Contract

Anexo I

1 – DO OBJETO

TERMO DE REFERÊNCIA - TR

Pregão Eletrônico nº 004/2013

1.1 – Contratação de empresa para o fornecimento de licenças de uso de softwares para auditoria e análise inteligente das políticas de segurança aplicadas à infraestrutura de firewall da Rede Governo e de automação inteligente do processo de alteração de políticas de segurança nos firewalls, contemplando a prestação de serviços de assistência técnica, instalação, configuração e treinamento.

2 – DA INFRAESTRUTURA DE FIREWALL

2.1 - Os softwares deverão controlar todos os firewalls do PRODERJ, doravante denominado Contratante, baseados em CheckPoint, sendo um total de 11 (onze) gateways agrupados em 05 (cinco) clusters de 02 (dois) gateways cada e 01 (um) firewall EDGE, a saber.

a) 02 (dois) clusters baseados em appliances da Check Point 21400;

b) 02 (dois) clusters baseados em appliances Nokia / Check Point IP 560;

c) 01 (um) cluster baseado em appliance Check Point 4810;

d) 01 (um) firewall EDGE VPN-1 Modelo SBX – 166LHGE-2.

3 – DAS ESPECIFICAÇÕES TÉCNICAS DOS SOFTWARES DE AUDITORIA E DE AUTOMAÇÃO

3.1 - SOFTWARE DE AUDITORIA

3.1.1 - O software para auditoria e análise inteligente das políticas de segurança a ser fornecido para infraestrutura de firewall da Rede Governo deverá possuir a capacidade de gerenciar as políticas de firewall, roteadores, VPNs e dispositivos relacionados;

3.1.2 - O software deve permitir o monitoramento das alterações de política, planejamento de mudanças, otimização de rulesets e identificar riscos e regras fora de conformidade, para garantir que os dispositivos estejam adequadamente configurados.

3.1.3 - O software deverá adicionalmente possuir as seguintes características:

a) Ser compatível com firewalls Check Point, além de integração com ACLs e equipamentos Cisco;

b) Ter a capacidade de informar riscos de segurança na política com base em padrões definidos de Mercado. Ex. CVE;

c) Ter a capacidade de emitir alertas automaticamente em caso de alterações de configuração nos dispositivos monitorados;

d) Ter a capacidade de fornecer relatório no formato CSV informando as alterações que foram feitas no firewall, em um determinado intervalo de tempo. Esse relatório deve conter, no mínimo, o horário da alteração e o usuário responsável;

e) Ter a capacidade de auxiliar no gerenciamento de usuários fornecendo informação de, no mínimo, de criação de novos usuários, lista completa de usuários de VPN, grupos de usuários, métodos de autenticação dos usuários, data de expiração dos usuários;

f) Sugerir melhor ordenação das mesmas de modo a obter melhor desempenho;

g) Ter a capacidade de informar sobre a utilização de regras, informando, no mínimo, as regras mais usadas, o percentual de utilização dessa regra em comparação as demais regras e a última vez que a regra foi usada;

h) Ter a capacidade de informar sobre a utilização de objetos e regras com, no mínimo, as seguintes informações: Regras não usadas, objetos não contidos em regras e objetos contidos em regras, porém não usados;

i) Ter a capacidade de comparar a base de regras do firewall com baselines padrão de Mercado e fornecer um relatório de conformidade com o padrão utilizado na comparação. O produto deve possuir no mínimo os padrões SOX, ISO 17799, HIPPA e PCI, além de possuir informações de vulnerabilidades do padrão CVE;

j) Ser capaz de comparar duas políticas de firewalls diferentes, ou plataformas diferentes no sentido de facilitar trabalhos de migração de plataformas. Essa comparação deve ser permitida entre os fabricantes compatíveis com a solução;

k) Fornecer informação sobre regras inativas pelo atributo “tempo de expiração”, além de informações sobre regras prestes a expirar. O produto deve permitir envio de alertas sobre regras a expirar e o parâmetro de dias precedentes à expiração deve ser configurado;

l) Ter a capacidade de informar sugestões e detalhes de otimização de regras, do tipo: regras que podem ser agrupadas, regras redundantes e regras duplicadas;

m) Ter a capacidade de emitir alertas em caso de alterações de configuração;

n) Permitir a emissão de relatórios de conformidade com base nos padrões SOX, PIC-DSS e ISO 27001;

o) Informar se a versão do firewall não está mais sendo suportada pelo fabricante;

p) Ter a capacidade de gerar diagramas topológicos dos firewalls monitorados;

q) Possuir a capacidade de pesquisar por bloqueio ou permissão de acesso em regras de um firewall específico ou um grupo de firewalls. Essa pesquisa deverá permitir como critérios, o IP de origem, IPs de destino e serviço, além da combinação entre esses critérios;

r) Ter a capacidade de gerar informação sobre regras em todos os firewalls monitorados incluindo um servidor, ou grupo de servidores específicos;

s) Ter a capacidade de gerar relatório com a informação de tráfego permitido entre a rede externa para a rede interna;

t) Ter a capacidade de identificar serviços vulneráveis permitidos nos sentidos de tráfego LAN-DMZ (Vice versa) ou Internet-DMZ (Vice versa) ou LAN-Internet (Vice versa);

u) Ter a capacidade de informar ACLs em rotadores Cisco que não estão aplicadas às interfaces de rede;

v) Coletar os logs diretamente do Check Point ou do Syslog Server; e

w) Informar todos os detalhes de uma mudança de configuração: Quem, Quando, onde e o que foi alterado.

3.1.4 – Quantidade do Software de Auditoria

3.1.4.1 - O software deverá possuir licenciamento completo para atender aos 11 (onze) gateways, conforme o subitem 2.1, garantindo que todos os seus recursos sejam plenamente utilizados, sem nenhuma restrição por falta de licenciamento.

3.2 - SOFTWARE DE AUTOMAÇÃO

3.2.1 - O software de automação inteligente do processo de alteração de políticas de segurança a ser fornecido para infraestrutura de firewall do Contratante deverá possuir a capacidade de automatizar todo o ciclo de vida do processo de criação de regras — Incluindo análise de risco, implantação, validação e auditoria;

3.2.2 - O software deverá adicionalmente possuir as seguintes características:

a) Ser compatível com firewalls Check Point, além de integração com ACLs e equipamentos Cisco;

b) Ser capaz de implementar um fluxo de alteração de configuração de firewall contendo no mínimo três entidades: Solicitante, Aprovador, Executor;

c) Gerenciar automaticamente a comunicação entre as entidades, mediante as suas respectivas ações. Exemplo, o aprovador vai ser avisado pelo sistema a cada nova solicitação com todos os detalhes desta solicitação, por consequência o executor vai ser avisado quando o aprovador aprovar o ticket e todos os envolvidos serão avisados quando o ticket for executado;

d) Ser capaz de identificar que uma solicitação de criação de regra ou alteração não é necessária e que essa comunicação já está permitida e/ou roteada;

e) Tratar a solicitação de acesso, levando em consideração, para o planejamento da mudança, informações de regras dos firewalls monitorados e de roteamento dos roteadores monitorados;

f) Atender às solicitações de criação de regra, sugerindo a criação e/ou alteração de regras e/ou criação e/ou adição de rotas. Todos esses itens aplicáveis aos dispositivos monitorados pelo produto;

g) Fornecer informações sobre vulnerabilidades conhecidas para os serviços contidos na solicitação de criação e/ou alteração de regras;

h) Xxxxxxxx ao executor o planejamento detalhado da mudança, uma vez autorizada. Os detalhes devem conter no mínimo as seguintes informações: Posição da nova regra no “ruleset” do firewall, campos exatos que devem ser alterados ou preenchidos, informação que deve conter no comentário da regra, firewalls onde devem ser realizadas as mudanças e rotas que devem ser criadas ou alteradas;

i) Possuir workflow nativo para solicitações de remoção de regras. Esse workflow deve informar todos os tickets relacionados à regra que será removida bem como a informação de quem solicitou tal regra;

j) O workflow de remoção de regras deve informar a todos os requisitantes, que originalmente solicitaram a criação dessa regra, que a mesma será removida;

k) Manter registro de todas as solicitações, aprovações e execução de alterações nos dispositivos monitorados. Esses registros devem estar disponíveis para emissão de relatórios de auditoria a qualquer tempo;

l) Possuir um assistente tipo “wizard” para auxiliar a solicitação de criação de regras;

m) Utilizar para a criação de regras a base de objetos já existentes no firewall;

n) Permitir a criação de regras múltiplas baseado em arquivo, ou seja, um arquivo de entrada com múltiplas alterações que serão convertidas pelo sistema por múltiplos tickets ou um ticket com alterações múltiplas. O produto deve suportar no mínimo os seguintes arquivos de entrada: xls (Microsoft Excel até 2003), xlsx (Microsoft Excel 2007 e superior), sxc (OpenOffice 1.0 Spreadsheet), ods (OpenOffice Spreadsheet), csv (Coma-separated text values);

o) Permitir a solicitação de mudança baseado em templates. O produto deve possuir templates pré-definidos e permitir a criação de novos pelo administrador;

p) Em solicitações de alteração de objetos o produto deve informar todas as regras que terão impacto com a modificação;

q) Permitir a integração com “Change Management Systems” como BMC Remedy, HP Service Center e Service Manager. Os métodos de integração deverão ser no mínimo: via interface REST, via Web Service ou via E-mail;

r) Permitir a automática implantação das alterações em firewalls Check Point. Esta implantação da alteração deve ser feita somente no SmartCenter, porém deve ser aplicada pelo administrador do firewall via SmartConsole;

s) Comparar a solicitação de mudança com database interno de riscos e melhores práticas de gestão, além de detector violações de conformidade com normas e padrões de Mercado, como SOX, PCI, ISO e outros;

t) Permitir a criação de “whitelist” com tráfegos que estão de acordo com a política da empresa;

u) Possuir editor que permita edição nos riscos padrão da solução, permitindo assim a criação de exceções;

v) Permitir a divisão de uma solicitação de mudança em sub-tickets de modo a distribuir os diversos sub-tickets aos administradores corretos;

w) Detectar e validar automaticamente a execução da mudança de acordo com a solicitação aprovada. Caso a mudança tenha sido feita de acordo com o solicitado, encerrar o ticket e avisar aos envolvidos. Caso contrário notificar ao aprovador;

x) Manter registros dos tempos para posterior auditoria do SLA do processo de criação de regras;

y) Detectar alterações não requisitadas ou não autorizadas;

z) Permitir a recepção de solicitação de mudanças por interface Web, E-mail ou mail interface;

aa) Permitir a configuração de privilégios administrativos de modo a dar acesso diferenciado a diferentes administradores;

bb) Permitir a utilização de base AD / LDAP para a população da base de usuários;

cc) Permitir mudança dinâmica no fluxo de aprovação/execução do pedido com base em informações imputadas na solicitação e ou análise do pedido, tais como: risco envolvido, urgência da solicitação e firewalls afetados.

3.2.3 – Quantidade do Software de Automação

3.2.3.1 - O software deverá possuir licenciamento completo para atender aos 11 (onze) gateways, conforme o subitem 2.1, garantindo que todos os seus recursos sejam plenamente utilizados, sem nenhuma restrição por falta de licenciamento.

4 – DA ASSISTÊNCIA TÉCNICA, CONFIGURAÇÃO E INSTALAÇÃO

4.1 - Os serviços deverão ser executados sem impacto na utilização do ambiente dos DATACENTERS do Contratante, e poderão ocorrer, a critério do mesmo, em horário noturno, finais de semana, ou outros horários a serem definidos.

4.2 - Em caso de atualização do produto, quando a aplicação da nova versão resultar em perda de dados, incapacidade de abertura ou gravação de arquivos ou qualquer outra incompatibilidade relativamente às versões anteriores, tais restrições deverão estar claramente relatadas na descrição dos requisitos de natureza técnica das propostas de mudança;

4.3 - Os serviços de assistência técnica preventiva e/ou corretiva serão prestados a todos os produtos fornecidos pela Contratada. A prestação desses serviços deverá ser realizada nas dependências do Contratante, onde se encontrarem instalados os ativos de firewall.

4.3.1 - Os serviços de assistência técnica deverão ser executados pela Contratada sempre que se fizerem necessários, independente de haver solicitação por parte do Contratante;

4.4 - A realização de assistência técnica preventiva, caso não seja solicitada pelo Contratante, deverá ser comunicada ao mesmo com antecedência mínima de 02 (dois) dias úteis, devendo o horário ser negociado de forma a não haver impacto no ambiente de produção do mesmo;

4.5 – A Contratada deverá manter o acompanhamento junto ao fabricante, identificando a liberação constante de novas versões de software, correções e/ou atualizações para o melhor funcionamento dos softwares licenciados, informando ao Contratante da necessidade de atualização, bem como do agendamento de janela para aplicação de correções ou atualizações, deixando o ambiente dos DATACENTERS livre de qualquer risco de paralisação provocada por falha de software bugs, inconsistências de software ou falta de atualizações;

4.6 - A Contratada deverá instalar e configurar os softwares especificados, bem como prestar serviço de suporte técnico às atividades operacionais para o atendimento de demandas do Contratante referentes aos softwares adquiridos, envolvendo as seguintes atividades:

a) Aplicação de patches de segurança em todos os softwares envolvidos;

b) Instalação e/ou atualização de licenças;

c) Suporte a rotinas operacionais;

d) O suporte presencial, quando houver, deverá ocorrer no local descrito no item 11, sem ônus para o Contratante;

e) Atualização de versões, releases e patches aplicados nos softwares especificados, com o devido histórico.

4.7 - A Contratada deverá fornecer número telefônico do tipo discagem gratuita 0800, para abertura dos chamados técnicos, os quais deverão possuir identificador (numérico) próprio, sendo repassado ao Contratante, a fim de registro e acompanhamento das ocorrências;

4.8 - Uma vez registrada a ocorrência junto à Contratada, ela deverá ser encaminhada para os procedimentos de atendimento e solução dos problemas;

4.9 - Entende-se por término do atendimento das ocorrências em aberto, a disponibilidade dos softwares licenciados para uso em perfeitas condições de funcionamento no local onde está instalado, estando condicionado à aprovação do Contratante;

4.10 - O suporte técnico prestado pela Contratada consiste no esclarecimento de dúvidas, na reparação das eventuais falhas de funcionamento, mediante a substituição de versão, de acordo com os manuais e normas técnicas específicas para cada software licenciado, no acompanhamento de instalação de novas versões ou de reinstalação de qualquer versão adquirida, e ainda orientação das melhores práticas de uso dos produtos adquiridos, recomendadas pelo fabricante.

4.11 – Deverá ser emitido um relatório técnico, indicando os procedimentos realizados durante a manutenção preventiva e/ou suporte técnico, o qual deverá ser enviado ao Contratante.

5 – DA ATUALIZAÇÃO/SUBSCRIÇÃO DOS SOFTWARES

5.1 - A Contratada deverá fornecer subscrição para todos os softwares descritos no item 3 e seus subitens, mantendo-os licenciados e atualizados pelo prazo de 36 (trinta e seis) meses.

6 – DO TREINAMENTO

6.1 - A Contratada deverá transferir o conhecimento da Solução de Auditoria e Automação de Firewall para uma equipe de técnicos do Contratante.

6.2 - Deverá ser ministrado treinamento aos técnicos do Contratante, durante o 1º mês de vigência do Contrato, para 04 (quatro) participantes, com carga horária equivalente ao programa oficial de capacitação do fabricante da solução, com o mínimo de 32 (trinta e duas) horas.

6.3 - O conteúdo programático da solução deve ser o mesmo praticado pelo fabricante para certificação de seus técnicos.

6.4 - A Contratada deverá ser especializada em oferecer treinamento, com o conteúdo adequado às necessidades do Contratante.

6.5 - A Contratada deverá ter disponibilidade de oferecer o curso nos horários e com a carga horária diária estipulada neste TR.

6.6 - O instrutor deverá ter experiência comprovada em ministrar os conteúdos deste treinamento.

6.7 - O instrutor deverá ter a certificação máxima do fabricante para o treinamento especificado.

6.8 - A Contratada deverá fornecer material didático para cada participante do treinamento.

6.9 - O material didático (apostilas) deverá ser oficial do fabricante, em português, e entregue impresso aos participantes com no mínimo de 05 (cinco) dias úteis anteriores à data do agendamento do treinamento.

6.10 - O treinamento deverá ser realizado com carga horária máxima de 04 (quatro) horas diárias compreendendo ou o turno da manhã (09 às 12h) ou o turno da tarde (14 às 18h), sendo vetado pelo Contratante a utilização de ambos os turnos no mesmo dia.

6.11 - O treinamento deverá ser prestado obrigatoriamente na cidade do Rio de Janeiro, nas proximidades da sede do Contratante.

6.12 - Ao final do treinamento deverá ser aplicado um teste escrito a todos os participantes para verificação de aprendizagem.

6.13 - Todos os participantes com assiduidade igual ou superior a 80% da carga horária do treinamento devem receber certificado de participação do curso.

6.14 - É de responsabilidade da Contratada: o pagamento do facilitador, fornecimento dos certificados, despesas com passagem e hospedagem do instrutor, materiais didáticos (apostila, exercícios), ficando o Contratante isento de quaisquer ônus adicionais.

6.15 - A Contratada irá assumir todas as despesas relativas à pessoal e quaisquer outras oriundas, derivadas ou conexas com a contratação, ficando, ainda, para todos os efeitos legais, declarado pela mesma a inexistência de qualquer vínculo empregatício entre seus empregados e/ou prepostos e o Contratante.

7 – DO ACORDO DE NÍVEL DE SERVIÇO PARA O OBJETO

7.1 - A Contratada deverá ter condições de assegurar o Acordo de Nível de Serviço – ANS, para Assistência Técnica, no regime de 8x5x365 (oito horas por dia, cinco dias por semana, trezentos e sessenta e cinco dias) por ano, com atendimento presencial, quando necessário, e com tempo de resposta e de solução conforme quadro abaixo:

Severidade	Tempo de resposta	Tempo de solução
Alto Impacto	Até 02 horas	Até 04 horas
Médio Impacto	Até 04 horas	Até 06 horas
Sem Impacto	Até 08 horas	Até 12 horas

Legenda:

Alto impacto: ambiente inoperante.

Médio Impacto: ambiente operando com restrições.

Sem impacto: dificuldade pontual em alguma funcionalidade.

7.2 - A Contratada deverá fornecer número telefônico, do tipo discagem gratuita 0800, para abertura de chamados técnicos, estes deverão possuir identificador de ocorrência (numérico) próprio, data e hora de abertura devidamente repassado ao Contratante, a fim de registro e acompanhamento das ocorrências.

7.3 - Os tempos de resposta e de solução para os chamados abertos serão contados a partir do registro dos mesmos através de contato telefônico conforme descrito no item 7.2.

7.4 - A Contratada deverá trabalhar na resolução dos problemas até que a solução de auditoria e automação para regras de firewall esteja novamente operando em regime normal de produção sem qualquer pendência. Em caso de severidade de alto impacto, que deixa o ambiente inoperante, o atendimento para resolução do problema deverá ser, obrigatoriamente, presencial conforme quadro de Acordo de Nível de Serviço (ANS) com severidade – Alto impacto, tempo de resposta e tempo de solução, conforme descrito no item 7.1.

8 - DAS OBRIGAÇÕES DA CONTRATADA

8.1 - Fornecer, obrigatoriamente, durante todo o prazo de vigência do contrato os serviços de acordo com os itens descritos e relacionados neste TR.

8.2 - Observar as janelas de implantação dos softwares licenciados de acordo com o controle de mudanças do Contratante, de tal forma a não causar impacto à disponibilidade da infraestrutura do mesmo.

8.3 - Manter, por seus representantes ou prepostos, xxxxxx quanto aos trabalhos executados e elementos utilizados.

8.4 - Manter em caráter confidencial, mesmo após o término do prazo de vigência ou eventual rescisão do Contrato, todas e quaisquer informações classificadas como confidenciais ou não do Contratante, assinando o Termo de Sigilo e Confidencialidade do mesmo.

8.5 - Cumprir todas as orientações estabelecidas no “Plano de Segurança da Informação” do Contratante.

8.6 - Manter, em observância às obrigações assumidas, todas as condições de habilitação e qualificação exigidas no processo de licitação.

8.7 - Prever mecanismo de transferência da tecnologia para o Contratante, incluindo o suporte para transferência dos serviços para outra organização fornecedora, em caso de motivação quanto ao término do Contrato, por solicitação de uma das partes envolvidas.

8.8 - Fornecer ao Contratante os documentos necessários para o pagamento à Contratada.

8.9 - Ter em seu quadro de funcionários pelo menos 02 (dois) técnicos com a máxima certificação do fabricante para o produto especificado.

8.10 - Garantir que a abertura de chamados, o esclarecimento de dúvidas e o agendamento de serviço de suporte "on-site", possam ser efetuados por telefone, através de número de discagem gratuita do tipo 0800, através de site de Internet e e-mail por parte do Contratante.

8.11 - Disponibilizar atendimento em língua portuguesa.

8.12 - Fornecer código específico de login e senha para a abertura de chamados pela Internet.

8.13 - Garantir suporte telefônico no padrão 8x5 (oito horas por dia, cinco dias por semana) em língua portuguesa.

8.14 - Arcar com todos os custos e despesas, tais como: recebimento e remessa dos itens relacionados aos produtos e ao treinamento (incluindo transporte, hospedagem e alimentação para o instrutor), respectivamente itens 3 e 6 do TR, não deixando nenhum ônus para o Contratante.

8.15 - Garantir sigilo sobre quaisquer dados, informações, documentos e especificações que a ela venham a ser confiados ou que venham a ter acesso em razão dos serviços prestados, não

podendo, sob qualquer pretexto, revelá-los, divulgá-los, reproduzi-los ou deles dar conhecimento a quaisquer terceiros;

8.16 - Observar que os serviços a serem prestados deverão estar de acordo com os procedimentos e padrões estabelecidos pela Política de Segurança da Informação do Contratante.

8.17 - Aceitar, nas mesmas condições pactuadas, os acréscimos ou supressões que se fizerem necessários no objeto licitado, até o limite previsto no § 1º do art. 65 da Lei nº 8.666/93.

9 - DAS OBRIGAÇÕES DO CONTRATANTE

9.1 - Efetuar os pagamentos devidos à Contratada, na forma estabelecida no item 15 do Edital.

9.2 - Fornecer à Contratada os documentos, informações e demais elementos que possuir ligados aos serviços do objeto.

9.3 - Assegurar aos técnicos credenciados pela Contratada o acesso aos locais de execução dos serviços, resguardadas as normas de sigilo e segurança impostas pelo Contratante.

9.4 - Designar comissão para o acompanhamento e fiscalização do objeto licitado.

9.5 - Receber o objeto, após a verificação do atendimento integral das especificações requeridas.

9.6 – Supervisionar e controlar os serviços executados, a fim de atestar as faturas apresentadas pela Contratada.

9.7 - Comunicar à Contratada qualquer anormalidade ocorrida na execução do objeto, diligenciando para que as irregularidades ou falhas sejam plenamente corrigidas.

9.8 - Notificar, por escrito, a Contratada da aplicação de eventuais penalidades, garantindo-lhe o direito ao contraditório e a ampla defesa.

10 – DOS PRAZOS

10.1- O prazo de garantia dos serviços será de 36 (trinta e seis) meses, a partir da data de instalação dos softwares licenciados.

10.2 - O prazo de vigência do Contrato será de 12 (doze) meses, contados a partir da data de sua formalização.

10.3 – O prazo de entrega dos produtos será de até 30 (sessenta) dias úteis, contados a partir da data da formalização contratual.

11 – DO LOCAL DE ENTREGA/INSTALAÇÃO

11.1 - Os serviços envolvidos nesse TR deverão ser executados nas dependências do CONTRATANTE, Rua da Ajuda nº 5/3º andar – Xxxxxx – XXX 00000-000 - Xxx xx Xxxxxxx – RJ ou Rua Pacheco Leão nº 1.235 – Fundos - Jardim Botânico – Rio de Janeiro – RJ, ou em localidade a ser definida pelo CONTRATANTE no município do Rio de Janeiro.