DO OBJETO:
DO OBJETO:
A presente licitação tem como objeto a contratação de empresa(s) especializada(s) para prestação de serviços de venda de “internet”; interconexão, transmissão e recepção de dados, voz e imagem, de forma a permitir o tráfego de informações de caráter corporativo entre o órgão municipal e seus Departamentos com aplicação de segurança, controle, gerência e monitoramento, conforme condições, quantidades e exigências estabelecidas neste Documento, seguindo todos os protocolos de segurança para a Prefeitura de Américo Brasiliense/SP e em cumprimento a LGPD.
DA JUSTIFICATIVA:
A contratação de Internet e locação dos equipamentos se faz necessária pelo fato da Prefeitura de Américo Brasiliense não dispor de equipamentos específicos e suficientes para manter os serviços em questão, objetivando o novo modelo para manter segurança e o pleno funcionamento da comunicação entre as unidades e do parque computacional desta administração e seus setores.
Considerando o momento crítico que vivemos no quesito de segurança da informação, é necessário ressaltar a importância que as atividades desempenhadas sejam como serviço de natureza contínua. Somente assim é possível o trânsito de informações de forma virtual e segura entre as mais variadas unidades da administração pública, bem como auxiliar nas medidas de prevenção e combate a ataques cibernéticos, vírus, falhas de segurança, tentativas de invasão, roubo de dados, perda de dados e interrupções na comunicação e demais atividades operacionais e administrativas.
A contratação é imprescindível à Administração para o desempenho de suas atribuições, onde a interrupção de qualquer um dos itens pode comprometer a continuidade das atividades da Administração. Recomenda-se, vigência de 12 (doze) meses. Tendo em vista que toda a infraestrutura de comunicação, computadores, servidores, e-mails,websites e portais em uso na Área Administrativa funciona de forma totalmente integrada, faz-se necessária a contratação de uma empresa que comercialize softwares de segurança cibernetica como serviço, de forma integrada e que ainda, o suporte a todas as soluções seja diretamente com o fabricante das soluções em regime irrestrito. E que possa garantir a prestação dos serviços previstos neste documento de forma a garantir um monitoramento e gerenciamento adequados de todo o ambiente sem prejuízo para os usuários.
As boas práticas de segurança da informação sempre relacionam que o investimento necessário seja proporcional ao risco e impacto de uma ocorrência danosa ao ambiente de rede, bem como todos os sistemas e processos que o envolvem.
Analisando o risco e o impacto, percebemos um cenário com uma probabilidade cada vez maior de ocorrência, dado o aumento vertiginoso de quantidade de ameaças a cada momento. Nestes últimos anos, vivenciamos situações altamente perigosas com até mesmo instituições, até então altamente protegidas com altos investimentos em segurança da informação, tiveram seus dados comprometidos e muitas vezes tornando-os públicos, o que infringe em muitos casos a LGPD (Lei Geral de Proteção de Dados
- LEI Nº 13.709, DE 14 DE AGOSTO DE 2018), em vigor desde 2020.
É de conhecimento de todos que o ataque mais popular atualmente é referente ao sequestro de informação, na imensa maioria das vezes sendo comprometido por meio de um malware denominado “ransomware”. Por ransomware, entende-se que é um tipo de malware que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate, em dinheiro ou criptomoedas para que o acesso possa ser restabelecido. Desde que se vivenciou um grande aumento de infecção por ransomware, foi natural o aumento do uso de sistemas de backup como uma alternativa para minimizar os danos, para que caso tenha os dados comprometidos, possa restaurar de maneira rápida reduzindo a chance de prejuízo. Porém, como podemos observar diante as informações publicadas na mídia, a tática adotada pelos criminosos tem sido que além do “sequestro de dados”, ameaçam com a divulgação de dados na mídia, acarretando pesadas consequências para a instituição que sofreu o ataque. Isso faz com que o backup não seja a única ação necessária para minimizar os dados de um ataque de ransomware, sendo necessário proteção completa.
As ameaças não se limitam apenas ao ransomware. Muitos dos ataques são com objetivos financeiros, como tem ocorrido em diversos órgãos governamentais onde os prejuízos somados chegam em altíssimas cifras de centenas de milhões.
Dado estas informações, podemos considerar o risco como alto, justificando a abrangência de soluções conforme descrito neste termo.
TERMO DE REFERENCIA
LOTE 1
Link de INTERNET - caracteristicas do link de INTERNET:
Fornecimento de Link dedicado de DUPLA ABORDAGEM (ambas vias fibra-óptica) de acesso à rede mundial de computadores – Internet, com velocidade de 1Gbps (Um Giga), sem limite de tráfego, com garantia mínima de 99% da banda, ao menos 4 ip´s fixos em bloco IPV4 /29, num primeiro momento, o departamento de Tecnologia da Informação da PMAB não fará uso de bloco IPV6, no entanto, fica a proponente obrigada a fornecer a classe necessária ao projeto, caso o departamento requisite, compreendendo suporte técnico, incluindo serviço de cabeamento, instalação, gerenciamento, manutenção, fornecimento e configuração dos equipamentos a serem utilizados para a prestação do serviço contratado.
Endereço de instalação: Se o vencedor do Lote 1 for o mesmo vencedor do Lote 2, o Link deverá ser entregue na infra-estrutura da PROPONENTE em conjunto ao firewall concentrador; Caso o vencedor do Lote 1 não for o mesmo do Lote 2, o Link deverá ser entregue na infra-estrutura do PROPONENTE vencedor do Lote 2, onde será instalado o firewall concentrador.
O Link dedicado de DUPLA ABORDAGEM (ambas vias fibra-óptica) deverá ser fornecido por meio de fibra Óptica saindo diretamente do DataCenter da contratada até o ponto indicado item acima, sendo vetada qualquer interligação parcial via rádio frequência;
Responsabilizar-se pela manutenção do serviço; compreendendo suporte técnico, incluindo serviço de cabeamento, instalação, gerenciamento, manutenção, fornecimento e configuração geral de todos os equipamentos, a serem utilizados para a prestação dos serviços contratados, mantendo backup a cada alteração das configurações de cada equipamento, fornecendo estes equipamentos em regime de comodato.
SLA: Primeiro atendimento em até 4horas, com resolução completa em até 24h.
Garantia mínima de tempo mínimo online: 99%
A empresa vencedora deverá disponibilizar equipamentos de backup para reposição em até 4h.
Latência entre o ponto e o gateway de até 4 Ms
Velocidade mínima de 99% da banda contratada;
A empresa vencedora deverá fornecer, a titulo de comodato, todos os equipamentos a serem utilizados para a instalação e disponibilização das bandas contratadas necessários para a prestação de serviços.
Apresentar licença PRÓPRIA da ANATEL que autoriza a mesma a prestar serviços de comunicação multimídia (SCM /SVA)
Comprovar através de Certificado emitido pelo XXX.XX que possui ao menos um ASN (Sistema Autônomo) com ranges próprios, de numeração IPV4 e IPV6, ao menos um bloco/22 IPV4 e um bloco/32 IPV6.
A empresa proponente, deverá disponibilizar ferramenta de gerência acessivel através da internet por intermedio de um navegador Web, com acesso restrito através de usuário/senha e utilizando protocolo HTTPS ou HTTP, com a finalidade da Contratante acompanhar as mediçoes de velocidades, manuteções(chamados/tickets), ocorrencias e serviços, possibilitando consultas e relatórios das informações de desempenho e manutenções (chamados)/ocorrencias/serviços prestados. A empresa proponente, deverá indicar, além da ferramenta de gerancia, um PREPOSTO (responsável para atender este Órgão Público e disponibilizar canal de atendimento prioritátio através de Wats-App, E-mail do indicado.
LOTE 2
– INTERCONEXÕES e SEGURANÇA
2.1. INTERCONEXÕES: UNIDADES A SEREM ATENDIDAS:
Disponibilização de acesso de interconexões L3 (LAN To LAN), por meio de cabeamento ÓPTICO com velocidade de download de 1Gbps, com garantia mínima de 50% e velocidade de upload de 1Gbps, com garantia mínima de 50%, sem limite de trafego. Todas as interconexões entre os pontos e o concentrador devem ser realizadas através de comunicação Lan-to-Lan, não sendo admitido o uso de qualquer outro tipo de tecnologia, tal como VPN ou MPLS, para os seguintes pontos/endereços(tabela a seguir):
Responsabilizar-se pela manutenção do serviço; compreendendo suporte técnico, incluindo serviço de cabeamento, instalação, gerenciamento, manutenção, fornecimento e configuração geral de todos os equipamentos, a serem utilizados para a prestação dos serviços contratados, mantendo backup a cada alteração das configurações de cada equipamento, fornecendo todos estes equipamentos em regime de comodato.
Ficha | Departamento/Setor | Endereços | Cep | bairro |
admi nistração | CAM - Cruzamento da Xxxxxxxx Xx. da Costa x Xxxxxxxxx X. Oliveira | Xx. Xxxxxxx Xxxxxx xx Xxxxx, 000 | 00000-000 | Xxxxxx |
admi nistração | XXX - Xxxxxxxx xx xxxxx Xxxxxxx Xxx Xxxxx / Xxxxxxx | Xxx Xxxxxx Xxxxx, x/x | 00000-000 | Xxxxxx |
admi nistração | CAM - Passagem de Nível em frente a Prefeitura Municipal | Av. Xxxxxxx Xxxxxxxx, 25 | 14820-000 | Centro |
admi nistração | XXX - Xxxx | Xx. Xxxxxx | 00000-000 | XXX Xx xxxxxx Xxxxxxxxxx |
admi nistração | CAM - Poço | Xxx Xxxxxx Xxxx Xxxxx, X/X | 00000-000 | Xxxxxx Xxx já |
admi nistração | CAM - Rotatória da Antiga Sadia | Xxxxxxx Xxxx Xxxx, x/x | 00000-000 | Xxxx Xxxxxxxxx |
admi nistração | CAM - Rotatória da saída para Araraquara via Xxxxxx xx Xxxxx | Alameda Xxxx Xxxx, s/n | 14820-000 | IV Distri to Industrial |
admi nistração | CAM - Rotatória do Ja rdim Primaveras | Rua das Magnólias, 125 | 14820-000 | Jardim Primaveras |
admi nistração | CAM - Rotatória em frente a empresa Brado Logística | Xxx Xxxx Xxxxxxx, 0000 | 00000-000 | XXX Xx xxxxxx Xxxxxxxxxx |
admi nistração | CAM - Rotatória Igreja Redonda | Xxx Xxxxxxx Xxxxxxxxx, x/x | 00000-000 | Xxxx Xxxx Xxxxxxxxx |
admi nistração | CAM - Rotatória na l igação Av. Sumaré x Rodovia Xxxx Xxxxxxxx Xxxx | Xx. Xxxxxx, x/x | 00000-000 | XXX Xx xxxxxx Xxxxxxxxxx |
admi nistração | CAM - Saída para Araraquara sentido Penitênciaria | Xxx Xxxxxx Xxxxx, 000 | 00000-000 | Xxxxxx Xxxxxxxx |
admi nistração | CAM - Semáforo em frente a l ojas Cem | Xx. Xxxxxxx Xxxxxx xx Xxxxx, 000 | 00000-000 | Xxxxxx |
admi nistração | Ponto Público | Praça Pública | 14820-000 | |
admi nistração | Ponto Público | Praça Pública | 14820-000 | |
admi nistração | Ponto Público | Praça Pública | 14820-000 | |
admi nistração | Ponto Público | Praça Pública | 14820-000 | |
admi nistração | Ponto Público | Praça Pública | 14820-000 | |
admi nistração | Ponto Público | Praça Pública | 14820-000 | |
admi nistração | DAEMA | Xxx Xxxxxx Xxxx Xxxxx, 000 | 00000-000 | Xxxxxx Xxxx Xxxxx |
admi nistração | Defesa Civil | Xxx Xxxxxxx xx Xxxxxx, X/X | 00000-000 | Xxxxxx |
admi nistração | Junta do Serviço Militar | Xxx Xxxxxx Xxxxx, 000 | 00000-000 | Xxxxxx |
admi nistração | Paço Municipal “Benedicto Nicolau de Marino” | Xxxxxxx Xxxxxxx Xxxxxxxx, 00 | 00000-000 | Xxxxxx |
admi nistração | Ponto Público (Cejusc) | Xxx Xxx Xxxxx XX , 00 | 00000-000 | Xxxxxx |
admi nistração | Ponto Publico(Policia Civil ) | Xxxxxxx Xxxxxx Xxxxxxx, 000 | 00000-000 | Xxxxxx |
admi nistração | Ponto Público(Policia Militar) | Xxx Xxxxxx Xxxxx, 00 | 00000-000 | Xxxxxx |
admi nistração | Poupa Tempo | Xxxxxxx Xxxxxxxxxx, 00 | 00000-000 | Xxxxxx Xxxxx Xxxxxx |
admi nistração | Recinto de Eventos | Xxxxxxx Xxxxx Xxxxxxx, x/x | 00000-000 | Xxxx Xxxxxxxxx |
admi nistração | Refis(ExecuçãoFiscal) | Xxx Xxxxxx Xxxx Xxxxx, 00 | 00000-000 | Xxxxxx Xxxx Xxxxx |
admi nistração | Segurança do Trabalho | Xxx Xxx Xxxxx XX , 000 | 00000-000 | Xxxxxx |
ceat | CEAT | Xxx Xxxxxxxx Xxxxxxx, 000 | 00000-000 | Xxxx Xxxxxxxxx |
cultura | Museu "praça do Coreto" | Museu "praça do Coreto" | centro | |
educação | Depto Mun. de Educação-Novênio Pavan e i nstalações UNIVESP | Xxxxxxx Xxxx xx Xxxxx, 000 | 00000-000 | Xxxxxx |
educação | EMEF Xxxxxxx Xxxxxxxx(Administração) | Xxxxxxx Xxxxxxx Xxxxx Xxxxxx, 000 | 00000-000 | Xxxxxx Xxx Xxxx |
educação | EMEF Xxxxxxx Xxxxxxxx(Lab.Informatica) | Xxxxxxx Xxxxxxx Xxxxx Xxxxxx, 000 | 00000-000 | Xxxxxx Xxx Xxxx |
educação | EMEF Xxxxxxx Xxxxxxxxx xx Xxxxx(Administração) | Xxx Xxxx Xxxxxxxx, X/X | 00000-000 | Xxxxxx Xxxxx Xxxxxxxxx |
educação | EMEF Xxxxxxx Xxxxxxxxx xx Xxxxx(Lab.Informatica) | Xxx Xxxx Xxxxxxxx, X/X | 00000-000 | Xxxxxx Xxxxx Xxxxxxxxx |
educação | EMEF Xxxx Xxxxx Xxxxxxx Xxxxxxx Xxxxx(administração) | Xxx Xxxxx Xxxxx, 000 | 00000-000 | Xxxxxx Xxxxx Xxxx |
educação | EMEF Xxxx Xxxxx Xxxxxxx Xxxxxxx Xxxxx(Lab.Informática) | Xxx Xxxxx Xxxxx, 000 | 00000-000 | Xxxxxx Xxxxx Xxxx |
educação | EMEF Dr. Xxxx Xxxxxxxx Xxxxxxx xx Xxxxxxx(administração) | Xxxxxxx Xxxxxxx Xxxxxx xx Xxxxx, 000 | 00000-000 | Xxxxxx |
educação | EMEF Dr. Xxxx Xxxxxxxx Xxxxxxx xx Xxxxxxx(Lab.Informatica) | Xxxxxxx Xxxxxxx Xxxxxx xx Xxxxx, 000 | 00000-000 | Xxxxxx |
educação | EMEF Prof.Virgilio Gomes(administração) | Xxx Xxxxxxxx Xxxxxxx, 000 | 00000-000 | Cohab |
educação | EMEF Prof.Virgilio Gomes(Lab.Informática) | Xxx Xxxxxxxx Xxxxxxx, 000 | 00000-000 | Cohab |
educação | CER "Sueli Lima Dias" | Xxxxxxx Xxxxxxxxxx, x/x | 00000-000 | Xxxxxx Xxxx Xxxxxxx |
educação | CER “Ceres Carreira dos Santos” | Xxx Xxxx Xxxxxxxx, 000 | 00000-000 | Xxxxxx Xxxxx Xxxxxxxxx |
educação | CER “Xxxxx Xxxxx Xxxxxxx - Ja rdimSãoJudas” | Xxx Xxxxxxx Xxxxxxx xx Xxxxxx, 000 | 00000-000 | Xxxxxx Xxxxx Xxxx |
educação | CER Carolina Ometto Pavan | Xxx Xxxxxx Xxxxx, 000 | 00000-000 | Xxxxxx |
educação | CER Li l xxxx Xxxxxxxx | Xxx Xxxxxxx Xxxxxxxx xx Xxxxxx, x/x | 00000-000 | Xxxxxx Xxxxx Xxxx |
educação | CER Xxxx Xxxxx Xxxxxxxx Goes | Avenida das Cássias, 62 | 14823-174 | Jardim Primaveras |
educação | CER Xxxxxxx Xxxxxxxx Xxxxxxxxx | Xxxxxxx Xxxxxx, 000 | 00000-000 | Xxxxxx Xxxxx Xxxxxx |
educação | CER Simone Irene Pavão | Xxx Xxxxxxxx Xxxxxxx, 000 | 00000-000 | Cohab |
educação | CER Xxxxxxx Xxxxxxxx Xxxxxxxx | Avenida Xxxxxx Xxxxxxx Xxxxxxxxx, 41 | 14820-538 | Jardim Xxxx Xxxxxx |
educação | CER Xxxx Xxxxx Xxxxxxxxx | Avenida Xxx Xxxxx Xxxxxx Xxxxxx, 821 | 14821-204 | Jardim São José |
educação | CER Prof.Xxxxx Xxxxx X.XxxxxxXxxx Xxxxxxx | Xxx Xxxxxx Xxxx Xxxxx, 000 | 00000-000 | Xxxxxx Xxxx Xxxxx |
esporte | Centro Esportivo Xxxx Xxxxx(Administração) | Xxx Xxxx Xxxxx Xxx Xxxxx, 000 | 00000-000 | Xxxx Xxxxxxxxx |
xxxxxxx | Xxxxxx Esportivo Xxxx Xxxxx(GinásiodeEsportes) | Xxx Xxxx Xxxxx Xxx Xxxxx, 000 | 00000-000 | Xxxx Xxxxxxxxx |
saude | Academia da Saúde | Xxxxxxx Xxxxxxxxx, 000 | 00000-000 | Cohab |
saude | Administração da Saúde | Xxx Xxx Xxxxx XX , 000 | 00000-000 | Xxxxxx |
saude | Centro de Apoio Ps icossocial Doçura-CAPS | Xxx Xx. Xxxxxxx Xxxxxxxx Xxxx, 000 | 00000-000 | Xxxx Xxxxxxxxx |
xxxxx | Xxxxxx de Reabilitação | Xxxxxxx Xxxxxx Xxxxxxx xxxx, 000 | 00000-000 | Xxxx Xxxxx |
saude | Centro de Triagem Animal | Estrada Mun. Xxxxx Xxxxx xx Xxxxxx, 16 | 14820-702 | IDistrito Industri al |
saude | Residência Terapêutica | Xxx Xxxx Xxxxx, 000 | 00000-000 | Xxxx Xxxxxxxxx |
saude | UBS "Dr. Xxxxxx xx Xxxxxx Al ves | Xxxxxxx Xxxxxxxxx, 000 | 00000-000 | Cohab |
saude | UBS “Dona Tita” | Avenida Xxxxxx Xxxxxxx Xxxxxxxxx, 216 | 14820-564 | Jardim Xxxx Xxxxxx |
saude | UBS “Dr.Xxxx Xxxxxx Xxxxx Xxxxxx” | Xxxxxxx Xxx Xxxxxxx xx Xxxxx, 000 | 00000-000 | Xxxxxx Xxx Xxxx |
saude | Vigi lância Sanitária/Vigilância Epidemiológica/ Zoonoses | Xxx Xxxx Xx x xxxxx, 000 | 00000-000 | N. Vila Cerqueira |
saude | HOSPITAL Xxxx Xxxxx Xxxx | Xxxxxxx Xxxxxx Xxxxxxx, 000 | 00000-000 | centro |
social | Conselho Tutelar | Reserva | ||
social | CRAS | Rua Xxxxxxx Xxxxxx xx xxxxxxxx, 1108 | 14820-554 | Xxxx Xxxxxx XX |
social | Fundo Social de Solidariedade/ PromoçãoSocial | Xxx Xxxxxxxx Xxxxxxx, 000 | 00000-000 | Xxxx Xxxxxxxxx |
social | Ponto Público(AbrigoPróVida) | Rua Xxx Xxxxx XX , 10 | 14820-027 | Centro |
DOS RECURSOS TÉCNICOS
1. Para todas as localidades a proponente deverá oferecer todos os equipamentos necessários para criar, manter e gerir a infraestrutura de comunicação solicitada pela Prefeitura de Américo Brasiliense-SP, fornecendo estes equipamentos em regime de comodato.
2. A PROPONENTE deverá fornecer, dimensionar, disponibilizar, instalar, configurar, monitorar, operar, gerenciar e manter os equipamentos/recursos que forem necessários (roteadores, modens, meios de transmissão, cabeamento, acessórios necessários e outros) para o provimento dos serviços,conforme solicitados nesta especificação.
3. A PROPONENTE deverá garantir que a disponibilidade, a segurança, o desempenho e a qualidade do serviço prestado estejam dentro dos limites estabelecidos pela CONTRATANTE.
4. Para todas as localidades deve ser considerada a velocidade nominal estabelecida em modo bidirecional (FullDuplex), com disponibilidade mínima de 99,5% e 99% de garantia de banda. Mantendo uma Latência de até 4 Ms.
5. Em cada localidade a PROPONENTE deverá fornecer um equipamento de acesso(EDD–EthernetDemarcationDevice), habilitando uma porta Ethernet RJ-45 para a conexão com cada rede e/ou sub-redelocal (LAN) existente na localidade.
6. Todo o tráfego da rede de comunicação criada pelos acessos individuais, deverá fluir pelo backbone e sob a responsabilidade da proponente.
7. A PROPONENTE deverá garantir que o backbone por onde fluirão os dados da CONTRATANTE, é todo implementado em fibra óptica.
8. Para a prestação dos serviços descritos neste documento, a PROPONENTE deverá possuir em seu nome uma licença ativa e válida de SCM (Serviço de Comunicação Multimidia) expedida pela ANATEL (Agência Nacional de Telecomunicações) que estabelece as regras para prestação dos serviços de telecomunicações.
O serviço de transmissão e recepção de dados em cada localidade deverá possuir as seguintes características:
1. A solução deve permitir a implementação de múltiplas sub-redes isoladas de tal forma que os usuários de uma sub-rede possuam visibilidade apenas dentro desta mesma sub-rede, conforme definições e políticas estabelecidas por cada setor em conjunto com o Departamento de
Tecnologia de Informação da Prefeitura.
2. O serviço oferecido deve prever dupla pilha de endereçamento: IPv4 e IPv6. O endereçamento interno da rede em IPv6 quando necessário.
Essa infra-estrutura deverá possuir no mínimo as seguintes características:
1. No ponto de centralização das interconexões, deverá ser instalada a solução de segurança de redes de proteção perimetral, também chamado de Firewall UTM ou Firewall NG, que deverá fornecer acesso as informações do produto, em idioma Português (Brasil), não somente através de um acesso direto ao equipamento e ao seu painel, como também acesso à um servidor em Cloud (nuvem). Permitindo assim ser acessado de qualquer lugar, sem restrições de origem, através de login e senha com possibilidade de possuir dupla autenticação a fim de aumentar o nível de segurança de acesso.
2. O painel em Cloud (nuvem), deverá permitir visualizar informações essenciais dos produtos em tempo real, a fim de monitoramento, tais como informações do hardware, processamento, memória, disco, informações de qualidade do link, disponibilidade, latência e perda de pacotes.
3. O servidor em nuvem, deverá efetuar backup das configurações dos produtos, no mínimo diariamente, a fim de aumentar a segurança em caso de algum incidente que afete as configurações ou o hardware.
4. O servidor em nuvem, deverá avaliar o nível de risco do produto, no que se refere as melhores práticas de configuração de segurança de redes, sendo analisado pelo menos as regras de firewall, regras de NAT, qualidade da senha de acesso, configurações de VPN, entre outros. Tal análise tem que ser no mínimo diária.
5. Xxxxxx possuir aprendizado de máquina (Machine Learning) trabalhando na prevenção de ataques em todas as camadas segundo o modelo OSI, referenciando arquivos.
6. Estabelecer comunicação contínua com mecanismos em nuvem para receber atualizações de informações de maneira contínua, visando aperfeiçoamento e reciclagem de conteúdo.
7. Em caso de impossibilidade de configuração via interface gráfica, devido à algum incidente, a solução deverá permitir também o acesso via console de linha de comando, podendo ser acessível através de protocolo de acesso remoto. Tal como: SSH ou conexão direta via cabo console.
8. A solução deverá suportar uso de VLANs 802.1Q.
9. A solução deverá suportar regras de Firewall tradicionais, permitindo filtrar por: origem e IP de destino, porta de origem do protocolo, e destino IP para o tráfego TCP e UDP, com limite de conexões simultâneas por regra, com possibilidade de alteração do gateway para cada regra, podendo fazer balanceamento de carga ou failover por regra. As regras de Firewall devem permitir também gestão da tabela de estado das conexões
10. A solução deverá permitir efetuar regras de Firewall por Objetos. (IP, Porta, URL, sub-redes, entre outros).
11. A solução deverá fazer bloqueios na camada de aplicação (considerando camada 7 no modelo de camadas OSI de comunicação), também chamado de Firewall por aplicação permitindo assim:
12. Reconhecer aplicações independente de porta e protocolo, tendo a capacidade de bloquear e liberar aplicações diretamente através de configuração por meio da interface gráfica com poucos cliques, podendo configurar regras por grupo e usuário.
13. Efetuar regras por usuário ou grupo através de integração com Microsoft Active Directory ou base local.
14. A solução deverá reconhecer pelo menos aplicações nas seguintes categorias: redes sociais, ameaças, pornografia, antivírus, portais.
15. A solução deve mostrar por meio de um painel o percentual do tráfego de cada rede social, tais como: facebook, twitter, instagram, whatsapp, linkedin, youtube e as aplicações que estão sendo utilizadas no momento, com informações sobre a aplicação, data e hora, nome de usuário que está originando o tráfego e se o tráfego está liberado ou bloqueado.
16. A solução deverá possuir proteção contra tráfego malicioso, ataques, independente de porta e protocolo, ou seja, proteção na camada 7 (camada de aplicação segundo modelo OSI), permitindo visualizar em um dashboard de maneira gráfica e georreferenciada de acordo com a origem dos ataques.
17. A proteção na camada 7 contra tráfego malicioso, deverá garantir bloqueio de no mínimo worms, trojans, malwares, além de protocolos de uso não recomendados como: UltraSurf, UltraVPN, CyberGhost, Express VPN etc.
18. Uma vez que seja uma ferramenta de proteção de borda nativamente na interface WAN, deverá englobar todas as ferramentas de proteção como antivírus, antiphishing, antispyware, antiransomware e IDS/IPS.
19. Ter recurso para exibir um resumo das tentativas de invasão, infecções identificadas e nível de risco de cada uma delas.
20. Deverá ter disponível uma ferramenta responsável por identificar e bloquear aplicações ou serviços independente de uso de um Proxy nos dispositivos. Com capacidade de bloquear até mesmo tráfego de dispositivos móveis.
21. Oferecer opção de separação de gráficos e as porcentagens de acesso por rede/interface.
22. Exibir consumo por aplicações e detalhes de pelo menos as 5 principais aplicações que mais consomem banda da internet.
23. As informações de navegação devem ser em tempo real, com a possibilidade de separar interface/rede.
24. Deverá ter gráfico com porcentagem de navegação separado por categoria.
25. Deverá possuir a seleção total ou parcial de bloqueios ou liberações de aplicativos ou websites.
26. A solução deve possuir a possibilidade de uso de regras separadas por redes, e ainda ser possível configurar políticas de navegação distintas entre as redes.
27. Deve ainda possuir um modo simplificado de uso do recurso agindo na camada de aplicação, para uso em equipamentos com hardware com carga alta de consumo.
28. Deve possuir recurso de limpeza de log e data base de log de navegação, com recurso de limpeza automática, com possibilidade de personalização e alterações de configurações.
29. A solução deverá permitir efetuar bloqueio de conexões recebidas por determinado país ou continente, tendo como uma das funcionalidades, permitir visualizar países ou continentes líderes no ranking de tráfego malicioso e assim fazer bloqueios de entrada e saída.
30. A solução deverá permitir regras de redirecionamento de portas, atuando como um recurso para informar ao equipamento qual o destino a ser dado aos pacotes.
31. A solução deverá permitir regras de NAT (Network Address Translator), entre os hosts da rede interna e a internet, traduzindo os IPs com as seguintes características: Encaminhamento de portas, incluindo faixas de rede e o uso de múltiplos IPs públicos, NAT para IPs individuais ou sub-redes inteiras, NAT de saída, NAT de saída avançado, permitindo que seu comportamento padrão seja desativado e permitindo a criação de múltiplas flexões de regras de NAT, NAT Reflection, possibilitando que os serviços possam ser acessados por IP público a partir de redes internas.
32. A solução deverá, através de funcionalidade, permitir suporte ao protocolo Universal Plug and Play (UPnP) e NAT Port Mapping Protocol (NAT-PMP), podendo configurar download e upload máximo caso necessário.
33. A solução deverá possuir suporte para ser configurado o serviço de Wake on LAN, através de suporte no hardware, com objetivo de ligar o computador através de um pacote específico de rede.
34. A solução deverá possuir suporte para atualização automática da base de seu sistema, sempre que existir alguma disponível.
35. A solução deverá permitir criação de tabela de horários para agendamento de regras, bem como vincular uma regra a uma agenda definida para que elas vigorem a partir de ou durante datas e horários previamente especificados.
36. A solução deverá fornecer recursos de gerência de tráfego de rede, sendo possível a criação de regras dos seguintes tipos: Priorização de tráfego, definindo quais protocolos possui prioridade, Limite de tráfego por protocolo, definindo qual limite máximo de um protocolo, reserva de tráfego com empréstimo em caso de não estar sendo utilizado em seu limite.
37. Permitir que o DHCP Relay encaminhe requisições para um servidor definido em outro segmento de rede.
38. A solução deverá dispor de servidor DHCP, que permita atribuir endereços IPs e configurações relacionadas aos dispositivos da rede, por meio de MACAddress.
39. A solução deverá permitir uso de DNS dinâmico para que seja registrado o endereço IP público com um número de prestadores de serviços de DNS dinâmico comumente usados para conectar-se à VPNs, Web Servers e também Mail Servers. Podendo ser usado conta em serviço de terceiros no mínimo as seguintes opções: DynDNS, No-IP, OpenDNS, ZoneEdit e DyNS.
40. A solução deverá permitir gravar logs separando por pelo menos as seguintes categorias: Firewall, DHCP, Autenticação, IPSec, PPP, VPN, Load Balance, OpenVPN, NTP.
41. A solução deverá permitir gravar logs em servidor externo.
42. O sistema deverá permitir envio de informações pré-programadas referente ao status do link, permitindo selecionar o gráfico a ser enviado, bem como enviar e-mail informando quando houver queda de link.
43. O sistema deverá permitir gerenciar certificados através de modo gráfico, e criar e/ou revogar novos certificados através do painel web.
44. O sistema deverá permitir efetuar controle de permissão para acesso às funcionalidades da solução.
45. A solução deverá permitir load balancing e/ou failover no tráfego de saída para Internet, permitindo configurar de acordo com a qualidade do link ou queda do mesmo.
46. Possibilidade de sincronização de horário do equipamento utilizando protocolo
NTP.
47. A solução deverá permitir utilização do protocolo Netflow, para envio de informações referente à tráfego/link, permitindo configurar no mínimo: IP de destino, porta, IP de origem e restrição de direção.
48. A solução deverá suportar utilizar protocolo SNMP.
49. A solução deverá possuir no mínimo os seguintes gráficos: memória, throughput, links, VPN, qualidade dos links, processamento.
50. A solução deverá permitir configurar um servidor PPPoE Server no equipamento, podendo ter autenticação por: base local, RADIUS, ou acessar um servidor PPPoE para ativar algum link.
51. A solução deverá permitir no mínimo as seguintes opções de VPN (Site-to- Site ou Client-to-Site): IPSec, OpenVPN e o L2TP, podendo a solução ser o server ou o client e permitindo uso de VPN com outros equipamentos de outros fornecedores, sem limite de licenças.
52. A solução deverá permitir uso de um cliente OpenVPN, com opção de autenticação em base AD (Active Directory) ou LDAP, podendo ser instalado em estações de trabalho Windows, MAC OS X, ou dispositivos móveis como IOS (IPhone/IPad), Android.
53. Deverá possuir a funcionalidade de enviar e-mail sempre que: algum usuário se conectar ou desconectar no túnel VPN. A solução deverá ainda gravar logs das conexões de VPN, permitindo visualizar relatórios.
54. Todos os equipamentos deverão suportar funcionamento em modo Cluster e todas licenças para seu uso deverão estar inclusas no fornecimento, permitindo a configuração de dois firewalls como um grupo de “failover”, se uma interface falhar no primário ou ficar “off-line” completamente, o secundário se torna ativo, sem qualquer prejuízo de parada, lentidão ou interrupções de atividade de operação, tendo o secundário mesma capacidade que o primário (quantidade de usuários, conexões simultâneas, troughput, etc.) especificadas no dimensionamento.
55. A solução deverá disponibilizar funcionalidade para fazer cópias seguras de seus dados, tais como configuração e relatórios, podendo ou não ser agendados.
56. A solução deverá permitir também efetuar backup em servidor em nuvem (cloud) de maneira automática e deverá estar incluso no contrato o serviço em nuvem.
57. A solução deverá possuir módulo de liberação e bloqueio de maneira fácil e rápida e atualizados diariamente comuns para liberação ou bloqueio em uma rede considerada comum, tais como: Windows Update, Java, Caixa/Conectividade Social, Bancos, Microsoft, Governo, Acesso remoto, Redes sociais.
58. A solução deverá permitir gerenciamento de visitantes para acesso à redes para visitantes, com possibilidade de autenticação para usuários, por meio de cadastro, facebook, outros...
59. A solução deverá permitir bloqueio de acesso à sites, por meio de categorias.
60. A solução deverá permitir a criação de categorias personalizadas sem limite de quantidades, bem como permitir criação de lista brancas/negras como exceções. A solução deverá também scanear arquivos que forem efetuados download para verificar de vírus/malwares (todas licenças inclusas).
61. A solução deverá ter módulo de diagnóstico de bloqueio ou liberação de URL por usuário, mostrando qual regra está permitindo ou bloqueando o acesso a fim de diagnóstico rápido de ajuste da regra. A solução deverá também permitir o usuário justificar o acesso à uma URL bloqueado, podendo assim acessar mediante somente a justificativa ou mediante aprovação após a justificativa por parte de usuário com acesso administrativo.
62. A solução deverá compor suíte de relatórios no mesmo equipamento ou em caso de necessidade de uso de outro equipamento ou software, o fornecedor deverá incluir todas os valores e licenças bem como equipamentos para atender ao quesito “relatórios de gerenciamento”; A suíte de relatórios deverá possuir capacidade de ser acessada por meio de smartphones IOS/Iphone e Android e poder gerenciar os usuários que possuem acesso à ferramenta.
63. A suíte de relatório deverá permitir a personalização de cabeçalho do relatório, e possuir ao menos as seguintes informações de acesso: usuários, consumo de link, acessos por IP, acessos por usuário, acesso por categoria, acesso por meio de VPN.
64. A solução deverá permitir visualizar estrutura de rede conectada entre unidades por meio do painel em Cloud, permitindo visualizar problemas de rotas de conexão entre unidades, e permitir fazer failover sobre conexões de VPN de maneira automática sem intervenção manual.
65. A solução deverá fornecer sistema de detecção e prevenção de intrusão com capacidade de inspecionar o “payload” do pacote, fazendo o registro dos pacotes, além de detectar as invasões. Capaz de detectar quando um ataque está sendo realizado e, baseado nas características do ataque, alterar ou remodelar sua configuração de acordo com as necessidades, além de permitir a configuração de avisos ao administrador do ambiente sobre o ataque.
66. A solução deverá ser fornecida em appliance, ou seja, integração do hardware com software do mesmo integrador. Não serão aceitos equipamentos de uso genérico. Caso o fabricante tenha um novo modelo durante o período do contrato, a PROPONENTE deverá efetuar a substituição pelo modelo mais novo sem ônus adicional à CONTRATANTE.
67. Não serão aceitos modelos do tipo SOHO ou quaisquer appliances preparados para modelos do tipo “Home office”.
68. A garantia do hardware do Serviço de Segurança de Borda de Rede de Última Geração, via appliance, é de responsabilidade do proponente durante todo o período do contrato, garantindo inclusive todas as atualizações de hardware caso seja necessário, uma vez mantidas as condições de dispositivos conectados dentro de sua capacidade, como solicitado e acordado durante a contratação do serviço.
69. O prponente deverá fornecer suporte 24 horas por dia, 7 dias da semana de forma irrestrita, direcionado aos serviços contratados.
70. Em caso de necessidade de substituição do Firewall UTM NGFW, seja por mal funcionamento de hardware ou software, o suporte deverá prover um equipamento reserva com SLA de no máximo 4hrs úteis.
71. Todas as atualizações de hardware ou de software das soluções são por conta do proponente.
72. O suporte deverá manter um backup em nuvem atualizado, do Firewall UTM NGFW, com todas as configurações do equipamento para quaisquer necessidade.
73. Todas as funcionalidades descritas, deverão ser comprovadas por meio de documento oficial da Solução, a fim de garantir que as funcionalidades de grande importância para proteção estejam contempladas.
74. A proponente deverá efetuar visita técnica presencial antes da apresentação da proposta para verificar requisitos físicos a serem providos para a correta instalação e prestação de serviços.
DA INSTALAÇÃO:
1. A instalação deverá ser executada por técnico devidamente habilitado na solução oferecida, presencialmente no endereço da contratante, dentro do horário comercial que compreende (das 08h às 17h00 horas), conforme agendamento realizado pelo departamento técnico da Prefeitura Municipal.
2. A Contratante deverá dispor de tempo para que a proponente realize levantamento técnico com o intuito de análise e preparação de documentação da implantação do mesmo.
3. Um técnico certificado pelo fabricante da solução, deverá executar a instalação e configuração do firewall no contratante, executando as configurações de firewall, configuração de NAT para entrada e saída, configuração de VPN para colaboradores, dar treinamento básico sobre filtro de conteúdo durante a instalação, dar treinamento básico sobre definições de políticas durante a instalação, ativar filtro de conteúdo web com regras gerais sem bloqueio e disponibilizar um técnico remotamente por 24 horas corridas após a implantação para dúvidas e ajustes.
DA GARANTIA:
1. A manutenção do hardware do Serviço de Segurança de Borda de Rede de Última Geração, via appliance, é de responsabilidade do proponente durante a vigência do contrato, garantindo inclusive todas as atualizações de hardware caso seja necessário, uma vez mantidas as condições de dispositivos conectados dentro de sua capacidade, como solicitado e acordado durante a contratação do serviço. Quer dizer, se a quantidade de dispositivos atingir um número acima do contratado inicialmente, se faz necessário a troca de equipamento e o reajuste dos valores do mesmo; e ainda a troca de hardware em caso de mal funcionamento ou end-of-life do hardware.
2. O acréscimo de hardware ao appliance como interfaces adicionais ou a troca das interfaces nativas por novas tecnologias, incidem em reajustes de preço, não constando como itens que possam ser atualizados ou somados dentro da garantia. Ou seja, a garantia não contempla acréscimo de interfaces ou atualização das já existentes por interfaces de tecnologias novas ou com funções e recursos diferentes das nativas no ato da contratação.
DO TREINAMENTO E CAPACITAÇÃO TÉCNICA
1. A Proponente deverá fornecer treinamento da solução, para ao menos 2 funcionários da prefeitura municipal de Américo Brasiliense-SP.
2. Permitir a possibilidade de treinamento presencial, direto com o fabricante da solução ou empresa credenciada.
3. Não serão aceitos treinamentos gravados, todos deverão ser ao vivo em tempo real.
4. A Proponente deverá emitir para o(s) servidor(es) participante(s), sem ônus e no prazo máximo de até 10 (dez) dias úteis após o término do treinamento, o certificado de conclusão, no qual deverá constar o nome do treinando, a data, o local e a carga horária.
5. Caso haja material didático, o mesmo deverá ser oferecido pela Proponente para realização do treinamento deverá ser de primeiro uso, atualizados e deverão estar em português.
6. Este treinamento deverá capacitar estes funcionários a total compreensão do funcionamento da solução e a realização das configurações necessárias para a implementação das políticas de segurança a serem definidas.
7. No treinamento deverá incluir teoria e prática sobre no mínimo os seguintes assuntos:
a. Conceitos básicos sobre implantação de políticas de segurança;
b. Verificação de Status e configurações de rede;
c. Apresentação das funcionalidades e conceituação de funcionamento;
d. Implantação de políticas de NAT;
e. DNS, DHCP Server e Web Proxy;
f. Implantação de filtros de conteúdo;
g. Implementação de Prevenção de Intrusão;
DEMAIS REQUISITOS
1. O fabricante da solução deverá ser uma empresa atuante na área de segurança da informação a fim de garantir eficácia das soluções de proteção.
2. A solução deverá possuir em um único painel em nuvem que agregue em grande parte o gerenciamento e monitoramento das soluções listadas. As funções de gerenciamento e monitoramento que deverão ter no painel em nuvem estão listadas neste documento.
3. A proponente deverá garantir que ao longo do presente contrato, nenhum produto, software, hardware ou peças necessárias, estejam em uma versão considerada não oficial, não comercializada, “end-of-life, end-of-sale ou end- of-support”. Ou seja, não poderão ter previsão de descontinuidade de fornecimento, suporte e vida. Devendo estar em linha de produção do fabricante, sempre em sua versão mais atualizada (seja software, sistema e hardware, caso o fabricante lance uma nova versão, etc.) A proponente deverá garantir que estão cobertos por garantia ao longo do contrato.
4. Apresentar Carta emitida pelo próprio Fabricante das soluções utilizadas, informando que a Proponente é revenda autorizada a comercializar seus produtos e serviços.
5. Todas as funcionalidades descritas, deverão ser comprovadas por meio de documento oficial do fabricante da solução, a fim de garantir que as funcionalidades de grande importância para proteção estejam contempladas.
6. Será feita a verificação da compatibilidade dos recursos e das capacidades, facilidades operacionais informadas na proposta para cada item ofertado com base nas informações dos catálogos, folhetos, manuais técnicos e semelhantes produzidos pelo fabricante. Documentos estes que deverão ser anexados a proposta comercial, referenciando o endereço web para consultas e diligências de todo material apresentado. Salienta-se que não serão aceitos materiais produzidos pela Proponente a não ser que ela seja fabricante.
7. A proponente deverá disponibilizar serviços de treinamento especializado em segurança da informação, por técnico habilitado.
8. A proponente, se achar necessário, poderá efetuar visita técnica presencial antes da apresentação da proposta para verificar requisitos físicos a serem providos para a correta instalação e prestação de serviços. As visitas somente poderão ocorrer de segunda a sexta, das 9hs às 11hs ou 12h30hs as 16h30hs.
DO SUPORTE, MANUTENÇÃO, MONITORAMENTO E GERENCIAMENTO DA REDE
É responsabilidade da proponente fornecer serviços de suporte, manutenção, monitoramento e gerenciamento para toda a solução implementada neste projeto. Para isso, eles devem manter um ponto único de contato e uma Central de Serviços. O objetivo dessa Central de Serviços é restaurar os serviços de comunicação o mais rápido possível, oferecendo soluções definitivas e alternativas para minimizar o impacto causado por falhas na comunicação e transmissão de dados.;
A proponente deverá disponibilizar os seguintes tipos de atendimento:
- Atendimento em 1º nível: realizado por telefone e/ou sistema Web com disponibilidade de 24 x 7, ou seja, 24 (vinte e quatro) horas por dia e 7 (sete) dias por semana. O serviço de atendimento de primeiro nível prestado pela Central de Serviços deverá seguir as boas práticas preconizadas pelo ITIL v3.
- Atendimento em 2o nível: realizado por técnico especialista sempre que a resolução da ocorrência não for possível em 1º Nível. O suporte de segundo nível deverá ser prestado por técnico especializado, com formação e/ou certificação adequada ao problema a ser tratado. Este técnico será acionado pela Central de Serviços sempre que houver necessidade.
- Atendimento em 3º nível: também compreendido como atendimento de campo, realizado por técnico especialista prestado no local da ocorrência.
Qualificação em Segurança do Trabalho, PPRA / PCMSO / CND Federal, Estadual e Municipal em nome de proponente.
• O fluxo de chamados e atendimento segue as seguintes etapas: abertura do chamado técnico, onde a contratante informa a ocorrência de falha nos serviços contratados, seguido pela resposta da proponente com um identificador e data de abertura para referência e acompanhamento. O atendimento ocorre em níveis 1, 2 ou em campo, conforme a necessidade. A conclusão ocorre quando a ocorrência é satisfatoriamente resolvida e registrada no relatório técnico da proponente. A empresa proponente, deverá disponibilizar ferramenta de gerência acessivel através da internet por intermedio de um navegador Web, com acesso restrito através de usuário/senha e utilizando protocolo HTTPS ou HTTP, com a finalidade da Contratante acompanhar as manuteções(chamados/tickets), ocorrencias e serviços, possibilitando consultas e relatórios das informações de desempenho e manutenções (chamados)/ocorrencias/serviços prestados. A empresa proponente, deverá indicar, além da ferramenta de gerancia, um PREPOSTO (responsável) para atender este Órgão Público e disponibilizar canal de atendimento prioritátio através de Wats-App, E-mail do indicado.
Para o atendimento dos chamados, estabelecemos a seguinte definição de prioridades:
Prioridade 1 (situação crítica): Refere-se a um erro que resulta na total indisponibilidade do serviço em uma determinada localidade.
Prioridade 2 (alta prioridade): Engloba erros que causam uma redução
substancial no desempenho, resultando em limitações de uso de algumas funcionalidades.
Prioridade 3 (média prioridade): Inclui erros que causam uma redução no desempenho, mas não resultam na ausência total de funcionalidades.
Prioridade 4 (baixa prioridade): Engloba dúvidas relacionadas ao funcionamento ou à implementação de novas políticas de segurança e/ou roteamento.
Essas prioridades foram estabelecidas para garantir que os chamados sejam tratados de acordo com a sua gravidade, permitindo uma alocação adequada de recursos e um atendimento eficiente.
A PROPONENTE deverá atender aos chamados conforme o seguinte acordo de nível de serviço (SLA – Service Level Agreement):
• Chamados de prioridade 1 deverão possuir tempo de atendimento em primeiro nível de 30 minutos e resposta/solução em até 4 horas.
• Chamados de prioridade 2 deverão possuir tempo de atendimento em primeiro nível de 30 minutos e resposta/solução em até 8 horas.
• Chamados de prioridade 3 deverão possuir tempo de atendimento em primeiro nível de 30 minutos e resposta/solução até o próximo dia útil.
• Chamados de prioridade 4 deverão possuir tempo de atendimento em primeiro nível até o próximo dia útil e resposta/solução conforme planejamento específico de cada caso.
Todos os chamados serão categorizados de acordo com as prioridades acima e todos os esforços serão mantidos na expectativa de resolver o problema dentro da meta de tempo estabelecida; salvo sob condições de caso fortuito, força maior ou problemas detectados que são de responsabilidade de terceiros.
A PROPONENTE será responsável por administrar, monitorar e operar toda a solução ofertada, incluindo as atividades abaixo:
• Identificar falhas de rede e/ou equipamentos pertencentes à solução ofertada.
• Identificar falhas de desempenho na comunicação de rede entre as unidades.
• Incluir, alterar e remover redes virtuais locais (VLANs);
• Incluir, alterar e remover tuneis VPN;
• Incluir, alterar e remover instruções de roteamento;
• Incluir, alterar e remover políticas utilizadas para o controle de tráfego e/ou controle de conteúdo;
• Incluir, alterar e remover credenciais de acesso administrativo.
• Revisar, adequar e manter a topologia de rede da Prefeitura Municipal de Américo Brasiliense de acordo com as melhores práticas recomendadas pelos fabricantes dos ativos de rede utilizados.
• Realizar monitoramento e atividades de manutenção visando garantir os níveis de disponibilidade, desempenho e segurança contratados.
2.2 - GERENCIAMENTO DE DISPOSITIVOS, DESKTOPS, NOTEBOOKS E SERVIDORES:
O sistema de controle e monitoramento Endpoint deverá ser baseada no modelo que permita monitoramento e gerenciamento centralizado em nuvem (Cloud).
A solução em nuvem deverá prover modulo de monitoramento de todas as soluções descritas no mesmo painel de gerenciamento de segurança com objetivo de facilitar a operação e funcionar tanto de forma integrada, quanto
de forma isolada (“stand alone”).
Todos os componentes necessários à implementação desta solução corporativa deverão pertencer à mesma família de solução corporativa contra códigos maliciosos e ameaças de rede (integrar uma única solução corporativa).
A solução deverá permitir que haja troca de informações entre painel de gerenciamento e seus clientes. As informações de que trata o presente item são aqueles relevantes para a realização das ações de combate a código maliciosos e proteção de computadores ligados em rede.
A troca de informações de que trata o tópico anterior deverá permitir o recolhimento de informações sobre o estado de funcionamento da solução nas diferentes estações. As seguintes informações deverão ser contempladas, no mínimo: versão do sistema operacional, nome do host, possuindo ainda um recurso exclusivo somente para as versões desenvolvidas para sistemas operacionais, uma versão de antimalware, status e informações CPU, MEMÓRIA, DISCO.
Verificar todos os tipos de códigos maliciosos contra os quais oferece proteção e realizar as tarefas de proteção de computadores ligados em rede em tempo real.
Devidamente desenvolvido não somente para sistemas operacionais Windows, mas também para sistemas operacionais Linux, o acesso para ferramenta de configuração do gerenciamento em nuvem (Cloud) deverá ser com acesso seguro via HTTPS.
Ter possibilidade de através de uma senha administrativa, desabilitar algumas funções do sistema de proteção local de estação ou servidor da família Windows.
Funcionalidades de gerenciamento em nuvem (Cloud) e administração centralizada da solução, trabalhar obrigatoriamente na língua portuguesa do Brasil e inglês, o sistema de gerenciamento em nuvem deverá permitir a criação de políticas, por grupo ou território e permitir criação de regras das políticas, porém sem ser aplicadas, ou seja, permitir configurar a regra como neutra, ativa ou inativa.
A solução deverá permitir gerência granular com gerenciamento de políticas por nível hierárquico, permitindo ao usuário configurar políticas seguindo uma ordem de hierarquia determinada por grupos ou conjunto de computadores, sendo possível permitir a configuração de políticas como dominantes, ou seja, que não podem ser reescritas por políticas em nível hierárquico mais baixo.
Caso possua mais de uma unidade organizacional, permitir a organização por meio de hierarquia em árvore que permita definição de permissão de acesso por cada unidade organizacional e/ou por toda a organização.
A ferramenta deverá prover gerência de acesso para usuários de
administração com vários níveis de permissão configuráveis pelo administrador principal.
No caso dos sistemas operacionais Windows, permitir definir regras de funcionamento dos bloqueios comportamentais do antivírus, com no mínimo configuração do tipo de alerta, se o usuário será notificado para tomar uma ação, se o usuário será notificado e a ação será automática ou função silencio onde a ação é tomada e o usuário não é notificado.
Possuir exclusivamente para a versão Windows recursos que possibilitem visualizar tempo de uso de cada aplicação e software filtrado pelo nome do usuário.
A solução deverá proteger os arquivos através de análise comportamental, ou seja, proteger arquivos mesmo que a solução não disponha de assinatura para esse artefato.
Permitir a inclusão de arquivos na lista branca ou negra para análise comportamental de arquivos, inclusão de um arquivo somente para monitoramento bem como definir um arquivo ou aplicação que deverá ser bloqueada, permitindo configurar se tal ação será ou não notificada ao usuário, sendo que essa notificação ao usuário deverá ser em português do Brasil. Este item é obrigatório no sistema operacional Windows.
Para sistemas Windows, a solução deverá proteger os arquivos através de assinaturas de arquivos maliciosos já conhecidos e além dos componentes responsáveis pelo combate a códigos maliciosos, possuir também componente responsável por implementar uma camada de proteção para acesso à internet que impeça abertura de sites com risco de acesso a conteúdos maliciosos.
Permitir a inclusão de arquivos na lista branca ou negra para com base em assinaturas, inclusão de um arquivo somente para monitoramento bem como definir um arquivo ou aplicação que deverá ser bloqueada, permitindo configurar se tal ação será ou não notificada ao usuário, sendo que essa notificação ao usuário deverá ser em português do Brasil, para esse item deverá permitir ativação ou não de proteção quanto PUP do acrônico em inglês Possible Unintended Programs, ou seja, programas possivelmente indesejados como exemplos Adwares e Spywares. Este item é obrigatório nos sistemas operacionais Windows.
A solução deverá prover proteção quanto a navegação, para sistemas Windows.
Para a proteção de navegação nos sistemas Windows a solução deverá permitir no mínimo proteção quanto sites maliciosos com base própria, sites com conteúdo indesejados (PUP - Possible Unintended Programs), bem como permitir a inclusão manual pelo administrador de sites na lista branca bem como na lista negra.
A solução deverá permitir agendamento de scan na rede, podendo criar mais do que uma regra de agendamento como por exemplo um agendamento de
scan rápido em um determinado horário do dia e um agendamento completo durante a noite, a solução deverá conter tecnologia de identificação de condição de carga do equipamento para que nessa condição o scan seja colocado em segundo plano evitando aplicar lentidão ao equipamento, essa tecnologia deverá ser configurada para ocorrer ou não em cada tarefa de agendamento de scan, para o agendamento deverá permitir no mínimo frequência diária, semana ou mensal podendo definir o horário para execução, para sistemas Windows.
A solução deverá permitir executar comandos remotos na estação, deverá permitir no mínimo desinstalar ou instalar o antimalware, reiniciar dispositivo, desligar dispositivo e permitir gerenciamento de inventario de software e hardware, deverá conter no mínimo os seguintes itens, nos sistemas Windows:
1 - Trazer a localização georreferenciada do dispositivo de maneira automática ou permitir configurar de maneira manual a latitude e longitude para localização do dispositivo.
2 - Nos sistemas Windows, permitir acessar remotamente o equipamento direto do painel cloud, a solução deverá solicitar autorização da estação de trabalho a ser acessada quanto a autorização do acesso, remover o software remotamente direto do painel cloud e ativar ou desativar recebimento de alerta dos dispositivos e a solução deverá permitir bloquear o uso de pendrive ou storage externo, essa restrição deverá ser granular.
3 - Permitir configuração de tipos de alertas, para monitoramento dos dispositivos tais como: percentuais de CPU, MEMÓRIA e DISCO e tais informações deverão estar disponíveis em um painel ou dash board específico para monitoramento.
4 - Trazer as informações de cada dispositivo com status do dispositivo, data em que os dados foram coletados, o número da licença do sistema operacional Windows bem como o status da licença daquele dispositivo, nome do host, versão do antivirus/antimalware, versão do sistema operacional, usuário logado no dispositivo, tempo de atividade, consumo e total de CPU, consumo e total de memória RAM, consumo e total de memória swap, consumo e volume total de disco, interfaces de rede, serviços que estão em execução, serviços que estão parados, processos que estão mais consumindo CPU, processos que estão mais consumindo memória, informações de hardware como drivers de impressora, CD-ROM, Dispositivos gerais, IDE, USB, SOM, VÍDEO, Adaptador de Rede, Processador, BIOS, MEMÓRIA, PLACA DE SOM, DISCO, MEMÓRIA e informações dos softwares instalados, tais como: fabricantes, software e versão.
A solução deverá prover modulo de relatórios com no mínimo relatório de inventário de software e hardware, relatório de licenças do Windows com seu status e relatórios de ameaças encontradas, os relatórios deverão ao menos ser gerados no formato PDF, CSV, entre outros.
O console de gerenciamento Web deverá prover na tela principal um
Dashboard com no mínimo informações sobre o percentual de máquina com número de antivírus/antimalware instalado e ameaças neutralizadas.
A solução deverá prover dashboard detalhado do gerenciamento do antimalware, do monitoramento e do inventário da rede com no mínimo as seguintes informações: estatísticas sobre ameaças identificadas, ameaças em quarentena, estatística de aplicação de licenças, informações quanto aos dispositivos ligados, desligados, informações sobre monitoramento de servidores, informações de monitoramento de banco de dados SQLServer, MySQL, PostgreSQL, Oracle, monitoramento do serviço do Microsoft Active Directory e DNS, informações quanto aos sistemas operacionais instalados, versão do sistema operacional, informações quanto ao número de maquinas com licença ativa do Windows bem como licenças não validas, vencidas ou sem licença.
Tendo em vista o sistema operacional Windows como referência, a solução deverá prover relatórios referente as informações extraídas dos dispositivos. no mínimo deverá conter relatórios de inventário de software e hardware, relatório contendo equipamento e licença do Windows e seu status, informações da existência de algum software virtualizado instalado em algum dispositivo, relatório licença do antimalware e suas aplicações, relatório de infecções e equipamento infectados, nome da infecção e nível de risco dela.
A solução deverá trazer informações sobre sistemas operacionais descontinuados, informando qual o sistema operacional bem como o equipamento que apresenta a condição.
No caso de sistema operacional da família Windows, ter controle e relatório de uso de aplicação por horário, quantidade de dados trafegados por usuário com possibilidade de bloqueio de uso de determinadas aplicações e sistemas.
Receber alertas sobre se o serviço de backup das configurações foi executado com sucesso ou não, se o número de hosts está superando o contratado, se a versão do sistema operacional está atualizada ou não e monitoramento configurável pelo administrador entre uma range de valores para emissão de alertas entre crítico, atenção ou informativo de no mínimo CPU, memória e carga média.
Permitir monitorar as interfaces da solução, permitir monitorar links, gerando alertas e caso de perda de pacotes, latência ou queda de link e a solução deverá permitir o monitoramento dos serviços de filtro de conteúdo web entre outros.
A solução deverá através da ferramenta de monitoramento enviar do servidor a ser monitorado e-mails de teste; e a ferramenta de monitoramento deverá identificar a chegada ou não do e-mail em ao menos 3 servidores diferentes e retornar status de queda de serviço na central de alertas em caso de queda do mesmo.
A solução deverá monitorar os serviços de IMAP, POP e SMTP, monitorar se o servidor de e-mail consta em alguma lista negra, a solução deverá prover
monitoramento das principais listas negras e as configurações acima deverão rever definição de monitoramento ou não por domínio.
A solução deverá enviar alertas automáticos para dispositivos que estejam com o serviço de proteção em tempo real e de navegação desativado, com o objetivo de informar imediatamente quais equipamentos estão vulneráveis. Esses alertas são essenciais para garantir a segurança do sistema, pois permitem que a equipe responsável tome ações rápidas e corretivas para reativar a proteção e evitar possíveis brechas de segurança.
Disponibilizar alerta configurável pelo administrador entre uma range de valores para emissão de alertas entre crítico, atenção ou informativo; de no mínimo CPU, memória e carga média. Permitir monitorar as interfaces de rede e possibilidade de monitoramento dos serviços do sistema operacional.
A solução deverá disponibilizar capacidade de armazenamento em nuvem para Backup. Possibilitando os seguintes alertas: sobre o limite e sobre sucesso ou falhas.
Disponibilizar alertas de uptime do website, alertas se o website ou aplicação web está listada em lista negra, problemas com o certificado SSL ou vencimento do mesmo e se identificado alguma anomalia no website, a solução deverá monitorar se existe algum artefato malicioso no mesmo.
O acesso remoto deve possuir o recurso para transferência de arquivos entre os dispositivos, deve possuir o recurso de bloqueio de interação por parte do usuário remoto ao dispositivo e deve ainda permitir que seja enviado remotamente o comando CRTL+ALT+DEL.
DO SISTEMA DE PROTEÇÃO CONTRA VIRUS, RANSOWARE E ARTEFATOS MALICIOSOS:
Fornecer proteção, no mínimo, contra os seguintes tipos de códigos maliciosos: vírus de computador (em todas as suas variações), bombas lógicas e vermes (worms).
Salvo a versão para Linux, a solução deverá também fornecer proteção, no mínimo, contra os seguintes tipos de códigos maliciosos: vírus de computador (em todas as suas variações), bombas lógicas, vermes (“worms”), cavalos de tróia (“trojan”), códigos espiões (“spyware”, “keylogger”, “screenlogger” etc.), códigos de apoio à invasão e escalada de privilégio (“rootkit”, “backdoor” etc.), código e conteúdo indesejado (“dialer”, “adware”, “joke” etc.).
Permitir a execução de escaneamentos nos servidores, nas estações de trabalho (programada ou não) e um sistema avançado de limpeza que reduza risco de estabilidade do sistema operacional.
As versões para sistemas operacionais Windows, deverão apresentar a
possibilidade de rastreamento manual nas estações de trabalho (programada ou não) de dispositivos móveis de armazenamento (ou não) e mídias removíveis ou quaisquer outros que permitam a transferência de arquivos para a estação de trabalho.
A solução precisa possuir como recurso, camada de proteção contra acesso a sites fraudulentos e perigosos no sistema Windows.
No sistema Windows, deverá negar acesso ao arquivo infectado antes que ele seja carregado em memória, aberto e/ou executado. Após negar o acesso ao arquivo infectado o antimalware deverá limpar o arquivo, e/ou apagar o arquivo infectado e enviar o arquivo infectado para uma área de segurança (quarentena).
Deverá na versão do agente Endpoint para sistemas operacionais Windows possuir proteção avançada de mídias removíveis (“CD”, “DVD”, “pendrive”, “HD” externo), sem a necessidade de configurações adicionais e permitir detecção de ameaças em arquivos compactados nos principais algoritmos (“XXX”, “XXX”, “0xxx”).
A solução precisa dispor de comunicação via protocolo SNMP nos sistemas Windows assim como também antiransomware ativo e inteligência artificial trabalhando de forma passiva na detecção de comportamento suspeito.
A proteção de tempo real deverá trabalhar também com listas brancas permitindo adicionar um arquivo em específico ou um diretório, permitindo assim todos os arquivos de serem executados e recursivamente.
Em sua camada de proteção de arquivos contra sequestro de informações devera ainda ter como adicional, camada de proteção comportamental contra programas e/ou comportamentos suspeitos.
Todos os itens acima deverão atender sistemas operacionais da família Windows da versão Windows 7 e servidores Windows server 2008 R2 em diante e dispor de opção para ativar ou desativar recebimento de alerta dos dispositivos, desde que tais sistemas ainda estejam na lista de sistemas oficiais com suporte e atualização do fabricante.
A solução deverá permitir configurar quais serviços o agente irá monitorar, em caso de parada do serviço o agente deverá reiniciar o mesmo e ainda mediante compatibilidade única com sistemas operacionais Windows, o sistema deverá permitir monitoramento por meio de protocolo SNMP de qualquer dispositivo conectado na rede.
Possuir proteção contra sequestro de informações, artefatos maliciosos, proteção contra invasão através de dispositivos desprotegidos e proteção contra criptografia de arquivos.
Deve possuir inteligência heurística para dentro dos sistemas Windows, desencapsular e analisar todas as informações contidas em artefatos maliciosos (ransomware) que chegarem oriundos da rede externa para a rede
interna. Todos os pacotes de dados devem ser desencapsulados e todas as informações contidas nos mesmos devem ser lidas e analisadas.
Deve trabalhar com o recurso Sandbox, para que as informações lidas sejam simuladas em um ambiente de testes para prever e estudar o comportamento do artefato malicioso (ransomware), uma vez que for alocado na rede interna.
Deve conter o recurso para, após a leitura e simulação como nos passos anteriores, nomeação do artefato malicioso (ransomware) onde o mesmo deverá ser posto fora do ambiente de produção para que um banco de informações próprias seja criado com dados sobre o artefato malicioso (ransomware) e seu possível funcionamento, o que manterá a segurança contra novas ameaças.
O monitoramento comportamental personalizado para detecção de criptografia em massa deve impedir a propagação do artefato malicioso (ransomware) antes de ocorrer o sequestro de dados. Identificando comportamento suspeito e variações nas funções de aplicações, mesmo as mais sutis.
SEGURANÇA AVANÇADA DE SERVIÇO DE E-MAIL
O serviço deverá operar na infraestrutura do fornecedor da solução, utilizando o conceito de “nuvem”.
O serviço de antispam e proteção de e-mail deverá ter um painel de gerenciamento em nuvem que permita no mínimo efetuar teste no funcionamento do e-mail de pelo menos 3 pontos externos diferentes, verificar se o domínio que é utilizado para e-mail encontra-se em alguma blacklist e verificar se o e-mail cadastrado para todos os usuários do serviço teve algum vazamento de e-mail e senha disponível na Deep WEB.
Proteção contra vírus, o serviço deverá possuir técnicas de bloqueio de vírus e outros códigos maliciosos antes das mensagens chegarem nas caixas postais dos usuários e deverá possuir atualização automática das vacinas.
Deverá possuir proteção contra fraudes tipo phishing scan, deverá possuir técnicas de bloqueio de fraudes; deverá possuir técnicas para detecção de vírus tipo zero day, segurança no tráfego de mensagens e possuir criptografia TLS no tráfego de entrada e saída das mensagens.
Proteção e gerência de spam, deverá estar capacitado para bloquear 99% ou mais das mensagens indesejadas, conhecidas por spam, o nível de corte do antispam poderá ser ajustado, à critério do administrador do serviço, permitir a configuração do tempo de vida das quarentenas e deverá possuir as técnicas de lista negra e lista branca, ativadas tanto para o domínio quanto para a conta do usuário-final.
Deverá criar dinamicamente a lista-branca, registrando o destinatário de cada mensagem enviada para uma conta externa, deverá ter a possibilidade de avisar
periodicamente ao usuário, através de e-mail, quais mensagens foram bloqueadas pelo antispam e a periodicidade do aviso acima deverá ser especificada pelo administrador do serviço.
Deverá fornecer ferramentas que permitam que tanto o administrador do serviço quanto o usuário-final possam liberar as mensagens enviadas para a quarentena através de uma interface web, deverá permitir que o usuário da conta de e-mail, desde que autorizado, possa liberar mensagens bloqueadas pelo antispam através do próprio e-mail informativo do bloqueio de mensagens e deverá permitir que antes de liberá-la, a contratante tenha acesso à mensagem na sua forma original.
Deverá possuir uma interface de pesquisa das mensagens entregues na quarentena de spam onde seja possível especificar parâmetros como data, remetente, destinatário, IP de origem e palavra no assunto, proteção contra uso indevido do serviço e o serviço deverá estar capacitado para bloquear mensagens com tamanho superior ao definido pelo administrador do serviço.
Deverá bloquear mensagens com tipos de anexos fora da especificação definida pelo administrador do serviço, deverá ter a possibilidade de criação de regras de bloqueio de tamanho da mensagem, tipos de anexo e palavras no assunto e regras de bloqueio acima deverão ser independentes para o tráfego interno e externo.
Em caso de bloqueio de mensagens em função das regras definidas pelo administrador do serviço, o remetente ou destinatário deverão ser notificados por e-mail, deverá implementar a função de sub-administrador para que outros técnicos autorizados tenham acesso às funções de administração do serviço e impedir o envio de mensagem em massa (acima de 200/dia) por contas não autorizadas.
Monitoramento e rastreabilidade do serviço, identificar através de interface web todos as alterações feitas nos parâmetros de configuração e administração do serviço, ter painel no cloud com verificação automática de SPF, senhas vazadas, reverso de DNS, administração do serviço e toda administração do serviço deverá ser feita pela contratante, através de telas com interface web em português com acesso seguro. A proponente fornecerá à contratante um usuário/senha que será usado para tal.
DA PROTEÇÃO DE WEBSITE E SISTEMAS ONLINE:
A solução deve fornecer, no mínimo, alertas de monitoramento em tempo real do website, indicando informações relevantes para a gestão e segurança, como detecção de spam, artefatos maliciosos e notificações caso o website ou aplicação web esteja listado em alguma das principais listas negras nacionais e internacionais.
Também é necessário realizar análise e fornecer informações sobre os certificados SSL, incluindo a verificação se a conexão é segura, o controle da data de expiração ou vencimento do certificado, detalhes sobre a empresa
responsável pela emissão do certificado, informações técnicas como número de série e versão, além de disponibilizar um descritivo detalhado e informativo sobre a importância do certificado para a segurança do website.
Essas funcionalidades são essenciais para garantir um monitoramento abrangente e proativo da segurança do website, permitindo a identificação de potenciais ameaças e a adoção de medidas preventivas para proteger a integridade e confidencialidade
dos dados.
DA PRESERVAÇÃO DOS RECURSOS TÉCNICOS E LEGADOS
Com vistas à preservação dos recursos técnicos e dispositivos de segurança que já existente no ambiente da CONTRATANTE, de forma a integrar e não conflitar com as políticas já implementada, instalada e em operação, a PROPONENTE deverá tomar todas as medidas com vistas a preservar as técnicas em funcionamento.
DA EXECUÇÃO DOS SERVIÇOS
O prazo para a implantação dos serviços será de:
Lote 1:
30 dias para que 100% estejam instaladas;
A implantação deverá ser definida em conjunto entre a PROPONENTE e a CONTRATANTE, conforme definição pela CONTRATANTE.
Lote 2:
45 dias para que 100% das localidades estejam instaladas;
A sequência de implantação deverá ser definida em conjunto entre a PROPONENTE e a CONTRATANTE, conforme prioridades definidas pela CONTRATANTE.
DAS QUANTIDADES
Lote | Descrição | Qtd. |
01 | Serviço de acesso a rede mundial de computadores – IP Dedicado 1Gbps | 01 |
02 | Serviço de Interconexão 1Gbps L3 (Lan To Lan) com garantia mínima de 50% | 71 |
02 | Serviço de Segurança de Rede de Última Geração – NG Firewall | 01 |
02 | Treinamento técnico certificado para a solução de segurança de redes de última geração | 02 |
02 | Serviço de Gestão de dispositivos, desktops, notebooks e servidores | 750 |
02 | Serviço de proteção contra virus, ransoware e artefatos maliciosos | 750 |
02 | Serviço avançado em nuvem de proteção de correio eletrônico | 300 |
02 | Serviço de proteção para websites e sistemas online | 01 |
PROPOSTA
lotes | Descrição Serviço | Valor mensal | Valor Anual |
01 | Contratação de empresa especializada para prestação de serviços de interconexões, segurança e gerenciamento de dispositivos, desktops, notebooks e servidores, sistema de proteção contra virus, ransoware e artefatos maliciosos, segurança avançada de serviço de e- mail e proteção de website e sistemas online. | ||
02 | Contratação de empresa especializada para prestação de serviços de Fornecimento de Link dedicado de DUPLA ABORDAGEM (ambas vias fibra-óptica) de acesso à rede mundial de computadores – Internet, com velocidade de 1Gbps (Um Giga), sem limite de tráfego, com garantia mínima de 99% da banda, ao menos 4 ip´s fixos em bloco IPV4 /29, num primeiro momento, o departamento de Tecnologia da Informação da PMAB não fará uso de bloco IPV6, no entanto, fica a proponente obrigada a fornecer a classe necessária ao projeto, caso o departamento requisite, compreendendo suporte técnico, incluindo serviço de cabeamento, instalação, gerenciamento, manutenção, fornecimento e configuração dos equipamentos a serem utilizados para a prestação do serviço contratado. |