TERMO DE REFERÊNCIA – SERVIÇO DE TI
TERMO DE REFERÊNCIA – SERVIÇO DE TI
OBJETO
Contratação de prestação de serviço de TI aplicada a inteligência e segurança corporativa, na modalidade SaaS – Software como serviço, com o objetivo de prevenir e antecipar ações as ameaças identificadas, realizando monitoramento, captura, armazenamento, processamento, busca e alertas baseados em informações de fontes abertas, fóruns e blogs pré-determinados, mídias sociais, deep web e dark web.
TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE SOLUÇÕES DE TI
1) OBJETO:
Serviço de inteligência aplicada a segurança corporativa, na modalidade SaaS –
software como serviço ou SaaS, com o objetivo de prevenir e antecipar ações as ameaças identificadas, realizando monitoramento, captura, armazenamento, processamento, busca e alertas baseados em informações de fontes abertas, fóruns e blogs pré-determinados, mídias sociais, deep web e dark web com até 20 (vinte) acessos simultâneos e criação de no mínimo 500 (quinhentos) alertas simultâneos, com suporte pelo período de 60 (sessenta) meses.
1.1)O serviço a ser contratado é considerado relevante?
( ) | Sim | (X ) | Não |
1.2)A presente demanda envolve a contratação de pelo menos um dos serviços abaixo?
SIM | NÃO | |
Processamento de dados | ( ) | (X) |
Armazenamento de dados | ( ) | (X) |
Computação em Nuvem | ( ) | (X) |
1.3)Há interesse das Entidades Ligadas ao BB (ELBB) na contratação:
Sim Não
2) JUSTIFICATIVAS PARA CONTRATAÇÃO
• Não se aplica
3) DEFINIÇÕES DO PROCEDIMENTO LICITATÓRIO
3.1) Ata de Registro de Preços
Não
3.2) Lote único?
Sim
3.3) Caso negativo, indique a quantidade de lotes?
Não se aplica
3.4) Indique as justificativas para a composição dos lotes:
Não se aplica
3.5) Descrição dos lotes
Não se aplica
3.6) Cota reservada para ME/EPP:
Não se aplica
3.7) Enquadramento Legal (RLBB):
Não se aplica
4) ESPECIFICAÇÃO TECNICA
4.1) Prazo de Validade das Propostas: 120 (cento e vinte) dias corridos.
4.2) Ramo de atividade/Linha(s) de fornecimento de serviços (SICAF):
O fornecedor deverá estar cadastrado para a linha de fornecimento compatível com o objeto licitado.
4.3) Documentação Técnica:
4.3.1) Na proposta comercial, a Proponente deverá discriminar, no mínimo, o modelo e a versão do(s) produto(s) ao(s) qual(is) prestará os serviços. Caso o licitante não seja o próprio fabricante, deverá apresentar declaração de que, na data da contratação, possui parceria vigente com o fabricante da solução, bem como capacidade de manter o produto identificado no objeto do presente edital, conforme descrito no item 7.1.2.14.
4.3.2) A comprovação da exigência contida no item anterior se dará pela apresentação de declaração emitida pelo fabricante em até 05 (cinco) dias úteis após a convocação, juntamente com a documentação das funcionalidades da solução.
4.3.3) A Proponente deverá entregar a seguinte documentação:
4.3.3.1) O Proponente deverá entregar toda documentação do software, assim como as de suas atualizações no decorrer do contrato. A documentação de
atualizações deverá ser entregue juntamente com o Termo de atualização de software a ser expedido pelo fabricante.
4.3.3.2) Concessão de acesso ao portal de serviços do próprio fabricante, onde será possível acessar a documentação e os termos de atualização de software emitidos conforme item anterior.
4.3.3.3) Proposta de modelo de relatório de atividades e serviços a serem desempenhados (vide item 9.3.2).
4.3.3.4) A proposta solicitada no item anterior será analisada pela equipe do Banco e deverá ser ajustada, caso avaliada necessidade de ajustes, em até 5 (cinco) dias úteis, para o “de acordo” das partes.
4.3.3.5) Documento de iniciação do serviço, contendo todo o modelo e fluxo de atendimento (sites do fabricante e Proponente, e-mails e telefones de contato para o suporte técnico do Proponente, contatos do(s) Gerente(s) de Suporte e Manutenção do Proponente que atenderão o Banco, chaves de acesso aos ambientes de suporte web do fabricante e da Proponente e demais informações pertinentes). O fluxo de atendimento deve contemplar minimamente os passos definidos no item 7.3 - Condições de Garantia e Assistência Técnica, Manutenção e Suporte Técnico, e prever todo o atendimento definido no item 10 - Acordo de nível de serviço ou Nível Mínimo de Serviço Exigido (NMSE).
4.4)Atestado(s) de capacidade técnica
A ser fornecido por pessoa jurídica de direito público ou privado, que comprove a aptidão da proponente a desempenhar a atividade pertinente e compatível com o ramo de atividade, de acordo com o objeto.
4.5)Condições para adjudicação
A adjudicação se dará com o atendimento de todas as exigências presentes neste documento.
4.6)Informação sobre a possibilidade de participação de xxxxxxxxx
Não será aceita a formação de consórcio.
4.7)Preço estimado da contratação
4.7.1) Discriminado em itens separados nas propostas de preços, de modo a permitir a identificação do seu preço individual na composição do preço global.
4.7.2) Na carta proposta a Proponente deverá discriminar na tabela abaixo o preço mensal, anual e total geral dos serviços, conforme tabela a seguir:
Planilha de Preços | ||||
Item | Qtd. | Valor Mensal | Valor Anual | Valor Total (60 meses) |
Serviço de TI aplicada a inteligência e segurança corporativa, na modalidades SaaS – Software como serviço, e seu suporte técnico com o objetivo de prevenir e antecipar ações e ameaças identificadas, realizando monitoramento, captura, armazenamento, processamento, busca e alertas baseados em informações de fontes abertas, fóruns e blogs pré-determinados, mídias sociais, deep web e dark web. | Ilimitado. | |||
Suporte técnico a solução | - | |||
Transferência de Conhecimento | 2 | |||
Total Geral |
4.8)Este serviço é de natureza continuada e não haverá dedicação exclusiva de mão de obra.
5)
SUBCONTRATAÇÃO/PARCELA(S) DE MAIOR RELEVÂNCIA PARA O RAMO
DA EMPRESA CONTRATAR:
5.1) Caso o Proponente não seja o fabricante da solução, é facultado subcontratar os serviços de suporte técnico diretamente com o fabricante.
6) GARANTIA FINANCEIRA DA EXECUÇÃO CONTRATUAL:
Será exigida Garantia Financeira no percentual equivalente a 5% (cinco por cento) do valor total do contrato. A garantia visa o pagamento de eventuais multas decorrentes do descumprimento dos termos do contrato ou do Nível Mínimo de Serviço Exigido - NMSE, conforme item 10 deste documento.
7)
ESPECIFICAÇÕES TÉCNICAS E CONDIÇÕES DE PRESTAÇÃO DOS
SERVIÇOS
7.1) Definição das responsabilidades do contratante e da Proponente
7.1.1) Deveres e Responsabilidades da Contratante:
7.1.1.1) Avaliar periodicamente o cumprimento dos níveis mínimos de serviço da Proponente, e tomar as medidas contratuais cabíveis em caso de descumprimento, em especial os relativos à disponibilidade, segurança da informação, entre outros.
7.1.1.2) Efetuar o pagamento à Proponente dentro dos prazos preestabelecidos em Contrato.
7.1.1.3) Aplicar à Proponente as sanções administrativas regulamentares e contratuais cabíveis.
7.1.1.4) Preencher e enviar a Ordem de Serviços de acordo com os critérios estabelecidos neste Termo de Referência.
7.1.1.5) Recusar, com a devida justificativa, qualquer serviço entregue fora das especificações constantes na proposta da Proponente.
7.1.1.6) Comunicar à Proponente todas e quaisquer ocorrências relacionadas à prestação dos serviços.
7.1.2) Deveres e Responsabilidades da Proponente:
7.1.2.1) Fornecer os serviços conforme especificações técnicas definidas neste Termo de Referência.
7.1.2.2) Manter capacidade de execução dos serviços definidos e estimados neste Termo de Referência.
7.1.2.3) Responsabilizar-se pela confidencialidade, integridade e disponibilidade dos dados e informações a que a Proponente e seus representantes tenham acesso em decorrência dos serviços prestados.
7.1.2.4) Cumprir fielmente os Níveis Mínimos de Serviço estabelecidos neste Termo de Referência, contratualmente, ou decorrentes de legislação aplicável.
7.1.2.5) Assegurar à Contratante os recursos técnicos e tecnológicos necessários para transição e portabilidade dos serviços em caso de distrato, descumprimento, interrupção ou encerramento de vigência contratual.
7.1.2.6) Entregar todos os serviços, bem como manuais e relatórios, que
comprovem o atendimento das especificações técnicas.
7.1.2.7) Prestar todos os esclarecimentos técnicos que lhe forem solicitados pelo Gestor do Contrato, relacionados com as características e funcionamento dos serviços.
7.1.2.8) Prestar suporte técnico dos serviços, na forma e nos prazos estabelecidos.
7.1.2.9) Comunicar à Contratante, por escrito, qualquer anormalidade de caráter urgente em relação aos serviços que forem objetos do Contrato e prestar os esclarecimentos necessários.
7.1.2.10) Indicar, formalmente, preposto apto a representá-la junto à Contratante, que deverá responder pela fiel execução do Contrato.
7.1.2.11) Atender prontamente quaisquer orientações e exigências dos Fiscais do Contrato e do Gestor do Contrato inerentes à execução do objeto contratual.
7.1.2.12) Reparar quaisquer danos causados à Contratante ou a terceiros, por culpa ou dolo de seus representantes legais, prepostos ou empregados, em decorrência da presente relação contratual, não excluindo ou reduzindo essa responsabilidade da fiscalização quando do acompanhamento da execução dos serviços pela Contratante.
7.1.2.13) Propiciar todos os meios e facilidades necessárias à fiscalização dos serviços pela Contratante, cujo representante terá poderes para sustar o serviço, total ou parcialmente, a qualquer tempo, sempre que considerar a medida necessária, e recusar materiais e serviços empregados que não atendam aos termos contratuais.
7.1.2.14) Xxxxxx, durante toda a execução do contrato, as mesmas condições da Habilitação, inclusive parceria oficial com o fabricante da solução.
7.1.2.15) Emitir fatura no valor pactuado e nas condições do Contrato, apresentando-a à Contratante para pagamento.
7.1.2.16) Disponibilizar, por ocasião da assinatura do Contrato, pontos de contato dos responsáveis pelo suporte técnico e manutenção, contemplando nomes e telefones, bem como promover sua atualização sempre que for alterada ou a cada seis meses.
7.1.2.17) Substituir os serviços reprovados na aceitação, dentro do prazo estabelecido na Ordem de Serviço, sem ônus para a Contratante.
7.1.2.18) É responsabilidade da Proponente prestar a entrega do serviço conforme especificado neste documento.
7.1.2.19) A Proponente deverá cumprir os itens descritos do Anexo 1 Especificações Técnicas com base nos relatórios que o Contratante disponibilizará para consulta a um representante da Proponente. O não
cumprimento deste item acarretará em multa contratual descrita no item 6.2 deste documento.
7.2)Fornecimento mínimo
Não se aplica
7.3) Requisitos funcionais e não funcionais
Conforme especificações contidas no Anexo 1 – Especificações Técnicas, anexo deste documento.
7.4) Condições de Garantia e Assistência Técnica, Manutenção e Suporte Técnico
7.4.1) A Proponente prestará os serviços definidos neste termo de referência, pelo período de 60 (sessenta) meses, a contar do dia da integração completa com o ambiente do Banco.
7.4.2) Os atendimentos vinculados aos serviços deverão ocorrer em tempo real, após abertura de chamado técnico:
7.4.2.1) Através de telefone; e/ou
7.4.2.2) Através de ferramenta web; e/ou
7.4.2.3) Através de App disponibilizado para equipamentos Android ou iOS; e/ou
7.4.2.4) Através de visita técnica presencial.
7.4.3) A Proponente deverá disponibilizar ao Contratante serviço de atendimento telefônico gratuito e rede internet (web) ou similar, para tratar de resolução de incidentes, dúvidas relacionadas à configuração, gerenciamento e operação da solução.
7.4.4) A Proponente deverá disponibilizar atendimento e suporte ao Contratante, por intermédio de seus canais de atendimento técnico, durante horário comercial, fuso brasileiro.
7.4.5) Todas as despesas necessárias à execução dos serviços quando da necessidade de passagem de conhecimento, incluindo despesas de passagens e hospedagens com possível necessidade da presença de pessoa indicada pelo fabricante, deverão estar incluídas no custo proposto para a prestação dos serviços.
7.4.6) A Proponente se obriga a substituir, mediante solicitação formal e a critério
do Contratante, qualquer de seus empregados designados para executar os serviços objeto da presente contratação, que não esteja correspondendo aos padrões estabelecidos pelo Contratante, seja por motivos técnicos ou comportamentais.
7.4.7) Caso algum incidente seja resolvido por meio da aplicação de uma solução de contorno (temporária), a Proponente terá novos prazos para a aplicação de solução definitiva, conforme a criticidade do incidente, definidos neste documento (vide item 10 - NMSE).
7.4.8) O chamado do Contratante permanecerá aberto até que a Proponente o solucione e providencie o aceite do Contratante. Para dar a concordância no fechamento do chamado, o Contratante verificará se a solução foi efetiva. Caso não tenha tido solução ou a efetividade da solução não possa ser comprovada e/ou averiguada, o chamado permanecerá aberto e os prazos permanecerão sendo contados a partir da abertura inicial do chamado.
7.4.9) O fechamento de um chamado técnico se dará somente com a total e expressa concordância do Contratante com a solução apresentada. A Proponente poderá ser advertida e/ou penalizada caso encerre o chamado técnico sem a concordância do Contratante.
7.4.10) A Proponente ficará desobrigada do cumprimento dos níveis de serviço enquanto a prestação de serviços estiver prejudicada em função de impedimento ou retardo decorrente de responsabilidade comprovada do Contratante.
7.4.11) O planejamento e o cronograma das atividades serão previamente acordados entre a Proponente e o Contratante.
7.4.12) Durante a vigência do contrato, a Proponente deve disponibilizar ao Contratante o direito de acesso a todas as atualizações e modificações disponibilizadas pelo fabricante (releases, patches, hotfixes, fixpacks, firmwares, atualizações de assinaturas, etc.), da solução de TI, sem cobrança de qualquer custo adicional. Estas versões deverão ser disponibilizadas para o Contratante no prazo máximo de 7 (sete) dias corridos, contados da disponibilização no mercado.
7.4.13) Os serviços de manutenção podem ser classificados como:
7.4.13.1) Manutenção corretiva: efetuada quando da disponibilização, por parte do fabricante, de componente de software com vistas a corrigir um comportamento disfuncional do software ou uma falha de segurança, derivado de engenharia do produto, e que é aplicado sobre uma determinada versão.
7.4.13.2) Manutenção preventiva: efetuada periodicamente para avaliação da saúde da solução com vistas a evoluí-la, garantindo a melhoria de sua eficiência (desempenho, disponibilidade e qualidade). Podem ser habilitadas novas funcionalidades, implementados novos componentes, efetuados versionamentos dos componentes ou ainda revisão da arquitetura da solução.
7.4.14) A partir do início da prestação do serviço, a Proponente informar ao Contratante com antecedência mínimo de 1 (uma) semana qualquer manutenção preventiva e corretiva que a solução de TI possa necessitar.
7.4.15) Assegurar que quando a solução for utilizada, ela funcionará em conformidade com as especificações, de forma contínua e sem interrupção, analisando os pré-requisitos para as atualizações de versões e implementações que garantam a performance e disponibilidade.
7.4.16) Avaliar e atuar em quaisquer chamados técnicos abertos pelo Contratante de forma a apoiar a resolução de problemas respeitando os prazos constantes no NMSE do item 10.
7.4.17) Transferência contínua de conhecimento através de esclarecimento de dúvidas sobre a utilização, operacionalização e procedimentos quanto atualização dos produtos;
7.5)Transferência de conhecimento para utilização da solução:
7.5.1) O repasse deve ser focado na disseminação do conhecimento para funcionários selecionados pelo Contratante. Deve constar todas as informações importantes e necessárias para a operação do produto adquirido pelo Contratante.
7.5.2) A Proponente deverá realizar o primeiro encontro no prazo máximo de 30 (trinta) dias corridos, contados a partir da assinatura do contrato e sem custos adicionais para o Banco do Brasil com a apresentação do planejamento do treinamento;
7.5.3) O repasse de conhecimento se dará por meio de encontros presenciais ou de forma remota a critério do Contratante, orientadas por instrutor certificado pelo fabricante, conforme as condições a seguir:
7.5.3.1) Deverão ser formadas duas turmas: uma no turno matutino e a outra no turno vespertino, em datas não coincidentes.
7.5.3.2) Cada turma deverá contar com até 12 (doze) funcionários designados pelo Contratante.
7.5.3.3) Cada encontro deverá ter duração máxima de 6 (seis) horas diárias.
7.5.4) O cronograma de realização das reuniões será definido em comum acordo entre o Contratante e a Proponente.
7.5.5) As atividades poderão ser realizadas, a critério do Contratante, em Brasília/DF.
7.5.6) Os encontros para repasse de informações e experiências deverão ser feitos com o material de transferência de conhecimento oficial do fabricante.
7.5.7) A Proponente deverá apresentar documento declarando a quantidade de participantes das reuniões de treinamento (voucher).
7.5.8) Ao final de cada transferência de conhecimento o proponente deverá entregar um certificado de conclusão a cada um dos participantes;
7.5.9) Deverá ocorrer a transferência, no mínimo, dos seguintes temas:
7.5.9.1) Configuração e operação da solução;
7.5.9.2) Resolução de problemas;
7.5.9.3) Administração e gerenciamento dos papeis de acesso;
7.5.9.4) Segurança: tecnologias e mecanismos implementados.
7.5.10) O encontro deverá ser realizado no idioma português (Brasil).
7.5.11) Para a realização das atividades, a Proponente deverá providenciar todos os recursos necessários para a realização das atividades, tais como a infraestrutura e o material de apoio, exceto eventuais despesas com transporte, alimentação e hospedagem dos participantes indicados pelo Contratante.
7.5.12) A Proponente deverá apresentar na proposta técnica, a programação das reuniões de repasse de conhecimento, o conteúdo programático que será tratado e o material de apoio, para análise e aprovação pelo Contratante.
7.5.13) Caso a solução adquira novas funcionalidades durante o período de vigência da garantia, a Proponente deverá promover encontros de atualização para os funcionários do Contratante, utilizando os mesmos moldes da primeira reunião de transferência de conhecimento, porém, com foco nas atualizações da solução.
8) SERVIÇOS AGREGADOS A INVESTIMENTO
Os serviços a serem contratados não envolvem valores previstos no ORFIX.
Os serviços a serem contratados ENVOLVEM valores previstos no ORFIX.
CÓDIGO PBMS | EVENTO CDA | ITEM DA LC 116 | QUANTIDADE |
7.80.140.721486 | Ilimitado |
9) CLÁUSULAS CONTRATUAIS
9.1) Condições de Pagamento
As condições de pagamento serão aquelas estabelecidas na minuta padrão do contrato.
Outras: Especificar.
9.1.1) Informação sobre a decisão de parcelamento ou não da Solução:
O pagamento ocorrerá de forma mensal de acordo com a execução e suporte do serviço e um único pagamento para Transferência de Conhecimento após sua total execução.
9.2) Das sanções Administrativas e multas contratuais.
9.2.1) Além das infrações administrativas previstas em edital, nos termos da Lei nº 13.303/16 e do RLBB, a Proponente ficará sujeita, sem prejuízo da responsabilidade civil e criminal, às seguintes sanções:
Utilizar os percentuais de multa estabelecidos na minuta padrão de contrato.
Utilizar os percentuais de multa abaixo:
Multa moratória de % ( por cento) por dia de atraso injustificado
sobre o valor da parcela inadimplida, até o limite de ( ) dias;
Multa compensatória de % ( por cento) sobre o valor total do
contrato, no caso de inexecução total do objeto;
Em caso de inexecução parcial, a multa compensatória, no mesmo percentual do subitem acima, será aplicada de forma proporcional à obrigação inadimplida;
9.3) Definições do modelo de execução do contrato
9.3.1) Rotinas de execução:
Prazos de fornecimento ou execução dos serviços | • Disponibilização da documentação prevista no item 4.3, em até 5 (cinco) dias corridos após a assinatura do contrato. • A integração da solução com o ambiente do |
Contratante em até 15 (quinze) dias após a convocação. O prazo poderá ser estendido caso haja alguma pendência do Contratante para que seja feita a integração. • Disponibilidade da solução em até 5 (cinco) dias corridos, após a integração com o ambiente do Contratante; • Transferência de conhecimento da solução em até 30 (trinta) dias corridos após a integração realizada; • | |
Horário prestação dos serviços de suporte técnico | • 8h – 19h – De segunda a sexta-feira |
Local(is) da prestação de suporte técnico | • Brasília – SAUN Xxxxxx 0, Xxxx X, 00 ANDAR – Xx. Xxxx XX - Xxx Xxxxx, Xxxxxxxx - XX, 00000-000 |
9.3.2) Documentos e relatórios a serem apresentados durante a vigência do contrato
9.3.2.1) A Proponente deverá disponibilizar relatórios periódicos, a serem definidos pelo Contratante, sobre logs de acesso dos usuários do Contratante na solução;
9.3.2.2) Além desses, deverão ser entregues os relatórios constantes no Anexo I - Especificação Técnica.
9.3.3) Obrigações do contratante, quando couber:
9.3.3.1) Conforme consta na Especificação.
9.3.4) Obrigações da Proponente, quando couber:
9.3.4.1) Conforme consta na Especificação.
9.4) Quantificação ou estimativa prévia do volume de serviços demandados a serem fornecidos, para comparação e controle:
Não se aplica.
9.5) Definição de mecanismos formais de comunicação a serem utilizados para troca de informações entre a Proponente e a Administração, adotando-se preferencialmente as Ordens de Serviço.
Ordens de serviço e/ou e-mail
9.6) Aspectos de Segurança:
9.6.1) Os empregados, sócios, diretores e mandatários da Proponente deverão manter total sigilo e confidencialidade dos serviços prestados ao Contratante no que se refere a não divulgação, por qualquer forma, de toda ou parte das informações ou documentos a ele relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados.
9.6.2) A Proponente também deve respeitar as imposições relativas ao sigilo bancário.
9.6.3) A Proponente deve respeitar integralmente as normas de segurança estabelecidas pelo Contratante e atender os padrões de segurança e controle para acesso e uso das instalações e equipamentos do Contratante, zelando por sua integridade, mantendo sigilo e considerando confidenciais todos os dados e informações pertinentes aos serviços prestados.
9.6.4) A Proponente irá gerenciar a segurança das informações e dados para restringir o acesso não autorizado e deve garantir que seus empregados e representantes estejam inteiramente cientes dos riscos associados com problemas inerentes à segurança da informação.
9.6.5) A Proponente obriga-se por si, seus empregados, sócios, diretores e mandatários, manter total sigilo e confidencialidade dos serviços prestados ao Banco do Brasil no que se refere à não divulgação, por qualquer forma, de toda ou parte das informações ou documentos a eles relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados por força do contrato. Também se compromete a respeitar as imposições relativas ao sigilo bancário às quais o Banco está sujeito.
9.6.6) A Proponente obriga-se a revelar as informações decorrentes deste documento, exclusivamente, a seus prepostos e funcionários diretamente envolvidos nas atividades que fazem uso ou tenham acesso permanente ou eventual às mesmas.
9.6.7) A obrigação das partes de não divulgação das informações tidas como sigilosas e confidenciais sobreviverá à rescisão do contrato, até que ocorra a liberação pela parte proprietária das informações, por determinação judicial ou pela ocorrência dos eventos indicados no contrato com liberadores dessa obrigação.
10)
ACORDO DE NÍVEL DE SERVIÇO OU NÍVEL MÍNIMO DE SERVIÇO
EXIGIDO (NMSE):
10.1) Em até 5 dias úteis após a assinatura do contrato, a Proponente entregará documento de iniciação da integração da solução com o ambiente do Banco contendo todo o modelo e fluxo de atendimento.
10.2) A Proponente deverá solucionar os problemas de funcionamento incorreto da suíte de software, de acordo com a classificação de criticidade a seguir e os respectivos prazos para resolução:
Criticidade | Ocorrência | Prazo de Resolução do Problema |
C0 | INOPERANTE - O sistema de produção está parado e/ou infecção generalizada, requerendo atenção imediata. | 2 Horas |
C1 | CRITICO - Um problema que causa impacto crítico nas operações, mas que não paralisa sistema em produção. O produto está em operação, mas com restrições severas. | 4 Horas |
C2 | NÃO CRÍTICO - Um problema não crítico, que permite ainda, a utilização da maioria das funções. | 24 Horas |
C3 | FALHA - Falha ou problema de pequena proporção que não afeta a função de produção, solicitação de novas versões e atualizações. | 48 Horas |
C4 | INFORMATIVO – A solução não apresenta nenhuma falha ou problema, mas existem dúvidas ou necessidade de consultoria para a solução. | 72 Horas |
10.3) Após o primeiro retorno e a devida análise do problema, a criticidade poderá ser redefinida pela Proponente em comum acordo com o Contratante.
10.4) A criticidade do incidente somente poderá ser alterada para nível mais baixo que o nível atual com o respectivo aceite do Contratante e, neste caso, o prazo para solução do incidente contará a partir da abertura original do chamado. Caso o impacto de um incidente já aberto evolua para uma severidade mais alta, a severidade deve ser alterada para refletir a nova situação e, neste caso, o prazo para solução do incidente contará a partir da alteração da severidade.
10.5) O Contratante poderá aplicar à Proponente, descontos por descumprimento dos prazos de solução de problemas durante o período de suporte, por hora ou fração de hora de atraso, limitado a 35% (trinta e cinco por cento) do valor do pagamento mensal, de acordo com os níveis de criticidade e os percentuais abaixo:
10.5.1) Nível de Criticidade “C0”: 1% (um por cento);
10.5.2) Nível de Criticidade “C1”: 0,8% (zero vírgula oito por cento);
10.5.3) Nível de Criticidade “C2”: 0,5% (zero vírgula cinco por cento);
10.5.4) Nível de Criticidade “C3”: 0,3% (zero vírgula três por cento);
10.5.5) Nível de Criticidade “C4”: 0,1% (zero vírgula um por cento).
10.6) A Proponente deverá também atender os alertas e resultados do monitoramento proveniente das pesquisas automáticas e manuais, de acordo com a classificação de atendimento a seguir. A falta de efetividade descrita nas ocorrências resultará em descontos nas mensalidades seguintes:
Criticidade | Ocorrência | Desconto |
A0 | 50% das pesquisas realizadas de forma automática ou 80% das pesquisas manuais não retornarem nenhum resultado no período de 3 (três) meses. | Desconto de 20% na próxima fatura. |
A1 | 40% das pesquisas realizadas de forma automática ou 70% das pesquisas manuais não retornarem nenhum resultado no período de 3 (três) meses. | Desconto de 10% na próxima fatura |
A2 | 20% das pesquisas realizadas de forma automática ou 50% das pesquisas manuais não retornarem nenhum resultado no período de 3 (três) meses. | Desconto de 5% na próxima fatura |
10.7) Caso a Proponente possua um SLA próprio com base na efetividade de resultados do SaaS deverá apresentar na pesquisa de preço obrigatoriamente em duas propostas separadas. A primeira contendo o SLA proposto pelo Banco e outra apresentando o SLA próprio. Solicitamos que o SLA sugerido seja entregue nos moldes do cabeçalho da tabela ilustrada no item 10.6
Matriz de Riscos
10.7.1) Os riscos decorrentes de fatos supervenientes à contratação, associados à escolha da solução de projeto básico pelo Banco, deverão ser alocados como de sua responsabilidade na matriz de riscos, a qual deverá conter, no mínimo, as informações abaixo (art. 83 do RLBB):
10.7.1.1) Listagem de possíveis eventos supervenientes à assinatura do contrato, impactantes no equilíbrio econômico-financeiro da avença, e previsão de eventual necessidade de prolação de termo aditivo quando de sua ocorrência;
10.7.1.2) Estabelecimento preciso das frações do objeto em que haverá liberdade das Proponentes para inovar em soluções metodológicas ou tecnológicas, em obrigações de resultado, em termos de modificação das soluções previamente delineadas no anteprojeto ou no projeto básico da licitação;
10.7.1.3) Estabelecimento preciso das frações do objeto em que não haverá liberdade das Proponentes para inovar em soluções metodológicas ou tecnológicas, em obrigações de meio, devendo haver obrigação de identidade entre a execução e a solução pré-definida no anteprojeto ou no projeto básico da licitação.
MATRIZ DE RISCOS PADRÃO
CATEGORIA DO RISCO | DESCRIÇÃO | CONSEQUÊNCIA | ALOCAÇÃO DO RISCO |
Risco atinente ao Tempo da Execução | Atraso na execução do objeto contratual por culpa do Contratado. | Aumento do custo do produto e/ou do serviço. | Contratado |
Fatos retardadores ou impeditivos da execução do Contrato próprios do risco ordinário da atividade empresarial ou da execução. | Aumento do custo do produto e/ou do serviço. | Contratado | |
Fatos retardadores ou impeditivos da execução do Contrato que não estejam na sua álea ordinária. | Aumento do custo do produto e/ou do serviço. | Contratante | |
Risco da Atividade Empresarial | Alteração de enquadramento tributário, em razão do resultado ou de mudança da atividade empresarial, bem como por erro do Contratado na avaliação da hipótese de incidência tributária. | Aumento ou diminuição do lucro do Contratado. | Contratado |
Variação da taxa de câmbio. | Aumento ou diminuição do custo do produto e/ou do serviço. | Contratado | |
Elevação dos custos operacionais para o desenvolvimento da atividade empresarial em geral e para a execução do objeto em particular, tais como aumento de preço de insumos, prestadores de serviço e mão de obra. | Aumento do custo do produto e/ou do serviço. | Contratante |
10.8) Vigência contratual.
O instrumento contratual terá vigência de 60 meses.
Caso seja necessária que a vigência ultrapasse os cinco anos, justifique:
Não se aplica
10.9) Xxxxx Xxxxxx:
Não será exigido.
Serão exigidos, no mínimo dias de aviso prévio.
11) ANEXOS:
11.1) Plano de Fiscalização
11.1.1) Conforme NMSE definido no item 10.
11.1.2) Conforme Condições de Pagamento definidas no item 9.1.
11.1.3) O Plano de fiscalização será apresentado após a assinatura do contrato.
11.2) Modelo(s) de procedimento(s) operacional(is).
11.2.1) Conforme item 4 deste documento.
11.2.2) Minuta de termo de compromisso, contendo declaração de manutenção de sigilo e respeito às normas de segurança vigentes, a ser assinado pelo representante legal da Proponente.
11.2.3) Seguir as orientações estabelecidas na minuta padrão de contrato.
Anexo I – Especificações Técnicas
1 ESPECIFICAÇÕES TÉCNICAS
1.1 Realizar o monitoramento na internet (fontes abertas, redes sociais, aplicativos de mensagens instantâneas, fóruns, blogs, deep web e dark web) permitindo pesquisas automatizadas previamente cadastradas, periódicas, manuais, avulsas e conforme estabelecido pelo Banco do Brasil nos contextos descritos no item 1.2;
1.2 Permitir a pesquisa de informações nos seguintes contextos:
1.2.1 Ameaças cibernéticas;
1.2.2 Resposta a Incidentes;
1.2.3 Prevenção de perdas de dados;
1.2.4 Proteção de Marca;
1.2.5 Risco de Terceiros;
1.2.6 Pessoas;
1.2.7 Fraudes;
1.2.8 Domínios Web;
1.2.9 Ameaças Internas.
1.2.10 TTP (Techniques, Tactics and procedures)
1.2.11 Campanhas maliciosas
1.2.12 IOC (Indicators of compromise)
1.2.13 2.Grupos hackes (Threat Actors)
1.3 Realizar a extração de informações considerando, no mínimo, as redes conhecidas como Clear Web (Internet aberta), Deep Web (Internet profunda) e Dark Web (Internet negra);
1.4 Não limitar quantidade de recursos pesquisados;
1.5 A solução deve possuir mecanismo de captura automatizado de informações em sites, fóruns, blogs, aplicativos de mensagens instantâneas, mídias sociais e arquivos de logs;
1.6 Disponibilizar, por meio de interface web e REST, mecanismo de buscas utilizando, no mínimo, as seguintes modalidades: Proximidade, Fuzzy (Difus), lógica binária, expressões regulares, operadores lógicos (“AND”, “OR” e “NOT”), caracteres wildcard relevância;
1.7 A API REST deve suportar o retorno de informações no mínimo em XML e JSON;
1.8 Permitir que os resultados exibidos sejam ordenados conforme o interesse do usuário, sendo, no mínimo, ordenáveis por data e hora, da postagem mais recente para a mais antiga;
1.9 Permitir que o usuário escolha a quantidade de resultados por página, exibindo a quantidade mínima de 20 (vinte), e expondo todas as informações encontradas pela busca;
1.10 Realizar a detecção de domínios recentemente registrados que possam oferecer, no mínimo:
2.10.1 Riscos e serem utilizados de forma maliciosa, variações comuns de nome, permutações de caracteres e outros (typosquatting);
2.10.2 Descoberta de páginas de phishing ativas utilizando o nome, a marca e a identidade visual do Banco e seu conglomerado;
2.10.3 Capacidade de detecção de páginas de phishing por meio de tecnologia OCR (reconhecimento óptico de caracteres);
2.10.4 Validar domínios suspeitos em repositórios de phishing;
1.11 Permitir que o usuário tenha acesso à informação com a possibilidade de realizar o download do conteúdo original pela plataforma de forma segura (criptografada);
1.12 Permitir que o usuário salve os resultados das pesquisas realizadas;
1.13 Permitir a atualização do resultado das pesquisas realizadas anteriormente com a sinalização das atualizações;
1.14 Realizar a retirada de registros falsos positivos antes da entrega de alertas e resultados provenientes de pesquisas periódicas e automáticas.
1.15 Permitir, através de interface amigável, as pesquisas realizadas através de filtros, no mínimo: usuário que fez a consulta, período determinado, assunto/contexto, tipo da fonte e tipo de pesquisa (manual ou automatizada).
1.16 Permitir através de interface amigável respostas imediatas as requisições manuais feitas sobre contextos e seus relacionamentos pesquisadas em diferentes fontes;
1.17 A solução deve salvar em banco de dados todas as pesquisas automáticas e as descritas no item 1.12 durante a vigência do contrato;
1.18 Permitir a pesquisa de contas de usuários nas redes sociais por, no mínimo, telefone, nome, apelido e e-mail;
1.19 Permitir exportar qualquer pesquisa realizada de forma manual ou automática para os seguintes formatos: HTML, PDF, CSV e DOCX;
1.20 A solução deve de forma automática ou manual, criar perfis/avatar por tipo de rede social, para, no mínimo: Twitter, Facebook, Instagram, Snapchat e Linkedin, para a realização de pesquisas;
1.21 A solução deve conter previamente avatares de redes sociais e com participação de fóruns na clear web, deep web, dark web em contextos descritos no item 1.2.
1.22 Permitir a pesquisa e monitoramento, promovendo visibilidade em inúmeras fontes, como fóruns hackes, mercado negro, ferramentas de comunicação instantâneas, no mínimo: Telegram, Whatsapp e Messenger (Facebook)
1.23 Permitir a transcrição de áudios, fotos e vídeos capturados em aplicativos de mensagens instantâneas;
1.24 Disponibilizar as informações das pesquisas por, no mínimo: intervalo de data, contexto, metadados e tipo da fonte;
1.25 Possuir interface de fácil visualização para demonstrar os resultados das buscas por cada tipo de fonte realizada, (fontes abertas, fóruns, blogs, redes sociais, aplicativos de mensagens instantâneas, deep web e dark web);
1.26 Exibir os endereços ou IP nos resultados das pesquisas realizadas na Deep Web
e Dark Web;
1.27 Exibir os relacionamentos de pessoas pesquisadas por um determinado contexto ou seleção feita;
1.28 Informar anomalias nos registros “WhoIS” dos domínios monitorados;
1.29 Detectar páginas internas que estejam expostas na internet;
1.30 Identificar as vulnerabilidades dos domínios monitorados que foram tornadas públicas;
1.31 Extrair metadados de cada publicação com, no mínimo: texto, endereço eletrônico, identificador e Timestamp;
1.32 Possuir a busca automática de novas publicações das contas cadastradas conforme um agendamento pré-configurado
1.33 Coletar novas publicações feitas pela conta desde a última coleta ou que não constam na última pesquisa, incluindo data, horário e fuso horário da das coletas realizadas;
1.34 Coletar todas as publicações já feitas pela conta, mesmo que estas sejam anteriores à primeira sincronização na ferramenta;
1.35 A solução deverá manter sincronia com as associações de contexto e pessoas já realizadas e com as novas buscas;
1.36 Efetuar coleta de dados com a utilização de perfil/avatar em fóruns e blogs requisitados pelo Banco do Brasil;
1.37 No caso de exclusão de publicações em redes sociais, as mesmas não deverão ser excluídas da solução;
1.38 Disponibilizar ambiente para criação e controle de alertas com as mesmas possibilidades que o ambiente de busca oferece, exibindo os alertas já criados, respeitando as permissões de acesso dos usuários e/ou grupos aos quais pertencem;
1.39 Permitir de forma automática ou manual a criação de alertas por periodicidade ou por expressão de busca;
1.40 Implementar alertas de forma ativa para, no mínimo, e-mail, SMS e API.
1.41 Definir endereços de e-mails que receberão os alertas e relatórios;
1.42 Permitir a ativação, desativação, edição e exclusão de alertas existentes, conforme permissões de acesso;
1.43 Executar automaticamente os alertas ativos, em tempo real ou conforme agendamento configurado;
1.44 Enviar para e-mails do Banco do Brasil os alertas dos resultados encontrados, que deverão incluir no mínimo: tipo da fonte, contexto procurado, e o Timestamp do momento da geração do alerta;
1.45 Os e-mails enviados poderão ser baseados em modelos de e-mail existentes no sistema, tais como web e JSON;
1.46 Permitir customização do alerta enviado por e-mail;
1.47 Possibilitar o envio de e-mails criptografados, de acordo com os padrões de segurança a serem validados pelo Banco do Brasil;
1.48 Permitir a criação de alertas, no mínimo, nos seguintes contextos:
1.48.1 Novas vulnerabilidades sobre os servidores e maquinas Linux e Windows;
1.48.2 Intenções de ataques a vulnerabilidades afetem os ambientes do Banco do Brasil;
1.48.3 Intenções de ataques que tenham como objetivo os recursos pesquisados ou o seu nicho de atuação;
1.48.4 Campanhas relevantes de “hacktivismo”;
1.48.5 Comercialização online ilegal de itens financeiros com ênfase aos produtos relacionados ao Banco do Brasil;
1.48.6 Atividades fraudulentas relacionadas aos recursos pesquisados;
1.48.7 Pessoas envolvidas em atividades contra o sistema financeiro, com ênfase ao Banco do Brasil, (ex.: funcionários, clientes vítimas, terceirizados, contratados);
1.48.8 Códigos maliciosos (malwares) direcionados para os recursos pesquisados;
1.48.9 Discussões online que divulguem ou acompanhem informações dos recursos monitorados com ênfase no Sistema Financeiro Nacional do Brasil - SFN.
1.49 Permitir a emissão de relatórios e gráficos;
1.50 Exibir todos os relatórios e gráficos no painel de bordo (dashboard)
1.51 Permitir exportar todos os relatórios e gráficos de forma manual ou automática para os seguintes formatos: HTML, PDF, CSV e DOCX;
1.52 Possuir a capacidade de analisar dados coletados, fornecendo um painel de visualização que contemple, no mínimo, as seguintes funcionalidades: visualização de perfis relacionados a palavras-chave, realização de buscas nos dados incluindo buscas avançadas com critérios e entidades diferentes, vínculos com outros indivíduos;
1.53 Emitir alertas e relatórios de inteligência sobre ameaças iminentes e tendências em períodos de tempo pré-definidos, conforme listados abaixo;
1.53.1 Online;
1.53.2 Diário;
1.53.3 Semanal;
1.53.4 Mensal;
1.53.5 Anual;
1.53.6 Determinado;
1.54 Disponibilizar um ambiente para administração das pesquisas realizadas e alertas cadastrados;
1.55 Permitir o gerenciamento manual de perfil/avatar de redes sociais, fóruns e blogs cadastrados na solução, realizando a inclusão, alteração e exclusão.
1.56 Disponibilizar neste ambiente de administração os resultados das pesquisas com no mínimo, os seguintes campos: nome, data, idioma, endereço web, contexto, usuário, tipo e quantidade de resultado da busca;
1.57 Permitir que o Banco do Brasil possa realizar inclusão, alteração e exclusão de
login e senha dos usuários, sem a intervenção do fornecedor da solução;
1.58 O Proponente deverá ainda fornecer condições necessárias para integração com serviços auxiliares (ex: servidor de Ldap, AD, Single Sign-On, Saml, HTTP).
1.59 O Proponente deverá fornecer 2FA para autenticação dos usuários no mínimo com SMS, Email e OTP. Essa regra se aplica para plataforma web.
1.60 A solução deverá restringir o acesso de usuários por range de IP provenientes da rede do Banco que será disponibilizado.
1.61 Deve ser capaz de receber chamadas REST API via serviço web utilizando o protocolo HTTPS com TLS 1.2 com autenticação no mínimo: chave e senha e certificado.
1.62 Disponibilizar a administração e gerenciamento de perfis de acesso e grupos de trabalho;
1.63 Criar e gerenciar usuários, permitindo, no mínimo, configurar, habilitar e desabilitar: múltiplos logins de um usuário, comprimento e complexidade de senhas,
troca de senha no primeiro login, troca de senha periodicamente, ativação/inativação de usuários, grupos a que o usuário pertence, time a que usuário pertence.
1.64 Para a criação de usuário, as informações mínimas são: nome de usuário, senha, status (ativo/inativo), grupos e time.
1.65 Disponibilizar a criação e gerenciamento de grupos de usuários, com diferentes perfis de acesso e utilização da ferramenta. Os perfis mínimos que a ferramenta deverá disponibilizar são: administrador, configuração, alerta e usuário;
1.66 Permitir a opção de criação de times, para a utilização de diferentes alertas entre os times, ficando vedada a visualização das buscas e alertas a usuários de times diferentes;
1.67 Disponibilizar a criação de diferentes projetos/trabalhos para cada time, possibilitando que o usuário salve os resultados das pesquisas, individualmente, por projeto;
1.68 Disponibilizar usuário ou grupo de usuários (com perfil de administradores) com acesso total aos recursos disponibilizados da solução, bem como acesso aos dados e alertas de outros usuários;
1.69 Permitir a criação de grupos de usuários por perfil de acesso e visualização;
1.70 Permitir que dentro dos grupos sejam criados projetos, onde todos os usuários participantes tenham acesso aos projetos relacionados ao grupo.
1.71 Permitir ao Banco solicitar buscas detalhadas e geração de relatórios de inteligência com base em alertas e resultados gerados previamente pela solução.
1.72 Encaminhar ao Banco por e-mail relatórios de inteligência detalhados e personalizados com base em alertas e resultados previamente recebidos.
1.73 Disponibilizar por meio de interface amigável os relatórios de inteligência gerados com base em alertas e resultados previamente recebidos.
1.74 Dentro do projeto, o usuário poderá:
1.74.1 Salvar as consultas e disponibilizar para outros usuários;
1.74.2 Criar, gerenciar e excluir alertas;
1.74.3 Salvar tabelas de dicionários para o uso em pesquisas.
1.75 Permitir que o usuário escolha o projeto de trabalho por meio da página de configuração.
1.76 A solução deve ser disponibilizada em plataforma web.
1.77 A solução deve ser pelo menos acessada no navegador Mozilla Firefox.
1.78 Gerar e armazenar trilhas de auditoria que permitam o rastreamento de ações efetuadas em todos as contas de usuários. Os registros de logs devem conter, no mínimo, a data e hora do evento, origem de acesso, usuário, hostname do equipamento e ação/pesquisa efetuada.
1.79 No caso de descontinuidade do serviço após a vigência ou interrupção do contrato, o Proponente deverá entregar ao Banco os resultados das pesquisas descritas no item 1.15 e disponibilizar em um modulo de consulta web para realização dos dados armazenados.
1.80 O módulo web deverá ser instalado nos servidores compartilhados do Banco seguindo as diretrizes da infraestrutura abaixo:
1.80.1 O lado servidor a ser instalado o módulo deverá ser compatível com, no mínimo, um dos seguintes sistemas operacionais (plataforma x86 64 bits em ambiente virtualizado), e suas versões superiores:
1.80.1.1 Windows Server 2016;
1.80.1.2 Red Hat Enterprise Linux 7.1;
1.80.1.3 Suse Linux Enterprise Server 12 SP3.
1.80.2 A solução deverá suportar multiprocessamento. Quando instalada em máquinas multiprocessadas, deve estar habilitada para utilizar todos os processadores;
1.80.3 Deverá ser instalada em servidores com hardware de arquitetura x86 virtualizados em sua infraestrutura tecnológica de servidores, deve ser compatível com o hypervisor VMware VSphere ESX versão 6.5 e superiores;
1.80.4 Os dados deverão estar armazenados em SGBDs e deverá ser pelo menos, um dos seguintes, na versão apontada ou superior:
1.80.4.1 IBM DB2 z/OS V11 NFM;
1.80.4.2 IBM DB2 LUW pureScale 10.5;
1.80.4.3 Oracle RAC 12c;
1.80.4.4 MySQL 5.6;
1.80.4.5 PostgreSQL 9.6.2;
1.80.4.6 SQL Server 2016.
1.80.5 Os filtros da consulta deverá seguir o item 1.14