TERMO DE REFERÊNCIA
Unidade Private Bank São Paulo, 10/03/2022
TERMO DE REFERÊNCIA
Contratação de Solução de TI disponibilizada na modalidade Software como Serviço (SaaS) para processamento e consolidação de portifólios de investimentos, contemplando manutenção, atualização de versões, suporte técnico e transferência de conhecimento, pelo período de 36 (trinta e seis) meses, prorrogáveis até 60 (sessenta) meses, nos termos e condições deste documento.
IMPORTANTE
O cronograma estipulado deverá ser cumprido rigorosamente pelos fornecedores. Eventuais modificações nos prazos poderão ocorrer a critério do Banco do Brasil.
Etapa | Data |
Publicação | 10/03/2022 |
Recebimento de dúvidas | 17/03/2022 |
Esclarecimento de dúvidas | 22/03/2022 |
Recebimento da Resposta | 25/03/2022 |
As dúvidas decorrentes da interpretação desta RFP deverão ser encaminhadas ao endereço eletrônico xxxxxx.xxxxxxx@xx.xxx.xx, sob o título: RFP 2022/1838
– Wealth Management – DÚVIDA. As mensagens deverão conter a identificação da empresa, o nome do responsável e telefone para contato. Os esclarecimentos às dúvidas serão divulgados por esta mesma via.
A resposta do fornecedor a esta consulta, por meio de Proposta Comercial, deve ser encaminhada em meio digital para os endereços eletrônicos citados acima, sob o título: RFP 2022/1838 – Wealth Management – RESPOSTA, juntamente com a planilha de Precificação e qualquer documentação adicional julgada necessária.
A Proposta Comercial deverá apresentar preços com formato da tabela apresentada no item 16 deste documento, impreterivelmente.
Apreciaríamos ainda, a apresentação, caso haja, de sugestões de qualquer natureza, inclusive com indicação de cenários alternativos que possam vir a configurar melhoria e/ou vantajosidade ao Banco do Brasil.
TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE SOLUÇÕES DE TI
1) Objeto:
Contratação de Solução de TI disponibilizada na modalidade Software como Serviço (SaaS) para processamento e consolidação de portifólios de investimentos, contemplando manutenção, atualização de versões, suporte técnico e transferência de conhecimento, pelo período de 36 (trinta e seis) meses, prorrogáveis até 60 (sessenta) meses, nos termos e condições deste documento.
1.1) Países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados
1.1.1) Os serviços deverão ser prestados em datacenters localizados no Brasil, ou em países onde há convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados.
1.1.2) A relação de países que atualmente possuem convênios celebrados entre o Banco Central do Brasil e os bancos centrais e autoridades supervisoras desses países, os quais podem ser alterados a critério da autarquia, está disponível no endereço eletrônico no sítio do Banco Central do Brasil xxxx://xxx.xxx.xxx.xx/xxx/xxxxxxxxxx/xxxxxxxxxxxxx.xxx?xxxxxxXXXXXXXXX OSFN.
2) Especificações do Edital
2.1) Ramo de atividade/Linha(s) de fornecimento de serviços (SICAF):
O fornecedor deverá estar cadastrado para a linha de fornecimento compatível com o objeto licitado.
2.2) Prazo de Validade das Propostas: 120 (cento e vinte dias) dias corridos.
2.3) Documentação Técnica:
2.3.1) A Proponente deve apresentar ao responsável pela licitação, após habilitação e negociação, a seguinte documentação:
2.3.1.1) Declaração que assegure:
a) ter experiência com Bancos, Asset Management ou Wealth
Management de grande porte e mínimo de 5 anos de atuação com soluções de consolidação e processamento de portfólio;
b) o cumprimento da legislação em vigor, conforme disposto na Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018;
c) o acesso do Contratante aos dados e às informações a serem processados e armazenados pela Proponente;
d) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processadas e armazenados pela Proponente;
e) o acesso do Contratante aos relatórios elaborados por empresa de auditoria especializada e independente contratada pelo Proponente, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;
f) o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
g) a identificação e a segregação dos dados dos clientes do Contratante por meio de controles físicos ou lógicos;
h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes do Contratante.
2.3.1.2) Certificações com validade vigente na data de assinatura do contrato, referentes à infraestrutura do data center e da Solução:
a) ISO/IEC 27001:2013 - Especifica as Melhores práticas para o Gerenciamento e Controles de Segurança da Informação;
b) ISO/IEC 27017:2015 - Certifica a implementação de Controles de Segurança da Informação específica para nuvem;
c) ISO/IEC 27018:2014 - Assegura Informação Pessoal Identificável (Personally Identifiable Information - PII) na nuvem;
d) As certificações poderão ser apresentadas nas suas versões originais em inglês.
2.3.2) Alternativamente às certificações, a Proponente poderá demonstrar que atende a todos os objetivos e controles das normas, mediante apresentação de políticas, procedimentos e outros documentos. A Proponente deverá ainda, apresentar documentação auxiliar com a sinalização ponto a ponto, da seção e página da documentação técnica que comprova o atendimento de cada requisito das certificações.
2.3.3) Em caso de empresa representante do fabricante, a Proponente deverá comprovar:
a) ser representante oficial e autorizada a comercializar os serviços do fabricante. Essa comprovação deverá ser feita por meio de declaração do fabricante ou indicação da URL do site oficial desse;
b) que terá acesso ao suporte do provedor, quando necessário, sem custos
adicionais para a Contratante, de forma a garantir os níveis mínimos de serviço exigidos previstos neste documento. Essa comprovação deverá ser feita por meio de declaração do provedor ou através do site oficial deste, sendo indicada a URL do site.
2.3.4) Em caso da Proponente ser empresa representante, os documentos deverão ser apresentados em nome do fabricante, sendo facultado ao Contratante promover diligência destinada a esclarecer ou complementar informações.
2.3.5) Na etapa de CONTRATAÇÃO, todos os documentos emitidos em língua estrangeira deverão ser entregues acompanhados da tradução para língua portuguesa, efetuada por tradutor juramentado.
2.3.6) Prazo para apresentação: 5 (cinco) dias úteis após a convocação da licitante vencedora.
2.3.7) Prazo para análise: até 5 (cinco) dias úteis após a entrega de todos os documentos exigidos.
2.3.8) A comprovação acima deverá ser efetuada antes da assinatura do contrato, em até 48 horas após a convocação pelo responsável técnico pela licitação e a documentação encaminhada para caixa postal eletrônica indicada no edital.
2.4) Etapa de Homologação
2.4.1) Os requisitos técnicos descritos neste documento deverão ser comprovados por meio de documentos a serem apresentados junto com a documentação solicitada para a habilitação (qualificação técnica). Os requisitos funcionais serão avaliados por meio de procedimento específico (Teste de Bancada), em que a solução será testada em tempo real.
2.4.2) A homologação dos requisitos (Teste de Bancada) ocorrerá após o aceite da documentação comprobatória da habilitação e é essencial para que o Proponente detentor da proposta classificada em primeiro lugar seja declarado vencedor.
2.4.3) A homologação visa comprovar se solução tecnológica, de fato, atende aos requisitos especificados neste documento.
2.4.4) Para conduzir a homologação dos requisitos o Contratante designará uma equipe técnica.
2.4.5) Após o aceite da documentação comprobatória da habilitação, o Proponente deverá informar, no prazo de até 03 (três) dias úteis, o endereço eletrônico (URL) na Internet pelo qual a solução será acessada e homologada, assim como eventuais chaves de acesso (usuários e senhas).
2.4.6) A sessão dos Testes de Bancada ocorrerá de forma on-line, com duração máxima de 20 (vinte) dias úteis, com a possibilidade de serem prorrogados a critério do Contratante, e serão integralmente documentados.
2.4.7) Caso o Contratante dê causa a qualquer atraso ou interrupção no período de realização da sessão de testes de bancada, os prazos poderão ser prorrogados. Da mesma forma, casos de força maior poderão justificar a prorrogação de prazo.
2.4.8) O início dos testes ocorrerá após a licitante vencedora atender ao item 2.3.6) Prazo para apresentação e após conclusão da análise prevista no item 2.3.7) constantes deste documento.
2.4.9) Para realização dos testes das funcionalidades, um ou mais representantes da Proponente, com perfil técnico, deverá comparecer à sessão on-line para aferição dos requisitos solicitados pela equipe técnica do Contratante.
2.4.10) Iniciada a sessão, o(s) representante(s) da Proponente deverá(ão) efetuar todos os procedimentos solicitados pela equipe técnica respondendo a dúvidas e questionamentos da equipe com finalidade de verificar se a solução atende aos requisitos.
2.4.11) O caderno de testes será produzido pela Contratante, baseado nos requisitos constantes deste documento. Ao lado de cada requisito haverá um campo onde a equipe técnica informará o atendimento ou não ao requisito avaliado, podendo a equipe incluir algum comentário que julgue pertinente no caso do não atendimento a determinado requisito.
2.4.12) Ao final, o caderno de testes será assinado pelos membros da equipe técnica e comporá a documentação do certame.
2.4.13) Caso a equipe técnica constate que a solução tecnológica não atende a um ou mais requisitos, a Proponente será desclassificada e eliminada do processo licitatório. A Proponente será igualmente desclassificada caso não envie seus representantes à sessão; não disponibilize as informações requeridas para realização dos testes no prazo estipulado; não informe, no prazo definido, o endereço eletrônico (URL) na Internet pelo qual a solução possa ser acessada e homologada; ou não disponibilize eventuais chaves de acesso (usuários e senhas).
2.4.14) No caso do licitante detentor da proposta classificada em primeiro lugar ser desclassificado, será convocado o próximo licitante detentor de proposta válida, obedecida a classificação na etapa de lances, até que um licitante cumpra os requisitos previstos neste documento e seja declarado vencedor.
2.4.15) O horário de trabalho da equipe do Contratante alocada para apoiar os testes e avaliar as funcionalidades é de 9h às 12h e de 14h às 19h, em dias úteis.
2.4.16) Prazo para análise: 10 (dez) dias úteis.
3) Subcontratação / Parcela(s) de maior relevância para o ramo da empresa contratar
3.1) Não será permitida subcontratação para a prestação dos serviços de manutenção, atualização tecnológica e implantação com configurações iniciais da Solução.
3.2) Não será considerada subcontratação a contratação através de representante comercial ou revenda autorizada pela fabricante da Solução. Neste caso, os deveres do representante comercial ou revenda autorizada se equiparam aos do fabricante da Solução, ambos tratados neste documento como Proponente.
4) Garantia Financeira da Execução Contratual
4.1) Será exigida no percentual equivalente a 5% do valor do contrato.
4.2) A garantia financeira visa cobrir custos em caso de inexecução contratual.
5) Especificações técnicas e condições de prestação dos serviços
5.1) Definição
5.1.1) Os itens do objeto desta licitação são compreendidos resumidamente da seguinte forma:
5.1.2) A solução deverá ser ofertada na modalidade de SaaS (Software as Service), ou seja, a Proponente deverá disponibilizar o direito ao Contratante ao uso da solução pelo período de vigência do contrato e deverá prover a infraestrutura para armazenamento e processamento da informação e consoles de consulta em estrutura própria com acesso pela internet, incluindo suporte técnico, manutenção, atualização tecnológica e implantação com configurações iniciais.
5.1.3) Transferência de Conhecimento com o objetivo de auxiliar o Contratante na internalização do conhecimento técnico e operacionalização da solução.
5.2) Dos requisitos funcionais e não funcionais
5.2.1) A solução descrita no item 1 deverá ser fornecida em sua integralidade, ou seja, sem limitação de uso das funcionalidades disponibilizadas pelo fabricante, exceto pelos quantitativos e limites contratados.
5.2.2) Entre os requisitos apresentados pela solução, mas não se limitando a, estão:
5.2.2.1) Requisitos Funcionais
5.2.2.1.1) A solução deverá gerar relatórios que tragam as informações de posição, rentabilidade, risco, movimentações e liquidez do portfólio dos investimentos dos clientes e dos ativos de cada portfólio. Esses relatórios deverão ser disponibilizados para consulta pelos funcionários da Contratante e para assegurar que todas as informações necessárias sejam apresentadas são requeridos os seguintes requisitos:
Apresentação do asset allocation considerando a explosão dos fundos exclusivos de a) investimentos: Carteira de Investimento + FIC/FI dentro do mesmo portfólio (“A carteira compra o fundo exclusivo explodido”) ou modelo que permita avaliar na visão de classe de ativos a combinação dos ativos fora do fundo exclusivo com os ativos dentro do fundo exclusivo; |
Boletador que permita, através das informações de movimentos (Compras/Vendas/Eventos/Outros), a realização do cálculo para todos os ativos financeiros (Ativos e Derivativos) e Não-Financeiros (Ativos contemplados cotas de fundos, previdência, b) títulos públicos, títulos privados (CRA’s, CRI’s, Debêntures), operações de tesouraria própria e de terceiros (LF, LCA, LCI, LIG, CDB, RDB, Compromissadas, outras...), ações, ETF’s, FII’s, FIDC’s, FIP’s, BDR’s, Swap’s, Opções, Termo, Futuros, COE, ativos genéricos, participações societárias, imóveis, bens móveis e ativos offshore (Bonds, TD, CD, Hedge Funds, Mutual Funds, Ações etc); |
Módulo de compliance que permite a definição de regras e a criação de um cockpit, onde c) possam ser monitoradas informações como ausência de cotas em uma determinada data e outras inconsistências; |
d) Módulo que permita o reprocessamento de datas passadas dos portfólios de forma individual ou massificada de acordo com as regras definidas pelo Contratante; |
e) Motor de cálculo próprio ou de terceiros e base de dados de preços e eventos de mercado para os ativos: Cotas de Fundos de Investimentos e Fundos de Previdência; Títulos Públicos; Títulos Privados (CRA, CRI, Debênture); Operações de Tesouraria própria e de terceiros (LF, LCA, LCI, LIG, LC, CDB, RDB, compromissadas etc); Ações, FII, ETF’s e BDR’s; FIDC’s, FIP’s; Swap, Opções, Termo e Futuros; COE; Ativos Genéricos; Participações Societárias, Imóveis, bens móveis; Offshore (Bonds, TD, CD, Hedge Funds, Mutual Funds, Ações etc). |
Base robusta de dados para os preços de títulos públicos e privados de renda fixa: Opção de f) precificar os ativos pela curva de emissão do papel (PU Par), a mercado (Anbima) e pela curva de compra; |
Base de Dados para o tratamento de eventos de mercado de renda fixa como pagamento de g) proventos/juros, amortizações e outros, com possibilidade de cadastramento de eventos ocorridos de forma extraordinária; |
Base de dados para o tratamento de eventos de mercado de renda variável como Pagamento h) de JCP/Dividendos, Fração, Subscrição, Bonificação, Troca de Ticker, Agrupamento/Desdobramento, e outros eventos; |
i) Cálculo de derivativos e apresentação dos resultados em relatórios (Swap, Opções, Termo e Futuros); |
j) Criação (simulação) de carteiras teóricas, possibilitando a comparação com os portfólios dos clientes na visão de alocação e resultado; |
k) Possuir as seguintes variáveis para subsidiar a gestão de risco dos portfólios: VAR, Beta, volatilidade, índice de sharpe; |
l) Relatório com a atribuição de performance dos portfólios em qualquer período desejado (A partir da data de início do portfólio); |
m) Tratamento automático de eventos de mercado, com impacto nas cotas das carteiras detentoras desses ativos, para ações e FII; |
n) Tratamento automatizado de toda cadeia de subscrição (Direito, Recibo, Exercício); |
o) Aluguel de ações nas cotas do portfólio (Cálculo da rentabilidade); |
p) Processamento diário das carteiras/cotas; |
q) Exibição de relatórios de performance em R$ e em % (Nominal e Relativo) em qualquer período desejado (Ano, Mês, 12m, 24m, 36m, 48m, 60m, Personalizado); |
r) Consolidação das posições em multiníveis, iniciando pela operação/certificado, possibilitando a inclusão de várias camadas até chegar no nível da carteira (Pelo menos 5 camadas); |
s) Permitir a utilização das camadas (Classe de Ativo, Setor, Categoria, etc..) utilizadas pelo contratante; |
t) Permitir que dois ou mais portfólios sejam consolidados e processados de forma unificada (Visão grupo familiar); |
u) Permitir que um investidor com múltiplas contas possua um portfólio para cada conta, e mais um portfólio consolidador de todas as contas; |
v) Tratamento e acompanhamento de provisão de IRRF, IOF, gross up, come-cotas de forma automatizada; |
x) Relatórios com informações de liquidez, movimentação, posição, rentabilidade e risco do portfólio. |
z) Permitir o upload de arquivos com informações de ativos nos formatos xls, csv ou xml.
5.2.2.1.2) Os relatórios devem ser apresentados em formatos compatíveis com ferramentas de automação de escritório de mercado, tais como documentos de texto, planilhas eletrônicas e Portable Document File (PDF), com possibilidade de customizar telas de apresentação (layout) para fins de adequação à imagem da marca estabelecidos pela Contratante.
5.2.2.2) Requisitos Desejáveis
5.2.2.2.1) Além dos requisitos requeridos, são desejáveis:
i) Base de dados de preços e eventos de ativos offshore: Bonds, Funds, Equity, Commodities etc; |
ii) Portal Web com relatórios do portfólio (Posição, movimentos, liquidez, rentabilidade e risco), no qual o Contratante possa configurar o acesso e contas com permissão para acesso; |
Módulo para o gestor de portfólio que permita a comparação entre as carteiras teóricas, táticas iii) e o portfólio final dos clientes, avaliando variáveis como tracking error, erro quadrático médio, VAR e backtesting; |
iv) Variáveis para subsidiar a gestão de risco dos portfólios: atribuição/decomposição de Risco, Drawdown, Duration, RAR, Correlação, Sortino, Downside Risk; |
v) Opções de cálculo pelo método da cotização e pela TIR; |
vi) Permitir a exibição do portfólio em outras moedas; |
vii) Customização de benchmarks para exibição nos relatórios; |
viii) Relatórios de ativos não financeiros, como imóveis e participações societárias; |
ix) Relatório com o custo médio de aquisição das ações/FII; |
x) Histórico de cotas/preços para utilização no tratamento de informações gerenciais e análises (BI, Analytics). |
5.3) Definição das Responsabilidades do Contratante e da Proponente
5.3.1) A Proponente deverá entregar toda a documentação exigida pela Contratante para emissão do TERMO DE ACEITE, além de todo o material necessário para a correta utilização, parametrização, administração e integração.
5.3.2) A Proponente deverá disponibilizar, para uso pela Contratante, a última versão em produção da solução. As evoluções da ferramenta devem ser
disponibilizadas ao Contratante de forma automática e sem prejuízo das aplicações desenvolvidas em versões anteriores.
5.3.2) Caso seja detectado que os produtos não atendem às especificações técnicas do objeto contratado, poderá o Contratante rejeitá-los integralmente, obrigando-se a Proponente a providenciar a substituição dos softwares não aceitos no prazo de 7 (sete) dias úteis.
5.3.4) O aceite / aprovação dos softwares pelo Contratante não exclui a responsabilidade civil da Proponente por vícios de quantidade ou qualidade do produto ou disparidade com as especificações técnicas exigidas ou atribuídas pela Proponente verificados posteriormente, garantindo-se ao Contratante as faculdades previstas no art. 18 da Lei n° 8.078/90 (Código de Defesa do Consumidor).
5.3.5) A Proponente deve garantir que a legislação brasileira prevaleça sobre qualquer outra, de modo que o Contratante tenha todas as garantias legais enquanto tomador do serviço e proprietário das informações hospedadas na nuvem e deve atender os requisitos da Resolução Bacen 4.893 e aquelas que a sucederem.
5.3.6) Se solicitado pelo Contratante, a Proponente deve definir e apresentar os processos para identificação, notificação e gestão de incidentes de segurança da informação para assegurar respostas rápidas, efetivas e ordenadas.
5.3.7) Durante o período de vigência do contrato, a Proponente deve garantir que toda a documentação requerida pelo Contratante para facilitar a migração para outro provedor ou ambiente (incluindo documentação de configuração) será mantida atualizada e será entregue ao Contratante durante o processo de migração para outro provedor ou outro ambiente.
5.3.8) Todos os serviços de processamento / armazenamento de dados contratados deverão permitir a gestão dos dados transferidos, incluindo logs de acesso. Este requerimento está de acordo com as mais recentes regulamentações sobre o tema “Privacidade de Dados Pessoais” (Lei Geral de Proteção de Dados).
5.3.9) A Proponente declara conhecer e cumprir todas as leis vigentes envolvendo proteção de dados pessoais, em especial a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), comprometendo-se, assim, a limitar a utilização dos dados pessoais a que tiver acesso apenas para execução dos serviços deste documento, abstendo-se de utilizá-los em proveito próprio ou alheio, para fins comerciais ou quaisquer outros.
5.3.10) Se solicitado pelo Contratante, a Proponente deve demonstrar que possui procedimentos documentados e testados para resposta a incidentes, tanto no tratamento interno quanto nos contatos com cliente e mídia.
5.3.11) Se solicitado pelo Contratante, a Proponente deve estabelecer fluxo de acionamento e contato com a equipe de resposta a incidentes do Contratante para acionamento em caso de ataques cibernéticos.
5.3.12) A Proponente não pode veicular publicidade acerca do fornecimento de materiais, equipamentos ou serviços objeto deste documento, que envolva o nome do Contratante, salvo se houver autorização expressa deste.
5.3.13) A Proponente deve identificar e corrigir quaisquer problemas de segurança sem qualquer custo adicional para o Contratante.
5.3.14) A Proponente deve certificar que todos os dados e informações do Contratante hospedados no ambiente provido pela solução serão destruídos, sem possibilidade de recuperação, em até 30 (trinta) dias corridos após a migração total dos dados para outro ambiente, mediante autorização expressa do Contratante.
5.3.15) A propriedade dos dados e informações gerados pelo Contratante no ambiente provido pela solução, a qualquer momento, durante a vigência, término ou expiração do contrato, será exclusivamente do Contratante.
5.3.16) A Proponente deve indicar os países e a região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados. Caso ocorra alteração de região onde os serviços estão hospedados ou serão disponibilizados, a Contratante deverá ser previamente comunicado.
5.3.17) A Proponente deverá ajustar a possibilidade de, quando entender necessário, auditar e fiscalizar o estabelecimento e os mecanismos de tratamento de dados do subcontratado, com previsão da possibilidade de o Contratante ter acesso aos relatórios elaborados por auditoria especializada contratada às expensas da Proponente.
5.3.18) A Proponente deve garantir o acesso do Contratante as informações e recursos de gestão adequados ao monitoramento dos serviços prestados.
5.3.19) A Proponente deve permitir o acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e informações referentes aos serviços prestados, aos dados armazenados e às
informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações.
5.3.20) A Proponente garantirá a adequação e a adoção de medidas pelo Contratante, em decorrência de qualquer determinação do Banco Central do Brasil que impacte sobre o Contrato vigente.
5.3.21) A Proponente se obriga a manter o Contratante permanentemente informado sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor notificando o Contratante em até 24h após verificado.
5.3.22) Caso haja a decretação de regime de resolução do Contratante pelo Banco Central do Brasil:
a. Proponente se obriga a conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, que estejam em poder da Proponente;
b. A Proponente se obriga pela notificação prévia do responsável pelo regime de resolução sobre a intenção de a Proponente interromper a prestação de serviços, com pelo menos 30 (trinta) dias de antecedência da data prevista para a interrupção, observado que:
i. a Proponente obriga-se a aceitar eventual pedido de prazo adicional de 30 (trinta) dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e
ii. a notificação prévia deve ocorrer também na situação em que a interrupção for motivada por inadimplência do Contratante.
5.4) Implantação
5.4.1) A Proponente deverá no processo de Implantação:
5.4.1.1) Apresentar projeto de implantação contendo requisitos e cronograma detalhado por etapa (fases) para aprovação pela Contratante em até 15 (quinze) dias após a assinatura do contrato. A Contratante deverá aprovar o projeto em até 5 (cinco) dias úteis.
5.4.1.2) A etapa inicial consistirá na integração e parametrização da Solução para utilização pela Contratante. Para conclusão desta etapa a Proponente deverá:
a) Instanciar os ambientes de Produção, Homologação e Desenvolvimento da Solução;
b) Prover medidas de segurança previstas neste documento;
c) Integrar a Solução com os sistemas de autenticação da Contratante conforme especificações técnicas previstas neste documento;
d) Xxxxxxx e criar junto com a Contratante os perfis de usuários da Solução;
e) Efetuar parametrizações necessárias para utilização da Solução em conjunto com a Contratante.
5.4.1.3) A segunda etapa consistirá na carga de dados na Solução da Proponente e integração por API(s) com os sistemas da Contratante de forma que informações de ativos que compõem os portfólios / carteiras sejam carregadas na ferramenta de forma automática.
5.4.2) A Proponente deverá concluir a etapa inicial em até 90 (noventa) dias corridos, prorrogáveis conforme acordo entre as partes. A partir da conclusão desta etapa será iniciado o pagamento pela prestação dos serviços a serem contratados. Dentro desse prazo estão contempladas as atividades contidas no item 5.4.1.1), bem como entregues as funcionalidades previstas para o monitoramento da solução, tais como painéis de gestão para incidentes e problemas, monitoração e descrição dos canais de contato (pontos focais, meios de comunicação e tempo de resposta) que serão utilizados para reportar tempestivamente os incidentes.
5.4.3) A segunda etapa deverá ser concluída em até 270 (duzentos e setenta) dias corridos após a conclusão da etapa inicial, podendo ser prorrogada a critério da Contratante.
5.5) Condições de Atualização, Manutenção e Suporte Técnico:
5.5.1) A Proponente concederá ao Contratante serviços de atualização, manutenção e suporte técnico contra qualquer indisponibilidade, problema ou defeito que a solução tecnológica venha a apresentar, pelo prazo de vigência do contrato.
5.5.2) A atualização, manutenção e suporte técnico prestado pela Proponente, inclusive o acionamento do Fabricante quando for necessário, compreende, no mínimo:
5.5.2.1) Garantia de evolução do produto, repassando ao Contratante toda e qualquer atualização, melhoria ou correção introduzida nos produtos de software que componham a solução, bem como a catalogação de novas versões (releases), que contenham, além de outras, as funções dos produtos em questão, sem ônus adicional;
5.5.2.2) Manutenção preventiva e corretiva dos produtos, assim entendida a correção de erros de funcionamento ou desempenho inconsistente com as especificações técnicas;
5.5.2.3) Suporte técnico remoto de acordo com níveis que assegurem a disponibilidade e mantenham os softwares em perfeitas condições de uso;
5.5.2.4) Dotação do Contratante de toda e qualquer informação relativa ao funcionamento dos softwares, dirimindo as dúvidas ou problemas operacionais na sua utilização.
5.5.3) A qualidade de prestação dos serviços está descrita no Nível Mínimo de Serviços Exigidos (NMSE), no item 12 deste documento, descontado o tempo do Fabricante quando comprovado o acionamento.
5.5.4) Os serviços aqui descritos destinam-se a manter as funcionalidades do software em perfeitas condições de uso, incluindo ajustes e correções de bugs, mesmo que haja descontinuidade do licenciamento do software, de modo a garantir o pleno funcionamento de todas as ferramentas da solução.
5.5.5) A Proponente deverá garantir a compatibilidade das novas versões com as anteriores, permitindo a fácil migração das versões anteriores para essas novas versões, sem a necessidade de customizações e com manutenção da linha tecnológica adotada, bem como reaproveitamento total das parametrizações efetuadas na implantação inicial do sistema informatizado.
5.5.6) Em caso de alteração de versão de quaisquer softwares fornecidos na solução integrada que implique em deformação ou inabilitação das funcionalidades, a Proponente executará as alterações necessárias para manter o pleno funcionamento da solução, sem qualquer custo adicional para o Contratante.
5.5.7) A Proponente deve garantir ao Contratante o pleno acesso às consultas de quaisquer bases de dados disponíveis para usuários, às atualizações do software e/ou documentação do software que compõem a solução.
5.5.8) O serviço deverá estar disponível 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, inclusive feriados. O suporte técnico deverá estar disponível de segunda a sexta-feira, em horário a ser acordado com o Contratante, no intervalo entre 09h e 19h (horário oficial de Brasília-DF).
5.5.9) Em todas as atividades do serviço de atendimento e suporte técnico, os profissionais da Proponente deverão utilizar preferencialmente a língua portuguesa, exceto no uso de termos técnicos e na utilização de textos técnicos, que a critério do Contratante, poderão estar redigidos no idioma inglês.
5.5.10) A Proponente concederá à Contratante garantia de atualização de correções hotfixes e patches de segurança lançados pelo fabricante do software durante seu período de vigência contratual.
5.5.11) A Proponente disponibilizará acesso por meio eletrônico (Portal Web ou e-mail), que possibilite ao Contratante, no mínimo, as seguintes funcionalidades/informações:
5.5.11.1) Acompanhamento do ciclo de vida dos produtos, mantendo o Contratante informado sobre as datas previstas de fim do suporte e descontinuidade dos softwares. No caso de liberação de novas versões, ou descontinuidade dos produtos, o Contratante deve ser formalmente comunicado, em no máximo 30 (trinta) dias após a disponibilização das informações ao mercado, para mitigar impactos ou indisponibilidade da Solução;
5.5.11.2) Acesso às informações de licenciamento e benefícios de forma centralizada;
5.5.11.3) Boletim contendo a relação das atualizações disponibilizadas, com identificação especial às atualizações críticas;
5.5.11.4) Acesso a todos os chamados que foram abertos pelo Contratante, em todos os seus status.
5.5.12) A Proponente deve prestar os serviços para todo e qualquer um de seus softwares, produtos e soluções que o Contratante tem ou venha a ter direito de uso em função de alterações da política de licenciamento atual, estando todos os custos para realização dos serviços aqui descritos incluídos na proposta.
5.5.13) Em caso de descontinuidade de qualquer serviço ou perda das funcionalidades, a Proponente executará as alterações necessárias ao atendimento de todos os requisitos descritos neste documento, sem qualquer custo adicional para o Contratante.
5.5.14) A Contratada promoverá evoluções/atualizações na solução tecnológica no mínimo quadrimestrais ou tempestivamente, quando couber. Nesse caso, a Contratada deve comunicar formalmente ao Contratante a data e tempo necessários, antecipadamente.
5.6) Transferência de conhecimento para utilização da solução:
5.6.1) Deverão ser ofertadas turmas de transferência de conhecimento teóricos e práticos com o objetivo de assimilação de conceitos básicos de utilização, operacionalização e parametrização da ferramenta aos funcionários da Contratante, totalizando 120h, distribuídas conforme descrição a seguir:
5.6.2) 60h (sessenta horas) de transferência de conhecimento para operacionalização da ferramenta, compostas de 20h (vinte horas) de transferência de conhecimento para 3 (três) grupos de 10 (dez) pessoas;
5.6.3) 60h (sessenta horas) de transferência de conhecimento para grupo de 5 (cinco) pessoas para parametrização da solução. Exemplo: cadastrar novos ativos e outras funcionalidades;
5.6.4) Ser ministrada dentro do horário comercial, ou seja, das 08h00 às 18h00, horário de Brasília, GMT -03:00, possuir carga horária divididas em, no mínimo, 10 (dez) dias úteis e consecutivos e conter carga horária diária de, no máximo, 6h00 (seis horas), com intervalo de 15 (quinze) minutos.
5.6.5) A transferência de conhecimento deverá ser iniciada em até 01 (um) mês após a contratação de maneira que a equipe da Contratante esteja apta a utilizar os serviços tecnológicos contratados e a realizar as atividades sob sua responsabilidade.
5.6.6) Para consolidação da transferência de conhecimento, adicionalmente serão adotados os seguintes procedimentos complementares, sem prejuízo de outros:
5.6.6.1) Disponibilização de acesso para funcionários da Contratante à documentação no idioma português padrão Brasil relativa aos serviços tecnológicos contratados;
5.6.6.2) Disponibilização de material de apoio, guias, manuais de uso do serviço, de forma digital, fornecidos em sua própria plataforma no idioma português padrão Brasil.
5.6.7) A transferência de conhecimento poderá ser realizada de forma presencial em local a ser fornecido pela Contratante na cidade de São Paulo (SP) ou por videoconferência, no idioma português padrão Brasil, por técnicos que deverão possuir certificação, atestado ou declaração de capacidade técnica do fabricante da Solução de TI.
5.6.8) Deverá preferencialmente seguir um modelo de wokshop, podendo ser dividido em módulos de curta duração, contendo uma abordagem expositiva sobre um tema seguido de outra prática.
5.6.9) Quando ministrada através de videoconferência, deverá possibilitar a interação dos participantes através de chat, de modo que eles possam conversar entre si ou enviar perguntas ao palestrante da Proponente.
5.6.10) Deverão ser fornecidos certificados de participação para cada participante que obtiver 75% (setenta e cinco por cento) de presença.
5.6.11) A Contratante emitirá o “Termo de Aceite de Transferência de Conhecimento” após a constatação de que este tenha sido executado conforme especificado neste documento.
5.6.12) A Transferência de Conhecimento será realizada pelo Proponente, sem custos adicionais para o Contratante.
5.6.13) A Transferência de Conhecimento também deverá possibilitar acesso a documentação técnica da Solução contendo: a) Informações para configuração, diagnósticos, avaliações e resolução de problemas e demais atividades relacionadas à correta operação e funcionamento da Solução; e b) Melhores práticas na utilização da Solução.
5.6.14) O acesso à documentação técnica do fabricante deverá ser via internet, disponibilizada durante as 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, em todos os dias do ano.
5.6.15) A Proponente deverá disponibilizar acesso às informações relativas a defeitos (bugs) documentados pelo fabricante da Plataforma e informações relativas a diagnósticos e solução de falhas (troubleshooting).
5.6.16) O acesso à documentação técnica deverá ser disponibilizado sem custos adicionais ao Contratante.
5.6.17) Caso a Transferência de Conhecimento fornecida não atenda as especificações requeridas, a emissão do “Termo de Aceite da Solução” será suspensa até que a Proponente solucione os problemas detectados.
5.7) Medidas de Segurança para a transmissão e armazenamento de dados:
5.7.1) Conectividade e Redes
5.7.1.1) A comunicação da solução tecnológica da Proponente com a infraestrutura tecnológica da Contratante ocorrerá por meio da Internet. Para tanto, a solução da Proponente deve suportar o protocolo de comunicação HTTPS com TLS versão 1.2 ou superior.
5.7.1.2) A solução deve prover comunicação por meio de APIS REST, preferencialmente, e/ou SOAP para integração dos serviços da solução tecnológica com o ambiente tecnológico da Contratante.
5.7.1.3) A solução deve suportar a conexão com a Internet por meio do protocolo HTTP/2.0 e/ou superior para a comunicação com o usuário permitindo a interação com os principais navegadores disponíveis.
5.7.1.4) O(s) Data Center(s) onde a Solução estará hospedada deverá(ão) permitir o estabelecimento de conexões diretas e privadas com o(s) datacenter(s) do Contratante. A comunicação com a infraestrutura tecnológica da Contratante deve ocorrer por meio de enlace de rede dedicado (link dedicado) ou conexão privada VPN por meio da Internet, a critério da Contratante.
5.7.1.5) A solução tecnológica da Proponente deve suportar os certificados para conexão HTTPS por autoridade certificadora nativamente reconhecida pelos navegadores Microsoft Edge e Firefox.
5.7.1.6) A solução tecnológica deve suportar o protocolo SNMP - Simple Network Management Protocol com ferramentas de monitoração de mercado.
5.7.1.7) A solução tecnológica deve ser compatível com protocolo IP versões 4 e 6.
5.7.1.8) A solução tecnológica deve ser compatível com serviços DNS - Domain Name System.
5.7.1.9) A solução tecnológica deve ser compatível com TCP e UDP, permitindo a configuração do número da porta.
5.7.1.10) A solução tecnológica deve disponibilizar o balanceamento de carga.
5.7.1.11) A solução tecnológica deve suportar comunicação tipo Multicast entre os seus componentes e a rede corporativa da Contratante.
5.7.1.12) A solução tecnológica deve garantir que todos os componentes necessários para o seu pleno funcionamento (processamento, armazenamento e conexão interna de rede) estejam contidos na solução de forma a se ligar à rede corporativa da Contratante.
5.7.2) Outras medidas Segurança de Dados
5.7.2.1) A Proponente deve garantir que o serviço possua recursos de alta disponibilidade, além de sistemas para cópias de segurança, restauração de dados e auditoria.
5.7.2.2) A Proponente deve prover mecanismo de acesso protegido aos dados, por meio de criptografia, garantindo que apenas aplicações e usuários autorizados tenham acesso.
5.7.2.3) A Proponente deve dispor de recursos e soluções técnicas que garantam a segurança da informação dos dados do Contratante, incluindo os seguintes itens: solução de firewall contemplando, ao menos, controle de aplicação (aplication control), identificação de usuário, filtro de URL e controle de políticas de acesso; solução de firewall dedicado à proteção de ambiente virtualizado; solução de prevenção e detecção de intrusão (IDS/IPS), antivírus para servidores físicos e virtualizados, anti-malware, solução anti-DDoS, solução de gestão de logs e solução de gestão integrada de pacotes de correção (patches).
5.7.2.4) A Proponente deve preservar os dados do Contratante contra acessos indevidos e informar imediatamente e formalmente ao Contratante qualquer tentativa, inclusive por meios judiciais, de acesso a estes dados.
5.8) Alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.
5.8.1) A Proponente deverá garantir os itens abaixo especificados:
a) A Proponente deve garantir que, havendo interrupção contratual, caso seja necessária a migração dos dados, a Proponente deve possibilitar que as informações e dados do Contratante estejam disponíveis para transferência de localização em até 1 (um) dia útil ficando disponível até a total migração para a nova localização e sem custo adicional;
b) A Proponente deve dispor de meios que proporcionem portabilidade e tornem possível a migração dos serviços prestados e dados para outros provedores de serviços em nuvem ou para outro ambiente definido pelo Contratante, em prazo adequado e sem custo adicional, de modo a garantir a continuidade do negócio e possibilitar possível transição contratual.
5.9) Especificações técnicas
5.9.1) Gerenciamento de Acesso
5.9.1.1) A solução deve suportar o padrão SAML (Security Assertion Markup Language) versão 2 ou o protocolo de autorização OAuth 2.0/OpenID Connect de forma a permitir a integração como o Serviço de Gerenciamento de Acesso no modelo SSO - Single Sign-On.
5.9.1.2) A solução deve permitir a utilização de certificados digitais para autenticação mútua das instâncias de integração do tipo SSL/TLS versão 1.2 ou superior.
5.9.1.3) A solução deve integrar-se ao modelo CASB (Cloud Access Security Broker) da plataforma Microsoft.
5.9.1.4) A solução deve ser capaz de herdar e manter Token de Acesso de usuário de forma a gerenciar o acesso e autorizações dos usuários aos recursos providos pela solução tecnológica Proponente.
5.9.1.5) A solução deve suportar Certificados de chave pública de formato
X.509 versão 3 conforme RFC 5280 para fins de navegação na web autenticada e criptografada do tipo SSL/TLS versão 1.2 ou superior bem como na autenticação de cliente e assinatura de mensagens.
5.9.1.6) A solução deve gerenciar Certificados Digitais e manter armazenamento seguro dos Certificados e as respectivas chaves criptográficas para fins de assinaturas das mensagens trocadas entre a Contratante e a Solução Proponente. Para tanto, recomenda-se fazer uso da tecnologia de Hardware Security Modile - HSM ou armazenamento seguro em nuvem.
5.9.1.7) A mensagem de requisição aos serviços de autenticação e autorização deverá ser assinada digitalmente pela solução tecnológica para então ser encaminhamento ao Contratante. As respostas da Contratante às requisições do provedor também deverão ser assinadas digitalmente antes do envio.
5.9.1.8) Os serviços de autenticação e autorização, quando acionados, só irão responder às requisições da solução tecnológica da Proponente mediante confirmação positiva da assinatura digital. A solução tecnológica da Proponente só poderá liberar o recurso após a confirmação positiva da assinatura digital da mensagem pela Contratante.
5.9.1.9) A solução deve permitir o uso de verificadores de credenciais por múltiplo fator (MFA, 2FA) ou outro mecanismo adicional de autenticação.
5.9.2) Outras Especificações Técnicas
5.9.2.1) O fornecedor deverá trabalhar com três ambientes de monitoração distintos (Produção, Homologação e Desenvolvimento).
5.9.2.2 A solução deve disponibilizar uma visualização de forma clara e consolidada da quantidade de carteiras contratadas, a quantidade efetivamente em uso, a quantidade disponível para uso e a métrica de licenciamento.
6) Aspectos Tributários
6.1) Código do serviço indicado no evento CDA vinculado ao PBMS do objeto: 567 – Processamento de Dados – Cessão de Uso de Sistemas / Código: 1.05 - Licenciamento ou cessão de direito de uso de programas de computação. A Proponente deverá informar na proposta qual o código tributário será utilizado para faturamento dos serviços.
7) Cláusulas Contratuais
7.1) Condições de Pagamento
7.1.1) O pagamento será creditado em conta corrente mantida no Banco do Brasil S.A., em nome da Proponente, no 10º (décimo) dia útil do mês subsequente ao da prestação dos serviços, mediante a apresentação da respectiva nota fiscal/fatura ou recibo de prestação de serviços, que deverá:
a) Conter o número do Contrato, o objeto contratual e o mês da prestação dos serviços;
b) Conter a agência e o número da conta corrente;
c) Conter a indicação dos serviços prestados, a identificação das dependências (prefixo, nome e endereço) onde esses serviços foram efetivamente realizados, assim como os respectivos valores proporcionais, por documento fiscal.
8) Das sanções Administrativas e multas contratuais.
8.1) Além das infrações administrativas previstas em edital, nos termos da Lei nº 13.303/16 e do RLBB, a Proponente ficará sujeita, sem prejuízo da responsabilidade civil e criminal, às seguintes sanções:
8.1.1) Os atos praticados pela Proponente, prejudiciais à execução do contrato, sujeitam-na às seguintes sanções:
a) advertência;
b) multa;
c) suspensão temporária do direito de licitar e contratar com o BANCO, por período não superior a 2 (dois) anos;
8.1.2) Nenhuma sanção será aplicada sem o devido processo, assegurada a defesa prévia da Proponente no prazo de 10 (dez) dias úteis, sendo-lhe franqueada vista ao processo.
8.1.3) A aplicação das penalidades ocorrerá após defesa prévia da Proponente, no prazo de 5 (cinco) dias úteis a contar da intimação do ato.
8.2) Ressalvados os casos fortuitos ou de força maior e aqueles que não acarretem prejuízos para o Contratante, a advertência poderá ser aplicada quando ocorrer execução insatisfatória ou pequenos transtornos ao desenvolvimento deste Contrato, desde que sua gravidade não recomende a aplicação da suspensão temporária.
8.3) O Contratante poderá aplicar multa à Proponente nas situações, condições e percentuais indicados a seguir:
8.3.1) Em caso de atraso na apresentação ou integralização da garantia de execução contratual, será aplicada multa de: 0,5% (zero vírgula cinco por cento) sobre o valor total da garantia, por dia útil de atraso, até o limite de 10% (dez por cento);
8.3.2) Por inexecução total ou parcial do contrato correspondente a até 20% (vinte por cento) do valor da nota fiscal/fatura de serviços relativa ao mês em que ocorreu a irregularidade na execução dos serviços descritos na CLÁUSULA PRIMEIRA.
8.3.3) Multa de até 20% (vinte por cento) do valor do contrato, nas seguintes situações:
a) Apresentação de documentos falsos ou falsificados;
b) Xxxxxx injustificado na execução/conclusão dos serviços, contrariando o disposto no contrato;
c) Irregularidades que ensejem a rescisão contratual;
d) Condenação definitiva por praticar fraude fiscal no recolhimento de quaisquer tributos;
e) Prática de atos ilícitos visando prejudicar a execução do contrato;
f) Prática de atos ilícitos que demonstrem não possuir idoneidade para contratar com o Banco do Brasil S.A.;
g) Inadimplemento, por parte da Proponente, de obrigações trabalhistas e previdenciárias devidas aos seus empregados;
h) Descumprimento das obrigações, especialmente aquelas relativas às características dos serviços descritos neste documento.
8.3.4) Em caso de reincidência, o valor da multa estipulada no parágrafo anterior desta cláusula será elevado em 1% (um por cento) a cada reincidência, até o limite de 30% (trinta por cento) do valor do contrato.
8.3.5) A multa poderá ser aplicada cumulativamente com as demais sanções, não terá caráter compensatório, e a sua cobrança não isentará a Proponente da obrigação de indenizar eventuais perdas e danos.
8.3.6) A multa aplicada à Proponente e os prejuízos por ela causados ao Contratante serão deduzidos de qualquer crédito a ela devido, cobrados diretamente ou judicialmente.
8.3.7) A Proponente desde logo autoriza o Contratante a descontar dos valores por ele devidos o montante das multas a ela aplicadas.
8.4) A suspensão temporária poderá ser aplicada quando ocorrer:
a) Apresentação de documentos falsos ou falsificados;
b) Reincidência de execução insatisfatória dos serviços contratados;
c) Xxxxxx, injustificado, na execução/conclusão dos serviços, contrariando o disposto no contrato;
d) Reincidência na aplicação das penalidades de advertência ou multa;
e) Irregularidades que ensejem a rescisão contratual;
f) Condenação definitiva por praticar, por meios dolosos, fraude fiscal no recolhimento de quaisquer tributos;
g) Prática de atos ilícitos visando prejudicar a execução do contrato;
h) Prática de atos ilícitos que demonstrem não possuir idoneidade para contratar com o Banco do Brasil S.A.;
i) Inadimplemento, por parte da Proponente, de obrigações trabalhistas e previdenciárias devidas aos seus empregados;
j) Descumprimento das obrigações do Contrato, especialmente aquelas relativas às características dos serviços, previstas neste documento.
9) Definições do modelo de execução do contrato:
9.1) Rotinas de execução:
Prazos de fornecimento ou execução dos serviços | A partir da assinatura do contrato |
Horário de fornecimento dos bens ou prestação dos serviços | Prestação de Serviços: 24h por dia, 7 dias por semana |
Suporte Técnico: de segunda a sexta- feira, no intervalo entre 09h e 19h (horário oficial de Brasília-DF) | |
Local(is) de entrega | Centro de Tecnologia do Banco do Brasil, STN 716 Conjunto-C, 1º andar, Brasília-DF, XXX 00000-000. |
Local(is) da prestação de serviço | Os serviços serão prestados remotamente, salvo quando necessária intervenção no local de instalação, que coincide com o local de entrega, descrito acima. |
10) Definição de mecanismos formais de comunicação a serem utilizados para troca de informações entre a Proponente e a Administração, adotando-se preferencialmente as Ordens de Serviço ou Fornecimento de Bens.
10.1) A comunicação relativa à abertura e resolução de chamados está descrita nos
itens relativos ao cumprimento do NMSE.
10.2) As demais comunicações deverão ser realizadas em conformidade com o disposto pelo Fiscal de Contrato, que informará as formas de comunicação a serem adotadas após a assinatura do instrumento contratual.
10.3) A comunicações entre o Banco e a Proponente preferencialmente serão realizadas por meio eletrônico, cujos endereços serão informados no ato da contratação. Alternativamente, poderão adotar outros meios previstos na minuta contratual.
11. Aspectos de Segurança:
11.1) A Proponente deverá assinar Termo de Compromisso com o Sigilo da Informação (documento fornecido no processo de contratação), resguardando que os recursos, dados e informações de propriedade da Contratante, e quaisquer outros, repassados por força do objeto desta licitação e do contrato, constituem informação privilegiada e possuem caráter de confidencialidade.
11.2) A Proponente obriga-se por si, seus empregados, sócios, diretores e mandatários a manter total sigilo e confidencialidade dos serviços prestados ao Contratante no que se refere à não divulgação, por qualquer forma, de toda ou parte das informações ou documentos a ele relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados por força deste contrato. Também se compromete a respeitar as imposições relativas ao sigilo bancário as quais o Contratante está sujeito.
11.3) A Proponente poderá revelar as informações decorrentes deste contrato, exclusivamente, a seus prepostos e funcionários diretamente envolvidos nas atividades que fazem uso ou tenham acesso permanente ou eventual às mesmas.
11.4) A Proponente se obriga, ainda, a respeitar integralmente as normas de segurança estabelecidas pelo Contratante, zelando por sua integridade, mantendo xxxxxx e considerando confidenciais todos os dados e informações pertinentes aos serviços prestados.
11.5) A obrigação das partes de não divulgação das informações tidas como sigilosas e confidenciais sobreviverá à rescisão do contrato, até que ocorra a liberação pela parte proprietária das informações, por determinação judicial ou pela ocorrência dos eventos indicados neste contrato com liberadores dessa obrigação.
11.6) Não serão considerados confidenciais quaisquer documentos, dados ou informações do presente contrato, informações de domínio público, que a Proponente venha ter conhecimento lícito através de terceiros e aqueles que o Contratante vier a tornar públicos.
11.7) Para informações confidenciais referentes a programas licenciados, as obrigações estipuladas neste documento são por tempo indeterminado. Para todas as outras informações confidenciais, tais obrigações continuarão vigentes por um prazo de 5 (cinco) anos a partir da data da revelação inicial.
11.8) O Contratante analisará a eventual necessidade de liberação de acessos às dependências, equipamentos, softwares e sistemas que forem necessários ao cumprimento do objeto nos termos desta especificação.
11.9) Para tanto, a Proponente deverá disponibilizar previamente as informações necessárias para acesso aos ambientes e atender às normas e políticas de segurança utilizadas pelo Contratante.
11.10) A Proponente deverá assegurar que seus empregados estejam cientes e que devem obedecer às políticas de segurança de informações do Contratante e de garantir adequação às políticas estabelecidas.
11.11) O Contratante disponibilizará suas políticas de segurança de informações no endereço: xxx.xx.xxx.xx/xxx.
11.12) A Proponente irá gerenciar a segurança das informações e dados com os esforços necessários para restringir o acesso não autorizado. A Proponente fará os esforços necessários para garantir que seus empregados e representantes estejam
inteiramente cientes dos riscos associados com problemas e riscos inerentes à segurança da informação.
12) Nível Mínimo de Serviço Exigido (NMSE):
Escopo do Contrato | 12.1) A Proponente assumirá a inteira responsabilidade pelo funcionamento e disponibilidade dos serviços contratados e reconhece que o não atendimento dos níveis de serviços contratados pode resultar em impacto adverso aos negócios e nas operações do Contratante. 12.2) A Proponente deverá fornecer ID de acesso individual aos funcionários indicados pelo Contratante, para o acesso ao portal de abertura de incidentes. 12.3) A Proponente deverá utilizar ferramentas e procedimentos de avaliação e monitoração capazes de mensurar e reportar o desempenho dos serviços em relação aos níveis de serviço aqui estabelecido. 12.4) A Proponente ficará desobrigada do cumprimento dos níveis de serviço enquanto a prestação de serviços estiver prejudicada em função de impedimento ou retardo decorrente de responsabilidade comprovada do Contratante. 12.5) Os níveis mínimos de serviço têm como objetivo assegurar que a qualidade dos serviços prestados seja mensurada e entregue em conformidade com as necessidades do Contratante. 12.6) O NMSE descreve, também, a forma como os serviços serão medidos, controlados e acompanhados pela Contratante durante o período de vigência do contrato, assim como a definição dos acordos de Nível Mínimo de Serviço Exigido – NMSE desejados e suas respectivas penalidades. |
Regras de Aplicação de Multas | 12.7) No que diz respeito ao não atendimento das obrigações relativas aos níveis de serviço, a Proponente ficará sujeita à aplicação das penalidades descritas neste documento. Das sanções Administrativas e multas contratuais 12.8) Havendo descumprimento de qualquer nível de serviço, sem prejuízo da aplicação das sanções previstas, a Proponente deverá investigar e relatar as causas dos incidentes, bem como tomar medidas preventivas apropriadas para evitar reincidências. 12.9) As sanções por não atendimento dos níveis de serviços serão aplicadas cumulativamente com as demais sanções previstas no contrato, não tem caráter compensatório e sua cobrança não isenta a Proponente da obrigação de indenizar eventuais perdas e danos. |
Regras de Aplicação de | O não atingimento dos níveis de serviço aqui definidos (quebra de indicador) gerará direito, ao Contratante, de aplicação de descontos sobre os valores dos |
Descontos | pagamentos mensais devidos à Contratada. Estes descontos serão realizados conforme descrições abaixo. 12.10) O desconto total mensal será calculado pela soma de todos os descontos apurados em cada indicador. 12.11) Os descontos calculados para os níveis de serviço estão limitados a 20% do valor faturado mensal correspondente ao valor relativo ao produto que deu origem ao chamado que ensejou a quebra dos níveis de serviço. 12.12) Os descontos por não atendimento dos níveis de serviços serão aplicados cumulativamente com as demais sanções previstas no contrato, não terão caráter compensatório e sua cobrança não isentará a Proponente da obrigação de indenizar ao Contratante eventuais perdas e danos. 12.13) Os descontos podem ocorrer na forma de ressarcimento. 12.14) O valor total de desconto será́ igual aos valores provenientes de reivindicações de NMSE ao final de cada ciclo mensal, conforme regras a seguir: 12.14.1) Os descontos devem constar na fatura em até dois meses após período apurado; 12.14.2) Os créditos disponibilizados deverão ficar disponíveis para utilização do Banco do Brasil até o final da vigência do contrato. 12.15) Caso haja créditos remanescentes após a última fatura, será́ realizado o desconto do valor devido da garantia contratual ou devolvido diretamente pela Proponente. 12.16) Em caso de encerramento do contrato onde existam descontos e/ou outros valores pendentes de recebimento pelo Contratante, este poderá utilizar a garantia contratual ou ainda a Proponente deverá proceder com a devolução destes valores ao Contratante em, no máximo, 30 (trinta) dias, de forma complementar. 12.17) A Proponente não será responsabilizada por inatividade dos serviços no ambiente da nuvem ocasionadas por falha, interrupção ou qualquer outra ocorrência relacionada à prestação de serviços das empresas de telecomunicações ou energia elétrica. |
Disponibilidade do Serviço | 12.18) A disponibilidade pode ser especificada em percentagem de tempo ou como um período que é livre de falhas operacionais. É a disponibilidade que declara a vontade do Contratante sobre quanto o serviço deve estar operacional. 12.19) Os serviços prestados deverão estar disponíveis 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, inclusive feriados. 12.20) Indisponibilidade e inconsistência de dados e informações geradas pelo Contratante, infraestrutura e capacidade de ambiente de tecnologia do Contratante com ou sem auxílio de terceiros, inclusive o tempo necessário à |
restauração do ambiente após o restabelecimento das condições de operação, NÃO serão caracterizados indisponibilidade dos serviços ou inadimplemento da Proponente. | |
Acompanhamen to do Serviço | 12.21) A Proponente deve fornecer ao Contratante, ferramenta de monitoração (portal Web) para abertura de chamados e acompanhamento do serviço e de todos os indicadores aqui definidos. 12.22) A ferramenta de monitoração deve permitir visualização de, no mínimo: 12.22.1) Disponibilidade; 12.22.2) Incidentes (todo o ciclo de vida); 12.22.3) Incidentes de segurança; 12.22.4) Manutenções e atualizações (agendadas e realizadas) em tempo real e o seu histórico durante a vigência do contrato. 12.23) A Proponente deve consolidar e disponibilizar ao Contratante, via ferramenta Web, até o 10º (décimo) dia corrido do mês subsequente ao mês de referência, os relatórios com informações gerenciais e de acompanhamento do atendimento dos Níveis de Serviço contratados (ERG). 12.24) O formato do relatório será definido entre a Proponente e o Contratante, e deve prover, no mínimo, as informações especificadas no item RELATÓRIOS DE NÍVEIS DE SERVIÇO e indicador ERG deste documento. 12.25) Além dos relatórios mensais, a Proponente deve disponibilizar ao Contratante, a qualquer tempo, informações sobre a situação do atendimento do chamado técnico, bem como quaisquer outras informações sobre a situação e a solução. 12.26) Os NMSE definidos neste documento serão apurados mensalmente. 12.27) Sempre que necessário à avaliação do serviço e dos níveis de serviço contratados, o Contratante agendará uma reunião junto à Proponente, a ser realizada nas dependências do Contratante ou por videoconferência. |
Comunicação entre as Partes | 12.28) A qualquer momento a Proponente irá comunicar formalmente ao Contratante sobre quaisquer situações que afetem o serviço e o ambiente do PROVEDOR onde a solução encontra-se hospedada. 12.29) A Proponente, ao receber as comunicações por parte do Contratante, deverá observar o prazo de resposta e tomar as providências conforme orientado/solicitado no comunicado. |
Manutenção Programada e | 12.30) As paradas programadas para manutenção da solução, ajustes técnicos e atualizações estão sujeitas à aprovação do Contratante, e não são contabilizadas como período de indisponibilidade, desde que comunicadas com antecedência |
Emergencial | mínima de 7 (sete) dias e que o Contratante autorize. 12.31) As interrupções programadas devem ser realizadas prioritariamente no horário de 23h às 06h, em dias não úteis, e não podem ultrapassar o período de 7 (sete) horas de interrupção. Caso este período seja ultrapassado será aberto um incidente de Severidade Urgente, e o prazo excedente será contabilizado para efeito dos indicadores deste documento. 12.32) As intervenções emergenciais decorrentes da necessidade de preservação da segurança da solução devem ser informadas com antecedência mínima de 1 (uma) hora. Devem ser apresentadas as evidências que comprovem a necessidade das intervenções emergenciais. 12.33) Caso o Contratante não seja comunicado no prazo estabelecido ou não concorde com o agendamento da manutenção, a interrupção ou degradação do serviço será considerada como indisponibilidade no cálculo dos Níveis de Serviço. | ||
Suporte ao Cliente | 12.34) O serviço de atendimento para abertura de chamados deverá estar disponível 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, inclusive feriados. O suporte técnico deverá estar disponível de segunda a sexta-feira, no intervalo entre 09h e 19h (horário oficial de Brasília-DF). O suporte estará disponível para atendimento por 5 (cinco) dias da semana. O horário de trabalho de cada profissional técnico da Proponente deverá ser estabelecido antes do início da prestação do serviço e alterações deverão ser previamente acordadas entre o Contratante e a Proponente, com antecedência mínima de 30 (trinta) dias corridos. 12.35) O serviço deverá ser prestado através de um portal de serviços de suporte técnico da Proponente, devendo ter ao menos um meio de contingência, como e- mail ou telefone. 12.36) Não existirão limitações ao número de acionamento ou horas de suporte. As informações prestadas para a abertura do chamado serão no idioma português padrão Brasil. 12.37) Os chamados de suporte técnico serão classificados por severidade, de acordo com o impacto no ambiente computacional da Contratante, de acordo com a classificação de severidade a seguir: | ||
Severidade | Descrição | ||
A (Crítica) | Serviço indisponível: O serviço está indisponível com número significativo de u afetados ou causando impacto crítico aos negócios. Quebra de Segurança Extrema: Há uma quebra de segurança, causando grande prejuízo financ vazamento de informações classificadas ou risco de imagem grave | ||
B (Alta)
Serviço com disponibilidade intermitente:
O serviço apresenta falhas de funcionamento, sem causar interrupção, mas afeta significativamente o seu desempenho, caus impacto significativo aos usuários e ao negócio.
Quebra de Segurança crítica:
Há uma quebra de segurança, causando prejuízo financeiro médi vazamento de informações classificadas, porém não confidenciai risco de imagem médio.
C (Média)
D (Baixa)
Serviço disponível com comportamento anormal:
O serviço está disponível, porém apresenta problemas de configur ou de provisionamento. O problema gera impactos operacionais usuários e aos negócios, de forma moderada a pequena.
Quebra de Segurança Moderada:
Há uma quebra de segurança moderada, causando prejuízo finan baixo ou vazamento de informações não classificadas ou risc imagem baixo.
Dúvidas, problemas na utilização, esclarecimentos da document sugestões, solicitações de desenvolvimento de novas característica melhorias. Impacto mínimo aos usuários e aos negócios.
Quebra de segurança mínima, não causando prejuízo financeiro, vazamento de informações ou sem risco de imagem.
12.38) O suporte deve ser realizado por atendente devidamente treinado e com capacidade técnica suficiente para solução do problema, ou encaminhamento deste para área responsável, no idioma português padrão Brasil.
12.39) O chamado permanecerá aberto até que a Proponente solucione o incidente e providencie o encerramento do chamado com o aceite da Contratante. Para dar a concordância no fechamento do chamado, a Contratante verificará se o incidente foi solucionado. Caso não tenha sido, o chamado permanecerá aberto e contando tempo para medição dos níveis de serviços.
12.40) A Proponente também deverá permitir que o Contratante consulte chamados já fechados (histórico de chamados).
12.41) A Proponente deverá disponibilizar, a qualquer tempo, informações ao Contratante, por meio de portal Web e/ou pela sua central de atendimento, sobre o atendimento do chamado técnico, diagnóstico, providências adotadas e/ou implementadas.
12.42) A Severidade do chamado somente poderá ser alterada para nível mais baixo que o nível atual com o respectivo aceite do Contratante e, neste caso, o prazo para solução do incidente contará a partir da abertura original do chamado. Caso o impacto de um incidente já aberto evolua para uma Severidade mais alta, a Severidade deve ser alterada para refletir a nova situação e, neste caso, o prazo para solução do incidente contará a partir da alteração da Severidade.
12.43) Chamados cuja solução dependa de correção de falhas (bugs) ou da
liberação de novas versões e patches de correção, desde que comprovados e justificados pelo fabricante da solução e que não prejudiquem o ambiente de produção do Contratante poderão ser fechados. | |
Relatórios de Níveis de Serviço | 12.44) A Contratada deverá utilizar ferramentas e procedimentos de avaliação e monitoração capazes de avaliar e reportar o desempenho dos serviços em relação aos níveis de serviço estabelecidos, consolidando e entregando ao Contratante relatórios com informações gerenciais e de acompanhamento do atendimento dos níveis de serviço contratados, contendo as informações solicitadas nos indicadores especificados neste documento. 12.45) A Contratada deverá consolidar e disponibilizar os relatórios na internet (portal Web) e/ou por e-mail para que possam ser consultados, sempre que se julgar necessário, pelo Contratante, durante a vigência do contrato. 12.46) O formato do relatório deverá ser definido entre a Contratada e o Contratante e deverá prover, no mínimo, as seguintes informações: i) Relatório de Chamados Atendidos no mês, contendo no mínimo: a) Número de abertura do chamado (ID/PROTOCOLO); b) Data e hora de abertura/reabertura do chamado; c) Data e hora do início do atendimento; d) Data e hora da apresentação da solução; e) Data e hora da aplicação da solução (contorno ou definitiva); f) Tipo de solução aplicada (contorno ou definitiva); g) Identificação do funcionário que registrou o chamado (BANCO); h) Identificação do técnico da Contratada responsável pelo atendimento ao chamado; i) Data e hora do fechamento do chamado; j) Nível de Severidade; k) Descrição do Problema; l) Descrição da Solução dada ao problema; m) Tempo de recuperação operacional (TRO); n) Tempo excluído (tempo com pendência do Banco do Brasil, a ser validado); o) Situação do Chamado (Status); p) Serviço Impactado. ii) Relatórios Gerenciais de Segurança, contendo no mínimo (incluir, conforme criticidade do serviço): a) Informações sobre os eventos detectados; b) Informações sobre as ações executadas; c) Data e hora do evento; d) Data e hora do início do atendimento; e) Data e hora do término do atendimento; f) Descrição do evento; g) Informações sobre o usuário ou aplicação origem do evento. Outros |
12.47) Encaminhar mensalmente o relatório sobre o tratamento dos dados, conforme o item Dados constante em OUTRAS DEFINIÇÕES SOBRE ACORDO DE SERVIÇOS. |
Definições dos Indicadores de nível de serviço:
Indicador 1 | ||||
12.48) Descrição | Disponibilidade – DSN Este indicador calcula o percentual total de tempo em que a solução/produto esteve disponível para ao Contratante durante o mês, considerando o horário de operação definido. | |||
12.49) Métrica | DSN = TO - (TF - TE) x 100 TO - TE DSN = % de Disponibilidade TO = Tempo total que a solução deve estar disponível para o Contratante, no mês. Medido em minutos. TE (1) = Tempo excluído: Tempo total, em minutos, gastos em paradas autorizadas e/ou de responsabilidade comprovada do Contratante. TF = Tempo de falha: somatório de períodos de indisponibilidade do serviço, em minutos. (1) Tempo validado pelo Contratante | |||
12.50) Periodicidade de Medição | Mensal | |||
12.51) Meta | 98,00% - Nesse caso, tolera-se indisponibilidade que corresponde a 14,4 horas por mês. | |||
12.52) Descontos | ||||
DSN | Evento de quebra da meta | |||
Entre 97,99% e 96,99% | 2% | |||
Entre 96,98% e 95,98% | 4% | |||
Igual ou menor que 95,97% | 8% | |||
Indicador 2 | ||||
12.53) Descrição | Tempo de Atendimento -TA Representa o tempo máximo tolerado pelo Contratante para início do atendimento técnico por parte da Proponente | ||
12.54) Métrica | TA = (DHI –DHA) - TE, sendo: TA = Tempo de Atendimento DHI = Data, hora e minuto do início do atendimento técnico. DHA = Data, hora e minuto da abertura da ocorrência. TE (1) = Tempo excluído: Tempo total, em minutos, causado por impedimento ou retardo de responsabilidade do Contratante. (1) Tempo validado pelo Contratante | ||
12.55) Periodicidade de Medição | Mensal e por evento | ||
12.56) Meta | |||
Severidade | TA | ||
A | Em até 2 horas úteis | ||
B | Em até 5 horas úteis | ||
C | Em até 24 horas úteis | ||
D | Em até 5 dias úteis | ||
12.57) Descontos | |||
Severidade | Evento de quebra da meta | ||
A | 1,00% | ||
B | 0,50% | ||
C | 0,25% | ||
D | 0,10% | ||
Indicador 3 | |||
12.58) Descrição | Entrega de Relatórios – ERG Verificar se o relatório gerencial de acompanhamento mensal dos níveis de serviço foi entregue no prazo estipulado. | |||||||||||
Verificar | se | o | relatório | gerencial | de | segurança | e | relatório | de | testes | de | |
vulnerabilidades foram entregues no prazo estipulado. | ||||||||||||
12.59) Métrica | ERG = DEE –DPE DPE = Data programada da entrega. DEE = Data da efetiva entrega. | |||||||||||
12.60) Periodicidade de Medição | Mensal | |||||||||||
12.61) Meta | 10º (décimo) dia corrido do mês subsequente ao mês de referência. | |||||||||||
12.62) Descontos | 1% por dia de atraso | |||||||||||
Indicador 4 | ||||||||||||
12.63) Descrição | TEMPO DE RECUPERAÇÃO OPERACIONAL – TRO Representa o tempo máximo tolerado pelo Contratante para restabelecimento operacional do serviço interrompido, seja solução temporária ou definitiva. O prazo de solução depende da criticidade do incidente e será contado a partir da abertura do chamado técnico. | |||||||||||
12.64) Métrica | TRO = (DHR – DHA) - TE, sendo: DHR = Data, hora e minuto do encerramento da ocorrência. DHA = Data, hora e minuto da abertura da ocorrência; TE2 = Tempo excluído: tempo total, em dias, causado por impedimento ou retardo de responsabilidade do Contratante. 1 contabilizado em minutos. | |||||||||||
2 tempo validado pelo Contratante. Serão consideradas no computo do tempo, os minutos decorridos durante o horário de suporte definido neste NMSE. | |||||||||||
12.65) Periodicidade de Medição | Mensal e por evento | ||||||||||
12.66) Meta | |||||||||||
Severidade | TRO (Meta) * | ||||||||||
A | em até 5 horas | ||||||||||
B | em até 12 horas | ||||||||||
C | em até 3 dias úteis | ||||||||||
D | em até 10 dias úteis | ||||||||||
12.67) Descontos por Xxxxxxxxxx | |||||||||||
Severidade | Evento de quebra da meta | Persistência de quebra (hora ou fração) | |||||||||
A | 5,0% | 0,50% | |||||||||
B | 2,0% | 0,30% | |||||||||
C | 0,50% | 0,15% | |||||||||
D | 0,10% | 0,10% | |||||||||
Indicador 5 | |||||||||||
12.68) Descrição | INDICADOR INÍCIO DA PRESTAÇÃO DOS SERVIÇOS – IPS Este indicador verifica se o prazo estipulado para início do Serviço, conforme estipulado no contrato, foi cumprido. A Contratada deve providenciar acesso ao Contratante aos serviços nos ambientes previstos, com as parametrizações iniciais da solução para o início da utilização pela Contratante, com as funcionalidades previstas, bem como, ao suporte técnico, com os requisitos solicitados, no prazo acordado. Este indicador será contabilizado a partir da data de assinatura do contrato, até a efetiva entrega e operacionalização do serviço. Será excluído do tempo final o prazo de aceite e o prazo de pendência comprovada do Contratante (TE). | ||||||||||
12.69) Métrica | IPS = (DIE – DPE) - TE, sendo: DPE = Data assinatura do Contrato DIE = Data de concessão de acessos e início efetivo do serviço. TE(1) = Tempo excluído (de responsabilidade comprovada). 1 tempo validado pelo Contratante | ||||||||||
Evento | Evento de quebra da meta | Persistência de quebra (por dia) |
Desconto sobre a fatura mensal | 1,00% | 0,10% |
Única
12.72) Descontos
90 (noventa) dias corridos após assinatura do contrato.
12.71) Meta
12.70) Periodicidade de Medição
OUTRAS DEFINIÇÕES SOBRE ACORDO DE SERVIÇOS
Segurança da Informação e Cibernética | 12.73) A Proponente deve possuir um Sistema de Gestão de Segurança da Informação que considere, no mínimo: a) Política de Segurança da Informação e Cibernética, contento: b) Diretrizes para os controles de acesso físico e lógico; c) Classificação e tratamento da informação; d) Programa de capacitação e treinamento de colaboradores; e) Gestão de continuidade da Segurança da Informação; f) Gestão de riscos de segurança da informação; g) Trilhas de auditoria (logs); h) Programa de desenvolvimento de código seguro; i) Política de gestão de fornecedores (terceirização); j) Diretrizes para a gestão de capacidade; k) Diretrizes para a gestão de mudanças; l) Gestão de vulnerabilidades técnicas; m) Recursos criptográficos; n) Gestão de cópias de segurança (backup); o) Gestão de Segurança de Dados: Garantir o Backup dos dados; Garantir a portabilidade dos dados; Garantir a Confidencialidade e a Integridade dos dados. 12.74) Sistema de gestão de incidentes de segurança da informação, contendo, no mínimo: a) Procedimento de monitoramento de eventos; |
b) Procedimento de registro de incidentes; c) Procedimento de resposta a incidentes; d) Procedimento de responsabilização e; e) Continuidade de negócios. o Garantir a portabilidade da solução entre nuvens ou para o ambiente tecnológico (on-premise) da Contratante; o Garantir a disponibilidade dos serviços; o Garantir a recuperação dos dados perdidos. A Contratada em conjunto com o PROVEDOR deve prover a capacidade de proteção contra malwares e ameaças cibernéticas ficando a forma de evidenciação da exigência pré-acordada entre as partes podendo ser: uma carta de listagem dos mecanismos utilizados assinado pela Contratada e o PROVEDOR; ou a prova do serviço contratado em conjunto com a solução e operacional na Nuvem. | |
Auditoria | 12.75) A Proponente disponibilizará/viabilizará ao Contratante a possibilidade de realizar auditoria na solução. O Contratante comunicará formalmente a Proponente com antecedência mínima de 30 (trinta) dias o escopo da auditoria e quem realizará de forma a possibilitar à Proponente a preparação da solução/ambiente para auditoria. 12.76) Se o prazo acordado não for o suficiente, a Proponente poderá pedir mais prazo e dependerá da aceitação da Contratante. 12.77) Os relatórios gerados são de conhecimento exclusivo da Contratante, cabendo a esta decidir se apresenta à Proponente. 12.78) Quando a Proponente realizar auditoria na solução deverá: a) Pedir autorização ao Contratante; b) Informar o escopo da auditoria; c) Informar quem realizará a auditoria (Empresa/Auditor); d) Informar a data de realização da auditoria; e) Informar o prazo de duração da auditoria; f) Informar o prazo para o conhecimento do Relatório de Auditoria; g) Classificar o Relatório como Confidencial cabendo o conhecimento deste exclusivamente ao Contratante, além das partes envolvidas que devem assinar previamente à Proponente. 12.79) Apresentar o Relatório de Auditoria em até 10 dias úteis após o |
conhecimento deste por parte da Proponente e, preferencialmente, anexar o Plano de Ação que trata das recomendações de Auditoria. 12.80) Se o Plano de Ação não for apresentado em conjunto com o Relatório de Auditoria, a PROPOENTE terá 5 (cinco) dias úteis a contar da data de recebimento do Relatório de Auditoria pelo Contratante para apresentá-lo. 12.81) O Plano de Ação gerado em função das recomendações da Auditoria deve ser aceito formalmente pelo Contratante não impedindo a Proponente em realizar as correções, quando houver, para os apontamentos de criticidade CRÍTICA e ALTA. | |
Log(s) | 12.82) A Proponente deve garantir a proteção aos registros de Logs de forma a manter a integridade e permitir o acesso apenas de leitura. 12.83) A Proponente deverá manter os registros de LOGs por, no mínimo 60 (sessenta) meses. 12.84) A Proponente deve manter o serviço de sincronia de fuso horário com o Sistema Operacional ou com serviço confiável a fim de garantir a correto fuso horário e a Hora Legal Brasileira. 12.85) As informações a serem mantidas como logs são: a) de todas as transações contendo: • usuário requisitante (ID e nome); • tipo de evento; • tipo de conta (perfil/autorização) do usuário; • data da ocorrência (timestamp do fato); • data da finalização da interação do usuário (timestamp conforme Hora Legal Brasileira); • IP de Origem, • funcionalidade requisitada, • arquivos acessados; • arquivos anexados; • arquivos baixados; • tipo de evento; • mensagem/tipo de erro (se for o caso). |
b) transações de acesso ao sistema com sucesso; c) tentativas de acesso por ataques ou invasões; d) tentativas de acesso não autorizados: • ações dos usuários rejeitadas ou processadas com falhas. e) Registros de segurança como: • cadastramento de autorizações de usuários; • Alteração de senha de usuário. f) Registros de Alertas (quando houver). 12.86) A Proponente deverá disponibilizar no mínimo relatórios de LOG(s) conforme a necessidade da Contratante a pedido ou mensalmente. 12.87) A não entrega dos relatórios de LOG(s) em até 10º (décimo) dia corrido do mês subsequente ao mês de referência sujeita a Proponente à multa conforme o indicador ERG. 12.88) A Proponente poderá manter funcionalidade de consulta/busca de informações de LOGs de acesso como funcionalidade de gerenciamento na WEB de uso restrito da Contratante. 12.89) Os registros de LOG deverão ser mantidos para fins de consulta por 6 meses, estando a PROPOENTE autorizada a excluir os registros que ultrapassarem esse prazo. | |
Testes de Vulnerabilidades | 12.90) Poderá ser exigido da Proponente, durante a vigência do contrato, até 5 (cinco) testes de vulnerabilidade. Após a comunicação da exigência por escrito, a Proponente terá até 10 (dez) dias úteis para disponibilizar o resultado com, no mínimo, as seguintes informações: • Data de realização do teste; • Empresa responsável pela aplicação do teste; • Pessoa responsável pela aplicação do teste; • Local/forma de aplicação do teste; • Objetivo do teste; • Tipo de Teste; • Serviço testado; |
• Número de contrato vinculado ao Serviço testado: • Tempo de Teste; • Quantidade de Teste; • Relação das vulnerabilidades classificadas como Crítica e Alta e as respectivas ações de correção/mitigação; • Parecer do técnico responsável pelo teste; • Plano de Ação de correção das vulnerabilidades encontradas; • Relatório resultado do teste (anexar ao relatório de encaminhamento). 12.91) O relatório de vulnerabilidades se sujeita ao indicador Entrega de Relatórios – ERG. O Plano de Ação deve ser aceito formalmente pelo Contratante, não impedindo a Proponente em de realizar as correções para as vulnerabilidades de criticidade CRÍTICA e ALTA. 12.92) Quando o Contratante for o responsável por realizar os testes de vulnerabilidades para a solução, este entregará o relatório à Proponente que terá 10 (dez) dias para apresentar o Plano de Ação, que deverá ser analisado e aceito formalmente pelo Contratante, não impedindo a Proponente em realizar as correções para as vulnerabilidades de criticidade CRÍTICA e ALTA. | |
Responsabilidades | 12.93) A Proponente deve utilizar ferramentas, instrumentos e procedimentos de avaliação e monitoração para reportar o desempenho do serviço em relação aos níveis de serviços estabelecidos. 12.94) A Proponente é responsável por gerenciar e monitorar todos os incidentes identificados, sendo estes relatados ou não pelo Contratante, além de prover um canal de suporte para informar ao Contratante tempestivamente qualquer ocorrência que possa afetar o serviço contratado. 12.95) A Proponente deve ajustar a prestação do serviço para atender atualizações decorrentes de alterações da legislação, tanto em âmbito nacional quanto internacional, no prazo estabelecido pelo legislador. 12.96) Qualquer alteração do contato do Suporte Técnico (URL, endereço de e-mail ou número de telefone) deve ser notificada antecipadamente pela Proponente ao Contratante. 12.97) Sempre que for necessária a alteração e exclusão de produtos e funcionalidades da Solução, a Proponente deve informar ao Contratante com, no mínimo, 1 (um) mês de antecedência. |
Dados | Ciclo de vida dos Dados 12.98) No término do Contrato, a Contratada providenciará ao Contratante uma forma de realizar/viabilizar a migração dos dados conforme definido neste documento. 12.99) Ao término do contrato e após a autorização da Contratante, a Contratada deverá excluir da base de dados mantida pela solução, preferencialmente utilizando o padrão da NIST 800-88 ou equivalente. |
13) Matriz de Riscos
Os riscos decorrentes de fatos supervenientes à contratação, associados à escolha da solução de projeto básico pelo Banco, deverão ser alocados como de sua responsabilidade na matriz de riscos, a qual deverá conter, no mínimo, as informações abaixo (art. 83 do RLBB):
a) listagem de possíveis eventos supervenientes à assinatura do contrato, impactantes no equilíbrio econômico-financeiro da avença, e previsão de eventual necessidade de prolação de termo aditivo quando de sua ocorrência;
b) estabelecimento preciso das frações do objeto em que haverá liberdade das contratadas para inovar em soluções metodológicas ou tecnológicas, em obrigações de resultado, em termos de modificação das soluções previamente delineadas no anteprojeto ou no projeto básico da licitação;
c) estabelecimento preciso das frações do objeto em que não haverá liberdade das contratadas para inovar em soluções metodológicas ou tecnológicas, em obrigações de meio, devendo haver obrigação de identidade entre a execução e a solução pré-definida no anteprojeto ou no projeto básico da licitação.
MATRIZ DE RISCOS PADRÃO
CATEGORIA DO RISCO | DESCRIÇÃO | CONSEQUÊNCIA | ALOCAÇÃO DO RISCO |
Risco atinente ao Tempo da Execução | Atraso na execução do objeto contratual por culpa do Contratado. | Aumento do custo do produto e/ou do serviço. | Proponente |
Fatos retardadores ou impeditivos da execução do Contrato próprios do risco ordinário da atividade empresarial ou da execução. | Aumento do custo do produto e/ou do serviço. | Proponente | |
Fatos retardadores ou impeditivos da execução do Contrato que estejam na álea econômica. | Aumento do custo do produto e/ou do serviço. | Contratante |
Risco da Atividade Empresarial | Alteração de enquadramento tributário, em razão do resultado ou de mudança da atividade empresarial, bem como por erro do Proponente na avaliação da hipótese de incidência tributária. | Aumento ou diminuição do lucro do Proponente. | Proponente |
Variação da taxa de câmbio. | Aumento ou diminuição do custo do produto e/ou do serviço. | Proponente | |
Elevação dos custos operacionais para o desenvolvimento da atividade empresarial em geral e para a execução do objeto em particular, tais como aumento de preço de insumos, prestadores de serviço e mão de obra. | Aumento do custo do produto e/ou do serviço. | Contratante |
CATEGORIA DO RISCO | DESCRIÇÃO | CONSEQUÊNCIA | ALOCAÇÃO DO RISCO |
Riscos Trabalhistas e Previdenciários | Responsabilização do BB por verbas trabalhistas e previdenciárias dos profissionais do Proponente alocados na execução do objeto contratual. | Geração de Custos trabalhistas e/ou previdenciários para o BB, além de eventuais honorários advocatícios, multas e verbas sucumbenciais. | Proponente |
Risco Tributário e Fiscal (Não Tributário). | Responsabilização do BB por recolhimento indevido em valor menor ou maior que o necessário, ou ainda de ausência de recolhimento, quando devido, sem que haja culpa do BB. | Débito ou crédito tributário ou fiscal (não tributário). | Proponente |
Risco Legal | Violação de dados pessoais de terceiros identificado e identificáveis por falha de segurança técnica e administrativa | Penalidades por infringência à Lei Geral de Proteção de Dados | Proponente |
Violação de dados pessoais de terceiros identificado e identificáveis por descumprimento de orientações do Contratante. | Penalidades por infringência à Lei Geral de Proteção de Dados | Proponente | |
Violação de dados pessoais de terceiros identificado e identificáveis por descumprimento das normas de proteção de dados. | Penalidades por infringência à Lei Geral de Proteção de Dados | Proponente |
14) Vigência contratual.
O instrumento contratual terá vigência de 36 (trinta e seis) meses, prorrogáveis até 60 (sessenta) meses.
15) Xxxxx Xxxxxx:
Serão exigidos, no mínimo 90 dias de aviso prévio.
16) Proposta
16.1) Informações que deverão constar da carta proposta:
16.1.1) Valor do licenciamento do Software como Serviço – SaaS para consolidação e processamento de portfólios de investimento - até 10.000 carteiras. A parcela mensal deve contemplar: suporte técnico, carga de dados, instalação, parametrização, customização dos relatórios, integração por APIs e transferência de conhecimento, conforme tabela a seguir:
Número de parcelas | Valor Parcela mensal – R$ | Total – R$ |
36 | ||
Valor Total | ||
16.1.2) Gentileza informar faixas de desconto em função dos quantitativos acionados, conforme previsão de utilização contida na tabela do item 1 deste documento.
Para a precificação considerar a seguinte especificação: Usuários Habilitados: 200 (duzentos)
Conexões simultâneas: 50 (cinquenta)
Gentileza informar na proposta os países onde serão/poderão ser processados os serviços.
16.2) Todas as despesas inerentes a tributos e serviços agregados deverão estar inclusas nos valores apresentados na proposta comercial.
16.3) A proposta deverá conter declaração da Proponente de que se encontra apta a prestar todos os serviços pertinentes ao produto ofertado e às regras de negócio envolvidas. Os preços informados deverão ser expressos em moeda corrente nacional, neles inclusos os acréscimos e despesas, como impostos, sem inclusão de qualquer encargo financeiro ou previsão inflacionária.
16.4) Nos preços que forem ofertados estarão incluídos todos os custos com salários, encargos sociais, previdenciários e trabalhistas de todo o pessoal da Proponente, aluguéis, administração, impostos, taxas, emolumentos e quaisquer
outros custos que, direta ou indiretamente, se relacione com o fiel cumprimento pela Proponente de suas obrigações.