21. DO CONSÓRCIO
2.21.1. Não será permitida a participação de empresas em consórcio.
3. ESPECIFICAÇÕES DETALHADAS DO OBJETO
3.1. LOTE ÚNICO
ITEM | DESCRITIVO | TIPO | PERÍODO | UNIDADE DEMEDIDA | QTD. |
01 | SERVIÇOS GERENCIADOS DE GESTÃO DE VULNERABILIDADES DE DISPOSITIVOS, APLICAÇÕES, ACTIVE DIRECTORY E EXPOSIÇÃO CIBERNÉTICA POR 12 MESES EM UNIDADES DE 100 LICENÇAS. | Subscrição/Serviço | 12 meses | Ativos | 50 |
02 | SERVIÇO GERENCIADOS DE VISIBILIDADE, CONFORMIDADE, SEGURANÇA E ORQUESTRAÇÃO DOS DISPOSITIVOS CONECTADOS À REDE CORPORATIVA PARA 100 DISPOSITIVOS POR 12 MESES. | Subscrição/Serviço | 12 meses | Ativos | 150 |
03 | SERVIÇO GERENCIADOS DE ACESSO REMOTO SEGURO PELO PERÍODO DE 12 MESES COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 100 ATIVOS). | Subscrição/Serviço | 12 meses | Ativos | 10 |
04 | SERVIÇO DE GERENCIAMENTO DE SUPORTE REMOTO SEGURO PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 05 USUÁRIOS). | Subscrição/Serviço | 12 meses | Usuário Simultâneo | 10 |
05 | SERVIÇO DE GERENCIAMENTO DE CONTAS E SESSÕES PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 150 ATIVOS). | Subscrição/Serviço | 12 meses | Ativos | 10 |
06 | SERVIÇO DE GERENCIAMENTO DE ESCALONAMENTO DE PRIVILÉGIO PARA ESTAÇÃO DE TRABALHO WINDOWS PELO PERÍODO DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 100 ATIVOS). | Subscrição/Serviço | 12 meses | host | 30 |
07 | SERVIÇO DE GERENCIAMENTO DE INTEGRAÇÃO E AUTENTICAÇÃO DAS PLATAFORMAS LINUX/UNIX NO ACTIVE DIRECTORY PELO PERÍODO | Subscrição/Serviço | 12 meses | host | 40 |
DE 12 MESES, COM SUPORTE E GARANTIA DO FABRICANTE. (PACOTE PARA 50 ATIVOS). | |||||
08 | SERVIÇOS GERENCIADOS DE DESENVOLVIMENTO SEGURO PARA 10 USUÁRIOS DESENVOLVEDORES PELO PERÍODO DE 12 MESES. | Subscrição/Serviço | 12 meses | Usuário | 05 |
09 | SERVIÇOS GERENCIADOS DE VALIDAÇÃO CONTÍNUA DE SEGURANÇA PARA 100 DISPOSITIVOS POR 12 MESES. | Subscrição/Serviço | 12 meses | Ativos | 40 |
3.2. REQUISITOS FUNCIONAIS
Tabela A – Escopo do Objeto
3.2.1. ITEM 01 - Serviços Gerenciados de Gestão de Vulnerabilidades de Dispositivos, Aplicações, Active Directory e Exposição Cibernética por 12 meses em unidades de 100 licenças.
3.2.1.1. Os Serviços Gerenciados de Gestão de Vulnerabilidades de Dispositivos, Aplicações, Active Directory e Exposição Cibernética deverão ser realizados através de ampliação da plataforma Tenable, já em uso pela CONTRATANTE.
3.2.1.2. A solução deve realizar varreduras (scans) de vulnerabilidades, avaliação de configuração e conformidade (baseline e compliance);
3.2.1.3. A solução deve possuir recurso de varredura ativa, onde o scanner comunica-se com os alvos (ativos) através da rede;
3.2.1.4. A solução de gestão de vulnerabilidades deve suportar varreduras de dispositivos de IoT;
3.2.1.5. A solução deve ser licenciada pelo número de endereços IP ou dispositivos (assets);
3.2.1.6. A solução deve fornecer um modelo de armazenamento integrado que não dependa de um banco de dados externos ou de terceiros;
3.2.1.7. Caso a solução dependa de banco de dados de terceiros, todas as licenças deverão ser fornecidas pela CONTRATADA.
3.2.1.8. A solução deverá suportar API (Application Programming Interface) baseada em REST (Representatonal State Transfer) para automação de processos e integração com aplicações terceiras.
3.2.1.9. A solução deve possuir integração via API no mínimo as seguintes linguagens: Python, Powershell, Ruby, javascript, Java, Swift e PHP;
3.2.1.10. A solução deve possuir métodos de consulta via api e envio, tais como: HTTP METHOD (POST, GET, PUT AND DELETE);
3.2.1.11. A solução deve incluir a opção para agentes instalados e licenciados em estações de trabalho e servidores, para varredura diretamente no sistema operacional;
3.2.1.12. Tais agentes devem ser gerenciados pela mesma interface/console da plataforma de gestão de vulnerabilidades;
3.2.1.13. A solução deve permitir o agrupamento de scanners para facilitar o gerenciamento e aplicação de políticas;
3.2.1.14. A solução deve realizar a varredura tanto de dispositivos na rede interna, dispositivos expostos a demais redes externas, tanto quanto dispositivos em nuvens públicas como Azure, AWS ou GCP;
3.2.1.15. O escaneamento para os dispositivos expostos deve ser realizado através de SCANS (ENGINE) do próprio fabricante alocados no Brasil;
3.2.1.16. Os scanners e sensores agentes deverão ser gerenciados por uma única plataforma, de
maneira centralizada;
3.2.1.17. O acesso a console de gerenciamento deve ser fornecida para pelo menos 10 usuários simultâneos;
3.2.1.18. A solução deve ser capaz de se integrar e disponibilizar insumos para soluções de correlação de eventos externa (SIEM);
3.2.1.19. A solução deve apresentar, para cada vulnerabilidade encontrada, a descrição e passos que devem ser tomados para correção;
3.2.1.20. A solução deve apresentar, para cada vulnerabilidade encontrada, evidências da vulnerabilidade através de saídas das verificações (outputs);
3.2.1.21. A solução deve fornecer controle de acesso baseado em função (RBAC- Role Based Access Control) para controlar o acesso do usuário a conjuntos de dados e funcionalidades;
3.2.1.22. A solução deve ser capaz de definir e gerenciar grupos de usuários, incluindo limitação de funções de varreduras e acesso a relatórios e dashboards;
3.2.1.23. A solução deve ter a capacidade de excluir determinados endereços IP do escopo de qualquer varredura ou scan;
3.2.1.24. A solução deve criptografar todos resultados de varreduras obtidos e informações inseridas tanto em descanso quanto em trânsito;
3.2.1.25. A solução deve suportar métodos de autenticação usando bases de autenticação local, e SAML (Security Assertion Markup Language) para uso de SSO (Single Sign-On);
3.2.1.26. A solução deve ser capaz de orquestrar scanners ilimitados dentro da infraestrutura;
3.2.1.27. A solução não deve impor nenhum limite de quantidade de scanners implementados dentro da infraestrutura;
3.2.1.28. A solução deverá possuir sistema de alertas para informar a disponibilidade de resultados dos escaneamentos através de email;
3.2.1.29. A solução deve oferecer capacidade de configuração dinâmica de grupos de ativos através de no mínimo as seguintes características:
3.2.1.29.1. Sistema Operacional, Endereço IP, DNS, NetBIOS Host, MAC, AWS Instance Type, AWS EC2 Name, Software instalado, Azure VM ID, AWS Region, Google Cloud Instance ID, Azure Resource ID, Ativos avaliados;
3.2.1.30. DOS RELATÓRIOS E PAINÉIS GERENCIAIS
3.2.1.30.1. A solução deverá possuir painéis gerenciais (dashboards) pré-definidos para rápida visualização dos resultados, permitindo ainda a criação de painéis personalizados;
3.2.1.30.2. Os painéis gerenciais deverão ser apresentados em diversos formatos, incluindo gráficos e tabelas, possibilitando a exibição de informações em diferentes níveis de detalhamento;
3.2.1.30.3. Os relatórios devem ser disponibilizados sob demanda no console de gerência da solução;
3.2.1.30.4. Os relatórios devem conter informações da vulnerabilidade, severidade, se existe um exploit disponível e informações do ativo;
3.2.1.30.5. A solução deve permitir a customização de dashboards/relatórios;
3.2.1.30.6. A solução deve concentrar todos os relatórios na plataforma central de gerenciamento, não sendo aceitas soluções fragmentadas;
3.2.1.30.7. A solução deve ser capaz de produzir relatórios, pelo menos, nos seguintes formatos: HTML, PDF e CSV;
3.2.1.30.8. A solução deve possibilitar a criação de relatórios baseado nos seguintes alvos: Todos os ativos e Alvos específicos;
3.2.1.30.9. Deve suportar a criação de relatórios criptografados (protegidos por senha configurável);
3.2.1.30.10. A solução deve suportar o envio automático de relatórios para destinatários específicos;
3.2.1.30.11. Deve ser possível definir a frequência na geração dos relatórios para no mínimo: Diário, Mensal, Semanal e Anual;
3.2.1.30.12. Permitir especificar níveis de permissão nos relatórios para usuários e grupos específicos;
3.2.1.31. DAS VARREDURAS
3.2.1.31.1. A solução deve realizar varreduras em uma variedade de sistemas operacionais, incluindo no mínimo Windows, Linux e Mac OS, bem como appliances virtuais;
3.2.1.31.2. A solução deve suportar varredura com e sem agente, de maneira ativa e passiva, distribuídas em diferentes localidades e regiões e gerenciar todos por uma console central;
3.2.1.31.3. A solução deve fornecer agentes instaláveis em sistemas operacionais distintos para monitoramento contínuo de vulnerabilidades;
3.2.1.31.4. Tais agentes devem realizar conexões para o sistema gerenciamento através de protocolo seguro;
3.2.1.31.5. A solução deve ser configurável para permitir a otimização das configurações de varredura;
3.2.1.31.6. A solução deve permitir a entrada e o armazenamento seguro de credenciais do usuário, incluindo contas locais, de domínio (LDAP e Active Directory) e root para sistemas Linux;
3.2.1.31.7. A solução deve fornecer a capacidade de escalar privilégios nos destinos, do acesso de usuário padrão até acesso de sistema ou administrativo;
3.2.1.31.8. A solução deve se integrar com solução de gerenciamento de acessos privilegiados para autenticação nos dispositivos, no mínimo, os seguintes:
3.2.1.31.8.1. CyberArk;
3.2.1.31.8.2. BeyondTrust;
3.2.1.31.8.3. Thycotic;
3.2.1.31.8.4. Centrify;
3.2.1.31.9. A solução deve suportar o agendamento de scans personalizados, incluindo a capacidade de executar varreduras em tempos designados, com frequência pré- determinada;
3.2.1.31.10. A solução deve ser capaz de identificar novos hosts no ambiente sem a necessidade de scan;
3.2.1.31.11. A solução deve possuir recurso de monitoria passiva do tráfego de rede para identificação de anomalias, novos dispositivos e desvios de padrões observados;
3.2.1.31.12. A solução deve ser capaz de realizar em tempo real a descoberta de vulnerabilidades nas seguintes tecnologias:
0.0.0.00.00.0.Xxxxx Services; 0.0.0.00.00.0.Xxxx Leakage; 3.2.1.31.12.3.Database;
3.2.1.31.12.4.IoT;
0.0.0.00.00.0.Xxxxxx Devices; 3.2.1.31.12.6.Operating System;
3.2.1.31.12.7.Peer-To-Peer;
3.2.1.31.12.8.SCADA;
3.2.1.31.12.9.Web Servers; 3.2.1.31.12.10. Web Clients;
3.2.1.31.13. A solução deve ser capaz de identificar a comunicação de malwares na rede de forma passiva;
3.2.1.31.14. A solução deve em tempo real, detectar logins e downloads de arquivos em um compartilhamento de rede;
3.2.1.32. DA ANÁLISE E PRIORIZAÇÃO DE VULNERABILIDADES
3.2.1.32.1. A solução deve ser capaz de exibir ambos severidade e pontuação, com base em CVSS (Common Vulnerability Scoring System) e inteligência de ameaças;
3.2.1.32.2. A solução deve utilizar sistema de pontuação e priorização das vulnerabilidades que utilize no mínimo:
3.2.1.32.2.1. CVSS Impact Score; 3.2.1.32.2.2. Idade da Vulnerabilidade;
3.2.1.32.2.3. Maturidade de códigos de exploração da vulnerabilidade encontrada; 3.2.1.32.2.4. Frequência de uso da vulnerabilidade em ataques e campanhas atuais; 3.2.1.32.2.5. Disponibilidade do código de exploração da vulnerabilidade;
3.2.1.32.2.6. Presença de módulos de exploração de vulnerabilidade em frameworks automatizados de exploração de vulnerabilidades como CANVAS, Metasploit e Core Impact;
3.2.1.32.2.7. Popularidade da vulnerabilidade em fóruns e comunicações na Darkweb;
3.2.1.32.3. O mecanismo de priorização deve ser sujeito a modificações e atualizações diárias com base em inteligência de ameaças e observação de tendências na Internet;
3.2.1.33. DA ANÁLISE DE RISCO DO AMBIENTE
3.2.1.33.1. A solução deve gerar um score que combine dados de vulnerabilidades com a criticidade dos ativos do ambiente computacional;
3.2.1.33.2. O score deve ser gerado automaticamente por meio de algoritmos de inteligência artificial (Machine Learning) e deve calcular a probabilidade de exploração de uma determinada vulnerabilidade;
3.2.1.33.3. Deve ser capaz de calcular a criticidade dos ativos da organização;
3.2.1.33.4. A solução deve ser capaz de realizar um benchmark no ambiente da CONTRATANTE comparando sua maturidade com outras organizações do mesmo setor;
3.2.1.33.5. A solução deve prover visão sobre quais ações de remediação reduzem o maior nível de risco do ambiente;
3.2.1.33.6. A solução deve também permitir a visualização de ações de remediação agregadas para visão consolidada de redução de risco;
3.2.1.33.7. Deve permitir modificar a qualquer momento o tipo de indústria para comparação. Ex: Mudar de Setor Público para Mercado Financeiro;
3.2.1.33.8. Deve fornecer uma lista com as principais recomendações para o ambiente com foco na redução da exposição cibernética da organização;
3.2.1.33.9. A solução deve gerar uma pontuação para cada um dos ativos onde é levado em conta as vulnerabilidades presentes naquele ativo assim como a classificação do ativo na rede (peso do ativo);
3.2.1.33.10. A solução deve gerar uma pontuação global referente a exposição cibernética da organização baseado nas pontuações de cada um dos ativos;
3.2.1.33.11. A solução deve oferecer uma capacidade de comparação (benchmarking) da pontuação referente a exposição cibernética com outros players da mesma indústria assim como outras empresas do mercado;
3.2.1.33.12. A solução deve permitir um acompanhamento histórico do nível de exposição da organização;
3.2.1.33.13. Permitir realizar alterações na classificação dos ativos (atribuição de pesos diferentes) podendo sobrescrever a classificação atribuída automaticamente pela solução;
3.2.1.33.14. A solução deverá apresentar indicadores específicos referentes a remediação, possuindo no mínimo informações referentes ao tempo entre remediação e o tempo o qual a vulnerabilidade foi descoberta no ambiente, tempo entre a remediação e a data de publicação da vulnerabilidade, quantidade média de vulnerabilidades críticas por ativo e a comparação da quantidade de vulnerabilidades corrigidas por criticidade;
3.2.1.33.15. A solução deve permitir a segregação lógica entre áreas distintas da empresa afim de obter a pontuação referente exposição cibernética por área;
3.2.1.34. DO GERENCIAMENTO DA ANÁLISE DE ATAQUES EXPLORÁVEIS
3.2.1.34.1. Deve disponibilizar visibilidade nas técnicas de ataque baseado no framework MITRE ATT&CK;
3.2.1.34.2. Deve identificar qual a criticidade do ataque, em no mínimo: baixo, médio e alto; 3.2.1.34.3. Deve prover a evidência relacionada a descoberta do ataque;
3.2.1.34.4. Deve mostrar o objeto relacionado ao ataque, de origem e de destino;
3.2.1.34.5. Deve apresentar informações detalhadas relacionadas a mitigação para o ataque em análise;
3.2.1.34.6. Deve prover quais ferramentas e possíveis malwares associados ao ataque;
3.2.1.34.7. Deve disponibilizar de forma gráfica via console de gerenciamento as conexões entre os objetos do ataque;
3.2.1.34.8. Deve disponibilizar uma biblioteca com ‘Queries’ para a busca de objetos no mínimo os
seguintes segmentos: 3.2.1.34.8.1. Rede;
3.2.1.34.8.2. Endpoint;
3.2.1.34.8.3. Active Directory;
3.2.1.34.8.4. Permissão;
3.2.1.34.8.5. Ransomware;
3.2.1.34.8.6. Vetores;
3.2.1.34.8.7. Credenciamento;
3.2.1.34.9. Deve suportar no mínimo 120 técnicas de ataques;
3.2.1.34.10. Deve possuir integração nativas com os módulos de WEB, Vulnerabilidades de Infraestrutura, Active Directory e ambientes em nuvem;
3.2.1.35. DA DESCOBERTA DE ATIVOS
3.2.1.35.1. A solução deve ser capaz de realizar escaneamento de descoberta de rede utilizando os seguintes critérios como alvo: IP, CIRD e Range;
3.2.1.35.2. A solução deve disponibilizar modelos de escaneamento de descoberta, ajustável, com os seguintes tipos de scan:
3.2.1.35.2.1. Enumeração de Hosts;
3.2.1.35.2.2. Identificação de Sistema Operacional (SO); 3.2.1.35.2.3. Port Scan (Portas comuns);
3.2.1.35.2.4. Port Scan (Todas as portas); 3.2.1.35.2.5. Customizado;
3.2.1.35.3. A solução deve permitir realizar escaneamento de descoberta customizado podendo ser parametrizado de acordo com a necessidade;
3.2.1.35.4. A parametrização do escaneamento de descoberta deve, no mínimo, conter os seguintes requisitos:
3.2.1.35.4.1. Descoberta de Host; 3.2.1.35.4.2. Ping o host remoto; 3.2.1.35.4.3. Usar descoberta rápida; 3.2.1.35.4.4. Métodos de ping; 3.2.1.35.4.5. ARP;
3.2.1.35.4.6. TCP;
3.2.1.35.4.7. ICMP;
3.2.1.35.4.8. UDP;
3.2.1.35.4.9. Escaneamento de descoberta de dispositivos de OT/SCADA; 3.2.1.35.4.10.Escaneamento de descoberta em redes de impressora; 3.2.1.35.4.11.Escaneamento em redes Novell;
3.2.1.35.4.12.Tecnologia de Wake-on-LAN; 3.2.1.35.4.13.Port Scanning:
3.2.1.35.4.14.Portas;
3.2.1.35.4.15.Considerar portas não escaneadas como fechadas; 3.2.1.35.4.16.Range de portas a serem escaneadas; 3.2.1.35.4.17.Enumerar Portas locais:
3.2.1.35.4.18.SSH (netstat);
3.2.1.35.4.19.WMI (netstat);
3.2.1.35.4.20.SNMP;
3.2.1.35.5. Descoberta de Serviços:
3.2.1.35.5.1. Sondar todas as portas para encontrar serviços; 3.2.1.35.5.2. Procurar por serviços baseado em SSL/TLS; 3.2.1.35.5.3. Enumerar todas as cifras SSL/TLS;
3.2.1.35.6. A solução deve realizar descoberta de ativo de forma passiva e adicionado automaticamente na console de gerenciamento;
3.2.1.35.7. A solução deve descobrir passivamente quando um host é adicionado na rede;
3.2.1.36. DA AVALIAÇÃO DE VULNERABILIDADE
3.2.1.36.1. A solução deve ser capaz de realizar testes sem a necessidade de agentes instalados no dispositivo destino para detecção de vulnerabilidades;
3.2.1.36.2. A solução deve detectar e classificar através de severidades, riscos e vulnerabilidades;
3.2.1.36.3. A solução deve também fornecer informações detalhadas sobre a natureza da vulnerabilidade, evidências da existência da vulnerabilidade e recomendações para mitigá-los;
3.2.1.36.4. A solução deve incluir uma saída detalhada das vulnerabilidades descobertas como versões de DLL esperadas e encontradas;
3.2.1.36.5. A solução deve ser compatível com CVE e fornecer pelo menos 10 anos de cobertura CVE;
3.2.1.36.6. A solução deve identificar vulnerabilidades especificas para o Active Directory com os seguintes padrões de verificação;
3.2.1.36.7. Contas administrativas vulneráveis a Kerberoasting attack; 3.2.1.36.8. Utilização de criptografia vulnerável com autenticação Kerberos; 3.2.1.36.9. Contas com pré-autenticação do Kerberos desabilitada;
3.2.1.36.10. Verificação de usuários com a opção de nunca expirar a senha com a opção habilitada; 3.2.1.36.11. Verificar validação de fragilidades do tipo “Unconstrained Delegation”;
3.2.1.36.12. Verificação de “Pre-Windows 2000 Compatible Access”; 3.2.1.36.13. Verificação de validade de chaves mestras "Kerberos KRBTGT”; 3.2.1.36.14. Verificação de “SID History Injection”;
3.2.1.36.15. Verificação de “Printer Bug Exploit”;
3.2.1.36.16. Verificação de “Primary Group ID”;
3.2.1.36.17. Verificação de usuários com Passwords em branco;
3.2.1.36.18. A solução deve suportar o uso de SMB e WMI para verificação de sistemas Microsoft Windows;
3.2.1.36.19. A solução deve ser capaz de iniciar automaticamente serviços de registro remoto em sistemas Windows ao executar uma varredura credenciada;
3.2.1.36.20. A solução deve ser capaz de parar automaticamente o serviço de registro remoto em sistemas Windows novamente assim que a varredura estiver completa;
3.2.1.36.21. O scanner deve oferecer suporte a shell seguro (SSH) com a capacidade de escalar privilégios para varredura de vulnerabilidades e auditorias de configuração em sistemas Unix;
3.2.1.36.22. A solução deve suportar o uso do netstat (Linux) e WMI (Windows) para uma enumeração rápida e precisa de portas em um sistema quando as credenciais são fornecidas;
3.2.1.36.23. A solução deve possibilitar a verificação remota de portas, além da enumeração local de portas, para ajudar a determinar se algum mecanismo de controle de acesso está sendo utilizado;
3.2.1.36.24. A solução deve fornecer auditoria de patch (MS Bulletins) para as principais versões de Windows;
3.2.1.36.25. A solução deve fornecer auditoria de patch para todos os principais sistemas operacionais Unix incluindo Mac OS, Linux, Solaris e IBM AIX;
3.2.1.36.26. A solução deve fornecer varredura para aplicativos comerciais diversos e proprietários, incluindo, mas não limitando-se a: Java, Adobe, Oracle, Apple, Microsoft, Check Point, Palo Alto Networks, Cisco, Fortinet, Fireeye, McAfee, etc;
3.2.1.36.27. A solução deve incluir classificação de severidades de acordo com o padrão Sistema Comum de Pontuação de Vulnerabilidade Versão (CVSS2 e CSVSS 3);
3.2.1.36.28. A solução deve fornecer informações acerca da disponibilidade de códigos de exploração das vulnerabilidades encontradas em frameworks de exploração para as plataformas mais populares: Core, Metasploit e Canvas;
3.2.1.36.29. A solução deve informar se a vulnerabilidade pode e está sendo ativamente explorada por código malicioso (malware);
3.2.1.36.30. A solução deve possuir importação de arquivos .YARA;
3.2.1.36.31. Deve ser capaz de identificar e classificar vulnerabilidades de máquinas virtuais em
nuvem pública em infraestruturas como serviço nas plataformas AWS, Microsoft Azure e Google Cloud;
3.2.1.37. DA AUDITORIA DE CONFIGURAÇÃO
3.2.1.37.1. A solução deve ser capaz de realizar auditoria de conformidade sem a necessidade de agente instalado no dispositivo de destino;
3.2.1.37.2. A solução deve fornecer benchmarks de auditoria de segurança e configuração para conformidade regulatória e outros padrões de práticas recomendadas pela área ou fabricantes;
3.2.1.37.3. A solução deve realizar verificações de auditoria contendo as de segurança, com indicação de sucesso ou falha, baseado nos principais frameworks reconhecidos pela indústria, pelo menos os seguintes:
3.2.1.37.3.1. Center for Internet Security Benchmarks (CIS); 3.2.1.37.3.2. Defense Information Systems Agency (DISA) STIGs;
3.2.1.37.3.3. Health Insurance Portability and Accountability Act (HIPAA); 3.2.1.37.3.4. Payment Card Industry Data Security Standards (PCI DSS);
3.2.1.37.4. A solução deve fornecer auditoria de programas antivírus para determinação de presença e status de inicialização para no mínimo os seguintes produtos: TrendMicro Office Scan, McAfee VirusScan, Microsoft Endpoint Protection e Kaspersky;
3.2.1.37.5. A solução deve fornecer auditorias de configuração com base benchmarks em CIS (Center for Internet Security) L1 e L2, para ambos os sistemas operacionais Microsoft Windows e Linux;
3.2.1.37.6. A solução deve permitir auditoria de conformidade em servidores Windows, Linux, Bancos de Dados SQL Server, a fim de determinar se estão configurados de acordo com os principais Framework de segurança como, por exemplo, CIS e DISA;
3.2.1.37.7. A solução deve oferecer validação e suporte a SCAP (Security Content Automation Protocol);
3.2.1.38. DA ANÁLISE DINÂMICA DE VULNERABILIDADES PARA APLICAÇÕES WEB
3.2.1.38.1. A solução deve ser capaz de analisar, testar e reportar falhas de segurança em aplicações Web como parte dos ativos a serem inspecionados;
3.2.1.38.2. A solução deve ser capaz de executar varreduras em sistemas web através de seus endereços IP ou FQDN (DNS);
3.2.1.38.3. A solução deve avaliar no mínimo os padrões de segurança OWASP Top 10 e PCI (payment card industry data security standard);
3.2.1.38.4. A solução deve suportar as diretivas PCI ASV 5.5 para definição de escopo de análise da aplicação;
3.2.1.38.5. A solução deve suportar as diretivas PCI ASV 6.1 para definição de balanceadores de carga das aplicações bem como suas configurações para inclusão no relatório de resultados;
3.2.1.38.6. A solução deve possuir templates prontos de varreduras entre simples e extensos; 3.2.1.38.7. Para varreduras extensas e detalhadas, deve varrer e auditar no mínimo os seguintes
elementos:
3.2.1.38.7.1. Cookies, Headers, Formulários e Links; 3.2.1.38.7.2. Nomes e valores de parâmetros da aplicação; 3.2.1.38.7.3. Elementos JSON e XML;
3.2.1.38.7.4. Elementos DOM;
3.2.1.38.8. A solução deve permitir somente a execução da função crawler, que consiste na
navegação para descoberta das URLs existentes na aplicação;
3.2.1.38.9. A solução deve ser capaz de utilizar scripts customizados de crawl com parâmetros definidos pelo usuário;
3.2.1.38.10. A solução deve excluir determinadas URLs da varredura através de expressões regulares;
3.2.1.38.11. A solução deve excluir determinados tipos de arquivos através de suas extensões; 3.2.1.38.12. A solução deve instituir no mínimo os seguintes limites:
3.2.1.38.12.1.Número máximo de URLs para crawl e navegação; 3.2.1.38.12.2.Número máximo de diretórios para varreduras; 3.2.1.38.12.3.Número máximo de elementos DOM; 3.2.1.38.12.4.Tamanho máximo de respostas; 3.2.1.38.12.5.Limite de requisições de redirecionamentos; 3.2.1.38.12.6.Tempo máximo para a varredura;
3.2.1.38.12.7.Número máximo de conexões HTTP ao servidor hospedando a aplicação Web; 3.2.1.38.12.8.Número máximo de requisições HTTP por segundo;
3.2.1.38.13. A solução deve detectar congestionamento de rede e limitar os seguintes aspectos da varredura:
3.2.1.38.13.1.Limite em segundos para timeout de requisições de rede; 3.2.1.38.13.2.Número máximo de timeouts antes que a varredura seja abortada;
3.2.1.38.14. A solução deve agendar a varredura e determinar sua frequência entre uma única vez, diária, semanal, mensal e anual;
3.2.1.38.15. A solução deve enviar notificações através de no mínimo E-mail e SMS;
3.2.1.38.16. A solução deve possuir a flexibilidade de selecionar quais testes serão realizados de forma granular, através da seleção de testes, plug-ins ou ataques;
3.2.1.38.17. A solução deve avaliar sistemas web utilizando protocolos HTTP e HTTPs;
3.2.1.38.18. A solução deve possibilitar a definição de atributos no cabeçalho (HEADER) da requisição HTTP de forma personalizado a ser enviada durante os testes;
3.2.1.38.19. A solução deve ser compatível com avaliação de web services REST e SOAP; 3.2.1.38.20. Deverá suportar no mínimo os seguintes esquemas de autenticação: 3.2.1.38.20.1.Autenticação básica (digest);
3.2.1.38.20.2.NTLM;
3.2.1.38.20.3.Form de login; 3.2.1.38.20.4.Autenticação de Cookies; 3.2.1.38.20.5.Autenticação através de Selenium; 3.2.1.38.20.6.Autenticação através de Bearer;
3.2.1.38.21. A solução deve importar scripts de autenticação selenium previamente configurados pelo usuário;
3.2.1.38.22. A solução deve customizar parâmetros Selenium como delay de exibição da página, delay de execução de comandos e delay de comandos para recepção de novos comandos;
3.2.1.38.23. A solução deve exibir os resultados das varreduras em tendência temporal para acompanhamento de correções e introdução de novas vulnerabilidades;
3.2.1.38.24. A solução deve exibir os resultados agregados de acordo com as categorias do OWASP
Top 10 (xxxxx://xxx.xxxxx.xxx/xxxxx.xxx/Xxxxxxxx:XXXXX_Xxx_Xxx_Xxxxxxx);
3.2.1.38.25. Os resultados devem ser apresentados agregados por vulnerabilidades ou por aplicações;
3.2.1.38.26. Para cada vulnerabilidade encontrada, deve ser exibido evidências da mesma em seus detalhes;
3.2.1.38.27. Para vulnerabilidades de injeção de código (SQL, XSS, XSRF, etc.), deve evidenciar nos detalhes do evento encontrado:
3.2.1.38.27.1.Payload injetado;
3.2.1.38.27.2.Evidência em forma de resposta da aplicação; 3.2.1.38.27.3.Detalhes da requisição HTTP; 3.2.1.38.27.4.Detalhes da resposta HTTP;
3.2.1.38.28. Os detalhes das vulnerabilidades devem conter descrição da falha e referências didáticas para a revisão dos analistas;
3.2.1.38.29. Cada vulnerabilidade encontrada deve conter também soluções propostas para mitigação ou remediação das mesmas;
3.2.1.38.30. A solução deve possuir suporte a varreduras de componentes para no mínimo: 3.2.1.38.30.1.Wordpress, Blog Designer Plugin for Wordpress, Event Calendar Plugin for Wordpress,
Convert Plus Plugin for Wordpress, AngularJS, Apache, Apache Tomcat, Apache Tomcat JK connecto, Apache Spark e Apache Struts, Atlassian Confluence, Atlassian Crowd e Atlassian Jira, Backbone.js, XXX.XXX, Bootstrap, Drupal, Joomla!, jQuery, Lighttpd, Magento, Modernizr, Nginx, PHP, AJAX, Sitefinity, Telerik, ThinkPHP, Webmin e YUI;
3.2.1.39. DA ANÁLISE DE RISCO EM AMBIENTE MICROSOFT ACTIVE DIRECTORY
3.2.1.39.1. A solução deve identificar fraquezas ocultas em configurações do dedicadas ao Active Directory;
3.2.1.39.2. A solução deve possuir ações preventivas de hardening para o Active Directory;
3.2.1.39.3. A solução deve identificar ataque específicos para a estrutura do Active Directory; 3.2.1.39.4. A solução deve possuir funcionalidade para analisar em detalhes cada configuração
incorreta que acarreta riscos de segurança – com uma linguagem simples, contextualizando tal risco para os times envolvidos;
3.2.1.39.5. A solução deve possuir recomendações de correção para cada configuração incorreta no Active Directory;
3.2.1.39.6. A solução deve avaliar relações de confiança perigosas entre florestas e domínios; 3.2.1.39.7. A solução deve capturar as mudanças que ocorrem no AD e demostrar na console de
administração;
3.2.1.39.8. A solução deve possuir dashboard com os principais ataques e vulnerabilidades por domínio;
3.2.1.39.9. A solução deve permitir a correlação de mudanças no Active Directory e desvios de segurança;
3.2.1.39.10. A solução deve analisar em detalhes um ataque explorando as descrições através do framework MITRE ATT&CK;
3.2.1.39.11. A solução deve prover interface web para gerenciamento de todas as funcionalidades;
3.2.1.39.12. A solução deve possuir capacidade nativa de criação de dashboards customizados; 3.2.1.39.13. A solução deve suportar um modelo de controle de acesso baseado em funções (RBAC)
flexível;
3.2.1.39.14. A solução deve realizar alterações no Active Directory, seus objetos e atributos;
3.2.1.39.15. A solução deve armazenar ou sincronizar nenhuma credencial de objetos do Active Directory;
3.2.1.39.16. A solução deve suportar ambientes com múltiplas florestas e domínios;
3.2.1.39.17. A solução deve suportar monitoramento contínuo de ambientes com Active Directory com o nível funcional de floresta e domínio a partir do 2003;
3.2.1.39.18. A solução deve suportar reter os eventos coletados por no mínimo um ano; 3.2.1.39.19. A solução deve descobrir e mapear a superfície de ataque do Active Directory e seus
domínios monitorados com os seguintes padrões:
3.2.1.39.20. Não depender de agentes ou sensores para coleta de informações do AD;
3.2.1.39.21. A solução deve seguir as boas práticas de menor privilégio, a conta de serviço utilizada para conexão com o Active Directory, sendo o menor nível de acesso esperado para a conta de serviço como parte do grupo Domain User;
3.2.1.39.22. Interface web que consolida e apresenta de maneira unificada os domínios monitorados e as possíveis relações de confiança estabelecidas entre eles;
3.2.1.39.23. A solução deve analisar continuamente a postura de segurança do AD, minimamente avaliando:
3.2.1.39.24. Validação de GPOs desvinculadas, desabilitadas ou órfãs; 3.2.1.39.25. Validação de contas desativadas em grupos privilegiados;
3.2.1.39.26. Xxxxxxx usando uma configuração perigosa de compatibilidade com versões anteriores por meio de alterações no atributo dSHeuristics;
3.2.1.39.27. Validação de atributos relacionados a roaming de credenciais vulneráveis (ms-PKI- DPAPIMasterKeys) gerenciados por um usuário sem privilégios;
3.2.1.39.28. Validação de domínio sem GPOs de proteção de computador, desativando protocolos vulneráveis antigos, como NTLMv1;
3.2.1.39.29. Validação de contas com senhas que nunca expiram; 3.2.1.39.30. Validação de senhas reversíveis em GPOs;
3.2.1.39.31. Validação de uso de senhas reversíveis em contas de usuário;
3.2.1.39.32. Validação de utilização de protocolo criptográfico fraco (Ex. DES) em contas de usuário; 3.2.1.39.33. Validação de uso do LAPS (Solução de senha de administrador local) para gerenciar
senhas de contas locais com privilégios;
3.2.1.39.34. Validação se o domínio possui um nível funcional desatualizado; 3.2.1.39.35. Validação de contas de usuário utilizando senha antiga;
3.2.1.39.36. Validação se o atributo AdminCount está definido em usuários padrão; 3.2.1.39.37. Validação do uso recente da conta de administrador padrão;
3.2.1.39.38. Validação de usuários com permissão para ingressar computadores no domínio; 3.2.1.39.39. Validação de contas dormentes;
3.2.1.39.40. Validação de computadores executando um sistema operacional obsoleto;
3.2.1.39.41. Validação de restrições de logon para usuários privilegiados em ambiente com múltiplos tiers (1, 2 e 3) de segregação de ativos;
3.2.1.39.42. Validação de direitos perigosos configurados no Schema do AD;
3.2.1.39.43. Validação de relação de confiança perigosa com outras Xxxxxxxxx e Xxxxxxxx;
3.2.1.39.44. Validação de contas que possuem um atributo perigoso de histórico SID (SID History); 3.2.1.39.45. Validação de contas utilizando controle de acesso compatível com versões anteriores
ao Windows 2000;
3.2.1.39.46. Validação da última alteração de senha do KDC;
3.2.1.39.47. Validação da última alteração da senha da conta SSO do Azure AD; 3.2.1.39.48. Validação de contas que podem ter senha em branco/vazia; 3.2.1.39.49. Validação de utilização do grupo nativo Protected Users;
3.2.1.39.50. Validação de privilégios sensíveis (Ex. Debug a program, Replace a process level token, etc.) perigosos atribuídos aos usuários;
3.2.1.39.51. Validação de possível senha em clear-text;
3.2.1.39.52. Validação de sanidade das GPOs e componentes CSEs (Client-Side Extension);
3.2.1.39.53. Validação de uso de algoritmos de criptografia fracos na PKI do Active Directory; 3.2.1.39.54. Validação de contas de serviço com SPN (Service Principal Name) que fazem parte de
grupos privilegiados;
3.2.1.39.55. Validação de contas anormais nos grupos administrativos padrão do AD; 3.2.1.39.56. Validação de consistência no container adminSDHolder;
3.2.1.39.57. Validação de delegação Kerberos perigosa;
3.2.1.39.58. Validação em permissões de objetos raiz que permitem ataques do tipo DCSync; 3.2.1.39.59. Validação de políticas de senha fracas aplicadas aos usuários;
3.2.1.39.60. Validação das permissões relacionadas às contas do Azure AD Connect; 3.2.1.39.61. Validação do ID do grupo primário do usuário (Primary Group ID);
3.2.1.39.62. Validação de permissões em GPOs sensíveis associadas aos Containers Configuration, Sites, Root Partition e OUs sensíveis como Domain Controllers;
3.2.1.39.63. Controladores de domínio gerenciados por usuários ilegítimos;
3.2.1.39.64. Validação de certificado mapeado através de atributo altSecurityIdentities em contas privilegiadas;
3.2.1.39.65. Validação de uso de protocolo Netlogon inseguro (Zerologon/CVE-2020-1472); 3.2.1.39.66. A solução deve identificar vulnerabilidades e configurações incorretas do AD à medida
que são introduzidas sendo:
3.2.1.39.67. Identificar todas as vulnerabilidades e configurações incorretas no AD; 3.2.1.39.68. Monitorar relações de confiança perigosas em toda a estrutura AD;
3.2.1.39.69. Apresentar ameaças e alterações sem a necessidade de scans estáticos e programados no Active Directory e sua infraestrutura;
3.2.1.39.70. Apresentar as ameaças e alterações em tempo real ou em menos de cinco minutos;
3.2.1.40. DETECÇÃO DE ATAQUES AO AD EM TEMPO REAL:
3.2.1.40.1. Monitorar continuamente os indicadores de possíveis ataque como DCSync, DCShadow, Password Spraying, Password Guessing/Brute Force, Lsaas Injecton nos controladores de domínio, Golden Ticket, NTLM Relay, entre outros;
3.2.1.40.2. Detecção de ataques ao AD em tempo real ou em menos de um minuto;
3.2.1.40.3. Análise detalhada do ataque, apresentando ativo de origem, vetor de ataque, controlador de domínio afetado, técnica aplicada;
3.2.1.40.4. Apresentação de ataques em uma linha do tempo;
3.2.1.40.5. Investigar ameaças, reproduzir ataques e procurar por backdoors;
3.2.1.40.6. Permitir busca ágil de eventos específicos na base da solução através de queries customizadas;
3.2.1.40.7. A solução deve ser capaz de enviar alertas por e-mail;
3.2.1.40.8. A solução nativamente deve ser capaz de se integrar com SIEM através de protocolo SYSLOG;
3.2.1.40.9. A solução deve ser capaz de filtrar e enriquecer os eventos que serão enviados para o SIEM;
3.2.1.40.10. A solução deve produzir regras YARA na detecção de ataques (Ex. DCSync, Golden Ticket) identificados pela ferramenta;
3.2.1.40.11. A solução deve possuir conjunto de APIs REST, todas as chamadas disponíveis devem estar contidas na documentação;
3.2.1.40.12. A solução deve permitir a criação de listas de exclusões, suportando minimamente Exclusão por domínios do AD monitorados e por itens analisados;
3.2.1.40.13. A solução deve ser licenciada pelo número de usuários habilitados;
3.2.1.41. DO GERENCIAMENTO DA SUPERFÍCIE DE ATAQUE
3.2.1.41.1. Deve avaliar a superfície de ataque externo, apresentando como a organização e seus ativos expostos na Internet são vistos pelos atacantes e quais as vulnerabilidades encontradas.
3.2.1.41.2. Deve identificar ativos usando registros DNS, endereços IP e ASN.
3.2.1.41.3. Deve possuir mecanismo de busca personalizada em base em filtros customizados. 3.2.1.41.4. Deve permitir exportação de dados nos seguintes padrões:
3.2.1.41.4.1. CSV
3.2.1.41.4.2. JSON
3.2.1.41.4.3. XLSX
3.2.1.41.5. Deve avaliar a postura de segurança de toda a sua superfície de ataque externo incluindo entradas de filtro do tipo:
3.2.1.41.5.1. Screenshot da aplicação web. 3.2.1.41.5.2. Tags personalizadas
3.2.1.41.5.3. Networking
3.2.1.41.5.4. IP
3.2.1.41.5.5. ASN
3.2.1.41.5.6. CDN
3.2.1.41.5.7. SaaS
3.2.1.41.5.8. PaaS
3.2.1.41.5.9. IaaS
3.2.1.41.5.10.Remote Access 0.0.0.00.0.00.Xxxx
3.2.1.41.5.12.Domain
3.2.1.41.5.13.Proxy Reverso 3.2.1.41.5.14.Tipo de serviços 3.2.1.41.5.15.SSL/TLS
3.2.1.41.5.16.SSL / TLS Expiration 3.2.1.41.5.17.SSL / TLS Fingerprint 3.2.1.41.5.18.SSL / TLS Cypher Suites 3.2.1.41.5.19.SSL / TLS protocol
3.2.1.41.5.20.SSL / TLS error
3.2.1.41.5.21.SSL / TLS Serial Number 3.2.1.41.5.22.Cookie compliance 3.2.1.41.5.23.RBL
3.2.1.41.5.24.Localização 3.2.1.41.5.25.País
3.2.1.41.5.26.Cidade
3.2.1.41.5.27.Latitude 3.2.1.41.5.28.Longitude 3.2.1.41.5.29.Time Zone
3.2.1.41.5.30.Web applications 3.2.1.41.5.31.Redes Sociais 3.2.1.41.5.32.HTTP response 3.2.1.41.5.33.HTTP headers
3.2.1.41.5.34.HTTP Security headers 3.2.1.41.5.35.Whois
3.2.1.41.5.36.Estrutura de Marketing como:
0.0.0.00.0.00.Xxxxxx Analytics 0.0.0.00.0.00.Xxxxxx Adsense 3.2.1.41.5.39.CRM
3.2.1.41.5.40.SEO
0.0.0.00.0.00.Xxxxx
3.2.1.41.5.42.Webcams
3.2.1.41.5.43.Printers 0.0.0.00.0.00.Xxxxx Players 0.0.0.00.0.00.Xxxxx Servers
3.2.1.41.6. Deve sugerir domínios a serem analisados com base nas entradas de registro inicialmente analisados.
3.2.1.41.7. Deve possuir integração com ServiceNow e Slack para notificações automáticas. 3.2.1.41.8. Deve possuir um dashboard com interação gráfica via web, para acompanhamento das
vulnerabilidades encontradas.
3.2.1.42. SERVIÇOS GERENCIADOS COM MONITORAMENTO E RESPOSTA A OCORRÊNCIAS DA SOLUÇÃO DE GESTÃO DE VULNERABILIDADES DOS DISPOSITIVOS CONECTADOS À REDE CORPORATIVA
3.2.1.42.1. Características do Serviço
3.2.1.42.2. A CONTRATADA será responsável por projetar, instalar, configurar, gerenciar e monitorar a solução ofertada;
3.2.1.42.3. A CONTRATADA deverá elaborar um projeto de implantação contendo gerenciamento de escopo, risco, mudanças, cronograma de instalação, gerenciamento de recursos humanos, contendo planejamento detalhado para permitir uma instalação com o menor risco de impacto possível, detalhando o passo a passo dos serviços;
3.2.1.42.4. A CONTRATADA deverá cumprir com todas as exigências técnicas e funcionais
relacionadas com a solução ofertada, que devem ser implantadas durante o período contratado, sem ônus para a CONTRATANTE;
3.2.1.42.5. O fornecimento de toda e qualquer ferramenta, instrumento, material e equipamento de proteção, bem como materiais complementares estritamente necessários à instalação ou à assistência técnica é de inteira responsabilidade da CONTRATADA e não deverá gerar ônus à CONTRATANTE;
3.2.1.42.6. No processo de instalação o Responsável Técnico deverá tomar todas as medidas necessárias visando garantir a perfeita execução do serviço (instalação e configuração);
3.2.1.42.7. No prazo de até 10 (dez) dias após a conclusão de instalação da solução ofertada, a contratada deverá fornecer documentação final contendo as configurações e topologias de como foi instalada a solução;
3.2.1.42.8. A documentação deverá ser aprovada pela CONTRATANTE e pelo Gestor Técnico da CONTRATANTE, caracterizando a homologação da solução em um prazo de 5 dias, quando a CONTRATANTE emitirá um Termo de Aceite Definitivo (TAD);
3.2.1.42.9. Caso seja identificado defeito ou falha sistemática em determinado produto/serviço entregue pela CONTRATADA, ou ainda, que nos testes realizados sejam considerados em desacordo com as especificações técnicas requeridas, o Gestor Técnico da CONTRATANTE pode exigir a substituição, total ou parcial, do referido produto;
3.2.1.42.10. A CONTRATADA será responsável pelo monitoramento da solução em regime 24x7, devendo manter a mesma sempre atualizada e em operação;
3.2.1.42.11. O monitoramento deverá ser realizado através de ferramentas próprias da CONTRATANTE integradas via API com a console/servidor de gerenciamento central para automação de coleta de alertas críticos e acionamento imediato da equipe da CONTRATADA;
3.2.1.42.12. A ocorrência de alertas de alta criticidade devem acionar diretamente, de forma automática, através de alarme sonoro em aplicativo de celular, os técnicos de plantão da CONTRATADA para início imediato do tratamento da ocorrência, dentro dos prazos definidos no ANS, sendo reportados imediatamente ao preposto da CONTRATANTE para ciência do fato;
3.2.1.42.13. A CONTRATADA deverá informar mensalmente a escala de técnicos de sobreaviso que atenderão os alertas de alta criticidade durante o período do plantão;
3.2.1.42.14. À opção da CONTRATANTE, esta poderá indicar até 5 profissionais para receberem os alarmes em tempo real, de forma simultânea, no aplicativo de celular a ser fornecido pela CONTRATADA sem custos adicionais;
3.2.1.42.15. O tratamento das ocorrências geradas pelo sistema de monitoramento automático deve ser acompanhado através de plataforma de gestão automatizada de processos (BPMn) disponibilizada pela CONTRATADA, que indique claramente e controle os prazos para execução de cada etapa do processo de resposta aos incidentes detectados (SLA);
3.2.1.42.16. O processo de tratamento de incidentes deve conter pelo menos as seguintes características:
3.2.1.42.16.1.Notificação imediata da CONTRATADA sobre a ocorrência detectada; 3.2.1.42.16.2.Investigação da ocorrência através dos recursos fornecidos pela solução; 3.2.1.42.16.3.Determinação da real criticidade da ocorrência;
3.2.1.42.16.4.Execução de ações de contenção previamente acordadas com o cliente;
3.2.1.42.17. Elaboração de plano de ação para a CONTRATADA possa elevar o nível de segurança do seu ambiente, caso as ações estejam fora do escopo desta contratação;
3.2.1.42.18. O processo automatizado deve ser capaz de tratar de forma diferenciada pelo menos 4 níveis de criticidade de alertas;
3.2.1.42.19. O processo automatizado deve ser capaz de enviar e-mail e alertas em aplicativo de celular de forma automática para a CONTRATADA e para a CONTRATANTE;
3.2.1.42.20. O processo automatizado deve ser capaz de emitir avisos sonoros através de aplicativo de celular para os técnicos da CONTRATADA e da CONTRATANTE, com diferentes graus de intensidade a depender do nível de criticidade da situação detectada;
3.2.1.42.21. Deve permitir a customização, para cada CONTRATANTE, de quais tipos de alertas se enquadram em cada um dos níveis de criticidade.
3.2.1.42.22. Deve ser disponibilizado para a CONTRATANTE um dashboard de acompanhamento em tempo real dos processos de tratamento dos incidentes que apresente, no mínimo:
3.2.1.42.23. Xxxxxxx em aberto com indicação do responsável pela sua execução e tempo restante para sua finalização de acordo com o ANS contratado;
3.2.1.42.24. Xxxxxxx em atraso com indicação do responsável pela sua execução e tempo de atraso em relação ao ANS contratado;
3.2.1.42.25. Tabela de atraso médio de tarefas já encerradas;
3.2.1.42.26. Tabela de tempo médio de execução de tarefas já encerradas.
3.2.1.42.27. A manutenção visa manter em perfeito estado de operação os serviços fornecidos em atendimento ao objeto, deste modo a CONTRATADA deve cumprir os seguintes procedimentos:
3.2.1.42.27.1.desinstalação, reconfiguração ou reinstalação decorrentes de falhas no software, atualização da versão de software, correção de defeitos, ajustes e reparos necessários, de acordo com os manuais e as normas técnicas específicas para os recursos utilizados;
3.2.1.42.27.2.Quanto às atualizações pertinentes aos softwares, entende-se como “atualização” o provimento de toda e qualquer evolução de software, incluindo correções, patches, fixes, updates, service packs, novas releases, versions, builds, upgrades, englobando inclusive versões não sucessivas, nos casos em que a liberação de tais versões ocorra durante o período de garantia especificado.
3.2.1.42.28. Deve ser elaborado e enviado mensalmente um relatório executivo com o resumo das principais ocorrências e as providências executadas pela CONTRATADA, além de gráficos e estatísticas relativos à conformidade operacional do ambiente;
3.2.1.42.29. A operação e administração (gerenciamento total) da solução será realizada pela CONTRATADA conforme as orientações e solicitações de configurações e políticas realizadas pelo Gestor Técnico da CONTRATANTE;
3.2.1.42.30. As solicitações de alteração de configurações deverão ser realizadas conforme o ANS definido na Seção – Acordo de Nível de Serviço – ANS;
3.2.1.42.31. No caso de necessidade de ações preventivas ou corretivas a CONTRATANTE agendará com antecedência junto a CONTRATADA as implementações das correções, fora do horário comercial, preferencialmente em feriados e finais de semana. Nenhuma ação poderá ser executada sem a ciência e anuência da CONTRATANTE;
3.2.1.42.32. A CONTRATADA deverá prestar suporte a todos os componentes de software fornecidos para a implementação e utilização da solução;
3.2.1.42.33. A CONTRATADA deverá disponibilizar serviço de suporte técnico e manutenção, no regime (24x7) vinte e quatro horas por dia, sete dias por semana, pelo período da contratação;
3.2.1.42.34. Os acionamentos dos serviços de suporte e manutenção serão requisitados por meio de ordens de serviço, a serem abertas pelo CONTRATANTE, através de número de telefone nacional (0800 com serviço de uso ilimitado) disponibilizado pela CONTRATADA, e ainda, por e-mail e sítio de internet;
3.2.1.42.35. Não haverá limitação no número de chamados que poderão ser abertos;
3.2.1.42.36. A CONTRATADA manterá registro de todas as ordens de serviço abertas, disponibilizando, para cada uma, no mínimo as seguintes informações:
3.2.1.42.36.1.Número sequencial da ordem;
0.0.0.00.00.0.Xxxx e hora de abertura; 3.2.1.42.36.3.Severidade; 3.2.1.42.36.4.Descrição do problema;
0.0.0.00.00.0.Xxxx e hora do início do atendimento; 0.0.0.00.00.0.Xxxx e hora de término do atendimento (solução).
3.2.1.42.37. O serviço de suporte técnico e manutenção deverá ser prestado por profissional devidamente certificado nas soluções tecnológicas utilizadas na prestação dos serviços contratados;
3.2.1.42.38. As informações relacionadas à ANS estão na Seção – Acordo de Nível de Serviço – ANS.
3.2.1.42.39. A contratada deverá ofertar uma visão holística da postura de segurança cibernética dos fornecedores críticos da SEMIT e o domínio da SEMIT, bem como identificar avaliar o nível de risco de segurança.
3.2.1.42.40. As descobertas devem ser detectadas por meio de fonte de dados ativa, passiva e de terceiros. Os métodos ativos de coleta de dados devem incluir sensores que rastreiam a Internet em busca de vulnerabilidades e fraquezas de segurança que podem ser exploradas por atores mal-intencionados. Os métodos de dados passivos, como buracos (Sinkhole), honeypots e coleta de dados de trocas de publicidade, bem como fontes de terceiros devem completar a coleta para fornecer uma imagem abrangente dos controles de segurança das empresas que estão sendo monitoradas.
3.2.1.42.41. O serviço deve incluir no mínimo (dez) dos principais fornecedores selecionados por empresa e poder catalogar rapidamente novos fornecedores que podem ou não ser monitorados no momento. Descrevendo a cobertura atual (empresas / domínios / IP’s) do serviço e quanto tempo leva para avaliar uma nova empresa.
3.2.1.42.42. Deve suportar a evidência da fonte das descobertas na plataforma e de terceiros utilizados, utilizando fontes como WHOIS, certificados SSL, pesquisa de DNS, dados publicados, fontes de dados de terceiros para dar suporte ao processo de avaliação. Este serviço/plataforma também deve fornecer uma maneira de visualizar possíveis violações existentes, possíveis sistemas comprometidos e dados que podem indicar transferência de arquivos ponto a ponto.
3.2.1.42.43. As informações devem ser compartilhadas em um nível detalhado para qualquer terceiro a ser monitorado, informações como endereço IP, fonte de dados, descrição da vulnerabilidade, risco, recomendação de correção, links para fontes de informações de correção, além de informações sobre a data da detecção, data da última observação e bem como o impacto na pontuação.
3.2.1.42.44. O serviço deve oferecer a possibilidade de ajustar os ativos digitais identificados pelas empresas (impressão digital). Mesmo após uma fusão / aquisição para obter resultados precisos atualizados.
3.2.1.42.45. O serviço deve fornecer recursos analíticos profundos, incluindo a capacidade de entender desempenho relativo da organização no contexto de pares. Deve fornecer uma profunda visão forense para analisar possíveis problemas tanto na própria infraestrutura como na monitorização de terceiros, bem como uma ferramenta para prever modificações e simulações de alteração do Rating.
3.2.1.42.46. O serviço deve permitir que a SEMIT demarque e identifique vários elementos da sua digital footprint, como Wi-Fi ou Redes Guest ou domínios de segurança que podem incluir laboratórios ou outros tipos de serviço, através de envio que existe um controlo de compensação ativo, esta opção tem de figurar na interface do usuário.
3.2.1.42.47. Deve fornecer acesso à plataforma a um fornecedor por tempo ilimitado 3.2.1.42.48. O serviço deve ser capaz de mostrar rapidamente quais fornecedores têm infecções.
3.2.1.42.49. O serviço deve oferecer aos fornecedores-alvo a capacidade de ver seu rating gratuitamente.
3.2.1.42.50. Permitir baixar todos os dados de descobertas com os IP’s mostrados, para que se possa corrigir esses itens off-line, tanto da infra da SEMIT como de qualquer terceiro que a SEMIT esteja monitorando
3.2.1.42.51. Oferecer a possibilidade de customizar um scorecard por IP’s, Domínios, ou localização geográfica, tanto para a SEMIT como para qualquer terceiro que a SEMIT esteja a monitorar, essa opção deve ser realizada pela SEMIT sem a necessidade de suporte.
3.2.1.42.52. A digital footprint de todas as empresas mapeadas no portal/solução têm de ser atualizadas automaticamente no mínimo a cada 45 dias, para validação da pegada digital (digital footprint).
3.2.1.42.53. O serviço/portal tem de ter um mínimo de 12.000.000 de empresas/entidades/organizações já mapeadas no portal e disponível para monitorização imediata pelo usuário.
3.2.1.42.54. O serviço para mapeamento de uma nova empresa/organização/entidade não pode levar mais de 10 minutos para que essa nova empresa/organização/entidade fique disponível no portal.
3.2.1.42.55. A SEMIT tem de ter acesso à visualização de toda a digital footprint, entenda-se por IPs e Xxxxxxxx/subdomínios de qualquer terceiro que a SEMIT deseje monitorar, sem que seja necessária a autorização desse terceiro para tal.
3.2.1.42.56. Os usuários deverão ver dados forenses detalhados dos eventos detectados de qualquer terceiro que a SEMIT necessite de monitorizar.
3.2.1.42.57. Evitar a exclusão de endereços IP dos dados do fornecedor (sem documentação suficiente) para garantir que eles não estão manipulando o rating.
3.2.1.42.58. A solução deve oferecer um processo totalmente interativo para ajustar as coletas digitais das empresas na plataforma, com a possibilidade de remover endereços IP que podem não ser necessários e adicionar endereços IP. Também deve permitir ao usuário gerar scorecards personalizados tanto para a SEMIT como para qualquer terceiro, com base em linhas de negócios, linhas de serviço, subsidiárias etc. O usuário também deve ter a possibilidade de fornecer informações sobre sua coleta digital de dentro do sistema e unidades, subsidiárias e fusões podem ser agrupadas em um único scorecard.
3.2.1.42.59. Deve oferecer métodos de suporte à correção para seus clientes, primeiro, na própria plataforma, com as orientações de correção para o problema. A SEMIT também pode gerar seus próprios scorecards e planos de correção, mostrando o risco dos problemas identificados e o impacto na pontuação, se o problema for corrigido.
3.2.1.42.60. Deve permitir usuários ilimitados para acesso à plataforma.
3.2.1.42.61. Deve ser considerado líder por pelo menos uma empresa de análise ou independente como Forrester ou Gartner.
3.2.1.42.62. Deve ter um processo independente para esclarecer qualquer disputa envolvendo o Rating.
3.2.1.42.63. Deverá ter a possibilidade de configurar alertas por usuário para portfolios, direcionados também em relação à modificação de qualquer família de risco.
3.2.1.42.64. Deverá ter a possibilidade de exibir fornecedores em um quadrante de risco, a fim de priorizar o envolvimento do fornecedor e analisar o risco.
3.2.2. ITEM 02 - Serviço Gerenciados de visibilidade, conformidade, segurança e orquestração dos dispositivos conectados à rede corporativa para 100 dispositivos por 12 meses.
3.2.2.1. Os serviços gerenciados de visibilidade, conformidade, segurança e orquestração dos dispositivos conectados à rede corporativa serão realizados através de ampliação da plataforma Forescout, já em uso pela CONTRATANTE.
3.2.2.2. A solução deverá ser fornecida e formato de appliances virtuais;
3.2.2.3. O fornecimento deve contemplar solução gerenciamento central de múltiplos
appliances virtuais, bem como integração com soluções de terceiros a partir de protocolos abertos, tais como SQL, LDAP e Web Services;
3.2.2.4. As licenças poderão ser distribuídas em múltiplos appliances virtuais, gerenciados centralmente, em unidades de 100 licenças, conforme a necessidade do CONTRATANTE;
3.2.2.5. Não poderá haver limitação no número de appliances virtuais gerenciados;
3.2.2.6. A solução deverá ser fornecida em formato de appliance virtual compatível com o VMware ESXi, Microsoft HyperV e Linux KVM, podendo ser utilizados on-premises e, também, em nuvem pública AWS e Azure;
3.2.2.7. Deve monitorar todo o tráfego da rede através de uma porta espelhada no switch core (porta SPAN);
3.2.2.8. Deve realizar todas as suas funções sem a utilização de agentes (AGENTLESS) instalados nas máquinas corporativas (estações de trabalho, servidores, dentre outros);
3.2.2.9. Deve criar e manter atualizada, em tempo real, a lista de todos os elementos da rede, incluindo equipamentos de rede, impressoras, dispositivos de usuários finais, servidores, sistemas operacionais, aplicações, processos, portas abertas, dispositivos periféricos, vulnerabilidades e usuários, permitindo o agrupamento automático baseado em condições, e a aplicação automática de ações de controle de acesso, garantia de conformidade (remediação) e orquestração de segurança;
3.2.2.10. Deve ser capaz de classificar automaticamente impressoras, dispositivos de rede, máquinas Windows, Linux e Macintosh, Dispositivos Móveis e dispositivos que estejam realizando tradução de endereços (NAT);
3.2.2.11. Deve ser capaz de diferenciar máquinas corporativas de máquinas não corporativas;
3.2.2.12. Deve ser capaz de classificar os dispositivos de IT (Information Technology) e OT (Operational Technology) por função em subcategorias, no mínimo:
3.2.2.12.1. IT: Computador, Mobile, Networking, Storage, Acessórios (ex: impressoras); 3.2.2.12.2. OT: Sistema de Aquisição de Dados, Monitoramento Ambiental, Sistema de Controle
Industrial, Segurança Física (ex: Cameras IP), Monitoramento e Controle Remoto, Saúde.
3.2.2.13. Deve ser capaz de classificar dispositivos por sistema operacional contendo, no mínimo as seguintes categorias: Alcatel-Lucent, Android, Avaya, Chrome OS, Cisco IOS, Cisco ASA-OS, Cisco Access Points, ExtremeXOS, FortiOS, Huawei VRP, iOS, LG Web OS, Linux, Macintosh, UNIX, Windows;
3.2.2.14. Deve ser capaz de classificar dispositivos por fabricante e modelo para dispositivos IoT (Internet of Things), tais como wearables e dispositivos móveis, e OT (Operational Technology), tais como sistemas de controle industrial;
3.2.2.15. Deve ser capaz de realizar a classificação passiva de dispositivos para que a classificação seja realizada sem contato ativo direto com o dispositivo (ex: para dispositivos que controlam processos operacionais de tempo real);
3.2.2.16. Deve ser capaz de criar inventário das informações da rede e dos dispositivos catalogando, pelo menos, sistemas operacionais e respectivas versões, máquinas e respectivas versões dos sistemas operacionais Windows, Linux e Mac, processos em execução (Windows, Linux e Mac), portas de comunicação abertas nos dispositivos, aplicações instaladas em Windows, dispositivos externos conectados, usuários registrados como visitantes, dentre outras;
3.2.2.17. Deve permitir o controle de acesso à rede baseado em perfis e regras de conformidade;
3.2.2.18. Deve prover funções de visibilidade e controle para ambientes de nuvem nas seguintes plataformas: AWS, Azure, VMWare vCenter, VMWare NSX e VMWare vSphere;
3.2.2.19. Deve possuir autenticação de usuários com LDAP, RADIUS, Active Directory e 802.1x, possuindo, ainda, um servidor RADIUS e RADIUS Proxy integrado para facilitar o deployment baseado em 802.1x;
3.2.2.20. Deve suportar segurança 802.1x pre-connect e controle 802.1x post-connect tanto para rede cabeada como rede sem fio tanto de usuários corporativos como visitantes;
3.2.2.21. Deve suportar RADIUS authentication, authorization e accounting;
3.2.2.22. Deve possuir catálogo de MAC Addresses para suportar Mac Address Bypass para dispositivos que não suportam 802.1x;
3.2.2.23. Deve permitir que a autenticação 802.1x seja realizada através de servidor Microsoft Active Directory e servidor RADIUS externo (RADIUS Proxy);
3.2.2.24. Deve ser capaz de atribuir labels aos dispositivos baseados em listas de MAC Addresses mantidos em servidores FTP ou LDAP;
3.2.2.25. Deve permitir a automação do registro de convidados, tanto na rede cabeada como na rede sem fio, através de captive portal, sem necessidade de configuração/reconfiguração de equipamentos de acesso (switches);
3.2.2.26. Deve identificar automaticamente os servidores de DNS da rede;
3.2.2.27. Deve garantir a conformidade das configurações das máquinas corporativas (estações de trabalho, servidores, dispositivos móveis, dentre outros) com as políticas de segurança da organização, incluindo controle das soluções baseadas em agentes, tais como antivírus, patches de sistema operacional e bloqueio de software não-autorizado;
3.2.2.28. Deve realizar a detecção de ameaças baseada em análise do comportamento dos dispositivos (pós-admissão) não baseada em assinaturas (ex: Port Scan (TCP/UDP), Ping Sweep Scan, SNMP Scan, User Scan, Tentativa de Infecção via rede) e permitir o monitoramento e bloqueio do dispositivo;
3.2.2.29. Deve detectar dispositivos não-autorizados, tais como switches e access points (APs), identificando ainda se é um dispositivo que realiza tradução de endereços (NAT) e se está ou não autorizado a utilizar a rede;
3.2.2.30. Deve detectar portas de switches com múltiplos hosts conectados;
3.2.2.31. Deve detectar dispositivos sem endereço IP (tais como stealthy packet capture devices projetados para furto de informações) e executar ações de bloqueio de porta do switch e mudança de VLAN;
3.2.2.32. Deve controlar os dispositivos móveis conectados à rede em tempo real;
3.2.2.33. Deve possuir inventário e controle da rede em tempo real, permitindo rastrear e controlar usuários, aplicações, processos, portas e dispositivos externos;
3.2.2.34. Deve ser capaz de definir segmentos de rede baseados em endereços IP e filtrar os dados apresentados baseados em segmentos;
3.2.2.35. Deve permitir a criação de subsegmentos para diferenciar os setores e poder aplicar as políticas em diferentes segmentos;
3.2.2.36. Deve ser capaz de definir unidades organizacionais baseadas em segmentos de rede e filtrar os dados baseados em unidades organizacionais;
3.2.2.37. Deve ser capaz de realizar avaliação de postura de segurança de dispositivos IoT (Internet of Things) através da avaliação do uso de credenciais (SNMP, SSH e Telnet):
3.2.2.38. Padrão/Default de fábrica;
3.2.2.39. Base do fabricante de credenciais fracas/comuns;
3.2.2.40. Credenciais fornecidas manualmente pelo administrador.
3.2.2.41. Deve possuir módulo de relatórios e dashboard para monitoramento do nível de conformidade (compliance);
3.2.2.42. Deve possuir mecanismo para scanear máquinas Windows em busca de IOC’s (Indicators of Compromise) e executar ações em resposta à identificação de máquinas comprometidas;
3.2.2.43. Cada IoC deverá poder ser composto, pelo menos, dos seguintes atributos: Nome da Ameaça, Nome do Arquivo, Tamanho do Arquivo, Hash do Arquivo, Tipo de Função Hash Utilizada, Severidade, Endereço de Central de Comando & Controle (CnC);
3.2.2.44. Deve possuir mecanismo automático de remoção de IoC’s da base de dados da solução
de acordo com a severidade e tempo de existência do IoC;
3.2.2.45. Deve permitir a automação e orquestração de soluções de terceiros a partir de eventos detectados pela solução, utilizando-se das capacidades de integração em ações definidas nas políticas da solução;
3.2.2.46. As ações devem poder ser encadeadas através de agendamento da sua execução permitindo a orquestração de resposta a incidentes através de comunicação com soluções de terceiros via protocolos abertos (LDAP, SQL e Web Services);
3.2.2.47. Deve ser capaz de detectar novos dispositivos de rede a partir de traps SNMP v1, v2c e v3 enviados pelos switches;
3.2.2.48. Deve ser capaz de executar ações e consultar informações em switches de diversos fabricantes e switches genéricos através de protocolo SNMP;
3.2.2.49. Deve suportar SNMP v1, v2c e v3 para permitir o monitoramento do appliance através de sistemas externos de monitoramento de rede;
3.2.2.50. Deve ser capaz de enviar traps SNMP para sistemas de monitoramento de rede quando ocorrerem modificações de configuração e quando os limites de utilização do sistema forem ultrapassados (ex: número de dispositivos gerenciados, utilização de CPU, utilização de memória, perda de pacotes etc.);
3.2.2.51. Deve ser capaz de enviar e receber mensagens via SYSLOG;
3.2.2.52. Deve ser capaz de usar informações do tráfego DHCP para classificar os dispositivos sem a necessidade de utilização de IP Helper Address para redirecionamento das requisições DHCP;
3.2.2.53. Deve ser capaz de analisar o tráfego de rede e calcular estatísticas como tamanho médio de pacote, número médio de pacotes por segundo e resoluções de nomes via DNS;
3.2.2.54. Deve ser capaz de receber e processar informações de Flow (NetFlow v9, IPFIX e sFlow) para identificação de dispositivos e propriedades de dispositivos;
3.2.2.55. Deve ser capaz de identificar, aplicar políticas, manter a segurança e garantir a conformidade de dispositivos na nuvem pública da Amazon – AWS, inclusive identificando e controlando instâncias Elastic Compute Cloud (EC2), usuários Identity and Access Management (IAM) e Virtual Private Clouds (VPCs), permitindo:
3.2.2.55.1. Ver instâncias EC2, usuários IAM e VPCs; 3.2.2.55.2. Xxxxx e aplicar políticas nestas entidades AWS;
3.2.2.55.3. Manter a segurança e conformidade das instâncias de nuvem, usuários IAM e VPCs.
3.2.2.56. Deve ser capaz de identificar, aplicar políticas, manter a segurança e garantir a conformidade de dispositivos na nuvem pública da Microsoft – Azure, inclusive identificando e controlando instâncias de Virtual Machines (VM) e Virtual Networks (VNET), permitindo:
3.2.2.56.1. Ver instâncias VM e redes VNETs;
3.2.2.56.2. Xxxxx e aplicar políticas nestas entidades Azure;
3.2.2.56.3. Manter a segurança e conformidade das instâncias de VM’s e VNET’s.
3.2.2.56.4. Deve suportar a descoberta e gerenciamento de dispositivos em máquinas virtuais VMWare vSphere/vCenter;
3.2.2.56.5. Deve ser capaz de aplicar funcionalidades de controle em máquinas virtuais de ambientes VMWare vSphere/vCenter;
3.2.2.56.6. Desligar máquina virtual; 3.2.2.56.7. Ligar máquina virtual; 3.2.2.56.8. Reiniciar máquina virtual; 3.2.2.56.9. Colocar a máquina em espera;
3.2.2.56.10. Instalar e atualizar VMware Tools;
3.2.2.56.11. Desconectar todas as placas de redes da máquina virtual; 3.2.2.56.12. Alterar o Virtual Port Group da máquina virtual.
3.2.2.56.13. Deve ser capaz de aplicar micro-segmentação em máquinas virtuais de ambientes VMWare NSX;
3.2.2.57. Deve ser capaz de identificar dispositivos e servidores configurados com o uso de credenciais comuns da empresa e que devem ser considerados inseguros;
3.2.2.58. Deve possuir trilha de auditoria acessível pela interface gráfica que registre todas as operações de modificação nas configurações da solução (adições, edições e remoções).
3.2.2.59. ATRIBUTOS E PROPRIEDADES
3.2.2.59.1. Deve ser capaz de identificar atributos e propriedades dos dispositivos para permitir a criação de políticas baseadas em condições, no mínimo:
3.2.2.59.2. Autenticação: Identificar autenticação via HTTP (80/TCP), Telnet (23/TCP), NetBIOS (139/TCP), FTP (21/TCP) IMAP (143/TCP), POP3(110/TCP), rlogin(513/TCP) e Active
Directory;
3.2.2.59.3. Dispositivo: banners de serviço, endereço IP, nome DNS, se está realizando NAT, usuário logado, interfaces de rede, resultados de scripts, portas abertas, número de endereços IPv4 e IPv6, NIC Vendor, NetBIOS Hostname, NetBIOS Domain, qualquer atributo SNMP do dispositivo, resultado de comando via SSH;
3.2.2.59.4. Usuário: nome, status da autenticação e grupo de trabalho;
3.2.2.59.5. Windows Active Directory: conta desabilitada, conta expirada, Display Name, Member Of, Email, Initials, etc;
3.2.2.59.6. Sistema Operacional (Windows/Linux/Mac): tipo e versão do SO; processos em execução; existência, data e tamanho de arquivos; resultado de execução de scripts, usuário logado;
3.2.2.59.7. Detalhes de Máquinas Windows: domínio, último evento de login, existência e valores de chaves de registro, serviços instalados, serviços em execução, vulnerabilidades, dispositivos externos;
3.2.2.59.8. Detalhes de máquinas virtuais: Health Status de máquinas Guest VMWARE e tipo de instância Amazon EC2;
3.2.2.59.9. Segurança: agente de antivírus instalado, nível de atualização e status de firewall, IoC’s (Indicators of Compromise), ARP Spoofing, sessões abertas como cliente, sessões abertas como servidor, traps SNMP recebidas da porta onde o dispositivo está conectado;
3.2.2.59.10. Aplicações Windows: aplicações instaladas, incluindo versão, aplicações de Cloud Storage, Instant Messaging, Criptografia de Disco e Peer to Peer instaladas e em execução;
3.2.2.59.11. Periféricos: tipo do dispositivo, fabricante e tipo de conexão;
3.2.2.59.12. Rede: segmento de rede, switch e porta ao qual o dispositivo está conectado, VLAN.
3.2.2.59.13. Deve ser capaz de criar novas propriedades/atributos para os dispositivos usando o resultado de scripts executados nos dispositivos (ex: quantidade de instâncias de um determinado processo em execução em servidores Linux);
3.2.2.59.14. Deve ser capaz de criar novas propriedades/atributos para os dispositivos baseado em valores consultados em bases de dados externas via SQL, Web Services e LDAP;
3.2.2.59.15. Deve ser capaz de criar novas propriedades baseado na comparação entre propriedades já existentes;
3.2.2.59.16. Deve ser possível criar listas de valores de propriedades para serem usadas como operandos em regras de políticas (Ex: Listas de Endereços IP, Listas de Nomes de Máquinas, Listas de Processos, etc);
3.2.2.59.17. Deve ser possível detectar mudanças de valores em propriedades tais como: aplicações Windows instaladas e/ou removidas, novas interfaces de rede, mudança de data, tamanho e versão de arquivos Windows, criação/remoção de arquivos Windows, mudança de endereço IP, mudança de nome no DNS, alterações no Windows Registry, mudança de porta no switch, dentre outras, e utilizá-las como condições nas regras das políticas para execução de ações;
3.2.2.59.18. Deve ser possível utilizar atributos e propriedades para organizar os dispositivos em grupos, de forma a permitir melhor controle sobre a aplicação de políticas.
3.2.2.60. AÇÕES
3.2.2.60.1. Deve ser possível definir os seguintes tipos de ações automáticas nas políticas: 3.2.2.60.1.1. Restringir o acesso através de modificação de VLAN, desabilitar porta de switch e TCP
Resets (Firewall Virtual);
3.2.2.60.1.2. As ações de Firewall Virtual (TCP Resets) devem poder ser realizadas no tráfego originado pelo dispositivo e no tráfego destinado ao dispositivo;
3.2.2.60.1.3. Bloquear acesso de e para hosts e portas específicas;
3.2.2.60.1.4. Deve ser possível especificar o segmento de rede/faixa de IP e portas que estão impedidos de se comunicar com o dispositivo bloqueado;
3.2.2.60.1.5. Deve ser possível criar exceções à regra para permitir o acesso de administradores ao dispositivo;
3.2.2.60.1.6. A solução deve realizar ação de Virtual Firewall sem modificação na infraestrutura utilizando, apenas, informações coletadas no espelhamento de porta (Port SPAN).
3.2.2.60.1.7. Notificar o usuário através de redirecionamento de tráfego HTTP a partir da escuta do tráfego espelhado (SPAN port), inclusive em ambientes que utilizam Web Proxy;
3.2.2.60.1.8. Deve ser possível redirecionar o tráfego para qualquer URL definida pelo administrador;
3.2.2.60.1.9. Deve ser possível criar exceções para impedir o redirecionamento de tráfego
direcionado a URL’s específicas;
3.2.2.60.1.10.Deve ser possível criar exceções para impedir o redirecionamento de tráfego para segmentos de rede e faixas de IP específicas;
3.2.2.60.1.11.A solução deve realizar ação de redirecionamento de tráfego HTTP sem modificação na infraestrutura utilizando, apenas, informações coletadas no espelhamento de porta (Port SPAN).
3.2.2.60.1.12.Redirecionar tráfego usando HTTPS;
3.2.2.60.1.13.Bloquear tráfego HTTPS passando através de servidor Proxy;
3.2.2.60.1.14.Permitir redirecionar os usuários para páginas de autenticação e de ações de remediação;
3.2.2.60.1.15.A solução deve realizar ação de redirecionar os usuários para página de autenticação
sem modificação na infraestrutura utilizando, apenas, informações coletadas no espelhamento de porta (Port SPAN)
3.2.2.60.1.16.Permitir definir exceções para URL’s específicas;
3.2.2.60.1.17.Registrar convidados através de formulário de registro (captive portal) para máquinas não corporativas (terceiros, visitantes, BYOD), tanto para acessos via rede cabeada como rede sem fio, sem necessidade de configuração/reconfiguração de equipamentos de acesso (ex: switches), com as seguintes capacidades:
3.2.2.60.1.18.Permitir definir a validade de tempo de acesso do usuário; 3.2.2.60.1.19.Capacidade de definir diversos tipos de convidados com privilégios diferenciados; 3.2.2.60.1.20.Atribuir limitações de rede de acordo com o usuário;
3.2.2.60.1.21.Formulário de auto registro com acesso automático, sem necessidade de aprovação;
3.2.2.60.1.22.Formulário de auto registro com envio de códigos de verificação via e-mail para permitir o acesso (one time password);
3.2.2.60.1.23.Formulário de auto registro com aprovação de acesso por “sponsor” devidamente
autorizado
3.2.2.60.1.24.Controlar o acesso do convidado até que o seu acesso seja aprovado pelo “sponsor”
indicado;
3.2.2.60.1.25.Possuir Dissovable Agent para levantamento de informações e aplicação de políticas de conformidade em máquinas não corporativas, sem necessidade de permissões de administrador para execução e sem processo de instalação, não deixando nenhum rastro após o reboot.
3.2.2.60.1.26.Redirecionamento de tráfego via DNS (DNS Enforcement);
3.2.2.60.1.27.Comunicação: enviar e-mail de alertas aos usuários e administradores, notificar de usuário através de redirecionamento HTTP, enviar traps SNMP, envio de registros para SYSLOG;
3.2.2.60.1.28.Remediação de sistema operacional Windows: instalar patch de sistema operacional; criar e modificar chaves de registro; iniciar agente de segurança e atualizar assinaturas; desabilitar dispositivo externo, encerrar processos de Cloud Storage, P2P e IM;
3.2.2.60.1.29.Iniciar e encerrar processos e scripts em Windows, Linux e Mac; 3.2.2.60.1.30.Executar scripts no dispositivo com passagem de parâmetros para o script com valores
dos atributos disponíveis sobre o dispositivo;
3.2.2.60.1.31.Deve ser possível executar scripts como “root” em dispositivos Linux usando “sudo”.
3.2.2.60.1.32.Executar scripts no servidor da solução com passagem de parâmetros para o script com valores de atributos disponíveis do dispositivo;
3.2.2.60.1.33.Bloquear tráfego malicioso e colocar em quarentena dispositivo malicioso;
3.2.2.60.1.34.Atribuir dispositivos a grupos para utilização como critério de filtragem em políticas; 3.2.2.60.1.35.Enviar comandos para soluções de terceiros, através de protocolo aberto (SQL, LDAP e
Web Services);
3.2.2.60.1.36.Iniciar atualizações de segurança do Windows, via Microsft Web site ou WSUS; 3.2.2.60.1.37.Deve permitir escolher um dos três métodos de atualização disponíveis na plataforma:
download e instalação automáticas, download automático e notificação do usuário,
usando as configurações de “automatic update” do dispositivo.
3.2.2.60.1.38.A solução deve ser fornecida com plugin específico de integração com a solução de gestão de vulnerabilidades ofertada pela CONTRATADA;
3.2.2.60.1.39.A contratada deverá entregar plugin de ecossistema que tenha capacidade de integrar e suportar, no mínimo, as seguintes soluções:
3.2.2.60.1.39.1. Tenable;
3.2.2.60.1.39.2. Fortinet;
3.2.2.60.1.39.3. McAfee;
3.2.2.60.1.39.4. Servicenow;
3.2.2.60.1.39.5. Qualys;
3.2.2.60.1.39.6. Check Point;
3.2.2.60.1.39.7. CyberArk;
3.2.2.60.1.39.8. IBM QRadar;
3.2.2.60.1.40.Deve possuir um assistente, via WEB, que permita aos próprios usuários aplicarem ações de remediação de vulnerabilidades do sistema operacional Windows que tenham sido detectadas no dispositivo;
3.2.2.60.1.41.Todas as ações executadas sobre um dispositivo devem ser registradas (log) nas informações detalhadas do dispositivo.
3.2.2.60.1.42.POLÍTICAS
0.0.0.00.0.00.Xx políticas devem ser compostas por regras de condição e execução de ações em um escopo específico;
3.2.2.60.1.44.Deve permitir a limitação de escopo de aplicação da política baseado em faixas de endereço IP, segmentos de rede e grupos de dispositivos;
3.2.2.60.1.45.Deve permitir criar exceções para escopo de políticas baseado em endereço IP, MAC Address, NetBIOS Hostname; Username e grupos de dispositivos;
0.0.0.00.0.00.Xx regras de cada política devem ser criadas com base em condições lógicas (AND, OR, NOT) sobre quaisquer propriedades/atributos e informações levantadas sobre cada dispositivo;
3.2.2.60.1.47.Deve ser possível definir se o resultado da avaliação de uma condição será verdadeiro ou falso em caso de ausência de informações sobre a propriedade/atributo que está sendo avaliado;
3.2.2.60.1.48.Cada regra deve suportar a execução de múltiplas ações e o agendamento das mesmas para permitir flexibilidade na implementação de ações de controle de acesso, remediação e orquestração de segurança;
3.2.2.60.1.49.O agendamento de ações deve suportar pelo menos as seguintes opções: 3.2.2.60.1.50.Imediatamente;
3.2.2.60.1.51.Após um intervalo de tempo definido pelo administrador; 0.0.0.00.0.00.Xxxx e hora específica.
3.2.2.60.1.53.Deve ser possível estabelecer a duração da aplicação das ações com as seguintes opções: 3.2.2.60.1.54.Sem data final;
3.2.2.60.1.55.Após um intervalo de tempo definido pelo administrador; 0.0.0.00.0.00.Xxxx e hora específica.
3.2.2.60.1.57.Deve ser possível atribuir labels aos dispositivos e criar contadores para implementar lógicas de políticas complexas, capazes de reter o estado do dispositivo durante os processos de reverificação das condições lógicas;
3.2.2.60.1.58.Deve permitir a criação de um catálogo de condições customizadas para serem reutilizadas em regras de diferentes políticas;
3.2.2.60.1.59.Deve ser possível definir novas propriedades do dispositivo baseado na comparação ente outras propriedades já existentes;
0.0.0.00.0.00.Xx políticas criadas pelo administrador deverão permitir estabelecer condições de
classificação e conformidade (compliance) de dispositivos, bem como definir ações automáticas de remediação, tais como:
3.2.2.60.1.61.Identificar hosts e colocar em quarentena quando não houver o software de antivírus instalado ou não estiver com os patches de sistema atualizados;
3.2.2.60.1.62.Limitar acesso à rede para convidados;
3.2.2.60.1.63.Ativar detecção automática para hosts que estão faltando service pack e integrar com ferramenta de correção (WSUS);
3.2.2.60.1.64.Verificar todos os servidores que não estão em conformidade (compliance) com as políticas;
3.2.2.60.1.65.Automaticamente deverá descobrir e colocar em quarentena os access points (APs) wireless desconhecidos.
3.2.2.60.1.66.Deve possuir capacidade de atualizar bases de dados externas via comandos SQL parametrizados com dados dos dispositivos disponíveis na solução;
3.2.2.60.1.67.Deve ser capaz de executar comandos em soluções de terceiros através de chamadas de Web Services parametrizados com dados dos dispositivos disponíveis na solução;
3.2.2.60.1.68.Deve possuir capacidade de buscar informações em soluções de terceiros, através de LDAP, SQL e Web Services, para aplicação de políticas de segurança, controle de acesso e conformidade de dispositivos;
3.2.2.60.1.69.Deve possibilitar a importação e exportação de políticas; 3.2.2.60.1.70.Deve fornecer as informações sobre os dispositivos em tempo real;
3.2.2.60.1.71.Deve possuir templates de políticas pré-definidas e assistente gráfico para permitir a criação rápida de políticas padrão;
3.2.2.60.1.72.Deve permitir detectar usuários e dispositivos que estão fora de conformidade com a política de segurança, informando na console a razão da não-conformidade e detalhes completos do usuário/dispositivo, permitindo ainda a aplicação de ações automáticas de remediação;
3.2.2.60.1.73.Deve executar envio de alertas, restrições de acesso e ações de remediação automáticas, incluindo:
3.2.2.60.1.74.Atribuição de um dispositivo a VLANs específicas para controle de acesso; 3.2.2.60.1.75.Migração do dispositivo automaticamente para rede de convidados; 3.2.2.60.1.76.Migração de um dispositivo da rede de produção para uma rede de quarentena;
3.2.2.60.1.77.Finalização de aplicações não-autorizadas nas estações de trabalho e servidores corporativos.
3.2.2.61. INVENTÁRIO EM TEMPO REAL
3.2.2.61.1. Deve possuir inventário de usuários, dispositivos, software, hardware e rede com, no mínimo, as seguintes categorias:
3.2.2.61.1.1. Inventário de usuários da rede;
3.2.2.61.1.2. Inventário de convidados registrados incluindo status da aprovação de acesso, identificação do aprovador e da pessoa de contato indicada durante o processo de registro;
3.2.2.61.1.3. Inventário de portas de comunicação abertas associadas aos respectivos dispositivos; 3.2.2.61.1.4. Inventário de vulnerabilidades Microsoft associadas aos respectivos dispositivos; 3.2.2.61.1.5. Inventário de hardware de máquinas Windows contendo:
3.2.2.61.1.6. Informações gerais do equipamento: número de processadores, total de memória física, fabricante, modelo, time zone;
3.2.2.61.1.7. Discos: tipo do drive, nome do volume, tamanho, espaço disponível;
3.2.2.61.1.8. Monitores: tipo e fabricante; 3.2.2.61.1.9. Placa mãe: fabricante e modelo;
3.2.2.61.1.10.Adaptadores de rede: índice, endereço MAC, endereço IP, subrede IP e default gateway; 3.2.2.61.1.11.Memória física: capacidade, tipo, velocidade e fabricante;
3.2.2.61.1.12.Dispositivos Plug-and-Play: Class GUID, Device ID e fabricante;
3.2.2.61.1.13.Processador: fabricante, arquitetura, família, max clock speed, número de cores, percentual de carga e status.
3.2.2.61.1.14.Inventário de dispositivos externos conectados em máquinas Windows (wireless, impressoras, adaptadores de rede, modems, dispositivos de imagem, drives de disco externo, DVD/CDROM, bluetooth);
3.2.2.61.1.15.Inventário de aplicações instaladas em ambientes Windows e Mac; 3.2.2.61.1.16.Inventário de switches com informação de número de dispositivos conectados por
porta.
3.2.2.61.1.17.Deve permitir integrar-se com bases de dados e soluções externas para atualização imediata de informações de inventário de dispositivos existentes e de novos dispositivos que se conectarem à rede usando SQL e Web Services;
3.2.2.61.1.18.Deve permitir a criação de listas baseadas no inventário, tais como listas de aplicações autorizadas e não-autorizadas.
3.2.2.61.1.19.CONSOLE DE GERENCIAMENTO
3.2.2.61.1.20.Toda informação detectada deverá ser unificada em uma única console de gerenciamento central oferecida pelo próprio fabricante capaz de gerenciar múltiplos appliances;
3.2.2.61.1.21.A Console de Gerenciamento Central deve ser capaz de atribuir a cada appliance o conjunto de segmentos de rede a ser monitorado/controlado por cada um;
3.2.2.61.1.22.Deverá possuir painéis/telas que apresentem:
3.2.2.61.1.23.Políticas, regras e detalhes dos dispositivos que caíram no escopo e nas regras estabelecidas com capacidade de filtragem por segmento, unidade organizacional e grupos e mecanismo de busca baseado em texto;
3.2.2.61.1.24.A tela/painel deverá mostrar tabela customizável com detalhes dos dispositivos, como: 3.2.2.61.1.25.Endereço Mac;
3.2.2.61.1.26.Endereço IP;
3.2.2.61.1.27.Segmento de rede; 3.2.2.61.1.28.Nome DNS e NetBIOS;
3.2.2.61.1.29.Switch, porta e VLAN de conexão do dispositivo; 3.2.2.61.1.30.Nome/Login do usuário;
3.2.2.61.1.31.Ações executadas sobre o dispositivo.
3.2.2.61.1.32.Deve ser possível customizar as propriedades dos dispositivos a serem apresentados na tabela;
3.2.2.61.1.33.Para cada máquina selecionada na tela/painel deverá ser possível: 3.2.2.61.1.34.Visualizar as políticas e regras em que o dispositivo foi enquadrado, informando data e
hora, e as políticas e regras em que o dispositivo não foi enquadrado informando a razão de o mesmo não ter sido avaliado;
3.2.2.61.1.35.Exibir todos os detalhes (atributos e propriedades) do dispositivo selecionado; 3.2.2.61.1.36.Informações de compliance do dispositivo selecionado:
3.2.2.61.1.37.Inventário de usuários, dispositivos, aplicações e informações de rede com capacidade de filtragem por segmento, unidade organizacional e grupos e mecanismo de busca baseado em texto;
3.2.2.61.1.38.Criação, modificação e configuração de políticas;
3.2.2.61.1.39.Ameaças detectadas com capacidade de filtragem por segmento, unidade organizacional e grupos e mecanismo de busca baseado em texto.
3.2.2.61.1.40.Xxxx possuir assistente web de customização de aparência das telas de notificação e login via HTTP e do portal de gerenciamento de convidados;
3.2.2.61.1.41.Deve permitir que aplicações de terceiros consultem e atualizem propriedades/atributos dos dispositivos através de chamadas de Web Services disponíveis na solução.
3.2.2.61.1.42.Deve possuir portal WEB para consulta rápida de todos os detalhes dos dispositivos com facilidade de busca baseada em atributos do dispositivo, no mínimo por endereço IPv4, endereço IPv6, login do usuário, nome DNS, IP do switch onde o dispositivo está conectado, NetBios Domain, NetBios Hostname, e VMWare ESXi Server Name;
3.2.2.61.1.43.Deve permitir a visualização de registro de auditoria, contendo informações sobre as atividades dos administradores da solução em um período de tempo específico;
3.2.2.61.1.44.Deve permitir a visualização de log de eventos detectados pelas políticas da solução, atualizado em tempo real e filtrado por faixa de endereços IP e período de tempo, para permitir a investigação das atividades de dispositivos específicos;
3.2.2.61.1.45.Deve permitir a visualização dos logs de sistema (system logs) e envio dos mesmos para um servidor Syslog externo;
3.2.2.61.1.46.Deve fornecer opção de remediação, restrição de acesso e comunicação com o usuário final diretamente a partir da console, no mínimo:
3.2.2.61.1.47.Criar exceções para dispositivo; 3.2.2.61.1.48.Reverificar status do dispositivo;
3.2.2.61.1.49.Bloquear ou colocar em quarentena máquina em uma VLAN; 3.2.2.61.1.50.Bloquear acesso à internet;
3.2.2.61.1.51.Finalizar um processo; 3.2.2.61.1.52.Forçar autenticação na rede;
3.2.2.61.1.53.Possibilitar realizar a reverificação do dispositivo, por demanda, para todas as políticas ou apenas as selecionadas;
3.2.2.61.1.54.Possibilitar filtrar dispositivos baseado em segmentos de rede, unidades organizacionais e grupos;
3.2.2.61.1.55.Possibilitar visualizar apenas os dispositivos submetidos à classificação passiva; 3.2.2.61.1.56.Deve possuir mecanismos de limitação (threshold) de aplicação de ações de bloqueio e
limitação de acesso baseado em percentual do número de dispositivos controlados, incluindo, pelo menos, as ações de desabilitar porta de switch, modificação de VLAN, TCP Reset (Firewall Virtual), notificação via HTTP, redirecionamento via HTTP e matar processos em máquinas Windows.
3.2.2.62. RELATÓRIOS E DASHBOARD
3.2.2.62.1. Deve possuir facilidade para geração e agendamento de relatórios com informações de tempo real sobre políticas, compliance de dispositivos, vulnerabilidades de máquinas Windows, informações do inventário, detalhes de dispositivos, ativos de rede e usuários visitantes;
3.2.2.62.2. Deve possuir relatório/gráfico de tendência de políticas ao longo do tempo para permitir a avaliação da evolução de questões de classificação e compliance de dispositivos;
3.2.2.62.3. Todos os relatórios devem poder ser filtrados, pelo menos, por segmento de rede; 3.2.2.62.4. Todos os relatórios devem permitir agendamento e envio por e-mail;
3.2.2.62.5. Os relatórios que apresentem detalhes dos dispositivos devem permitir ao administrador selecionar, dentre todos os atributos dos dispositivos, aqueles que devem ser apresentados no relatório;
3.2.2.62.6. Deve possuir dashboard customizável que apresente de forma gráfica e dinâmica informações de classificação, conformidade e estado de gerenciamento dos dispositivos;
3.2.2.62.7. O dashboard deve ser composto por Widgets customizáveis que apresentem gráficos com dados estatísticos coletados das políticas e regras de classificação/compliance criadas pelo administrador;
3.2.2.62.8. Os Widgets devem permitir modificar dinamicamente o período de tempo apresentado no gráfico;
3.2.2.62.9. Os Widgets que apresentem gráficos de tendência de regras de compliance devem possuir setas indicativas de tendências de melhoria ou piora nos seus níveis:
3.2.2.62.10. Deve ser possível customizar o sentido das setas indicativas para indicar qual das direções (cima/baixo) indica melhoria do nível de compliance;
3.2.2.63. SERVIÇOS GERENCIADOS COM MONITORAMENTO E RESPOSTA A OCORRÊNCIAS DA SOLUÇÃO DE VISIBILIDADE, CONFORMIDADE, SEGURANÇA E ORQUESTRAÇÃO DOS DISPOSITIVOS CONECTADOS À REDE CORPORATIVA
3.2.2.63.1. Características do Serviço
3.2.2.63.2. A CONTRATADA será responsável por projetar, instalar, configurar, gerenciar e monitorar a solução ofertada;
3.2.2.63.3. A CONTRATADA deverá elaborar um projeto de implantação contendo gerenciamento de escopo, risco, mudanças, cronograma de instalação, gerenciamento de recursos humanos, contendo planejamento detalhado para permitir uma instalação com o menor risco de impacto possível, detalhando o passo a passo dos serviços;
3.2.2.63.4. A CONTRATADA deverá cumprir com todas as exigências técnicas e funcionais relacionadas com a solução ofertada, que devem ser implantadas durante o período contratado, sem ônus para a CONTRATANTE;
3.2.2.63.5. O fornecimento de toda e qualquer ferramenta, instrumento, material e equipamento de proteção, bem como materiais complementares estritamente necessários à instalação ou à assistência técnica é de inteira responsabilidade da CONTRATADA e não deverá gerar ônus à CONTRATANTE;
3.2.2.63.6. No processo de instalação o Responsável Técnico deverá tomar todas as medidas necessárias visando garantir a perfeita execução do serviço (instalação e configuração);
3.2.2.63.7. No prazo de até 10 (dez) dias após a conclusão de instalação da solução ofertada, a contratada deverá fornecer documentação final contendo as configurações e topologias de como foi instalada a solução;
3.2.2.63.8. A documentação deverá ser aprovada pela CONTRATANTE e pelo Gestor Técnico da CONTRATANTE, caracterizando a homologação da solução em um prazo de 5 dias, quando a CONTRATANTE emitirá um Termo de Aceite Definitivo (TAD);
3.2.2.63.9. Caso seja identificado defeito ou falha sistemática em determinado produto/serviço entregue pela CONTRATADA, ou ainda, que nos testes realizados sejam considerados em desacordo com as especificações técnicas requeridas, a o Gestor Técnico da CONTRATANTE pode exigir a substituição, total ou parcial, do referido produto;
3.2.2.63.10. A CONTRATADA será responsável pelo monitoramento da solução em regime 24x7, devendo manter a mesma sempre atualizada e em operação;
3.2.2.63.11. O monitoramento deverá ser realizado através de ferramentas próprias da contratante integradas via API com a console/servidor de gerenciamento central para automação
de coleta de alertas críticos e acionamento imediato da equipe da CONTRATADA;
3.2.2.63.12. A ocorrência de alertas de alta criticidade devem acionar diretamente, de forma automática, através de alarme sonoro em aplicativo de celular, os técnicos de plantão da CONTRATADA para início imediato do tratamento da ocorrência, dentro dos prazos definidos no ANS, sendo reportados imediatamente ao preposto da CONTRATANTE para ciência do fato;
3.2.2.63.13. A CONTRATADA deverá informar mensalmente a escala de técnicos de sobreaviso que atenderão os alertas de alta criticidade durante o período do plantão;
3.2.2.63.14. À opção da CONTRATANTE, esta poderá indicar até 5 profissionais para receberem os alarmes em tempo real, de forma simultânea, no aplicativo de celular a ser fornecido pela CONTRATADA sem custos adicionais.
3.2.2.63.15. O tratamento das ocorrências geradas pelo sistema de monitoramento automático deve ser acompanhado através de plataforma de gestão automatizada de processos (BPMn) fornecido pela CONTRATADA, que indique claramente e controle os prazos para execução de cada etapa do processo de resposta aos incidentes detectados;
3.2.2.63.16. O processo de tratamento de incidentes deve conter pelo menos as seguintes características:
3.2.2.63.16.1.Notificação imediata da CONTRATADA sobre a ocorrência detectada; 3.2.2.63.16.2.Investigação da ocorrência através dos recursos fornecidos pela solução; 3.2.2.63.16.3.Determinação da real criticidade da ocorrência;
3.2.2.63.16.4.Execução de ações de contenção previamente acordadas com o cliente;
3.2.2.63.16.5.Elaboração de plano de ação para a CONTRATADA possa elevar o nível de segurança do seu ambiente, caso as ações estejam fora do escopo desta contratação;
3.2.2.63.17. O processo automatizado deve ser capaz de tratar de forma diferenciada pelo menos 4 níveis de criticidade de alertas;
3.2.2.63.18. O processo automatizado deve ser capaz de enviar e-mail e alertas em aplicativo de celular de forma automática para a CONTRATADA e para a CONTRATANTE;
3.2.2.63.19. O processo automatizado deve ser capaz de emitir avisos sonoros através de aplicativo de celular para os técnicos da CONTRATADA e da CONTRATANTE, com diferentes graus de intensidade a depender do nível de criticidade da situação detectada;
3.2.2.63.20. Deve permitir a customização, para cada CONTRATANTE, de quais tipos de alertas se enquadram em cada um dos níveis de criticidade.
3.2.2.63.21. Deve ser disponibilizado para a CONTRATANTE um dashboard de acompanhamento em tempo real dos processos de tratamento dos incidentes que apresente, no mínimo:
3.2.2.63.22. Tarefas em aberto com indicação do responsável pela sua execução e tempo restante para finalização da mesma de acordo com o ANS contratado;
3.2.2.63.23. Taxxxxx xm atraso com indicação do responsável pela sua execução e tempo de atraso em relação ao ANS contratado;
3.2.2.63.24. Tabela de atraso médio de tarefas já encerradas;
3.2.2.63.25. Tabela de tempo médio de execução de tarefas já encerradas.
3.2.2.63.26. A manutenção visa manter em perfeito estado de operação os serviços fornecidos em atendimento ao objeto, deste modo a CONTRATADA deve cumprir os seguintes procedimentos:
3.2.2.63.27. desinstalação, reconfiguração ou reinstalação decorrentes de falhas no software, atualização da versão de software, correção de defeitos, ajustes e reparos necessários, de acordo com os manuais e as normas técnicas específicas para os recursos utilizados;
3.2.2.63.28. Quanto às atualizações pertinentes aos softwares, entende-se como “atualização” o provimento de toda e qualquer evolução de software, incluindo correções, “patches”,
“fixes”, “updates”, “service packs”, novas “releases”, “versions”, “builds”, “upgrades”, englobando inclusive versões não sucessivas, nos casos em que a liberação de tais versões ocorra durante o período de garantia especificado.
3.2.2.63.29. Deve ser elaborado e enviado mensalmente um relatório executivo com o resumo das principais ocorrências e as providências executadas pela CONTRATADA, além de gráficos e estatísticas relativos à conformidade operacional do ambiente;
3.2.2.63.30. A operação e administração (gerenciamento total) da solução será realizada pela CONTRATADA conforme as orientações e solicitações de configurações e políticas realizadas pelo Gestor Técnico da CONTRATANTE;
3.2.2.63.31. As solicitações de alteração de configurações deverão ser realizadas conforme o ANS definido na Seção – Acordo de Nível de Serviço – ANS;
3.2.2.63.32. No caso de necessidade de ações preventivas ou corretivas a CONTRATANTE agendará com antecedência junto a CONTRATADA as implementações das correções, fora do horário comercial, preferencialmente em feriados e finais de semana. Nenhuma ação poderá ser executada sem a ciência e anuência da CONTRATANTE;
3.2.2.63.33. A CONTRATADA deverá prestar suporte a todos os componentes de software fornecidos para a implementação e utilização da solução;
3.2.2.63.34. A CONTRATADA deverá disponibilizar serviço de suporte técnico e manutenção, no regime (24x7) vinte e quatro horas por dia, sete dias por semana, pelo período da contratação;
3.2.2.63.35. Os acionamentos dos serviços de suporte e manutenção serão requisitados por meio de ordens de serviço, a serem abertas pelo CONTRATANTE, através de número de telefone nacional (0800 com serviço de uso ilimitado) disponibilizado pela CONTRATADA, e ainda, por e-mail e sítio de internet;
3.2.2.63.36. Não haverá limitação no número de chamados que poderão ser abertos;
3.2.2.63.37. A CONTRATADA manterá registro de todas as ordens de serviço abertas, disponibilizando, para cada uma, no mínimo as seguintes informações:
3.2.2.63.38. Número sequencial da ordem; 3.2.2.63.39. Data e hora de abertura; 3.2.2.63.40. Severidade;
3.2.2.63.41. Descrição do problema;
3.2.2.63.42. Data e hora do início do atendimento;
3.2.2.63.43. Data e hora de término do atendimento (solução).
3.2.2.63.44. O serviço de suporte técnico e manutenção deverá ser prestado por profissional devidamente certificado nas soluções tecnológicas utilizadas na prestação dos serviços contratados;
3.2.2.63.45. As informações relacionadas à ANS estão na Seção – Acordo de Nível de Serviço – ANS.
3.2.3. ITEM 03: Serviço Gerenciados de acesso remoto seguro pelo período de 12 meses com suporte e garantia do fabricante. (Pacote para 100 ativos)
3.2.3.1. A solução a ser utilizada na prestação dos serviços deve suportar o seu funcionamento através de firewalls, sem necessidade de uma VPN. Isso é, a solução não deve exigir nenhuma alteração nas configurações de rede ou firewall;
3.2.3.2. Ser licenciado como subscrição, na modalidade Cloud.
3.2.3.3. A solução deve ser entregue em appliance virtual para instalação em nuvem privada da CONTRATANTE ou serviço SaaS, e deve ser rotineiramente testada quanto a vulnerabilidades executados por uma organização terceira. Estes testes devem ser comprovados através de documentos oficiais da empresa, se possível público na página Web da companhia ou da companhia terceira que executou os testes;
3.2.3.4. Permitir o acesso remoto, no mínimo, aos seguintes sistemas operacionais:
3.2.3.4.1. Microsoft Windows 10 e superiores
3.2.3.4.2. Servidores Windows Server 2012 e superiores
3.2.3.4.3. Linux Red Hat Enterprise 6.0 e superiores
3.2.3.4.4. O appliance deve possuir hardening de fábrica para garantir total compatibilidade entre todos os componentes da solução, evitando assim customizações ou adaptações não suportadas pelo fabricante da solução;
3.2.3.5. A solução de acesso remoto não deve sobre nenhuma circunstância trafegar na internet com protocolos SSH e RDP para prover o acesso remoto aos ativos e servidores. Deve utilizar protocolo TLS 1.2. ou TLS 1.3;
3.2.3.6. Suportar o acesso sem necessidade de permissão prévia para o acesso a desktops e servidores;
3.2.3.7. Disponibilizar aos usuários, console de acesso Web para a solução, sem a necessidade de instalação de plug-ins ou agentes;
3.2.3.8. Permitir o agendamento para liberação do acesso remoto, incluindo notificação por e- mail aos destinatários designados;
3.2.3.9. Permitir forçar o encerramento da sessão remota pelo supervisor, com notificação ao cliente;
3.2.3.10. Prover monitoramento ao vivo e gravação da sessão, com registro completo das atividades executadas durante a sessão executada pelos usuários;
3.2.3.11. Limitar o acesso a aplicativos especificados no sistema remoto, incluindo a acesso a área de trabalho remota;
3.2.3.12. Suportar filtro de comandos durante as sessões SSH, visando evitar que o usuário inadvertidamente use um comando que pode causar danos ao servidor acessado;
3.2.3.13. Oferecer aos usuários a capacidade de executar tarefas do sistema fora do compartilhamento de tela, como por exemplo reiniciar um serviço em servidores com sistema operacional Windows;
3.2.3.14. A solução deve suportar seu funcionamento dentro de redes que não estão diretamente conectadas à internet;
3.2.3.15. A solução deve possibilitar o acesso a dispositivos de rede como roteadores, switches e outros dispositivos via SSH e Telnet; Servidores através de RDP ou SSH, dentre outras opções. Este acesso/protocolos devem ser empregados apenas em rede local, sem que haja a necessidade de trafegar estes protocolos em redes inseguras e/ou liberando-os em regras de firewall;
3.2.3.16. Permitir que os usuários transfiram arquivos da máquina em que está conectado para o sistema remoto, através da console da solução e sem necessidade de uso de ferramentas de terceiros;
3.2.3.17. Oferecer aos usuários conectados a capacidade de ver informações do sistema sem que seja necessário ter acesso a console do ativo;
3.2.3.18. Permitir a configuração de tempos limites para sessões ociosas, em que seja possível definir o tempo máximo para que um usuário inativo seja desconectado automaticamente;
3.2.3.19. A fim de adicionar uma camada adicional na segurança da autenticação de usuários, a solução deve suportar duplo fator de autenticação, suportando no mínimo:
3.2.3.19.1. Integração com soluções de autenticação de dois fatores via RADIUS;
3.2.3.19.2. Ferramentas autenticação de dois fatores, usando uma senha única baseada em tempo (TOTP). Suportando soluções como: Google Authenticator, Authy, YubioAth Desktop, GAuth Authenticator, 1Password e etc.
3.2.3.19.3. A solução deve suportar autenticação através de smart-cards;
3.2.3.20. A solução deve possuir políticas são usadas para controlar quando os ativos podem ser acessados, suportando no mínimo:
3.2.3.20.1. Programação para definir quando os ativos sob esta política podem ser acessados. A política deve permitir a definição do fuso horário a ser utilizado no agendamento, permitindo uma ou mais opções de agendamento do acesso. Definindo o dia e hora de início e o dia e hora de término.
3.2.3.20.2. Para certos grupos de usuários, a solução deve permitir forçar o encerramento da sessão. Forçando a sessão a se desconectar no horário final agendado. Nesse caso, o usuário deve receber notificações antes de ser desconectado.
3.2.3.21. Notificar destinatários quando uma sessão é iniciada. Suportando no mínimo uma notificação por e-mail a destinatários designados sempre que uma sessão é iniciada com qualquer ativo.
3.2.3.22. Notificar destinatários quando uma sessão é terminada. Suportando no mínimo uma notificação por e-mail a destinatários designados sempre que uma sessão é encerrada com qualquer ativo.
3.2.3.23. Exigir aprovação antes do início de uma sessão, suportando no mínimo uma notificação por email de aprovação enviado aos destinatários designados sempre que uma tentativa de sessão com qualquer ativo. Solicitando que o usuário insira um motivo da solicitação, a hora e a duração da solicitação.
3.2.3.24. A solução deve suportar logon único (SSO), comunicando-se com um provedor de identidade usando SAML 2.0;
3.2.3.25. A solução deve suportar o acesso a desktops, servidores e outros sistemas remotos autônomos. Suportando os seguintes modos:
3.2.3.25.1. Através de clientes instalados, que permitem o acesso a qualquer sistema Windows, Mac ou Linux. Tendo total gerencia e relatórios centralizados de todos os clientes implantados;
3.2.3.25.2. Acesso através de cliente de proxy local, que permite o acesso a sistemas Windows autônomos em uma rede, sem um cliente pré-instalado;
3.2.3.25.3. Acesso via cliente de proxy para acessar sistemas em uma rede remota que não tenha uma conexão de internet nativa.
3.2.3.25.4. Integração com RDP (Remote Desktop Protocol) da Microsoft para realizar sessões utilizando protocolo RDP. Permitindo que os usuários colaborem em sessões e estas sessões possam ser auditadas e gravadas automaticamente;
3.2.3.26. A solução deve ser capaz de controlar quais aplicativos podem ser usados por um operador na sessão, limitando o acesso a aplicativos especificados no sistema remoto, permitindo somente os executáveis listados (whitelist), como também podendo negar apenas os executáveis listados (blacklist).
3.2.3.27. Deve ser possível também optar por permitir ou negar o acesso à área de trabalho.
3.2.3.28. A solução deve conter contar com função que permite agrupar usuários em equipes permitindo a atribuição de líderes a estes grupos de usuários. Um líder ou gerente de equipe pode monitorar membros da equipe da qual é líder, e opcionalmente pode optar por participar ou assumir as sessões de um membro de sua equipe.
3.2.3.29. Acesso a dispositivos de rede habilitados para SSH/telnet através de um cliente de proxy efetuando a conexão localmente;
3.2.3.30. Acesso a servidores VNC onde os usuários podem colaborar em sessões e ter as sessões auditadas e gravadas automaticamente;
3.2.3.31. Acesso a páginas Web a partir de agente de proxy local, onde os usuários receberão apenas uma conexão a uma página Web local em uma sessão auditada e gravada;
3.2.3.32. “Tunelamento de protocolos” que permite estender os recursos de conectividade e
auditoria remotas de aplicativos proprietários e/ou de terceiros, como sistemas de controle de integração ou ferramentas de banco de dados personalizadas sem necessidade de VPN;
3.2.3.33. Solução deve suportar a injeção automática de credenciais, permitindo que os usuários autentiquem ou elevem privilégios nos sistemas remotos, sem revelar credenciais e senhas em texto simples. Permitindo que os usuários selecionem a credencial a ser utilizada a partir de uma lista de credenciais que têm privilégios nos sistemas aprovados para acesso.
3.2.3.34. Suportar a injeção automática de credenciais em sistemas Unix/Linux, permitindo que os usuários autentiquem ou elevem privilégios sem revelar credenciais, bem como a utilização em conjunto com o sudo;
3.2.3.35. Oferecer a opção de prover acesso à linha de comandos dos servidores sem a necessidade de compartilhamento de tela, permitindo aos administradores a execução de comandos remotos via conexões lentas de internet.
3.2.3.36. Visando a garantia do funcionamento da solução como um todo, este item deve possuir integração nativa com o ITEM 5 desta especificação;
3.2.3.37. SERVIÇOS GERENCIADOS COM MONITORAMENTO E RESPOSTA A OCORRÊNCIAS DA SOLUÇÃO DE SERVIÇOS DE GERENCIAMENTO DE ACESSO REMOTO SEGURO
3.2.3.37.1. A CONTRATADA será responsável por projetar, instalar, configurar, gerenciar e monitorar a solução ofertada;
3.2.3.37.2. A CONTRATADA deverá elaborar um projeto de implantação contendo gerenciamento de escopo, risco, mudanças, cronograma de instalação, gerenciamento de recursos humanos, contendo planejamento detalhado para permitir uma instalação com o menor risco de impacto possível, detalhando o passo a passo dos serviços;
3.2.3.37.3. A CONTRATADA deverá cumprir com todas as exigências técnicas e funcionais relacionadas com a solução ofertada, que devem ser implantadas durante o período contratado, sem ônus para a CONTRATANTE;
3.2.3.37.4. O fornecimento de toda e qualquer ferramenta, instrumento, material e equipamento de proteção, bem como materiais complementares estritamente necessários à instalação ou à assistência técnica é de inteira responsabilidade da CONTRATADA e não deverá gerar ônus à CONTRATANTE;
3.2.3.37.5. No processo de instalação o Responsável Técnico deverá tomar todas as medidas necessárias visando garantir a perfeita execução do serviço (instalação e configuração);
3.2.3.37.6. No prazo de até 10 (dez) dias após a conclusão de instalação da solução ofertada, a contratada deverá fornecer documentação final contendo as configurações e topologias de como foi instalada a solução;
3.2.3.37.7. A documentação deverá ser aprovada pela CONTRATANTE e pelo Gestor Técnico da CONTRATANTE, caracterizando a homologação da solução em um prazo de 5 dias, quando a CONTRATANTE emitirá um Termo de Aceite Definitivo (TAD);
3.2.3.37.8. Caso seja identificado defeito ou falha sistemática em determinado produto/serviço entregue pela CONTRATADA, ou ainda, que nos testes realizados sejam considerados em desacordo com as especificações técnicas requeridas, a o Gestor Técnico da CONTRATANTE pode exigir a substituição, total ou parcial, do referido produto;
3.2.3.37.9. A CONTRATADA será responsável pelo monitoramento da solução em regime 24x7, devendo manter a mesma sempre atualizada e em operação;
3.2.3.37.10. A CONTRATADA deverá informar mensalmente a escala de técnicos de sobreaviso que atenderão os alertas de alta criticidade durante o período do plantão;
3.2.3.37.11. O processo de tratamento de incidentes deve conter pelo menos as seguintes características:
3.2.3.37.12. Notificação imediata da CONTRATADA sobre a ocorrência detectada;
3.2.3.37.13. Investigação da ocorrência através dos recursos fornecidos pela solução; 3.2.3.37.14. Determinação da real criticidade da ocorrência;
3.2.3.37.15. Execução de ações previamente acordadas com o cliente;
3.2.3.37.16. Elaboração de plano de ação para a CONTRATADA possa elevar o nível de segurança do seu ambiente, caso as ações estejam fora do escopo desta contratação;
3.2.3.37.17. A manutenção visa manter em perfeito estado de operação os serviços fornecidos em atendimento ao objeto, deste modo a CONTRATADA deve cumprir os seguintes procedimentos:
3.2.3.37.17.1.desinstalação, reconfiguração ou reinstalação decorrentes de falhas no software, atualização da versão de software, correção de defeitos, ajustes e reparos necessários, de acordo com os manuais e as normas técnicas específicas para os recursos utilizados;
3.2.3.37.18. Quanto às atualizações pertinentes aos softwares, entende-se como “atualização” o provimento de toda e qualquer evolução de software, incluindo correções, “patches”, “fixes”, “updates”, “service packs”, novas “releases”, “versions”, “builds”, “upgrades”, englobando inclusive versões não sucessivas, nos casos em que a liberação de tais versões ocorra durante o período de garantia especificado.
3.2.3.37.19. Deve ser elaborado e enviado mensalmente um relatório executivo com o resumo dos principais indicadores, além de gráficos e estatísticas relativos à usabilidade da solução;
3.2.3.37.20. A operação e administração (gerenciamento total) da solução será realizada pela CONTRATADA conforme as orientações e solicitações de configurações e políticas realizadas pelo Gestor Técnico da CONTRATANTE;
3.2.3.37.21. As solicitações de alteração de configurações deverão ser realizadas conforme o ANS definido na Seção – Acordo de Nível de Serviço – ANS;
3.2.3.37.22. No caso de necessidade de ações preventivas ou corretivas a CONTRATANTE agendará com antecedência junto a CONTRATADA as implementações das correções, fora do horário comercial, preferencialmente em feriados e finais de semana. Nenhuma ação poderá ser executada sem a ciência e anuência da CONTRATANTE;
3.2.3.37.23. A CONTRATADA deverá prestar suporte a todos os componentes de software fornecidos para a implementação e utilização da solução;
3.2.3.37.24. A CONTRATADA deverá disponibilizar serviço de suporte técnico e manutenção, no regime (24x7) vinte e quatro horas por dia, sete dias por semana, pelo período da contratação;
3.2.3.37.25. Os acionamentos dos serviços de suporte e manutenção serão requisitados por meio de ordens de serviço, a serem abertas pelo CONTRATANTE, através de número de telefone nacional (0800 com serviço de uso ilimitado) disponibilizado pela CONTRATADA, e ainda, por e-mail e sítio de internet;
3.2.3.37.26. Não haverá limitação no número de chamados que poderão ser abertos;
3.2.3.37.27. A CONTRATADA manterá registro de todas as ordens de serviço abertas, disponibilizando, para cada uma, no mínimo as seguintes informações:
3.2.3.37.27.1.Número sequencial da ordem; 0.0.0.00.00.0.Xxxx e hora de abertura; 3.2.3.37.27.3.Severidade; 3.2.3.37.27.4.Descrição do problema;
0.0.0.00.00.0.Xxxx e hora do início do atendimento; 0.0.0.00.00.0.Xxxx e hora de término do atendimento (solução).
3.2.3.37.28. O serviço de suporte técnico e manutenção deverá ser prestado por profissional devidamente certificado nas soluções tecnológicas utilizadas na prestação dos serviços contratados;
3.2.3.37.29. As informações relacionadas à ANS estão na Seção – Acordo de Nível de Serviço – ANS.
3.2.4. ITEM 04: Serviço de gerenciamento de suporte remoto seguro pelo período de 12 meses, com suporte e garantia do fabricante. (Pacote para 05 usuários)
3.2.4.1. Ser licenciado como subscrição.
3.2.4.2. A solução deve ser entregue em appliance virtual para instalação em nuvem privada da CONTRATANTE ou serviço SaaS;
3.2.4.3. A solução deve ser disponibilizada com opção de uso na língua portuguesa-Brasil.
3.2.4.4. "A solução deve permitir o acesso a vários tipos de Sistemas Operacionais, com ou sem agentes, incluindo no mínimo o suporte aos seguintes:
3.2.4.4.1. I - Sistemas operacionais Windows;
3.2.4.4.2. II - Sistemas operacionais Mac OS X;
3.2.4.4.3. III - Sistemas operacionais Linux;
3.2.4.4.4. IV - Sistemas operacionais ChromeOS;
3.2.4.4.5. V - Dispositivos móveis;
3.2.4.4.6. VI - Apple iOS;
3.2.4.4.7. VII - Android;
3.2.4.4.8. VIII - BlackBerry;
3.2.4.4.9. IX - Windows Mobile."
3.2.4.5. Permitir que as sessões sejam possíveis entre as diferentes plataformas solicitadas.
3.2.4.6. A console de atendimento utilizada pelos atendentes deve suportar as plataformas Windows (7/10 e superior), Linux, Mac e Mobile (Smartphone e Tablet com sistemas Android ou iOS).
3.2.4.7. Compatibilidade com as arquiteturas 32 e 64bits.
3.2.4.8. Suportar a funcionalidade de suporte remoto:
3.2.4.8.1. Uma console de acesso baseado em web que usa HTML5, ou seja, sem necessidade de nenhum plug-in ou agente especial para fornecer o acesso. Esta console Web deve eliminar o requisito de ter que baixar e instalar um cliente de acesso
3.2.4.8.2. Uma console de acesso para iOS que deve estar disponível para download gratuito na Apple App Store;
3.2.4.8.3. "Uma console de acesso para Android que deve estar disponível para download gratuito no Google Play;"
3.2.4.8.4. Deve possuir acesso através de uma console instalada diretamente no Sistema Operacional do cliente, que deve suportar Sistemas Operacionais Windows em 32 e 64 Bit, Sistemas Operacionais Mac e também Sistemas operacionais Linux em 32 ou 64Bit;
3.2.4.8.5. Possibilidade de iniciar a sessão de suporte remoto via portal web ou através de um ícone no computador do usuário, informando uma chave de sessão ou escolhendo uma categoria de problemas (perfil de atendimento) no qual será automaticamente direcionado para uma equipe específica;
3.2.4.8.6. Possibilidade de iniciar a sessão através da console informando o endereço IP (Internet Protocol) ou o hostname do equipamento;
3.2.4.8.7. Possibilitar e habilitar que o suporte remoto seja realizado somente com a autorização do usuário para início da sessão;
3.2.4.8.8. Permitir elevar privilégios do usuário no momento da sessão para a execução de tarefas administrativas, sem perder a conexão;
3.2.4.8.9. Solução deve suportar a injeção automática de senhas, permitindo que os usuários
autentiquem ou elevem privilégios para desktops e sistemas remotos, sem revelar credenciais e senhas de texto simples. Permitindo que os usuários selecionem a credencial a ser utilizada a partir de uma lista de credenciais que têm privilégios no sistema;
3.2.4.8.10. Permitir desenhar e indicar com ponteiro visual na tela do usuário;
3.2.4.8.11. A solução não deve exigir a necessidade de instalação prévia de componente cliente nos equipamentos da rede. O cliente deve ser instalado no momento da sessão e desinstalado após a sessão;
3.2.4.8.12. Permitir customizar o portal de suporte, o componente cliente e o ícone distribuído aos clientes (banner, cor, informações);
3.2.4.8.13. Deve ser capaz de se comunicar de forma "peer-to-peer" para sessões de compartilhamento de tela, transferência de arquivos ou shell remoto. Caso naquele momento a solução não consiga conectar de forma "peer-to-peer", a solução deve criar uma conexão se utilizando da console de origem como intermediária;
3.2.4.8.14. A solução deve permitir que os administradores definam mensagens padronizadas que os representantes podem usar durante uma sessão;
3.2.4.8.15. Possuir a funcionalidade de provedor de elevação de acesso, caso o atendente precise elevar os privilégios da sessão e não possua a credencial necessária;
3.2.4.8.16. Possibilitar e habilitar o suporte remoto sem a presença do usuário no início, durante e ao término da sessão;
3.2.4.8.17. Permitir iniciar sessão com compartilhamento de tela limitado (somente visualização) ou controle remoto completo;
3.2.4.8.18. Permitir que o atendente possa mostrar a própria tela ao usuário, revertendo o compartilhamento de tela;
3.2.4.8.19. Permitir reiniciar o sistema operacional do cliente e retornar à sessão automaticamente;
3.2.4.8.20. Permitir que o atendente bloqueie o mouse e o teclado do usuário. O usuário deve receber notificação lhe informando como readquirir o controle da sessão;
3.2.4.8.21. Permitir suporte em dispositivos móveis;
3.2.4.8.22. Permitir transferência de arquivos em uma sessão através de interface arrastar e colar; 3.2.4.8.23. Permitir chat (tela de atendimento interativa) entre o atendente e o usuário; 3.2.4.8.24. Permitir que a sessão seja iniciada somente com chat;
3.2.4.8.25. Permitir a utilização de mensagens pré-cadastradas; 3.2.4.8.26. Permitir criar filas de atendimento categorizadas;
3.2.4.8.27. Mostrar para o usuário em qual posição ele se encontra na fila de atendimento, quando este utilizar a função de iniciar a sessão pelo chat;
3.2.4.8.28. Permitir iniciar sessão SSH ou Telnet para ambientes sem interfaces gráficas; 3.2.4.8.29. Permitir utilização de comando Shell em uma sessão com scripts pré-preparados, sem
que os scripts precisem estar ou serem copiados para o equipamento do usuário;
3.2.4.8.30. Permitir visualização prévia das informações do sistema do usuário sem que seja necessário o acesso a sua tela, quais sejam: hardware, disco, processos, event logs, interfaces de rede, softwares instalados, patchs de sistema operacional, tarefas agendadas.
3.2.4.8.31. Permitir distribuir automaticamente os atendimentos para técnicos de acordo com a carga de trabalho;
3.2.4.8.32. Permitir visualizar todas as telas de um usuário com mais de um monitor habilitado; 3.2.4.8.33. Permitir que cada atendente trabalhe em múltiplas sessões simultaneamente,
independentemente da plataforma dos usuários atendidos;
3.2.4.8.34. Permitir iniciar sessão no nível de BIOS nos equipamentos com a tecnologia Intel vPro; 3.2.4.8.35. Deve permitir que os representantes de suporte possam "acordar" os dispositivos
clientes registrados por meio da tecnologia "Wake-On-Lan";
3.2.4.8.36. Permitir o uso da Tecnologia Intel Active Management, para que os usuários com privilégios possam oferecer suporte a sistemas Windows totalmente provisionados da Intel® vPro abaixo do nível do Sistema Operacional, independentemente do status ou estado de energia desses sistemas remotos;
3.2.4.8.37. Permitir ligar a máquina que esteja desligada nos equipamentos com a tecnologia Intel vPro;
3.2.4.8.38. Permitir suporte remoto sem exigir a instalação prévia de agente nos equipamentos dos usuários da rede;
3.2.4.8.39. Possibilitar pesquisa de satisfação com o cliente e com o atendente após finalizar sessão de suporte;
3.2.4.8.40. Permitir iniciar sessão com usuário através da internet.
3.2.4.9. Suportar a funcionalidade de gerenciamento de equipes:
3.2.4.9.1. Permitir a criação de equipes de atendimento, vez que deve ser possível estabelecer os perfis de supervisor e monitor, além dos atendentes que participarão das equipes técnicas, todos com diferentes níveis de acesso;
3.2.4.9.2. Possibilitar ao supervisor e/ou monitor de equipe visualizar um dashboard para monitorar e controlar as sessões da equipe técnica;
3.2.4.9.3. Permitir que cada atendente trabalhe em múltiplas sessões ao mesmo tempo, independentemente da plataforma dos clientes atendidos;
3.2.4.9.4. Configuração de balanceamento de carga de trabalho, para automaticamente direcionar sessões novas para atendentes menos ocupados e de acordo com a experiência/especialidade de cada um;
3.2.4.9.5. Possibilitar ao supervisor e/ou monitor de equipe visualizar a tela de um atendente membro da equipe durante o atendimento de uma sessão;
3.2.4.9.6. Permitir compartilhar a sessão com outro representante ou outra equipe, ou até mesmo de um usuário fora da rede;
3.2.4.9.7. Permitir envio de convite para representante externo participar de uma sessão;
3.2.4.9.8. Permitir transferir a sessão com outro representante ou outra equipe;
3.2.4.9.9. Permitir chat entre os atendentes conectados;
3.2.4.9.10. Permitir que o atendente participe de mais de uma equipe de atendimento.
3.2.4.10. Suportar os seguintes requisitos de segurança:
3.2.4.10.1. Permitir criação de políticas para grupos de usuários para controlar acessos e permissões;
3.2.4.10.2. Armazenar em log no sistema informações das sessões (nome e máquina do usuário e do atendente, chat, transferências de arquivos, informações do sistema e o vídeo do atendimento, duração da sessão);
3.2.4.10.3. O vídeo do atendimento deve demonstrar qual parte (atendente ou usuário) estava no controle do teclado e do mouse durante a sessão;
3.2.4.10.4. Possibilitar que as conversas via chat sejam armazenadas para fins de auditoria; 3.2.4.10.5. Permitir ao usuário ver ou baixar uma cópia do chat depois de terminada a sessão; 3.2.4.10.6. Armazenar informações detalhadas das sessões de suporte;
3.2.4.10.7. Permitir visualização da imagem das sessões que foram gravadas;
3.2.4.10.8. Possibilitar a exportação dos logs do appliance para uma base de dados externa;
3.2.4.10.9. Possibilitar a exportação dos vídeos de sessão para um sistema de diretórios externos ao appliance;
3.2.4.10.10. A solução deve se integrar ao item 05 para coletar a senha e injetar na aplicação;
3.2.4.11. Permitir integração nativa que permita autenticação e autorização dos representantes através de diretórios LDAP, inclusive Active Directory, RADIUS e Kerberos;
3.2.4.12. Suportar TLS 1.2 e 1.3
3.2.4.13. Possibilitar ao administrador da solução definir os atendentes e através de integração via LDAP adicionar usuários e grupos às políticas;
3.2.4.14. Utilizar criptografia TLS 1.2 preferivelmente na comunicação do atendente e do cliente com o servidor/appliance;
3.2.4.15. Restringir acesso a console de atendimento para IPs específicos;
3.2.4.16. Permitir que o atendente utilize um smart card ou token para elevar as permissões da sessão no equipamento do usuário;
3.2.4.17. A solução não deve requerer conexão via VPN para iniciar uma sessão de atendimento;
3.2.4.18. A solução deve possuir um mecanismo de envio de log de alterações de configuração da própria solução;
3.2.4.19. Permitir a restrição de conexão das consoles do appliance via ranges de IP;
3.2.4.20. Permitir definir as portas de tráfego de comunicação da solução;
3.2.4.21. Possuir integração com Ferramentas de ITSM, para integrar solução de suporte remoto com solução de gerenciamento de incidentes. Suportando no mínimo a integração com soluções como: Autotask, BMC FootPrints 11 e 12, BMC Remedy, BMC Remedyforce, CA Service Desk, HEAT, JIRA, ServiceNow e Zendesk;
3.2.4.22. Possuir API aberta para construção de outras integrações
3.2.4.23. A solução deve suportar autenticação física, como por exemplo por "TouchID";
3.2.4.24. A solução deve suportar ferramentas autenticação de dois fatores, usando uma senha única baseada em tempo (TOTP). Suportando soluções como: Google Authenticator, Authy, YubioAth Desktop, GAuth Authenticator, 1Password e etc;
3.2.4.25. Permitir criação de diferentes perfis de acesso aos atendentes, com diversos níveis de acessos e permissões durante uma sessão de suporte remoto;
3.2.4.26. Uso exclusivo através da porta 443;
3.2.4.27. Permitir o armazenamento de informações sobre o uso das licenças do software;
3.2.4.28. Permitir acesso através de firewall e ambientes de DMZ;
3.2.4.29. Suportar IPv6;
3.2.4.30. criptografadas na transmissão usando algoritmos compatíveis com FIPS 140-2 nível 2 ou superior;
3.2.4.31. A solução deverá prover funcionalidade de geração de relatórios, auditoria e configuração das equipes de suporte, atendentes e permissões a partir de uma console de administração;
3.2.4.32. Possuir um componente proxy para atendimento a computadores em redes isoladas, onde através deste proxy o gateway poderá realizar sessões em computadores desta rede isolada.
3.2.4.33. Disponibilizar a funcionalidade de geração de relatórios no mínimo para:
3.2.4.34. Propósitos de segurança e auditoria;
3.2.4.35. Relatórios detalhados das sessões de suporte e atendimento via chat;
3.2.4.36. Relatório de uso das licenças do software.
3.2.4.37. Permitir múltiplas sessões de suporte remoto de forma simultânea e distinta, utilizando somente uma licença concorrente.
3.2.4.38. SERVIÇOS GERENCIADOS COM MONITORAMENTO E RESPOSTA A OCORRÊNCIAS DA SOLUÇÃO DE SERVIÇOS DE GERENCIAMENTO DE SUPORTE REMOTO SEGURO:
3.2.4.38.1. Características do Serviço
3.2.4.38.2. A CONTRATADA será responsável por projetar, instalar, configurar, gerenciar e monitorar a solução ofertada;
3.2.4.38.3. A CONTRATADA deverá elaborar um projeto de implantação contendo gerenciamento de escopo, risco, mudanças, cronograma de instalação, gerenciamento de recursos humanos, contendo planejamento detalhado para permitir uma instalação com o menor risco de impacto possível, detalhando o passo a passo dos serviços;
3.2.4.38.4. A CONTRATADA deverá cumprir com todas as exigências técnicas e funcionais relacionadas com a solução ofertada, que devem ser implantadas durante o período contratado, sem ônus para a CONTRATANTE;
3.2.4.38.5. O fornecimento de toda e qualquer ferramenta, instrumento, material e equipamento de proteção, bem como materiais complementares estritamente necessários à instalação ou à assistência técnica é de inteira responsabilidade da CONTRATADA e não deverá gerar ônus à CONTRATANTE;
3.2.4.38.6. No processo de instalação o Responsável Técnico deverá tomar todas as medidas necessárias visando garantir a perfeita execução do serviço (instalação e configuração);
3.2.4.38.7. No prazo de até 10 (dez) dias após a conclusão de instalação da solução ofertada, a contratada deverá fornecer documentação final contendo as configurações e topologias de como foi instalada a solução;
3.2.4.38.8. A documentação deverá ser aprovada pela CONTRATANTE e pelo Gestor Técnico da CONTRATANTE, caracterizando a homologação da solução em um prazo de 5 dias, quando a CONTRATANTE emitirá um Termo de Aceite Definitivo (TAD);
3.2.4.38.9. Caso seja identificado defeito ou falha sistemática em determinado produto/serviço entregue pela CONTRATADA, ou ainda, que nos testes realizados sejam considerados em desacordo com as especificações técnicas requeridas, a o Gestor Técnico da CONTRATANTE pode exigir a substituição, total ou parcial, do referido produto;
3.2.4.38.10. A CONTRATADA será responsável pelo monitoramento da solução em regime 24x7, devendo manter a mesma sempre atualizada e em operação;
3.2.4.38.11. O monitoramento deverá ser realizado através de ferramentas próprias da contratante integradas via API com a console/servidor de gerenciamento central para automação de coleta de alertas críticos e acionamento imediato da equipe da CONTRATADA;
3.2.4.38.12. A ocorrência de alertas de alta criticidade devem acionar diretamente, de forma automática, através de alarme sonoro em aplicativo de celular, os técnicos de plantão da CONTRATADA para início imediato do tratamento da ocorrência, dentro dos prazos definidos no ANS, sendo reportados imediatamente ao preposto da CONTRATANTE para ciência do fato;
3.2.4.38.13. A CONTRATADA deverá informar mensalmente a escala de técnicos de sobreaviso que atenderão os alertas de alta criticidade durante o período do plantão;
3.2.4.38.14. À opção da CONTRATANTE, esta poderá indicar até 5 profissionais para receberem os alarmes em tempo real, de forma simultânea, no aplicativo de celular a ser fornecido pela CONTRATADA sem custos adicionais.
3.2.4.38.15. O tratamento das ocorrências geradas pelo sistema de monitoramento automático deve ser acompanhado através de plataforma de gestão automatizada de processos (BPMn) fornecido pela CONTRATADA, que indique claramente e controle os prazos para execução de cada etapa do processo de resposta aos incidentes detectados;
3.2.4.38.16. O processo de tratamento de incidentes deve conter pelo menos as seguintes características:
3.2.4.38.17. Notificação imediata da CONTRATADA sobre a ocorrência detectada; 3.2.4.38.18. Investigação da ocorrência através dos recursos fornecidos pela solução; 3.2.4.38.19. Determinação da real criticidade da ocorrência;
3.2.4.38.20. Execução de ações de contenção previamente acordadas com o cliente;
3.2.4.38.21. Elaboração de plano de ação para a CONTRATADA possa elevar o nível de segurança do seu ambiente, caso as ações estejam fora do escopo desta contratação;
3.2.4.38.22. O processo automatizado deve ser capaz de tratar de forma diferenciada pelo menos 4 níveis de criticidade de alertas;
3.2.4.38.23. O processo automatizado deve ser capaz de enviar e-mail e alertas em aplicativo de celular de forma automática para a CONTRATADA e para a CONTRATANTE;
3.2.4.38.24. O processo automatizado deve ser capaz de emitir avisos sonoros através de aplicativo de celular para os técnicos da CONTRATADA e da CONTRATANTE, com diferentes graus de intensidade a depender do nível de criticidade da situação detectada;
3.2.4.38.25. Deve permitir a customização, para cada CONTRATANTE, de quais tipos de alertas se enquadram em cada um dos níveis de criticidade.
3.2.4.38.26. Deve ser disponibilizado para a CONTRATANTE um dashboard de acompanhamento em tempo real dos processos de tratamento dos incidentes que apresente, no mínimo:
3.2.4.38.27. Tarefas em aberto com indicação do responsável pela sua execução e tempo restante para finalização da mesma de acordo com o ANS contratado;
3.2.4.38.28. Xxxxxxx em atraso com indicação do responsável pela sua execução e tempo de atraso em relação ao ANS contratado;
3.2.4.38.29. Tabela de atraso médio de tarefas já encerradas;
3.2.4.38.30. Tabela de tempo médio de execução de tarefas já encerradas.
3.2.4.38.31. A manutenção visa manter em perfeito estado de operação os serviços fornecidos em atendimento ao objeto, deste modo a CONTRATADA deve cumprir os seguintes procedimentos:
3.2.4.38.32. desinstalação, reconfiguração ou reinstalação decorrentes de falhas no software, atualização da versão de software, correção de defeitos, ajustes e reparos necessários, de acordo com os manuais e as normas técnicas específicas para os recursos utilizados;
3.2.4.38.33. Quanto às atualizações pertinentes aos softwares, entende-se como “atualização” o provimento de toda e qualquer evolução de software, incluindo correções, “patches”, “fixes”, “updates”, “service packs”, novas “releases”, “versions”, “builds”, “upgrades”, englobando inclusive versões não sucessivas, nos casos em que a liberação de tais versões ocorra durante o período de garantia especificado.
3.2.4.38.34. Deve ser elaborado e enviado mensalmente um relatório executivo com o resumo das principais ocorrências e as providências executadas pela CONTRATADA, além de gráficos e estatísticas relativos à conformidade operacional do ambiente;
3.2.4.38.35. A operação e administração (gerenciamento total) da solução será realizada pela CONTRATADA conforme as orientações e solicitações de configurações e políticas realizadas pelo Gestor Técnico da CONTRATANTE;
3.2.4.38.36. As solicitações de alteração de configurações deverão ser realizadas conforme o ANS definido na Seção – Acordo de Nível de Serviço – ANS;
3.2.4.38.37. No caso de necessidade de ações preventivas ou corretivas a CONTRATANTE agendará com antecedência junto a CONTRATADA as implementações das correções, fora do horário comercial, preferencialmente em feriados e finais de semana. Nenhuma ação poderá ser executada sem a ciência e anuência da CONTRATANTE;
3.2.4.38.38. A CONTRATADA deverá prestar suporte a todos os componentes de software fornecidos para a implementação e utilização da solução;
3.2.4.38.39. A CONTRATADA deverá disponibilizar serviço de suporte técnico e manutenção, no regime (24x7) vinte e quatro horas por dia, sete dias por semana, pelo período da contratação;
3.2.4.38.40. Os acionamentos dos serviços de suporte e manutenção serão requisitados por meio de ordens de serviço, a serem abertas pelo CONTRATANTE, através de número de telefone nacional (0800 com serviço de uso ilimitado) disponibilizado pela CONTRATADA, e ainda, por e-mail e sítio de internet;
3.2.4.38.41. Não haverá limitação no número de chamados que poderão ser abertos;
3.2.4.38.42. A CONTRATADA manterá registro de todas as ordens de serviço abertas, disponibilizando, para cada uma, no mínimo as seguintes informações:
3.2.4.38.43. Número sequencial da ordem; 3.2.4.38.44. Data e hora de abertura; 3.2.4.38.45. Severidade;
3.2.4.38.46. Descrição do problema;
3.2.4.38.47. Data e hora do início do atendimento;
3.2.4.38.48. Data e hora de término do atendimento (solução).
3.2.4.38.49. O serviço de suporte técnico e manutenção deverá ser prestado por profissional devidamente certificado nas soluções tecnológicas utilizadas na prestação dos serviços contratados;
3.2.4.38.50. As informações relacionadas à ANS estão na Seção – Acordo de Nível de Serviço – ANS.
3.2.5. ITEM 05: Serviço de Gerenciamento de Contas e Sessões pelo período de 12 meses, com suporte e garantia do fabricante. (Pacote para 150 ativos)
3.2.5.1. Módulo de gerenciamento de contas e de sessões:
3.2.5.1.1. Ser licenciado como subscrição, na modalidade cloud, e licenciado por ativos.
3.2.5.1.2. A solução deve proteger contra a perda, roubo e gestão inadequada de credenciais através de regras de complexidade da senha que incluem comprimento da senha (quantidade de caracteres), frequência de troca da senha, especificação de caracteres permitidos ou proibidos na composição da senha e outras medidas.
3.2.5.1.3. Deve realizar o upload de arquivos como certificados, chaves de API, tokens e etc., para o cofre da solução de forma segura e auditada.
3.2.5.1.4. Deve realizar a funcionalidade de gerenciamento e armazenamento para sincronização de segredos para DevOps, com capaciade de se conectar e recuperar segredos do Cofre de forma automatica.
3.2.5.1.5. - Esta funcionalidade deve estar licenciada para 150 aplicações;
3.2.5.1.6. A solução deve ser capaz de controlar quais aplicativos podem ser usados por um operador na sessão, limitando o acesso a aplicativos especificados no sistema remoto, permitindo somente os executáveis listados (whitelist) ou negando apenas os executáveis listados (blacklist). Deve ser possível também optar por permitir ou negar o acesso à área de trabalho.
3.2.5.1.7. A solução deve gerenciar segredos para software e máquinas gerenciados, armazenados e recuperados programaticamente por meio de APIs e SDKs (isso inclui gerenciamento de segredos para aplicativos, técnicas de injeção de credenciais e impressão digital de aplicativos).
3.2.5.1.8. Deve ser capaz de se integrar e rotacionar credenciais para contas de administradores sem exigir o LAPS (Solução de Senhas de Administrador Local Microsoft).
3.2.5.1.9. Deve possuir integração com os sistemas operacionais a seguir com a utilização de APIs para a compatibilidade:
3.2.5.1.9.1. -Microsoft Windows Server 2012 e superiores; 3.2.5.1.9.2. -Red Hat Enterprise Linux Server 6.0 e superiores; 3.2.5.1.9.3. -Oracle Enterprise Linux 7.2 e superiores; 3.2.5.1.9.4. -Ubuntu Linux 2.6 e superiores;
3.2.5.1.9.5. -CentOS Linux 6.1 e superiores;
3.2.5.1.9.6. -Ambientes de virtualização VMWare ESXi 7.2 e superiores;
3.2.5.1.9.7. -Sistemas gerenciadores de banco de dados Oracle, Microsoft SQL Server, MySQL, PostgreSQL e Teradata;
3.2.5.1.9.8. -Ferramentas de busca e análise de dados ElasticSearch;
3.2.5.1.9.9. -Equipamentos de rede e de segurança Huaweii Technologies, Dell, CheckPoint, Cisco Systems, Extreme Networks, Broadcom e F5 Networks Big-IP;
3.2.5.1.9.10. -Controladores de storage Huaweii Technologies, PureStorage e Veritas NetBackup; 3.2.5.1.9.11. -Aplicações Microsoft Windows, incluindo contas de serviço, tarefas agendadas e pools
de conexão do IIS;
3.2.5.1.9.12. -Aplicações Web, incluindo JBoss, Tomcat, Oracle Application Server, Apache e IIS; 3.2.5.1.9.13. -Aplicações em nuvem, incluindo Microsoft Azure, Amazon AWS e Office 365.
3.2.5.1.10. Ser composto por cofre de senhas, elemento responsável pela geração, revogação, versionamento, armazenamento e controle das credenciais de acesso, e por gateway ou proxy de sessão, elemento responsável pelo provimento do acesso privilegiado, monitoramento e controle de sessão;
3.2.5.1.11. Ao acessar um ativo baseado em Linux, injeção de credenciais deve suportar sua utilização em conjunto com o SUDO.
3.2.5.1.12. A fim de proteger contra erros comuns do usuário durante as sessões SSH, solução deve suportar filtro de comandos, para bloquear alguns comandos e permitir que outros, em um esforço para evitar que o usuário inadvertidamente use um comando que pode causar resultados indesejáveis.
3.2.5.1.13. A solução deve suportar o uso de um certificado válido assinado por CA que valida seu novo o endereço de accesso a ferramenta ou suportar o uso da autoridade certificadora grátis "Let's Encrypt" para obter um certificado.
3.2.5.1.14. Deve gerenciar o acesso à conta para Hypervisors, como Vsphere ou Hyper-V, iniciando uma sessão de aplicativo segura e injetando credenciais. Depois que as sessões são encerradas, as credenciais devem ser rotacionadas;
3.2.5.1.15. Ser implantado com os recursos mínimos e suficientes para o provimento do serviço, incluindo a criptografia do sistema operacional e do sistema de gerenciamento de banco de dados (hardening);
3.2.5.1.16. A solução deve ser capaz de realizar a integração de forma automatizada de contas e permissões aos seus recursos;
3.2.5.1.17. Realizar o gerenciamento de credenciais, em que credencial é qualquer senha, chave criptográfica ou token capaz de ser guardado de maneira segura, garantindo os seguintes aspectos:
3.2.5.1.17.1. Rotatividade de credenciais, permitindo a geração de senhas aleatórias para ativos e grupo de ativos;
3.2.5.1.17.2. Ser possivel reverter para uma credencial anterior caso haja alguma incompatibilidade; 3.2.5.1.17.3. Revogação de credenciais sob demanda ou por meio de política definida;
3.2.5.1.17.4. Especificação do tipo de caracteres para a composição de senhas, incluindo caracteres alfabéticos maiúsculos, minúsculos, numéricos, especiais e símbolos, por ativos ou grupo de ativos;
3.2.5.1.17.5. Definição de tempo de validade de credencias;
3.2.5.1.17.6. -Criptografia de credencias com protocolos padrões da indústria, incluindo AES 256; 3.2.5.1.17.7. -Capacidade de reinicialização de serviços e dependências, no caso de mudança de uma
credencial de serviço;
3.2.5.1.17.8. -Segmentação de senhas, por fracionamento da senha ou por autorização de múltiplos aprovadores;
3.2.5.1.17.9. -Injeção automática de credenciais, de modo que a autenticação se realize sem que o usuário tenha conhecimento ou precise conhecer a senha;
3.2.5.1.17.10.-Exportação da chave de criptografia ou da credencial equivalente do cofre de senhas, para uso em caso de recuperação de desastres ou de migração de solução.
3.2.5.1.18. Possuir funcionalidade de discovery, capaz de buscar e registrar novos ativos alvo, garantindo as seguintes condições:
3.2.5.1.19. -Capacidade de realizar buscas no Active Directory e em blocos de endereços IP, podendo ser realizada por demanda, agendada e rotina periódica;
3.2.5.1.20. - Capacidade de especificar o DN ao pesquisar usuarios no servidor LDAP; 3.2.5.1.21. -Levantamento de contas administrativas em cada ativo;
3.2.5.1.22. -Levantamento de ativos e de suas respectivas identidades em grupos, de acordo com parâmetros previamente configurados;
3.2.5.1.23. -Classificação automática de contas locais e de domínio;
3.2.5.1.24. -Identificação de contas de serviços e de tarefas em ambientes Microsoft Windows; 3.2.5.1.25. -Identificação de contas locais e que possuam chaves SSH em ambientes Unix/Linux. 3.2.5.1.26. A solução deve ser capaz gerenciar contas em vários domínios do AD. As contas a serem
gerenciadas devem incluir Conta de administrador padrão do domínio, contas locais no
servidor/estação de trabalho, SQL Server Admin (SA) e contas privilegiadas do Azure AD;
3.2.5.1.27. Deve ter a capacidade de aplicar a segregação de funções, por exemplo. Permita que os administradores do Windows vejam apenas as sessões do Windows.
3.2.5.1.28. Não conter restrição em relação ao quantitativo de contas que podem ser gerenciadas em um dispositivo licenciado;
3.2.5.1.29. Ser capaz de monitorar sessões, gravar sessões, capturar telas, coletar, armazenar e indexar logs de teclas pressionadas em teclado (keystrokes) em acessos privilegiados, garantindo os seguintes requisitos:
3.2.5.1.30. -Alerta ao usuário privilegiado que a sessão está sendo gravada;
3.2.5.1.31. -Monitoramento por meio de gravação de vídeos, em formato padrão de execução da solução;
3.2.5.1.32. -Monitoramento ao vivo, permitindo ao usuário supervisor, previamente configurado, realizar ações de lock/unlock, suspender e terminar a conexão;
3.2.5.1.33. -Pesquisa forense de eventos de segurança em todas as sessões gravadas, incluindo comandos digitados, copiar e colar arquivos e execução de softwares;
3.2.5.1.34. Suportar restrição granular de comandos disponíveis (para linha de comando, sessões SSH, consultas de banco de dados, etc.)
3.2.5.1.35. Criar blacklist/whitelist de comandos e aplicativos;
3.2.5.1.36. As funcionalidades de gerenciamento e monitoramento de sessôes devem impedir que
os usuários executem determinadas ações durante uma sessão e ser capaz de executar ações automaticamente na detecção de eventos de sessão configurados nas politica de acesso. (Ex. Suspender a sessão do usuario)
3.2.5.1.37. Deverá ter a capacidade de registrar sessões privilegiadas e armazená-las de forma segura em um repositório criptografado e inviolável. A gravação da sessão não deve afetar o desempenho do dispositivo de destino
3.2.5.1.38. Controlar e monitorar sessões usando protocolos padrões e acesso remoto, incluindo RDP, HTTP/HTTPS e SSH;
3.2.5.1.39. Ser capaz de recuperar senhas guardadas na solução, em caso de inviabilidade de conexão por meio de sessão auditada, para acesso direto ao ativo;
3.2.5.1.40. Integrar-se com soluções de autenticação de duplo fator através do protocolo RADIUS, Single Sign on via SAML ou OIDC e Time-Based One-time Password (TOTP);
3.2.5.1.41. Garantir que os usuários da solução tenham visualização somente dos recursos que tem capacidade de requerer acesso;
3.2.5.1.42. Permitir o agrupamento lógico de sistemas alvo de modo a simplificar a configuração de políticas de acesso;
3.2.5.1.43. Deve possuir campos personalizados armazenados para contas/recursos privilegiados no sistema.
3.2.5.1.44. - Tais personalizações podem ser usados para rotular ativos e pode definir atributos para cada ativo em um grupo
3.2.5.1.45. Possuir recurso que permita a integração de terceiros utilizando scripts, macros, comandos, chamadas executáveis e protocolos de rede, incluindo SSH, API REST e HTTP/HTTPS;
3.2.5.1.46. Deve automatizar a alocação de acesso entre administradores e suas contas pessoais de administrador
3.2.5.1.47. Garantir requisitos de segurança na guarda de credencias, incluindo criptografia no tráfego de informações, suportando, no mínimo, TLS 1.2;
3.2.5.1.48. Gerenciar senhas privilegiadas de aplicações, de modo a evitar que sejam senhas estáticas em códigos-fonte (hardcoded), garantindo os seguintes aspectos:
3.2.5.1.49. -Solicitação de credenciais via REST sob demanda ao invés de credenciais estáticas; 3.2.5.1.50. -Atualização automática de contas no banco de dados de senhas;
3.2.5.1.51. -Inscrição automática de sistemas alvo sem aguardar por atualizações dinâmicas; 3.2.5.1.52. -Integração ao cofre da solução, utilizando a mesma interface Web;
3.2.5.1.53. -Configurações de segurança que garantam o acesso apenas por aplicações permitidas, suportando no mínimo o endereço de origem das requisições, nome de usuário, autenticação por certificados e/ou caminho da aplicação.
3.2.5.1.54. Permitir a criação de fluxos customizáveis de aprovação de acesso privilegiado, garantindo os seguintes aspectos:
3.2.5.1.55. -Configuração de acessos pré-aprovados;
3.2.5.1.56. -Interface para solicitar e aprovar acessos, com exposição do motivo; 3.2.5.1.57. -Notificação em casos de acessos não aprovados para solicitantes.
3.2.5.1.58. Exigir aprovação antes do início de uma sessão, suportando no mínimo uma notificação por e-mail de aprovação enviado aos destinatários designados sempre que uma tentativa de sessão com qualquer ativo. Solicitando que o usuário insira um motivo da solicitação, a hora e a duração da solicitação.
3.2.5.1.59. Prover interface Web para administração da solução, permitindo a autenticação por meio de usuário e senha local, Active Directory, LDAP e métodos de multifatores (MFA);
3.2.5.1.60. Capacidade de rastrear atividades de usuários privilegiados e acesso à identidade do usuário original para garantir que os requisitos de responsabilidade sejam atendidos
3.2.5.1.61. Prover relatórios de auditoria que disponibilizem informações das interações dos usuários, tais como atividades de login, adição e remoção de senhas privilegiadas, endereço IP de máquina de origem e do destino alvo, atividades administrativas de delegação e revogação de acesso e eventos agendados. Os relatórios devem ser filtrados por período, tipo de operação, sistema e usuários;
3.2.5.1.62. "Deve possuir suporte a diferentes idiomas, possuindo mas não se limitando a: 3.2.5.1.62.1. - Ingles
3.2.5.1.62.2. - Portugues
3.2.5.1.62.3. - Espanhol"
3.2.5.1.63. Prover relatórios de conformidade que disponibilizem operações, incluindo lista de sistemas gerenciados, eventos de alteração de senha, auditoria de contas e alertas de segurança.
3.2.5.1.64. Deve ser possivel gerar relatorios em HTML, CSV e PDF;
3.2.5.1.65. Deve ter a capacidade de exportar relatórios para diferentes formatos de arquivo; 3.2.5.1.66. Programação para definir quando os ativos sob esta política podem ser acessados. A
política deve permitir a definação do fuso horário a ser utilizado no agendamento, permitindo uma ou mais opções de agendamento do acesso. Definindo o dia e hora de início e o dia e hora de término.
3.2.5.1.67. Para certos grupos de usuários, a solução deve permitir forçar o encerramento da sessão. Forçando a sessão a se desconectar no horário final agendado. Nesse caso, o usuário deve receber notificações antes de ser desconectado
3.2.5.2. SERVIÇOS GERENCIADOS COM MONITORAMENTO E RESPOSTA A OCORRÊNCIAS DA SOLUÇÃO DE SERVIÇOS DE GERENCIAMENTO DE CONTAS E SESSÕES:
3.2.5.2.1. Características do Serviço
3.2.5.2.2. A CONTRATADA será responsável por projetar, instalar, configurar, gerenciar e monitorar a solução ofertada;
3.2.5.2.3. A CONTRATADA deverá elaborar um projeto de implantação contendo gerenciamento de escopo, risco, mudanças, cronograma de instalação, gerenciamento de recursos humanos, contendo planejamento detalhado para permitir uma instalação com o menor risco de impacto possível, detalhando o passo a passo dos serviços;
3.2.5.2.4. A CONTRATADA deverá cumprir com todas as exigências técnicas e funcionais relacionadas com a solução ofertada, que devem ser implantadas durante o período contratado, sem ônus para a CONTRATANTE;
3.2.5.2.5. O fornecimento de toda e qualquer ferramenta, instrumento, material e equipamento de proteção, bem como materiais complementares estritamente necessários à instalação ou à assistência técnica é de inteira responsabilidade da CONTRATADA e não deverá gerar ônus à CONTRATANTE;
3.2.5.2.6. No processo de instalação o Responsável Técnico deverá tomar todas as medidas necessárias visando garantir a perfeita execução do serviço (instalação e configuração);
3.2.5.2.7. No prazo de até 10 (dez) dias após a conclusão de instalação da solução ofertada, a contratada deverá fornecer documentação final contendo as configurações e topologias de como foi instalada a solução;
3.2.5.2.8. A documentação deverá ser aprovada pela CONTRATANTE e pelo Gestor Técnico da CONTRATANTE, caracterizando a homologação da solução em um prazo de 5 dias, quando a CONTRATANTE emitirá um Termo de Aceite Definitivo (TAD);
3.2.5.2.9. Caso seja identificado defeito ou falha sistemática em determinado produto/serviço entregue pela CONTRATADA, ou ainda, que nos testes realizados sejam considerados
em desacordo com as especificações técnicas requeridas, a o Gestor Técnico da CONTRATANTE pode exigir a substituição, total ou parcial, do referido produto;
3.2.5.2.10. A CONTRATADA será responsável pelo monitoramento da solução em regime 24x7, devendo manter a mesma sempre atualizada e em operação;
3.2.5.2.11. O monitoramento deverá ser realizado através de ferramentas próprias da contratante integradas via API com a console/servidor de gerenciamento central para automação de coleta de alertas críticos e acionamento imediato da equipe da CONTRATADA;
3.2.5.2.12. A ocorrência de alertas de alta criticidade devem acionar diretamente, de forma automática, através de alarme sonoro em aplicativo de celular, os técnicos de plantão da CONTRATADA para início imediato do tratamento da ocorrência, dentro dos prazos definidos no ANS, sendo reportados imediatamente ao preposto da CONTRATANTE para ciência do fato;
3.2.5.2.13. A CONTRATADA deverá informar mensalmente a escala de técnicos de sobreaviso que atenderão os alertas de alta criticidade durante o período do plantão;
3.2.5.2.14. À opção da CONTRATANTE, esta poderá indicar até 5 profissionais para receberem os alarmes em tempo real, de forma simultânea, no aplicativo de celular a ser fornecido pela CONTRATADA sem custos adicionais.
3.2.5.2.15. O tratamento das ocorrências geradas pelo sistema de monitoramento automático deve ser acompanhado através de plataforma de gestão automatizada de processos (BPMn) fornecido pela CONTRATADA, que indique claramente e controle os prazos para execução de cada etapa do processo de resposta aos incidentes detectados;
3.2.5.2.16. O processo de tratamento de incidentes deve conter pelo menos as seguintes características:
3.2.5.2.17. Notificação imediata da CONTRATADA sobre a ocorrência detectada; 3.2.5.2.18. Investigação da ocorrência através dos recursos fornecidos pela solução; 3.2.5.2.19. Determinação da real criticidade da ocorrência;
3.2.5.2.20. Execução de ações de contenção previamente acordadas com o cliente;
3.2.5.2.21. Elaboração de plano de ação para a CONTRATADA possa elevar o nível de segurança do seu ambiente, caso as ações estejam fora do escopo desta contratação;
3.2.5.2.22. O processo automatizado deve ser capaz de tratar de forma diferenciada pelo menos 4 níveis de criticidade de alertas;
3.2.5.2.23. O processo automatizado deve ser capaz de enviar e-mail e alertas em aplicativo de celular de forma automática para a CONTRATADA e para a CONTRATANTE;
3.2.5.2.24. O processo automatizado deve ser capaz de emitir avisos sonoros através de aplicativo de celular para os técnicos da CONTRATADA e da CONTRATANTE, com diferentes graus de intensidade a depender do nível de criticidade da situação detectada;
3.2.5.2.25. Deve permitir a customização, para cada CONTRATANTE, de quais tipos de alertas se enquadram em cada um dos níveis de criticidade.
3.2.5.2.26. Deve ser disponibilizado para a CONTRATANTE um dashboard de acompanhamento em tempo real dos processos de tratamento dos incidentes que apresente, no mínimo:
3.2.5.2.27. Tarefas em aberto com indicação do responsável pela sua execução e tempo restante para finalização da mesma de acordo com o ANS contratado;
3.2.5.2.28. Xxxxxxx em atraso com indicação do responsável pela sua execução e tempo de atraso em relação ao ANS contratado;
3.2.5.2.29. Tabela de atraso médio de tarefas já encerradas;
3.2.5.2.30. Tabela de tempo médio de execução de tarefas já encerradas.
3.2.5.2.31. A manutenção visa manter em perfeito estado de operação os serviços fornecidos em atendimento ao objeto, deste modo a CONTRATADA deve cumprir os seguintes
procedimentos:
3.2.5.2.32. desinstalação, reconfiguração ou reinstalação decorrentes de falhas no software, atualização da versão de software, correção de defeitos, ajustes e reparos necessários, de acordo com os manuais e as normas técnicas específicas para os recursos utilizados;
3.2.5.2.33. Quanto às atualizações pertinentes aos softwares, entende-se como “atualização” o provimento de toda e qualquer evolução de software, incluindo correções, “patches”, “fixes”, “updates”, “service packs”, novas “releases”, “versions”, “builds”, “upgrades”, englobando inclusive versões não sucessivas, nos casos em que a liberação de tais versões ocorra durante o período de garantia especificado.
3.2.5.2.34. Deve ser elaborado e enviado mensalmente um relatório executivo com o resumo das principais ocorrências e as providências executadas pela CONTRATADA, além de gráficos e estatísticas relativos à conformidade operacional do ambiente;
3.2.5.2.35. A operação e administração (gerenciamento total) da solução será realizada pela CONTRATADA conforme as orientações e solicitações de configurações e políticas realizadas pelo Gestor Técnico da CONTRATANTE;
3.2.5.2.36. As solicitações de alteração de configurações deverão ser realizadas conforme o ANS definido na Seção – Acordo de Nível de Serviço – ANS;
3.2.5.2.37. No caso de necessidade de ações preventivas ou corretivas a CONTRATANTE agendará com antecedência junto a CONTRATADA as implementações das correções, fora do horário comercial, preferencialmente em feriados e finais de semana. Nenhuma ação poderá ser executada sem a ciência e anuência da CONTRATANTE;
3.2.5.2.38. A CONTRATADA deverá prestar suporte a todos os componentes de software fornecidos para a implementação e utilização da solução;
3.2.5.2.39. A CONTRATADA deverá disponibilizar serviço de suporte técnico e manutenção, no regime (24x7) vinte e quatro horas por dia, sete dias por semana, pelo período da contratação;
3.2.5.2.40. Os acionamentos dos serviços de suporte e manutenção serão requisitados por meio de ordens de serviço, a serem abertas pelo CONTRATANTE, através de número de telefone nacional (0800 com serviço de uso ilimitado) disponibilizado pela CONTRATADA, e ainda, por e-mail e sítio de internet;
3.2.5.2.41. Não haverá limitação no número de chamados que poderão ser abertos;
3.2.5.2.42. A CONTRATADA manterá registro de todas as ordens de serviço abertas, disponibilizando, para cada uma, no mínimo as seguintes informações:
3.2.5.2.43. Número sequencial da ordem; 3.2.5.2.44. Data e hora de abertura; 3.2.5.2.45. Severidade;
3.2.5.2.46. Descrição do problema;
3.2.5.2.47. Data e hora do início do atendimento;
3.2.5.2.48. Data e hora de término do atendimento (solução).
3.2.5.2.49. O serviço de suporte técnico e manutenção deverá ser prestado por profissional devidamente certificado nas soluções tecnológicas utilizadas na prestação dos serviços contratados;
3.2.5.2.50. As informações relacionadas à ANS estão na Seção – Acordo de Nível de Serviço – ANS.
3.2.6. ITEM 06 - Serviço de gerenciamento de escalonamento de privilégio para estação de trabalho Windows pelo período de 12 meses, com suporte e garantia do fabricante. (Pacote para 100 ativos)
3.2.6.1. Elevação de privilégios Desktops Windows &Mac
3.2.6.2. A solução deve possuir opcional de agentes locais para Windows/Mac que permita a
remoção do privilégio administrativo dos usuários, permitindo a elevação de privilégios através de regras pré-definidas.
3.2.6.3. A solução deve possuir mecanismos para fazer a elevação de privilégios de aplicações autorizadas no Windows, a fim de atribuir o direito de administrador somente as tarefas autorizadas para cada tipo de usuário (mesmo que o mesmo não tenha direitos de administrador) e implementar a segregação de funções.
3.2.6.4. Solução deve suportar no mínimo os seguintes sistemas operacionais Windows:
3.2.6.4.1. Windows 10
3.2.6.4.2. Windows 11
3.2.6.5. Solução deve suportar no mínimo os seguintes sistemas operacionais Mac:
3.2.6.5.1. macOS 13 Ventura
3.2.6.5.2. macOS 12 Monterey
3.2.6.5.3. macOS 11 Big Sur
3.2.6.6. "A solução permite criar regras de privilégios, onde o privilégio de administrador é concedido para cada aplicativo/processo autorizado, de forma que cada usuário, mesmo com o privilégio de usuário convencional (usuário standard) possa instalar certos programas permitidos, possa executar os aplicativos legados que requerem o privilégio de administrador para funcionar, controles ActiveX, etc."
3.2.6.7. A solução deve permitir a remoção rápida de direitos de administrador local de todos os usuários, incluindo funções desafiadoras, como engenheiros, desenvolvedores, executivos e helpdesk, sem precisar descobrir todos os aplicativos privilegiados primeiro.
3.2.6.8. Solução deve possuir modelos de políticas prontos para uso para permitir a adoção rápida e fácil da solução e a remoção de direitos de administrador dos usuários.
3.2.6.9. A solução deve suportar que os aplicativos sejam agrupados logicamente em vez de criar uma regra para cada aplicativo. Estes grupos de aplicativos devem permitir sua reutilização em diferentes políticas.
3.2.6.10. A solução deve fornecer regras de estilo de firewall para facilitar o design e o gerenciamento de políticas e níveis ilimitados de precedência.
3.2.6.11. A solução deve permitir criar uma lista branca (whitelist), onde seja possível configurar todos os aplicativos que podem ser executados e qualquer outra aplicação fora desta lista automaticamente seja bloqueada. Esta lista branca deve suportar o uso de variáveis de ambiente permitir áreas confiáveis do disco, como %SystemRoot% e
%ProgramFiles%
3.2.6.12. A solução deve ter função de descoberta de malware em cada processo em execução, através da comparação automática do hash com mais de 50 fabricantes de antivírus (integração com virustotal) sem que o administrador precise ficar fazendo a submissão manual de tempos em tempos.
3.2.6.13. A solução deve permitir, caso configurado, que um usuário faça o clique com o botão direito do mouse e possa executar uma aplicação com direitos de administrador, sem ter que saber a senha da conta local administrador (privilégio sob demanda, com justificativas)
3.2.6.14. A solução deve possuir uma integração com Controle de Conta de Usuário do Windows (UAC), e conter relatórios do uso de prompts aos usuários feitos pelo UAC.
3.2.6.15. A solução deve interceptar e substituir as mensagens do Controle de Conta de Usuário (UAC) por mensagens intuitivas altamente personalizáveis.
3.2.6.16. A solução deve interceptar a mensagem “Executar como Administrador” do UAC com
mensagens de texto intuitivas altamente personalizáveis
3.2.6.17. Todas as políticas dever ser mantidas em cache e serem aplicadas ao endpoint mesmo
que o mesmo não esteja conectado à rede corporativa.
3.2.6.18. O agente deve possuir uma forma de proteger sua integridade
3.2.6.19. A solução deve automaticamente permitir os aplicativos de lista branca implantados por ferramentas de implantação de software por administradores confiáveis, como o SCCM (System Center Configuration Manager)
3.2.6.20. Os usuários devem ser capazes de "quebrar o vidro / break the glass" e realizar atividades não aprovadas com justificativa e autenticação
3.2.6.21. A solução deve fornecer um mecanismo seguro de desafio e resposta para o tratamento de exceções, combinando uma chave pré-compartilhada e um código de desafio.
3.2.6.22. A solução deve suportar a elevação de IDs de Classe COM individuais, incluindo a capacidade de navegar no banco de dados CLSID local
3.2.6.23. A solução deve suportar a elevação segura de tipos de arquivos hospedados, como o Microsoft Management Consoles (MMC), sem depender de linha de comandos
3.2.6.24. A solução deve suportar a elevação de scripts aprovados, incluindo scripts do tipo
“Batch Files”, scripts do Windows e PowerShell
3.2.6.25. A solução deve permitir elevação de scripts e comandos individuais do PowerShell executados em uma máquina remota. Eliminando a necessidade de os usuários estejam autenticados com uma conta que tenha direitos de administrador local no computador de destino. Em vez disso, os privilégios elevados devem ser atribuídos a comandos e scripts específicos nas regras.
3.2.6.26. Os scripts e comandos do PowerShell podem ser colocados em uma lista de permissões
para bloquear o uso de scripts, comandos e “cmdlets” não autorizados.
3.2.6.27. A solução deve possuir uma auditoria granular de todas as atividades remotas do PowerShell, fornecendo uma trilha de auditoria precisa sobre a atividade remota.
3.2.6.28. A solução deve permitir ativar instalações de software de pastas de rede aprovadas (UNC)
3.2.6.29. A solução deve permitir ativar instalações de software de fornecedores aprovados (Publisher)
3.2.6.30. A solução deve fornecer proteção de grupos de privilégios (banco de dados SAM) em cada endpoint, o que significa que os usuários não podem adulterar ou modificar grupos privilegiados locais, como o grupo Administradores ou Power Users.
3.2.6.31. Solução deve proteger os usuários contra exploits baseados na Web que tenham como alvo aplicativos vulneráveis, como navegadores da Web, Microsoft Office e Adobe Reader, para descarregar um conteúdo de malware no disco e iniciá-lo.
3.2.6.32. Solução deve evitar que aplicativos de alto risco (como navegadores ou manipuladores de documentos) iniciem processos secundários não confiáveis, carreguem dlls não confiáveis ou explorem o PowerShell em ataques com base em conteúdo
3.2.6.33. Solução deve evitar que anexos de e-mail maliciosos ou documentos baixados iniciem executáveis desconhecidos que possam infectar o sistema do cliente e criptografar dados do usuário.
3.2.6.34. A solução deve impedir que processos ou executáveis desconhecidos executados a partir de um site devem ser impedidos de serem executados
3.2.6.35. Solução deve impedir que quando o usuário abre uma sessão do navegador ou manipuladores de documentos, como o Microsoft Office ou o Adobe Reader, os processos desconhecidos não devem ter permissão para acessar e adulterar dados privados.
3.2.6.36. Solução deve forçar que conteúdo não confiável não deve poder fazer modificações no sistema operacional, no registro e nos aplicativos instalados
3.2.6.37. Através de regras pré-definidas, solução deve forçar que quando um usuário abre um
navegador ou um manipulador de documentos, somente os processos confiáveis e processos filho devem ser permitidos, e qualquer aplicativo potencialmente mal- intencionado será impedido de iniciar.
3.2.6.38. Solução deve forçar que aplicativos de alto risco não podem gerar processos filhos ou aplicativos não relacionados à sua função
3.2.6.39. A solução deve permitir que mensagens customizadas sejam mostradas antes que uma aplicação seja executada ou bloqueada.
3.2.6.40. A solução deve suportar adição múltiplas mensagens, estas mensagens devem possibilitar edição e suportar múltiplas linguagens.
3.2.6.41. Solução deve fornecer painéis e relatórios centralizados para processos de aplicativos com capacidade detalhada de detalhamento (drill-down), fornecendo controle granular sobre o nível de dados de auditoria coletados.
3.2.6.42. Solução deve possuir relatórios para identificar se ocorreu uma tentativa de modificação de grupos locais privilegiados nos desktops.
3.2.6.43. A solução deve identificar quaisquer tentativas de desativar ou modificar a solução ou qualquer uma de suas partes componentes
3.2.6.44. Solução deve identificar o uso de aplicativos e a tentativa de uso, incluindo aplicativos bloqueados e restritos
3.2.6.45. Solução deve identificar aplicativos que exigem privilégios administrativos, fornecendo informações sobre implantação e uso de políticas
3.2.6.46. SERVIÇOS GERENCIADOS COM MONITORAMENTO E RESPOSTA A OCORRÊNCIAS DA SOLUÇÃO DE SERVIÇOS DE GERENCIAMENTO DE ESCALONAMENTO DE PRIVILÉGIO PARA ESTAÇÃO DE TRABALHO WINDOWS:
3.2.6.46.1. Características do Serviço
3.2.6.46.2. A CONTRATADA será responsável por projetar, instalar, configurar, gerenciar e monitorar a solução ofertada;
3.2.6.46.3. A CONTRATADA deverá elaborar um projeto de implantação contendo gerenciamento de escopo, risco, mudanças, cronograma de instalação, gerenciamento de recursos humanos, contendo planejamento detalhado para permitir uma instalação com o menor risco de impacto possível, detalhando o passo a passo dos serviços;
3.2.6.46.4. A CONTRATADA deverá cumprir com todas as exigências técnicas e funcionais relacionadas com a solução ofertada, que devem ser implantadas durante o período contratado, sem ônus para a CONTRATANTE;
3.2.6.46.5. O fornecimento de toda e qualquer ferramenta, instrumento, material e equipamento de proteção, bem como materiais complementares estritamente necessários à instalação ou à assistência técnica é de inteira responsabilidade da CONTRATADA e não deverá gerar ônus à CONTRATANTE;
3.2.6.46.6. No processo de instalação o Responsável Técnico deverá tomar todas as medidas necessárias visando garantir a perfeita execução do serviço (instalação e configuração);
3.2.6.46.7. No prazo de até 10 (dez) dias após a conclusão de instalação da solução ofertada, a contratada deverá fornecer documentação final contendo as configurações e topologias de como foi instalada a solução;
3.2.6.46.8. A documentação deverá ser aprovada pela CONTRATANTE e pelo Gestor Técnico da CONTRATANTE, caracterizando a homologação da solução em um prazo de 5 dias, quando a CONTRATANTE emitirá um Termo de Aceite Definitivo (TAD);
3.2.6.46.9. Caso seja identificado defeito ou falha sistemática em determinado produto/serviço entregue pela CONTRATADA, ou ainda, que nos testes realizados sejam considerados em desacordo com as especificações técnicas requeridas, a o Gestor Técnico da CONTRATANTE pode exigir a substituição, total ou parcial, do referido produto;
3.2.6.46.10. A CONTRATADA será responsável pelo monitoramento da solução em regime 24x7,
devendo manter a mesma sempre atualizada e em operação;
3.2.6.46.11. O monitoramento deverá ser realizado através de ferramentas próprias da contratante integradas via API com a console/servidor de gerenciamento central para automação de coleta de alertas críticos e acionamento imediato da equipe da CONTRATADA;
3.2.6.46.12. A ocorrência de alertas de alta criticidade devem acionar diretamente, de forma automática, através de alarme sonoro em aplicativo de celular, os técnicos de plantão da CONTRATADA para início imediato do tratamento da ocorrência, dentro dos prazos definidos no ANS, sendo reportados imediatamente ao preposto da CONTRATANTE para ciência do fato;
3.2.6.46.13. A CONTRATADA deverá informar mensalmente a escala de técnicos de sobreaviso que atenderão os alertas de alta criticidade durante o período do plantão;
3.2.6.46.14. À opção da CONTRATANTE, esta poderá indicar até 5 profissionais para receberem os alarmes em tempo real, de forma simultânea, no aplicativo de celular a ser fornecido pela CONTRATADA sem custos adicionais.
3.2.6.46.15. O tratamento das ocorrências geradas pelo sistema de monitoramento automático deve ser acompanhado através de plataforma de gestão automatizada de processos (BPMn) fornecido pela CONTRATADA, que indique claramente e controle os prazos para execução de cada etapa do processo de resposta aos incidentes detectados;
3.2.6.46.16. O processo de tratamento de incidentes deve conter pelo menos as seguintes características:
3.2.6.46.17. Notificação imediata da CONTRATADA sobre a ocorrência detectada; 3.2.6.46.18. Investigação da ocorrência através dos recursos fornecidos pela solução; 3.2.6.46.19. Determinação da real criticidade da ocorrência;
3.2.6.46.20. Execução de ações de contenção previamente acordadas com o cliente;
3.2.6.46.21. Elaboração de plano de ação para a CONTRATADA possa elevar o nível de segurança do seu ambiente, caso as ações estejam fora do escopo desta contratação;
3.2.6.46.22. O processo automatizado deve ser capaz de tratar de forma diferenciada pelo menos 4 níveis de criticidade de alertas;
3.2.6.46.23. O processo automatizado deve ser capaz de enviar e-mail e alertas em aplicativo de celular de forma automática para a CONTRATADA e para a CONTRATANTE;
3.2.6.46.24. O processo automatizado deve ser capaz de emitir avisos sonoros através de aplicativo de celular para os técnicos da CONTRATADA e da CONTRATANTE, com diferentes graus de intensidade a depender do nível de criticidade da situação detectada;
3.2.6.46.25. Deve permitir a customização, para cada CONTRATANTE, de quais tipos de alertas se enquadram em cada um dos níveis de criticidade.
3.2.6.46.26. Deve ser disponibilizado para a CONTRATANTE um dashboard de acompanhamento em tempo real dos processos de tratamento dos incidentes que apresente, no mínimo:
3.2.6.46.27. Tarefas em aberto com indicação do responsável pela sua execução e tempo restante para finalização da mesma de acordo com o ANS contratado;
3.2.6.46.28. Xxxxxxx em atraso com indicação do responsável pela sua execução e tempo de atraso em relação ao ANS contratado;
3.2.6.46.29. Tabela de atraso médio de tarefas já encerradas;
3.2.6.46.30. Tabela de tempo médio de execução de tarefas já encerradas.
3.2.6.46.31. A manutenção visa manter em perfeito estado de operação os serviços fornecidos em atendimento ao objeto, deste modo a CONTRATADA deve cumprir os seguintes procedimentos:
3.2.6.46.32. desinstalação, reconfiguração ou reinstalação decorrentes de falhas no software, atualização da versão de software, correção de defeitos, ajustes e reparos necessários,
de acordo com os manuais e as normas técnicas específicas para os recursos utilizados;
3.2.6.46.33. Quanto às atualizações pertinentes aos softwares, entende-se como “atualização” o provimento de toda e qualquer evolução de software, incluindo correções, “patches”, “fixes”, “updates”, “service packs”, novas “releases”, “versions”, “builds”, “upgrades”, englobando inclusive versões não sucessivas, nos casos em que a liberação de tais versões ocorra durante o período de garantia especificado.
3.2.6.46.34. Deve ser elaborado e enviado mensalmente um relatório executivo com o resumo das principais ocorrências e as providências executadas pela CONTRATADA, além de gráficos e estatísticas relativos à conformidade operacional do ambiente;
3.2.6.46.35. A operação e administração (gerenciamento total) da solução será realizada pela CONTRATADA conforme as orientações e solicitações de configurações e políticas realizadas pelo Gestor Técnico da CONTRATANTE;
3.2.6.46.36. As solicitações de alteração de configurações deverão ser realizadas conforme o ANS definido na Seção – Acordo de Nível de Serviço – ANS;
3.2.6.46.37. No caso de necessidade de ações preventivas ou corretivas a CONTRATANTE agendará com antecedência junto a CONTRATADA as implementações das correções, fora do horário comercial, preferencialmente em feriados e finais de semana. Nenhuma ação poderá ser executada sem a ciência e anuência da CONTRATANTE;
3.2.6.46.38. A CONTRATADA deverá prestar suporte a todos os componentes de software fornecidos para a implementação e utilização da solução;
3.2.6.46.39. A CONTRATADA deverá disponibilizar serviço de suporte técnico e manutenção, no regime (24x7) vinte e quatro horas por dia, sete dias por semana, pelo período da contratação;
3.2.6.46.40. Os acionamentos dos serviços de suporte e manutenção serão requisitados por meio de ordens de serviço, a serem abertas pelo CONTRATANTE, através de número de telefone nacional (0800 com serviço de uso ilimitado) disponibilizado pela CONTRATADA, e ainda, por e-mail e sítio de internet;
3.2.6.46.41. Não haverá limitação no número de chamados que poderão ser abertos;
3.2.6.46.42. A CONTRATADA manterá registro de todas as ordens de serviço abertas, disponibilizando, para cada uma, no mínimo as seguintes informações:
3.2.6.46.43. Número sequencial da ordem; 3.2.6.46.44. Data e hora de abertura; 3.2.6.46.45. Severidade;
3.2.6.46.46. Descrição do problema;
3.2.6.46.47. Data e hora do início do atendimento;
3.2.6.46.48. Data e hora de término do atendimento (solução).
3.2.6.46.49. O serviço de suporte técnico e manutenção deverá ser prestado por profissional devidamente certificado nas soluções tecnológicas utilizadas na prestação dos serviços contratados;
3.2.6.46.50. As informações relacionadas à ANS estão na Seção – Acordo de Nível de Serviço – ANS.
3.2.7. ITEM 07: Serviço de gerenciamento de integração e autenticação das plataformas Linux/Unix no Active Directory pelo período de 12 meses, com suporte e garantia do fabricante. (Pacote para 50 ativos)
3.2.7.1. Permitir a criação de ponte ao Active Directory baseada em agentes, permitindo a autenticação com usuários do Active Directory em sistemas Unix/Linux;
3.2.7.2. A solução deve possui uma forma de fazer uma ponte ao Active Directory baseada em agente para vários sistemas Unix, Linux e Mac.
3.2.7.3. A solução permitirá que os usuários efetuem logon nos sistemas Unix, Linux ou Mac
usando seus nomes de usuário e senhas do Active Directory (AD), sem exigir infraestrutura adicional ou sincronização de senha.
3.2.7.4. Oferecer suporte à adesão nativa dos sistemas Unix/Linux ao Active Directory, sem a instalação de software no controlador de domínio ou a modificação do schema do Active Directory;
3.2.7.5. Oferecer suporte ao acesso de compartilhamento de arquivos de rede remota para sistemas Unix/Linux;
3.2.7.6. Oferecer suporte à autenticação Kerberos para máquinas Unix/Linux ingressadas no domínio, não dependendo da solução de cofre de senhas para esta integração;
3.2.7.7. Suportar autenticação offline quando a conectividade de rede entre máquinas Unix/Linux e controladores de domínio não estiverem disponíveis;
3.2.7.8. Não depender de conexão ao cofre digital para autenticar os servidores Linux/Unix ao Active Directory.
3.2.7.9. A solução deve suportar várias florestas e domínios do AD;
3.2.7.10. A solução deve suportar a configuração de colocar uma mensagem no arquivo
/etc/issue através do GPO para máquinas do Unix, Linux e Mac unidas ao domínio do AD.
3.2.7.11. A solução deve oferecer suporte à configuração da mensagem do dia no arquivo
/etc/motd através do GPO para o domínio AD associado a máquinas Unix e Linux
3.2.7.12. A solução deve oferecer suporte à definição do prompt de senha personalizado por meio do GPO para máquinas do Unix, Linux e Mac unidas ao domínio do AD para distinguir o AD e a conta de usuário local.
3.2.7.13. A solução deve suportar o modo integrado ao diretório que aproveita as classes e os atributos de objetos da RFC 2307 específicos para Unix e Linux para armazenar informações de usuários e grupos de Linux e Unix.
3.2.7.14. SERVIÇOS GERENCIADOS COM MONITORAMENTO E RESPOSTA A OCORRÊNCIAS DA SOLUÇÃO DE SERVIÇOS DE GERENCIAMENTO DE INTEGRAÇÃO E AUTENTICAÇÃO DAS PLATAFORMAS LINUX/UNIX NO ACTIVE DIRECTORY:
3.2.7.14.1. Características do Serviço
3.2.7.14.2. A CONTRATADA será responsável por projetar, instalar, configurar, gerenciar e monitorar a solução ofertada;
3.2.7.14.3. A CONTRATADA deverá elaborar um projeto de implantação contendo gerenciamento de escopo, risco, mudanças, cronograma de instalação, gerenciamento de recursos humanos, contendo planejamento detalhado para permitir uma instalação com o menor risco de impacto possível, detalhando o passo a passo dos serviços;
3.2.7.14.4. A CONTRATADA deverá cumprir com todas as exigências técnicas e funcionais relacionadas com a solução ofertada, que devem ser implantadas durante o período contratado, sem ônus para a CONTRATANTE;
3.2.7.14.5. O fornecimento de toda e qualquer ferramenta, instrumento, material e equipamento de proteção, bem como materiais complementares estritamente necessários à instalação ou à assistência técnica é de inteira responsabilidade da CONTRATADA e não deverá gerar ônus à CONTRATANTE;
3.2.7.14.6. No processo de instalação o Responsável Técnico deverá tomar todas as medidas necessárias visando garantir a perfeita execução do serviço (instalação e configuração);
3.2.7.14.7. No prazo de até 10 (dez) dias após a conclusão de instalação da solução ofertada, a contratada deverá fornecer documentação final contendo as configurações e topologias de como foi instalada a solução;
3.2.7.14.8. A documentação deverá ser aprovada pela CONTRATANTE e pelo Gestor Técnico da CONTRATANTE, caracterizando a homologação da solução em um prazo de 5 dias, quando a CONTRATANTE emitirá um Termo de Aceite Definitivo (TAD);
3.2.7.14.9. Caso seja identificado defeito ou falha sistemática em determinado produto/serviço entregue pela CONTRATADA, ou ainda, que nos testes realizados sejam considerados em desacordo com as especificações técnicas requeridas, a o Gestor Técnico da CONTRATANTE pode exigir a substituição, total ou parcial, do referido produto;
3.2.7.14.10. A CONTRATADA será responsável pelo monitoramento da solução em regime 24x7, devendo manter a mesma sempre atualizada e em operação;
3.2.7.14.11. O monitoramento deverá ser realizado através de ferramentas próprias da contratante integradas via API com a console/servidor de gerenciamento central para automação de coleta de alertas críticos e acionamento imediato da equipe da CONTRATADA;
3.2.7.14.12. A ocorrência de alertas de alta criticidade devem acionar diretamente, de forma automática, através de alarme sonoro em aplicativo de celular, os técnicos de plantão da CONTRATADA para início imediato do tratamento da ocorrência, dentro dos prazos definidos no ANS, sendo reportados imediatamente ao preposto da CONTRATANTE para ciência do fato;
3.2.7.14.13. A CONTRATADA deverá informar mensalmente a escala de técnicos de sobreaviso que atenderão os alertas de alta criticidade durante o período do plantão;
3.2.7.14.14. À opção da CONTRATANTE, esta poderá indicar até 5 profissionais para receberem os alarmes em tempo real, de forma simultânea, no aplicativo de celular a ser fornecido pela CONTRATADA sem custos adicionais.
3.2.7.14.15. O tratamento das ocorrências geradas pelo sistema de monitoramento automático deve ser acompanhado através de plataforma de gestão automatizada de processos (BPMn) fornecido pela CONTRATADA, que indique claramente e controle os prazos para execução de cada etapa do processo de resposta aos incidentes detectados;
3.2.7.14.16. O processo de tratamento de incidentes deve conter pelo menos as seguintes características:
3.2.7.14.17. Notificação imediata da CONTRATADA sobre a ocorrência detectada; 3.2.7.14.18. Investigação da ocorrência através dos recursos fornecidos pela solução; 3.2.7.14.19. Determinação da real criticidade da ocorrência;
3.2.7.14.20. Execução de ações de contenção previamente acordadas com o cliente;
3.2.7.14.21. Elaboração de plano de ação para a CONTRATADA possa elevar o nível de segurança do seu ambiente, caso as ações estejam fora do escopo desta contratação;
3.2.7.14.22. O processo automatizado deve ser capaz de tratar de forma diferenciada pelo menos 4 níveis de criticidade de alertas;
3.2.7.14.23. O processo automatizado deve ser capaz de enviar e-mail e alertas em aplicativo de celular de forma automática para a CONTRATADA e para a CONTRATANTE;
3.2.7.14.24. O processo automatizado deve ser capaz de emitir avisos sonoros através de aplicativo de celular para os técnicos da CONTRATADA e da CONTRATANTE, com diferentes graus de intensidade a depender do nível de criticidade da situação detectada;
3.2.7.14.25. Deve permitir a customização, para cada CONTRATANTE, de quais tipos de alertas se enquadram em cada um dos níveis de criticidade.
3.2.7.14.26. Deve ser disponibilizado para a CONTRATANTE um dashboard de acompanhamento em tempo real dos processos de tratamento dos incidentes que apresente, no mínimo:
3.2.7.14.27. Tarefas em aberto com indicação do responsável pela sua execução e tempo restante para finalização da mesma de acordo com o ANS contratado;
3.2.7.14.28. Xxxxxxx em atraso com indicação do responsável pela sua execução e tempo de atraso em relação ao ANS contratado;
3.2.7.14.29. Tabela de atraso médio de tarefas já encerradas;
3.2.7.14.30. Tabela de tempo médio de execução de tarefas já encerradas.
3.2.7.14.31. A manutenção visa manter em perfeito estado de operação os serviços fornecidos em atendimento ao objeto, deste modo a CONTRATADA deve cumprir os seguintes procedimentos:
3.2.7.14.32. desinstalação, reconfiguração ou reinstalação decorrentes de falhas no software, atualização da versão de software, correção de defeitos, ajustes e reparos necessários, de acordo com os manuais e as normas técnicas específicas para os recursos utilizados;
3.2.7.14.33. Quanto às atualizações pertinentes aos softwares, entende-se como “atualização” o provimento de toda e qualquer evolução de software, incluindo correções, “patches”, “fixes”, “updates”, “service packs”, novas “releases”, “versions”, “builds”, “upgrades”, englobando inclusive versões não sucessivas, nos casos em que a liberação de tais versões ocorra durante o período de garantia especificado.
3.2.7.14.34. Deve ser elaborado e enviado mensalmente um relatório executivo com o resumo das principais ocorrências e as providências executadas pela CONTRATADA, além de gráficos e estatísticas relativos à conformidade operacional do ambiente;
3.2.7.14.35. A operação e administração (gerenciamento total) da solução será realizada pela CONTRATADA conforme as orientações e solicitações de configurações e políticas realizadas pelo Gestor Técnico da CONTRATANTE;
3.2.7.14.36. As solicitações de alteração de configurações deverão ser realizadas conforme o ANS definido na Seção – Acordo de Nível de Serviço – ANS;
3.2.7.14.37. No caso de necessidade de ações preventivas ou corretivas a CONTRATANTE agendará com antecedência junto a CONTRATADA as implementações das correções, fora do horário comercial, preferencialmente em feriados e finais de semana. Nenhuma ação poderá ser executada sem a ciência e anuência da CONTRATANTE;
3.2.7.14.38. A CONTRATADA deverá prestar suporte a todos os componentes de software fornecidos para a implementação e utilização da solução;
3.2.7.14.39. A CONTRATADA deverá disponibilizar serviço de suporte técnico e manutenção, no regime (24x7) vinte e quatro horas por dia, sete dias por semana, pelo período da contratação;
3.2.7.14.40. Os acionamentos dos serviços de suporte e manutenção serão requisitados por meio de ordens de serviço, a serem abertas pelo CONTRATANTE, através de número de telefone nacional (0800 com serviço de uso ilimitado) disponibilizado pela CONTRATADA, e ainda, por e-mail e sítio de internet;
3.2.7.14.41. Não haverá limitação no número de chamados que poderão ser abertos;
3.2.7.14.42. A CONTRATADA manterá registro de todas as ordens de serviço abertas, disponibilizando, para cada uma, no mínimo as seguintes informações:
3.2.7.14.43. Número sequencial da ordem; 3.2.7.14.44. Data e hora de abertura; 3.2.7.14.45. Severidade;
3.2.7.14.46. Descrição do problema;
3.2.7.14.47. Data e hora do início do atendimento;
3.2.7.14.48. Data e hora de término do atendimento (solução).
3.2.7.14.49. O serviço de suporte técnico e manutenção deverá ser prestado por profissional devidamente certificado nas soluções tecnológicas utilizadas na prestação dos serviços contratados;
3.2.7.14.50. As informações relacionadas à ANS estão na Seção – Acordo de Nível de Serviço – ANS.
3.2.8. ITEM 08: Serviços Gerenciados de desenvolvimento seguro para 10 usuários desenvolvedores pelo período de 12 meses.:
3.2.8.1. A solução deve ser provida no formato SaaS em nuvem ou On-premisse. Para soluções
On-premisse a CONTRATADA deve prover todo o Hardware (em redundância) novo e de primeiro uso e softwares licenciados para instalação e utilização da solução
3.2.8.2. Nos formatos SaaS em nuvem ou On-Premisse, a plataforma deve comprovadamente possuir capacidade de realizar varreduras simultâneas para o número total de desenvolvedores licenciados, de forma que não afete a produtividade e fluxo de trabalho do CONTRATADO.
3.2.8.2.1. Caso a solução utilize serviço em nuvem, a mesma deve conter:
3.2.8.2.2. Possuir, seguir e ser aprovada em auditoria a SOC 3.
3.2.8.2.3. Não deve existir limitação de quantidade de varreduras (scans) para as aplicações licenciadas.
3.2.8.2.4. Deve realizar análises de forma ilimitada, contínua e concorrente das aplicações licenciadas, para permitir realizar a gestão das vulnerabilidades de forma automática conforme a aplicação evolui
3.2.8.2.5. Realizar integração com sistemas de Ticketing e Bug tracking, tais como: Jira, Jira Cloud, Azure DevOps, Github Actions, Bugzilla
3.2.8.2.6. Realizar integração com plataformas de Single Sign-On via SAML V2, tais como: Okta, PingOne, Microsoft Azure AD
3.2.8.3. A solução deve permitir a integração com solução de terceiros através APIs
3.2.8.4. Análise de componente de terceiros - SCA
3.2.8.5. Identificar vulnerabilidades conhecidas em cada biblioteca e componente utilizados pelas aplicações licenciadas
3.2.8.6. Permitir a criação de um inventário de todos os componentes de terceiros, open-source e comerciais
3.2.8.7. "Suportar ao menos as seguintes linguagens de programação e tecnologias: .NET, C/C++, Java, JavaScript, Go, Kotlin, Objective C, PHP, Python, Ruby, Scala, Swift."
3.2.8.8. Suportar ao menos os seguintes gerenciadores de pacotes e tecnologias: NuGet, Maven, Gradle, NPM, Yarn, Bower, Godep, Go modules, CocoaPods, Composer, pip, SBT
3.2.8.9. Deverá trabalhar em modalidade SaaS (Software as a Service), tal que apresente as seguintes possibilidades de uso:
3.2.8.10. Varredura integrada diretamente a plataforma;
3.2.8.11. Standalone, podendo ser integrado a esteiras CI/CD.
3.2.8.12. Standalone, podendo ser executado a partir de uma linha de comando Linux, MacOs ou Windows.
3.2.8.13. Metodologia de classificação e pontuação dos aplicativos e falhas deve estar aderente aos padrões abaixo:
3.2.8.13.1. Common Vulnerability Scoring System (CVSS) na versão 3.x; 3.2.8.13.2. Common Vulnerabilities and Exposures (CVE);
3.2.8.13.3. National Vulnerability Database (NVD).
3.2.8.14. A solução deve fornecer qual tipo licença e o risco associado a biblioteca afim de entender as implicações de usar o componente em seu aplicativo.
3.2.8.15. Implantar funcionalidades de validação de bibliotecas:
3.2.8.15.1. Para consulta em base de dados de vulnerabilidades públicas e componentes de terceiros;
3.2.8.15.2. Para realizar scan diretamente em um repositório através de sua URL; 3.2.8.15.3. "em componentes de terceiros, de forma a prover as seguintes informações: