CONDIÇÕES GERAIS DE LICITAÇÃO
CONDIÇÕES GERAIS DE LICITAÇÃO
EDITAL PARA PREGÃO, NA FORMA ELETRÔNICA, Nº 837/2022
A COMPANHIA RIOGRANDENSE DE MINERAÇÃO (CRM), sociedade de economia mista, com sede na cidade de Porto Alegre/RS, situada na Xxx Xxxxxxxx, xx 000, Xxxxxx Xxxxxx Xxxx, xxxxxxx xx Xxxxxxxxx designado pela Instrução de Serviço nº 024/19, torna público pelo presente Edital de Licitação, regido pelas disposições das Leis Federais nº 13.303/2016, 13.709/2018 e 10.520/2002, pelo Decreto Estadual 42.434/2003, pelas Leis Estaduais nº 13.191/2009 e 11.389/1999, regulamentada pelo Decreto nº 42.250/2003, atualizado pelo Decreto nº 45.680/2008, e pelo Regulamento Interno de Licitações e Contratos da CRM, que realizará certame licitatório na modalidade PREGÃO, na forma eletrônica, para a contratação do objeto abaixo descrito. A Sessão de disputa ocorrerá no dia
14 de julho de 2022, às 09h30min
(Horário de Brasília - DF)
1 - DO OBJETO
O objeto da presente licitação está descrito no Anexo I – Folha de Dados.
2 - DA OBTENÇÃO DO EDITAL
O edital de licitação com seus elementos constitutivos, poderá ser obtido no endereço eletrônico xxx.xxx.xx.xxx.xx, no "link" licitações.
3 - DA PARTICIPAÇÃO
3.1 Poderá participar desta licitação, qualquer pessoa jurídica cujo objeto social seja compatível com o objeto da licitação e que atenda a todas as exigências estabelecidas neste Edital e seus Anexos.
3.2 Caso a licitação ocorra em ambiente eletrônico, cabe à licitante providenciar seu login e senha de acesso junto à Gerência de Suprimentos da CRM.
3.3 Não poderá participar desta licitação a licitante enquadrada nas seguintes hipóteses:
i. Declarada inidônea por qualquer ente público, em qualquer esfera da Administração;
ii. Inscrito no Cadastro de Fornecedores Impedidos de Licitar e Contratar com a Administração Pública Estadual – CFIL/RS;
iii. Inscrito no CADIN/RS, nos termos da Lei nº 10.697/1996 do art. 4º do Decreto nº 36.888/1996.
iv. Com decretação de falência, em processo de recuperação judicial ou extrajudicial;
v. Submisso a concurso de credores, em liquidação ou em dissolução;
vi. Em que o proprietário, sócio ou administrador com poder de direção, preste serviços ou desenvolva projeto no órgão ou entidade da Administração Pública Estadual em que familiar exerça cargo em comissão ou função de confiança, na forma do art. 8°, do Decreto n° 48.705/2011;
vii. Em que o ramo de atividade não seja pertinente ou compatível com o objeto desta licitação
viii. Cooperativas de trabalho, considerando a vedação contida no art. 5° da Lei Federal n° 12.690/2012, salvo se legalmente viável.
ix. Não estar cadastrada junto à CRM e credenciada para operar no sistema eletrônico;
x. Reunião de empresas em consórcio, ainda que controladoras, coligadas ou subsidiárias entre si.
xi. A empresa da qual empregado da CRM seja sócio, dirigente ou responsável técnico;
xii. Ter contrato rescindido com Órgão ou Entidade da Administração Pública direta ou indireta, por inadimplência.
xiii. Constituída por sócio de empresa que estiver suspensa, impedida ou declarada inidônea;
xiv. Cujo administrador seja sócio de empresa suspensa, impedida ou declarada inidônea;
xv. Constituída por sócio que tenha sido sócio ou administrador de empresa suspensa, impedida ou declarada inidônea, no período dos fatos que deram ensejo à sanção;
xvi. Cujo administrador tenha sido sócio ou administrador de empresa suspensa, impedida ou declarada inidônea, no período dos fatos que deram ensejo à sanção;
xvii. Que tiver, nos seus quadros de diretoria, pessoa que participou, em razão de vínculo de mesma natureza, de empresa declarada inidônea;
xviii. Cujos sócios sejam associados ao autor do Projeto Básico/Termo de Referência em outras sociedades, bem como demais hipóteses do art. 44 da Lei federal nº 13.303, de 30 de junho de 2016;
xix. É vedada, igualmente, a participação de empregado, diretor ou conselheiro da CRM, como licitante, na condição de pessoa física ou autônoma.
3.4 Para fins do disposto no subitem 3.3 considera-se participação indireta a existência de qualquer vínculo de natureza técnica, comercial, econômica, financeira ou trabalhista.
3.5 A participação na presente licitação implica a aceitação plena e irrevogável de todos os termos, cláusulas e condições constantes deste Edital, bem como a observância dos preceitos legais e regulamentares em vigor e a responsabilidade pela fidelidade e legitimidade das informações e dos documentos apresentados em qualquer fase do procedimento.
3.6 Nenhum licitante poderá participar desta licitação com mais de uma proposta.
3.7 A apresentação da proposta será a evidência de que o Licitante examinou e aceitou completamente as normas desta Licitação e que obteve da CRM todos os esclarecimentos satisfatórios à sua confecção, inclusive referente às normas, instruções e regulamentos necessários.
3.8 Não serão consideradas pela CRM reclamações e/ou reivindicações posteriores de qualquer espécie, sob a alegação da falta de conhecimento da natureza do objeto, bem como das condições da localidade em que os mesmos serão executados/fornecidos.
4 - DO CREDENCIAMENTO
4.1 - No caso de pregão, na forma eletrônica, as empresas não cadastradas deverão providenciar o seu cadastramento e habilitação inicial junto ao Pregão Online Banrisul (xxxxx://xxxxxxxxxxxxxx.xxx.xx/xxxxxxxxxxxx), aonde será atribuída a chave de identificação e de senha, pessoal e intransferível.
4.2 - A perda da senha ou a quebra de sigilo deverão ser comunicadas imediatamente à CRM, para imediato bloqueio de acesso.
4.3 - Contatos e informações poderão ser obtidas junto à Gerência de Suprimentos da CRM. Outras informações também poderão ser obtidas no site da CRM (xxx.xxx.xx.xxx.xx) em CREDENCIAMENTO.
5 - DO ENVIO DA PROPOSTA
5.1 - A participação no Pregão dar-se-á mediante a digitação da senha privativa da licitante e subsequente envio da proposta, a partir da publicação da licitação no Diário Oficial do Estado e
disponibilização do Edital no site xxx.xxx.xxx.xx, link “licitações”, até a data e horário previstos para a abertura, exclusivamente por meio do sistema eletrônico.
5.2 - A proposta deverá ser encaminhada digitalmente, conforme o modelo indicado no ANEXO III, e deverá conter:
5.2.1 - o preço global, obedecido o disposto no ANEXO II – termo de referência – expresso em reais com 2 (duas) casas decimais, nele inclusas todas as despesas nas quais o fornecedor deverá incorrer para o adimplemento contratual, em especial com transporte, embalagem, seguros, encargos sociais, fiscais, comerciais, previdenciários, trabalhistas e outros pertinentes ao objeto licitado, enfim, não restando nenhuma importância adicional devida pela CRM, seja a que título for;
5.2.2 – a indicação das alíquotas de ICMS, ICMS em substituição tributária e IPI incidentes;
5.3 - O prazo de validade da proposta será de 60 (sessenta) dias.
5.4 - Todas as propostas deverão contemplar o percentual de ICMS incluso no preço, e quando de fora do RS, incluir também a diferença de alíquota interna e interestadual, tanto para empresas enquadradas na modalidade geral como optantes pelo simples nacional.
5.4.1. A licitante deverá observar, se for o caso, a Instrução Normativa RE n° 039/16, de 1°/08/2016.
5.5 - É facultado às licitantes substituírem suas propostas até o início da sessão do pregão eletrônico.
5.6 - A licitante será responsável por todas as transações que forem efetuadas em seu nome no sistema eletrônico, assumindo como firmes e verdadeiras as suas propostas e lances.
5.7 - Incumbirá à licitante acompanhar as operações no sistema eletrônico, durante a sessão pública do Pregão, que só estará concluída depois de declarado o vencedor e encerrado o prazo para manifestação de intenção de interposição de recurso, ficando responsável pelo ônus decorrente da perda de negócios, diante da inobservância de quaisquer mensagens emitidas pelo sistema ou de sua desconexão.
6 - DO JULGAMENTO DAS PROPOSTAS E FORMULAÇÃO DE LANCES
6.1 - O Pregoeiro e/ou comissão de licitação verificará as propostas apresentadas, desclassificando aquelas que não estejam em conformidade com os requisitos estabelecidos neste Edital.
6.2 - O sistema ordenará automaticamente as propostas classificadas, sendo que somente estas participarão da fase de lances.
6.3 - Iniciada a etapa competitiva, as licitantes deverão encaminhar lances exclusivamente por meio do sistema eletrônico e nele será registrado o seu recebimento, o respectivo horário de registro e o valor.
6.4 - As licitantes poderão oferecer lances sucessivos, observando o horário fixado e as regras da sua aceitação.
6.5 - A licitante somente poderá oferecer lance inferior ao último por ela ofertado e registrado pelo sistema.
6.6 - Não serão aceitos dois ou mais lances do mesmo valor, prevalecendo aquele que for recebido e registrado em primeiro lugar.
6.7 - Durante o transcurso da sessão pública, as licitantes serão informadas, em tempo real, do valor do menor lance registrado que tenha sido apresentado pelas demais licitantes, vedada a identificação do detentor do lance.
6.8 - No caso de desconexão com o Pregoeiro e/ou comissão de licitação, no decorrer da etapa competitiva do Pregão, o sistema eletrônico poderá permanecer acessível às licitantes para a recepção dos lances.
6.9 - Quando a desconexão persistir por tempo superior a 10 (dez) minutos, a sessão do Pregão será suspensa e terá reinício somente após comunicação expressa do Pregoeiro e/ou comissão de licitação aos participantes.
6.10 - A etapa de lances da sessão pública será encerrada por decisão do Pregoeiro e/ou da comissão de licitação, mediante encaminhamento de aviso de fechamento iminente dos lances, após o que iniciará o tempo randômico, período de tempo de até 30 (trinta) minutos, aleatoriamente determinado pelo sistema eletrônico, findo o qual, será automaticamente encerrada a recepção de lances.
6.11 - Serão desconsideradas quaisquer alternativas de preço ou qualquer outra condição não prevista neste Edital.
6.12 - Encerrada a etapa competitiva e ordenadas as ofertas, pelo critério do menor preço, o Pregoeiro e/ou comissão de licitação verificará a aceitabilidade da proposta de valor mais baixo, decidindo motivadamente a respeito.
6.13 - Não poderá haver desistência dos lances já ofertados, sujeitando-se a proponente desistente às penalidades previstas neste Edital.
6.14 - Caso haja licitante que se enquadre como microempresa - ME ou empresa de pequeno porte - EPP que tenha apresentado lance até 5% (cinco por cento) superior ao da licitante de proposta de menor preço, desde que esta também não se enquadre como ME ou EPP, ser-lhe-á dada oportunidade de, no prazo máximo de 5 (cinco) minutos, ofertar nova proposta que deverá ser inferior àquela, nos termos dos arts. 44, § 2º, e 45 da Lei Complementar nº 123/2006 e art. 34 da Lei nº 11.488/2007.
6.15 - Será assegurado, como critério de desempate, preferência de contratação para as microempresas e empresas de pequeno porte, conforme a legislação acima referida.
6.16 - Sempre que ocorrer empate real de propostas encaminhadas por empresas de mesmo enquadramento e não houver formulação de lances, permanecendo o resultado de propostas empatadas em 1º lugar, o sistema procederá ao desempate de forma automática, via mensagem imediata, cuja identificação ocorrerá por meio do CNPJ e denominação do fornecedor sorteado.
6.17 - Para fins de preço total/global, a licitante que ofertar o menor lance deverá aplicar a redução percentual do preço total/global aos valores unitários, sendo que eventuais arredondamentos não poderão resultar em aumento do preço final.
6.18 - O Pregoeiro e/ou comissão de licitação poderá negociar com a licitante que apresentar o menor valor, para que seja obtida redução de preço.
6.19 - Da sessão pública eletrônica do Pregão, será lavrada ata circunstanciada, contendo, sem prejuízo de outros, o registro das licitantes credenciadas, das propostas apresentadas, na ordem de classificação, e dos recursos interpostos.
6.20 - O Pregoeiro e/ou comissão de licitação poderá suspender, cancelar ou reabrir a sessão pública a qualquer momento.
6.21 Todas as referências de tempo citadas no aviso da licitação, neste Edital, e durante a sessão pública, observarão obrigatoriamente o horário de Brasília/DF e serão registradas no sistema eletrônico e na documentação relativa ao certame.
7 - DA HABILITAÇÃO
7.1 - Os documentos exigidos para habilitação serão apresentados preferencialmente por meio eletrônico (cópias digitalizadas), após a solicitação do Pregoeiro no sistema eletrônico, durante a sessão. Posteriormente, serão remetidos em original ou em cópia autenticada em Cartório competente, no prazo de 02 (dois) dias úteis após encerrado o prazo para o envio dos documentos, para o seguinte endereço: Xxx Xxxxxxxx 000, Xxxxxx Xxxxxx Xxxx, Xxxxx Xxxxxx/XX, XXX 00000-000.
7.2 - Para a habilitação serão avaliados os seguintes documentos:
7.2.1 – relativa à regularidade fiscal:
a) Prova de regularidade para com a Fazenda Federal, compreendendo a Certidão Conjunta Negativa de Débitos relativos a Tributos Federais, à Dívida Ativa da União e às Contribuições Sociais;
b) Prova de regularidade para com a Fazenda Estadual do domicílio ou sede da licitante;
c) Prova de regularidade para com a Fazenda Municipal do domicílio ou sede da licitante;
d) Certidão de Regularidade para com o Fundo de Garantia por Tempo de Serviço (FGTS).
7.2.2 – relativa à regularidade trabalhista:
a) Certidão Negativa de Débitos Trabalhistas (CNDT), que poderá ser obtida nas páginas eletrônicas do Tribunal Superior do Trabalho (xxxx://xxx.xxx.xxx.xx), do Conselho Superior da Justiça do Trabalho (xxxx://xxx.xxxx.xxx.xx) e dos Tribunais Regionais do Trabalho na Internet, as quais manterão hiperlink de acesso ao sistema de expedição.
7.2.3 – relativa à qualificação econômico-financeira:
a) Certidão Negativa de Falência ou Concordata expedida pelo Distribuidor do Foro da sede da pessoa jurídica.
b) Balanço patrimonial e demonstrações contábeis, inclusive notas explicativas, do último exercício social, já exigíveis e apresentados na forma da lei, que comprovem a boa situação financeira da empresa, vedada a sua substituição por balancetes ou balanços provisórios;
c) Anexo II do Decreto estadual nº 36.601/1996 – Análise Contábil da Capacidade Financeira de Licitante;
OU, em substituição dos documentos das alíneas “7.2.3.b” e “7.2.3.c”:
d) Certificado de Capacidade Financeira de Licitantes, emitido pela Contadoria e Auditoria-Geral do Estado – CAGE/RS, disponível no site xxx.xxxxxx.xxxxx.xx.xxx.xx.
7.2.4 – relativa à qualificação Técnica:
a) Comprovar pertencer ao ramo de atividade pertinente ao objeto da contratação, através de cartão CNPJ, estatuto ou contrato social em vigor;
b) Comprovar aptidão do desempenho de atividade pertinente e compatível em tecnologia com a solução global especificada neste Termo de Referência. A comprovação deverá acontecer através de:
b.1) Apresentação de declaração do fabricante da solução ofertada no lote, garantindo que a empresa revendedora é capaz de fornecer, instalar, configurar e prestar suporte da solução ofertada, não implicando em perda de garantia no Brasil; e,
b.2) Comprovação de aptidão para o fornecimento licitado através da apresentação de no mínimo 2 (dois) Atestado(s) emitido(s) por pessoa jurídica de direito público ou privado, a quem preste ou tenha prestado serviço similar ao licitado, registrados nas entidades profissionais competentes, que comprove o regular fornecimento, instalação e configuração de solução de gestão/gerenciamento de vulnerabilidade, que compreenda no mínimo fornecimento e instalação dos produtos em quantidade igual ou superior aos os produtos e serviços do lote ofertado neste certame, sendo da mesma marca da solução que pretende fornecer à este órgão no âmbito da presente contratação.
c) A licitante deverá comprovar que possui em seu quadro de empregados, no mínimo 2 (dois) profissionais com certificação técnica oficial do fabricante da solução que pretende fornecer a este órgão no âmbito da presente contratação.
7 . 2 . 5 – relativa à capacidade jurídica:
a) Registro comercial, no caso de empresa individual;
b) Ato constitutivo, estatuto social publicado de acordo com a Lei Federal nº 6.404/76 e posteriores alterações, ou contrato social em vigor, devidamente registrado, em se tratando de Sociedades Empresárias, e, no caso de Sociedades por Ações, acompanhados dos documentos da eleição da atual administração;
c) Ato constitutivo devidamente registrado no Cartório de Registro Civil de Pessoas Jurídicas, no caso de Sociedades Civis, acompanhado de prova de diretoria em exercício;
d) Cópia da identidade do(s) sócio(s);
e) Declaração de enquadramento como ME/EPP e similares, se aplicável.
Observações:
• As certidões que não tenham prazo de validade expresso no seu corpo ter-se-ão como válidas, pelo prazo de 90 (noventa) dias contados de sua emissão.
• A licitante que deixar de apresentar quaisquer dos documentos exigidos anteriormente ou os apresentar em desacordo com o estabelecido neste Edital ou com irregularidades será inabilitada, sem prejuízo de ser-lhe aplicada, no que couber, as penalidades adiante previstas e demais cominações legais.
• Se for uma filial participando do certame, e o faturamento e/ou fornecimento for necessário ser efetuado pela matriz, os documentos respectivos relativos ao item 7.2.1 deverão ser acostados também, se não houver alguma indicação no documento que o mesmo valha para as filiais.
8 - DA ADJUDICAÇÃO
8.1 - Constatado o atendimento das exigências fixadas no Edital, sem interposição de recursos, a licitante será declarada vencedora, sendo-lhe adjudicado o objeto do certame.
8.2 - Em caso de desatendimento às exigências relativas ao objeto ou à habilitação, o Pregoeiro desclassificará ou inabilitará a licitante e examinará as ofertas subsequentes e qualificação das licitantes, na ordem de classificação e, assim, sucessivamente, até a apuração de uma que atenda ao Edital, sendo a respectiva licitante declarada vencedora, ocasião em que o Pregoeiro poderá negociar redução de preço diretamente com a proponente.
9 - DOS RECURSOS ADMINISTRATIVOS
9.1 - Proclamada a vencedora, será proporcionada oportunidade às licitantes para que manifestem a intenção de interpor recurso, sendo que a falta dessa manifestação, imediata e motivada, importará na decadência do direito de recurso por parte da licitante. Constará, na ata da Sessão, a síntese das razões de recurso apresentadas, bem como o registro de que todas as demais licitantes ficaram intimadas para, querendo, apresentar contrarrazões ao recurso, no prazo de 03 (três) dias corridos, após o término do prazo da recorrente, proporcionando-se a todos vista imediata do processo na Sede da CRM, com o Pregoeiro que estiver atuando no processo.
9.2 - Tendo a licitante manifestado, motivadamente, a intenção de recorrer durante a Sessão Pública do Pregão, conforme subitem acima e, sendo admitido o recurso, deverá apresentar suas razões de recurso, em campo próprio do sistema, no prazo de 03 (três) dias corridos, pelo site do Pregão Online Banrisul.
9.3 - A manifestação e a motivação, na Sessão Pública, são pressupostos de admissibilidade dos recursos.
9.4 - Não serão aceitas, em sede recursal, as alegações que não se relacionem com as indicadas pela licitante recorrente na sessão pública.
9.5 - A contagem dos prazos obedecerá ao disposto na legislação vigente.
9.6 - Não serão conhecidas as razões e contrarrazões de recursos intempestivamente apresentadas.
9.7 - O acolhimento do recurso importará a invalidação, apenas, dos atos insuscetíveis de aproveitamento.
10 – DAS SANÇÕES ADMINISTRATIVAS
10.1. Aquele que, convocado dentro do prazo de validade de sua proposta, não assinar o contrato, deixar de entregar documentação exigida no Edital, apresentar documentação falsa, ensejar o retardamento da execução de seu objeto, não mantiver a proposta, comportar-se de modo inidôneo, fizer declaração falsa ou cometer fraude fiscal, garantido o direito à ampla defesa, ficará impedido de licitar e de contratar com a Administração Pública Estadual, pelo prazo de até cinco anos, conforme o disposto no Decreto Estadual n° 42.250/2003, sem prejuízo das multas previstas em Edital, no contrato e das demais cominações legais.
10.2. No caso de não assinatura do Instrumento Contratual no prazo fixado na Cláusula Décima Primeira, item 11.14 deste Edital, será aplicada, ainda, multa de 5% (cinco por cento) sobre o valor total da contratação.
10.3. A aplicação das penalidades previstas na presente Xxxxxxxx não exime a adjudicatária da reparação dos eventuais danos, perdas ou prejuízos que sua conduta venha causar à CRM.
10.4. Na aplicação destas sanções administrativas serão assegurados o contraditório e a ampla defesa.
10.5. No caso de aplicação de multa, a adjudicatária terá o prazo de dez dias para recolher a importância arbitrada, conforme a infração, contados do recebimento da notificação.
10.5.1. Nenhum pagamento será efetuado à adjudicatária enquanto pendente de liquidação qualquer obrigação financeira que lhe for imposta em virtude de penalidade ou inadimplência contratual, podendo a CRM efetuar as devidas compensações para quitação dos débitos.
10.6. O descumprimento contratual ensejará a inscrição no Cadastro de Fornecedores Impedidos de Licitar e Contratar com a Administração Pública Estadual, nos termos da Lei n° 11.389/99, regulamentada pelo Decreto Estadual n° 42.250/03.
10.7. Previamente à contratação será realizada consulta ao Cadastro de Fornecedores Impedidos de Licitar e Contratar com a Administração Pública Estadual – CFIL/RS e ao Cadastro Informativo – CADIN/RS, pela CONTRATANTE, para identificar possível impedimento relativo ao licitante vencedor, cujo comprovante será inserto aos autos do processo.
11 - DAS DISPOSIÇÕES GERAIS
11.1 - Quaisquer dúvidas porventura existentes sobre o disposto no presente Edital deverão ser objeto de consulta, por escrito, ao Pregoeiro, através do e-mail xxxxxxxxx.xxxxxxx@xxx.xxx.xx, com cópia para xxxxxxx.xxxxx@xxx.xxx.xx, até o segundo dia que anteceder a data de abertura da sessão, as quais serão respondidas e disponibilizadas até 24 (vinte e quatro) horas depois de esgotado o prazo de consulta.
11.1.1 – As impugnações são reguladas pelo art. 18 da Lei Estadual 13.191/2009.
11.2 - As ata(s) de julgamento(s), a(s) resposta(s) a questionamento(s), bem como decisões quanto a impugnações ao Edital ou recurso(s) serão disponibilizadas na Internet, no site da CRM, sendo de responsabilidade da licitante o acompanhamento das publicações lá inseridas.
11.3 - Independentemente de declaração expressa, a simples apresentação de proposta nesta licitação implica aceitação tácita das condições estipuladas neste Edital, de modo que a apresentação de proposta vincula o licitante de modo incondicional ao competitório.
11.4 - As normas que disciplinam este Pregão serão sempre interpretadas em favor da ampliação da disputa entre as interessadas, atendidos o interesse público e o da Administração, sem comprometimento da segurança da contratação.
11.5 - O desatendimento de exigências formais não essenciais não importará no afastamento da licitante, desde que seja possível a aferição da qualidade e a exata compreensão da sua proposta, durante a realização da sessão pública deste Pregão, e desde que não fique comprometido o interesse do órgão promotor do certame, bem como a finalidade e a segurança da futura contratação.
11.6 - O Pregoeiro, no interesse da Administração, poderá relevar omissões puramente formais observadas na documentação de habilitação e proposta de preços, desde que não contrariem a legislação vigente e não comprometam a lisura do procedimento.
11.7 - Todos os documentos exigidos no presente instrumento convocatório poderão ser apresentados em original, por qualquer processo de cópia autenticada por tabelião, ou publicação em órgão da imprensa oficial. Poderão ser apresentados documentos extraídos via Internet, cuja aceitação fica condicionada à verificação de sua autenticidade mediante acesso ao site do Órgão que os expediu.
11.8 - É facultada, ao Pregoeiro, em qualquer fase da licitação, a promoção de diligência destinada a esclarecer ou complementar a instrução do processo.
11.9 - Para agilização dos trabalhos, solicita-se que as licitantes façam constar em sua documentação o endereço, o e-mail e os números de fax e telefone.
11.10 - A adjudicação do objeto da licitação à licitante vencedora e a homologação do certame não implicarão direito à contratação.
11.11 - A adjudicatária obriga-se a manter, durante toda a execução da contratação, em compatibilidade com as obrigações assumidas, todas as condições de habilitação e qualificação exigidas nesta licitação, devendo comunicar à CRM, imediatamente, qualquer alteração que possa comprometer a manutenção do contrato, inclusive aquelas referentes ao seu ato constitutivo.
11.12 - O Pregoeiro ou autoridade superior poderá valer-se de pareceres emitidos por técnicos ou especialistas no assunto objeto desta licitação.
11.13 - Havendo divergências entre o objeto descrito no sistema e no Edital, prevalecerá a descrição do Edital.
11.14 - Homologado o resultado prolatado pelo pregoeiro, a licitante vencedora será notificada para comparecer à CRM no prazo de 3 (três) dias para a assinatura do contrato (ordem de compra), que manterá vínculo com todas as disposições deste Edital.
11.15 - Previamente à assinatura do contrato, a licitante vencedora deverá apresentar à CRM documento informando:
• CNPJ e Inscrição Estadual do estabelecimento ou filial que emitirá as notas de cobrança;
• Tipo de documento de cobrança que será emitido (nota fiscal, nota fiscal fatura, conhecimento de frete, etc.);
• CFOP das notas de faturamento;
• Classificação fiscal de cada um dos produtos que serão vendidos (não incluir em caso de prestação de serviços sem venda de material);
• Tributação incidente sobre o faturamento, indicando cada um dos tributos, alíquota, base de cálculo e forma de cálculo;
• Retenções legais que deverão ser feitas pela CRM indicando cada um dos tributos, alíquota e base de cálculo;
• Comprovação legal de direito a tratamento tributário diferenciado, quando for o caso;
• Certidão de situação cadastral quanto ao ISSQN;
• Nome, cargo, telefone e e-mail da pessoa de contato para esclarecimento de dúvidas em relação assuntos fiscais, tributários e contábeis do faturamento.
12 - DOS ANEXOS
Integram este Edital os seguintes anexos:
a) ANEXO I: FOLHA DE DADOS;
b) ANEXO II: TERMO DE REFERÊNCIA;
c) ANEXO III: MODELO DE PROPOSTA; e
d) ANEXO IV: MINUTA DO CONTRATO.
Porto Alegre (RS), 31 de maio de 2022 Xxxxxx Xxxxxxx Xxxx
Gerente de Editais e Contratos
ANEXO I - FOLHA DE DADOS
FORMA DE DISPUTA: PREGÃO, NA FORMA ELETRÔNICA |
CRITÉRIO DE JULGAMENTO: menor preço |
REGIME DE EXECUÇÃO (serviços/obras): ( ) empreitada por preço unitário, (x ) empreitada por preço global ( ) tarefa ( ) empreitada integral ( ) contratação semi-integrada ( ) contratação integrada OU FORMA DE FORNECIMENTO (aquisições): ( ) global ( ) lotes ( ) itens ( ) outro: |
Objeto da licitação: Contratação de empresa especializada para prestação de serviços de proteção contra malwares e ataques cibernéticos conforme Termo de Referência – Anexo II |
Forma de disputa: ( x ) Aberto ( ) Fechado ( ) Misto |
( x ) Não será permitida a subcontratação. ( ) Será permitida a subcontratação, conforme condições estabelecidas no contrato. |
Exigência de garantia contratual, conforme art. 70 da Lei 13.303/2016: ( x ) Não ( ) Sim, obedecidas as disposições do termo de referência – Anexo II |
ANEXO II – TERMO DE REFERÊNCIA
Proteção de Endpoints (NGAV), EDR e Serviço Gerenciado com resposta à incidentes.
1. OBJETO
1.1. Contratação de empresa especializada para prestação de serviços de proteção contra malwares e ataques cibernéticos em endpoints, incluindo fornecimento de soluções de antimalware de próxima geração (NGAV), solução para detecção e resposta a ameaças (EDR), implementação, serviços gerenciados de segurança com resposta a incidentes, suporte técnico ilimitado 8x5, proteção 24x7x365 e garantia de atualização para 80 endpoints, durante o período de 24 meses.
2. JUSTIFICATIVA
2.1. Os incidentes de segurança cibernética ocorridos nos últimos anos no setor público demonstram a fragilidade dos ativos de tecnologia da informação e a necessidade de investimentos em soluções que sejam proativas nos processos de identificação e remediação de vulnerabilidades técnicas exploradas pelas ameaças cibernéticas atuais.
2.2. Uma ameaça explora uma ou mais vulnerabilidades, resultando em um incidente de segurança. Um incidente de segurança é toda a ação que afeta a confidencialidade, integridade e disponibilidade das informações. Dentre diversos incidentes de segurança, destacam-se os que mais afetaram o poder público em 2021, sendo eles a indisponibilidade de sistemas, o sequestro/roubo de dados e a exposição de informações sensíveis.
2.3. A Lei nº 13.709 de 14 de agosto de 2018 prevê que as organizações públicas e privadas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger as informações.
3. RESULTADOS A SEREM ALCANÇADOS
3.1. Elevar a proteção dos equipamentos de TI como servidores de rede, computadores pessoais e dispositivos móveis da CRM;
3.2. Testar a eficácia dos controles de segurança aplicados aos ativos de TI e aos colaboradores da CRM.
4. ESPECIFICAÇÕES GERAIS
4.1. A Tabela abaixo apresenta a descrição e a quantidade estimada sobre cada item que deve ser atendido pela CONTRATADA;
ITEM | DESCRIÇÃO | UNIDADE | PRAZO | QUANTIDADE |
1 | Prestação de serviços de proteção contra malwares e ataques cibernéticos em endpoints, incluindo fornecimento de soluções de antimalware de próxima geração (NGAV), solução para detecção e resposta a ameaças (EDR), implementação, serviços gerenciados de segurança com resposta a incidentes, suporte técnico ilimitado 8x5, proteção 24x7x365 e garantia de atualização para 80 endpoints, durante o período de 24 meses. | SERVIÇO | 24 meses | 1 |
4.2. A CRM irá fornecer a infraestrutura necessária para CONTRATADA exercer suas atividades;
4.3. O pagamento será realizado em uma única parcela após 30 dias de contrato.
5. DETALHAMENTO TÉCNICO
5.1. A solução deverá possibilitar a proteção contra malwares conhecidos e desconhecidos (Zero Day) através do uso de mecanismos de inteligência artificial e autoaprendizagem de máquina (NGAV - Next-Generation Antivírus);
5.2. A solução deverá possuir recursos para detecção e resposta automática contra comportamentos maliciosos utilizados em ataques cibernéticos, incluindo análise forense sobre as ações do ataque (EDR - Endpoint Detection and Response);
5.3. Todas as funcionalidades necessárias (Features/Módulos) para atender os requisitos aqui estabelecidos deverão ser atendidas por única solução, através de uma única console de gerenciamento;
5.4. O licenciamento da solução deverá ser por Endpoint (computadores, notebooks e servidores de rede), satisfazendo no mínimo o quantitativo de 80 (oitenta) endpoints ;
5.5. Os itens abaixo apresentam o detalhamento de cada funcionalidade da solução:
5.5.1. Detalhamento do Módulo de Antimalware de Próxima Geração (NGAV)
5.5.1.1. A solução de proteção para endpoint deve prover proteção contra ameaças em programas maliciosos conhecidos e desconhecidos. As ameaças devem ser identificadas e neutralizadas, incluindo o código executável, scripts e exploits;
5.5.1.2. Os agentes da solução devem ser compatíveis com no mínimo os seguintes sistemas operacionais:
I) Windows XP SP3 (32 e 64 bits);
II) Windows Vista (32 e 64 bits);
III) Windows 7 (32 e 64 bits);
IV) Windows 8 e Windows 8.1 (32 e 64 bits);
V) Windows 10 (32 e 64 bits);
VI) Windows 11;
VII) Windows Server 2003 SP2 (32-bit, 64-bit);
VIII) Windows Server 2003 R2 (32-bit, 64-bit);
IX) Windows Server 2008 (64 bits);
X) Windows Server 2008 R2 (32 e 64 bits);
XI) Windows Server 2012 (64 bits);
XII) Windows Server 2012 R2 (64 bits);
XIII) Windows Server 2016 (64 bits);
XIV) Windows Server 2019 (64 bits);
XV) Windows Server 2022 (64 bits);
XVI) Mac OS X 10.9 (Mavericks);
XVII) Mac OS X 10.10 (Yosemite);
XVIII) MacOS Catalina (10.15);
XIX) MacOS Mojave (10.14);
XX) MacOS High Sierra (10.13)
XXI) MacOS Sierra (10.12)
XXII) MacOS Big Sur (11);
XXIII) MacOS Monterey (12);
XXIV) Mac OS X 10.11;
XXV) Mac OS X 10.10;
XXVI) Mac OS X 10.9;
XXVII) RHEL/CentOS 6.6 (32 e 64 bits);
XXVIII) RHEL/CentOS 6.7 (32 e 64-bits);
XXIX) RHEL/CentOS 6.8 (32 e 64-bits);
XXX) RHEL/CentOS 6.9 (32 e 64-bits);
XXXI) RHEL/CentOS 6.10 (32 e 64-bits);
XXXII) RHEL/CentOS 7.0 (32 e 64-bits);
XXXIII) RHEL/CentOS 7.1 (64 bits);
XXXIV) RHEL/CentOS 7.2 (64 bits);
XXXV) RHEL/CentOS 7.3 (64 bits);
XXXVI) RHEL/CentOS 7.4 (64 bits);
XXXVII) RHEL/CentOS 7.5 (64 bits);
XXXVIII) RHEL/CentOS 7.6 (64 bits);
XXXIX) RHEL/CentOS 7.7 (64 bits); XL) RHEL/CentOS 7.8 (64 bits);
XLI) RHEL/CentOS 7.9 (64 bits);
XLII)RHEL/CentOS 8.0 (64 bits);
XLIII) RHEL/CentOS 8.1 (64 bits);
XLIV) RHEL/CentOS 8.2 (64 bits);
XLV) RHEL/CentOS 8.3 (64 bits);
XLVI) RHEL/CentOS 8.4 (64 bits);
XLVII) RHEL 8.5 (64 bits);
XLVIII) SUSE (SLES) 11.4 (64 bits);
XLIX) SUSE (SLES) 12 incluindo SP1, SP2, SP3, SP4 (64 bits);
L) SUSE (SLES) 15 (64 bits);
LI) Ubuntu LTS/Xubuntu 14.04 (32 e 64-bits); LII) Ubuntu LTS/Xubuntu 16.04 (32 e 64-bits); LIII) Ubuntu LTS/Xubuntu 18.04 (64 bits);
LIV) Ubuntu LTS/Xubuntu 20.04 (64 bits);
LV) Amazon Linux 1 2017.9 e 2018.03 (64 bits);
LVI) Amazon Linux 2 (64 bits);
LVII)Debian 10 (64 bits);
LVIII) Oracle Linux Server 6 (64 bits); LIX) Oracle Linux Server 7 (64 bits); LX) Oracle Linux Server 8 (64 bits);
LXI) Oracle Linux Server UEK 6 (64 bits); LXII)Oracle Linux Server UEK 7(64 bits); LXIII) Oracle Linux Server UEK 8 (64 bits).
5.5.1.3. A instalação da solução de Next Generation Antivírus (NGAV) deve aceitar parâmetros de configuração e distribuição, como instalação silenciosa e definição de diretório de instalação;
5.5.1.4. Não será permitido que o instalador baixe parte do pacote de instalação da Internet ou de um servidor local;
5.5.1.5. Deve permitir a utilização de senha para prevenir a desinstalação do produto nas estações/servidores;
5.5.1.6. Deve possuir serviço de proteção contra finalização (kill) do processo da ferramenta. Também deve impedir que outros aplicativos efetuem a finalização do serviço;
5.5.1.7. Todas as funcionalidades desta ferramenta devem ser ativadas por um único produto que facilita a instalação, a configuração e o gerenciamento;
5.5.1.8. Deve ter a capacidade de realizar a análise somente dos arquivos copiados na máquina, de uma análise completa da máquina após a instalação e adicionalmente deve ser possível configurar análises recorrentes de arquivos;
5.5.1.9. Não serão aceitas soluções que detectam o malware apenas quando da execução da aplicação;
5.5.1.10. O funcionamento da solução deve operar analisando a execução da ameaça em potencial, nas camadas do Sistema Operacional (O/S), Memória e prevenindo a entrada de códigos maliciosos;
5.5.1.11. Deve possuir a capacidade de análise automática do código do arquivo, identificando suas características antes da sua capacidade de execução;
5.5.1.12. A solução deve aplicar análise baseada em algoritmo matemático, para identificar programas maliciosos antes da sua execução;
5.5.1.13. Caso seja identificado um programa malicioso, a sua execução não deve ser permitida;
5.5.1.14. A solução deve identificar e bloquear a execução de códigos executáveis (binários), scripts ou comandos;
5.5.1.15. A solução de proteção de endpoints deve detectar e prevenir qualquer alteração oriunda de código malicioso ou não-autorizado, em programas que estejam sendo executados em memória;
5.5.1.16. Deve utilizar a tecnologia de Machine Learning para identificar qualquer ameaça nos arquivos potencialmente perigosos;
5.5.1.17. A análise do malware deve ocorrer em pré-execução, ou seja, o código malicioso deve ser bloqueado antes de executar e infectar a máquina, no processo de detecção e bloqueio em pré-execução não serão aceitas tecnologias que fazem uso de análise de hashing do arquivo ou verificação do arquivo em nuvem;
5.5.1.18. Identificar ameaças avançadas (APTs), chamadas de zero day e ransomwares sem a necessidade de base de assinaturas (DATs), detecção por heurística, detecção por hashing, detecção por comportamento ou sandboxing. Todas as detecções devem ser feitas em tempo real;
5.5.1.19. Deve permitir controlar dispositivos de armazenamento conectados via USB, permitindo bloquear o acesso ou liberar. Adicionalmente deve ser possível a criação de exceções na política, pelo número de série, identificador do fabricante e tipo de dispositivo;
5.5.1.20. O controle do acesso via USB, deve ter a capacidade mínima de controlar os seguintes dispositivos:
I) Dispositivos Android;
II) Dispositivos Apple IOS;
III) Dispositivos Still Image como câmeras e Scanners;
IV) Dispositivos USB Drive (Pen Drive);
V) Dispositivos VMWARE USB Passthrough;
VI) Dispositivos portáteis Windows.
5.5.1.21. A solução não deve depender de base de assinaturas e hashes para identificação de qualquer ameaça;
5.5.1.22. Deve possuir a capacidade de extrair mais de 6 milhões de características dos arquivos potencialmente perigosos e aplicar algoritmos de análise para determinar sua intenção;
5.5.1.23. Deve prover proteção em tempo real, independente do estado de conexão da máquina, sendo:
I) Online – Com conexão com a Internet;
II) Offline – Sem conexão com a Internet.
5.5.1.24. Os módulos de proteção de memória e controle de execução devem prevenir técnicas de ataques do tipo:
I) Hijacking;
II) File Injection;
III) File Overflow;
IV) In-Memory execution;
V) Exploitation - Stack Pivot, Stack protect, Overwrite Code, RAM Scraping e Malicius Payload, System Call Monitoring, Direct System Calls, System DLL Overwrite, Dangerous COM object;
VI) Process Injection – Remote Allocation of Memory, Remote Mapping of Memory, Remote Write to Memory, Remote Write PE to Memory, Remote Overwrite Code, Remote Unmap of Memory, Remote Thread Creation, Remote APC Scheduled, DYLD Injection (Apenas para MacOS X), Doppelganger e Dangerous Environmental Variable;
VII)Escalation – LSASS Read, Zero Allocate, Memory Permissions Changes in Other Processes, Memory Permission Changes in Child Processes, Stolen System Token e Low Integrity Process Start.
5.5.1.25. O módulo de proteção de memória deve possuir as seguintes ações em caso de violação:
I) Ignorar;
II) Alertar;
III) Bloquear;
IV) Terminar.
5.5.1.26. O módulo de controle e análise de scripts deve ser capaz de analisar no mínimo as seguintes linguagens:
I) PowerShell;
II) Active Scripts – Jscript;
III) WScript;
IV) CScript;
V) Macros;
VI) VBA;
VII)Python;
VIII) .NETDLR.
5.5.1.27. O módulo de controle e análise de scripts deve possuir as seguintes ações em caso de violação:
I) Alertar;
II) Bloquear.
5.5.1.28. Caso ocorra alguma identificação de código malicioso em scripts, a ferramenta deve agir no interpretador e prevenir sua execução imediata;
5.5.1.29. Deve ser capaz de finalizar processos e sub processos em execução, caso haja a identificação de algum código malicioso sendo executado nos mesmos;
5.5.1.30. Possuir funcionalidade para análise contra ameaças em background, permitindo análises periódicas no disco contra ameaças inativas. Esta analise apenas poderá ser feita quando a estação/servidor estiver em modo ocioso, ou seja, com os recursos disponíveis para execução desta ação;
5.5.1.31. Permitir a verificação de ameaças em apenas novos arquivos;
5.5.1.32. Gerar registro (log) dos eventos de detecção de ameaças em arquivo local, com opção de upload para a console de gerenciamento;
5.5.1.33. Gerar notificações de eventos de ameaças através de alerta via Syslog ou por e- mail;
5.5.1.34. Deve possuir um módulo integrado de Anti-Exploit permitindo identificar e bloquear a execução de Exploits na máquina em memória. Este módulo deve permitir no mínimo a proteção contra ferramentas de injeção de código malicioso, como por exemplo o Shelter, além de detectar e evitar a execução de backdoors;
5.5.1.35. Deve possuir módulo integrado de bloqueio de Exploits onde não deve ser baseado em assinaturas. Deve ser capaz de bloquear estas ameaças utilizando o próprio engine de inteligência artificial e machine learning;
5.5.1.36. No modo desconectado, o endpoint deve fazer a detecção e bloqueio usando unicamente o algoritmo matemático. Não serão permitidas soluções hibridas que utilizem assinaturas (DATs), hashes ou consultas na Internet (Cloud Lookups) para a detecção neste cenário;
5.5.1.37. O endpoint deve ser certificado pela Microsoft como uma ferramenta de antivírus, sendo assim, nas plataformas Windows, a ferramenta deve ser identificada como solução de antivírus.
5.5.2. Detalhamento do Módulo Endpoint Detection and Response (EDR):
5.5.2.1. Deve possuir a capacidade de realizar uma conexão remota nas máquinas através da console de gerenciamento para coletar arquivos de logs para análise forense;
5.5.2.2. Deve possuir regras para detecção de Crypto Hijacking (Crypto mining) usando tecnologia de detecção em processadores Intel “Intel Threat Detection Technology”);
5.5.2.3. Deve possuir um instalador unificado que instala tanto o NGAV como o EDR;
5.5.2.4. Realizar obrigatoriamente análise de comportamentos com base nas táticas, técnicas e procedimentos (TTPs) listados no framework MITRE ATT&CK;
5.5.2.5. A nuvem de inteligência da solução utilizada pela console deve ser hospedada em infraestrutura de nuvem em conformidade com a norma NC14 da IN01 do DSIC/GSIPR;
5.5.2.6. O módulo de análise forense e detecção e respostas (EDR) deve permitir a monitoração contínua dos eventos, captura e gravação em modo seguro. Este módulo deve permitir analisar o comportamento do usuário ou do malware no endpoint;
5.5.2.7. Este módulo deve obrigatoriamente estar integrado ao agente do NGAV, não sendo permitida a adição de agentes adicionais;
5.5.2.8. O módulo deve ter a capacidade de coletar informações dos processos em execução da máquina e o motivo para a terminação dos processos;
5.5.2.9. O módulo deve permitir visualizar através da console web uma linha do tempo gráfica, contendo toda a sequência de eventos que ocorreram durante a execução do malware, sendo possível ainda expandir os detalhes de cada informação;
5.5.2.10. O módulo deve identificar processos que tenham sido suspensos;
5.5.2.11. Devem ser fornecidas na console, informações do identificador do processo (Process ID), nome do processo, a linha de comando de execução, o usuário logado que executou o processo, o caminho do executável, e quando disponível o hash MD5 do processo;
5.5.2.12. O módulo deve reportar eventos maliciosos em memória sendo que devem ser fornecidas no log do evento, os grupos, SID, e quantas vezes o código malicioso tentou executar em memória;
5.5.2.13. O módulo deve detectar a injeção de ameaças em funções e módulos do programa (aplicativo) executado;
5.5.2.14. Deve identificar processos suspeitos que executam em localidades não comuns, como diretórios de dados e lixeira;
5.5.2.15. Deve identificar processos que estabelecem conexões de rede externas e suspeitas (call back);
5.5.2.16. Deve ser reportado no log as conexões de redes externas e suspeitas, a origem da conexão, o destino, o tempo de início e término da conexão;
5.5.2.17. Deve identificar alterações não comuns em áreas do registro da máquina;
5.5.2.18. Deve monitorar alterações em tarefas agendadas na máquina;
5.5.2.19. Deve monitorar tentativas de escalação de privilégios;
5.5.2.20. Deve possuir a capacidade de realizar busca de ameaças na rede (IOC hunting) por arquivos, hashes, processos, DNS request, powershell trace, wmi trace, eventos do Windows, alterações de chaves de registros e conexões de rede;
5.5.2.21. Deve permitir realizar um isolamento completo da máquina que foi identificada a ameaça, este isolamento evita a propagação da mesma pela rede;
5.5.2.22. O agente deve ter a capacidade de fazer este isolamento da máquina por si só, sem necessitar de nenhuma integração com outros softwares ou dispositivos de rede para isso.
5.5.2.23. Este isolamento pode ser realizado por um tempo específico não inferior a 5 minutos, onde deve ser possível ao administrador fornecer uma chave para realizar a liberação da máquina isolada. Durante o período de isolamento a máquina não consegue realizar nenhuma conexão de rede ficando completamente sem acesso na rede;
5.5.2.24. O isolamento deve ser por completo não permitindo inclusive o ICMP para a estação isolada, garantindo assim que a ameaça não irá se propagar de nenhuma maneira;
5.5.2.25. Deve ter a capacidade de realizar através da solução o envio do arquivo da ameaça ao sistema de gerenciamento em cloud, para análise posterior;
5.5.2.26. O módulo de análise forense ou EDR deve possuir a capacidade de identificação automática de comportamentos maliciosos executados no endpoint através de um conjunto mínimo de 25 regras para Windows e 10 regras para Mac OS;
5.5.2.27. Deve possuir regras para detecção de pelo menos 65 diferentes técnicas de ataques seguindo a classificação e certificação MITRE;
5.5.2.28. Devem existir pelos menos 6 categorias de regras a serem aplicadas;
5.5.2.29. Deve ser capaz de permitir a criação de regras de detecção customizáveis utilizando linguagem JSON;
5.5.2.30. As regras devem apresentar quatro níveis de criticidade: alto, médio, baixo e informativo;
5.5.2.31. As regras devem identificar pelo menos os seguintes conjuntos de ações:
I) Tentativas de mascarar ou matar os processos no NGAV;
II) Detecção de Fileless Powershell malware;
III) Detecção da execução de comandos maliciosos em Powershell, como comandos que ocultam a execução do Powershell;
IV) Invocação maliciosa de JavaScritps com Rundll;
V) Processos de Sistema Operacional iniciados por usuários que não são SYSTEM;
VI) Executáveis iniciados do Recycle Bin;
VII)Executável criado ou lançado como executável do Windows;
VIII) Processos do Windows sendo executados em pastas fora do padrão;
IX) Processos criados com nomes confusos (tentando se passar por processos do Windows);
X) Uso do PSEXEC;
XI) Modificação de host files;
XII)Tentativa de invocação do Remote Shell;
XIII) Detecção de executável com múltiplas extensões;
XIV) Tarefas agendadas suspeitas.
5.5.2.32. Após identificar estes comportamentos o módulo de EDR deve ter a capacidade de realizar uma ação automática (sem a intervenção do operador), entre as ações automáticas customizadas, devem estar incluídas:
I) Apagar arquivos;
II) Realizar Log Off de todos os usuários, usuários remotos e usuários interativos;
III) Suspender e terminar processos;
IV) Gerar log de aplicação.
5.5.2.33. Através do dashboard deve ser possível requisitar e fazer download dos logs e evidências da causa raiz, os arquivos maliciosos ou adicionar os mesmos a quarentena global;
5.5.2.34. Deve permitir criar ou modificar as regras a critério do usuário;
5.5.2.35. A solução de EDR deve possuir um Engine Python nativo que permite a execução de scripts através da customização de respostas das regras ou por demanda via console. Não serão aceitas soluções que necessitem a instalação adicional do pacote de Python;
5.5.2.36. Deve ser possível iniciar a execução de scripts em Python na máquina infectada quando é detectado um comportamento malicioso, permitindo coletar mais informações forenses como dados do Event Viewer Windows, Registry Hives, Master File Table, histórico do navegador, logs de execução de programas no Windows;
5.5.2.37. Deve possibilitar a criação de Playbooks com um conjunto de Scripts em Python que podem ser configurados nas regras, permitindo a sua execução quando algum evento é detectado.
5.5.3. Detalhamento do Gerenciamento da Solução:
5.5.3.1. Possuir gerência centralizada e integrada, a partir de uma única console, para as todas as ferramentas integradas de segurança em estações de trabalho e servidores, de onde seja possível manter a proteção atualizada, gerar relatórios, visualizar eventos e gerenciar políticas;
5.5.3.2. Deve permitir o acesso a console de gerenciamento Web, através de protocolo seguro (HTTPS);
5.5.3.3. Deve possuir pelo menos 5 (cinco) relatórios na console WEB;
5.5.3.4. Deve possuir relatórios que permitam no mínimo: ter um sumário das ameaças identificadas, visão geral das ameaças, visão geral dos equipamentos identificando qual a versão do agente está instalada em cada um deles e quanto tempo estão offline;
5.5.3.5. Possuir comunicação segura padrão SSL entre os agentes e a console de gerenciamento da solução de segurança;
5.5.3.6. Permitir o gerenciamento através de console Web compatível com Mozilla Firefox e Google Chrome;
5.5.3.7. Deve permitir a definição de níveis diferentes de administração, onde administradores gerenciem, com diferentes níveis de privilégios, grupos de máquinas em diferentes partes do ambiente, havendo, contudo, um grupo de administradores que poderá ter uma visão completa de todo o ambiente instalado;
5.5.3.8. Deve permitir integração com diferentes ferramentas de SIEM, com opção de configurar qual informação será repassada, como:
I) Log de Auditoria;
II) Dispositivos;
III) Proteção de Memória;
IV) Controle de Scripts;
V) Ameaças;
VI) Classificação de Ameaças;
VII) Controle de Aplicação.
5.5.3.9. Deve permitir a atualização automática dos agentes, com possibilidade de permitir a homologação da atualização em grupo específico de endpoints e, posteriormente, para o ambiente de produção;
5.5.3.10. Deve suportar a inclusão de certificados digitais para que arquivos assinados com estes certificados estejam dentro de uma lista segura (Safe List) para a execução;
5.5.3.11. Forçar a configuração determinada no servidor para os clientes;
5.5.3.12. Através do console da solução deve ser exibido à lista dos clientes (servidores e estações) que possuem o endpoint instalado, contendo, no mínimo, as seguintes informações, mesmo com as máquinas desligadas:
I) Nome da máquina;
II) Endereço IP;
III) Versão do Sistema Operacional (com a versão do Service Pack);
IV) MAC Address;
V) Usuário;
VI) Versão do endpoint.
5.5.3.13. A solução de segurança deve prover no mínimo os seguintes indicadores a partir da sua console:
I) As 10 máquinas que mais receberam ocorrência de malware
II) As 10 zonas que mais receberam ocorrência de malware;
III) Os 10 malwares que mais infectaram a rede;
IV) Malwares por prioridade;
V) Malwares por classificação;
VI) Históricos de infecções em endpoints;
VII) Históricos de infecções em zonas.
5.5.3.14. Capacidade de exportar os indicadores para o formato CSV e PNG;
5.5.3.15. Possibilitar a verificação no site “Virus Total”, através de link pré-definido no resultado de uma detecção;
5.5.3.16. Possuir módulo que registre em arquivo de log todas as atividades efetuadas pelos administradores permitindo execução de análises em nível de auditoria;
5.5.3.17. Possuir um painel de controle contendo em tempo real, os indicadores que os administradores da solução julguem necessários para monitorar o ambiente.
5.5.3.18. A implementação da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR) deverá ser realizada conforme as especificações estabelecidas no item XX, incluindo a realização das integrações com os seguintes sistemas da CRM, de forma nativa ou via API (Application Programming Interface):
I) Plataforma de SIEM/Syslog;
II) Single Sign On (SSO), permitindo a autenticação utilizando recursos de federação, através do uso de Security Assertion Markup Language (SAML).
5.5.3.19. Obrigatoriamente, a CONTRATADA deverá apresentar declaração oficial e assinada pelo FABRICANTE, comprovando sua autorização no fornecimento, implementação, configuração, integração, ministrar treinamentos, prestar suporte técnico avançado e operar a solução.=
5.5.4. Sobre o serviço contínuo de proteção contra malwares e ataques cibernéticos em endpoints:
5.5.4.1. O serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints tem como objetivo manter o nível de segurança adequado dos endpoints da CRM, provendo proteção avançada contra ameaças conhecidas e desconhecidas (Zero Day), bem como a resposta adequada em caso de incidentes cibernéticos em endpoints;
5.5.4.2. A CONTRATADA deverá documentar, implementar e validar todas as atividades do serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints;
5.5.4.3. A CONTRATADA deverá gerenciar, manter atualizada e garantir a integridade da solução descrita no item XX, Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR), para executar as atividades do serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints na CRM;
5.5.4.4. O serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints deverá contemplar todos os tipos de endpoints suportados pela Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
5.5.4.5. A CONTRATADA deverá garantir que nenhum endpoint da CRM fique descoberto da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR), salvo em casos de licenciamento excedido;
5.5.4.6. A CONTRATADA deverá executar o serviço de gerenciamento de proteção contra malwares e ataques cibernéticos de forma contínua, no formato de atendimento remoto ilimitado 24x7x365 (vinte e quatro horas, sete dias por semana, trezentos e sessenta e cindo dias, incluindo feriados), durante toda a vigência do contrato;
5.5.4.7. A CONTRATADA deverá disponibilizar um canal de comunicação entre a CRM por e-mail e telefone com número 0800;
5.5.4.8. A CONTRATADA deverá realizar respostas e resolução de problemas ou interrupções não planejadas da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
5.5.4.9. A CONTRATADA deverá contemplar atuação proativa, por meio da administração e operação diária da solução e pelo contato entre as equipes técnicas da CRM;
5.5.4.10. A CONTRATADA deverá monitorar continuamente a identificação e neutralização de ameaças cibernéticas nos endpoints da CRM;
5.5.4.11. A CONTRATADA deverá realizar estudo aprofundado sobre ameaças e comportamentos suspeitos identificados e/ou neutralizados pela solução, validando se as ameaças e/ou comportamentos são legítimos, falsos positivos ou falsos negativos;
5.5.4.12. A CONTRATADA deverá realizar a liberação de aplicações, arquivos e scripts específicos classificados como confiáveis pela CRM ou pela análise de falsos positivos (política de lista branca – White List);
5.5.4.13. A CONTRATADA deverá garantir o bloqueio do uso de unidades de armazenamentos removíveis via USB (Universal Serial Buss), realizando liberações exclusivamente solicitadas e autorizadas pela CRM;
5.5.4.14. A CONTRATADA deverá atuar na contenção de ameaças identificadas pela solução, acionando a CRM quando necessário;
5.5.4.15. A CONTRATADA deverá realizar análise forense dos eventos, identificando a anatomia da tentativa de ataque e coletando evidências expressivas para a resposta ao incidente;
5.5.4.16. A CONTRATADA deverá realizar diagnósticos completos nas superfícies de ataques cibernéticos conhecidos nos endpoints utilizando o framework MITRE ATT&CK;
5.5.4.17. Além do monitoramento e resposta a incidentes, o serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints, deverá contemplar as seguintes rotinas de atividades:
5.5.4.18. A CONTRATADA deverá migrar o licenciamento da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR) de cada endpoint substituído ou reinstalado ao longo da vigência contratual;
5.5.4.19. A CONTRATADA deverá realizar a gestão do licenciamento, instalação, remoção, atualização entre outras ações da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
5.5.4.20. A CONTRATADA deverá realizar a definição, criação, implantação, personalização (tunning), exclusão e análise, ou qualquer outra atividade relacionada à manutenção das políticas e grupos de proteção aplicadas aos endpoints;
5.5.4.21. A CONTRATADA deverá realizar a definição, criação, implantação, personalização (tunning), exclusão e análise, ou qualquer outra atividade relacionada à manutenção das regras de bloqueio de comportamentos maliciosos no módulo de EDR;
5.5.4.22. A CONTRATADA deverá realizar Health Check mensalmente da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR), compreendendo:
5.5.4.23. Análise do nível de aderência às boas práticas e proteção do ambiente;
5.5.4.24. Análise das políticas e demais configurações implantadas;
5.5.4.25. Avaliar a comunicação do agente da solução com a console de gerenciamento;
5.5.4.26. Avaliar a integridade da solução em todo ambiente da CRM.
5.5.4.27. A CONTRATADA deverá realizar técnicas de identificação de problemas (troubleshooting) na Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
5.5.4.28. A CONTRATADA deverá criar relatórios específicos sobre as informações contidas na Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR). A CRM poderá exigir a criação de relatórios específicos para CONTRATADA durante toda a vigência contratual;
5.5.4.29. A CONTRATADA deverá garantir o funcionamento ininterrupto dos agentes da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR) instalados nos endpoints da CRM;
5.5.4.30. A CONTRATADA deverá realizar o suporte da solução compreendendo ações corretivas, proativas e consultivas;
5.5.4.31. A CONTRATADA deverá analisar criticamente os registros de eventos da solução;
5.5.4.32. A CONTRATADA deverá gerenciar os usuários com acesso a solução e suas permissões;
5.5.4.33. A CONTRATADA deverá realizar testes de atualização dos agentes da solução antes de implementar nos endpoints;
5.5.4.34. A CONTRATADA deverá verificar e testar novas funcionalidades do produto em um ambiente de testes de sua propriedade e, posteriormente, aplicar aa CRM;
5.5.4.35. A CONTRATADA deverá monitorar o fim da vida útil da solução (End of life) e caso surgir alguma informação relacionada, comunicar aa CRM;
5.5.4.36. Além destas atividades, a CONTRATADA deverá realizar qualquer outra atividade pertinente para a realização do serviço.
5.5.4.37. A CONTRATADA deverá possuir um canal direto com a fabricante da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR) para resolução de problemas técnicos, escalonamento de chamados e solicitações de novas funcionalidades;
5.5.4.38. A CONTRATADA deverá disponibilizar o seu sistema de chamados técnicos (sistema de Help Desk) para que a CRM realize as solicitações de atendimentos sobre o serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints;
5.5.4.39. A CONTRATADA deverá registrar através de chamados técnicos todas as suas atividades relacionadas ao serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints;
5.5.4.40. A CONTRATADA deverá respeitar os seguintes Acordos de Níveis de Serviços (SLAs - Service Level Agreement) para atendimento/suporte sobre as solicitações realizadas pela CRM e eventuais incidentes de segurança cibernética em endpoints:
SLAS PARA ABERTURAS DE CHAMADOS | |||
CRITICIDADE | SLA Atendimento | SLA RESOLUÇÃO | DESCRIÇÃO |
URGENTE | 15 Minutos | 2 horas | - Chamado referente a paralização TOTAL da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR); - Chamado referente a incidentes de segurança da informação envolvendo ameaças cibernéticas que resultam a paralização TOTAL de endpoints classificados como críticos para a CRM. |
ALTA | 30 Minutos | 4 horas | - Chamado referente a paralização PARCIAL da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR); - Chamado referente a incidentes de segurança da informação envolvendo ameaças cibernéticas que resultam a paralização PARCIAL de endpoints classificados como críticos para a CRM. - Chamado referente a incidentes de segurança da informação envolvendo ameaças cibernéticas que resultam a paralização |
SLAS PARA ABERTURAS DE CHAMADOS | |||
CRITICIDADE | SLA Atendimento | SLA RESOLUÇÃO | DESCRIÇÃO |
TOTAL de endpoints que não possuem criticidade para as operações da CRM. | |||
MÉDIA | 1 Hora | 6 horas | - Chamado referente a incidentes de segurança da informação envolvendo ameaças cibernéticas que NÃO resultam em impactos significativos para os endpoints da CRM; |
BAIXA | 2 horas | 24 horas | - Chamado referente a problemas ou erros contornáveis que não afetam significantemente a funcionalidade da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR); - Chamado referente a consultas técnicas, dúvidas e monitoramento. |
5.5.4.41. Os prazos do Acordo de Níveis de Serviço poderão ser interrompidos nas seguintes situações:
I) I) Quando a CONTRATADA depender de retorno de informações por parte da CRM para execução do atendimento;
II) Quando a ocorrência depender do retorno de informações da CONTRATADA mediante concordância da CRM;
III) Quando o atendimento depender de agendamento para atendimento, onde fora acordada data/hora entre CONTRATADA e CRM.
5.5.4.42. Os status disponíveis para uso em Incidentes e Requisições são:
I) PAUSA do SLA mediante a justificativa:
a. Aguardando Fornecedor;
b. Aguardando cliente/usuário;
c. Agendado;
d. Em Homologação (somente para requisições).
II) Os status para RETOMADA do SLA mediante a justificativa:
a. Em atendimento;
b. Encaminhado;
c. Homologado (somente para requisições);
d. Não homologado (somente para requisições);
e. Reaberto.
5.5.4.43. Xxxxxx e retomadas de tempo de atendimento só ocorrem quando tempo total não foi excedido;
5.5.4.44. É vedada a transferência do chamado, salvo, para correção de encaminhamento;
5.5.4.45. A CONTRATADA poderá realizar assentamentos ou resolver o chamado a qualquer momento, respeitando os níveis de SLA;
5.5.4.46. Após a resolução da Requisição ou Incidente pela CONTRADADA, a CRM terá um prazo de 2 (dois) dias úteis para reabrir o chamado;
5.5.4.47. A reabertura da Requisição ou Incidente será considerada como continuação do atendimento anterior, ou seja, a contagem do prazo de atendimento será retomada e não haverá ônus financeiro para a CRM em decorrência de uma possível caracterização de nova demanda;
5.5.4.48. Mensalmente, a CONTRATADA deverá enviar e, quando necessário, apresentar, pelo menos os seguintes relatórios em PDF:
I) Relatório executivo do serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints durante o período, contendo pelo menos as seguintes informações:
a. Resumo do escopo do serviço;
b. Período contabilizado;
c. Total de ameaças bloqueadas durante o período, segmentadas por malwares, scripts maliciosos e exploração de memória;
d. Listagem de todas as ameaças detectadas no período;
e. Total de ameaças em lista branca (White – List) adicionados no período;
f. Quantidade de endpoints protegidos e desprotegidos (endpoints monitorados, mas que não possuem nenhuma política de proteção aplicada);
g. Listagem de endpoints desprotegidos;
h. Consumo de licenciamento da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
i. Endpoints com maior número de ameaças bloqueadas;
j. Informações relacionadas as detecções realizadas pelo módulo de EDR.
II) Relatórios de chamados sobre as atividades relacionadas ao serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints;
III) Entre outros relatórios relacionados ao serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints solicitados pela CRM.
6- PENALIDADES
A inexecução total ou parcial de qualquer cláusula ou condição estipulada neste instrumento autoriza a Contratante a imputar à Contratada, assegurada a prévia defesa no prazo de 10 (dez) dias úteis, as penalidades previstas nos arts. 83 e 84 da Lei nº 13.303/16, além das específicas a seguir estabelecidas:
6.1.1 – Advertência: pela execução insatisfatória ou pequenas falhas no desenvolvimento dos serviços.
6.1.2 – Multas: O descumprimento do prazo de mobilização acarretará multa equivalente a 0,5% (meio por cento) ao dia, limitado a 10%, calculada sobre o valor total do contrato. Atraso superior a 20 dias é motivo suficiente para a rescisão do contrato.
6.1.2.2 - Inexecução total ou parcial das disposições contratuais acarretará multa de 5 % (cinco por cento) do valor total do contrato.
6.1.3 - Suspensão temporária do direito de licitar e impedimento de contratar com a Administração Pública Estadual pelo prazo de até 02 (dois) anos, sem prejuízo da rescisão do contrato bem como da adoção das demais medidas legais e judiciais cabíveis, conforme previsão contida na Lei Estadual n° 11.389/1999, regulamentada pelo Decreto Estadual n° 42.250/2003.
6.2. - A(s) multa(s) aplicada(s) à Contratada e os prejuízos por ela causados à Contratante serão deduzidos da garantia apresentada ou de qualquer crédito devido a ela, ou cobrados diretamente ou judicialmente.
6.3. - A(s) penalidade(s) de multa(s) poderão ser aplicada(s) cumulativamente com as demais sanções e não isentarão a Contratada da obrigação de indenizar eventuais perdas, danos ou prejuízos que venha a causar à CRM.
6.4. As sanções previstas nesta Cláusula não elidem a aplicação das penalidades estabelecidas na Lei Federal n° 12.846/2013, conforme o disposto no seu art. 30.
6.5. A autoridade competente, na aplicação das sanções, levará em consideração a gravidade da conduta do infrator, o caráter educativo da pena, bem como o dano causado à Administração, observado o princípio da proporcionalidade.
7- MOBILIZAÇÃO: O prazo de mobilização da Contratada é de, no máximo, 10(dez) dias úteis contados da data de assinatura do contrato.
ANEXO III
MODELO DE PROPOSTA DE XXXXX, EM PAPEL TIMBRADO
À
COMPANHIA RIOGRANDENSE DE MINERAÇÃO
Porto Alegre (RS)
Referência: Pregão, na forma eletrônica, nº 837/2022 Assunto: APRESENTAÇÃO DA PROPOSTA DE PREÇOS
Prezados Senhores:
Tem a presente a finalidade de apresentar a Vossas Senhorias a nossa proposta para prestação de serviços de proteção contra malwares e ataques cibernéticos em endpoints, de acordo com as disposições do Anexo I e demais anexos do Edital do Pregão, na forma eletrônica, nº 837/2022.
O valor global da proposta, em completo atendimento ao disposto no termo de referência – Anexo II – é de R$ ( ), pelo período de 24 (vinte e quatro) meses.
No preço ofertado estão incluídas todas as despesas nas quais devemos incorrer para o adimplemento contratual, em especial com transporte, embalagens, seguros, encargos sociais, fiscais, comerciais, previdenciários, trabalhistas e outros pertinentes ao objeto licitado, enfim, não restando nenhuma importância adicional devida pela CRM, seja a que título for.
As alíquotas de ICMS, ICMS em substituição tributária e IPI incidentes sobre o produto são:
Cumpre-nos informar ainda que examinamos o Edital e seus Anexos com minudência, inteirando-nos das disposições contidas no mesmo, para a elaboração da presente proposta.
Outrossim, declaramos que:
a) o prazo de validade desta proposta é de 60 (sessenta) dias, contado da data de apresentação;
b) o Edital reuniu todas as informações necessárias, bem como, nos foram prestados os esclarecimentos pertinentes, permitindo-nos elaborar a presente proposta, de forma completa e total;
c) todas as despesas com a preparação da presente proposta correrão unicamente por nossa conta;
d) reconhecemos o direito da CRM de aceitar ou rejeitar todas as propostas, sem que assista qualquer direito indenizatório;
e) estamos de pleno acordo com as condições de cobrança e pagamento estipuladas no Edital.
f) assumimos inteira responsabilidade pela execução dos serviços prescritos para esta licitação e nos sujeitamos às condições estabelecidas no Edital e seus Anexos.
Razão Social da proponente:
Endereço:
CNPJ:
Telefone:
Fax:
E-mail:
(localidade e data)
Representante Legal Cargo
Razão Social
ANEXO IV - CONDIÇÕES GERAIS DO CONTRATO
CONTRATO CRM-POA n° /2022
CONTRATO DE .......................... QUE ENTRE SI
CELEBRAM COMPANHIA RIOGRANDENSE DE
MINERAÇÃO (CRM) E ..............................................
COMPANHIA RIOGRANDENSE DE MINERAÇÃO (CRM), sociedade de economia mista estadual,
inscrita no CNPJ sob o nº 92.724.145/0001-53, com sede e foro nesta Capital, na Xxx Xxxxxxxx 000,
neste ato representada por seus Diretores, que ao final assinam na forma estatutária, a seguir
denominada simplesmente CONTRATANTE, e ..........................................................., inscrita no
CNPJ sob o nº ..........................., com sede na Rua/Av. .........................., Xxxxxx , no
Município de ........................(. ), neste ato representada em consonância com o disposto em seu
Contrato Social, doravante denominada simplesmente CONTRATADA, na melhor forma de direito, têm entre si justo e pactuado o presente contrato, de acordo com as disposições da Lei nº 13.303/16 e Lei 13.709/2018, vinculado ao Edital do Pregão, na forma eletrônica n° 837/2022, à Lei Estadual nº 11.389/1999, regulamentada pelo Decreto nº 42.250/2003, atualizado pelo Decreto nº 45.680/2008, e à proposta da Contratada, bem como pelo Regulamento Interno de Licitações e Contratos da CRM, que se regerá pelas cláusulas e disposições a seguir expressas:
Cláusula Primeira – DO OBJETO
1.1 - O presente instrumento tem por objeto a contratação de empresa especializada para prestação de serviços de proteção contra malwares e ataques cibernéticos em endpoints incluindo fornecimento de soluções de antimalware de próxima geração (NGAV), solução para detecção e resposta a ameaças (EDR), implementação, serviços gerenciados de segurança com resposta a incidentes, suporte técnico ilimitado 8x5, proteção 24x7x365 e garantia de atualização para 80 endpoints, conforme disposto na folha de Dados – Anexo I – do Edital do Pregão, na forma eletrônica n° 837/2022.
1.2 Justificativa:
1.2.1 Os incidentes de segurança cibernética ocorridos nos últimos anos no setor público demonstram a fragilidade dos ativos de tecnologia da informação e a necessidade de investimentos em soluções que sejam proativas nos processos de identificação e remediação de vulnerabilidades técnicas exploradas pelas ameaças cibernéticas atuais.
1.2.2 Uma ameaça explora uma ou mais vulnerabilidades, resultando em um incidente de segurança. Um incidente de segurança é toda a ação que afeta a confidencialidade, integridade e disponibilidade das informações. Dentre diversos incidentes de segurança, destacam-se os que mais afetaram o poder público em 2021, sendo eles a indisponibilidade de sistemas, o sequestro/roubo de dados e a exposição de informações sensíveis.
1.2.3 A Lei nº 13.709 de 14 de agosto de 2018 prevê que as organizações públicas e privadas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger as informações.
1.3. RESULTADOS A SEREM ALCANÇADOS
1.3.1 Elevar a proteção dos equipamentos de TI como servidores de rede, computadores pessoais e dispositivos móveis da CRM;
1.3.2 Testar a eficácia dos controles de segurança aplicados aos ativos de TI e aos colaboradores da CRM.
1.4 ESPECIFICAÇÕES GERAIS
1.4.1 A Tabela abaixo apresenta a descrição e a quantidade estimada sobre cada item que deve ser atendido pela CONTRATADA;
ITEM | DESCRIÇÃO | UNIDADE | PRAZO | QUANTIDADE |
1 | Prestação de serviços de proteção contra malwares e ataques cibernéticos em endpoints, incluindo fornecimento de soluções de antimalware de próxima geração (NGAV), solução para detecção e resposta a ameaças (EDR), implementação, serviços gerenciados de segurança com resposta a incidentes, suporte técnico ilimitado 8x5, proteção 24x7x365 e garantia de atualização para 80 endpoints, durante o período de 24 meses. | SERVIÇO | 24 meses | 1 |
1.4.2 A CRM irá fornecer a infraestrutura necessária para CONTRATADA exercer suas atividades
1.5 DETALHAMENTO TÉCNICO
1.5.1 A solução deverá possibilitar a proteção contra malwares conhecidos e desconhecidos (Zero Day) através do uso de mecanismos de inteligência artificial e autoaprendizagem de máquina (NGAV - Next-Generation Antivírus);
1.5.2 A solução deverá possuir recursos para detecção e resposta automática contra comportamentos maliciosos utilizados em ataques cibernéticos, incluindo análise forense sobre as ações do ataque (EDR - Endpoint Detection and Response);
1.5.3 Todas as funcionalidades necessárias (Features/Módulos) para atender os requisitos aqui estabelecidos deverão ser atendidas por única solução, através de uma única console de gerenciamento;
1.5.4 O licenciamento da solução deverá ser por Endpoint (computadores, notebooks e servidores de rede), satisfazendo no mínimo o quantitativo de 80 (oitenta) endpoints ;
1.6 Os itens abaixo apresentam o detalhamento de cada funcionalidade da solução:
1.6.1 Detalhamento do Módulo de Antimalware de Próxima Geração (NGAV)
1.6.1.2 A solução de proteção para endpoint deve prover proteção contra ameaças em programas maliciosos conhecidos e desconhecidos. As ameaças devem ser identificadas e neutralizadas, incluindo o código executável, scripts e exploits;
1.6.1.3 Os agentes da solução devem ser compatíveis com no mínimo os seguintes sistemas operacionais:
I) Windows XP SP3 (32 e 64 bits);
II) Windows Vista (32 e 64 bits);
III) Windows 7 (32 e 64 bits);
IV) Windows 8 e Windows 8.1 (32 e 64 bits);
V) Windows 10 (32 e 64 bits);
VI) Windows 11;
VII) Windows Server 2003 SP2 (32-bit, 64-bit);
VIII) Windows Server 2003 R2 (32-bit, 64-bit);
IX) Windows Server 2008 (64 bits);
X) Windows Server 2008 R2 (32 e 64 bits);
XI) Windows Server 2012 (64 bits);
XII) Windows Server 2012 R2 (64 bits);
XIII) Windows Server 2016 (64 bits);
XIV) Windows Server 2019 (64 bits);
XV) Windows Server 2022 (64 bits);
XVI) Mac OS X 10.9 (Mavericks);
XVII) Mac OS X 10.10 (Yosemite);
XVIII) MacOS Catalina (10.15);
XIX) MacOS Mojave (10.14);
XX) MacOS High Sierra (10.13)
XXI) MacOS Sierra (10.12)
XXII) MacOS Big Sur (11);
XXIII) MacOS Monterey (12);
XXIV) Mac OS X 10.11;
XXV) Mac OS X 10.10;
XXVI) Mac OS X 10.9;
XXVII) RHEL/CentOS 6.6 (32 e 64 bits);
XXVIII) RHEL/CentOS 6.7 (32 e 64-bits);
XXIX) RHEL/CentOS 6.8 (32 e 64-bits);
XXX) RHEL/CentOS 6.9 (32 e 64-bits);
XXXI) RHEL/CentOS 6.10 (32 e 64-bits);
XXXII) RHEL/CentOS 7.0 (32 e 64-bits);
XXXIII) RHEL/CentOS 7.1 (64 bits);
XXXIV) RHEL/CentOS 7.2 (64 bits);
XXXV) RHEL/CentOS 7.3 (64 bits);
XXXVI) RHEL/CentOS 7.4 (64 bits);
XXXVII) RHEL/CentOS 7.5 (64 bits);
XXXVIII) RHEL/CentOS 7.6 (64 bits);
XXXIX) RHEL/CentOS 7.7 (64 bits); XL) RHEL/CentOS 7.8 (64 bits);
XLI) RHEL/CentOS 7.9 (64 bits);
XLII) RHEL/CentOS 8.0 (64 bits);
XLIII) RHEL/CentOS 8.1 (64 bits);
XLIV) RHEL/CentOS 8.2 (64 bits);
XLV) RHEL/CentOS 8.3 (64 bits);
XLVI) RHEL/CentOS 8.4 (64 bits);
XLVII) RHEL 8.5 (64 bits);
XLVIII) SUSE (SLES) 11.4 (64 bits);
XLIX) SUSE (SLES) 12 incluindo SP1, SP2, SP3, SP4 (64 bits);
L) SUSE (SLES) 15 (64 bits);
LI) Ubuntu LTS/Xubuntu 14.04 (32 e 64-bits); LII) Ubuntu LTS/Xubuntu 16.04 (32 e 64-bits); LIII) Ubuntu LTS/Xubuntu 18.04 (64 bits);
LIV) Ubuntu LTS/Xubuntu 20.04 (64 bits);
LV) Amazon Linux 1 2017.9 e 2018.03 (64 bits);
LVI) Amazon Linux 2 (64 bits);
LVII) Debian 10 (64 bits);
LVIII) Oracle Linux Server 6 (64 bits); LIX) Oracle Linux Server 7 (64 bits); LX) Oracle Linux Server 8 (64 bits);
LXI) Oracle Linux Server UEK 6 (64 bits); LXII) Oracle Linux Server UEK 7(64 bits); LXIII) Oracle Linux Server UEK 8 (64 bits).
1.6.1.4 A instalação da solução de Next Generation Antivírus (NGAV) deve aceitar parâmetros de configuração e distribuição, como instalação silenciosa e definição de diretório de instalação;
1.6.1.5 Não será permitido que o instalador baixe parte do pacote de instalação da Internet ou de um servidor local;
1.6.1.6 Deve permitir a utilização de senha para prevenir a desinstalação do produto nas estações/servidores;
1.6.1.7 Deve possuir serviço de proteção contra finalização (kill) do processo da ferramenta. Também deve impedir que outros aplicativos efetuem a finalização do serviço;
1.6.1.8 Todas as funcionalidades desta ferramenta devem ser ativadas por um único produto que facilita a instalação, a configuração e o gerenciamento;
1.6.1.9 Deve ter a capacidade de realizar a análise somente dos arquivos copiados na máquina, de uma análise completa da máquina após a instalação e adicionalmente deve ser possível configurar análises recorrentes de arquivos;
1.6.1.10 Não serão aceitas soluções que detectam o malware apenas quando da execução da aplicação;
1.6.1.11 O funcionamento da solução deve operar analisando a execução da ameaça em potencial, nas camadas do Sistema Operacional (O/S), Memória e prevenindo a entrada de códigos maliciosos;
1.6.1.12 Deve possuir a capacidade de análise automática do código do arquivo, identificando suas características antes da sua capacidade de execução;
1.6.1.13 A solução deve aplicar análise baseada em algoritmo matemático, para identificar programas maliciosos antes da sua execução;
1.6.1.14 Caso seja identificado um programa malicioso, a sua execução não deve ser permitida;
1.6.1.15 A solução deve identificar e bloquear a execução de códigos executáveis (binários), scripts ou comandos;
1.6.1.16 A solução de proteção de endpoints deve detectar e prevenir qualquer alteração oriunda de código malicioso ou não-autorizado, em programas que estejam sendo executados em memória;
1.6.1.17 Deve utilizar a tecnologia de Machine Learning para identificar qualquer ameaça nos arquivos potencialmente perigosos;
1.6.1.18 A análise do malware deve ocorrer em pré-execução, ou seja, o código malicioso deve ser bloqueado antes de executar e infectar a máquina, no processo de detecção e bloqueio em pré-execução não serão aceitas tecnologias que fazem uso de análise de hashing do arquivo ou verificação do arquivo em nuvem;
1.6.1.19 Identificar ameaças avançadas (APTs), chamadas de zero day e ransomwares sem a necessidade de base de assinaturas (DATs), detecção por heurística, detecção por hashing, detecção por comportamento ou sandboxing. Todas as detecções devem ser feitas em tempo real;
1.6.1.20 Deve permitir controlar dispositivos de armazenamento conectados via USB, permitindo bloquear o acesso ou liberar. Adicionalmente deve ser possível a criação de exceções na política, pelo número de série, identificador do fabricante e tipo de dispositivo;
1.6.1.21 O controle do acesso via USB, deve ter a capacidade mínima de controlar os seguintes dispositivos:
I) Dispositivos Android;
II) Dispositivos Apple IOS;
III) Dispositivos Still Image como câmeras e Scanners;
IV) Dispositivos USB Drive (Pen Drive);
IV) Dispositivos VMWARE USB Passthrough;
V) Dispositivos portáteis Windows.
1.6.1.22 A solução não deve depender de base de assinaturas e hashes para identificação de qualquer ameaça;
1.6.1.23 Deve possuir a capacidade de extrair mais de 6 milhões de características dos arquivos potencialmente perigosos e aplicar algoritmos de análise para determinar sua intenção;
1.6.1.24 Deve prover proteção em tempo real, independente do estado de conexão da máquina, sendo:
I)Online – Com conexão com a Internet;
II)Offline – Sem conexão com a Internet.
1.6.1.25 Os módulos de proteção de memória e controle de execução devem prevenir técnicas de ataques do tipo:
I) Hijacking;
II) File Injection;
III) File Overflow;
IV) In-Memory execution;
V) Exploitation - Stack Pivot, Stack protect, Overwrite Code, RAM Scraping e Malicius Payload, System Call Monitoring, Direct System Calls, System DLL Overwrite, Dangerous COM object;
VI) Process Injection – Remote Allocation of Memory, Remote Mapping of Memory, Remote Write to Memory, Remote Write PE to Memory, Remote Overwrite Code, Remote Unmap of Memory, Remote Thread Creation, Remote APC Scheduled, DYLD Injection (Apenas para MacOS X), Doppelganger e Dangerous Environmental Variable;
VII) LSASS Read, Zero Allocate, Memory Permissions Changes in Other Processes, Memory Permission Changes in Child Processes, Stolen System Token e Low Integrity Process Start.
1.6.1.26 O módulo de proteção de memória deve possuir as seguintes ações em caso de violação:
I) Ignorar;
II) Alertar;
III) Bloquear;
IV) Terminar.
1.6.1.27 O módulo de controle e análise de scripts deve ser capaz de analisar no mínimo as seguintes linguagens:
I) PowerShell;
II) Active Scripts – Jscript;
III) WScript;
IV) CScript;
IV) Macros;
V) VBA;
VI) Python; VII)NETDLR.
1.6.1.28 O módulo de controle e análise de scripts deve possuir as seguintes ações em caso de violação:
I) Alertar;
II) Bloquear.
1.6.1.29 Caso ocorra alguma identificação de código malicioso em scripts, a ferramenta deve agir no interpretador e prevenir sua execução imediata;
1.6.1.30 Deve ser capaz de finalizar processos e sub processos em execução, caso haja a identificação de algum código malicioso sendo executado nos mesmos;
1.6.1.31 Possuir funcionalidade para análise contra ameaças em background, permitindo análises periódicas no disco contra ameaças inativas. Esta analise apenas poderá ser feita quando a estação/servidor estiver em modo ocioso, ou seja, com os recursos disponíveis para execução desta ação;
1.6.1.32 Permitir a verificação de ameaças em apenas novos arquivos;
1.6.1.33 Gerar registro (log) dos eventos de detecção de ameaças em arquivo local, com opção de upload para a console de gerenciamento;
1.6.1.34 Gerar notificações de eventos de ameaças através de alerta via Syslog ou por e-mail;
1.6.1.35 Deve possuir um módulo integrado de Anti-Exploit permitindo identificar e bloquear a execução de Exploits na máquina em memória. Este módulo deve permitir no mínimo a proteção contra ferramentas de injeção de código malicioso, como por exemplo o Shelter, além de detectar e evitar a execução de backdoors;
1.6.1.36 Deve possuir módulo integrado de bloqueio de Exploits onde não deve ser baseado em assinaturas. Deve ser capaz de bloquear estas ameaças utilizando o próprio engine de inteligência artificial e machine learning;
1.6.1.37 No modo desconectado, o endpoint deve fazer a detecção e bloqueio usando unicamente o algoritmo matemático. Não serão permitidas soluções hibridas que utilizem assinaturas (DATs), hashes ou consultas na Internet (Cloud Lookups) para a detecção neste cenário;
1.6.1.38 O endpoint deve ser certificado pela Microsoft como uma ferramenta de antivírus, sendo assim, nas plataformas Windows, a ferramenta deve ser identificada como solução de antivírus.
1.6.2 Detalhamento do Módulo Endpoint Detection and Response (EDR):
1.6.2.2 Deve possuir a capacidade de realizar uma conexão remota nas máquinas através da console de gerenciamento para coletar arquivos de logs para análise forense;
1.6.2.3 Deve possuir regras para detecção de Crypto Hijacking (Crypto mining) usando tecnologia de detecção em processadores Intel “Intel Threat Detection Technology”);
1.6.2.4 Deve possuir um instalador unificado que instala tanto o NGAV como o EDR;
1.6.2.5 Realizar obrigatoriamente análise de comportamentos com base nas táticas, técnicas e procedimentos (TTPs) listados no framework MITRE ATT&CK;
1.6.2.6 A nuvem de inteligência da solução utilizada pela console deve ser hospedada em infraestrutura de nuvem em conformidade com a norma NC14 da IN01 do DSIC/GSIPR;
1.6.2.7 O módulo de análise forense e detecção e respostas (EDR) deve permitir a monitoração contínua dos eventos, captura e gravação em modo seguro. Este módulo deve permitir analisar o comportamento do usuário ou do malware no endpoint;
1.6.2.8 Este módulo deve obrigatoriamente estar integrado ao agente do NGAV, não sendo permitida a adição de agentes adicionais;
1.6.2.9 O módulo deve ter a capacidade de coletar informações dos processos em execução da máquina e o motivo para a terminação dos processos;
1.6.2.10 O módulo deve permitir visualizar através da console web uma linha do tempo gráfica, contendo toda a sequência de eventos que ocorreram durante a execução do malware, sendo possível ainda expandir os detalhes de cada informação;
1.6.2.11 O módulo deve identificar processos que tenham sido suspensos;
1.6.2.12 Devem ser fornecidas na console, informações do identificador do processo (Process ID), nome do processo, a linha de comando de execução, o usuário logado que executou o processo, o caminho do executável, e quando disponível o hash MD5 do processo;
1.6.2.13 O módulo deve reportar eventos maliciosos em memória sendo que devem ser fornecidas no log do evento, os grupos, SID, e quantas vezes o código malicioso tentou executar em memória;
1.6.2.14 O módulo deve detectar a injeção de ameaças em funções e módulos do programa (aplicativo) executado;
1.6.2.15 Deve identificar processos suspeitos que executam em localidades não comuns, como diretórios de dados e lixeira;
1.6.2.16 Deve identificar processos que estabelecem conexões de rede externas e suspeitas (call back);
1.6.2.17 Deve ser reportado no log as conexões de redes externas e suspeitas, a origem da conexão, o destino, o tempo de início e término da conexão;
1.6.2.18 Deve identificar alterações não comuns em áreas do registro da máquina;
1.6.2.19 Deve monitorar alterações em tarefas agendadas na máquina;
1.6.2.20 Deve monitorar tentativas de escalação de privilégios;
1.6.2.21 Deve possuir a capacidade de realizar busca de ameaças na rede (IOC hunting) por arquivos, hashes, processos, DNS request, powershell trace, wmi trace, eventos do Windows, alterações de chaves de registros e conexões de rede;
1.6.2.22 Deve permitir realizar um isolamento completo da máquina que foi identificada a ameaça, este isolamento evita a propagação da mesma pela rede;
1.6.2.23 O agente deve ter a capacidade de fazer este isolamento da máquina por si só, sem necessitar de nenhuma integração com outros softwares ou dispositivos de rede para isso.
1.6.2.24 Este isolamento pode ser realizado por um tempo específico não inferior a 5 minutos, onde deve ser possível ao administrador fornecer uma chave para realizar a liberação da máquina isolada. Durante o período de isolamento a máquina não consegue realizar nenhuma conexão de rede ficando completamente sem acesso na rede;
1.6.2.25 O isolamento deve ser por completo não permitindo inclusive o ICMP para a estação isolada, garantindo assim que a ameaça não irá se propagar de nenhuma maneira;
1.6.2.26 Deve ter a capacidade de realizar através da solução o envio do arquivo da ameaça ao sistema de gerenciamento em cloud, para análise posterior;
1.6.2.27 O módulo de análise forense ou EDR deve possuir a capacidade de identificação automática de comportamentos maliciosos executados no endpoint através de um conjunto mínimo de 25 regras para Windows e 10 regras para Mac OS;
1.6.2.28 Deve possuir regras para detecção de pelo menos 65 diferentes técnicas de ataques seguindo a classificação e certificação MITRE;
1.6.2.29 Devem existir pelos menos 6 categorias de regras a serem aplicadas;
1.6.2.30 Deve ser capaz de permitir a criação de regras de detecção customizáveis utilizando linguagem JSON;
1.6.2.31 As regras devem apresentar quatro níveis de criticidade: alto, médio, baixo e informativo;
1.6.2.32 As regras devem identificar pelo menos os seguintes conjuntos de ações:
I) Tentativas de mascarar ou matar os processos no NGAV;
II) Detecção de Fileless Powershell malware;
III) Detecção da execução de comandos maliciosos em Powershell, como comandos que ocultam a execução do Powershell;
IV) Invocação maliciosa de JavaScritps com Rundll;
V) Processos de Sistema Operacional iniciados por usuários que não são SYSTEM;
VI) Executáveis iniciados do Recycle Bin;
VII) Executável criado ou lançado como executável do Windows;
VIII) Processos do Windows sendo executados em pastas fora do padrão;
IX) Processos criados com nomes confusos (tentando se passar por processos do Windows);
X) Uso do PSEXEC;
XI) Modificação de host files;
XII) Tentativa de invocação do Remote Shell;
XIII) Detecção de executável com múltiplas extensões;
XIV) Tarefas agendadas suspeitas.
1.6.2.33 Após identificar estes comportamentos o módulo de EDR deve ter a capacidade de realizar uma ação automática (sem a intervenção do operador), entre as ações automáticas customizadas, devem estar incluídas:
I) Apagar arquivos;
II) Realizar Log Off de todos os usuários, usuários remotos e usuários interativos;
III) Suspender e terminar processos;
IV) Gerar log de aplicação.
1.6.2.34 Através do dashboard deve ser possível requisitar e fazer download dos logs e evidências da causa raiz, os arquivos maliciosos ou adicionar os mesmos a quarentena global;
1.6.2.35 Deve permitir criar ou modificar as regras a critério do usuário;
1.6.2.36 A solução de EDR deve possuir um Engine Python nativo que permite a execução de scripts através da customização de respostas das regras ou por demanda via console. Não serão aceitas soluções que necessitem a instalação adicional do pacote de Python;
1.6.2.37 Deve ser possível iniciar a execução de scripts em Python na máquina infectada quando é detectado um comportamento malicioso, permitindo coletar mais informações forenses como dados do Event Viewer Windows, Registry Hives, Master File Table, histórico do navegador, logs de execução de programas no Windows;
1.6.2.38 Deve possibilitar a criação de Playbooks com um conjunto de Scripts em Python que podem ser configurados nas regras, permitindo a sua execução quando algum evento é detectado.
1.6.3 Detalhamento do Gerenciamento da Solução:
1.6.3.2 Possuir gerência centralizada e integrada, a partir de uma única console, para as todas as ferramentas integradas de segurança em estações de trabalho e servidores, de onde seja possível manter a proteção atualizada, gerar relatórios, visualizar eventos e gerenciar políticas;
1.6.3.3 Deve permitir o acesso a console de gerenciamento Web, através de protocolo seguro (HTTPS);
1.6.3.4 Deve possuir pelo menos 5 (cinco) relatórios na console WEB;
1.6.3.5 Deve possuir relatórios que permitam no mínimo: ter um sumário das ameaças identificadas, visão geral das ameaças, visão geral dos equipamentos identificando qual a versão do agente está instalada em cada um deles e quanto tempo estão offline;
1.6.3.6 Possuir comunicação segura padrão SSL entre os agentes e a console de gerenciamento da solução de segurança;
1.6.3.7 Permitir o gerenciamento através de console Web compatível com Mozilla Firefox e Google Chrome;
1.6.3.8 Deve permitir a definição de níveis diferentes de administração, onde administradores gerenciem, com diferentes níveis de privilégios, grupos de máquinas em diferentes partes do ambiente, havendo, contudo, um grupo de administradores que poderá ter uma visão completa de todo o ambiente instalado;
1.6.3.9 Deve permitir integração com diferentes ferramentas de SIEM, com opção de configurar qual informação será repassada, como:
I) Log de Auditoria;
II) Dispositivos;
III) Proteção de Memória;
IV) Controle de Scripts;
V) Ameaças;
VI) Classificação de Ameaças;
VII) Controle de Aplicação.
1.6.3.10 Deve permitir a atualização automática dos agentes, com possibilidade de permitir a homologação da atualização em grupo específico de endpoints e, posteriormente, para o ambiente de produção;
1.6.3.11 Deve suportar a inclusão de certificados digitais para que arquivos assinados com estes certificados estejam dentro de uma lista segura (Safe List) para a execução;
1.6.3.12 Forçar a configuração determinada no servidor para os clientes;
1.6.3.13 Através do console da solução deve ser exibido à lista dos clientes (servidores e estações) que possuem o endpoint instalado, contendo, no mínimo, as seguintes informações, mesmo com as máquinas desligadas:
I) Nome da máquina;
II) Endereço IP;
III) Versão do Sistema Operacional (com a versão do Service Pack);
IV) MAC Address;
V) Usuário;
VI) Versão do endpoint.
1.6.3.14 A solução de segurança deve prover no mínimo os seguintes indicadores a partir da sua console:
I) As 10 máquinas que mais receberam ocorrência de malware
II) As 10 zonas que mais receberam ocorrência de malware;
III) Os 10 malwares que mais infectaram a rede;
IV) Malwares por prioridade;
V) Malwares por classificação;
VI) Históricos de infecções em endpoints;
VII) Históricos de infecções em zonas.
1.6.3.15 Capacidade de exportar os indicadores para o formato CSV e PNG;
1.6.3.16 Possibilitar a verificação no site “Virus Total”, através de link pré-definido no resultado de uma detecção;
1.6.3.17 Possuir módulo que registre em arquivo de log todas as atividades efetuadas pelos administradores permitindo execução de análises em nível de auditoria;
1.6.3.18 Possuir um painel de controle contendo em tempo real, os indicadores que os administradores da solução julguem necessários para monitorar o ambiente.
1.6.3.19 A implementação da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR) deverá ser realizada conforme as especificações estabelecidas no item XX, incluindo a realização das integrações com os seguintes sistemas da CRM, de forma nativa ou via API (Application Programming Interface):
I) Plataforma de SIEM/Syslog;
II) Single Sign On (SSO), permitindo a autenticação utilizando recursos de federação, através do uso de Security Assertion Markup Language (SAML).
1.6.3.20 Obrigatoriamente, a CONTRATADA deverá apresentar declaração oficial e assinada pelo FABRICANTE, comprovando sua autorização no fornecimento, implementação, configuração, integração, ministrar treinamentos, prestar suporte técnico avançado e operar a solução.
1.6.4 Sobre o serviço contínuo de proteção contra malwares e ataques cibernéticos em endpoints:
1.6.4.2 O serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints tem como objetivo manter o nível de segurança adequado dos endpoints da CRM, provendo proteção avançada contra ameaças conhecidas e desconhecidas (Zero Day), bem como a resposta adequada em caso de incidentes cibernéticos em endpoints;
1.6.4.3 A CONTRATADA deverá documentar, implementar e validar todas as atividades do serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints;
1.6.4.4 A CONTRATADA deverá gerenciar, manter atualizada e garantir a integridade da solução descrita no item XX, Solução de Proteção de Endpoint de Próxima Geração
(NGAV + EDR), para executar as atividades do serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints na CRM;
1.6.4.5 O serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints deverá contemplar todos os tipos de endpoints suportados pela Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
1.6.4.6 A CONTRATADA deverá garantir que nenhum endpoint da CRM fique descoberto da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR), salvo em casos de licenciamento excedido;
1.6.4.7 A CONTRATADA deverá executar o serviço de gerenciamento de proteção contra malwares e ataques cibernéticos de forma contínua, no formato de atendimento remoto ilimitado 24x7x365 (vinte e quatro horas, sete dias por semana, trezentos e sessenta e cindo dias, incluindo feriados), durante toda a vigência do contrato;
1.6.4.8 A CONTRATADA deverá disponibilizar um canal de comunicação entre a CRM por e- mail e telefone com número 0800;
1.6.4.9 A CONTRATADA deverá realizar respostas e resolução de problemas ou interrupções não planejadas da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
1.6.4.10 A CONTRATADA deverá contemplar atuação proativa, por meio da administração e operação diária da solução e pelo contato entre as equipes técnicas da CRM;
1.6.4.11 A CONTRATADA deverá monitorar continuamente a identificação e neutralização de ameaças cibernéticas nos endpoints da CRM;
1.6.4.12 A CONTRATADA deverá realizar estudo aprofundado sobre ameaças e comportamentos suspeitos identificados e/ou neutralizados pela solução, validando se as ameaças e/ou comportamentos são legítimos, falsos positivos ou falsos negativos;
1.6.4.13 A CONTRATADA deverá realizar a liberação de aplicações, arquivos e scripts específicos classificados como confiáveis pela CRM ou pela análise de falsos positivos (política de lista branca – White List);
1.6.4.14 A CONTRATADA deverá garantir o bloqueio do uso de unidades de armazenamentos removíveis via USB (Universal Serial Buss), realizando liberações exclusivamente solicitadas e autorizadas pela CRM;
1.6.4.15 A CONTRATADA deverá atuar na contenção de ameaças identificadas pela solução, acionando a CRM quando necessário;
1.6.4.16 A CONTRATADA deverá realizar análise forense dos eventos, identificando a anatomia da tentativa de ataque e coletando evidências expressivas para a resposta ao incidente;
1.6.4.17 A CONTRATADA deverá realizar diagnósticos completos nas superfícies de ataques cibernéticos conhecidos nos endpoints utilizando o framework MITRE ATT&CK;
1.6.4.18 Além do monitoramento e resposta a incidentes, o serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints, deverá contemplar as seguintes rotinas de atividades:
1.6.4.19 A CONTRATADA deverá migrar o licenciamento da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR) de cada endpoint substituído ou reinstalado ao longo da vigência contratual;
1.6.4.20 A CONTRATADA deverá realizar a gestão do licenciamento, instalação, remoção, atualização entre outras ações da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
1.6.4.21 A CONTRATADA deverá realizar a definição, criação, implantação, personalização (tunning), exclusão e análise, ou qualquer outra atividade relacionada à manutenção das políticas e grupos de proteção aplicadas aos endpoints;
1.6.4.22 A CONTRATADA deverá realizar a definição, criação, implantação, personalização (tunning), exclusão e análise, ou qualquer outra atividade relacionada à manutenção das regras de bloqueio de comportamentos maliciosos no módulo de EDR;
1.6.4.23 A CONTRATADA deverá realizar Health Check mensalmente da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR), compreendendo:
1.6.4.24 Análise do nível de aderência às boas práticas e proteção do ambiente;
1.6.4.25 Análise das políticas e demais configurações implantadas;
1.6.4.26 Avaliar a comunicação do agente da solução com a console de gerenciamento;
1.6.4.27 Avaliar a integridade da solução em todo ambiente da CRM.
1.6.4.28 A CONTRATADA deverá realizar técnicas de identificação de problemas (troubleshooting) na Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
1.6.4.29 A CONTRATADA deverá criar relatórios específicos sobre as informações contidas na Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR). A CRM poderá exigir a criação de relatórios específicos para CONTRATADA durante toda a vigência contratual;
1.6.4.30 A CONTRATADA deverá garantir o funcionamento ininterrupto dos agentes da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR) instalados nos endpoints da CRM;
1.6.4.31 A CONTRATADA deverá realizar o suporte da solução compreendendo ações corretivas, proativas e consultivas;
1.6.4.32 A CONTRATADA deverá analisar criticamente os registros de eventos da solução;
1.6.4.33 A CONTRATADA deverá gerenciar os usuários com acesso a solução e suas permissões;
1.6.4.34 A CONTRATADA deverá realizar testes de atualização dos agentes da solução antes de implementar nos endpoints;
1.6.4.35 A CONTRATADA deverá verificar e testar novas funcionalidades do produto em um ambiente de testes de sua propriedade e, posteriormente, aplicar aa CRM;
1.6.4.36 A CONTRATADA deverá monitorar o fim da vida útil da solução (End of life) e caso surgir alguma informação relacionada, comunicar aa CRM;
1.6.4.37 Além destas atividades, a CONTRATADA deverá realizar qualquer outra atividade pertinente para a realização do serviço.
1.6.4.38 A CONTRATADA deverá possuir um canal direto com a fabricante da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR) para resolução de problemas técnicos, escalonamento de chamados e solicitações de novas funcionalidades;
1.6.4.39 A CONTRATADA deverá disponibilizar o seu sistema de chamados técnicos (sistema de Help Desk) para que a CRM realize as solicitações de atendimentos sobre o serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints;
1.6.4.40 A CONTRATADA deverá registrar através de chamados técnicos todas as suas atividades relacionadas ao serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints;
1.6.4.41 A CONTRATADA deverá respeitar os seguintes Acordos de Níveis de Serviços (SLAs - Service Level Agreement) para atendimento/suporte sobre as solicitações realizadas pela CRM e eventuais incidentes de segurança cibernética em endpoints:
SLAS PARA ABERTURAS DE CHAMADOS | |||
CRITICIDADE | SLA Atendimento | SLA RESOLUÇÃO | DESCRIÇÃO |
URGENTE | 15 Minutos | 2 horas | - Chamado referente a paralização TOTAL da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR); - Chamado referente a incidentes de segurança da informação envolvendo ameaças cibernéticas que resultam a paralização TOTAL de endpoints classificados como críticos para a CRM. |
ALTA | 30 Minutos | 4 horas | - Chamado referente a paralização PARCIAL da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR); - Chamado referente a incidentes de segurança da informação envolvendo ameaças cibernéticas que resultam a paralização PARCIAL de endpoints classificados como críticos para a CRM. - Chamado referente a incidentes de segurança da informação envolvendo ameaças cibernéticas que resultam a paralização TOTAL de endpoints que não possuem criticidade para as operações da CRM. |
MÉDIA | 1 Hora | 6 horas | - Chamado referente a incidentes de segurança da informação envolvendo ameaças cibernéticas que NÃO resultam em impactos significativos para os endpoints da CRM; |
BAIXA | 2 horas | 24 horas | - Chamado referente a problemas ou erros contornáveis que não afetam significantemente a funcionalidade da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR); - Chamado referente a consultas técnicas, dúvidas e monitoramento. |
1.6.4.42 Os prazos do Acordo de Níveis de Serviço poderão ser interrompidos nas seguintes situações:
I) Quando a CONTRATADA depender de retorno de informações por parte da CRM para execução do atendimento;
II) Quando a ocorrência depender do retorno de informações da CONTRATADA mediante concordância da CRM;
III) Quando o atendimento depender de agendamento para atendimento, onde fora acordada data/hora entre CONTRATADA e CRM.
1.6.4.43 Os status disponíveis para uso em Incidentes e Requisições são:
I) PAUSA do SLA mediante a justificativa:
a) Aguardando Fornecedor;
b) Aguardando cliente/usuário;
c) Agendado;
d) Em Homologação (somente para requisições).
II) Os status para RETOMADA do SLA mediante a justificativa:
a) Em atendimento;
b) Encaminhado;
c) Homologado (somente para requisições);
d) Não homologado (somente para requisições);
e) Reaberto.
1.6.4.44 Pausas e retomadas de tempo de atendimento só ocorrem quando tempo total não foi excedido;
1.6.4.45 É vedada a transferência do chamado, salvo, para correção de encaminhamento;
1.6.4.46 A CONTRATADA poderá realizar assentamentos ou resolver o chamado a qualquer momento, respeitando os níveis de SLA;
1.6.4.47 Após a resolução da Requisição ou Incidente pela CONTRADADA, a CRM terá um prazo de 2 (dois) dias úteis para reabrir o chamado;
1.6.4.48 A reabertura da Requisição ou Incidente será considerada como continuação do atendimento anterior, ou seja, a contagem do prazo de atendimento será retomada e não haverá ônus financeiro para a CRM em decorrência de uma possível caracterização de nova demanda;
1.6.4.49 Mensalmente, a CONTRATADA deverá enviar e, quando necessário, apresentar, pelo menos os seguintes relatórios em PDF:
I) Relatório executivo do serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints durante o período, contendo pelo menos as seguintes informações:
a) Resumo do escopo do serviço;
b) Período contabilizado;
c) Total de ameaças bloqueadas durante o período, segmentadas por malwares, scripts maliciosos e exploração de memória;
d) Listagem de todas as ameaças detectadas no período;
e) Total de ameaças em lista branca (White – List) adicionados no período;
f) Quantidade de endpoints protegidos e desprotegidos (endpoints monitorados, mas que não possuem nenhuma política de proteção aplicada);
g) Listagem de endpoints desprotegidos;
h) Consumo de licenciamento da Solução de Proteção de Endpoint de Próxima Geração (NGAV + EDR);
i) Endpoints com maior número de ameaças bloqueadas;
j) Informações relacionadas as detecções realizadas pelo módulo de EDR.
II) Relatórios de chamados sobre as atividades relacionadas ao serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints;
III) Entre outros relatórios relacionados ao serviço de gerenciamento de proteção contra malwares e ataques cibernéticos em endpoints solicitados pela CRM.
1.7 A contratada deverá manter em seu quadro de funcionários no mínimo 2 (dois) profissionais com certificação técnica oficial do fabricante da solução compatível com o objeto deste contrato.
1.7.1 Os referidos profissionais deverão estar devidamente contratados pela empresa fornecedora da solução para a realização. Em caso de desligamento do(s) profissional(is) alvo(s) deste item 1.7, deverá ser providenciado pela Contratada sua reposição.
1.8 – DA MOBILIZAÇÃO
O prazo de mobilização da Contratada é de, no máximo, 10(dez) dias úteis contados da data de assinatura do contrato.
Cláusula Segunda – DO REGIME DE EXECUÇÃO
A contratação tem por regime de execução por empreitada global, conforme disposto na folha de Dados – Anexo I – do Edital do Pregão, na forma eletrônica n° 837/2022.
Cláusula Terceira – DO PREÇO
3.1 - Para o completo atendimento ao objeto desta contratação, de acordo com as disposições do Termo de Referência (ANEXO II do Edital), a Contratante pagará à Contratada o preço total de R$ ( ).
3.2 - O preço fixado é aceito pelas partes, entendido como justo e suficiente para o adimplemento contratual, apto a fazer frente a todos os custos a incorrer pela Contratada, em especial com salários, honorários, transporte, frete, equipamentos, encargos sociais, fiscais, comerciais, trabalhistas e outros relativas à prestação dos serviços, enfim, não restando nenhuma importância adicional devida pela CRM, seja a que título for.
Cláusula Quarta – DO PAGAMENTO
O pagamento será efetuado em parcela única a partir do aceite da Nota Fiscal/Fatura pela Gestora de Contrato, desde que a referida documentação não contenha qualquer ressalva ou rasura quanto ao valor a ser pago, mediante depósito ou transferência eletrônica para a conta corrente da Contratada, situação em que a operação resultará, automaticamente, na quitação do valor cobrado, não constituindo em mora qualquer atraso decorrente do sistema empregado pelo estabelecimento bancário.
Cláusula Quinta – DO FATURAMENTO
5.1 - A Nota Fiscal/Fatura será encaminhada ao gestor do Contrato e deverá constar a razão social da CRM, o CNPJ nº 92.724.145/001-53, a Inscrição Estadual nº 096/207228, a data de emissão, a quantificação e a identificação do produto/serviço fornecido, os preços unitários e total, e o número deste Contrato.
5.2 - À Contratada é vedado negociar ou efetuar a cobrança ou o desconto de duplicata(s) emitida(s) através da rede bancária ou com terceiros.
5.3 - Em caso de apresentação de cobrança bancária, o prazo de pagamento será contado a partir da data em que a Contratada protocolar na Tesouraria da CRM, pedido de baixa anteriormente protocolado no estabelecimento bancário.
5.5 - O produto destina-se ao consumo final, não cabendo a substituição tributária.
Cláusula Sexta – DO REAJUSTE DO PREÇO
6.1 – Observado o constante na cláusula décima-sexta deste instrumento, no caso de uma renovação do contrato, o preço contratual poderá ser reajustado a cada biênio, porém o índice deverá observar a retroação de 1 (um) ano, tendo como base de aniversário a data limite para a apresentação da proposta no certame licitatório ou do último reajustamento.
6.2 – O reajuste de preços se dará de acordo com a variação do Índice de Preços ao Consumidor Amplo - IPCA, do Sistema Nacional de Índices de Preços ao Consumidor –SNIPC, ou outro que venha a substituí-lo.
6.3 – Quando do momento próprio, cabe à Contratada apresentar os cálculos, comprovar a variação e solicitar o reajuste de preços, mediante ofício circunstanciado encaminhado ao Gestor do Contrato.
6.4 – Situações diversas relativas ao reajustamento poderão ser dirimidas e/ou acordadas entre as partes, ou ainda conforme interesse da Contratante.
Cláusula Sétima – DOS ENCARGOS MORATÓRIOS
Os valores do presente contrato não pagos na data prevista serão corrigidos até a data do efetivo pagamento, pro rata die, pelo Índice de Preços ao Consumidor Amplo - IPCA, do Sistema Nacional de Índices de Preços ao Consumidor –SNIPC, ou outro que venha a substituí
Cláusula Oitava – DA GARANTIA DO OBJETO
8.1- A CONTRATADA garante que o objeto realizado/entregue é isento de defeitos de concepção, de mão-de-obra e/ou dos componentes e insumos empregados.
8.1.2- A CONTRATANTE deverá comunicar a ocorrência de qualquer defeito, após a sua constatação, obrigando-se a CONTRATADA a reparar, às suas expensas, os serviços defeituosos, no prazo fixado pela CONTRATANTE, sem qualquer custo adicional a esta.
Cláusula Nona – DOS DIREITOS E DAS OBRIGAÇÕES
9.1 Dos Direitos:
Constituem direitos da CRM receber o objeto deste contrato nas condições avençadas e da CONTRATADA perceber o valor ajustado na forma e no prazo convencionados.
9.2 Das Obrigações:
9.2.1 Constituem obrigações da CRM, além das elencadas no termo de referência – ANEXO II – do Edital em virtude do objeto:
a) efetuar o pagamento ajustado; e
b) dar à CONTRATADA as condições necessárias à regular execução do contrato.
c) Realizar as medições dos serviços executados e/ou inspeção dos materiais/equipamentos;
d) Prestar as informações e os esclarecimentos pertinentes que xxxxxx a ser solicitados pelo representante da CONTRATADA;
e) Permitir acesso dos empregados da CONTRATADA às suas dependências, conforme necessidade para a execução do objeto;
f) Não permitir execução de tarefas em desacordo com as normas preestabelecidas e rejeitar, no todo ou em parte, os serviços que sejam executados em desacordo com o Contrato, aplicando as penalidades cabíveis;
g) Formalizar, através de termo aditivo, qualquer alteração em cláusulas contratuais, as quais somente passarão a ter eficácia após publicação da súmula no Diário Oficial do Estado.
9.2.2 Constituem obrigações da CONTRATADA, além das elencadas no termo de referência – ANEXO II – do Edital em virtude do objeto:
a) prestar os serviços na forma ajustada;
b) assumir inteira responsabilidade pelas obrigações sociais e trabalhistas entre a CONTRATADA e seus empregados;
c) manter durante toda a execução do contrato, em compatibilidade com as obrigações por ele assumidas, todas as condições de habilitação e qualificação exigidas na licitação;
d) apresentar durante a execução do contrato, se solicitado, documentos que comprovem estar cumprindo a legislação em vigor quanto às obrigações assumidas na presente licitação, em especial, encargos sociais, trabalhistas, previdenciários, tributários, fiscais e comerciais;
e) assumir inteira responsabilidade pelas obrigações fiscais decorrentes da execução do presente contrato.
Xxxxxxxx Xxxxxx – DAS PENALIDADES
10.1. - A inexecução total ou parcial de qualquer cláusula ou condição estipulada neste instrumento autoriza a Contratante a imputar à Contratada, assegurada a prévia defesa no prazo de 10 (dez) dias úteis, as penalidades previstas nos arts. 83 e 84 da Lei nº 13.303/16, além das específicas a seguir estabelecidas:
10.1.1 – Advertência: pela execução insatisfatória ou pequenas falhas no desenvolvimento dos serviços.
10.1.2 – Multas:
10.1.2.1 - O descumprimento do prazo de mobilização acarretará multa equivalente a 0,5% (meio por cento) ao dia, limitado a 10%, calculada sobre o valor total do contrato. Atraso superior a 20 dias é motivo suficiente para a rescisão do contrato.
10.1.2.2 - Inexecução total ou parcial das disposições contratuais acarretará multa de 5 % (cinco por cento) do valor total do contrato.
10.1.3 - Suspensão temporária do direito de licitar e impedimento de contratar com a Administração Pública Estadual pelo prazo de até 02 (dois) anos, sem prejuízo da rescisão do contrato bem como da adoção das demais medidas legais e judiciais cabíveis, conforme previsão contida na Lei Estadual n° 11.389/1999, regulamentada pelo Decreto Estadual n° 42.250/2003.
10.2. - A(s) multa(s) aplicada(s) à Contratada e os prejuízos por ela causados à Contratante serão deduzidos da garantia apresentada ou de qualquer crédito devido a ela, ou cobrados diretamente ou judicialmente.
10.3. - A(s) penalidade(s) de multa(s) poderão ser aplicada(s) cumulativamente com as demais sanções e não isentarão a Contratada da obrigação de indenizar eventuais perdas, danos ou prejuízos que venha a causar à CRM.
10.4. As sanções previstas nesta Cláusula não elidem a aplicação das penalidades estabelecidas na Lei Federal n° 12.846/2013, conforme o disposto no seu art. 30.
10.5. A autoridade competente, na aplicação das sanções, levará em consideração a gravidade da conduta do infrator, o caráter educativo da pena, bem como o dano causado à Administração, observado o princípio da proporcionalidade.
Cláusula Décima Primeira – DA RESCISÃO
11.1 O contrato poderá ser rescindido por acordo entre as partes, na hipótese de conveniência concreta para a CONTRATANTE, ou por ato unilateral da CONTRATANTE, nas hipóteses abaixo:
11.1.1 Não cumprimento ou cumprimento irregular de cláusulas contratuais, especificações, projetos ou prazos;
11.1.2 Atraso injustificado no início ou na execução da obra, serviço ou fornecimento, sem justa causa e prévia comunicação, comprometendo os prazos estipulados;
11.1.3 Subcontratação total ou parcial do seu objeto, não admitidas no edital e no contrato ou não autorizadas pela CONTRATANTE;
11,1,4 Qualquer alteração societária, modificação da finalidade ou da estrutura da contratada, não comunicadas ou que comprometam a execução do contrato;
11,1,5 Desatendimento das determinações regulares da autoridade designada para acompanhar e fiscalizar a sua execução, assim como as de seus superiores;
11,1,6 Descumprimento dos procedimentos de segurança;
11,1,7 Cometimento reiterado de faltas na sua execução, devidamente registradas, inclusive referentes ao não atendimento de exigências documentais, sejam próprias, de terceiros ou da mão-de-obra alocada para a realização do objeto;
11,1,8 Decretação de falência ou a instauração de insolvência civil; 11,1,9 Dissolução da sociedade ou o falecimento do contratado;
11,1,10 Razões de interesse público, de alta relevância e amplo conhecimento, justificadas e determinadas pela máxima autoridade administrativa;
11.1.11Descumprimento dos preceitos constitucionais acerca do trabalho de menores; 11.1.12Descumprimento de preceitos éticos ou desatendimento de legislação ou políticas de
combate à corrupção e outras práticas ilícitas;
11.2 Nas hipóteses de rescisão unilateral – item 11.1 - a CONTRATANTE informará a data do efetivo encerramento dos serviços, se for o caso, e concederá o prazo de 10 (dez) dias úteis para defesa prévia e outros 10 (dez) dias úteis para recurso.
11.3 A eventual tolerância da CONTRATANTE, para com a CONTRATADA, na hipótese de descumprimento por parte desta, de qualquer cláusula ou dispositivo contratual, não importará em novação, desistência ou alteração contratual, nem impedirá a CONTRATANTE, de exercer, a qualquer tempo, contra a CONTRATADA, os direitos ou prerrogativas que, através do presente instrumento, ou por dispositivo legal, lhe são assegurados.
11.4 A rescisão por ato unilateral da CONTRATANTE, sem prejuízo da aplicação das sanções administrativas pertinentes, acarreta as seguintes consequências, se for o caso:
11.4.1 Assunção imediata do objeto do contrato, no estado e local em que se encontrar, por ato próprio da CONTRATANTE;
11.4.2 Ocupação e utilização do local, instalações, equipamentos, material e pessoal empregados na execução do contrato, necessários à sua continuidade, mediante posterior indenização, se for o caso;
11.4.3 Execução da garantia de fiel cumprimento, para ressarcimento da CONTRATANTE dos valores das multas e indenizações devidos;
11.4.4 Retenção dos créditos decorrentes do contrato até o limite dos prejuízos causados à CONTRATANTE.
11.5 Quando da extinção ou da rescisão contratual, o fiscal deve verificar o pagamento pela CONTRATADA das verbas rescisórias ou a comprovação de que os empregados serão realocados em outra atividade de prestação de serviços, sem que ocorra a interrupção do contrato de trabalho.
11.6 Até que a CONTRATADA comprove o disposto no item anterior, a CONTRATANTE deverá reter, primeiro, a garantia prestada e, depois, os valores das faturas ainda não pagas, podendo utilizá- los para pagamento direto aos trabalhadores no caso de a empresa não efetuar os pagamentos no prazo legal, conforme artigo 11, do Decreto Estadual n.º 52.214, de 30 de dezembro de 2014.
11.7 O termo de rescisão, sempre que possível, será precedido de:
11.7.1 Levantamento dos eventos contratuais já cumpridos ou parcialmente cumpridos;
11.7.2 Relação dos pagamentos já efetuados e ainda devidos;
11.7.3 Valores de indenizações e multas pagos e a pagar.
11.8 A CONTRATADA somente poderá requerer a rescisão unilateral do contrato, na incidência das seguintes hipóteses, de responsabilidade da CONTRATANTE:
11.8.1 Atraso superior a 90 (noventa) dias dos pagamentos devidos, em relação à data do vencimento;
11.8.2 Suspensão da execução do contrato ou dilação do prazo de entrega por mais de 120 (cento e vinte) dias, por ordem unilateral da CONTRATANTE;
11.8.3 Não atendimento de pressupostos contratuais de responsabilidade da CONTRATANTE, de modo a inviabilizar a execução do objeto;
11.9 Nas hipóteses de rescisão unilateral do item 11.8 a CONTRATADA informará previamente a CONTRATANTE da data em que pretende encerrar a execução contratual, nunca inferior a 30 (trinta) dias do recebimento da notificação, e concederá o prazo de 10 (dez) dias úteis para manifestação da CONTRATANTE e outros 10 (dez) dias úteis para reconsideração, se for o caso.
Cláusula Décima Segunda– DA CESSÃO E DA SUBCONTRATAÇÃO
É expressamente vedada a cessão do contrato, no todo ou em parte, seja a que título for, bem como a subcontratação de terceiros para sua execução, salvo se autorizada por escrito pela CRM.
Cláusula Décima Terceira – DAS ALTERAÇÕES CONTRATUAIS
Eventuais alterações contratuais reger-se-ão pela disciplina do art. 81, da Lei Federal nº 13.303/2016, restando nulo qualquer acordo ou alteração que não seja celebrado através de termo aditivo específico, que deve ser publicado no Diário Oficial do Estado.
Cláusula Décima Quarta – DOS DOCUMENTOS VINCULADOS
Para todos os efeitos legais, mantêm vínculo com este termo de contrato o Edital do Pregão, na forma eletrônica, nº 837/2022 e seus anexos, o processo PROA 22/04820000345-8 e a proposta da Contratada.
Cláusula Décima Quinta – DAS RETENÇÕES
15.1 - Nas Notas Fiscais deverão ser destacados todos os impostos incidentes de acordo com o tipo de serviço:
- IRRF;
- IRPJ;
- ISSQN, de acordo com a legislação municipal e/ou distrital;
- PIS/PASEP;
- COFINS;
- CSLL;
- Contribuição previdenciária, conforme percentual previsto na legislação própria.
15.2 - O valor total da nota fiscal deve ser o mesmo valor do serviço.
15.3 – Se a empresa for optante do SIMPLES deverá apresentar, juntamente com cada nota fiscal, declaração de que é regularmente inscrita no Sistema Integrado de Pagamento de Impostos e Contribuições das Microempresas e das Empresas de Pequeno Porte (Simples), conforme Anexo I, da Instrução Normativa SRF nº 459, de 18/10/2004, publicada no DOU de 29/10/2004, e posteriores alterações. A não apresentação desta declaração sujeita o prestador de serviço às retenções na fonte da Contribuição Social sobre o Xxxxx Xxxxxxx (CSLL), da Contribuição para o Financiamento da
Seguridade Social (COFINS), e da Contribuição para o PIS/PASEP a que se refere o art. 30 da Lei nº 10.833, de 29/12/2003 e IRRF conforme IN SRF nº 23/1986.
15.4 – A empresa que possuir isenção, imunidade, diferimento, redução de base de cálculo de algum tipo de imposto, deverá destacar no corpo da nota fiscal a fundamentação legal.
15.5 - As notas fiscais que não estiverem preenchidas de acordo com as regras acima serão devolvidas ao fornecedor para a emissão de nova nota fiscal, contando-se o prazo de pagamento a partir da data do protocolo de recebimento da nova documentação preenchida de forma correta, sem erros e rasuras.
15.6. As empresas dispensadas de retenções deverão entregar declaração, anexada ao documento de cobrança, em duas vias assinadas pelo representante legal, além de informar sua condição no documento fiscal, inclusive o enquadramento legal.
Cláusula Décima Sexta – DA VIGÊNCIA CONTRATUAL
16.1. O prazo de vigência da contratação será de 24 (vinte e quatro) meses, contado da data de assinatura do termo de contrato, prorrogável por sucessivos períodos até o limite de 60 (sessenta) meses.
16.2. A Contratada não tem direito subjetivo à prorrogação contratual.
Cláusula Décima Sétima - DO RECURSO FINANCEIRO
As despesas decorrentes do contrato serão suportadas pela receita operacional da CRM, e lançadas à Conta de Orçamento de Caixa (COC) 35.30.45 (fornecedores diversos-despesa sede).
Xxxxxxxx Xxxxxx Xxxxxx – DA FISCALIZAÇÃO
Para exercer ampla fiscalização durante a fluência contratual, a CRM designa como Gestor do Contrato o Sr. Xxxxxxx Xxxxx xxx Xxxxxx, responsável pela aprovação de cobranças, “aceite” de Notas Fiscais, acompanhamento da evolução da prestação dos serviços, assim como pelas comunicações à Contratada, sempre que for o caso, a respeito da constatação de incorreções e não conformidades, para a devida reparação.
Cláusula Décima Nona – DA EFICÁCIA
O presente contrato somente terá eficácia depois de publicada a respectiva súmula no Diário Oficial do Estado do Rio Grande do Sul.
Cláusula Vigésima – DO VALOR DO CONTRATO
Para efeitos legais, referenciado a esta data, é dado ao presente contrato o valor de R$ ( ).
Cláusula Vigésima Primeira – DO FORO
Fica eleito o Foro da cidade de Porto Alegre (RS) para dirimir eventuais dúvidas incidentes sobre a presente avença, com renúncia a qualquer outro, por mais privilegiado que seja.
Cláusula Vigésima Segunda– DAS DISPOSIÇÕES GERAIS
22.1 – As partes firmatárias expressam a absoluta inexistência de vínculo trabalhista e de relação de subordinação entre os obreiros designados pela Contratada e a CRM.
22.2 – A Contratada responsabiliza-se integralmente por toda e qualquer demanda trabalhista ou cível que venha a ser interposta judicialmente por qualquer um de seus obreiros disponibilizados em face da presente contratação, não respondendo a CRM por qualquer imputação, seja ela sob a forma da
solidariedade ou da subsidiariedade.
22.3 – A eventual tolerância da CRM, em qualquer hipótese de inadimplência da Contratada, não importará em novação ou renúncia de direitos, nem impedirá a CRM de exercer contra a Contratada a qualquer tempo, todos os direitos e prerrogativas que através do presente instrumento lhe são assegurados.
22.4 – Todas as comunicações relativas ao presente contrato serão consideradas como regularmente feitas, se entregues ou enviadas por carta protocolada, telegrama, fax ou e-mail, na sede dos contratantes.
22.5 – Os casos omissos ou duvidosos serão dirimidos por comum acordo entre as partes.
22.6 – A Contratada anui, se aplicável ao objeto, expressamente aos requisitos e disposições do Decreto Estadual n° 52.215/2014, com as alterações promovidas pelo Decreto Estadual n° 52.716/2015, em especial à retenção do pagamento em caso de descumprimento das obrigações trabalhistas e previdenciárias.
E, por estarem de pleno acordo com estas cláusulas e condições, os contratantes lavram o presente instrumento em 3 (três) vias de igual teor e forma, que depois de lido, conferido e achado conforme em todos os seus termos, é assinado na presença das testemunhas abaixo elencadas, para que produza jurídicos e legais efeitos.
Porto Alegre (RS),
Pela CONTRATANTE:
Xxxxxx Xxxxxxx Xxxxxx Xxxx Xxxxxxx Xxxxx Xxxxxxxxx
Diretor Presidente Diretor Administrativo
Pela CONTRATADA:
Nome: Cargo:
Testemunhas:
Assinatura: Assinatura:
Nome: Nome:
Nº CPF/RG: Nº CPF/RG: